31.2管理模型 1、团体的概念 SNMP网络管理是一种分布式应用。代理控制自己的 MIB,也控制多个管理站对MB的访问。 只有授权的管理站才允许访问管理信息库。 其基本思想是: 代理系统可以对不同的团体定义不同的访问 控制策略,每个团体被赋予唯一的名字。 ●管理站只能以认可的团体名行使访问权。祥细信息 管理站实体可以用不同的名字对不同的代理 实施不同的访问权限。操作一新团体名1-权限
3.1.2 管理模型 1、团体的概念 n SNMP网络管理是一种分布式应用。代理控制自己的 MIB,也控制多个管理站对MIB的访问。 n 只有授权的管理站才允许访问管理信息库。 n 其基本思想是: Ø l 代理系统可以对不同的团体定义不同的访问 控制策略,每个团体被赋予唯一的名字。 Ø l 管理站只能以认可的团体名行使访问权。祥细信息 Ø l 管理站实体可以用不同的名字对不同的代理 实施不同的访问权限。操作-新团体名lt1-权限
3.1.2管理模型 2、认证服务 认证服务的目的是要保证通信是被授权的。 对于一个SNP报文,认证服务的功能是保证接 收报文来自于这个消息所声称的源 从管理站到代理的每个报文都包括一个团体名 字。这个名字起到密码的作用,如果发送者知 道这个密码,报文就被认为是可靠的
3.1.2 管理模型 2、认证服务 n 认证服务的目的是要保证通信是被授权的。 n 对于一个SNMP报文,认证服务的功能是保证接 收报文来自于这个消息所声称的源。 n 从管理站到代理的每个报文都包括一个团体名 字。这个名字起到密码的作用,如果发送者知 道这个密码,报文就被认为是可靠的
3.1.2管理模型 团体名以明文的形式传输,容易被窃取。所以 SNMP的安全机制是不安全的。 为此很多SNP的实现只允许Get和Trap操作,而 Set的操作被严格的限制。即只具有网络监视功 能而限制控制网络设备。 为了加强SNMP的安全性,在后来的SNMP版本中 改进了认证服务 习
3.1.2 管理模型 n 团体名以明文的形式传输,容易被窃取。所以 SNMP的安全机制是不安全的。 n 为此很多SNMP的实现只允许Get和Trap操作,而 Set的操作被严格的限制。即只具有网络监视功 能而限制控制网络设备。 n 为了加强SNMP的安全性,在后来的SNMP版本中 改进了认证服务。 复习
3.1.2管理模型 3、访问策略 通过定义团体,代理系统限制只有一些选定的管 理站才能访问它的MIB。 通过使用多个团体,代理可为不同的管理站提供不 同的MIB访问类别。 访问控制有两方面: ● SNMP MIB视域(view):MIB中对象的一个子 集,对不同的团体可以定义不同的视域。属 于同一视域的对象不必属于同一子树 访问模式:集合{read-only,read- write}的 个元素。对于一个团体可以定义一种访问模 式
3.1.2 管理模型 3、访问策略 n 通过定义团体,代理系统限制只有一些选定的管 理站才能访问它的MIB。 n 通过使用多个团体,代理可为不同的管理站提供不 同的MIB访问类别。 n 访问控制有两方面: Ø l SNMP MIB 视域(view): MIB中对象的一个子 集,对不同的团体可以定义不同的视域。属 于同一视域的对象不必属于同一子树。 Ø l 访问模式:集合{read-only, read-write}的一 个元素。对于一个团体可以定义一种访问模 式
31.2管理模型 个团体的MIB视域和访问模式的组合称为SNP团 体形象( profile) 它包含代理中对象的一个子集和有关这些对象的访 问模式。 SNMP访问模式适用于MIB视域中的所有对象。例如 如果访问模式是read-only,则具有同一团体形象 的管理站对视域中的所有对象只能以只读方式访问
3.1.2 管理模型 n 一个团体的MIB视域和访问模式的组合称为SNMP团 体形象(profile)。 n 它包含代理中对象的一个子集和有关这些对象的访 问模式。 n SNMP访问模式适用于MIB视域中的所有对象。例如 如果访问模式是read-only,则具有同一团体形象 的管理站对视域中的所有对象只能以只读方式访问