一種支持SNMP V3的代理平臺設計方案

　　【摘要】SNMP是目前TCP/IP網絡中應用最為廣泛的網絡管理協議,SNMP V3是其最新版本,需要被各類網絡設備的代理平臺所支持.本文提出了一種支持SNMP V3的網絡設備代理平臺的設計方案,重點討論了代理平臺的結構, SNMP V3消息的處理機制,以及關鍵技術的實現方法.

　　關鍵字：SNMP V3 代理平臺 USM VACM

　　A SNMP V3 Network Device Agent Platform Design

　　Abstract：SNMP is the most widely used network management protocol; SNMP V3 is the latest version of the network equipment needed to be supported. This article bring the SNMP V3 agent platform design and discussed the structure of the agent, the mechanism of processing SNMP V3 package, and the implementation for key technology.

　　Key words：SNMP V3 Agent USM VACM

　　1.引言

　　簡單網絡管理協議(SNMP)是目前TCP/IP網絡中應用最為廣泛的網絡管理協議.目前SNMP協議主要包括三個版本：SNMP V1、SNMP V2以及最新的SNMP V3。SNMP V3采用了新的SNMP擴展框架，解決了SNMP協議以前版本在安全性和管理方面表現不理想的問題,支持SNMP V3是網絡設備的趨勢。網絡設備通過代理平臺處理SNMP協議,設計一種支持SNMPV3的代理平臺,對于路由器,交換機等網絡設備具有重要意義.

　　2.代理平臺的結構和SNMP V3處理機制

　　2.1代理平臺的結構

　　基于SNMP的管理體系架構中，存在著SNMP管理實體(系統網管)和SNMP代理實體(被管網元)兩種基本元素. 管理實體和代理實體按系統功能可進一步細分為SNMP引擎和SNMP應用。見圖1: SNMP管理體系架構.

　　SNMP引擎主要實現SNMP的協議相關的處理，包括SNMP消息的收發，SNMP

　　消息的解析，SNMP的PDU處理等工作，在一個管理域的范圍內，一個SNMP引擎snmpEngineID作為唯一標識。SNMP引擎中，針對V1，V2，V3版SNMP消息，提供三種消息處理模型，當SNMP消息進入SNMP引擎后，根據SNMP消息的版本號，將SNMP消息分派給不同的消息處理模型處理。

　　SNMP應用主要實現不同的管理功能(如配置，性能，告警管理)。在代理實體，主要存在著命令應答器(用于對SNMP引擎接受到的SNMP請求，產生SNMP應答)，通知生成器(用于代理實體主動產生的TRAP，通知的生成)兩種應用。

　　2.2 SNMP V3消息處理機制

　　SNMP V3消息中加入了安全級別，安全模型，安全參數,訪問OID的上下文名和訪問OID的contextEngineID等參數。在SNMP引擎的V3消息處理模型的消息處理過程中，需要引入安全子系統，用于清除SNMP消息被篡改，消息源偽裝，SNMP消息隱私暴露，SNMP消息過時等問題;需要加入訪問控制子系統，防止對未授權的OID進行非法操作。

　　SNMP引擎在接收到傳入的SNMP V3消息后，先通過安全子系統USM模塊的處理，將SNMP消息被解析成SNMP PDU;然后SNMP PDU經過訪問控制子系統的VACM模塊和命令應答器,經過處理生成應答PDU，然后交給安全子系統USM模塊產生SNMP V3應答消息。對于通知生成器，在原始通知提交到SNMP引擎后，先經過訪問控制子系統VACM模塊的處理，通過后再交給安全子系統USM模塊，加工成SNMP V3消息，最后由SNMP引擎發送出去。

　　在SNMP引擎中，USMS模塊和VACM模塊運行之前，需要在本地配置數據庫(LCD)中配置相關參數.管理實體與代理實體的USM配置，需要保持一致,為了實現數據的同步，代理實體提供訪問USM，VACM的LCD的SNMP訪問接口，以實現對USM，VACM的遠程配置。