小組成員

Study －唸書

為什麼要唸書呢？主要有兩個原因：第一個是我們要使用SNMP這個技術，所以當然在使用之前要先知道這個技術是拿來作什麼用的？有什麼東西可以用？用什麼方法去實際在網路上面傳送這些兒有意義有用的資訊，因為我們對SNMP得了解越多的話，我們所能做的應用就越多，舉個簡單的例子，在剛開始的時候，我自己對於SNMP的了解僅限於我們常用來看流量統計的軟體MRTG，因為MRTG裡面是透過SNMP去對所要監測

的機器做記錄，然後作成我們所看到的圖表(上圖)，所以剛開始我以為SNMP僅可以那來做統計以及間監測而已，但是在念過SNMP基本的v1以及v2之後，才知道MRTG只是應用了SNMP裡面最基本的功能，意思就是說我們是可以做更多事情的，因為如果只是唯讀的協定的話，就真的只能拿來作監測但是如果還可以把一些兒我們所指定的資料寫回去的話，就可以做到遠端管理，所以我們就本著這個心態繼續把SNMP我們所不知道的地方看完，然後做出一些簡單的整理：

(1) 關於SNMP版本的問題

SNMP的版本剛開始就是我們所熟知的v1，接著因為v1的功能雖然很簡便，而且該有的都有，堪稱小而美且五臟俱全，但是由於缺乏User-Based的觀念再加上沒有近代大家所關心的安全認證，甚至於加密的觀念，所以原本的SNMP就開始往兩個方向走，如上圖所示一個往改進原本的SNMP內部結構而變成了SNMPv2，而另一個則變成Secure SNMP，然後在後來終於要整合成SNMPv2，只是因為種種的原因，在v2出來之前又分為v2c(without secure)和v2u,v2*(secure)，而在之後的v3就終於把這兩塊整合起來。

(2) SNMP基本的指令以及功能

1. snmpget

� 得到agent上面，我們所需要的data(manager 去query agent)

2. snmpset

� 將我們所需要的data存回agent上面(manager 去 query agent)

3. snmptrap

� 將agent上面的data直接丟給manager(不經過manager的query)

(3) MIB

1. MIB從外面來看，看起來像是一個龐大的系統資訊資料庫

2. MIB從裡面來看，沒有想像中的簡單，並不是單單一個龐大的資料庫就可以解決的

3. MIB是一個龐大的集合，裡面的任何一個元素都是在系統裡面跑的程式

4. 我們從manager端去query agent端的時候，不是如同我們剛開始想像的，彷彿去資料庫裡面取資料出來，而是agent會先去處裡我們丟出去的query問句，然後去跑相對應的程式，然後再把所得到的相對應data傳回來給manager

5. 定義MIB也是一樣的，雖然原本的MIB語法要寫但是相對應的程式也要寫，這樣一組對應的agent ←→ manager才能相互作用

結論：我們要改MIB這一塊真的要改很久 ….

(4) SNMPv3

1. 新的架構

上圖是SNMPv3的manager端的架構，可以看到在架構上面就改了不少東西，原本單純的SNMP架構被切成了好幾塊，而且為了相容原本的版本，所以在分析完message之後，是可以同時並行的跑各個SNMP的版本，只是在SNMP的版本後面的那塊有關Security的部份目前為止就只有v3有支援，所以對於v1和v2而言就沒什麼關係，當然後面的Security Subsystem也是v3的特色。

上圖是SNMPv3的agent端的架構，可以看到這個架構和manager端的架構差不多，其實原本manager端和agent端的架構就不會差太多，所以才會看起來長得這麼像，但是可以看到agent端的後面有一塊是Access Control Subsystem，這個部份因為是依憑著MIB而存在著的，所以才會只有agent端有而manager端沒有。

2. 新的message format

上圖是SNMPv3流通著的message的格式，可以看到有一堆格子的註解裡面都有著”Security”這個字，其實把中間顏色比較深的那一塊去掉話，就是原本v1和v2的message formate，那由這個地方就看得出SNMPv3裡面重視Security的部份。

那在這裡簡單的解釋一下中間那一塊有哪些兒東西，裡面有User,Password,以及一些安全性上的小手腳，那主要強調的是這些安全性的措施以及我們所重視的User-Based的機制，因為在之前並沒有這些兒機制(之前的v1,v2有個community，而且也就只有這個community，等於是有User但是沒有Password，所以等於是只要知道User就可以進入去做存取的動作，可想而知是非常的不安全，那v3在這個地方做了相當大的改進，因為有了加密過的Password。

3. 新的 Process Diagram

如上圖，左邊是manager端，而右邊是agent端，我們可以先看看左邊的圖，如果直著看，就會發現主要有兩行東西，一行是主要的process，而旁邊就會有原本的process之外，額外的東西，那簡單的說，主要的那一行就是v1,v2在跑的process，而多出來的那兩個circle則是v3加進去的安全上的東西，那主要也是問要不要加密以及要不要放上安全性的一些資料。

4. 新的Security Model

a. User-based security model(USM)

簡單的說就是原本的v1,v2沒有User-Based的觀念，所以只用Community來當作User去存取agent，而v3就在這裡加了帳號的機制，看起來就較有系統點兒，而且也可以做分工，不同的工作者有著不同的權限。

b. View-based access control model(VACM)

這個model是based on前面的USM以及MIB，因為這個model的意思就是不同的User在設定過權限之後，就可以存取被設定過權限的MIB。