張偉

（咸陽師范學院計算機學院，咸陽712000）

基于SNMP的網(wǎng)絡(luò)設(shè)備監(jiān)控系統(tǒng)設(shè)計與實現(xiàn)*

張偉

（咸陽師范學院計算機學院，咸陽712000）

隨著計算機網(wǎng)絡(luò)的不斷發(fā)展，網(wǎng)絡(luò)設(shè)備急劇增加，網(wǎng)絡(luò)管理人員急需一種簡單易用的網(wǎng)絡(luò)設(shè)備管理軟件，以提高網(wǎng)絡(luò)設(shè)備的管理效率。首先介紹了簡單網(wǎng)絡(luò)管理協(xié)議（SNMP）的工作原理，在研究SNMP國內(nèi)外發(fā)展現(xiàn)狀的基礎(chǔ)上，分析了SNMP協(xié)議自身存在的問題，提出了改進SNMP協(xié)議的措施。選用Visual C++開發(fā)了基于SNMP的網(wǎng)絡(luò)設(shè)備監(jiān)測系統(tǒng)，實現(xiàn)了對網(wǎng)絡(luò)管理資源的實時管理，將監(jiān)測到網(wǎng)絡(luò)設(shè)備失效信息以圖形方式顯示出來并示意警告，提高了網(wǎng)絡(luò)設(shè)備管理的工作效率，為網(wǎng)絡(luò)設(shè)備管理提供了一種有效方式。

簡單網(wǎng)絡(luò)管理協(xié)議；網(wǎng)絡(luò)設(shè)備；監(jiān)控系統(tǒng)；安全性；設(shè)計；CPU利用率

1 引言

面對日益復雜的網(wǎng)絡(luò)結(jié)構(gòu)和日趨增加的網(wǎng)絡(luò)安全問題，網(wǎng)絡(luò)管理員必需及時了解網(wǎng)絡(luò)的基本狀況，如流量、硬件故障、軟件出錯等，而最有效的辦法就是在原網(wǎng)絡(luò)的基礎(chǔ)硬件上實時地對全網(wǎng)進行監(jiān)控。簡單網(wǎng)絡(luò)管理協(xié)議（Simple Network Management Protocol,以下簡稱SNMP）就符合這樣的要求，基于SNMP的設(shè)備監(jiān)控適用于校園網(wǎng)和企業(yè)網(wǎng)，其具有成本低廉、管理效果明顯，目前為大多企業(yè)所采用[1]。通過SNMP可以獲取網(wǎng)絡(luò)設(shè)備的參數(shù)、運行狀態(tài)及設(shè)備使用率，還可以收集與之相關(guān)的其他信息。

根據(jù)SANA協(xié)會的報告，當前網(wǎng)絡(luò)環(huán)境下，在使用Internet的主機中，SNMP是對網(wǎng)絡(luò)安全構(gòu)成威脅的十大因素之一[2]。因為SNMP的使用不在防火墻管理的安全范圍之內(nèi)的設(shè)備上運行，這就增加了簡單網(wǎng)絡(luò)管理協(xié)議（SNMP）所帶來的風險。設(shè)計一種基于SNMP的網(wǎng)絡(luò)設(shè)備監(jiān)控軟件，能夠安全、快速、高效地獲取網(wǎng)絡(luò)設(shè)備信息，從而提升SNMP的安全性，具有一定的應(yīng)用價值。

2 SNMP及其工作原理

2.1 SNMP

簡單網(wǎng)絡(luò)管理協(xié)議（SNMP），是TCP/IP協(xié)議簇的一個應(yīng)用層協(xié)議，由一個應(yīng)用層協(xié)議（Application Layer Protocol）、數(shù)據(jù)庫模型（Database Schema）和一組資源對象組成[3]。網(wǎng)絡(luò)設(shè)備管理系統(tǒng)運行在SNMP協(xié)議之上，可以監(jiān)控連接到網(wǎng)絡(luò)上的各種設(shè)備，同時收集設(shè)備的參數(shù)和運行信息。SNMP是為管理Internet上眾多硬件平臺而制定的，該協(xié)議是互聯(lián)網(wǎng)工程工作小組（IETF，Internet Engineering Task Force）定義的Internet協(xié)議簇的一部分[4]。由于SNMP的簡單性，在Internet時代得到廣泛應(yīng)用，先后發(fā)布了SNMPv1、SNMPv2及SNMPv3版本[5]。

2.2 SNMP工作原理

SNMP工作原理如圖1所示。

圖1 SNMP工作原理圖

2.3 基于SNMP的管理模型

改模型主要由“SNMP管理站”和“SNMP代理”兩種角色構(gòu)成。首先要獲得訪問網(wǎng)絡(luò)設(shè)備的權(quán)限，然后就可以隨意進行訪問，以獲取網(wǎng)絡(luò)設(shè)備的信息并修改和配置網(wǎng)絡(luò)設(shè)備的基本參數(shù)[6]。因為在訪問過程中采用的是UDP，所以不需在代理和管理站之間保持持續(xù)連接。如圖2所示。

圖2 基于SNMP的管理模型

3 SNMP安全性分析

3.1 SNMP的安全隱患

奧盧大學的安全編程小組通過大量測試發(fā)現(xiàn)，SNMP管理工作站在解析和代理消息時存在漏洞。主要原因是SNMP對消息檢查不全面，安全性不達標引起的，當檢測過程中對非標準字段數(shù)據(jù)進行識別時會引起緩沖區(qū)溢出或內(nèi)存資源過度消耗，不同的設(shè)備引起不同的后果。比如：設(shè)備不能正常運行，產(chǎn)生大量廢棄的工作日志，嚴重時導致系統(tǒng)崩潰或重新啟動等[7]。

SNMP是用“團體名”進行認證的，這也是它的薄弱性所在，比如用的缺省值“Public”（或“Private”）能夠獲得設(shè)備的訪問權(quán)，或者使用網(wǎng)絡(luò)數(shù)據(jù)包捕獲工具（Sniff）軟件來獲取SNMP的團體名，還有一些可以巧妙的避過或逃離這一認證[8]。

3.2 提高SNMP安全性的方法

針對SNMPv1使用范圍的廣闊性，上述問題普遍存在于從高端到低端的網(wǎng)絡(luò)設(shè)備之上，對此可以實行以下措施：

（1）對軟件及時升級新版本、打補丁。

目前大多數(shù)網(wǎng)絡(luò)設(shè)備生產(chǎn)商已經(jīng)對各自網(wǎng)絡(luò)設(shè)備實現(xiàn)的SNMP方案進行了安全性的全面測試，使用者要及時查看各廠商測試的最新結(jié)果和具體建議。

（2）關(guān)閉SNMP服務(wù)。

針對不使用簡單網(wǎng)絡(luò)管理協(xié)議（SNMP）的網(wǎng)絡(luò)設(shè)備可以考慮關(guān)閉SNMP功能，如Cisco產(chǎn)品。還有一些產(chǎn)品，即使關(guān)閉了SNMP服務(wù)，還會存在DOS入侵，對于這些產(chǎn)品建議將其與訪問控制的措施結(jié)合起來使用。

（3）對進入網(wǎng)絡(luò)的SNMP流量進行過濾。

用戶可以根據(jù)IP地址和端口號對進入網(wǎng)絡(luò)的SNMP流量進行過濾。

（4）對內(nèi)部未授權(quán)主機實現(xiàn)SNMP訪問控制。

（5）將SNMP流量限制在特定的虛擬局域網(wǎng)（VLAN）上。

4 基于SNMP的網(wǎng)絡(luò)設(shè)備監(jiān)控系統(tǒng)

本系統(tǒng)的設(shè)計目標是監(jiān)測機房計算機設(shè)備以獲得計算機性能參數(shù)。通過監(jiān)測和分析計算機性能參數(shù)，不僅能夠清楚地反映出計算機資源的動態(tài)變化和負載狀況，同時還能通過對歷史數(shù)據(jù)進行統(tǒng)計和分析來確定CPU利用率，預先發(fā)現(xiàn)計算機運行瓶頸，從而避免CPU利用率過度飽和帶來的低性能，優(yōu)化配置計算機機房的計算資源服務(wù)。

4.1 總體設(shè)計

通過對SNMP協(xié)議的研究，設(shè)計和構(gòu)建了基于C/S架構(gòu)[9]的系統(tǒng)結(jié)構(gòu)模型，如圖3所示。

圖3 系統(tǒng)結(jié)構(gòu)模型圖

采用C/S結(jié)構(gòu)，可以充分利用客戶端和服務(wù)器端硬件環(huán)境的優(yōu)勢，將工作任務(wù)合理的分配給客戶端和服務(wù)器端，使兩端共同協(xié)助實現(xiàn)數(shù)據(jù)處理，提高硬件使用率，減少系統(tǒng)之間的通訊開銷[10]。Client作為監(jiān)控端，Server作為被監(jiān)控端處于兩臺計算機上。其工作流程是：Client將用戶的任務(wù)提交給Server程序，再將Server程序的返回結(jié)果傳給用戶。Server程序?qū)蛻籼峤坏娜蝿?wù)進行處理，并將結(jié)果返回給客戶端。

C/S結(jié)構(gòu)的優(yōu)點是能充分發(fā)揮客戶端PC的硬件資源和處理能力，大多數(shù)任務(wù)可以先在客戶端進行加工處理之后再提交給服務(wù)器端[11]，其優(yōu)點是客戶端響應(yīng)速度快。具體表現(xiàn)在：

（1）應(yīng)用端負荷較輕。

（2）數(shù)據(jù)庫應(yīng)用中，數(shù)據(jù)的儲存管理功能由客戶應(yīng)用程序獨立進行管理，在B/S系統(tǒng)中數(shù)據(jù)庫是由服務(wù)端在服務(wù)器程序中集中實現(xiàn)。C/S結(jié)構(gòu)設(shè)計的前臺程序因要處理業(yè)務(wù)邏輯和數(shù)據(jù)分析而不像B/S結(jié)構(gòu)那樣簡單，但是這也保證了被檢測計算機不因被檢測而花費過多計算資源。

4.2 功能模塊設(shè)計

4.2.1 數(shù)據(jù)采集模塊

數(shù)據(jù)采集模塊主要是將網(wǎng)絡(luò)設(shè)備的數(shù)據(jù)進行實時采集，必要時將采集得到的數(shù)據(jù)結(jié)果存入數(shù)據(jù)庫。利用簡單網(wǎng)絡(luò)管理協(xié)議（SNMP）和網(wǎng)絡(luò)設(shè)備之間進行單向通訊，完成結(jié)果數(shù)據(jù)的采集獲取。該模塊作為數(shù)據(jù)分析模塊和數(shù)據(jù)展示模塊的基礎(chǔ)部分，確保采集數(shù)據(jù)的實時性和準確性。

4.2.2 數(shù)據(jù)分析模塊

數(shù)據(jù)分析模塊主要將采集到的主機信息、IP信息、磁盤信息、進程信息、CPU信息等數(shù)據(jù)結(jié)合相關(guān)公式計算出我們所需要的可以識別判斷的實時和歷史數(shù)據(jù)性能指標值。比如：接口使用量、進程信息、CPU使用率、主機信息等等。使用直觀具體的數(shù)值反映出計算機的使用程度。

4.2.3 數(shù)據(jù)展示模塊

數(shù)據(jù)展示包括以表格方式呈現(xiàn)被監(jiān)測計算機的資源數(shù)據(jù)和以折線圖方式呈現(xiàn)數(shù)據(jù)變化趨勢。其核心功能是：提供系統(tǒng)中所有采集點的實時和歷史數(shù)據(jù)的查詢和瀏覽功能，實時趨勢是對目標監(jiān)測點的當前值進行跟蹤，歷史趨勢是對過去一段時間內(nèi)目標監(jiān)測點變化趨勢進行跟蹤，折線圖展示時，提供實時/歷史數(shù)據(jù)功能界面，即趨勢窗。通過趨勢窗方便操作員對設(shè)備進行監(jiān)視和情況分析，趨勢窗可以對模擬量/開關(guān)量進行趨勢曲線顯示。

4.3 系統(tǒng)測試

（1）系統(tǒng)錄入界面測試

軟件測試是軟件生命周期中一個重要組成部分[12]。該測試用例主要用來測試主機信息錄入選擇模塊，檢驗軟件系統(tǒng)在不同的操作情況下，界面所顯示出的提示信息，如果用戶輸入正確的IP地址和共同體名稱，而軟件系統(tǒng)不能成功連接該IP主機，則說明該系統(tǒng)的登錄模塊存在問題或者主機SNMP的配置存在問題，軟件登錄界面如圖4所示。

圖4 基于SNMP的網(wǎng)絡(luò)設(shè)備監(jiān)控系統(tǒng)登錄界面

（2）設(shè)備監(jiān)控信息測試

該測試用例主要用來測試數(shù)據(jù)圖形繪制模塊，檢驗軟件系統(tǒng)在驗證連接成功的情況下，界面所繪制出的曲線樣式。如果驗證通過該主機IP地址和共同體名稱連接成功，但是軟件系統(tǒng)不能成功繪制出曲線圖，則說明該系統(tǒng)的數(shù)據(jù)圖形繪制模塊存在問題。軟件系統(tǒng)的數(shù)據(jù)圖形繪制界面如圖5所示。

圖5 數(shù)據(jù)圖形繪制界面圖

5 結(jié)束語

基于SNMP的網(wǎng)絡(luò)設(shè)備監(jiān)控系統(tǒng)以Visual C++為開發(fā)工具，實現(xiàn)了對網(wǎng)絡(luò)設(shè)備資源的實時監(jiān)控，并將監(jiān)測到的網(wǎng)絡(luò)設(shè)備失效事件以圖形方式直觀顯示出來，提高了網(wǎng)絡(luò)設(shè)備管理的工作效率，為網(wǎng)絡(luò)設(shè)備管理提供了一種安全高效的方式。下一步的工作重點是如何將測試軟件與其他網(wǎng)絡(luò)安全系統(tǒng)等相關(guān)系統(tǒng)進行有效對接，實現(xiàn)信息共享。

[1]施勝強.淺析計算機網(wǎng)絡(luò)管理[J].計算機光盤軟件與應(yīng)用,2012(16):36-38. SHI shengqiang.Analyses of Computer Network Management[J].Computer CD Software and Applications,2012(16): 36-38.

[2]蘇健.基于GIS的交換機運行狀態(tài)監(jiān)測系統(tǒng)的設(shè)計與實現(xiàn)[D].西安：西安電子科技大學,2011. SU Jian.Design and Implementation for Switch Running State Monitoring System Based on GIS[D].Xi’an:XIDIAN University,2011.

[3]SNMP配置[EB/OL].http://blog.csdn.net/oatnehc/article/details/7549002,2012-05-09/2015-07-15

[4]曲金東.基于被動測試的web性能與故障檢測系統(tǒng)研究與實現(xiàn)[D].廣州：華南理工大學,2012. QU Jindong.The Research and Implementation of Web Performance Measurement and Fault Detection System Based on Passive Testing[D].Guangzhou:South China University of Technology,2012.

[5]趙小錄.SNMPv3在商業(yè)交換機中的研究與應(yīng)用 [D].廣州：廣東工業(yè)大學,2014. ZHAO Xiaolu.Research and Application of SNMPv3 in Business Switches[D].Guangzhou:Guangdong University of Technology,2014.

[6]韓璐.基于CS模式的建筑工程造價控制系統(tǒng)的設(shè)計[J].電子設(shè)計工程,2015,23(13):55-57. HAN lu.CS Pattern Design Application Construction Cost Control System[J].Electronic Design Engineering,2015,23 (13):55-57.

[7]楊曉東,劉玉珍,張煥國.基于SNMP的安全威脅及防范策略分析[J].計算機工程,2004,30(22):122-124. YANG xiaodong,LIU Yuzhen,ZHANG Huanguo.Analysis of the Security Threat and the Precaution Tactics Based on SNMP[J].Computer Engineering,2004,30(22):122-124.

[8]王金京.云計算環(huán)境下的計算機網(wǎng)絡(luò)安全問題探析[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2015(8):37-38. WANG Jindong.Analysis of Computer Network Security Problem in Cloud Computing Environment[J].Network Security Technology&Application,2015(8):37-38

[9]鄧婷.基于二級C/S模式的遠程監(jiān)測系統(tǒng)通信設(shè)計[J].微電子學與計算機,2015(6):126-129. DENG Ting.Communication Design of Remote Monitoring System Based on Secondary C/S Model[J].Microelectronics &Computer,2015(6):126-129.

[10]丁智剛.C/S模式與B/S模式相結(jié)合的數(shù)據(jù)庫系統(tǒng)技術(shù)研究[J].信息安全與技術(shù),2011(11):41-44. DING Zigang.Research on the Database Technology of Combing C/S mode and B/S mode[J].Information Security and Technology,2011(11):41-44.

[11]姜吉婷,韓勇,張小壘,等.基于B/S與C/S協(xié)同服務(wù)的高校資產(chǎn)與實驗室綜合管理平臺的設(shè)計實現(xiàn) [J].計算機應(yīng)用與軟件,2014(3):47-50. JIANG Jiting,HAN Yong,ZHANG Xiaolei,et al.Design and Implementation of University Assets and Labs Integrated Management Platform based on B/S and Collaborative Services[J].Computer Applications and Software,2014 (3):47-50.

[12]劉學超,吳曉婷.淺談軟件測試行業(yè)的發(fā)展與前景[J].無線互聯(lián)科技,2014(8):4-5. LIU Xuechao,WU Xiaoting.Introduction of development and prospect on the software testing industry[J].Wireless technology,2014(8):4-5.

Design and Application of Network Equipment Monitoring System Based on SNMP

Zhang Wei
（School of Computer,XianYang Normal University,Xianyang 712000,China）

With the continuous development of computer network,the network equipment has increased dramatically.In order to improve the management efficiency of network equipment,the managers urgently need a kind of compact software for network equipment management.The working principle of simple network management protocol(SNMP)is introduced firstly,on the basis of study of SNMP development at home and abroad,the problems in the SNMP protocol are analyzed,and the improvement measures of the SNMP protocol are put forward.The monitoring system of network equipment based on SNMP is developed by Visual C++.It realizes the real-time management of network management resources,graphically displaying the network equipment failure information and warning,to improve the work efficiency of network equipment management and provides an effective way for network equipment management.

SNMP；Network equipment;Monitoring system；Security;Design;CPU utilization

10.3969/j.issn.1002-2279.2017.01.010

TP309

A

1002-2279-（2017）01-0036-05

陜西省教育廳科研計劃項目（2013JK1203）；咸陽師范學院科研專項項目（14XSYK039）

張偉（1981-），男，陜西禮泉人，副教授，碩士研究生，主研方向：從事計算機系統(tǒng)結(jié)構(gòu)、嵌入式系統(tǒng)與物聯(lián)網(wǎng)等方面的教學和科研工作。

2016-07-20