近年來,隨著5G網(wǎng)絡的部署,移動寬帶化、終端智能化和社交網(wǎng)絡的流行,用戶需求呈現(xiàn)出多樣化、多變化和個性化的特征,提供基礎網(wǎng)絡的運營商不斷面臨挑戰(zhàn)。按照傳統(tǒng)理念,運營商一般采用升級現(xiàn)有設備或部署新的設備來適應新的需求。海量的存量設備高頻度的升級需求,和不斷擴張的運營商網(wǎng)絡設備庫,以及越來越復雜的新設備和存量設備的協(xié)同,這一切都對網(wǎng)絡維護有著越來越高的要求。
中興通訊深刻理解運營商面臨的此種挑戰(zhàn),全面把握用戶的運維體驗,引領網(wǎng)絡技術潮流,為了滿足接入業(yè)務的帶寬需求飛速增長,光傳送網(wǎng)絡產(chǎn)品應運而生,光傳送網(wǎng)絡(optical transport network)簡稱OTN。
OTN產(chǎn)品在實際使用中以網(wǎng)元(Network Element,簡稱NE)的屬性存在,每個網(wǎng)元就是由一個獨立的設備或者多個設備按照主從子架進行級聯(lián)共同組成,業(yè)務就通過在不同網(wǎng)元之間進行傳遞。每個網(wǎng)元都存在北向接口,用戶可以通過設備的北向接口使用不同服務與設備進行通信與管理。OTN產(chǎn)品推出多種方式的北向管理方式,包含串口CLI、SSH、SFTP、NETCONF、網(wǎng)絡管理接口(EMS口)、SNMP等常用的接入模塊。
圖1 OTN網(wǎng)絡中網(wǎng)元組網(wǎng)和北向接口服務
一、網(wǎng)絡管理現(xiàn)狀
在一個大型的網(wǎng)絡里,我們無法僅依賴人手工來完成整個的網(wǎng)絡管理的工作。迫切的需要一種自動化的工具協(xié)助我們管理好網(wǎng)絡。需要管理的設備和資源很可能來自于不同的廠商。如果每個廠商都提供一套獨立的管理接口,比如,命令行(Command Line Interface)。將會導致:學習各種廠商工具的培訓費用開銷激增,受限于廠商專有的配置管理工具。
因此,一套覆蓋服務,協(xié)議和管理信息庫的標準孕育而生,并且迅速得到了廣泛的應用,這就是SNMP(Simple Network Management Protocol)。
二、基于SNMP網(wǎng)絡管理模型
(1)網(wǎng)絡管理站 (Network Management Station):
通常是一個獨立的設備,運行著網(wǎng)絡管理的應用程序。提供一個非常友好的人機交互界面,網(wǎng)絡管理員能通過它完成絕大數(shù)的網(wǎng)絡管理工作。提供失效管理,安全管理,計費管理,配置管理,性能管理等功能。
(2)代理器(Agent):
Agent是駐留在被管理設備一端。負責接受、處理來自網(wǎng)管站的請求報文,并形成響應報文,返回給NMS。請求包括:信息的查詢和動作的執(zhí)行。在一些緊急情況下,主動通知NMS(發(fā)送陷阱TRAP報文)。NMS和Agent之間通過SNMP協(xié)議來交互管理信息。
(3)網(wǎng)絡管理協(xié)議-SNMP:
SNMP是一個基于TCP/IP網(wǎng)絡的應用層協(xié)議,用于在網(wǎng)絡管理站和被管理的設備之間交換網(wǎng)絡管理信息。SNMP協(xié)議分為SNMPv1,SNMPv2c,SNMPv3。
圖2 基于SNMP網(wǎng)絡管理模型
三、中興通訊OTN產(chǎn)品支持3個版本的SNMP協(xié)議
當前,定義了三個版本的網(wǎng)絡管理協(xié)議,SNMP v1,SNMP v2,SNMP v3。SNMP v1,v2有很多共同的特征,SNMP v3 在先前的版本地基礎上增加了安全和遠程配置能力。中興通訊OTN產(chǎn)品支持3個版本的SNMP協(xié)議,推薦使用SNMP v3。
SNMP v1是SNMP協(xié)議的最初版本,不過依然是眾多廠家實現(xiàn)SNMP基本方式。
SNMP v2通常被指是基于community的SNMP V2。Community實質上就是密碼。
SNMP v3是最新版本的SNMP。它對網(wǎng)絡管理最大的貢獻在于其安全性。增加了對認證和密文傳輸?shù)闹С帧?
SNMP v3有三個可能的安全級別: noAuthNoPriv, authNoPriv, 和 authPriv。
(1)noAuthNoPriv 級別指明了沒有認證或私密性被執(zhí)行。
(2)authNoPriv 級別指明了認證被執(zhí)行但沒有私密性被執(zhí)行。
(3)authPriv 級別指明了認證和私密性都被執(zhí)行。
(4)中興通訊OTN產(chǎn)品auth(認證)支持MD5 和SHA,priv(加密)支持DES和AES。
四、中興通訊OTN產(chǎn)品SNMP配置功能支持以下安全機制,用以防御相應的攻擊行為
(1)訪問控制
配置訪問控制規(guī)則,設置允許通過合法源ip 使用SNMP協(xié)議訪問設備。禁止其它未知源ip的訪問。
(2)防暴力破解
支持配置SNMP團體串,用戶口令復雜度校驗機制,開啟校驗機制后,要求配置的口令需要滿足復雜度機制要求才允許配置生效。
配置一段時間內(nèi)通過SNMP連續(xù)認證錯誤口令次數(shù)上限,達到口令認證錯誤次數(shù)上限后對賬號進行鎖定,鎖定時長可配。
(3)信任用戶
當設備進入鎖定期后,只有信任用戶才能訪問設備,非信任用戶輸入的團體串/用戶口令即使是正確的也不能登錄設備。信任用戶分為動態(tài)信任用戶和靜態(tài)信任用戶,其區(qū)別在于動態(tài)信任用戶有老化時間,靜態(tài)信任用戶配置后始終是信任用戶。
(4)錯誤日志
開啟設備日志功能后,登錄訪問動作會進行記錄,存儲在設備日志中,當有錯誤的團體串/用戶口令登錄時,會產(chǎn)生trap告警和日志記錄。
圖3 SNMP的安全控制機制
中興通訊在光傳送網(wǎng)絡中,通過啟用基于安全控制機制的SNMP功能,降低了設備受到網(wǎng)絡攻擊的風險。
作者:中興通訊 波分產(chǎn)品研發(fā)中心 袁琨