中興通訊光傳送網絡支持安全SNMP

  近年來，隨著5G網絡的部署，移動寬帶化、終端智能化和社交網絡的流行，用戶需求呈現出多樣化、多變化和個性化的特征，提供基礎網絡的運營商不斷面臨挑戰(zhàn)。按照傳統(tǒng)理念，運營商一般采用升級現有設備或部署新的設備來適應新的需求。海量的存量設備高頻度的升級需求，和不斷擴張的運營商網絡設備庫，以及越來越復雜的新設備和存量設備的協(xié)同，這一切都對網絡維護有著越來越高的要求。

  中興通訊深刻理解運營商面臨的此種挑戰(zhàn)，全面把握用戶的運維體驗，引領網絡技術潮流，為了滿足接入業(yè)務的帶寬需求飛速增長，光傳送網絡產品應運而生，光傳送網絡(optical transport network)簡稱OTN。

  OTN產品在實際使用中以網元(Network Element，簡稱NE)的屬性存在，每個網元就是由一個獨立的設備或者多個設備按照主從子架進行級聯(lián)共同組成，業(yè)務就通過在不同網元之間進行傳遞。每個網元都存在北向接口，用戶可以通過設備的北向接口使用不同服務與設備進行通信與管理。OTN產品推出多種方式的北向管理方式，包含串口CLI、SSH、SFTP、NETCONF、網絡管理接口(EMS口)、SNMP等常用的接入模塊。

圖1 OTN網絡中網元組網和北向接口服務

  一、網絡管理現狀

  在一個大型的網絡里，我們無法僅依賴人手工來完成整個的網絡管理的工作。迫切的需要一種自動化的工具協(xié)助我們管理好網絡。需要管理的設備和資源很可能來自于不同的廠商。如果每個廠商都提供一套獨立的管理接口，比如，命令行(Command Line Interface)。將會導致：學習各種廠商工具的培訓費用開銷激增，受限于廠商專有的配置管理工具。

  因此，一套覆蓋服務，協(xié)議和管理信息庫的標準孕育而生，并且迅速得到了廣泛的應用，這就是SNMP(Simple Network Management Protocol)。

  二、基于SNMP網絡管理模型

  (1)網絡管理站 (Network Management Station)：

  通常是一個獨立的設備，運行著網絡管理的應用程序。提供一個非常友好的人機交互界面，網絡管理員能通過它完成絕大數的網絡管理工作。提供失效管理，安全管理，計費管理，配置管理，性能管理等功能。

  (2)代理器(Agent)：

  Agent是駐留在被管理設備一端。負責接受、處理來自網管站的請求報文，并形成響應報文，返回給NMS。請求包括：信息的查詢和動作的執(zhí)行。在一些緊急情況下，主動通知NMS(發(fā)送陷阱TRAP報文)。NMS和Agent之間通過SNMP協(xié)議來交互管理信息。

  (3)網絡管理協(xié)議-SNMP：

  SNMP是一個基于TCP/IP網絡的應用層協(xié)議，用于在網絡管理站和被管理的設備之間交換網絡管理信息。SNMP協(xié)議分為SNMPv1，SNMPv2c，SNMPv3。

圖2 基于SNMP網絡管理模型

  三、中興通訊OTN產品支持3個版本的SNMP協(xié)議

  當前，定義了三個版本的網絡管理協(xié)議，SNMP v1，SNMP v2，SNMP v3。SNMP v1，v2有很多共同的特征，SNMP v3 在先前的版本地基礎上增加了安全和遠程配置能力。中興通訊OTN產品支持3個版本的SNMP協(xié)議，推薦使用SNMP v3。

  SNMP v1是SNMP協(xié)議的最初版本，不過依然是眾多廠家實現SNMP基本方式。

  SNMP v2通常被指是基于community的SNMP V2。Community實質上就是密碼。

  SNMP v3是最新版本的SNMP。它對網絡管理最大的貢獻在于其安全性。增加了對認證和密文傳輸的支持。

  SNMP v3有三個可能的安全級別: noAuthNoPriv, authNoPriv, 和 authPriv。

  (1)noAuthNoPriv 級別指明了沒有認證或私密性被執(zhí)行。

  (2)authNoPriv 級別指明了認證被執(zhí)行但沒有私密性被執(zhí)行。

  (3)authPriv 級別指明了認證和私密性都被執(zhí)行。

  (4)中興通訊OTN產品auth(認證)支持MD5 和SHA，priv(加密)支持DES和AES。

  四、中興通訊OTN產品SNMP配置功能支持以下安全機制，用以防御相應的攻擊行為

  (1)訪問控制

  配置訪問控制規(guī)則，設置允許通過合法源ip 使用SNMP協(xié)議訪問設備。禁止其它未知源ip的訪問。

  (2)防暴力破解

  支持配置SNMP團體串，用戶口令復雜度校驗機制，開啟校驗機制后，要求配置的口令需要滿足復雜度機制要求才允許配置生效。

  配置一段時間內通過SNMP連續(xù)認證錯誤口令次數上限，達到口令認證錯誤次數上限后對賬號進行鎖定，鎖定時長可配。

  (3)信任用戶

  當設備進入鎖定期后，只有信任用戶才能訪問設備，非信任用戶輸入的團體串/用戶口令即使是正確的也不能登錄設備。信任用戶分為動態(tài)信任用戶和靜態(tài)信任用戶，其區(qū)別在于動態(tài)信任用戶有老化時間，靜態(tài)信任用戶配置后始終是信任用戶。

  (4)錯誤日志

  開啟設備日志功能后，登錄訪問動作會進行記錄，存儲在設備日志中，當有錯誤的團體串/用戶口令登錄時，會產生trap告警和日志記錄。

圖3 SNMP的安全控制機制

  中興通訊在光傳送網絡中，通過啟用基于安全控制機制的SNMP功能，降低了設備受到網絡攻擊的風險。

  作者：中興通訊 波分產品研發(fā)中心 袁琨