C114通信网  |  通信人家园

技术
2021/5/26 11:31

中兴通讯光传送网络支持安全SNMP

C114通信网  中兴通讯 波分产品研发中心 袁琨

近年来,随着5G网络的部署,移动宽带化、终端智能化和社交网络的流行,用户需求呈现出多样化、多变化和个性化的特征,提供基础网络的运营商不断面临挑战。按照传统理念,运营商一般采用升级现有设备或部署新的设备来适应新的需求。海量的存量设备高频度的升级需求,和不断扩张的运营商网络设备库,以及越来越复杂的新设备和存量设备的协同,这一切都对网络维护有着越来越高的要求。

中兴通讯深刻理解运营商面临的此种挑战,全面把握用户的运维体验,引领网络技术潮流,为了满足接入业务的带宽需求飞速增长,光传送网络产品应运而生,光传送网络(optical transport network)简称OTN

OTN产品在实际使用中以网元(Network Element,简称NE)的属性存在,每个网元就是由一个独立的设备或者多个设备按照主从子架进行级联共同组成,业务就通过在不同网元之间进行传递。每个网元都存在北向接口,用户可以通过设备的北向接口使用不同服务与设备进行通信与管理。OTN产品推出多种方式的北向管理方式,包含串口CLI、SSH、SFTP、NETCONF、网络管理接口(EMS口)、SNMP等常用的接入模块。

图1 OTN网络中网元组网和北向接口服务

一、网络管理现状

在一个大型的网络里,我们无法仅依赖人手工来完成整个的网络管理的工作。迫切的需要一种自动化的工具协助我们管理好网络。需要管理的设备和资源很可能来自于不同的厂商。如果每个厂商都提供一套独立的管理接口,比如,命令行(Command Line Interface)。将会导致:学习各种厂商工具的培训费用开销激增,受限于厂商专有的配置管理工具。

因此,一套覆盖服务,协议和管理信息库的标准孕育而生,并且迅速得到了广泛的应用,这就是SNMP(Simple Network Management Protocol)。

二、基于SNMP网络管理模型

(1)网络管理站 (Network Management Station):

通常是一个独立的设备,运行着网络管理的应用程序。提供一个非常友好的人机交互界面,网络管理员能通过它完成绝大数的网络管理工作。提供失效管理,安全管理,计费管理,配置管理,性能管理等功能。

(2)代理器(Agent):

Agent是驻留在被管理设备一端。负责接受、处理来自网管站的请求报文,并形成响应报文,返回给NMS。请求包括:信息的查询和动作的执行。在一些紧急情况下,主动通知NMS(发送陷阱TRAP报文)。NMS和Agent之间通过SNMP协议来交互管理信息。

(3)网络管理协议-SNMP:

SNMP是一个基于TCP/IP网络的应用层协议,用于在网络管理站和被管理的设备之间交换网络管理信息。SNMP协议分为SNMPv1,SNMPv2c,SNMPv3。

图2 基于SNMP网络管理模型

三、中兴通讯OTN产品支持3个版本的SNMP协议

当前,定义了三个版本的网络管理协议,SNMP v1,SNMP v2,SNMP v3。SNMP v1,v2有很多共同的特征,SNMP v3 在先前的版本地基础上增加了安全和远程配置能力。中兴通讯OTN产品支持3个版本的SNMP协议,推荐使用SNMP v3。

SNMP v1是SNMP协议的最初版本,不过依然是众多厂家实现SNMP基本方式。

SNMP v2通常被指是基于community的SNMP V2。Community实质上就是密码。

SNMP v3是最新版本的SNMP。它对网络管理最大的贡献在于其安全性。增加了对认证和密文传输的支持。

SNMP v3有三个可能的安全级别: noAuthNoPriv, authNoPriv, 和 authPriv。

(1)noAuthNoPriv 级别指明了没有认证或私密性被执行。

(2)authNoPriv 级别指明了认证被执行但没有私密性被执行。

(3)authPriv 级别指明了认证和私密性都被执行。

(4)中兴通讯OTN产品auth(认证)支持MD5 和SHA,priv(加密)支持DES和AES。

四、中兴通讯OTN产品SNMP配置功能支持以下安全机制,用以防御相应的攻击行为

(1)访问控制

配置访问控制规则,设置允许通过合法源ip 使用SNMP协议访问设备。禁止其它未知源ip的访问。

(2)防暴力破解

支持配置SNMP团体串,用户口令复杂度校验机制,开启校验机制后,要求配置的口令需要满足复杂度机制要求才允许配置生效。

配置一段时间内通过SNMP连续认证错误口令次数上限,达到口令认证错误次数上限后对账号进行锁定,锁定时长可配。

(3)信任用户

当设备进入锁定期后,只有信任用户才能访问设备,非信任用户输入的团体串/用户口令即使是正确的也不能登录设备。信任用户分为动态信任用户和静态信任用户,其区别在于动态信任用户有老化时间,静态信任用户配置后始终是信任用户。

(4)错误日志

开启设备日志功能后,登录访问动作会进行记录,存储在设备日志中,当有错误的团体串/用户口令登录时,会产生trap告警和日志记录。

图3 SNMP的安全控制机制

中兴通讯在光传送网络中,通过启用基于安全控制机制的SNMP功能,降低了设备受到网络攻击的风险。

给作者点赞
0 VS 0
写得不太好

免责声明:本文仅代表作者个人观点,与C114通信网无关。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。

热门文章
    最新视频
    为您推荐

      C114简介 | 联系我们 | 网站地图 | 手机版

      Copyright©1999-2021 c114 All Rights Reserved | 沪ICP备12002291号

      C114 通信网 版权所有 举报电话:021-54451141