文件传输协议 (File Transfer Protocol,FTP) 简称为“文传协 议”,用于在Internet上控制文件的双向传输。 FTP 客户上传文 件时,通过服务器20号端口建立的连接是建立在TCP 之上的数 据连接,通过服务器21号端口建立的连接是建立在TCP 之上的控制连接。
FTP 协议有两种工作方式:主动式 (PORT) 和被动式 (PASV)。
主动与被动是相对于服务器是否首先发起数据连接而言的。
主动式 (PORT) 的连接过程:
1)当需要传输数据时,客户端从一个任意的非系统端口N(N≥1024) 连接到FTP 服务器的21号端口(控制连接端口)。
2)客户端开始监听端口N+1 并发送FTP 命令 “Port N+1”到FTP 服务器。
3)服务器会从20号数据端口向客户端指定的N+1 号端口发送连接请求并建立一条数据链路来传送数据。
在被动方式FTP 中,命令连接和数据连接都由客户端发起,这样就可以解决从服务器到客户端的数据端口的入方向连接被客户端所在网络防火墙过滤掉的问题。
被动式 (PASV) 的连接过程:
1)当需要传输数据时,客户端从一个任意的非系统端口N(N≥1024) 连接到FTP 服务器的21号端口(控制连接端口)。
2)客户端发送PASV 命令,且服务器响应。
3)服务器开启一个任意的非系统端口Y(Y≥1024)。
4)客户端从端口 N+1 连接到FTP 服务器的Y号端口。
OSI定义的网络管理功能有以下5大类。
(1)性能管理 (Performance Management)。
(2)配置管理 (Configuration Management)。
(3)故障管理 (Fault Management)。
(4)安全管理 (Security Management)。
(5)计费管理 (Accounting Management)。
网络管理系统由以下4个要素组成:
(1)管理站 (Network Manager)。
(2)代理 (Agent)。
(3)管理信息库 (Management Information Base,MIB)。
(4)网络管理协议。
简单网络管理协议 (SNMP) 是在应用层上进行网络设备间通信的管理协议,可以进行网络状态监视、网络参数设定、网络流量统计与分析、发现网络故障等。 SNMP 基于UDP 协议,是一组标准,由SNMP 协议、管理信息库 (MIB) 和管理信息结构 (SMI) 组成。
SNMP 规定了5个重要的协议数据单元PDU, 也 称 为SNMP 报文。 SNMP 报文可以分为从管理站到代理的SNMP 报文和从代理到管理站的SNMP 报文。
| 从管理站到代理的SNMP报文 | 从代理到管理站的 SNMP报文 | |
| 从一个数据项取数据 | 把值存储到一个数据项 | |
| Get-Request (从代理进程处提取一 个或多个数据项) | Set-Request (设置代理进程的一个 或多个数据项) | Get-Response (这个操作是代理进程 作为对Get-Request、 Get-Next-Request、 Set-Request的响应) |
| Get-Next-Request (从代理进程处提取一 个或多个数据项的下一 个数据项) | Trap (代理进程主动发出的 报文,通知管理进程有 某些事件发生) | |
SNMP 协议实体发送请求和应答报文的默认端口号是161,SNMP 代理发送陷阱报文 (Trap) 的默认端口号是162。目前SNMP 有SNMPv1、SNMPv2、SNMPv3 三个版本。
| 版本 | 特点 |
| SNMPv1 | 易于实现、使用团体名认证(属于同一团体的管理站和被 管理站才能互相作用) |
| SNMPv2 | 可以实现分布和集中两种方式的管理;增加管理站之间的 信息交换;改进管理信息机构(可以一次性取大量数据); 增加多协议支持;引入了信息模块的概念(模块有MIB模 块、MIB的依从性声明模块、代理能力说明模块) |
| SNMPv3 | 模块化设计,提供安全的支持,基于用户的安全模型 |
在SNMPv3 中共有两类安全威胁是一定要提供防护的:主要安全威胁和次要安全威胁。
1)主要安全威胁。
主要安全威胁有两种:修改信息和假冒。修改信息是指擅自修改SNMP 报文,篡改管理操作,伪造管理对象;假冒就是冒充用户标识。
2)次要安全威胁。
次要安全威胁有两种:修改报文流和消息泄露。修改报文流可能出现乱序、延长、重放的威胁;消息泄露则可能造成SNMP之间的信息被窃听。
另外有两种服务不被保护或者无法保护:拒绝服务和通信分析。
SNMP 采用轮询监控方式,管理者按一定时间间隔向代理获取 管理信息,并根据管理信息判断是否有异常事件发生。当管理对象发生紧急情况时,可以使用名为Trap信息的报文主动报告。
假定在SNMP 网络管理中,轮询周期为N, 单个设备轮询时间为T, 网络没有拥塞,则
支持的设备数X=轮询周期N / 单个设备轮询时间T;
例如,某局域网采用SNMP 进行网络管理,所有被管设备在每15分钟内轮询一次,网络没有明显拥塞,单个轮询时间为0.4s, 则该管理站最多可支持X=N/T=(15×60)÷0.4=2250 个设备。
管理信息库 (Management Information Base)MIB 指定主机和路由器等被管设备需要保存的数据项和可以对这些数据项进行的操作。换句话说,就是只有在MIB 中的对象才能被SNMP 管理。目前使用的是MIB-2。
| 类别(标号) | 描述 |
| system(1) | 主机、路由器操作系统 |
| interface(2) | 网络接口信息 |
| Address translation(3) | 地址转换(已经废弃多年) |
| ip(4) | IP信息 |
| icmp(5) | ICMP信息 |
| tcp(6) | TCP信息 |
| udp(7) | UDP信息 |
| egp(8) | EGP信息 |
| cmot(9) | CMOT信息(废弃多年) |
SMI定义了命名管理对象和定义对象类型(包括范围和长度)的通用规则,以及把对象和对象的值进行编码的规则。 SMI的功能:命名被管理对象、存储被管对象的数据类型、编码管理数据。所有被管对象必须在对象命名树上,如图6-10所示为对象命名树的一部分。图中节点IP下名为ipInReceives的MIB 变量名字全称为iso.org.dod. internet.mgmt.mib.ip. iplnReceives, 对应数值为1.3.6.1.2.1.4.3。
TCP/IP终端仿真协议 (TCP/IP Terminal Emulation Protocol,Telnet) 是一种基于TCP 的虚拟终端通讯协议,端口号为23。
代理服务器 (Proxy Server) 处于客户端和需要访问网络之间,客户向网络发送信息和接收信息均通过代理服务器转发而实现。
安全外壳协议 (Secure Shell,SSH) 是目前较可靠、专为远程登录会话和其他网络服务提供安全性的协议。
VolP(Voice overInternet Protocol) 就是将模拟声音信号数字化,通过数据报在IP数据网络上做实时传递。