中興通訊光傳送網(wǎng)絡(luò)支持安全SNMP

  近年來，隨著5G網(wǎng)絡(luò)的部署，移動(dòng)寬帶化、終端智能化和社交網(wǎng)絡(luò)的流行，用戶需求呈現(xiàn)出多樣化、多變化和個(gè)性化的特征，提供基礎(chǔ)網(wǎng)絡(luò)的運(yùn)營商不斷面臨挑戰(zhàn)。按照傳統(tǒng)理念，運(yùn)營商一般采用升級(jí)現(xiàn)有設(shè)備或部署新的設(shè)備來適應(yīng)新的需求。海量的存量設(shè)備高頻度的升級(jí)需求，和不斷擴(kuò)張的運(yùn)營商網(wǎng)絡(luò)設(shè)備庫，以及越來越復(fù)雜的新設(shè)備和存量設(shè)備的協(xié)同，這一切都對(duì)網(wǎng)絡(luò)維護(hù)有著越來越高的要求。

  中興通訊深刻理解運(yùn)營商面臨的此種挑戰(zhàn)，全面把握用戶的運(yùn)維體驗(yàn)，引領(lǐng)網(wǎng)絡(luò)技術(shù)潮流，為了滿足接入業(yè)務(wù)的帶寬需求飛速增長，光傳送網(wǎng)絡(luò)產(chǎn)品應(yīng)運(yùn)而生，光傳送網(wǎng)絡(luò)(optical transport network)簡(jiǎn)稱OTN。

  OTN產(chǎn)品在實(shí)際使用中以網(wǎng)元(Network Element，簡(jiǎn)稱NE)的屬性存在，每個(gè)網(wǎng)元就是由一個(gè)獨(dú)立的設(shè)備或者多個(gè)設(shè)備按照主從子架進(jìn)行級(jí)聯(lián)共同組成，業(yè)務(wù)就通過在不同網(wǎng)元之間進(jìn)行傳遞。每個(gè)網(wǎng)元都存在北向接口，用戶可以通過設(shè)備的北向接口使用不同服務(wù)與設(shè)備進(jìn)行通信與管理。OTN產(chǎn)品推出多種方式的北向管理方式，包含串口CLI、SSH、SFTP、NETCONF、網(wǎng)絡(luò)管理接口(EMS口)、SNMP等常用的接入模塊。

圖1 OTN網(wǎng)絡(luò)中網(wǎng)元組網(wǎng)和北向接口服務(wù)

  一、網(wǎng)絡(luò)管理現(xiàn)狀

  在一個(gè)大型的網(wǎng)絡(luò)里，我們無法僅依賴人手工來完成整個(gè)的網(wǎng)絡(luò)管理的工作。迫切的需要一種自動(dòng)化的工具協(xié)助我們管理好網(wǎng)絡(luò)。需要管理的設(shè)備和資源很可能來自于不同的廠商。如果每個(gè)廠商都提供一套獨(dú)立的管理接口，比如，命令行(Command Line Interface)。將會(huì)導(dǎo)致：學(xué)習(xí)各種廠商工具的培訓(xùn)費(fèi)用開銷激增，受限于廠商專有的配置管理工具。

  因此，一套覆蓋服務(wù)，協(xié)議和管理信息庫的標(biāo)準(zhǔn)孕育而生，并且迅速得到了廣泛的應(yīng)用，這就是SNMP(Simple Network Management Protocol)。

  二、基于SNMP網(wǎng)絡(luò)管理模型

  (1)網(wǎng)絡(luò)管理站 (Network Management Station)：

  通常是一個(gè)獨(dú)立的設(shè)備，運(yùn)行著網(wǎng)絡(luò)管理的應(yīng)用程序。提供一個(gè)非常友好的人機(jī)交互界面，網(wǎng)絡(luò)管理員能通過它完成絕大數(shù)的網(wǎng)絡(luò)管理工作。提供失效管理，安全管理，計(jì)費(fèi)管理，配置管理，性能管理等功能。

  (2)代理器(Agent)：

  Agent是駐留在被管理設(shè)備一端。負(fù)責(zé)接受、處理來自網(wǎng)管站的請(qǐng)求報(bào)文，并形成響應(yīng)報(bào)文，返回給NMS。請(qǐng)求包括：信息的查詢和動(dòng)作的執(zhí)行。在一些緊急情況下，主動(dòng)通知NMS(發(fā)送陷阱TRAP報(bào)文)。NMS和Agent之間通過SNMP協(xié)議來交互管理信息。

  (3)網(wǎng)絡(luò)管理協(xié)議-SNMP：

  SNMP是一個(gè)基于TCP/IP網(wǎng)絡(luò)的應(yīng)用層協(xié)議，用于在網(wǎng)絡(luò)管理站和被管理的設(shè)備之間交換網(wǎng)絡(luò)管理信息。SNMP協(xié)議分為SNMPv1，SNMPv2c，SNMPv3。

圖2 基于SNMP網(wǎng)絡(luò)管理模型

  三、中興通訊OTN產(chǎn)品支持3個(gè)版本的SNMP協(xié)議

  當(dāng)前，定義了三個(gè)版本的網(wǎng)絡(luò)管理協(xié)議，SNMP v1，SNMP v2，SNMP v3。SNMP v1，v2有很多共同的特征，SNMP v3 在先前的版本地基礎(chǔ)上增加了安全和遠(yuǎn)程配置能力。中興通訊OTN產(chǎn)品支持3個(gè)版本的SNMP協(xié)議，推薦使用SNMP v3。

  SNMP v1是SNMP協(xié)議的最初版本，不過依然是眾多廠家實(shí)現(xiàn)SNMP基本方式。

  SNMP v2通常被指是基于community的SNMP V2。Community實(shí)質(zhì)上就是密碼。

  SNMP v3是最新版本的SNMP。它對(duì)網(wǎng)絡(luò)管理最大的貢獻(xiàn)在于其安全性。增加了對(duì)認(rèn)證和密文傳輸?shù)闹С帧?

  SNMP v3有三個(gè)可能的安全級(jí)別: noAuthNoPriv, authNoPriv, 和 authPriv。

  (1)noAuthNoPriv 級(jí)別指明了沒有認(rèn)證或私密性被執(zhí)行。

  (2)authNoPriv 級(jí)別指明了認(rèn)證被執(zhí)行但沒有私密性被執(zhí)行。

  (3)authPriv 級(jí)別指明了認(rèn)證和私密性都被執(zhí)行。

  (4)中興通訊OTN產(chǎn)品auth(認(rèn)證)支持MD5 和SHA，priv(加密)支持DES和AES。

  四、中興通訊OTN產(chǎn)品SNMP配置功能支持以下安全機(jī)制，用以防御相應(yīng)的攻擊行為

  (1)訪問控制

  配置訪問控制規(guī)則，設(shè)置允許通過合法源ip 使用SNMP協(xié)議訪問設(shè)備。禁止其它未知源ip的訪問。

  (2)防暴力破解

  支持配置SNMP團(tuán)體串，用戶口令復(fù)雜度校驗(yàn)機(jī)制，開啟校驗(yàn)機(jī)制后，要求配置的口令需要滿足復(fù)雜度機(jī)制要求才允許配置生效。

  配置一段時(shí)間內(nèi)通過SNMP連續(xù)認(rèn)證錯(cuò)誤口令次數(shù)上限，達(dá)到口令認(rèn)證錯(cuò)誤次數(shù)上限后對(duì)賬號(hào)進(jìn)行鎖定，鎖定時(shí)長可配。

  (3)信任用戶

  當(dāng)設(shè)備進(jìn)入鎖定期后，只有信任用戶才能訪問設(shè)備，非信任用戶輸入的團(tuán)體串/用戶口令即使是正確的也不能登錄設(shè)備。信任用戶分為動(dòng)態(tài)信任用戶和靜態(tài)信任用戶，其區(qū)別在于動(dòng)態(tài)信任用戶有老化時(shí)間，靜態(tài)信任用戶配置后始終是信任用戶。

  (4)錯(cuò)誤日志

  開啟設(shè)備日志功能后，登錄訪問動(dòng)作會(huì)進(jìn)行記錄，存儲(chǔ)在設(shè)備日志中，當(dāng)有錯(cuò)誤的團(tuán)體串/用戶口令登錄時(shí)，會(huì)產(chǎn)生trap告警和日志記錄。

圖3 SNMP的安全控制機(jī)制

  中興通訊在光傳送網(wǎng)絡(luò)中，通過啟用基于安全控制機(jī)制的SNMP功能，降低了設(shè)備受到網(wǎng)絡(luò)攻擊的風(fēng)險(xiǎn)。

  作者：中興通訊 波分產(chǎn)品研發(fā)中心 袁琨