中興通訊光傳送網(wǎng)絡(luò)支持安全SNMP

近年來，隨著5G網(wǎng)絡(luò)的部署，移動寬帶化、終端智能化和社交網(wǎng)絡(luò)的流行，用戶需求呈現(xiàn)出多樣化、多變化和個性化的特征，提供基礎(chǔ)網(wǎng)絡(luò)的運(yùn)營商不斷面臨挑戰(zhàn)。按照傳統(tǒng)理念，運(yùn)營商一般采用升級現(xiàn)有設(shè)備或部署新的設(shè)備來適應(yīng)新的需求。海量的存量設(shè)備高頻度的升級需求，和不斷擴(kuò)張的運(yùn)營商網(wǎng)絡(luò)設(shè)備庫，以及越來越復(fù)雜的新設(shè)備和存量設(shè)備的協(xié)同，這一切都對網(wǎng)絡(luò)維護(hù)有著越來越高的要求。

中興通訊深刻理解運(yùn)營商面臨的此種挑戰(zhàn)，全面把握用戶的運(yùn)維體驗，引領(lǐng)網(wǎng)絡(luò)技術(shù)潮流，為了滿足接入業(yè)務(wù)的帶寬需求飛速增長，光傳送網(wǎng)絡(luò)產(chǎn)品應(yīng)運(yùn)而生，光傳送網(wǎng)絡(luò)(optical transport network)簡稱OTN。

OTN產(chǎn)品在實際使用中以網(wǎng)元（Network Element，簡稱NE）的屬性存在，每個網(wǎng)元就是由一個獨立的設(shè)備或者多個設(shè)備按照主從子架進(jìn)行級聯(lián)共同組成，業(yè)務(wù)就通過在不同網(wǎng)元之間進(jìn)行傳遞。每個網(wǎng)元都存在北向接口，用戶可以通過設(shè)備的北向接口使用不同服務(wù)與設(shè)備進(jìn)行通信與管理。OTN產(chǎn)品推出多種方式的北向管理方式，包含串口CLI、SSH、SFTP、NETCONF、網(wǎng)絡(luò)管理接口(EMS口)、SNMP等常用的接入模塊。

圖1 OTN網(wǎng)絡(luò)中網(wǎng)元組網(wǎng)和北向接口服務(wù)

一、網(wǎng)絡(luò)管理現(xiàn)狀

在一個大型的網(wǎng)絡(luò)里，我們無法僅依賴人手工來完成整個的網(wǎng)絡(luò)管理的工作。迫切的需要一種自動化的工具協(xié)助我們管理好網(wǎng)絡(luò)。需要管理的設(shè)備和資源很可能來自于不同的廠商。如果每個廠商都提供一套獨立的管理接口，比如，命令行（Command Line Interface）。將會導(dǎo)致：學(xué)習(xí)各種廠商工具的培訓(xùn)費用開銷激增，受限于廠商專有的配置管理工具。

因此，一套覆蓋服務(wù)，協(xié)議和管理信息庫的標(biāo)準(zhǔn)孕育而生，并且迅速得到了廣泛的應(yīng)用，這就是SNMP(Simple Network Management Protocol)。

二、基于SNMP網(wǎng)絡(luò)管理模型

（1）網(wǎng)絡(luò)管理站 (Network Management Station）：

通常是一個獨立的設(shè)備，運(yùn)行著網(wǎng)絡(luò)管理的應(yīng)用程序。提供一個非常友好的人機(jī)交互界面，網(wǎng)絡(luò)管理員能通過它完成絕大數(shù)的網(wǎng)絡(luò)管理工作。提供失效管理，安全管理，計費管理，配置管理，性能管理等功能。

（2）代理器（Agent）：

Agent是駐留在被管理設(shè)備一端。負(fù)責(zé)接受、處理來自網(wǎng)管站的請求報文，并形成響應(yīng)報文，返回給NMS。請求包括：信息的查詢和動作的執(zhí)行。在一些緊急情況下，主動通知NMS（發(fā)送陷阱TRAP報文）。NMS和Agent之間通過SNMP協(xié)議來交互管理信息。

（3）網(wǎng)絡(luò)管理協(xié)議-SNMP：

SNMP是一個基于TCP/IP網(wǎng)絡(luò)的應(yīng)用層協(xié)議，用于在網(wǎng)絡(luò)管理站和被管理的設(shè)備之間交換網(wǎng)絡(luò)管理信息。SNMP協(xié)議分為SNMPv1，SNMPv2c，SNMPv3。

圖2 基于SNMP網(wǎng)絡(luò)管理模型

三、中興通訊OTN產(chǎn)品支持3個版本的SNMP協(xié)議

當(dāng)前，定義了三個版本的網(wǎng)絡(luò)管理協(xié)議，SNMP v1，SNMP v2，SNMP v3。SNMP v1，v2有很多共同的特征，SNMP v3 在先前的版本地基礎(chǔ)上增加了安全和遠(yuǎn)程配置能力。中興通訊OTN產(chǎn)品支持3個版本的SNMP協(xié)議，推薦使用SNMP v3。

SNMP v1是SNMP協(xié)議的最初版本，不過依然是眾多廠家實現(xiàn)SNMP基本方式。

SNMP v2通常被指是基于community的SNMP V2。Community實質(zhì)上就是密碼。

SNMP v3是最新版本的SNMP。它對網(wǎng)絡(luò)管理最大的貢獻(xiàn)在于其安全性。增加了對認(rèn)證和密文傳輸?shù)闹С帧?/p>

SNMP v3有三個可能的安全級別: noAuthNoPriv, authNoPriv, 和 authPriv。

（1）noAuthNoPriv 級別指明了沒有認(rèn)證或私密性被執(zhí)行。

（2）authNoPriv 級別指明了認(rèn)證被執(zhí)行但沒有私密性被執(zhí)行。

（3）authPriv 級別指明了認(rèn)證和私密性都被執(zhí)行。

（4）中興通訊OTN產(chǎn)品auth(認(rèn)證)支持MD5 和SHA，priv(加密)支持DES和AES。

四、中興通訊OTN產(chǎn)品SNMP配置功能支持以下安全機(jī)制，用以防御相應(yīng)的攻擊行為

（1）訪問控制

配置訪問控制規(guī)則，設(shè)置允許通過合法源ip 使用SNMP協(xié)議訪問設(shè)備。禁止其它未知源ip的訪問。

（2）防暴力破解

支持配置SNMP團(tuán)體串，用戶口令復(fù)雜度校驗機(jī)制，開啟校驗機(jī)制后，要求配置的口令需要滿足復(fù)雜度機(jī)制要求才允許配置生效。

配置一段時間內(nèi)通過SNMP連續(xù)認(rèn)證錯誤口令次數(shù)上限，達(dá)到口令認(rèn)證錯誤次數(shù)上限后對賬號進(jìn)行鎖定，鎖定時長可配。

（3）信任用戶

當(dāng)設(shè)備進(jìn)入鎖定期后，只有信任用戶才能訪問設(shè)備，非信任用戶輸入的團(tuán)體串/用戶口令即使是正確的也不能登錄設(shè)備。信任用戶分為動態(tài)信任用戶和靜態(tài)信任用戶，其區(qū)別在于動態(tài)信任用戶有老化時間，靜態(tài)信任用戶配置后始終是信任用戶。

（4）錯誤日志

開啟設(shè)備日志功能后，登錄訪問動作會進(jìn)行記錄，存儲在設(shè)備日志中，當(dāng)有錯誤的團(tuán)體串/用戶口令登錄時，會產(chǎn)生trap告警和日志記錄。

圖3 SNMP的安全控制機(jī)制

中興通訊在光傳送網(wǎng)絡(luò)中，通過啟用基于安全控制機(jī)制的SNMP功能，降低了設(shè)備受到網(wǎng)絡(luò)攻擊的風(fēng)險。