中興通訊光傳送網(wǎng)絡支持安全SNMP

近年來，隨著5G網(wǎng)絡的部署，移動寬帶化、終端智能化和社交網(wǎng)絡的流行，用戶需求呈現(xiàn)出多樣化、多變化和個性化的特征，提供基礎網(wǎng)絡的運營商不斷面臨挑戰(zhàn)。按照傳統(tǒng)理念，運營商一般采用升級現(xiàn)有設備或部署新的設備來適應新的需求。海量的存量設備高頻度的升級需求，和不斷擴張的運營商網(wǎng)絡設備庫，以及越來越復雜的新設備和存量設備的協(xié)同，這一切都對網(wǎng)絡維護有著越來越高的要求。

中興通訊深刻理解運營商面臨的此種挑戰(zhàn)，全面把握用戶的運維體驗，引領網(wǎng)絡技術潮流，為了滿足接入業(yè)務的帶寬需求飛速增長，光傳送網(wǎng)絡產(chǎn)品應運而生，光傳送網(wǎng)絡(optical transport network)簡稱OTN。

OTN產(chǎn)品在實際使用中以網(wǎng)元（Network Element，簡稱NE）的屬性存在，每個網(wǎng)元就是由一個獨立的設備或者多個設備按照主從子架進行級聯(lián)共同組成，業(yè)務就通過在不同網(wǎng)元之間進行傳遞。每個網(wǎng)元都存在北向接口，用戶可以通過設備的北向接口使用不同服務與設備進行通信與管理。OTN產(chǎn)品推出多種方式的北向管理方式，包含串口CLI、SSH、SFTP、NETCONF、網(wǎng)絡管理接口(EMS口)、SNMP等常用的接入模塊。

圖1 OTN網(wǎng)絡中網(wǎng)元組網(wǎng)和北向接口服務

一、網(wǎng)絡管理現(xiàn)狀

在一個大型的網(wǎng)絡里，我們無法僅依賴人手工來完成整個的網(wǎng)絡管理的工作。迫切的需要一種自動化的工具協(xié)助我們管理好網(wǎng)絡。需要管理的設備和資源很可能來自于不同的廠商。如果每個廠商都提供一套獨立的管理接口，比如，命令行（Command Line Interface）。將會導致：學習各種廠商工具的培訓費用開銷激增，受限于廠商專有的配置管理工具。

因此，一套覆蓋服務，協(xié)議和管理信息庫的標準孕育而生，并且迅速得到了廣泛的應用，這就是SNMP(Simple Network Management Protocol)。

二、基于SNMP網(wǎng)絡管理模型

（1）網(wǎng)絡管理站 (Network Management Station）：

通常是一個獨立的設備，運行著網(wǎng)絡管理的應用程序。提供一個非常友好的人機交互界面，網(wǎng)絡管理員能通過它完成絕大數(shù)的網(wǎng)絡管理工作。提供失效管理，安全管理，計費管理，配置管理，性能管理等功能。

（2）代理器（Agent）：

Agent是駐留在被管理設備一端。負責接受、處理來自網(wǎng)管站的請求報文，并形成響應報文，返回給NMS。請求包括：信息的查詢和動作的執(zhí)行。在一些緊急情況下，主動通知NMS（發(fā)送陷阱TRAP報文）。NMS和Agent之間通過SNMP協(xié)議來交互管理信息。

（3）網(wǎng)絡管理協(xié)議-SNMP：

SNMP是一個基于TCP/IP網(wǎng)絡的應用層協(xié)議，用于在網(wǎng)絡管理站和被管理的設備之間交換網(wǎng)絡管理信息。SNMP協(xié)議分為SNMPv1，SNMPv2c，SNMPv3。

圖2 基于SNMP網(wǎng)絡管理模型

三、中興通訊OTN產(chǎn)品支持3個版本的SNMP協(xié)議

當前，定義了三個版本的網(wǎng)絡管理協(xié)議，SNMP v1，SNMP v2，SNMP v3。SNMP v1，v2有很多共同的特征，SNMP v3 在先前的版本地基礎上增加了安全和遠程配置能力。中興通訊OTN產(chǎn)品支持3個版本的SNMP協(xié)議，推薦使用SNMP v3。

SNMP v1是SNMP協(xié)議的最初版本，不過依然是眾多廠家實現(xiàn)SNMP基本方式。

SNMP v2通常被指是基于community的SNMP V2。Community實質(zhì)上就是密碼。

SNMP v3是最新版本的SNMP。它對網(wǎng)絡管理最大的貢獻在于其安全性。增加了對認證和密文傳輸?shù)闹С帧?/p>

SNMP v3有三個可能的安全級別: noAuthNoPriv, authNoPriv, 和 authPriv。

（1）noAuthNoPriv 級別指明了沒有認證或私密性被執(zhí)行。

（2）authNoPriv 級別指明了認證被執(zhí)行但沒有私密性被執(zhí)行。

（3）authPriv 級別指明了認證和私密性都被執(zhí)行。

（4）中興通訊OTN產(chǎn)品auth(認證)支持MD5 和SHA，priv(加密)支持DES和AES。

四、中興通訊OTN產(chǎn)品SNMP配置功能支持以下安全機制，用以防御相應的攻擊行為

（1）訪問控制

配置訪問控制規(guī)則，設置允許通過合法源ip 使用SNMP協(xié)議訪問設備。禁止其它未知源ip的訪問。

（2）防暴力破解

支持配置SNMP團體串，用戶口令復雜度校驗機制，開啟校驗機制后，要求配置的口令需要滿足復雜度機制要求才允許配置生效。

配置一段時間內(nèi)通過SNMP連續(xù)認證錯誤口令次數(shù)上限，達到口令認證錯誤次數(shù)上限后對賬號進行鎖定，鎖定時長可配。

（3）信任用戶

當設備進入鎖定期后，只有信任用戶才能訪問設備，非信任用戶輸入的團體串/用戶口令即使是正確的也不能登錄設備。信任用戶分為動態(tài)信任用戶和靜態(tài)信任用戶，其區(qū)別在于動態(tài)信任用戶有老化時間，靜態(tài)信任用戶配置后始終是信任用戶。

（4）錯誤日志

開啟設備日志功能后，登錄訪問動作會進行記錄，存儲在設備日志中，當有錯誤的團體串/用戶口令登錄時，會產(chǎn)生trap告警和日志記錄。

圖3 SNMP的安全控制機制

中興通訊在光傳送網(wǎng)絡中，通過啟用基于安全控制機制的SNMP功能，降低了設備受到網(wǎng)絡攻擊的風險。