中興通訊光傳送網(wǎng)絡(luò )支持安全SNMP

  近年來(lái)，隨著(zhù)5G網(wǎng)絡(luò )的部署，移動(dòng)寬帶化、終端智能化和社交網(wǎng)絡(luò )的流行，用戶(hù)需求呈現出多樣化、多變化和個(gè)性化的特征，提供基礎網(wǎng)絡(luò )的運營(yíng)商不斷面臨挑戰。按照傳統理念，運營(yíng)商一般采用升級現有設備或部署新的設備來(lái)適應新的需求。海量的存量設備高頻度的升級需求，和不斷擴張的運營(yíng)商網(wǎng)絡(luò )設備庫，以及越來(lái)越復雜的新設備和存量設備的協(xié)同，這一切都對網(wǎng)絡(luò )維護有著(zhù)越來(lái)越高的要求。

  中興通訊深刻理解運營(yíng)商面臨的此種挑戰，全面把握用戶(hù)的運維體驗，引領(lǐng)網(wǎng)絡(luò )技術(shù)潮流，為了滿(mǎn)足接入業(yè)務(wù)的帶寬需求飛速增長(cháng)，光傳送網(wǎng)絡(luò )產(chǎn)品應運而生，光傳送網(wǎng)絡(luò )(optical transport network)簡(jiǎn)稱(chēng)OTN。

  OTN產(chǎn)品在實(shí)際使用中以網(wǎng)元(Network Element，簡(jiǎn)稱(chēng)NE)的屬性存在，每個(gè)網(wǎng)元就是由一個(gè)獨立的設備或者多個(gè)設備按照主從子架進(jìn)行級聯(lián)共同組成，業(yè)務(wù)就通過(guò)在不同網(wǎng)元之間進(jìn)行傳遞。每個(gè)網(wǎng)元都存在北向接口，用戶(hù)可以通過(guò)設備的北向接口使用不同服務(wù)與設備進(jìn)行通信與管理。OTN產(chǎn)品推出多種方式的北向管理方式，包含串口CLI、SSH、SFTP、NETCONF、網(wǎng)絡(luò )管理接口(EMS口)、SNMP等常用的接入模塊。

圖1 OTN網(wǎng)絡(luò )中網(wǎng)元組網(wǎng)和北向接口服務(wù)

  一、網(wǎng)絡(luò )管理現狀

  在一個(gè)大型的網(wǎng)絡(luò )里，我們無(wú)法僅依賴(lài)人手工來(lái)完成整個(gè)的網(wǎng)絡(luò )管理的工作。迫切的需要一種自動(dòng)化的工具協(xié)助我們管理好網(wǎng)絡(luò )。需要管理的設備和資源很可能來(lái)自于不同的廠(chǎng)商。如果每個(gè)廠(chǎng)商都提供一套獨立的管理接口，比如，命令行(Command Line Interface)。將會(huì )導致：學(xué)習各種廠(chǎng)商工具的培訓費用開(kāi)銷(xiāo)激增，受限于廠(chǎng)商專(zhuān)有的配置管理工具。

  因此，一套覆蓋服務(wù)，協(xié)議和管理信息庫的標準孕育而生，并且迅速得到了廣泛的應用，這就是SNMP(Simple Network Management Protocol)。

  二、基于SNMP網(wǎng)絡(luò )管理模型

  (1)網(wǎng)絡(luò )管理站 (Network Management Station)：

  通常是一個(gè)獨立的設備，運行著(zhù)網(wǎng)絡(luò )管理的應用程序。提供一個(gè)非常友好的人機交互界面，網(wǎng)絡(luò )管理員能通過(guò)它完成絕大數的網(wǎng)絡(luò )管理工作。提供失效管理，安全管理，計費管理，配置管理，性能管理等功能。

  (2)代理器(Agent)：

  Agent是駐留在被管理設備一端。負責接受、處理來(lái)自網(wǎng)管站的請求報文，并形成響應報文，返回給NMS。請求包括：信息的查詢(xún)和動(dòng)作的執行。在一些緊急情況下，主動(dòng)通知NMS(發(fā)送陷阱TRAP報文)。NMS和Agent之間通過(guò)SNMP協(xié)議來(lái)交互管理信息。

  (3)網(wǎng)絡(luò )管理協(xié)議-SNMP：

  SNMP是一個(gè)基于TCP/IP網(wǎng)絡(luò )的應用層協(xié)議，用于在網(wǎng)絡(luò )管理站和被管理的設備之間交換網(wǎng)絡(luò )管理信息。SNMP協(xié)議分為SNMPv1，SNMPv2c，SNMPv3。

圖2 基于SNMP網(wǎng)絡(luò )管理模型

  三、中興通訊OTN產(chǎn)品支持3個(gè)版本的SNMP協(xié)議

  當前，定義了三個(gè)版本的網(wǎng)絡(luò )管理協(xié)議，SNMP v1，SNMP v2，SNMP v3。SNMP v1，v2有很多共同的特征，SNMP v3 在先前的版本地基礎上增加了安全和遠程配置能力。中興通訊OTN產(chǎn)品支持3個(gè)版本的SNMP協(xié)議，推薦使用SNMP v3。

  SNMP v1是SNMP協(xié)議的最初版本，不過(guò)依然是眾多廠(chǎng)家實(shí)現SNMP基本方式。

  SNMP v2通常被指是基于community的SNMP V2。Community實(shí)質(zhì)上就是密碼。

  SNMP v3是最新版本的SNMP。它對網(wǎng)絡(luò )管理最大的貢獻在于其安全性。增加了對認證和密文傳輸的支持。

  SNMP v3有三個(gè)可能的安全級別: noAuthNoPriv, authNoPriv, 和 authPriv。

  (1)noAuthNoPriv 級別指明了沒(méi)有認證或私密性被執行。

  (2)authNoPriv 級別指明了認證被執行但沒(méi)有私密性被執行。

  (3)authPriv 級別指明了認證和私密性都被執行。

  (4)中興通訊OTN產(chǎn)品auth(認證)支持MD5 和SHA，priv(加密)支持DES和AES。

  四、中興通訊OTN產(chǎn)品SNMP配置功能支持以下安全機制，用以防御相應的攻擊行為

  (1)訪(fǎng)問(wèn)控制

  配置訪(fǎng)問(wèn)控制規則，設置允許通過(guò)合法源ip 使用SNMP協(xié)議訪(fǎng)問(wèn)設備。禁止其它未知源ip的訪(fǎng)問(wèn)。

  (2)防暴力破解

  支持配置SNMP團體串，用戶(hù)口令復雜度校驗機制，開(kāi)啟校驗機制后，要求配置的口令需要滿(mǎn)足復雜度機制要求才允許配置生效。

  配置一段時(shí)間內通過(guò)SNMP連續認證錯誤口令次數上限，達到口令認證錯誤次數上限后對賬號進(jìn)行鎖定，鎖定時(shí)長(cháng)可配。

  (3)信任用戶(hù)

  當設備進(jìn)入鎖定期后，只有信任用戶(hù)才能訪(fǎng)問(wèn)設備，非信任用戶(hù)輸入的團體串/用戶(hù)口令即使是正確的也不能登錄設備。信任用戶(hù)分為動(dòng)態(tài)信任用戶(hù)和靜態(tài)信任用戶(hù)，其區別在于動(dòng)態(tài)信任用戶(hù)有老化時(shí)間，靜態(tài)信任用戶(hù)配置后始終是信任用戶(hù)。

  (4)錯誤日志

  開(kāi)啟設備日志功能后，登錄訪(fǎng)問(wèn)動(dòng)作會(huì )進(jìn)行記錄，存儲在設備日志中，當有錯誤的團體串/用戶(hù)口令登錄時(shí)，會(huì )產(chǎn)生trap告警和日志記錄。

圖3 SNMP的安全控制機制

  中興通訊在光傳送網(wǎng)絡(luò )中，通過(guò)啟用基于安全控制機制的SNMP功能，降低了設備受到網(wǎng)絡(luò )攻擊的風(fēng)險。

  作者：中興通訊 波分產(chǎn)品研發(fā)中心 袁琨