优质文章，及时送达

简单网络管理协议（Simple Network Management Protocol，SNMP）是一种用于监控和管理网络设备的标准协议。SNMP 允许网络管理员监控设备性能、查找问题、配置设备以及远程管理网络设备。自 1988 年首次发布以来，SNMP 已经发展到多个版本，分别是 SNMPv1、SNMPv2c 和 SNMPv3。每个版本都在性能、功能和安全性上有着不同的改进。

SNMP 简介

SNMP 是网络管理协议族的一部分，通常运行在应用层，用于传输管理数据到管理站点。SNMP 基于请求 - 响应的模型，网络管理站点（NMS）发出请求，管理代理（Agent）响应并返回所请求的数据。设备代理通常嵌入在交换机、路由器、服务器、打印机和其他网络设备中。

SNMP 的基本架构由以下几个组件组成：

• 管理站点 (NMS)：运行 SNMP 应用程序的系统，负责发送查询、接收响应以及监控设备的状态。
• 管理代理 (Agent)：运行在被管理设备上的软件，负责收集设备信息，并通过 SNMP 协议将数据发送给管理站点。
• 管理信息库 (MIB)：一组对象的数据库，这些对象定义了网络设备的信息结构。通过 OID（对象标识符）能够唯一标识这些对象。

SNMP 使用五种基本的操作来进行通信：

• GET：用于请求设备的指定数据。
• SET：用于更改或设置设备上的参数。
• GETNEXT：请求设备中的下一个对象，用于遍历 MIB。
• TRAP：设备主动作出告警，无需管理站点发出请求。
• INFORM：与 TRAP 类似，但可以确认是否接收到消息。

SNMPv1

SNMPv1 是最早的 SNMP 版本，于 1988 年发布。它是一个相对简单的协议，用于在管理站和设备之间进行通信。SNMPv1 提供了基础的网络监控功能，可以查询设备状态、设置设备参数，并接收设备的告警信息。

• 简化设计：SNMPv1 具有较为简单的设计，适用于中小型网络管理。
• 有限的操作集：支持的操作主要为 GET、SET、GETNEXT、TRAP 等，适合基本的监控和管理任务。
• 使用不安全的社区字符串：SNMPv1 采用 “社区字符串”（Community String）进行设备认证。这是一种简单的文本密码，但并没有加密或其他安全保障。这意味着所有 SNMP 报文都以明文方式传输，容易受到窃听和伪造。

SNMPv1 虽然在简单的网络管理中能够满足基本需求，但其存在诸多局限：

• 安全性不足：报文以明文传输，容易受到攻击者拦截、篡改或伪造。
• 功能限制：只提供基本的网络监控和设备管理功能，缺乏对大规模复杂网络的支持。
• 效率低下：在大规模网络环境下，SNMPv1 的效率较低，尤其是在 MIB 信息繁多时。

SNMPv2c

随着网络规模和复杂性的增加，SNMPv1 的局限性逐渐显现，导致了 SNMPv2 的诞生。SNMPv2 最初是在 1993 年发布，增加了若干新功能。然而，SNMPv2 原版由于复杂的安全模型并未被广泛采用，因此后续衍生了 SNMPv2c（SNMPv2 Community-based），其简化了安全模型并保留了原版的多数新功能。

• 改进的协议操作：在 SNMPv2c 中，增加了两个新的操作 ——GETBULK 和 INFORM。
• GETBULK：用于高效检索大量数据，例如获取大量路由表条目，这大大减少了管理站与代理之间的通信次数。
• INFORM：与 TRAP 不同，INFORM 要求管理站确认接收到消息，提供了更可靠的通知机制。
• 更高效的管理能力：SNMPv2c 提供了更高效的性能和数据检索机制，适用于更大规模的网络。
• 基于社区字符串的认证：SNMPv2c 继续使用 SNMPv1 的社区字符串作为认证机制，因此在安全性方面仍然存在较大的漏洞。尽管它改进了数据传输的效率，但仍然未能解决明文传输的安全隐患。

局限：

• 缺乏强大的安全机制：SNMPv2c 的最大缺陷仍然是安全性问题。由于继续沿用了社区字符串的认证方式，攻击者可以通过嗅探网络轻松地拦截 SNMPv2c 报文，进而发起攻击。
• 与 SNMPv1 的兼容性问题：虽然 SNMPv2c 在设计上旨在保持与 SNMPv1 的兼容性，但实际在某些场景下，SNMPv1 和 SNMPv2c 之间的兼容性依然存在问题。

SNMPv3

为了彻底解决前两个版本中存在的安全问题，SNMPv3 于 1998 年发布。与 SNMPv1 和 SNMPv2c 不同，SNMPv3 的主要目标是增强安全性，提供加密、认证和用户控制。

• 强大的安全性：SNMPv3 引入了用户安全模型（User-Based Security Model，USM），提供了三种安全级别：
• 无认证无加密：与 SNMPv1 和 SNMPv2c 类似，报文以明文传输，无认证和加密。
• 有认证无加密：提供报文的完整性检查和源身份验证，但数据仍然以明文传输。
• 有认证有加密：提供完整的身份验证、数据完整性检查和加密，确保数据传输的安全性。
• 访问控制：SNMPv3 通过访问控制模型（VACM）允许更细粒度的权限控制，管理员可以精确设置不同用户对不同对象的访问权限。
• 消息加密：SNMPv3 允许对报文进行加密，使用的加密算法包括 DES 和 AES 等，确保数据在传输过程中不会被窃听。
• 抗重放攻击：通过引入时间戳和报文计数器，SNMPv3 能有效防止重放攻击。

优势：

• 高度安全性：SNMPv3 是第一个真正解决了 SNMP 安全性问题的版本。通过使用加密和认证机制，SNMPv3 可以防止未经授权的访问和数据窃听。
• 可扩展性：SNMPv3 的架构设计允许随时扩展新的安全功能或其他特性，适应未来的网络管理需求。
• 细粒度的访问控制：SNMPv3 允许管理员设置复杂的访问控制策略，确保不同用户只能访问与其角色相关的设备信息。

SNMPv1、SNMPv2c 和 SNMPv3 的对比

总结

SNMPv1 是最早的版本，发布于 1988 年，定义在 RFC 1155 和 RFC 1157 中。它提供了基本的网络管理功能，包括设备监控、性能统计数据收集、设备配置和管理网络中的故障。SNMPv1 使用社区字符串（Community String Authentication）进行认证，这是一种基于文本的简单认证机制，通常默认值为 “public” 或 “private”，因此安全性较差。此外，SNMPv1 只支持 32 位计数器，对于高速网络可能会遇到计数器溢出的问题。

SNMPv2c 是 SNMPv2 的一个变种，称为社区字符串基础的 SNMPv2。它在 SNMPv1 的基础上引入了一些改进，包括对 64 位计数器的支持、更多的标准错误码信息、更多的数据类型以及新的操作命令，如 GetBulk 和 Inform 操作。GetBulk 命令允许管理器在一条消息中请求多个变量，而 Inform 命令则允许代理向多个管理器发送通知。尽管 SNMPv2c 在功能上有所增强，但它仍然使用社区字符串进行认证，且缺乏加密机制，因此在安全性方面并没有显著提升。

SNMPv3 是最新的版本，发布于 1998 年，定义在 RFC 1905、RFC 1906、RFC 2571、RFC 2572、RFC 2574 和 RFC 2575 中。它引入了重大的安全改进，包括基于用户的安全模块（User Security Model, USM）的认证和加密，以及基于视图的访问控制模型（View-based Access Control Model, VACM）的访问控制。SNMPv3 支持多种认证和加密算法，如 MD5、SHA 和 DES，提供了强大的安全性。此外，SNMPv3 还引入了通知确认（Notification Originated PDU）和新的 VACM 配置，使得网络管理更加安全和可靠。

• SNMPv1：基础版本，功能简单，安全性低。
• SNMPv2c：增加了新功能，但安全性仍然有限。
• SNMPv3：在安全性方面有显著提升，是推荐使用的版本。

---END---

重磅！网络技术干货圈-技术交流群已成立

扫码可添加小编微信，申请进群。

一定要备注：工种+地点+学校/公司+昵称（如网络工程师+南京+苏宁+猪八戒），根据格式备注，可更快被通过且邀请进群

▲长按加群

原文始发于微信公众号（网络技术干货圈）：SNMP三个版本：SNMPv1、SNMPv2c、SNMPv3有啥区别？