SNMP: протокол управления сетью. Введение в SNMP Мониторинг и управление по snmp протоколу

Введение

Одной из проблем большинства сегодняшних сетей - быстрорастущих, больших по количеству узлов и зачастую широко раскинутых географически - является управление и получение информации о состоянии всей сети или отдельных ее участков.

Целью данной курсовой работы является изучение протокола SNMP, предназначенного для удаленного управления и сбора информации с удаленных систем. К настоящему времени данный протокол достаточно хорошо развит и используется во многих областях сетевых технологий.

SNMP Framework

Simple Network Management Protocol (SNMP) - протокол, предназначенный для сетевого управления удаленных систем. С его помощью можно управлять и получать информацию о состоянии сетевого оборудования или сетевого протокола, реализованного на удаленной системе.

SNMP является не просто протоколом для обмена управляющей информацией между объектами сети. Чаще всего под SNMP понимают Internet-Standard Management Framework или SNMP Framework , т.е. совокупность стандартов описывающих модели и средства использующиеся при сетевом управлении.

SNMP Framework состоит из нескольких частей:

    Язык описания информации

    Описание протокола

При развитии стандарта от версии к версии, обновляется содержание этих модулей, но основные принципы строения SNMP остаются неизменны.

Причиной модульного строения было желание упростить предполагаемый в скором времени переход от протокола SNMP к протоколам ISO. По этому были созданы протоколо-независимые SMI и MIB. В результате, планы по переходу к OSI не осуществились, но модульное строение SNMP Framework все же сыграло свою роль упростив переход от SNMPv1 к SNMPv2, и от SNMPv2 к SNMPv3.

База данных управляемых элементов

Для управления тем или иным сетевым протоколом или устройством с помощью SNMP, выделяются основные объекты этого протокола или устройства, которые могут предоставлять (для чтения или для изменения) какую-либо информацию о протоколе или устройстве. Все эти объекты являются управляемыми элементами этого протокола или оборудования. Управляемые элементы рассматриваются как объекты виртуального хранилища информации, называемого Management Information Base (MIB). В MIB все эти объекты рассматриваются как переменные, содержащие информацию о представляемом ими объекте. Например, для протокола IP, существует переменная ipDefaultTTL, которая содержит значение по умолчанию для поля TTL в заголовке датаграммы протокола IP, или переменная ipInHdrErrors, предоставляющая информацию о том, какое количество ip-пакетов было отсеено по причине ошибок в их заголовке. Наборы этих переменных определяются в MIB-модулях.

Вообще, MIB имеет структуру дерева, каждый узел которого является переменной MIB. Для нужд сетевого управления сети Internet выделена отдельное поддерево, в котором могут быть определены все требуемые элементы. В одном из поддеревьев этого дерева содержатся все управляемые элементы сети Internet. Раньше вся эта ветка определялась одним MIB-модулем.

Позже, после публикации второй версии этого MIB-модуля, был принят другой подход к созданию базы управляемых элементов. До этого существовал единственный комитет, работающий над документом, описывающим Стандартный MIB для Internet. Теперь же принято разделение на группы, каждая из которых специализируется в одной из областей сетевых технологий. Небольшие MIB-модули разработанные каждой группой, составляют единый Internet MIB. Т.о. теперь поддерево сетевого управления Internet описывается не единой спецификацией, входящей в состав SNMP, а набором отдельных документов, выпускаемых отдельно от Стандартов SNMP.

Язык описания информации

Вся База Управляемых Элементов описывается с помощью упрощенного подмножества стандартного языка OSI, Abstract Syntax Notation One (ASN.1). Это подмножество описывается в документе называемом Structure of Management Information, по этому и весь язык описания информации для SNMP называется SMI. По мимо языка определения данных этот документ описывает также и древовидную структуру MIB и все стандартные поддеревья, которые должны присутствовать во всех реализациях MIB.

Протокол

Эта часть Стандартной Модели описывает протокол, посредством которого происходит обмен информацией между управляемым объектом (называемым агентом ) и управляющей системой (называемой менеджером ). PDU (protocol data unit) протокола SNMP содержит операцию, выполняемую протоколом и список переменных и их значений, участвующих в данной транзакции.

Во всех версиях SNMP определены следующие операции: get, get-next, get-response, set-request. Более поздние версии определяют еще несколько операций. Этот модуль также содержит рекомендации о том, какой транспортных протокол может использоваться для доставки сообщений SNMP. Все версии SNMP, используемые на сегодняшний день содержат рекомендации об использовании транспортных протоколов без установки соединения (UDP).

Безопасность и администрирование

Система сетевого управления SNMP предоставляет достаточно большие возможности для непосредственного управления удаленными системами. По средствам SNMP можно получить доступ к достаточно критическим параметрам системы. Таким образом, проблемы безопасности должны учитываться на каждом этапе проектирования SNMP. В то же время безопасность любого открытого протокола всегда является очень спорным вопросом.

В первой версии SNMP проблемы безопасности практически не учитывались. Этот недостаток SNMPv1 предполагался уже на стадии разработки, т.к. на тот момент основной задачей был скорейший выпуск стандартной модели сетевого управления, в которой нуждалось интернет-сообщество, а обсуждение спорных вопросов безопасности еще на долго затянуло бы разработку стандарта.

Именно тогда проблемы безопасности и администрирования были вынесены в отдельный блок общей модели, рассмотрение которого было оставлено на будущие версии SNMP.

Развитие SNMP

В настоящее время существует три версии SNMP Framework. В следующих трех частях будут кратко описаны изменения произошедшие в каждой версии SNMP и ссылки на документы описывающие компоненты каждой версии SNMP.

SNMPv1

Первоначальным Internet-Standard Management Framework стал SNMPv1, история его развития описана в первой части. Стандарт SNMPv1 содержится в следующих документах:

    SNMPv2c - Развитие SNMPv2p, кроме системы безопасности. Содержит дополнение к протоколу и типам данных, определенным ранее. Использует community string-based систему безопасности из первой версии SNMPv1. (RFC-1901 , RFC-1905 , RFC-1906).

    SNMPv2u - Отличается от SNMPv2c только подсистемой безопасности. В этой модификации используется user-based подход. (RFC-1905 , RFC-1906 , RFC-1909 , and RFC-1910)

    SNMPv2* - сочетает в себе лучшие стороны SNMPv2p и SNMPv2u. (Эта спецификация никогда не издавалась как официальный документ RFC)

    Существовали также SNMPv1+, SNMPv1.5, SNMP++

Наибольшую поддержку IETF получил SNMPv2c, не использующий никаких нововведений в области безопасности. Он стал наиболее распространенным и используемым в интернет-сообществе. Описание этой вариации SNMPv2 Framework содержится в следующих документах:

На данный момент большинство из вышеперечисленных документов заменено их более новыми версиями и издано со статусом Стандарта. Документы, представляющие SNMPv2c на сегодняшний день, приведены в таблице в заключительной части данной.

SNMPv3

Итак, проект SNMPv2 не выполнил поставленных перед ним целей. Не было разработано стандартоного средства сетевого управления, удовлетворявшего интернет-сообщество в плане безопасности. Теперь, все эти проблемы должна была решить рабочая группа SNMPv3 (SNMPv3 WG), созданная IETF. Ей предстояло разработать единый стандарт для нового поколения SNMP. Единственной критической неразрешенной проблемой оставалась система безопасности и администрирования, по этому все силы рабочей группы были брошены на разрешение этой проблемы.

В руках SNMPv3 WG имелись предыдущие разработки и результаты работ других проектов, посвященных безопасности в SNMP:

От рабочей группы SNMPv3 требовалось найти точки соприкосновения всех концепций безопасности и администрирования представленных ранее. Также в ее задачи входило:

    соответствие требованиям широкого спектра существующих сетевых окружений, имеющих различные потребности в управлении.

    простота перехода от предыдущих версий SNMP к использованию SNMPv3.

    простота установки и сопровождения

Части нового стандарта, не связанные с проблемами безопасности, такие как SMI, MIB, протокол, были заимствованы из SNMPv2. Таким образом, многие документы из спецификации SNMPv2 Framework получили статус стандарта и перешли в SNMPv3 Framework.

Спецификация SNMPv3 Management Framework была разделена на множество частей, каждая из которых представлена отдельным документом. Таким образом, в любой документ могли быть внесены поправки и обновления не затрагивая при этом другие элементы Модели.

В конечном счете, все документы спецификации SNMPv3 могут быть разделены на те же категории, на которые делились документы всех предыдущих версий SNMP:

    Язык описания информации

    База данных управляемых элементов

    Описание протокола

    Решение проблем безопасности и администрирования

Первые три части взяты из SNMPv2, а последняя часть является результатом основной работы проекта SNMPv3 и других проектов, разработавших концепции безопасности SNMP.

SNMPv3 WG был представлен следующий набор документов, описывающих третью версию стандартную модель сетевого управления:

Рисунок 1. Средний входящий трафик на машине iota.cs.prv

Заключение

Итак, описание любой версии SNMP Framework разделено на четыре части. Их взаимодействие определяется следующим образом.

Доступ к управляемым объектам осуществляется через виртуальное хранилище информации, называемое Management Information Base (MIB). В качестве протокола для доступа к объектам MIB используется Simple Network Management Protocol (SNMP). Объекты в MIB описываются с помощью механизмов определяемых спецификацией Structure of Management Information (SMI), предоставляющей свой язык определения информации. При любом взаимодействии объектов SNMP Framework учитывается система безопасности и администрирования принятая в данной версии SNMP.

Следующая таблица представляет свод всех документов, определяющих все три версии SNMP. Все документы разделены на вышеупомянутые группы. Также почти все версии SNMP предоставляют некоторое количество докуметов информационного характера. В них описаны общие концепции данной версии Стандарта или его совместимость с предыдущими версиями.

Как уже говорилось ранее, ситуация с описанием MIB несколько изменилась после выхода первой версии SNMP. Следующие версии уже не включали в себя единый стандартный MIB, описывающий все, требуемые для управления, объекты сети. Последние две версии Стандарта включают в себя только модуль MIB, содержащий описание переменных для работы с объектами протокола SNMP, а также переменные, описывающие состояние системы, на котором расположен агент SNMP. Остальное содержимое документа RFC-1213 , описывавшего MIB-II первой версии SNMPv1 разделено на несколько частей, каждая из которых содержится в отдельном документе. Теперь совокупность этих модулей образует MIB-II. В свою очередь MIB-II это модуль описывающий сетевые объекты используемые в Internet.

После перехода к модульному описанию MIB, База Данных Управляемых элементов несколько отделилась от общей модели SNMP. Естественно, MIB все еще остается частью SNMP, но теперь весь Internet MIB не описывается спецификацией SNMP, а документы, описывающие отдельные элементы Internet MIB, выходят отдельно.

Основным языком описания модулей MIB на сегодняшний день является SMIv2, который является рекомендованным стандартом IETF. Более того, IETF требует, чтобы все новые MIB модули были описаны с помощью SMIv2. Одновременно с этим все еще используется SMIv1, который также является стандартом, но без статуса рекомендации. Стандарт SMIv1 не был объявлен устаревшим, т.к. существует большое количество документов опирающихся на спецификацию SMIv1 и многие коммерческие организации еще долгое время после выпуска стандарта SMIv2 пользовались SMIv1. По этому объявление SMIv1 устаревшим потребовало бы изменения и пересмотра очень большого количества спецификаций. Тем более, что одновременное использование SMIv1 и SMIv2 не вносит особых проблем в систему сетевого управления, т.к. SMIv2 совместим со SMIv1. SNMPv2 и SNMPv3, работающие со SMIv2 могут корректно обрабатывать модули описанные с помощью SMI. SNMPv1 воспринимает только SMIv1 и не может полноценно работать с модулями описанными с помощью SMIv2, т.к. SMIv2 содержит новые типы данных. Проблемы совместной работы нескольких версий SNMP, в том числе и проблемы SMIv1/SMIv2 рассматриваются в документах RFC-2576 и RFC-3584 .

Таким образом, на сегодняшний день SMIv2 является рекомендованным стандартом IETF, а SMI является стандартом без статуса рекомендации.

На данный момент существует большое количество (около 10000) MIB-модулей, описывающих объекты для управления почти всеми известными сетевыми протоколами и устройствами. Информацию обо всех MIB-модулях можно найти на сайте http://www.mibdepot.com .

1. Введение

Деятельность современных организаций тесно связана с использованием информационных технологий, будь то компьютер на рабочем месте менеджера мелкой фирмы или корпоративная сеть крупной компании - системного интегратора. И чем больше организация и чем важнее ее функции, тем выше требования к компьютерным системам, обеспечивающим выполнение этих функций, и тем дороже цена каждого сбоя в работе. Эффективность деятельности компании становится все более и более зависимой от качества работы ее компьютерного и телекоммуникационного оборудования.

Особенно остро встает вопрос о надежности и максимальной эффективности функционирования вычислительных сетей. Огромные убытки от сетевых неполадок, приводящих к потере данных, резкому падению производительности, блокировке серверов и другим неприятностям, несут банки, финансовые, транспортные и телекоммуникационные компании. Следовательно, особую актуальность приобретает проблема управления сетью.

Управление сетью - это комплекс мер и мероприятий, направленный на повышение эффективности функционирования сети, обнаружение и устранение сбоев в ее работе, правильное ее развитие и модернизацию, и сокращение затрат в конечном итоге. Принято разделять функции управления сетью на две группы:

Управление элементами сети:

  1. управление конфигурацией:
    • регистрация устройств сети, их сетевых адресов и идентификаторов;
    • определение параметров сетевой операционной системы и описание конфигурации элементов сети, а также протоколов сетевых взаимодействий;
    • графическое отображение схемы сети.
  2. управление безопасностью:
    • контроль доступа и управление полномочиями пользователей;
    • контроль и управление параметрами межсетевого взаимодействия;
    • защита от несанкционированного доступа извне;
    • управление целостностью данных (архивированием и энергопитанием).
  3. управление ресурсами:
    • регистрация лицензий и учет использования программных средств и сетевых ресурсов;
    • управление приоритетами пользователей и прикладных задач.

Управление коммуникациями:

  1. обработка сбоев:
    • поиск, обнаружение, локализация и устранение неисправностей и ошибок;
    • предупреждение и профилактика сбоев;
    • наблюдение за кабельной системой;
    • мониторинг удаленных сегментов и межсетевых связей.
  2. управление производительностью:
    • сбор и анализ статистических данных о функционировании сети, анализ трафика;
    • планирование и оценка эффективности использования ресурсов сети;
    • анализ и интерпретация протоколов;
    • планирование развития сети, управление сегментацией.

В настоящее время для управления сетями используются приложения, работающие на базе платформ сетевого управления, таких как системы HP OpenView фирмы Hewlett-Packard, NetView for AIX (IBM), SunNet Manager (Sun), Spectrum (Cabletron Systems), NetWare Management Systems (Novell) и другие разнообразные кросс-платформные средства управления.

В основе этих средств лежит использование протокола SNMP (Simple Network Management Protocol). Протокол SNMP предназначен для сбора и передачи служебной информации (status information) между различными компьютерами.

2. Определение SNMP

SNMP - это протокол из семейства TCP/IP (Протокол SNMP описан в RFC 1157). Первоначально он был разработан Сообществом Интернета (Internet community) для наблюдения и устранения неполадок в маршрутизаторах и мостах (bridges). SNMP позволяет наблюдать и передавать информацию о состоянии:

  • компьютеров, работающих под управлением Windows NT;
  • серверов LAN Manager;
  • маршрутизаторов и шлюзов;
  • мини-компьютеров или мэйнфреймов;
  • терминальных серверов;
  • концентраторов.

SNMP использует распределенную архитектуру, состоящую из систем управления (management systems) и агентов (agents). С помощью сервиса Microsoft SNMP компьютер, работающий под управлением Windows NT, может выдавать отчет о своем состоянии системе управления SNMP в сети, использующей протокол TCP/IP.

2.1. Системы управления и агенты

SNMP позволяет наблюдать за различными компьютерами с помощью систем управления и агентов, как показано на рис. 1 .

Система управления SNMP

Основная функция системы управления - запрос информации от агентов. Система управления (management system) - это любой компьютер, на котором работает программное обеспечение управления SNMP. Система управления может выполнять операции get, get-next и set.

  • Операция get запрашивает какой-либо параметр, например количество доступного пространства на жестком диске.
  • Операция get-next запрашивает следующую величину, используется для просмотра таблицы объектов.
  • Операция set изменяет значение, используется редко, потому что большинство параметров доступны только для чтения и не могут быть изменены.

Агент SNMP

Основная функция агента SNMP заключается в выполнении операций set, инициированных системой управления. Агент - это любой компьютер, на котором работает соответствующее программное обеспечение SNMP, как правило, сервер или маршрутизатор. Сервис Microsoft SNMP - это программное обеспечение агента SNMP.

Единственная операция, которая может быть инициирована агентом, - trap. Эта операция сигнализирует системам управления о необычном событии, например о нарушении пароля.

2.2. Сервис Microsoft SNMP

Сервис Microsoft SNMP обеспечивает сервисы агента SNMP любому компьютеру, на котором работает программа управления SNMP (рис. 2 ). Сервис SNMP:

  • обрабатывает запросы служебной информации от различных компьютеров;
  • сообщает о важных событиях [ловушках (traps)] нескольким компьютерам, как только они происходят;
  • использует имена узлов и их IP-адреса для идентификации компьютеров, которым посылает информацию и с которых получает запросы;
  • может быть установлен и использован на любом компьютере, работающем под управлением Windows NT с протоколом TCP/IP;
  • позволяет применять счетчики для наблюдения за TCP/IP, используя Performance Monitor.

Архитектурная модель SNMP

Сервис Microsoft SNMP написан с использованием интерфейса Windows Sockets. Это позволяет обращаться к нему из сетевых систем управления, созданных средствами этого интерфейса. Сервис SNMP посылает и принимает сообщения по протоколу UDP (порт 161) и использует IP для поддержки маршрутизации SNMP-сообщений. SNMP позволяет применять дополнительные динамически подключаемые библиотеки агентов для поддержки других баз MIB. Сторонние производители могут разрабатывать собственные базы MIB для использования совместно с сервисом Microsoft SNMP. Microsoft SNMP включает модуль Microsoft Win32 (API SNMP администратора для упрощения разработки SNMP-приложений).

Таким образом, SNMP позволяет наблюдать за компьютерами, работающими под управлением Windows NT, и сигнализировать системам управления о происходящих событиях. Сервис Microsoft SNMP обеспечивает сервисы агентов, дополнительные библиотеки DLL и Win32 SNMP API администратора для упрощения разработки SNMP-приложений.

3. MIB

Информация, которую система управления запрашивает от агентов, хранится в специальной информационной базе данных MIB (Management Information Base).

MIB - это набор контролируемых объектов, предоставляющих информацию об устройствах сети, например о количестве активных сеансов или версиях сетевой операционной системы, работающей на компьютере. Главное то, что и агент SNMP, и база данных MIB одинаково интерпретируют контролируемые объекты. Таким образом, система управления с помощью базы данных MIB «знает», какую информацию можно запросить у агента и что характеризует тот или иной объект.

Сервис SNMP поддерживает Internet MIB II, LAN Manager MIB II, DHCP MIB и WINS MIB.

Internet MIB II

Internet MIB II - это расширение предыдущего стандарта Internet MIB I. Оно определяет 171 объект, необходимый для поиска неисправностей и анализа конфигурации (База данных Internet MIB II описана в RFC 1212).

LAN Manager MIB II

LAN Manager MIB II определяет приблизительно 90 объектов, которые включают такие элементы, как статистическая, сеансовая, пользовательская, регистрационная информация, и данные о совместно используемых ресурсах. К большинству объектов LAN Manager MIB II установлен доступ только для чтения, в связи с отсутствием обеспечения безопасности в SNMP.

DHCP MIB

Операционная система Windows NT 4.0 поставляется с DHCP MIB. Эта база определяет объекты наблюдения за активностью DHCP-сервера. Модуль Dhcpmib.dll автоматически устанавливается при установке сервиса DHCP Server. Он наблюдает около 14 параметров DHCP, например число полученных запросов DHCPDISCOVER, количество отказов или адресов, взятых в аренду клиентами.

WINS MIB

Windows NT 4.0 поставляется с WINS MIB. Эта база определяет объекты для наблюдения за активностью WINS-сервера. Модуль Winsmib.dll автоматически устанавливается при установке сервиса WINS Server. Он наблюдает приблизительно 70 параметров WINS, например число запросов, на которые удалось успешно ответить, количество неуспешных запросов или дату и время последнего сеанса тиражирования базы данных.

Дерево имен

Пространство имен MIB-объектов имеет иерархическую структуру. На рис. 3 видно, что оно организовано так, что каждому контролируемому объекту может соответствовать уникальное имя. Полномочия на управление частями пространства имен присваиваются отдельным организациям. Поэтому организации, в свою очередь, вправе назначать имена, не консультируясь с комитетом по Интернету. Например, 1.3.6.1.4.1.77 является пространством имен, присвоенным LAN Manager. Поскольку 1.3.6.1.4.1.77 присвоено LAN Manager, корпорации Microsoft присвоено 1.3.6.1.4.1.311, и все новые базы MIB будут созданы на этой ветви. Microsoft вправе назначать имена объектам где угодно в рамках этого пространства имен.

Идентификатор объекта в иерархии записывается как последовательность меток, начинающихся в корне и заканчивающихся самим объектом. Метки разделены точками. Например, идентификатор объекта для MIB II приведен ниже.

Пространство имен, используемое для идентификаторов объектов, - уникально и отделено от иерархического пространства имен, присвоенного именам UNIX-доменов.

4.1. Определение сообществ SNMP

Перед установкой SNMP вам необходимо определить сообщество (SNMP community) - группу, к которой принадлежат компьютеры с сервисом SNMP. Имя сообщества (community name) идентифицирует сообщество. Оно обеспечивает простейшую безопасность и контекстную проверку для агентов, получающих запросы и инициирующих прерывания (traps), и для систем управления, инициирующих запросы и обрабатывающих прерывания. Агент не примет запрос от системы управления, сконфигурированной за пределами его сообщества.

SNMP-агент может быть членом нескольких сообществ одновременно, что позволит ему связываться с администраторами SNMP различных сообществ. Например, на рис. 4 определены два сообщества - Public и Public2. Только агенты и администраторы - члены одного сообщества - могут связываться друг с другом.

  • Agent1 может получать и посылать сообщения Manager2, потому что оба они являются членами сообщества Public2.
  • Agent2, Agent3 и Agent4 могут получать и посылать сообщения Manager1, потому что все они являются членами сообщества Public, принятого по умолчанию.

4.2. Сбор информации

Приведенные ниже инструкция и рис. 5 показывают, как сервис SNMP реагирует на запросы системы управления.

  1. Система управления SNMP посылает запрос агенту, используя имя узла агента (или его IP-адрес).

Запрос отправляется приложением на UDP-порт 161.

Имя узла преобразуется в IP-адрес любым из доступных методов разрешения, включая файл HOSTS, DNS, WINS, широковещание или файл LMHOSTS.

  1. Формируется SNMP-пакет, содержащий следующую информацию:
    • операцию get, get-next или set для одного или нескольких объектов;
    • имя сообщества и другую проверочную информацию.

Пакет передается по сети агенту на UDP-порт 161.

  1. SNMP-агент получает пакет в свой буфер.

Проверяется имя сообщества. Если оно неправильное или пакет некорректный, он отвергается.

Если имя сообщества правильное, агент проверяет имя узла или IP-адрес отправителя. Агент должен быть уполномочен принимать пакеты от системы управления. В противном случае пакет отвергается.

Запрос передается соответствующей DLL.

Если запрос для

Происходит следующее

объекта Internet MIB II

TCP DLL отыскивает информацию

объекта LAN Manager MIB II

LAN Manager DLL отыскивает информацию

объекта DHCP

DHCP MIB DLL отыскивает информацию

объекта WINS

WINS MIB DLL отыскивает информацию

расширенного агента MIB

DLL для этой MIB отыскивает информацию

Идентификатор объекта отображается в соответствующую функцию API, которая и вызывается далее. Библиотека DLL возвращает информацию агенту.

  1. SNMP-пакет с требуемой информацией отправляется назад администратору SNMP.

4.3. Установка сервиса SNMP

  1. В Control Panel Network (рис. 6 , рис. 7).
  2. Выберите вкладку Services и нажмите Add (рис. 8).
    3. Появится диалоговое окно Select Network Service.
  3. Щелкните SNMP Service и нажмите ОК (рис. 9).
  4. Введите на запрос путь к установочным файлам Windows NT (рис. 10) .
  5. После того как нужные файлы скопируются на компьютер, появится диалоговое окно Microsoft SNMP Properties (рис. 11).
  6. Во вкладке Traps выберите имя сообщества Public (рис. 12) .
  7. Нажмите ОК. Появится диалоговое окно Network.
  8. Нажмите Close. Появится окно Network Settings Change с предупреждением о необходимости перезагрузить компьютер (рис. 13) .
  9. Нажмите Yes.
  10. Войдите в систему под именем Administrator.

4.4. Настройка безопасности

Сервис SNMP обеспечивает элементарную безопасность и контекстную проверку агентов, получающих запросы и инициирующих ловушки, и систем управления, инициирующих запросы и получающих ловушки. Агент не примет запрос от системы управления, не принадлежащей ни к одному из указанных в списке допустимых сообществ. Windows NT посылает системное прерывание аутентификации, принятое по умолчанию.

Конфигурирование безопасности SNMP

  1. В Control Panel дважды щелкните мышью пиктограмму Network (рис. 6 , рис. 7).
  2. Выберите вкладку Services, нажмите SNMP Services и затем Properties. Появится диалоговое окно Microsoft SNMP Properties (рис. 11).
  3. Выберите вкладку Security (рис. 14).
  4. Сконфигурируйте параметры, показанные в таблице.

Параметр

Описание

Send Authentication Trap

Когда SNMP-сервис получает запрос на информацию, не содержащий корректного имени сообщества или не совпадающий с подходящим именем узла для сервиса, сервис SNMP может отправить в ответ системное прерывание, указывающее, что запрос не аутентифицирован. Отметьте этот флажок, чтобы задать системное прерывание аутентификации

Accepted Community Names

Компьютер должен принадлежать сообществу, указанному в этом списке, чтобы сервис SNMP смог принимать запросы от него. Как правило, все компьютеры принадлежат сообществу Public, являющемуся стандартным именем для сообщества всех компьютеров

Accept SNMP Packets from Any Host

Если указана эта опция, пакеты SNMP не отвергаются на основе идентификаторов узлов-отправителей и указанного под опцией списка допустимых узлов

Only Accept SNMP Packets from These Hosts

Если выбрана эта опция, пакеты SNMP принимаются только с указанных в списке компьютеров

4.5. Настройка сервисов SNMP-агента

Сервис SNMP позволяет компьютеру, работающему под управлением Windows NT, информировать систему управления о деятельности на различных уровнях семейства протоколов Интернета.

Конфигурирование сервисов SNMP-агента

  1. В диалоговом окне Microsoft SNMP Properties выберите вкладку Agent (рис. 15).
  2. В поле Contact введите контактное имя. Обычно это имя человека, использующего компьютер.
  3. В поле Location введите описание места, где установлен компьютер.
  4. В поле Service выберите сервисы, которые будут обеспечиваться агентом.

Каждый сервис информирует о транзакции на разном уровне. Сервисы, выбранные по умолчанию: Applications, End-to-End и Internet.

Выберите эту опцию, если

компьютер, работающий под Windows NT, управляет какими-либо физическими устройствами, например повторителями (repeaters)

Datalink/ Subnetwork

компьютер, работающий под Windows NT, управляет мостом

компьютер, работающий под управлением Windows NT, действует как IP-шлюз (маршрутизатор)

компьютер, работающий под управлением Windows NT, действует как IP-узел. Эта опция должна быть указана всегда

компьютер, работающий под управлением Windows NT, использует любое TCP/IP-приложение. Эта опция должна быть указана всегда
  1. Нажмите ОК.
  2. Нажмите Close.

4.6. Обнаружение ошибок

Если сервис SNMP дал сбой по какой-либо причине, это будет отмечено в системном журнале в Event Viewer. Именно туда следует заглянуть в первую очередь при возникновении проблемы, связанной с сервисом SNMP.

Просмотр новых объектов в Performance Monitor

  1. Щелкните кнопку Start, укажите на Programs, затем на - Administrative Tools и выберите Performance Monitor (рис. 19). Появится окно Performance Monitor (рис. 20).
  2. В меню Edit выберите Add to Chart. Появится диалоговое окно Add to Chart (рис. 21).
  3. 3. В поле Object нажмите стрелку, чтобы вывести список объектов.

Наблюдение за датаграммами IP с помощью Performance Monitor

  1. В поле Object выберите из списка ICMP. Появится список счетчиков ICMP.
  2. В поле Counters выберите Message/sec.
  3. В поле Scale установите 1.0 и нажмите Add.
  4. В поле Object выберите IP.
  5. В поле Counters выберите из списка Datagrams Sent/sec.
  6. В поле Scale установите 7.0 и нажмите Add.
  7. Нажмите Done. Ваш выбор появится в области отображения.
  8. В меню Options

    4.8. Применение утилиты SNMPUTIL

    В составе Microsoft Windows NT Resource Kit поставляется утилита Snmputil, которая проверяет корректность установки сервиса SNMP для связи с управляющими станциями SNMP. Snmputil выполняет те же самые вызовы, что и управляющая станция SNMP.

    Вот ее синтаксис:

    Snmputil команда агент сообщество идентификатор_объекта_(OID)

    Возможные команды:

    • get - позволяет получить значение запрашиваемого идентификатора объекта;
    • getnext - позволяет получить значение объекта, следующего за заданным идентификатором;
    • walk - позволяет переходить по ветви MIВ, заданной идентификатором объекта.

    Например, чтобы определить число предоставленных в аренду адресов сервером DHCP с именем DHCPserver в сообществе Public, вам понадобится ввести команду:

    snmputil getnext DHCPserver Public.1.3.6.1.4.1.311.1.3.2.1.1.1

    Эта команда выдаст идентификатор объекта (OID) и значение счетчика для указанного в запросе идентификатора объекта, в приведенном случае - число взятых в аренду IP-адресов.

    Следовательно, просмотрев описания объектов MIB, можно получить доступ к объектам SNMP для просмотра данных, собранных агентом SNMP и программой управления.

    Например, команда

    snmputil getnext <IP-адрес > public.1.3.6.1.4.1.311.1.3.2.1.1.1

    позволяет определить относящиеся к DHCP объекты SNMP (<IP-адрес > необходимо заменить нужным значением, например 192.168.40.91).

    Аналогично, применяя утилиту Snmputil.ехе к объекту WINS 1.3.6.1.4.1.311.1.2.1.17 и объекту WINS 1.3.6.1.4.1.311.1.2.1.18, можно определить, сколько успешно разрешенных запросов было обработано WINS-сервером

    snmputil getnext <IP-адрес > public.1.3.6.1.4.1.311.1.2.1.17

    и сколько неуспешных запросов было выполнено сервером WINS

    snmputil getnext <IP-адрес > public.1.3.6.1.4.1.311.1.2.1.18

    А применение утилиты Snmputil.exe к объекту LAN Manager 1.3.6.1.4.1.77.1.1.1 и объекту LAN Manager 1.3.6.1.4.1.77.1.1.2

    snmputil getnext 131.107.2.host_id public.1.3.6.1.4.1.77.1.1.1 snmputil getnext 131.107.2.host_id public.1.3.6.1.4.1.77.1.1.2

    возвращает номер версии Windows NT Server, работающей на компьютере.

    5. Заключение

    Таким образом, протокол SNMP из семейства TCP/IP позволяет наблюдать и передавать информацию о состоянии компьютеров, работающих под управлением Windows NT, серверов LAN Manager, маршрутизаторов и шлюзов, мини-компьютеров или мэйнфреймов, терминальных серверов, концентраторов. SNMP использует распределенную архитектуру, состоящую из систем управления и агентов .

    Перед установкой SNMP вам необходимо определить сообщество - группу, к которой принадлежит SNMP-компьютер. SNMP обеспечивает минимальный уровень безопасности и контекстную проверку для агентов. Вы можете использовать Event Viewer для обнаружения сбоев сервиса SNMP.

    С помощью сервиса Microsoft SNMP-компьютер, работающий под управлением Windows NT, может выдавать отчет о своем состоянии системе управления SNMP в сети, использующей протокол TCP/IP.

    Сервис SNMP посылает информацию о состоянии одному или нескольким компьютерам по запросу или в случае, когда происходит важное событие, например компьютеру не хватает места на жестком диске.

    Этот протокол поддерживается как Microsoft Systems Management Server, так и продуктами OpenView (Hewlett-Packard), UniCenter TNG (Computer Associates), Tivoli (IBM). Windows NT Server и Windows NT Workstation включают агентов SNMP, что позволяет управлять ими с помощью всех названных продуктов.

    КомпьютерПресс 5"2000

Расшифровать аббревиатуру SNMP можно как Simple Network Management Protocol, то есть «простой протокол сетевого управления». Этот стандарт является одним из самых часто встречающихся при управлении устройствами в сети. В большинстве случаев этот протокол может быть использован в случаях, когда требуется контролировать исполнение на устройствах подключенных к сети заданных администратором требований. Данные, которые входят в обмен в рамках SNMP представляются в виде переменных . Благодаря им появляется возможность описания настройки управляемого объекта. Благодаря управляющим приложениям могут подаваться запросы, а в некоторых случаях и указываться переменные.

Возможности протокола

Основной особенностью данного протокола является удаленная настройка устройств в сети с помощью главного компьютера без использования стороннего ПО. В ходе управления сетевыми процессами можно проводить работу не только с определенными процедурами, но и наблюдать за производительностью в целом, проводить мониторинг ресурсов, а также определять возникающие неполадки в инфраструктуре. Поэтому протокол SNMP пользуется большой популярностью среди системных администраторов.

Основные составляющие SNMP

Самые распространенные составляющие:

  • подчиненный объект – объект, на который отправляются разнообразные команды;
  • MIB database;
  • управляющая программа;
  • подчиненная программа (агент);
  • система, которая обеспечивает взаимодействия в сети.

Информация из объекта будет отправляться на управляющую программу, которая будет интерпретировать ее по заданным алгоритмам. На подчиненном устройстве существует программа агент, предназначенная для организации сбора информации по определенному устройству. Если нужно – программа (ПО) может транслировать эту информацию в формате, адаптированном к особенностям SNMP.

Сама система обеспечения взаимодействия между объектами в сети позволяет администратору работать сразу со многими управляющими программами. Это дает возможность полностью контролировать функционирование инфраструктуры. В сетях могут быть установлены сразу несколько типов такого ПО.

Самым важным элементом считается база управляющих сведений “MIB”. Этот элемент нужен для того, чтобы описать структуру базы данных (БД), что необходимо при обмене информацией в ходе администрирования девайсов. Такая БД дает возможность сохранить данные о компонентах, которые активируются на устройстве для управления им.

Главной составляющей базы являются идентификаторы типа OID, которые позволяют задавать переменные, определяемые и считываемые благодаря SMNP.

Возможности управляющих программ

Такой тип программ дает право на управление группами различных девайсов, расположенных в одном сетевом пространстве. Управляющая программа может работать только в том случае, если ее приложение-агент установлен на всех подчиненных устройствах. Приложение отправляет на сервер администратора нужные данные с помощью SNMP. На главном ПК в это же время функционирует программа-менеджер, которая отвечает за обработку поступающих с приложений-агентов сведений.

Примеры программного обеспечения

Существуют подобные программы, которые адаптированы к использованию на ОС Windows и Solaris. Рассмотрим некоторые из них.

Пакет SNMP от Castle Rock Computing

Это безопасная система сетевого управления, обеспечивающая постоянное наблюдение для всей сети.

Основные характеристики продукта :

  • мониторинг устройств, WAN-соединений, серверов и приложений;
  • поддержка интернет-протокола версии 6 (IPv6);
  • поддержка SNMP v1, v2c и защищенной версии v3;
  • масштабируемая и распределяемая архитектура;
  • поддержка интеграции с сетевыми отчетами SNMPc OnLine;
  • основные/резервные серверы с автоматической отказоустойчивостью;
  • регистрация событий в Syslog;
  • удаленная консоль Windows;
  • автоматическое обнаружение сети;
  • среда для программирования и написания скриптов.

Интерфейс программы:

Программа предназначена для контроля и управления сетевыми устройствами с использованием протокола SNMP.

Характеристики:


Утилита для исследования и мониторинга предназначенная для агентских систем. Она предоставлена в стиле проводника в MIB, который открыт на агенте. Имеет самый простой интерфейс из всех представленных, но также и самая сложная в использовании.

Программа позволяет:


Особенности работы базы данных MIB

Главный процесс во время работы MIB – адресация переменных. Происходит она с учетом строения определенного элемента протокола. MIB имеет структуру в виде дерева, состоящую из совокупности элементов за каждым из которых закреплен уникальный ID.

В рамках базы MIB имя переменной отражает адрес до нее, начиная от корневого каталога. В структуре переменной могут храниться разнообразные данные , такие как продолжительность функционирования девайса. В MIB могут содержаться ветви с которыми может работать множество устройств, а также ветви, которые добавляет компания-разработчик, либо компания в которой проходит внедрение.

Перед введением структуры базы данных в работу нужно присвоить уникальный номер созданному набору переменных. Благодаря этому инженеры или администраторы, работающие с мониторингом, могут создать новую ветвь в структуре, которая позволит разместить переменные только от своего подразделения.

Что такое OID

OID – ID объекта, необязательный атрибут сертификата, предоставляющий дополнительную информацию о владельце, ключах, или несущий дополнительные данные для сервисов, которые используют этот сертификат.

Чаще всего OID используют для управления доступами на основе ролей. К примеру, в сертификате можно указать владельца ключа и информацию о нем. Благодаря этому его можно будет идентифицировать во всех информационных системах, а также он сможет получить доступ к нужным данным, исключая запросы на предоставление разрешений. Это возможно в тех случаях, когда во всех информационных системах используется сертификат пользователя для авторизации и одинаково анализируется один и тот-же атрибут.

Что такое ловушка SNMP

SNMP-ловушка — знак, который подает девайс, поддерживающий протокол SNMP. Ее основное назначение – сообщать администратору о чрезвычайных происшествиях в сети.

Пример : отдельные типы источников бесперебойного питания посылают такие сигналы во время смены устройством типа питания на питание от аккумуляторов, а не от сети. В большинстве случаев это требует скорейших действий и потому сообщение отправляется устройством по протоколу SNMP самостоятельно. Также к таким ловушкам стоит отнести отдельные марки датчиков вскрытия помещений. Эти датчики возможно подключить к сети, если нужно получать сигнал об открытии дверей.

В службах Windows также существует служба с названием “Служба ловушек SNMP”, выполняющая те же функции. На компьютерах, которые не подключены к локальной сети она не используется, но обычно включена. Для ее отключения необходимо зайти в “Пуск – Панель Управления – Администрирование – Службы” и в открывшемся списке найти указанную службу. Кликнуть по ней правой кнопкой мыши (ПКМ), далее “Свойства ”, затем сменить “Тип запуска” на “Отключена”.

Инсталляция и конфигурирование SNMP

Инсталляция службы

Необходимо сделать следующее:

  1. Перейти по пути «Пуск» – «Панель управления »;
  2. Далее «Установка и удаление программ»;
  3. Найти в левой части окна пункт: «Установка компонентов Windows » и выбрать его;
  4. Далее, пункт «Средства управления и наблюдения» , выбрать его и нажать “Состав”;
  5. Выбрать «Протокол SNMP»;
  6. Нажатиями по кнопкам «ОК» и «Далее» закончить инсталляцию.

Затем перейти к службам Windows и проделать следующее:

  • включить “Служба SNMP ”, это нужно для включения агента;
  • запустить “Служба ловушек SNMP ” для получения сообщений.

Конфигурация агента

Для настройки агента в Windows:

  • нажать «Пуск» – «Выполнить» – ввести «services.msc » и нажать кнопку «Enter» на клавиатуре. В результате откроется консоль управления службами;
  • в правой части выбрать «Служба SNMP» кликнуть по нему ПКМ, затем «Свойства»;
  • перейти к пункту «Агент SNMP». Ввести название и расположение сервера, а также выбрать события, о которых нужно сообщать серверу (если нужно);
  • перейти в «Ловушки» и ввести название группы и имена получателей сообщений-ловушек (если нужно);
  • в «Безопасность » выбрать нужный уровень безопасности для серверов;
  • нажать на кнопку «Применить» и далее «ОК»;
  • щелкнуть правой кнопкой мыши по службе и выбрать пункт «Перезапустить » для применения изменений.

Процесс настройки завершен.

Уже немало написано о том, что в названии Simple Network Management Protocol слово Simple можно смело писать в кавычках. Протокол SNMP является достаточно простым с точки зрения создания SNMP-агентов, однако на стороне управляющего ПО (SNMP manager) грамотная обработка сложных по структуре данных обычно является нетривиальной задачей.

Мы попытались упростить процесс настройки сбора данных и событий SNMP и позволить пользователям во время этого процесса:

  • Никогда не заглядывать внутрь MIB-файлов
  • Не знать, что такое OID-ы и никогда не оперировать с ними
  • Не пользоваться отдельной SNMP-утилитой для предварительного просмотра данных во время настройки

Шаг 1: добавляем MIB-файлы

Прежде всего необходимо разобраться с MIB-файлами. Описание логики связей между элементами данных и их синтаксиса было в SNMP реализовано при помощи этих файлов с целью уменьшения нагрузки на сеть и упрощения реализации агентов. Пользователи, однако, далеко не всегда хотят разбираться с их внутреннем устройстве.

Модуль SNMP нашей системы AggreGate Network Manager при старте загружает все MIB-файлы, находящиеся в специальной папке сервера, после чего позволяет добавлять новые при помощи простого диалога:

Во время загрузки файлов происходит их автоматическая компиляция. Встроенный редактор MIB-ов с подсветкой синтаксиса имеется лишь на случай появления MIBов, не соответствующих спецификации. Пользоваться им нужно крайне редко.

Редактор MIB-ов



На этом работа с MIB-файлами заканчивается, дальше их названия используются только для логической группировки уже собранных данных. При необходимости, загруженные файлы можно посмотреть и поискать в таблице MIBов, но при обычной работе это также не требуется.

Таблица MIB-ов


Шаг 2: подключаем SNMP-устройство

В случае построения классической системы мониторинга этот шаг обычно не требуется, так как все устройства добавляются в систему автоматически во время периодического обнаружения устройств (network discovery). Тем не менее, во время добавления обнаруженных сканированием сети устройств выполняются примерно те же шаги:

Шаг 3: изучаем снимок устройства

После завершения этапа подключения устройства системе требуется от нескольких секунд до нескольких минут на завершение опроса устройства в рамках выбранных MIB-ов. Когда пиктограмма устройства становится зеленой, можно открывать и изучать так называемый «снимок устройства»:

В этом снимке сосредоточена практически вся суть нашего подхода к работе с данными SNMP. Прежде всего, он всегда содержит «под рукой» все реальные данные устройства. При этом все данные считываются только один раз, последующий опрос идет только по важным метрикам. Полное перечитывание снимка устройства производится раз в сутки, для снижения нагрузки на сеть его можно вообще отключить. Снимок устройства опционально сохраняется в БД при перезапуске системы мониторинга.

Обычно не требуется прибегать к помощи каких-либо внешних утилит когда требуется найти подходящие данные для мониторинга по их описаниям в MIB-файле или значениям. Все данные уже сгруппированы по MIB-файлам, однако можно сгруппировать их и по иерархии OID-ов:

Чтобы посмотреть подробное описание любой метрики или таблицы, содержащееся в MIB-файле, достаточно навести мышкой на описание или значение метрики. Во всплывающей подсказке также виден тип данных SNMP и полный OID:

Если метрика может принимать одно из нескольких числовых значений, описанных в MIB-файле текстовыми константами, в снимке устройства сразу показывается соответствующая текущему значению константа. Полный список констант и их числовых значений доступен через контекстное меню:

При этом текущее числовое значение всегда можно посмотреть во всплывающей подсказке. Для редактируемых метрик все еще проще, можно выбрать константу и посмотреть ее значение прямо в выпадающем списке:

Но наибольшую пользу наш метод работы с данными SNMP приносит при обработке таблиц. Каждая SNMP-таблица показывается в снимке устройств как отдельная метрика табличного типа:

Редактирование данных в таблицах можно производить прямо по время просмотра, например для отключения сетевого интерфейса достаточно поменять значение поля ifAdminStatus в соответствующей строке.

При наведении на заголовок столбца во всплывающей подсказке видно описание поля, полученное из MIB-файла, а также его тип и OID:

Если имеется несколько связанных друг с другом таблиц, например использующих внешние индексы или расширение (augmentation), система автоматически обрабатывает все внутренние связи и сводит данные связанных таблиц в одно целое. В большинстве случаев пользователи даже не подозревают о существовании таких сложностей. Вот, например, как выглядит таблица hrSWRunPerfTable :

На уровне MIB файла эта таблица представляет из себя два столбца (hrSWRunPerfCPU и hrSWRunPerfMem ), расширяющие таблицу hrSWRunTable . В снимке устройства эти таблицы уже объединены, что облегчает анализ данных, построение отчетности и диаграмм, настройку хранения и т.д.

Поскольку единая модель данных платформы AggreGate ориентирована на работу с таблицами, таблицы данных SNMP являются идеальным кандидатом на обработку встроенными средствами. При помощи них реализуется построение топологии L2/L3, анализ данных MPLS TE и MPLS VPN, мониторинг и создание тестов IP SLA, а также сотни более простых задач.

Шаг 4: настраиваем периоды опроса и сроки хранения

AggreGate Network Manager является одновременно платформой и коробочным продуктом , поэтому в большинстве случаев после автоматического или ручного добавления устройства периоды опроса и сроки хранения метрик уже преднастроены для всех метрик и таблиц, которые система «понимает», т.е. показывает на инструментальных панелях и анализирует на предмет необходимости генерации тревожных сообщений.

Откорректировать настройки опроса (синхронизации) и хранения метрики можно через ее контекстное меню, либо через настройки аккаунта (для всех метрик сразу).

Настройки опроса и хранения


В диалоге настроек хранения показывается только срок хранения «сырых» данных в обычной базе данных (реляционной или NoSQL, в зависимости от настроек сервера). В большинстве случаев данные SNMP хранятся в кольцевой базе данных (Round-Robin Database, RRD), которая встроена в платформу AggreGate. На тему создания каналов статистики , которые перекладывают метрики и части таблиц в кольцевую БД, будет отдельная статья.

Шаг 5: переходим к обработке и визуализации данных

Когда данные собираются и сохраняются в БД сервера, можно приступать к их использованию для дела, то есть для мониторинга и управления ИТ инфраструктурой. Контекстное меню любой метрики в снимке устройства предоставляет доступ к визардам, позволяющим начать настройку тревог, отчетов, графиков, запросов, инструментальных панелей, и других средств анализа и визуализации.

При помощи этих средств настраивается влияние метрик и таблиц на общесистемные операции поиска причин отказов, анализа производительности, планирования и инвентаризации, управления конфигурациями, и других функций системы. Попутно «рисуются» различные интерфейсы:

В результате

Описанный выше процесс может показаться сложным из-за множества упомянутых подробностей, однако на практике от момента подключения абсолютно нового устройства до появления его специфических данных на стандартных инструментальных панелях проходит всего несколько минут. За это время выход из нашей системы требуется лишь на время поиска специфических MIB-файлов на сайте производителя подключаемого оборудования.

При настройке мониторинга не требуется ручное указание названий MIB-ов, ввод OID-ов и других низкоуровневых идентификаторов. Это делает настройку SNMP-мониторинга достаточно быстрой и легкой.

Безусловно, нам еще есть над чем поработать. Требуется улучшение механизмов выбора индивидуальных метрик, чтобы избежать даже единократного опроса целых MIBов. Есть необходимость исключения из опроса индивидуальных строк и столбцов SNMP-таблиц. Нам интересно было бы услышать и о других недостатках процесса настройки SNMP-мониторинга в нашей системе.

А поподробнее?

Эта статья вообще не касается получения, обработки и отправки ловушек SNMP, работы по SNMP v3, и многих других аспектов.

Для более подробного рассказа мы приглашаем всех хабражителей на вебинар Мониторинг и управление по SNMP , который состоится 26 мая 2015 года в 11:00 по московскому времени. На этом вебинаре мы «вживую» продемонстрируем весь вышеописанный процесс, а также многие другие способы мониторинга сетевого, серверного и нестандартного оборудования при помощи SNMP.

Сетевой администратор может настроить SNMPv2 для получения информации о сети от сетевых устройств. Как показано на рисунке, основные шаги настройки SNMP выполняются в режиме глобальной конфигурации.

Шаг 1. (Обязательно) Настройте строку сообщества и уровень доступа («только чтение» или «чтение и запись») с помощью команды snmp-server community string ro | rw .

Шаг 2. (Дополнительно) Документально зафиксируйте местоположение устройства с помощью команды snmp-server location text .

Шаг 3. (Дополнительно) Документально зафиксируйте системный контакт с помощью команды snmp-server contact text .

Шаг 4. (Дополнительно) Ограничьте доступ по SNMP, разрешив его только узлам NMS (диспетчерам SNMP), которые разрешены списком контроля доступа: определите список контроля доступа, затем укажите ссылку на этот список контроля доступа с помощью команды snmp-server community string access-list-number-or-name . Эту команду можно использовать как для определения строки сообщества, так и для ограничения доступа SNMP с помощью списков контроля доступа. При желании шаги 1 и 4 можно объединить в один; сетевое устройство Cisco объединяет две команды в одну, если они вводятся по отдельности.

Шаг 5. (Дополнительно) Укажите получателя операций ловушки SNMP с помощью команды snmp-server host host-id [ version { 1 | 2c | 3 [ auth | noauth | priv ]}] community-string . По умолчанию диспетчеры ловушек не определены.

Шаг 6. (Дополнительно) Включите ловушки на агенте SNMP с помощью команды snmp-server enable traps notification-types . Если в этой команде не определены типы уведомлений-ловушек, отправляются все типы ловушек. Если требуется применить конкретные типы ловушек, необходимо повторное использование этой команды.

Примечание . По умолчанию в SNMP не установлены ловушки. Без этой команды диспетчеры SNMP должны будут проводить опрос для получения всей существенной информации.

Проверка настройки SNMP

Существует несколько программных решений для просмотра выходных данных SNMP. В рамках нашего курса сервер Syslog Kiwi отображает сообщения SNMP, связанные с ловушками SNMP.

ПК 1 и R1 настроены для отображения выходных данных, связанных с ловушками SNMP, в диспетчере SNMP.

Как показано на рисунке 1, компьютеру ПК 1 назначен IP-адрес 192.168.1.3/24. Сервер Syslog Kiwi установлен на ПК 1.

После настройки маршрутизатора R1 при возникновении события, подходящего под определение ловушки, на диспетчер SNMP отправляются ловушки SNMP. Например, если состояние интерфейса меняется на активное, на сервер отправляется ловушка. Изменения настройки на маршрутизаторе также вызывают отправку ловушек SNMP диспетчеру SNMP. Список из более чем 60 типов уведомлений-ловушек можно увидеть с помощью команды snmp-server enable traps?. В настройке R1 в команде snmp-server enable traps notification-types не указаны типы уведомлений-ловушек, поэтому отправляются все ловушки.

На рисунке 2 в меню Setup (Настройка) установлен флажок. Это означает, что администратору сети нужно, чтобы программное обеспечение диспетчера SNMP принимало ловушки SNMP через порт UDP 162.

На рисунке 3 верхняя строка выходных данных ловушки SNMP означает, что состояние интерфейса GigabitEthernet0/0 изменилось на активное. Кроме того, при каждом входе в режим глобальной конфигурации из привилегированного режима диспетчер SNMP принимает ловушку, как показано в выделенной строке.

Для проверки настройки SNMP используйте любые варианты командыshow snmp в привилегированном режиме. Самой полезной является просто команда show snmp , так как она отображает информацию, которая обычно представляет интерес при проверке настройки SNMP. Если речь идёт о настройке SNMPv3, при использовании большинства других параметров команды отображаются только отдельные части выходных данных команды show snmp . На рисунке 4 представлен пример выходных данных show snmp .

В выходных данных команды show snmp не отображаются сведения, касающиеся строки сообщества SNMP или связанного списка контроля доступа, если таковой существует. На рисунке 5 представлена строка сообщества SNMP и данные списка контроля доступа, выведенные с помощью команды show snmp community .

Хотя протокол SNMP полезен для мониторинга и отладки (как показано на рисунке), он может привести к возникновению уязвимостей с точки зрения безопасности. По этой причине перед внедрением SNMP изучите лучшие практические рекомендации по обеспечению безопасности.

В SNMPv1 и SNMPv2c используются строки сообщества SNMP в незашифрованном виде для аутентификации доступа к объектам MIB. Строки сообщества, как и любой другой пароль, следует тщательно выбирать, чтобы их было непросто взломать. Кроме того, строки доступа необходимо регулярно менять в соответствии с политиками безопасности сети. Например, строки изменяются, если сетевой администратор меняет роли или уходит из компании. Если протокол SNMP используется только для наблюдения за устройствами, используйте сообщества только для чтения.

Убедитесь, что сообщения SNMP не распространяются за пределы консолей управления. Для предотвращения попадания сообщений SNMP за пределы необходимых устройств используйте списки контроля доступа. Для предоставления доступа только системам управления на контролируемых устройствах также должен использоваться список контроля доступа.

Рекомендуется использовать протокол SNMPv3, обеспечивающий аутентификацию и шифрование. Существует ряд других команд режима глобальной конфигурации, которые сетевой администратор может применять, чтобы воспользоваться преимуществами поддержки аутентификации и шифрования, предоставляемой протоколом SNMPv3:

  • Команда snmp-server group groupname { v1 | v2c | v3 { auth | noauth | priv }} создаёт новую группу SNMP на устройстве.
  • Команда snmp-server user username groupname v3 [ encrypted ] [ auth { md5 | sha } auth-password ] [ priv { des | 3des | aes { 128 | 192 | 256 }} priv-password ] используется для добавления нового пользователя в группу SNMP, определённую в команде snmp-server group groupname .

Примечание . Настройка SNMPv3 выходит за рамки учебных программ CCNA.