SNMP – протокол прикладного уровня, который обеспечивает связь специальными сообщениями между SNMP менеджерами и агентами.
SNMP менеджер – система, которая контролирует и производит мониторинг сетевых хостов посредством специальных сообщений (SNMP сообщений). Очень часто такую систему называют системой управления сети (Network Management System, NMS).
SNMP агент – программный компонент, который установлен на конечном сетевом устройстве и общается с NMS.
MIB – виртуальная зона информации, которая включает в себя наборы различных аттрибутов (напр. номера интерфейсов, загрузку процессора и т.д.). NMS собирает различные MIBы с сетевых устройств и представляет в удобном для человека формате (например, графическом). Обычно NMS высылает запросы в сторону агента по поводу интересующей его информации (например – какая средняя загрузка интерфейса Fa0/0 у тебя за последние 5 минут?). При получении такого сообщения, агент открывает соответствующий MIB в своей базе данных и передает ответ к NMS. Также агент может высылать определенные сообщения NMS’у и без предварительного запроса (такие сообщения называются трапами, trap). И отправляются они обычно при возникновении какой-то ситуации (например, при падении BGP соседства).
По сути своей, SNMP бывает трех версий: v1,v2c,v3. SNMPv1 описан в RFC1157 и на данный момент не актуален. SNMPv2c описан в RFC1901,1905 и 1906. Поддерживает аутентификацию между агентом и NMS посредством специального кодового слова, которое в рамках протокола называется сообществом (community). SNMPv3 это последняя на сегодняшний день версия протокола управления сетью. Описан в RFC3413-3415. В структуре своей работы поддерживает аутентификацию устройств (с помощью MD5/SHA-хэша) и умеет шифровать передаваемые служебные сообщения с помощью DES.
В SNMPv3 существуют 3 базовые модели поддержания безопасной связности между агентом и NMS:
- noAuthNoPriv. В этом случае аутентификация устройств происходит на основе имени пользователя (username), которое передается открытым текстом.
- authNoPriv. В этом случае аутентификация устройств происходит на основе имени пользователя (username), которое хэшируется функциями MD5 или SHA.
- authPriv. В дополнение к модели authNoPriv предоставляет шифрование всех передаваемых данных посредством CBC-DES (DES-56).
Рассмотрим настройку устройства под управлением Cisco IOS для связности с SNMP-сервером. Настройка происходит в несколько этапов. Сначала определяем базовую информацию:
- snmp-server contact <TEXT> определяет строку system contact
- snmp-server location <TEXT> определяет строку location
- snmp-server chassis-id <TEXT> определяет серийный номер устройства
Дальше определяем, какие компоненты MIB могут быть доступны удаленной NMS. Здесь нам поможет командаsnmp-server view <VIEW_NAME> <MIB-TREE> [included|excluded]. Здесь <VIEW_NAME> — произвольное имя, <MIB-TREE> — один из компонентов MIB базы данных, которое включает в себя все вложенные деревья.
Далее необходимо создать группу пользователей, которой будет предоставлен доступ к тем или иным<VIEW_NAME>, а также определить уровень доступа (только чтение или запись). За это отвечает командаsnmp-server group <GROUP>.
Завершающим шагом настройки SNMPv3 является создание пользователя (под которым будет «заходить» на агента NMS и поместить его в ранее созданную группу). Делается это командой snmp-server user <USER> <GROUP>.
Для более детального понимания картины, рассмотрим пример настройки. Пусть нам требуется «зарегистрироваться» на NMS под пользователем AGusev, которому разрешен доступ на изменение system MIB и дан доступ на считывание информации из ISO MIB. Группа, в которую входит пользователь AGusev должен использовать максимальный уровень защиты данных. В качестве контактной информации должен быть указан почтовый ящик a.gusev@flane.ru и администратор должен знать, что маршрутизатор находится в Москве.
snmp-server location Moscow, Russia
snmp-server contact a.gusev@flane.ru
snmp-server view AGusevView iso included
snmp-server view AGusevWr system included
snmp-server group ADMINS v3 priv read AGusevView write AGusevWr
snmp-server user AGusev ADMINS v3 auth md5 Flane
Источник: anticisco.ru/blogs/2013/02/simple-network-management-protocol/
Комментариев нет:
Отправить комментарий