antiCisco blogs


блоги по технологиям и оборудованию cisco от инструкторов

Опубликовано 1 Февраль , 2013

SNMP – протокол прикладного уровня, который обеспечивает связь специальными сообщениями между SNMP менеджерами и агентами.

SNMP менеджер – система, которая контролирует и производит мониторинг сетевых хостов посредством специальных сообщений (SNMP сообщений). Очень часто такую систему называют системой управления сети (Network Management System, NMS).

SNMP агент – программный компонент, который установлен на конечном сетевом устройстве и общается с NMS.

MIB – виртуальная зона информации, которая включает в себя наборы различных аттрибутов (напр. номера интерфейсов, загрузку процессора и т.д.). NMS собирает различные MIBы с сетевых устройств и представляет в удобном для человека формате (например, графическом). Обычно NMS высылает запросы в сторону агента по поводу интересующей его информации (например – какая средняя загрузка интерфейса Fa0/0 у тебя за последние 5 минут?). При получении такого сообщения, агент открывает соответствующий MIB в своей базе данных и передает ответ к NMS. Также агент может высылать определенные сообщения NMS’у и без предварительного запроса (такие сообщения называются трапами, trap). И отправляются они обычно при возникновении какой-то ситуации (например, при падении BGP соседства).

По сути своей, SNMP бывает трех версий: v1,v2c,v3. SNMPv1 описан в RFC1157 и на данный момент не актуален. SNMPv2c описан в RFC1901,1905 и 1906. Поддерживает аутентификацию между агентом и NMS посредством специального кодового слова, которое в рамках протокола называется сообществом (community). SNMPv3 это последняя на сегодняшний день версия протокола управления сетью. Описан в RFC3413-3415. В структуре своей работы поддерживает аутентификацию устройств (с помощью MD5/SHA-хэша) и умеет шифровать передаваемые служебные сообщения с помощью DES.

В SNMPv3 существуют 3 базовые модели поддержания безопасной связности между агентом и NMS:

noAuthNoPriv. В этом случае аутентификация устройств происходит на основе имени пользователя (username), которое передается открытым текстом.

authNoPriv. В этом случае аутентификация устройств происходит на основе имени пользователя (username), которое хэшируется функциями MD5 или SHA.

authPriv. В дополнение к модели authNoPriv предоставляет шифрование всех передаваемых данных посредством CBC-DES (DES-56).

Рассмотрим настройку устройства под управлением Cisco IOS для связности с SNMP-сервером. Настройка происходит в несколько этапов. Сначала определяем базовую информацию:

snmp-server contact <TEXT> определяет строку system contact

snmp-server location <TEXT> определяет строку location

snmpserver chassisid <TEXT> определяет серийный номер устройства

Дальше определяем, какие компоненты MIB могут быть доступны удаленной NMS. Здесь нам поможет команда snmp-server view <VIEW_NAME> <MIB-TREE> [included|excluded]. Здесь <VIEW_NAME> — произвольное имя, <MIBTREE> — один из компонентов MIB базы данных, которое включает в себя все вложенные деревья.

Далее необходимо создать группу пользователей, которой будет предоставлен доступ к тем или иным <VIEW_NAME>, а также определить уровень доступа (только чтение или запись). За это отвечает команда snmpserver group <GROUP>.

Завершающим шагом настройки SNMPv3 является создание пользователя (под которым будет «заходить» на агента NMS и поместить его в ранее созданную группу). Делается это командой snmpserver user <USER> <GROUP>.

Для более детального понимания картины, рассмотрим пример настройки. Пусть нам требуется «зарегистрироваться» на NMS под пользователем AGusev, которому разрешен доступ на изменение system MIB и дан доступ на считывание информации из ISO MIB. Группа, в которую входит пользователь AGusev должен использовать максимальный уровень защиты данных. В качестве контактной информации должен быть указан почтовый ящик a.gusev@flane.ru и администратор должен знать, что маршрутизатор находится в Москве.

snmp-server location Moscow, Russia
snmp-server contact a.gusev@flane.ru
snmp-server view AGusevView iso included
snmp-server view AGusevWr system included
snmp-server group ADMINS v3 priv read AGusevView write AGusevWr
snmp-server user AGusev ADMINS v3 auth md5 Flane

 

 

 

Метки:
Опубликовано: Маршрутизаторы и коммутаторы

 

One Response to “Simple Network Management Protocol”

comment rss - Trackback

  1. PVT:

    Добрый день!

    Судя по конфигурации имелся ввиду IOS-based маршрутизатор или коммутатор. Скажите, пожалуйста, насколько часто на практике используется 3 версия SNMP? Причем с RW доступом!

    Я например, использую для
    CPU + Mem + Temp + IPPackets со всей коробки или по компонетам RP и т.п.
    L2 статистики загрузки интерфейсов In/Out (октеты ошибки пакеты) + ifType + ifDescr + ifMtu + ifSpeed + ifAdminStatus + ifName + ifAlias
    QoS статистика по интерфейсам CAR/CBWFQ
    SAA/RTR Mon статистика с заранее настроенных агентов
    количество BGP префиксов per neighbor + экзотическая статистика загрузки per BGP neighbor на LAN интерфейсах например в сторону IX (ip accounting mac-address)
    и всё это в самой популярной наверное 2c версии с простейшим IP ACL, типа:
    access-list 1 permit 10.20.30.40
    snmp-server community public RO 1

» Оставить комментарий

Вы должны войти чтобы прокомментировать.