AdminXP.cz: SNMP - Simple Network Management Protocol (Jednoduchý protokol Management sítě)

SNMP - Simple Network Management Protocol (Jednoduchý protokol Management sítě)

SNMP správa zařízení - Úvod a terminologie

SNMP - Termín SNMP označuje síťový protokol a standard zastupující různé dohodnuté postupy, pravidla a architekturu pro management sítě TCP/IP nebo IPX. Řešení SNMP přináší možnost dálkového monitorování a konfigurace síťových prvků. Oblibu si získal díky své jednoduchosti pro konfiguraci, implementaci do zařízení a nenáročnosti na výkon.
Historie - V roce 1990 je SNMP schválen jako standard (RFC1157) a brzy po schválení se začíná pracovat na verzi SNMPv2. Tato verze neprošla schválením IETF a není stále oficiálním standardem. Ke schválení se připravuje verze SNMPv3 (RFC2570) přinášející nové schopnosti managementu a vylepšení zabezpečení.
Agent - HW nebo SW prostředek monitorující a shromažďující informace o aktivitě a vlastnostech daného síťového zařízení nebo počítače. Informace o aktuálních stavech a dostupných funkcích jsou ukládány do takzvané informační báze (MIB). Informace jsou poskytovány na vyžádání. Pouze v případě neočekávané události je vyslán informační paket "trap" na stanici pro management.
Stanice pro management - Počítač, na kterém je spuštěna aplikace pro získávání informací a konfiguraci agentů SNMP. Na druhu aplikace pro správu SNMP záleží, v jakém stavu budou informace poskytnuty. Většina programů poskytuje zjišťování pomocí identifikátoru objektu OI, některé dávají přednost vynecháním identifikátoru a diagnostický program zobrazuje pomocí ikon a popisu (zde někteří uživatelé ani netuší, že jde o hodnoty získané pomocí SNMP). Výsledné hodnoty agentů jsou prezentovány s kombinací tabulky nebo grafu.

Příklad programů IP Network Browser a MIB Browser zobrazující různým způsobem MIB. Programy

pocházejí z balíku síťových utilit SolarWinds. Trial verzi lze získat na adrese www.solarwinds.net.

Trap - Zvláštní druh informačního paketu vysílaného na stanici pro management v případě neočekávané události (např. nějakého druhu chyby sítě, HW poruchy nebo neoprávněného přístupu). Správce sítě tak bývá okamžitě informován zobrazením zprávy na počítači nebo informací na emailu či mobilním zařízení.

MIB (Management Information Base) - Řídící informační báze spravovaná prostřednictvím protokolu SNMP. Obsahuje definice a vlastnosti objektů uvnitř sledovaných síťových zařízení. Objekty jsou setříděny do stromové struktury, dělící databázi do snadno přehledných částí. Každá část a hodnota obsahuje číselný identifikátor. Popis současné verze MIB-2 je standardizován v RFC1213 a RFC 1155. Kromě dodržování tohoto standardu existují privátní MIB navrhované výrobci. Soubory těchto databází se přidají ke standardní části databáze. Samotná Windows mají několik dalších souborů s definicí rozšířených objektů (např. databáze pro sledování služby FTP, HTTP, DHCP, WINS, a další pro služby nebo informace o samotném systému, více informací v RK).

MIB není databází, pouze definuje databázové vlastnosti pro uložení a práci s daty (někdy se lze setkat s termínem Virtuální datové úložiště).

SMI (Structure of Management Information) - Specifikace (RFC2578) určující způsob orientace ve struktuře MIB a způsob manipulace s objekty v MIB. Popis struktury, objektů a jednotek.

Identifikátor objektu (Object Identifier - OI) - Jedinečný identifikátor pro každý objekt v MIB.

Komunita - Organizační identifikační údaj pro skupinu agentů SNMP. Název komunity obsahuje každá depeše SNMP. Výchozí názvy komunit jsou public pro ReadOnly a private pro ReadWrite přístup, doporučeno je změnit názvy komunit. Definování více komunit může sloužit k lepší administraci a zvýšení zabezpečení. Agenti a stanice pro management mezi sebou komunikují pouze pokud jsou ve stejné komunitě!

Depeše - Zpráva odeslaná agentem SNMP o vzniklé události na sledovaném prostředku.

Zabezpečení pro přístup k zařízení SNMP - Pro zabezpečení je doporučeno změnit názvy komunit, omezit přístup na IP adresy nebo v budoucnu implementace nové verze SNMPv3.

Porty - Komunikace probíhá na portech UDP 161 (Simple Network Management Protocol (SNMP)) a UDP 162 (SNMP system management messages). Výrobci i administrátoři mohou obvykle tyto porty změnit.

Dotazy a Zprávy PDU (Protocol Data Units) pro SNMP

Protokol a správa SNMP je nenáročná na zatížení sítě díky jednoduchosti a návrhu schématu zpráv PDU. Zprávy z agentů nejsou automaticky vysílány na stanice pro správu, ale jsou poskytovány pouze na vyžádání. Výjimku zde tvoří zpráva trap při vzniku neočekávané události. Podle možností programu pro správu budete moci vyhodnotit výsledek dotazu v tabulce nebo grafu.

Zprávy PDU (Protocol Data Units) pro SNMP

U SNMP se lze setkat pěti různými druhy operací protokolu mezi stanicí a agentem:
GetRequest - Zpráva odesílaná stanicí pro management na agenta. Obsahuje požadavek pro získání informace o určeném objektu z MIB (Pro identifikaci dotazu se používá OI).
GetNextRequest - Podobná funkce jako GetRequest. Používáno pro procházení stromem MIB, když si nejsme přesně jisti číselným označením hodnoty nebo k získání více hodnot.
GetResponse - Obsahuje informace získané zprávami GetRequest , GetNextRequest. (současně obsahuje také původní požadavek).
SetRequest - Za předpokladu správného oprávnění umožňuje zpráva změnit některá nastavení zařízení (těchto hodnot je jen velmi malé množství a u některých zařízení hodnoty měnit nelze).
Trap - Zvláštní druh informačního paketu vysílaného na stanici pro management v případě neočekávané události (např. nějakého druhu chyby sítě, HW poruchy nebo neoprávněného přístupu). Správce sítě tak bývá okamžitě informován zobrazením zprávy na počítači nebo informací na emailu či mobilním zařízení.

Nejčastější sledované vlastnosti a možnosti konfigurace síťových prvků

Sledování zatížení a využití síťového prvku nebo celé sítě (Performance management) - Sledování velikosti přenesených dat, rychlosti přenosu, počet odeslaných a přijatých paketů, propustnost sítě. Kromě sledování výkonu tyto vlastnosti umožňují účtování za poskytnuté služby - pro jednotlivé uživatele lze určit využití jejich připojení k síti.
Detailní informace o zařízení - Lze zjistit typ zařízení, výrobce, verzi SW (nebo Firmware), umístění, odpovědného správce, vlastnosti.
Počet CRC Chyb. - Může pomoct při problémech.
Konfigurace parametrů - Kromě možnosti změny identifikace není mnoho parametrů které lze změnit. Možnosti změn většinou poskytují pouze některá spravovatelné aktivní síťové prvky, nejčastěji přepínače (switches) vybavené SNMP. (Vypnutí a zapnutí jednotlivých portů. Omezení propustnosti a monitorování pro jednotlivé porty.)
Využití zpráv Trap - Upozornění odeslané agentem při nepředvídatelné události jako je: 1. Selhání spojení nebo zařízení, 2. Vypnutí nebo restart zařízení., 3. Neoprávněný přístup.

Příklady z MIB-II

Každý objekt (položka) je složena z několika údajů určující podrobněji vlastnosti objektu a umístění ve stromové struktuře. Objektem rozumíme každou sledovanou hodnotu.

Základní údaje o objektu:

1. Object Descriptor - Textový popis objektu
2. Object Identifier - Identifikátor objektu vztažený k popisu objektu.
3. Definition: Textový popis typu objektu.
4. Access: Typ přístupu - One of read-only, read-write, write-only, nebo not-accessible.
5. Status: mandatory (vyžadovaný), optional (volitelný) , obsolete (zastaralý), nebo deprecated (neschválený).

Tabulka s příklady údajů
OID	1.3.6.1.2.1.1.1.0	1.3.6.1.2.1.1.3.0	1.3.6.1.2.1.1.5.0
OID Name	sysDescr	sysUpTime	sysName
Kategorie	system	system	system
Type	DisplayString	TimeTicks	DisplayString
Units		hundredths of a second
Access	read-only	read-only	read-write
Status	unknown	unknown	unknown
příklad hodnoty	Hardware: x86 Family 6 Model 5 Stepping 2 AT/AT COMPATIBLE - Software: Windows 2000 Version 5.0 (Build 2195 Uniprocessor Free)	532100	computer1
Popis	A textual description of the entity. This value should include the full name and version identification of the system's hardware type , software operating-system , and networking software. It is mandatory that this only contain printable ASCII characters.	The time (in hundredths of a second) since the network management portion of the system was last re-initialized.	An administratively-assigned name for this managed node. By convention , this is the node's fully-qualified domain name.

Tabulka s příklady údajů II
OID	1.3.6.1.2.1.11.29.0	1.3.6.1.4.1.311.1.3.1.6.0	1.3.6.1.4.1.77.1.4.1.0
OID Name	snmpOutTraps	parDhcpTotalNoOfAcks	domPrimaryDomain
Kategorie	snmp	dhcp	lanmanager
Type	Counter	Counter	DisplayString
Units	messages
Access	read-only	read-only	read-only
Status	unknown	unknown	unknown
příklad hodnoty	5	45	AdminXP
Popis	The total number of SNMP Trap PDUs which have been generated by the SNMP protocol entity.	This variable indicates the number of acks received	The name of the primary domain to which this machine belongs.

Typy objektů - Syntaxe (RFC1155)

Primitivní typy (INTEGER, OCTET STRING, OBJECT IDENTIFIER, and NULL)
Definované typy (NetworkAddress, IpAddress, Counter, Gauge, TimeTicks, Opaque)

Mnoho lidem se zdá být číselné označení složité a matoucí, není tomu tak. Každé číslo oddělené tečkami představuje určitou kategorii nebo položku.

číslo 1.3.6.1.2.1.1.5.0 představuje iso.org.dod.internet.mgmt.mib-2.system.systemname

Shrnutí

Výhody - Možnost a usnadnění inteligentní konfigurace, minimalizace času při výpadku a usnadnění zjištění problémů.
Nevýhody - Občasná možná bezpečnostní rizika

RFC

1155 - Structure and Identification of Management Information for TCP/IP-based Internets (Standard) (o1065)
1157 - A Simple Network Management Protocol (SNMP) (Standard) (o1098)
1212 - Concise MIB Definitions (Standard)
1213 - Management Information Base for Network Management of TCP/IP-based internets: MIB-II (Standard) (o1158) (u 2011, 2012, 2013)
1215 - A Convention for Defining Traps for use with the SNMP (Informational)
1270 - SNMP Communications Services (Informational)
1592 - Simple Network Management Protocol Distributed Protocol Interface Version 2.0 (Experimental) (o1228)
1901 - Introduction to Community-based SNMPv2 (Experimental)
1905 - Protocol Operations for Version 2 of the Simple Network Management Protocol (SNMPv2) (o1448) (Draft Standard)
1906 - Transport Mappings for Version 2 of the Simple Network Management Protocol (SNMPv2) (o1449) (Draft Standard)
1907 - Management Information Base for Version 2 of the Simple Network Management Protocol (SNMPv2) (o1450) (Draft Standard)
2011 - SNMPv2 Management Information Base for the Internet Protocol using SMIv2 (u1213) (Proposed Standard)
2012 - SNMPv2 Management Information Base for the Transmission Control Protocol using SMIv2 (u1213) (Proposed Standard)
2013 - SNMPv2 Management Information Base for the User Datagram Protocol using SMIv2 (u1213) (Proposed Standard)
2096 - IP Forwarding Table MIB (o1354) (Proposed Standard)
2570 - Introduction to Version 3 of the Internet-standard Network Management Framework (Informational)
2571 - An Architecture for Describing SNMP Management Frameworks (o2271) (Draft Standard)
2572 - Message Processing and Dispatching for the Simple Network Management Protocol (SNMP) (o2272) (Draft Standard)
2573 - SNMP Applications (o2273) (Draft Standard)
2574 - User-based Security Model (USM) for version 3 of the Simple Network Management Protocol (SNMPv3) (o2274) (Draft Standard)
2575 - View-based Access Control Model (VACM) for the Simple Network Management Protocol (SNMP) (o2275) (Draft Standard)
2576 - Coexistence between Version 1, Version 2, and Version 3 of the Internet-standard Network Management Framework (o1908, o2089) (Proposed Standard)
2578 - Structure of Management Information Version 2 (SMIv2) (o1902) (Standard)
2579 -Textual Conventions for SMIv2 (o1903) (Standard)
2580 - Conformance Statements for SMIv2 (o1904) (Standard)
2742 - Definitions of Managed Objects for Extensible SNMP Agents (Draft Standard)
2790 - Host Resources MIB (Draft Standard) (o1514)
3231 - Definitions of Managed Objects for Scheduling Management Operations (o2591) (Proposed Standard)

Průvodce pro začátečníky a administrátory
	Hledej Pokročilé..·