SNMP (Simple Network Management Protocol) представляет собой коммуникационный протокол, который позволяет отслеживать управляемые сетевые устройства, включая маршрутизаторы, коммутаторы, серверы, принтеры и другие устройства, которые включены через IP и единую систему управления / программное обеспечение.
Если сетевое устройство поддерживает протокол SNMP, вы можете включить и настроить его для начала сбора информации и мониторинга количества сетевых устройств, как вы хотите, из одной точки.
Возможности SNMP
- Мониторинг входящего и исходящего трафика, проходящего через устройство;
- Раннее обнаружение сбоев в сетевых устройствах вместе с предупреждениями / уведомлениями;
- Анализ данных, собранных с устройств в течение длительных периодов времени для выявления узких мест и проблем с производительностью;
- Возможность удаленного конфигурирования совместимых устройств;
- Доступ и управление устройствами удаленно, которые подключаются через SNMP.
Компоненты SNMP
В модели управления протокола SNMP всегда присутствуют три компонента:
Менеджер (NMS)
Менеджер (NMS) — это просто часть программного обеспечения, которое установлено на компьютере (которое при объединении называется Network Management System), которое проверяет устройства в вашей сети, как часто вы указываете информацию
SNMP Agent
SNMP Agent — это часть программного обеспечения, которое поставляется вместе с сетевым устройством (маршрутизатором, коммутатором, сервером, Wi-Fi), которое при включении и настройке выполняет всю тяжелую работу для менеджера путем компиляции и хранения всех данных из своего данное устройство в базу данных (MIB).
MIB
Базы данных MIB представляют собой набор вопросов, которые SNMP-менеджер может задать агенту. Агент собирает эти данные локально и сохраняет их, как определено в MIB. Таким образом, диспетчер SNMP должен знать эти стандартные и частные вопросы для каждого типа агента.
MIB содержат набор значений, как статистических, так и контрольных, которые определяются сетевым устройством. Во многих случаях расширения стандартных значений определяются с помощью Private MIB разными поставщиками сетевых устройств.
Какие номера портов используют SNMP?
SNMP работает на прикладном уровне TCP/IP (седьмой уровень модели OSI). Агент SNMP получает запросы по UDP-порту 161.
Менеджер может посылать запросы с любого доступного порта источника на порт агента. Ответ агента будет отправлен назад на порт источника на менеджере. Менеджер получает уведомления (Traps и InformRequests) по порту 162.
Агент может генерировать уведомления с любого доступного порта. При использовании TLS или DTLS запросы получаются по порту 10161, а ловушки отправляются на порт 10162.
Ловушки
Ловушки используются, когда устройству необходимо предупредить программное обеспечение сетевого управления о событии без опроса. Ловушки гарантируют, что NMS получает информацию, если определенное событие происходит на устройстве, которое должно быть записано без предварительного опроса NMS.
Управляемые сетевые устройства будут иметь MIB Trap с заранее определенными условиями, встроенными в них. Крайне важно, чтобы система управления сетью объединяла эти MIB, чтобы получать любые ловушки, отправленные данным устройством.
Версии SNMP
Версия 1
Версия 1 была первой версией протокола, определенного в RFC 1155 и 1157. Эта версия является самой простой из 3-х версий протокола и является самой небезопасной из-за ее простой текстовой аутентификации.
Версия 2
Версия 2 протокола была введена в 1993 году с большими улучшениями по сравнению с первой версией, включая транспортные сопоставления, элементы структуры MIB и, что самое важное, улучшенные обновления для проверки подлинности и безопасности.
Версия 3
Версия 3 протокола, дебютировавшая в 1998 году, сделала большие шаги для обеспечения безопасности набора протоколов, реализовав так называемую «пользовательскую безопасность».
Эта функция безопасности позволяет вам устанавливать аутентификацию на основе требований пользователя. 3 уровня аутентификации:
- NoAuthNoPriv: пользователи, которые используют этот режим / уровень, не имеют аутентификации и не имеют конфиденциальности при отправке / получении сообщений;
- AuthNoPriv: этот уровень требует от пользователя аутентификации, но не будет шифрования отправленных / полученных сообщений;
- AuthPriv: Наконец, самый безопасный уровень, в котором требуется аутентификация, и отправленные / полученные сообщения зашифрованы.
3 версия протокола является наиболее безопасной из группы, но с добавленной безопасностью и шифрованием добавлена конфигурация и сложность настройки и конфигурации.
Как настроить SNMP?
Вход в режим конфигурации:
en
conf tНастройка SNMP v2 в Cisco
В начале настройки нужно создать группу. В нашем случае будет community. Этой группе установим права только на чтение SNMP-traps. Дословный перевод SNMP-traps звучит как SNMP-ловушки. Для включения SNMP нужно исполнить команду:
snmp-server community public ROАналогичным образом можно создать частную группу (с правами на чтение и запись). Назовем ее private:
snmp-server community private RWПосле этой настройки ваш коммутатор начнет отправлять служебную информацию. Настройка закончена. Единственный минус всего этого только в том, что получать эту информацию будут все кто захочет.
Если Вам нужно явно указать версию SNMP, то делается это так:
Если Вам нужно явно указать версию SNMP, то делается это так:
snmp-server community v3 public ROСохранение конфигурации в NVRAM:
write memoryНастройка SNMP v3 в Cisco
Если коммутаторы Cisco поддерживают SNMP версии 3, то можно использовать авторизацию по логину/паролю. Для этого команды включения SNMP в Cisco будут выглядеть так:
snmp-server group community v3 auth
snmp-server admin community v3 auth sha SuperPasswordгде admin – это логин, community – это группа, SuperPassword – это пароль.
Включение трапов в CISCO IOS
SNMP – trap (трапы) – сообщения, которые отправит девайс, находящийся под мониторингом. Они нужны для того, чтобы информировать систему сбора трапов о наступлении различных событий.
Для передачи трапов в NMS, их необходимо включить. Сделать это не трудно – дайте в консоль девайса следующую команду (она включит все возможные виды трапов):
snmp-server enable trapsЕсли вам нужно конкретизировать, например, отправлять уведомления об окружении (температура, напряжение), или получать уведомление только о BGP, конкретизируйте это (полный список трапов можно найти на сайте вендора):
snmp-server enable traps envmon temperature
snmp-server enable traps bgpНастройка NMS хоста
Укажем IP – адрес NMS – сервера, на который необходимо отправлять наши трапы:
snmp-server host 192.168.0.2 publicВместо 192.168.0.2 нужно указать адрес вашей NMS (это может быть Nagios, MRTG, Zabbix, Cacti и многие другие). Так же, можно указать конкретные события, которые нужно отправлять на этот NMS:
snmp-server host 192.168.0.2 public snmp bgp