SNMP ( Simple Network Management Protocol )
, 簡易網路管理協定
其前身為SGMP ( Simple Gateway Management
Protocol ) , 簡易閘道器管理協定
用途只在管理Internet路由器 , 但SNMP卻可用來管理Unix 系統、Windows系統
網路管理的另一個面向是網路監控 , 也就是監控整個網路 , 而非各別的路由器、主機等;於是遠端網路監控 ( Remote Network Monitoring , 簡稱RMON)被開發來協助我們了解本身的運作狀況 , 以及網路上各別裝置對整個網路所造成的影響
SNMP的安全性建立在社群(communities)之上 , 基本有3個社群 : read-only 、 read-write及及trap , 也就是說社群名稱就是密碼
, 再指定社群權限 , 任何設備都能取得資料
像Cisco Switch會下一條指令
snmp-server community
public ro
啟動SNMP服務 , 社群名稱為public , 權限read-only
當我用網管軟體去找這台Switch , 用public 這個字串 , 就能取得SNMPv1的資料
SNMP的世界有兩個角色
1.
管理者 : 就是安裝網管系統的主機,負責輪詢各代理者,或接收代理者資料
2.
代理者 : 小型軟體,在被管理的裝置上跑,是一支獨立的程式,像Cisco IOS裡的SNMP服務
代理者會記錄每個介面狀況 , 當管理者詢問時回答 , 當代理者發現不好的事情也會回報管理者
管理資訊結構 (SMI) : 定義物件的追蹤清單 , 以OID樹表示路徑圖 , 最底層則可指到MIB
管理資訊庫 (MIB) : 定義物件被SNMP查詢的屬性值
MIB-II為MIB的加強版 , 主要增加了提供TCP/IP管理資訊 , 很實用 , 因此大多數設備都依MIB-II的規範製作MIB值給SNMP查詢
一個好的網管軟體 , 只是搜集設備的MIB很多而已 , 可以不用客製化之下相容很多設備
大部份新式的網管軟體,為了負責管理不同類型的裝置,會維 護一份簡潔的表單,以收納用來定義MIB。網管廠商會將MIB編譯成網管軟體可直接使用的格式,一旦載入MIB完成,管理人員便可以使用人類閱讀的方式來管理設備上的MIB屬性
RMON可以提供網管軟體在LAN和WAN封包層次的統計資料 , 可再深入提供網路層與應用層的統計資料 , 有RMONv1 和 RMONv2之分
SNMP以UDP作為管理者個代理者之間傳送資料的傳輸協定; UDP採取了非連結的傳輸方式,它們之間共未建立端對端的連結 , 因此封包是否遺失便成為SNMP應用程式的責任,通常session time out為依據決定是否重送
SNMP管理者會使用編號161的UDP埠來傳送與接收請求訊息 , 以為使用編號162的UDP埠來接收來自裝置的trap訊息
SNMP將管理者與代理者之間的信任關係建立在社群(Community)的概念上,一個代理者可以 設置三種社群名稱 : read-only 、 read-write 以及trap
社群名稱(或字串)基本上就是密碼
大多收廠商在設備出廠時,都會預設社群字串,基本上public是給read-only社群用的 ,
private是給read-write社群用的
因為SNMP為明碼 , public又是預設值 , 容易被猜中增加入侵風險 , 因此建議防火牆設定只有網管軟體此IP來源才能使用UDP 161和162的流量
若SNMP要跑在Internet上是極危險 , 建立用VPN加密或改用SNMP v3指定加密資訊
MIB物件通常包含三種屬性 :
名稱 : OID命名 , 例如 iso(1).org(3).dod(6).internet(1) , 1.3.6.1就是命名路徑
型別語法 : 表達方式 , 例如是整數? 布林?
編碼 : 是否需要BER編碼解碼
實際上MIB檔案的寫法還會包含以下資訊
<物件名稱> OBJECT-TYPE
SYNTAX <資料型別>
ACCESS <read-only 或 read-write 或 not-accessible>
STATUS <mandatory 或 optional 或 obsolete>
DESCRIPTION 描述
::={OID唯一值}
MIB物件會被組織成樹狀的階層架構,此架構是SNMP命名結構的基礎;一個物件識別代號OID是由一系列的整數所組成,這些整數來自樹的節點,並以點號(.)隔開
在物件樹中,樹的頂端節點稱為root(根),任何節點都是子樹
MIB-II是一個非常重要的管理群組 , 因為每個支援SNMP的裝置也必須支援MIB-II
MIB-II簡單來說是客製化一個大家都想看SNMP資訊, 增加了對TCP/IP的可視度,結果變成通用標準,共分為10個範圍
system : 系統名稱、運作時間
interface : 監視每個介面
at : 增加相容性
ip : 追蹤IP和路由
icmp : 追蹤ICMP資訊
tcp : 追蹤TCP連結狀態
udp : 追蹤UDP統計資料
egp : 追蹤EGP鄰居表
transmission : 未定義
snmp : 追蹤SNMP資料
通常網管軟體使用的SNMP有幾種指令去得到設備資訊 , get , set , trap , notification , inform
Report ; 格式為snmpget 設備IP 社群字串 OID碼.回覆格式變數.0
例如snmpget 192.168.1.10 public
.0.3.6.1.2.1.1.6.0
設定Cisco產品的SNMP代理者指令
snmp-server enable traps ; 最後面不打代表全部
snmp-server community public RO ; 定義RO社群字串
snmp-server private RW ; 定義RW社群字串
snmp-server host 192.168.1.10 public ; 設定trap到網管主機IP並包覆public字樣
snmp-server trap-source VLAN1 ; 指定發trap來源走VLAN1到網管主機
access-list 15 permit 192.168.10.3
snmp-server community notsopublic RO 15 ; 定義此信任來源能用SNMP指令
圖形化網管軟體只是圖形化的MIB Browser而已 , 基本上仍是用snmpget , snmpset , snmpwalk
snmpwalk主要是自動遊走某個MIB子樹 , 取出該子樹內的所有資料交叉呈現資訊
沒有留言 :
張貼留言