5.4.2 Vzdálený dohled (SNMP)

Co je SNMP?

Simple Network Management Protocol, zkráceně SNMP, je internetový protokol, určený pro správu sítě. Umožňuje průběžný sběr nejrůznějších dat pro potřeby správy sítě a jejich následné vyhodnocování. Na tomto protokolu je dnes založena většina prostředků a nástrojů pro správu sítě. Protokol se vyskytuje ve třech verzích. Jednotlivé verze protokolů se liší především ve způsobu formátování zpráv. Verze tři již používá autentizaci a šifrování. Nejvíce zařízení dnes podporuje druhou verzi protokolu.

V komunikaci dle SNMP se rozlišuje mezi stranou monitorovanou (dohledovaný systém) a monitorovací (sběrna dat). Tyto strany mohou běžet buď odděleně na různých fyzických zařízeních, nebo v rámci jednoho zařízení. Na monitorované straně je spuštěn tzv. Agent a na straně monitorovací tzv. Manager. Na straně monitorované jsou operativně shromažďovány informace o stavu systému (zařízení).

OID, neboli Object Identifier, je číselný identifikátor, kterým se jednoznačně identifikuje každá hodnota v SNMP komunikaci. OID je tvořeno posloupností čísel oddělených tečkou. Každá tečka zde představuje konkrétní úroveň stromové struktury, do které jsou OID mapovány. Číselná identifikace v rámci jednotlivých podstromů není unikátní, a proto je OID vždy odesíláno jako celek. Každá společnost a každé její zařízení podporující SNMP má své mezinárodně přidělené číslo. MIB, neboli Management Information Base, slouží k překladu nic neříkajících číselných řetězců OID do textové podoby. MIB databáze může být doplněna o další hodnoty pomocí části struktury uložené v MIB souboru.

Záložka Uživatelé

SNMP v3 je uživatelsky orientována. Uživatel založený v této sekci odpovídá USM (User Security Model) v SNMP v3 a komunitě ostatních verzí. Kromě klasických možností PřidatOdebrat a Přejmenovat uživatele, je zde k dispozici volba Default, která slouží pro zavedení výchozího nastavení SNMP. To obnáší založení uživatele public, řádku s právy Unrestricted a filtrů Internet a NetStar Traps.

Záložka Uživatelé obsahuje tyto parametry:

  • Autentizace – V rámci této sekce můžete definovat heslo a způsob šifrování pro autentizaci.
    • Protokol – Pro zabezpečení autentizace se nabízí metody MD5 a SHA.
    • Heslo – Zde je potřeba vyplnit heslo uživatele.
  • Utajení – V rámci této sekce můžete definovat heslo a způsob šifrování přenášených dat.
    • Protokol – Pro zabezpečení přenosu se nabízí symetrické blokové šifry DES a AES.
    • Heslo – Zde je potřeba vyplnit heslo pro šifrování.
  • Práva – V tomto parametru je potřeba určit danému uživateli práva. To lze provést výběrem z nabídky práv založených na záložce Práva.

Záložka Práva

Záložka Práva obsahuje tyto parametry:

  • Název – Udává název založeného práva. Tento název je zobrazen při výběru v záložce Uživatelé.
  • Kontext – Textovým řetězcem lze specifikovat konkrétní SNMP modul v rámci klientské adresy. Nemusí být vyplněn.
  • Úplná shoda – Volbou lze vyžadovat úplnou shodu včetně kontextu. Ve většině případů není potřeba použít.
  • Zabezpečovací model – V tomto parametru lze zvolit buď konkrétní model zabezpečení (SNMP v1, SNMP v2c, USM = SNMP v3), nebo vybrat možnost Jakýkoliv. V případě konkrétní volby musí být použita daná metoda, jinak nebude komunikace funkční. V tomto ohledu není využívána žádná zpětná kompatibilita.
  • Minimální úroveň zabezpečení – Parametr nabízí tři různé modely:
    • Autentizivat i utajit
    • Bez autentizace i utajení
    • Pouze autentizovat
  • Filtr pro čtení – Parametrem lze nastavit filtr pro čtení výběrem z filtrů založených na záložce Filtry. Tím lze omezit přístup k informacím ústředny pro uživatele s těmito právy.
  • Filtr pro zápis – Parametrem lze nastavit filtr pro zápis výběrem z filtrů založených na záložce Filtry. Tím lze omezit možnosti zápisu pro uživatele s těmito právy.
  • Filtr pro notifikace – Parametrem lze nastavit filtr pro jednotlivé objekty notifikací výběrem z filtrů založených na záložce Filtry. Pokud na některý z objektů odesílané notifikace nemá uživatel (komunita) právo, je tento objekt prázdný. Tím lze omezit odesílané informace o stavech ústředny pro uživatele s těmito právy.

Obrázek: Pohled na menu definování práv pro SNMP uživatele

Záložka Filtry

Zobrazuje seznam vytvořených fitrů. Ve výchozím stavu jsou vytvořeny filtry Internet a NetStar Traps. Filtry lze přidávát, editovat a odvozovat přes nabídku kontextového menu.

  • Kořen OID – Parametrem se nastavuje kořen OID stromu, který je použit jako základ pro nastavení filtru. Strukturu OID lze zde prohlížet ve stromu anebo v podobě abecedně seřazených položek.
  • Výjimka – Parametrem lze změnit vnímání řádku filtru. Pokud není volba zaškrtnuta, je podstrom použit. Pokud je volba zaškrtnuta, je naopak použití podstromu daného řádku zakázáno. Lze tak například specifikovat, že je použit podstrom 2.1, ale není použita sekce 2.1.3.
  • Podstrom OID – V rámci podstromu lze dále volit omezující pravidla. Prázdný řádek označuje celý podstrom zvoleného kořene. Pokud se nastavené podstromy překrývají, vždy se bere nejobecnější pravidlo (s nejkratším OID).

Soubory MIB

Sekce Soubory MIB obsahuje tyto parametry:

  • Přidat – Volbou lze přidat konkrétní MIB soubor pro doplnění MIB databáze.
  • Odebrat – Volbou lze odebrat zvolený MIB soubor.
  • Znovu přeložit – Volbou lze znovu přeložit již přítomný MIB soubor.
  • Soubor – Ve sloupci je zobrazena cesta, odkud byl překládán daný MIB soubor. Tato cesta je důležitá pro případ použití funkce Znovu přeložit.
  • Stav – Sloupec zobrazuje aktuální stav konkrétního MIB souboru. Lze se setkat se stavy PřeloženNepřeložen a Nenalezen. Stavy MIB souborů jsou také indikovány ikonami na začátku řádku, jak ukazuje obrázek níže.
  • Doplňující informace – Sloupec slouží ke sdělení dodatečných informací, které lze využít pro odstranění potíží s daným MIB souborem.

Obrázek: Pohled na část menu určenou pro správu MIB souborů

Defaultní položky filtru notifikací podle (RFC3415)

Sekce obsahuje tyto parametry:

  • Internet access:
    • subtree 1.3.6.1
  • Restricted access:
    • System – subtree 1.3.6.1.2.1.1 dle RFC3918
    • SNMP – subtree 1.3.6.1.2.1.11 dle RFC3918
    • snmpEngine – subtree 1.3.6.1.6.3.10.2.1 dle RFC3411
    • snmpMPDStats – subtree 1.3.6.1.6.3.11.2.1 dle RFC3412
    • usmStats – subtree 1.3.6.1.6.3.15.1.1 dle RFC3414

To znamená, že se po startu posílají tyto události:

  1. Po restartu se pošle zpráva ColdStart (ústředna oznamuje, že proběhl restart)
  2. Potom se pošle informace o všech portech ve stavu L1 Active. To jsou aktivní porty typu Cornet, DSS1 – ISDN PTP.
  3. Jako další informace se pošle oznámení OK o všech korektně nabootovaných analogových státních linkách (CO portech).
  4. Jako poslední se pošle informace o všech zalogovaných GSM kartách.
  5. Dále se posílají pouze informace o chybách: deaktivace DSS1, deaktivace Cornetu, AVL – error, ASL – error, GSM – logout. Tato informace se posílá, pouze pokud byl předchozí stav OK. Tzn. že se hlídá přechod stavů OK > ERROR.

Záložka Odpovídat

V rámci této záložky lze specifikovat porty a konkrétní klienty, od kterých je ústředna schopna přijímat požadavky. Obsahuje tyto parametry:

  • Port – Představuje port, na kterém ústředna očekává SNMP požadavky od klientů. Defaultní port pro SNMP je 161.
  • Pouze z této klientské adresy – Touto volbou lze uzamknout přijímání požadavků na konkrétní IP adresu či doménové jméno klienta. V případě více založených klientů i na několik adres.

Obrázek: Pohled na část konfigurace nastavení portu pro naslouchání

 

Záložka Notifikovat

Záložka Notifikovat obsahuje tyto parametry:

  • Klientská adresa – Nastavuje IP adresu nebo doménové jméno klienta, kterému jsou odesílány notifikace dle níže určeného filtru.
  • Port klienta – Definuje port klienta, na který jsou odesílány notifikace.
  • Použitý lokální port – V případě potřeby lze definovat port ústředny, přes který jsou notifikace odesílány. Na tento port také chodí potvrzení informačních requestů. Pokud není volba povolena, je port vybírán náhodně.
  • Typ notifikace – V této sekci lze zvolit typ použité notifikace. Pro SNMP v1 lze použít pouze Trapy. V případě SNMP vyšších verzí se již nabízí také info request.
    • Trap – SNMP zpráva odesílaná klientovi v případě, že nastane určitá událost, která má být notifikována. Tato zpráva není nijak potvrzována.
    • Inform request – SNMP zpráva odesílaná klientovi v případě, že nastane určitá událost, která má být notifikována. Její velkou výhodou oproti trapům je možnost přeposlání zprávy v případě, že nebyla doručena. O doručení se ústředna dozví díky nutnosti potvrdit přijatou zprávu. V případě vypršení timeoutu bez doručení potvrzení je informace klientovi přeposlána.
      • Opakovat – Nastavuje počet opakování pokusů o odeslání konkrétní informace klientovi.
      • V intervalu – Nastavuje interval, v němž očekává odpověď od klienta, aby bylo odeslání považováno za úspěšné.
  • Verze – V této sekci lze určit způsob zakódování zprávy v závislosti na použité verzi SNMP.
    • SNMP v1
    • SNMP v2c
    • SNMP v3

 

 

 

Obrázek: Pohled na konfiguraci parametrů záložky Notifikovat

  • Uživatel/Komunita – Zde je potřeba zvolit konkrétního uživatele SNMP, kde opět pro zvolenou verzi SNMP v3 odpovídá USM a pro ostatní verze komunitě SNMP.
  • Filtr – Zde je potřeba nastavit filtr pro odesílané notifikace. Čím delší OID kořene a podstromů, tím přísnější filtr.
  • Úroveň zabezpečení – Parametr je použitelný pouze pro SNMP v3. Nastavuje úroveň zabezpečení notifikace SNMP v3. K dispozici jsou možnosti:
    • Autentizivat i utajit
    • Bez autentizace i utajení
    • Pouze autentizovat
  • Kontext – Textovým řetězcem lze specifikovat konkrétní SNMP modul v rámci klientské adresy.