| SNMP | |
|---|---|
| Nimi | Yksinkertainen verkonhallintaprotokolla |
| Taso ( OSI-mallin mukaan ) | Sovellettu |
| Perhe | UDP |
| Portti/ID | 161/ UDP ,162/ UDP |
| Protokollan tarkoitus | Verkkolaitteiden hallinta |
| Erittely | RFC 1155 , RFC 1212 , RFC 1213 , RFC 1157 , RFC 3411 |
| Tärkeimmät toteutukset (asiakkaat) | Sisäänrakennettu kaikkiin verkkokäyttöjärjestelmiin |
| Mediatiedostot Wikimedia Commonsissa | |
SNMP ( englanniksi Simple Network Management Protocol - yksinkertainen verkonhallintaprotokolla) on standardi Internet-protokolla IP-verkoissa olevien laitteiden hallintaan TCP / UDP -arkkitehtuureihin perustuen . SNMP-yhteensopivia laitteita ovat reitittimet, kytkimet, palvelimet, työasemat, tulostimet, modeemitelineet ja muut. Protokollaa käytetään yleisesti verkonhallintajärjestelmissä valvomaan verkkoon kytkettyjä laitteita olosuhteiden varalta, jotka vaativat järjestelmänvalvojan huomiota. IETF (Internet Engineering Task Force) määrittelee SNMP:n TCP/IP :n osaksi . Se koostuu joukosta verkonhallintastandardeja, mukaan lukien sovelluskerroksen protokolla, tietokantaskeema ja joukko tietoobjekteja.
Käytettäessä SNMP:tä yksi tai useampi järjestelmänvalvojatietokone (kutsutaan johtajiksi ) valvoo tai hallitsee tietokoneverkon isäntien tai laitteiden ryhmää. Jokaisessa hallitussa järjestelmässä on jatkuvasti käynnissä oleva ohjelma nimeltä agentti , joka välittää tietoja johtajalle SNMP :n kautta .
SNMP-hallitut verkot koostuvat kolmesta avainkomponentista:
Hallittu laite on verkkoelementti (laitteisto tai ohjelmisto), joka toteuttaa hallintaliittymän (ei välttämättä SNMP), joka mahdollistaa yksisuuntaisen (vain luku) tai kaksisuuntaisen pääsyn tiettyihin elementtitietoihin. Hallitut laitteet jakavat nämä tiedot ylläpitäjän kanssa. Hallitut laitteet voivat tarkoittaa mitä tahansa laitteita: reitittimiä, pääsypalvelimia, kytkimiä, siltoja, keskittimiä, IP-puhelimia, IP-kameroita, isäntätietokoneita, tulostimia jne.
Agentti on verkonhallintaohjelmistomoduuli, joka sijaitsee hallitussa laitteessa tai hallitun laitteen hallintaliittymään yhdistetyssä laitteessa. Agentilla on paikallista tietoa hallintatiedoista ja hän kääntää nämä tiedot SNMP-kohtaiseen muotoon tai siitä pois (tiedonvälitys).
Network Management System ( NMS ) on sovellus, joka valvoo ja ohjaa hallittuja laitteita. NMS tarjoaa suurimman osan verkonhallintaan tarvittavasta tietojenkäsittelystä. Missä tahansa hallitussa verkossa voi olla yksi tai useampi NMS.
Koska laiteobjektien osoitteet on määritelty digitaalisessa muodossa, niitä on vaikea muistaa. Yksinkertaisuuden vuoksi käytetään hallintatietokantoja (MIB). MIB:t kuvaavat hallitun datan rakennetta laitealijärjestelmässä; ne käyttävät hierarkkista nimiavaruutta, joka sisältää objektitunnisteet (OID). Jokainen OID koostuu kahdesta osasta: tekstinimestä ja numeerisesta SNMP-osoitteesta. MIB:t ovat valinnaisia ja tukevat kohteen nimen kääntämistä ihmisestä (sana) SNMP (numeeriseen) muotoon. Hyvin samanlainen kuin DNS - palvelimet. Koska eri valmistajien laitteiden objektien rakenne ei täsmää, on lähes mahdotonta määrittää tarvittavien objektien digitaalisia SNMP-osoitteita ilman MIB-pohjaa. MIB:t käyttävät ASN.1 :ssä määritettyä merkintää .
SNMP toimii TCP/IP-sovelluskerroksessa (OSI-mallin kerros 7). SNMP-agentti vastaanottaa pyynnöt UDP-portissa 161. Manageri voi lähettää pyyntöjä mistä tahansa saatavilla olevasta lähdeportista agenttiporttiin. Agentin vastaus lähetetään takaisin johtajan lähdeporttiin. Esimies vastaanottaa ilmoituksia (Traps ja InformRequests) portissa 162. Agentti voi luoda ilmoituksia mistä tahansa käytettävissä olevasta portista. Käytettäessä TLS :ää tai DTLS :ää pyynnöt vastaanotetaan portissa 10161 ja trapit lähetetään portissa 10162.
SNMPv1 määrittelee viisi perusprotokolladatayksikköä (PDU). Kaksi muuta PDU:ta, GetBulkRequest ja InformRequest, otettiin käyttöön SNMPv2:ssa ja siirrettiin SNMPv3:een.
Kaikki SNMP PDU:t on rakennettu seuraavasti:
| IP-otsikko (IP-otsikko) | UDP-otsikko (UDP-otsikko) | versio (versio) | yhteisö (salasana) | PDU-tyyppi (PDU-tyyppi) | pyyntötunnus (pyyntötunnus) | error-status (error status) | virheindeksi (virheindeksi) | muuttujien sidokset (sidotut muuttujat) |
Seitsemän SNMP-protokollan vaihtoyksikköä on lueteltu alla:
Esimiehen pyyntö objektille saada muuttujan arvo tai muuttujaluettelo. Vaaditut muuttujat määritetään muuttujien sidontakentässä (arvokentän osaa ei käytetä). Agentin on suoritettava määritellyn muuttujan arvojen noutaminen atomioperaationa . Johtajalle palautetaan vastaus nykyisillä arvoilla.
Esimiehen pyyntö objektille muuttaa muuttuja tai muuttujaluettelo. Sidotut muuttujat määritetään pyynnön tekstiosassa. Agentin on suoritettava muutokset kaikkiin määritettyihin muuttujiin atomioperaationa. Vastaus palautetaan johtajalle muuttujien (nykyisillä) uusilla arvoilla.
Esimiehen pyyntö objektille löytääkseen käytettävissä olevat muuttujat ja niiden arvot. Vastaus siihen liittyvine muuttujineen palautetaan johtajalle MIB:ssä leksikografisessa järjestyksessä seuraavana olevan muuttujan osalta . Koko agentti-MIB:n ohittaminen voidaan tehdä iteratiivisesti käyttämällä GetNextRequest-komentoa alkaen OID 0:sta. Taulukon rivit voidaan lukea määrittämällä sarakkeen OID:t niihin liittyvissä muuttujissa pyynnössä.
Parannettu versio GetNextRequestistä. Pyyntö esimieheltä objektille useita GetNextRequestin iteraatioita varten. Vastaus palautetaan johtajalle, jossa on useita siihen liittyviä muuttujia, jotka on käyty läpi alkaen pyynnön liittyvistä muuttujista. PDU-spesifisiä ei-toistimet- ja max-toisto-kenttiä käytetään vasteen käyttäytymisen ohjaamiseen. GetBulkRequest otettiin käyttöön SNMPv2:ssa.
Palauttaa liittyvät muuttujat ja arvot agentilta GetRequest-, SetRequest-, GetNextRequest-, GetBulkRequest- ja InformRequest-vastaavalle. Virheilmoitukset annetaan virhetila- ja virheindeksikentillä.
Tätä yksikköä käytetään vastauksena sekä Get- että Set-pyyntöihin, ja sitä kutsutaan nimellä GetResponse SNMPv1:ssä.
Asynkroninen ilmoitus agentilta johtajalle. Sisältää sysUpTimen nykyisen arvon, trap-tyypin tunnistavan OID:n ja valinnaiset liittyvät muuttujat. Trapsin kohdeosoite määritetään käyttämällä MIB:ssä olevia trap-konfiguraatiomuuttujia. Trap-viestin muoto on muutettu muotoon SNMPv2 ja PDU on nimetty uudelleen muotoon SNMPv2-Trap.
Asynkroninen ilmoitus esimieheltä esimiehelle tai agentilta johtajalle. Esimiesten väliset ilmoitukset olivat jo mahdollisia SNMPv1:ssä (käyttäen Trapia), mutta SNMP toimii yleensä UDP:llä, jossa viestien toimitusta ei taata eikä kadonneista paketeista ilmoiteta. InformRequest korjaa tämän lähettämällä takaisin vastaanottokuittauksen. Vastaanotin vastaa vastauksella, joka toistaa kaikki InformRequest-pyynnön tiedot. Tämä PDU otettiin käyttöön SNMPv2:ssa.
SNMP-versio 1 (SNMPv1) on SNMP-protokollan alkuperäinen toteutus. SNMPv1 toimii protokollien, kuten UDP, IP, CLNS, DDP ja IPX kanssa. SNMPv1 on laajalti käytetty, ja se on tosiasiallinen verkonhallintaprotokolla Internet-yhteisössä.
Ensimmäiset SNMP:n RFC:t, jotka nyt tunnetaan nimellä SNMPv1, ilmestyivät vuonna 1988:
Näitä protokollia on tarkistettu seuraavissa RFC:issä:
Jonkin ajan kuluttua RFC 1156 (MIB-1) korvattiin yleisemmin käytetyllä:
Versiota 1 on arvosteltu huonosta tietoturvasta. Asiakkaiden todennus tehtiin vain ns. "yhteinen merkkijono" (yhteisön merkkijono), itse asiassa salasana, joka lähetettiin selkeästi. SNMPv1:n kehittämistä 1980-luvulla toteutti joukko ihmisiä, jotka pitivät OSI/IETF/NSF-organisaatioiden virallisesti rahoitettua HEMS/CMIS/CMIP-työtä sekä toteuttamiskelvottomana sen ajan laskenta-alustoilla että mahdollisesti toimimattomana. SNMP hyväksyttiin, koska uskottiin, että se oli väliprotokolla, jota tarvitaan ottamaan askeleita kohti Internetin laajamittaista käyttöönottoa ja sen kaupallistamista. Tuohon aikaan todennus-/turvastandardi oli unelma, ja protokollakehitysryhmät estivät sen.
SNMPv2 ( RFC 1441 - RFC 1452 ) päivittää version 1 ja sisältää parannuksia suorituskykyyn, tietoturvaan, yksityisyyteen ja johtajien väliseen viestintään. Protokolla esitteli GetBulkRequestin, vaihtoehdon GetNextRequestin iteratiiviselle käytölle suuren määrän ohjaustietoja hankkimiseksi yhdessä pyynnössä. Samaan aikaan uusi SNMPv2-sivupohjainen suojaus ei koskaan saanut laajaa käyttöä, koska monet pitivät sitä liian monimutkaisena.
Yhteisöpohjainen SNMPv2 (SNMPv2c) on määritelty RFC 1901 - RFC 1908 :ssa . Lapsenkengissään tämä versio tunnettiin epävirallisesti nimellä SNMPv1.5. SNMPv2c sisältää SNMPv2:n ilman sen kiistanalaista suojausmallia; sen sijaan käytetään yksinkertaista yhteisöpohjaista suojausjärjestelmää SNMPv1:stä. SNMPv2c on usein nähty de facto SNMPv2-standardina huolimatta siitä, että se oli virallisesti vain "standardiluonnos".
Käyttäjäpohjainen SNMPv2 (SNMPv2u) on määritelty RFC 1909 - RFC 1910 :ssä . Pohjimmiltaan tämä on kompromissi, joka yrittää tarjota parempaa turvallisuutta kuin SNMPv1, mutta ilman SNMPv2:n monimutkaisuutta. Tämän version yksi muunnelma, SNMP v2*, kaupallistettiin, ja itse mekanismi otettiin lopulta yhdeksi kahdesta suojauskehyksestä SNMP v3:ssa.
SNMPv2c on nyt todettu yhteensopimattomaksi SNMPv1:n kanssa kahdella avainalueella: viestimuodot ja protokollatoiminnot. SNMPv2c-viestit käyttävät eri otsikko- ja protokollatietoyksikkömuotoja (PDU) kuin SNMPv1. Lisäksi SNMPv2c käyttää kahta protokollatoimintoa, joita ei ole määritelty SNMPv1:ssä. Lisäksi RFC 2576 määrittelee kaksi mahdollista SNMPv1/v2c rinnakkaiselostrategiaa: välityspalvelinagentit ja kaksikieliset verkonhallintajärjestelmät.
VälitysagentitSNMPv2- agentti voi toimia välityspalvelimena SNMPv1-hallittujen laitteiden puolesta seuraavasti:
Välitysagentti kartoittaa SNMPv1-trapit SNMPv2-trapeiksi ja välittää ne sitten NMS:lle.
Kaksikieliset verkonhallintajärjestelmätKaksikieliset SNMPv2-verkonhallintajärjestelmät tukevat sekä SNMPv1:tä että SNMPv2:ta. Tukeakseen tällaista ympäristöä kaksikielisen NMS:n ohjaussovelluksen on kommunikoitava agentin kanssa. NMS jäsentää sitten paikalliseen tietokantaan tallennetut tiedot määrittääkseen, tukeeko agentti SNMPv1:tä vai SNMPv2:ta. Näiden tietojen perusteella NMS kommunikoi agentin kanssa käyttämällä asianmukaista SNMP-versiota.
Vaikka SNMPv3 ei tuo protokollaan muita muutoksia kuin salaussuojauksen lisäämisen, se on parannus uusien tekstikäytäntöjen, käsitteiden ja terminologian avulla.
Turvallisuus on ollut suuri ongelma SNMP:ssä sen alusta lähtien. SNMP-versioiden 1 ja 2 todennus oli vain salasana (yhteisömerkkijono), joka lähetettiin selkeänä tekstinä johtajan ja agentin välillä.
Toisin kuin SNMPv1 ja v2, SNMPv3:ssa jokainen viesti sisältää suojausparametreja, jotka on koodattu oktettimerkkijonoksi. Näiden parametrien merkitys riippuu käyttämästäsi suojausmallista.
SNMPv3 tarjoaa tärkeitä suojausominaisuuksia:
Vuodesta 2004 lähtien IETF on tunnustanut RFC 3411 :ssä , RFC 3418 :ssa (tunnetaan myös nimellä STD0062) määritellyn SNMPv3:n SNMP:n nykyiseksi vakioversioksi. IETF on merkinnyt SNMPv3:n täydelliseksi Internet-standardiksi, joka on RFC-valmiuden korkein taso. Samanaikaisesti aikaisemmat versiot katsotaan vanhentuneiksi (merkitty "historiallisiksi" - historiallisiksi).
Käytännössä SNMP-toteutukset tukevat usein useita versioita: v1, v2c ja v3.
SNMP-toteutukset vaihtelevat alustatoimittajien välillä. Joissakin tapauksissa SNMP:tä ei pidetä tarpeeksi vakavana ydinkehityskohteeseen, ja siksi se on vain valinnainen ominaisuus. Jotkut suuret laitevalmistajat pyrkivät laajentamaan liikaa omia komentoriviliittymiä (CLI) ja ohjausjärjestelmiään.
SNMP:n näennäisen yksinkertaista puurakennetta ja lineaarista indeksointia ei aina ymmärretä hyvin sisäisissä tietorakenteissa, jotka ovat taustalla olevan alustan suunnittelun elementtejä. Siksi SNMP-pyyntöjen käsittely tietyissä tietojoukkoissa voi johtaa ylimääräiseen suorittimen ylikuormitukseen. Yksi esimerkki tästä ongelmasta on suuret reititystaulukot, kuten BGP ja IGP.
Modulaariset laitteet voivat dynaamisesti lisätä tai pienentää SNMP-indeksejä (kutsutaan myös tapauksiksi), kun laitteistoa lisätään tai poistetaan. Tätä käytetään yleisimmin laitteiston kanssa, vaikka virtuaalisilla liitännöillä on sama vaikutus. Indeksiarvot määritetään yleensä käynnistyksen yhteydessä, ja ne pysyvät muuttumattomina seuraavaan uudelleenkäynnistykseen asti. Laitteiston indeksit tai virtuaaliset entiteetit, jotka on lisätty live-laitteen aikana, voidaan määrittää olemassa olevan alueen lopussa ja mahdollisesti määrittää uudelleen seuraavan uudelleenkäynnistyksen yhteydessä.
SNMP itsessään on vain protokolla tiedon keräämiseen ja järjestämiseen. Useimmat SNMP:tä toteuttavat työkalupakkit tarjoavat jonkinlaisen etsintämekanismin (standardisoidun datakokoelman, joka on yhteinen useimmille alustoille ja laitteille) uuden käyttäjän tai artistin hankkimiseksi käynnistyksen yhteydessä. Yksi näistä ominaisuuksista on usein eräänlainen automaattinen konfigurointi, jossa verkosta löydetyt uudet laitteet pollataan automaattisesti. SNMPv1:n ja SNMPv2c:n tapauksessa tämä on turvallisuusriski, koska SNMP-lukuyhteisöt lähetetään selkeänä tekstinä kohdelaitteessa. Vaikka tietoturvavaatimukset vaihtelevat organisaatioittain, tätä ominaisuutta käytettäessä tulee olla varovainen, erityisesti ympäristöissä, kuten sekavuokrauspalvelinkeskuksissa, palvelimien isännöintipalveluissa ja vastaavissa ympäristöissä.
snmpset ja käynnistä Cisco uudelleen as53xx
| URI- järjestelmät | |
|---|---|
| Virallinen | |
| epävirallinen | |
| TCP /IP-perusprotokollat OSI -mallin kerroksittain | |
|---|---|
| Fyysinen | |
| kanavoitu | |
| verkkoon | |
| Kuljetus | |
| istunto | |
| Edustus | |
| Sovellettu | |
| Muuta sovellettu | |
| Luettelo TCP- ja UDP-porteista | |