Протокол мониторинга сетевых устройств (SNMP)

С увеличением аппаратных и программных ресурсов в связи со стремительным развитием сетей были внедрены решения для архитектур управления сетями TCP и IP. SNMP, адаптированный на базе более простого протокола SGMP, использовался как основа общего управления сетью в рамках всей системы. С тех пор его версии изменялись, однако он по-прежнему является стандартным протоколом для управления сетью. Архитектура SNMP, а также поддерживающая информационная база управления (Management Information Base; MIB), выступающие в качестве основы управления сетью, дают полное понимание принципов управления сетями TCP/IP.

lПростой протокол управления сетью (Simple Network Management Protocol; SNMP) — это протокол управления сетью, широко используемый в сети TCP/IP. SNMP представляет собой метод управления сетевыми элементами с помощью рабочей станции, которая управляет программным обеспечением в системе управления сетью.
lSNMP может использоваться в ряде операций связи. SNMP используется станцией управления сетью (Network Management Station; NMS) для определения источников сетевой информации и получения информации о сетевых ресурсах. Также этот протокол используется в ретрансляции отчетов в виде trap-сообщений в NMS с целью информирования станции о состоянии сети в режиме реального времени и гарантии быстрого принятия мер сетевым администратором в случае обнаружения несоответствий и сбоев системы.
lSNMP часто используется для управления прикладным программным обеспечением, учетными записями пользователей, правами на запись и чтение (лицензиями) и т.д., а также для управления аппаратными средствами, входящими в состав сети, включая рабочие станции, серверы, сетевые карты, устройства маршрутизации и коммутаторы. Обычно такие устройства размещаются далеко от центрального офиса, в котором работает сетевой администратор, и сообщения о неисправностях устройств должны автоматически приходить сетевому администратору. SNMP эффективно работает как среда передачи между сетевыми элементами и сетевым администратором/NMS.

Сетевые элементы, такие как хосты, шлюзы, терминальные серверы и т.д., содержат два важных компонента, поддерживающих функции управления сетью, запрашиваемые станциями управления сетью. Агент управления, размещаемый на сетевом элементе, извлекает (получает) или изменяет (устанавливает) переменные.
Станции управления сетью (NMS) ассоциируются с агентами управления, которые отвечают за выполнение функций управления сетью, запрашиваемых NMS. MIB хранит ряд переменных, связанных с сетевым элементом, при этом каждая из этих переменных считается объектом MIB. Обмен сообщениями SNMP внутри IP-сети требует только поддержки UDP — ненадежной службы датаграмм — согласно которой каждое сообщение независимо представляется одной транспортной датаграммой.


Информационная база управления (Management Information Base; MIB) определяет переменные, поддерживаемые сетевыми элементами. Такие переменные представляют собой данные, которые можно запросить и настроить в процессе управления. MIB представляет структуру данных, выполняющую сбор всех возможных управляемых объектов по сети. В базе SNMP MIB используется структура дерева, аналогичная структуре системы доменных имен (Domain Name System; DNS).
lДерево присвоения имен объектам имеет три важных ветви, которые соответствуют стандартам, контролируемым следующими организациями: ISO, ITU-T (первоначально CCITT) и совместные национальные и международные организации. Под контролем ISO находятся четыре объекта, среди которых номер 3 соответствует объекту идентифицированной организации — Identified organization. Поддерево, соответствующее стандартам, которые создавались под эгидой Министерства обороны США (Department of Defense, DoD) (6), расположено под Identified organization (3), и уже под ним расположено поддерево стандартов Интернета (1). Объект под объектом Интернета называется mgmt (2). Под объектом mgmt (2) находится MIB-II — новая редакция MIB, определенная в 1991 году. Сам путь дерева может быть определен как значение идентификатора объекта (OID) {1.3.6.1.2.1}.

SNMP определяет пять типов блоков данных протокола (Protocol Data Unit; PDU), то есть пакетов SNMP, которые передаются между процессами управления и агента. get-request указывает на то, что процесс управления считывает одно и более значений параметров из базы MIB процесса агента. get-next-request означает, что процесс управления считывает значение следующего параметра в лексикографическом порядке из базы MIB процесса агента. set-request указывает на то, что процесс управления устанавливает одно и более значений параметров из базы MIB процесса агента. get-response возвращает одно и более значений параметров. Эта операция выполняется процессом агента. Это ответ на три предыдущих операции. Наконец, функция trap, которая инициируется процессом агента, информирует процесс управления о важных или критических событиях.

SNMPv1 — это исходный протокол прикладного уровня, с помощью которого можно проверять или изменять переменные MIB агента. Эволюция SNMP коснулась не только протокола, но и MIB. В результате добавления новых объектов была создана MIB-II (или MIB-2). Такие объекты, как, например, sysContact, Sysname, sysLocation, sysServices служат для предоставления контактных, административных, локальных и сервисных данных об управляемом узле в группе системы, а также объектов ipRouteMask, ipRouteMetric5 и ipRouteInfo, включенных в объект таблицы IP-маршрутов.
lПереход на SNMP версии 2 повлек ряд изменений, которые привели к разработке SNMPv2c. Среди изменений — внедрение нового типа — GetBulkRequest-PDU, который позволяет получать информацию от нескольких объектов в одном запросе, и Inform Request, менеджера управления PDU, используемого в тех случаях, когда один менеджер посылает информацию из MIB-представления другому менеджеру. Определенные объекты также используют счетчики в качестве синтаксиса, который в SNMP версии 1 представляет собой 32-разрядное значение. Это означает, что в данных объектах, например, в объекте подсчета количества байтов интерфейсов, счетчик легко завершает полный цикл подсчета и сбрасывается аналогично одометру, который измеряет пробег транспортных средств.
lС помощью 32-битного счетчика октеты на интерфейсе Ethernet, передающем данные со скоростью 10 Мбит/с, обнулятся через 57 минут. При скорости 100 Мбит/с счетчик сбросится через 5,7 минут, а при скорости 1 Гбит/с полный цикл счетчика займет всего 34 секунды. Объекты обычно опрашиваются (проверяются) каждые 1 или 5 минут, и проблемы возникают, когда счетчики сбрасываются более одного раза между опросами объекта по причине невозможности получить истинные измерения.
Чтобы решить эту проблему, в SNMP версии 2c определены новые 64-разрядные счетчики, которые подходят в любых ситуациях, в которых 32-разрядные счетчики сбрасываются слишком быстро. Таким образом, скорость подсчета на любом интерфейсе — быстрее 650 миллионов бит в секунду. Для сравнения, 64-битный счетчик для подсчета октетов на скорости 1 Тбит/с (1000 Гбит/с) завершит цикл в течение чуть менее 5 лет, а чтобы достичь цикла в 30 минут, потребуется канал 81 000 000 Тбит/с.


Одним из ключевых улучшений SNMPv3 является безопасность передачи информации объекта MIB. Эта версия способна выявлять различные угрозы, в том числе изменение информации объекта со стороны неразрешенного объекта во время транзитной передачи, выполнение неразрешенных управляющих операций пользователями, которые маскируются под другого пользователя, имеющего права на управление, перехват сообщений и изменение потока сообщений с помощью таких методов, как повторная передача ранее переданного сообщения.
lSNMP повышает безопасность путем применения четырех мер защиты. Обеспечение целостности данных: гарантирует, что данные не будут несанкционированно изменены или уничтожены, а последовательность данных не будет изменена злонамеренно.
lАутентификация источника данных: гарантирует, что подлинность пользователя, от которого поступают данные, будет подтверждена с использованием методов MD5 и SHA-1. Конфиденциальность данных: гарантирует, что информация не будет передана или разглашена лицам, организациям или процессам, не имеющим на нее разрешение. Решения для защиты от повторной передачи сообщения: гарантирует, что сообщение, время генерации которого выходит за диапазон указанного временного окна, не будет принято.

Этот тест был открыт Вторник, 18 Апрель 2023, 15:17

Тестирование будет окончено в Среда, 18 Апрель 2035, 15:17

Метод оценивания: Высшая оценка