CCNPآموزش شبکه

SNMP چیست و پیادسازی آن در سیسکو

Simple Network Management Protocol (SNMP)

SNMP چیست؟ | آیا تاکنون به این فکر کرده اید که نرم افزارهای مانیتورینگ، اطلاعات مربوط به کلاینت ها را چگونه دریافت کرده و برای شما مانیتور می کنند؟ تمامی نرم افزارهایی (مانند نرم افزارهای مانیتورینگ و آنتی ویروس ها) که قرار است اطلاعات را از یک کلاینت دریافت و پردازش کنند، نیاز دارند که از طریقی این اطلاعات را دریافت نمایند. Simple Network Management Protocol یا همان SNMP پروتکل مشهور و پرکاربرد برای این کار و مدیریت شبکه است. از SNMP برای جمع آوری اطلاعات مربوط به کانفیگ ها و تجهیزات شبکه مانند سرورها، پرینترها، سوییچ ها و روترها، بر اساس یک IP، استفاده می شود.

اگر بخاطر داشته باشید، شبکه به چندین لایه تقسیم می شود. SNMP در واقع یک پروتکل لایه Application است که برای تبادل اطلاعات مدیریتی بین تجهیزات شبکه استفاده می شود. این پروتکل بخشی از همان پروتکل TCP/IP می باشد. SNMP یکی از پروتکل های بسیار ارزشمند و پرکاربرد برای مدیریت و مانیتور عناصر و تجهیزات شبکه های LAN به کار می رود.

بطور کلی نحوه کار SNMP بدین شکل است که یک agent (ویژگیست که روی کلاینت ها نصب و فعال شده تا اطلاعات کلاینت را جمع آوری کرده و به سرور بفرستد) اطلاعات کلاینت ها را به SNMP Manger (همان سروری که قرار است اطلاعات کلاینت ها را از agent دریافت کرده و به نرم افزار مانیتورینگ تحویل بدهد) ارسال کرده و مانیتور می کند.

اجزای SNMP و کاربردهای آنها

در شبکه، عموما یک یا چندین کامپیوتر از وظیفه مدیریت یا مانیتور تجهیزات را به عهده دارند (مانند سرور مانیتورینگ) که به آنها SNMP Manager گفته می شود. در واقع هر تجهیز و کلاینتی که شما می خواهید آن را مدیریت و مانیتور کنید، ویژگی به نام agent را روی آن فعال کرده تا اطلاعات را از طریق پروتکل SNMP به SNMP Manager ارسال کند. وظیفه SNMP Manager، دریافت اطلاعات و query از agent، تعیین متغیرهای مورد نظر خود و اعلام وقایع و تغییرات به agent است.

Agent نیز برنامه و ویژگی است که درون تجهیزات شبکه قرار دارد و می بایست فعال شود، فعال سازی آن باعث می شود تا اطلاعات مدیریتی کلاینت را بصورت local جمع آوری کرده و آنها را برای ارسال به SNMP Manager آماده کند، تا هر زمان SNMP Manager درخواست کرد، پاسخگو باشد. البته این agent می تواند استاندارد بوده (مانند Net-SNMP) یا مربوط به شرکت خاصی (مانند HP insight agent) باشد. بنابراین، بطور کلی وظایف agent در موارد زیر خلاصه می شود:

  • جمع آوری اطلاعات مدیریتی درباره محیطی که در آن قرار دارد
  • ذخیره و بازبابی اطلاعات مدیریتی به عنوان MIB (در ادامه توضیح داده می شود)
  • علامت دادن به SNMP Manager در صورت بروز هر تغییر یا اتفاقی در کلاینت
  • عمل کردن همانند یک پروکسی برای تجهیزاتی که با SNMP مدیریت نشده اند

در واقع یک SNMP Manager می تواند، انواع اطلاعات زیر را از agent درخواست کرده و مانیتور کند:

  • آمار و تشخیص هویت پروتکل شبکه
  • یافتن تجهیزات متصل به شبکه
  • اطلاعات پیکربندی نرم افزاری و سخت افزاری
  • آمار کارکرد و میزان کارایی تجهیز
  • پیام های خطا و event ها
  • آمار کارکرد برنامه ها و نرم افزارهای استفاده شده در کلاینت

اگر در agent اجازه write به SNMP Manager بدهید، SNMP Manager می تواند درخواست ایجاد یک کانفیگ را با استفاده از پیام Set به agent ارسال کرده و یک پارامتر local را تغییر دهد و در اصطلاح کلاینت را از راه دور و با استفاده از SNMP کانفیگ کند. البته دقت کنید که درخواست های Set به مجموعه پارامترهای کوچکی از کلاینت محدود می شود که برایشان دسترسی read-write تعریف شده است. بیشتر پارامترهای کلاینت فقط اجازه خواندن داشته و read-only می باشند.

شکل زیر، اجزای SNMP را در هر لایه TCP/IP مشخص می کند:

SNMP 
SNMP

توضیح این اجزا، در جدول زیر آمده است:

Simple Network Management Protocol (SNMP)
Simple Network Management Protocol (SNMP)

نحوه ارتباط SNMP Manger با Agent

شکل زیر نحوه ارتباط SNMP Manager را با Agent نشان می دهد: (برگرفته از technet مایکروسافت)

نحوه ارتباط SNMP Manger با Agent
نحوه ارتباط SNMP Manger با Agent

شکل بالا، مثالی از ارتباط بین SNMP Manager و SNMP agent را نشان میدهد:

  1. SNMP Manager، کامپیوتر A، پیغام SNMP را ایجاد می کند که شامل درخواست اطلاعات (Get) برای تعدادی از کلاینت ها و session های فعال، اسم community که SNMP Manager به آن تعلق دارد، و مقصد پیام است (در اینجا مقصد پیام، کامپیوتر B با IP 131.107.3.24 می باشد). (community در واقع علامت شناسایی SNMP manager است که در ادامه بطور کامل توضیح داده خواهد شد)

SNMP Manager هم می تواند از برنامه Microsoft SNMP Management API library (Mgmtapi.dll) استفاده کند و یا می تواند از برنامه Microsoft WinSNMP API library (Wsnmp32.dll) برای انجام این مرحله بهره ببرد. (این دو برنامه، در واقع فایل های اجرایی برای و دو سرویس مربوط به SNMP  در ویندوز هستند)

  1. SNMP Manager درخواست اطلاعات را با استفاده از سرویس های بالا به کامپیوتر B ارسال می کند.
  2. هنگامی که کامپیوتر B پیام را دریافت می کند، نام community موجود در پیام (MonitorInfo) را مشاهده کرده و تایید می کند که جزو نام های قابل قبول او است؛ با توجه به لیست اجازه دسترسی که در اختیار دارد، community را می سنجد و آدرس مبدا پیام را ارزیابی می کند.

اگر نام community یا اجازه دسترسی نادرست بوده و سرویس SNMP، برای مثال، برای ارسال یک پیام “دریافت احرازهویت (authentication trap)” کانفیگ شده باشد، agent یک پیام ” trap  “authentication failure به مقصد trap مورد نظر ارسال می گردد که در این مثال کامپیوتر C می باشد. در اینصورت، کامپیوتر B و C به community با نام TrapAlarm متعلق هستند.

  1. حال بخشی از agent افزونه ی مناسبی را برای بازیابی اطلاعات session درخواست شده (همان پیام درخواست اطلاعات کامپیوتر A) استفاده می کند.
  2. با استفاده از اطلاعات session بازیابی شده، سرویس SNMP پاسخی را ایجاد می کند که حاوی تعداد session  های فعال و آدرس مقصد می باشد.
  3. در نهایت کامپیوتر B پاسخ را به کامپیوتر A ارسال می کند.

مفهوم Management Information Base (MIB)

Management Information Base (MIB)
Management Information Base (MIB)

MIB مجموعه ای اطلاعات است که برای مدیریت عناصر موجود در شبکه استفاده می شود. MIB ها object های مدیریت شده ای را که SNMP manager نیاز داشته و می خواهد مانیتور کند، ایجاد می کنند. هنگامی که SNMP manager اطلاعات را از agent درخواست می کند، SNMP agent اطلاعات مورد درخواست را از MIB بازیابی می کند. به زبان ساده، تمامی اطلاعاتی که قرار است SNMP manager از agent دریافت کرده و مانیتور کند، در این MIB ها ذخیره می شوند.

هر سیستمی در شبکه  (کامپیوترها، سرور، روتر و غیره) یک MIB داشته که وضعیت منابع مدیریت شده را روی سیستم نشان می دهد، مانند ورژن نرم افزاری که روی آن دستگاه نصب شده است، IP هر پورت یا interface، میزان فضای آزاد هارد و یا تعداد فایل های در حال اجرا. MIB اطلاعات ثابت را در خود ذخیره نمی کند، اما در عوض وابسته به object هاست؛ دیتابیس پویایی داشته که مجموعه منطقی از تعاریف موارد مدیریت شده دارد. به زبان ساده، MIB فقط اطلاعاتی را در خود ذخیره می کند که قابل تغییر هستند، همچنین MIB ها نوع اطلاعات هر object مدیریت شده را تعریف می کنند.

Management Information Base (MIB) Tree
Management Information Base (MIB) Tree

پیام های SNMP

همانطور که می دانید، در SNMP نیز تعدادی پیام بین SNMP manager و agent رد و بدل می شود. یک پیام SNMP شامل یک SNMP protocol data unit (PDU) و عناصر مربوط به header آن پیام است. یک SNMP agent در دو صورت اطلاعات را ارسال می کند:

  • هنگامی که می خواهد به درخواست SNMP manager پاسخ دهد
  • هنگامی که یک trap event رخ می دهد

جدول زیر، تمامی پیام های ردوبدل شده را توضیح داده است. در این جدول، در ستون سمت چپ نوع پیام، در ستون وسط مبدا و مقصد ارسال پیام و در ستون سمت راست کاربرد پیام آمده است:

پیام های SNMP
پیام های SNMP

SNMP از پروتکل UDP برای انتقال پیام های SNMP استفاده می کند. SNMP از سرویس های انتقال UDP ساده استفاده می کند که یا رسیدن پیام و یا توالی صحیح پکت های رسیده شده را ضمانت می کنند، بنابراین SNMP می تواند حتی اگر تعدادی از سرویس های شبکه از کار بیافتند، به کار خود ادامه دهد. بصورت پیشفرض پورت UDP 161 برای ارسال و دریافت پیام های SNMP استفاده شده و پورت 162 برای ردوبدل کردن SNMP traps بکار می رود. البته این پورت ها قابل تغییر هستند.

شکل زیر مثالی از ارتباطات بین SNMP manager و agent هاست:

ارتباطات بین SNMP manager و agent
ارتباطات بین SNMP manager و agent
  • SNMP Manager از کامپیوتر A درخواست می کند که اطلاعات سیستم را به او بدهد تا مانیتور کند. Agent نیز اطلاعات را MIB سیستم به manager می فرستد.
  • در کامپیوتر B اتفاق غیرمنتظره افتاده است و agent با استفاده از trap، آن را به SNMP manager اطلاع می دهد.
  • در کامپیوتر C، به دلیل اینکه SNMP manager اطلاعات کاملی از از آن ندارد، درخواست می کند که با پیام GetNext تمامی سطرهای table مربوط به MIB را بخواند.

SNMP Community

 همانطور که می دانید، برای استفاده از SNMP، این ویژگی را روی کلاینت ها و سرور مانیتور فعال می کنید تا agent اطلاعات کلاینت ها را به SNMP manager (سرور مانیتور) برساند. اما به این فکر کرده اید که اگر شخصی، SNMP manager ای را در جای دیگری از شبکه اجرا کند، می تواند به اطلاعات کلاینت های شما دسترسی داشته باشد؟! مایکروسافت برای جلوگیری از این کار و بالا بردن سطح امنیت، از یک نام share شده بین agent و manager استفاده می کند تا ترافیک SNMP احراز هویت شود.

یک community name در واقع پسورد share شده ایست که بین چندین agent و یک SNMP manager عمل می کند. شما SNMP manager را کانفیگ کرده و کامپیوترها و دستگاه هایی را که قرار است زیر نظر manager باشند را به community آن مرتبط می کنید. بنابراین، یک SNMP agent فقط درخواست های SNMP manager ای را قبول می کند که در لیست قابل قبول agent باشند.

وقتی یک SNMP manager درخواستی را به یک agent ارسال می کند، سرویس SNMP نام community تقاضا کننده را با community name آن agent و میزان دسترسی آن مقایسه می کند. اگر نام یکسان بود، SNMP manager با موفقیت احراز هویت شده و agent به درخواست گزارش یا انجام کار خواسته شده پاسخ می دهد؛ اما اگر نام یکسان نباشد، agent به درخواست پاسخ نمی دهد. البته در صورتی که کانفیگ کرده باشید، یک پیام trap ارسال کرده و می گوید یک تلاش ناموفق انجام شده است.

بخاطر داشته باشید که یک کامپیوتر یا تجهیز، می تواند به چندین community متصل باشد. نام SNMP community به خود سرویس SNMP مربوط شده و ربطی به نام های Active Directory یا Workgroup ندارد. در ورژن های قبلی ویندوز، بصورت پیشفرض، نام SNMP community برای دسترسی های read-only از عبارت “Public” و برای دسترسی read-write عبارت “Private” استفاده می شد. اما برای افزایش امنیت، همانند یک پسورد با آن برخورد کنید.

با تعریف SNMP community، می توانید کامپیوترها و تجهیزات شبکه را برای مدیریت بهتر و امنیت بیشتر، در یک community قرار دهید. دو روش رایج برای جدا کردن کامپیوترها از یک دیگر و قرار دادن در گروه های مجزا اینست که آنها را یا از روی مکان فیزیکی و یا از روی عملکرد گروه بندی کنید (برای مثال کامپیوترها و تجهیزات حسابداری و مالی از سایر گروه ها جدا شده و در community مجزا قرار گیرند) که بهترین راه، گروه بندی از روی عملکرد است.

علاوه بر این، می توانید مشخص کنید که agent فقط با مجموعه خاصی از SNMP manager ها در ارتباط باشد. می توان برای هر community اجازه دسترسی (مانند read-only و یا read-write) تعیین کرده و یا اینکه وقتی نام community و یا اجازه دسترسی نادرست بود، با ارسال پیام trap هشدار دهد.

همانطور که می دانید، نرم افزارهای مانیتورینگ از SNMP برای خواندن اطلاعات کلاینت ها استفاده می کنند و بنابراین فقط می بایست بصورت read-only دسترسی داشته باشند، اما برخی از نرم افزارهای مدیریتی مانند SCCM که نیاز دارند از طریق این سرویس، تغییراتی را نیز روی کلاینت ها ایجاد کنند، می بایست دسترسی read-write داشته باشند. فقط دقت کنید که تا حد ممکن دسترسی read-write ندهید. در برخی از مکان هایی که امنیت بسیار اهمیت دارد، برای ارتباط SNMP manager با agent ها از IPSec استفاده می کنند.

پروتکل SNMP تا کنون در سه نسخه بروز رسانی شده است:

SNMP نسخه یک:

از یک متغییر ساده Get و Set Request همراه با یک SNMP Trap ساده استفاده میکند. SNMP Manager با تطبیق یک Community text String میتواند به SNMP Agent ها دسترسی پیدا کند.

هنگامی که SNMP Manager میخواهد یک متغییر MIB را در یک دستگاه بخواند و یا آنرا بنویسد یک Community String را به عنوان بخشی از Request ارسال میکند.

در تئوری اینگونه بیان شده که Manager و Agent تنها به شرط یکسان بودن Community ها میتوانند باهم ارتباط برقرار کنند. اما در عمل و واقعیت هردستگاه توانایی خواندن و نوشتن متغییرها به دیتایس MIB یک Agent با ارسال رشته ی Community درست و مناسب بدون نیاز به اینکه آن دستگاه SNMP Manager می باشد یا خیر را دارد و این یک حفره ی امنیتی بزرگ در SNMP ایجاد میکند.

SNMP نسخه دو:

نسخه ی دوم SNMP برای رفع برخی ضعف های امنیتی و نگرانی ها بوجود اومد، بطور مثال در SNMP V1 معنا کردن شمارنده ی متغییر (Variable Counters) بسیار پیچیده بود. این متغیر 32 بیتی در SNMP V2 به 64 بیت تغییر کرد.

علاوه بر این SNMP V2 یک Request یعنی Bulk Request را نیز عرضه میکند که در SNMP V1 وجود نداشت و با استفاده از آن میتوان متغییر های MIB را با یک Request مجزا در یک فرم بزرگ بازیابی کرد. همچنین Event های ارسال شده از یک SNMP Agent میتواند به شکل SNMP Trap و یا Inform Request اطلاع رسانی شوند.

توجه داشته باشید که Inform Request نیاز به Ack از سمت SNMP Manager دارد که تایید می کند پیام دریافت شده، در SNMP V2 هیچ یک از مشکلات امنیتی موجود در SNMP V1 رفع نشده است. همچنین پیاده سازی های دیگری از SNMP V2 وجود داشت که با SNMP V2C ناسازگار بودند و این دو مانع از گسترش این نسخه شدند و به همین دلیل نسخه 3 ارایه شد.

SNMP نسخه سه:

آخرین نسخه SNMP که در حال حاضر از آن استفاده میشود SNMP V3 می باشد، در این نسخه تمامی مشکلات امنیتی که در ورژن های قبل موجود بود رفع شده است.

نسخه سه میتواند با استفاده از Username (نام کاربری) SNMP Manager ها را Authenticate (تایید) کند. هنگامی که بر روی SNMP Agent ها Username تنظیم شود میتوان آنها را در گروه های SNMP V3 سازماندهی کرد. همچنین دسترسی به اطلاعات هر MIB را میتوان بر اساس هر گروه کنترل کرد. میتوان تایید کرد که کدام مقدار های MIB از Tree را میتوان خواند یا نوشت.

هر گروه SNMPv3 با یک سطح امنیتی تعریف شده است که از میزان مشخصی از داده های SNMP محافظت می کند. پکت های داده ها میتوانند Authenticate شوند، همچنین میتوانند Encrypt شوند.

حال نگاهی به این سطح های امنیتی در نسخه 3 می اندازیم:

  • noAuthNoPriv: پکت های SNMP نه Authenticate و نه Encrypt میشوند.
  • AuthNoPriv: پکت های SNMP احراز هویت Authenticate میشوند اما Encrypt نمیشوند.
  • AuthPriv: پکت های SNMP هم Authenticate و هم Encrypt میشوند.
There are three versions of SNMP: SNMPv1, SNMPv2c, and SNMPv3.
There are three versions of SNMP: SNMPv1, SNMPv2c, and SNMPv3.

آموزش فعالسازی SNMP v1 در سیسکو

جهت پیکربندی این مقدار در حالت Read-only از دستور زیر استفاده کنید. (بجای عبارت Nextadmin، از Community مورد نظر خود استفاده کنید.)

# snmp-server community Nextadmin RO

جهت پیکربندی این مقدار در حالت Read-write از دستور زیر استفاده کنید. (بجای عبارت Nextadmin، از Community مورد نظر خود استفاده کنید.)

# snmp-server community Nextadmin RW

آموزش فعالسازی SNMP v3 در سیسکو

ساخت گروه

ابتدا یک گروه می‌سازیم و سطح امنیتی SNMP را v3 قرار می‌دهیم. (بجای عبارت Nextadmin، از Group Name مورد نظر خود استفاده کنید.)

sw-1 (config) # snmp-server group Nextadmin ?

  • v1 group using the v1 security model
  • v2c group using the v2c security model
  • v3 group using the User Security Model (SNMPv3)

حال باید برای گروه مورد نظر سطح امنیتی انتخاب کنیم.

# snmp-server group Nextadmin v3 ?

  • auth group using the authNoPriv Security Level
  • noauth group using the noAuthNoPriv Security Level
  • priv group using SNMPv3 authPriv security level

در این قسمت سطح امنیتی Authpriv را با دستور priv انتخاب و بعد از آن سطح دسترسی مورد نظر را انتخاب می‌کنیم.

# snmp-server group Nextadmin v3 priv ?

  • access specify an access-list associated with this group
  • context specify a context to associate these views for the group
  • match context name match criteria
  • notify specify a notify view for the group
  • read specify a read view for the group
  • write specify a write view for the group
  • <cr>
  • access: میتوانید ip address ها و subnet هایی که باید برای کاربران permit شوند با استفاده از access list انتخاب کنید.
  • read view: برای محدود کردن تعدادی از MIB هایی که NMS (Network Management Software) می‌تواند مانیتور کند، استفاده نمایید. در غیر این صورت همه گزینه ها قابل دسترس خواهند بود.
  • write view: هیچ چیزی قابل نوشتن نیست، شما یک دسترسی فقط خواندنی خواهید داشت.
  • notify view: برای فرستادن اخطار به اعضای یک گروه استفاده می‌شود. اگر شما هیچ چیزی تعیین نکنید برای آن بصورت پیش فرض غیرفعال خواهد بود.

جهت کوتاه شدن آموزش، ما از view ها استفاده نمی‌کنیم.

با استفاده از این دستور ساخت گروه به پایان می‌رسد.

# snmp-server group Nextadmin v3 priv

ساخت حساب کاربری

در این مرحله باید یک حساب کاربری برای گروهی که قبلتر ساختیم، بسازیم. (بجای عبارت IT، از User Name مورد نظر خود استفاده کنید. بجای عبارت Nextadmin، از Group Name ساخته شده استفاده کنید.)

# snmp-server user IT Nextadmin v3 ?

  • access specify an access-list associated with this group
  • auth authentication parameters for the user
  • encrypted specifying passwords as MD5 or SHA digests

سطح امنیتی auth را انتخاب می‌کنیم.

# snmp-server user IT Nextadmin v3 auth ?

  • md5 Use HMAC MD5 algorithm for authentication
  • sha Use HMAC SHA algorithm for authentication

روش رمزگذاری MD5 را انتخاب می‌کنیم.

(بجای عبارت PASSWORD، از رمز عبور اول (رمزگذاری md5) مورد نظر خود استفاده کنید.)

# snmp-server user IT Nextadmin v3 auth md5 PASSWORD ?

سطح امنیتی priv را انتخاب می‌کنیم.

# snmp-server user IT Nextadmin v3 auth md5 PASSWORD priv ?

روش رمزگذاری des را انتخاب می‌کنیم.

(بجای عبارت PASSWORD2، از رمز عبور دوم (رمزگذاری des) مورد نظر خود استفاده کنید.)

# snmp-server user IT Nextadmin v3 auth md5 PASSWORD priv des PASSWORD2

جهت بالا بردن امنیت بیشتر، پیشنهاد می‌شود از Access List استفاده کنید.

# snmp-server user IT Nextadmin v3 auth md5 PASSWORD priv des PASSWORD2 access 1

ساخت لیست دسترسی

# access-list 1 ?

  • deny Specify packets to reject
  • permit Specify packets to forward
  • remark Access list entry comment
  • deny: جلوگیری از دسترسی
  • permit: اجازه دسترسی

# access-list 1 permit 192.168.1.1

بررسی نتیجه

جهت مشاهده نتیجه، می‌توانید از دستورات زیر استفاده کنید.

# show running-config | incl snmp

# show snmp user 

# show snmp group

همچنین جهت تست ارتباط SNMP می‌توانید از نرم افزار رایگان Paessler SNMP Tester استفاده کنید.

سخن آخر، ما در این آموزش سعی کردیم به صورت گام به گام و سریع نحوه پیکربندی SNMP در سیسکو را به شما آموزش دهیم.

Shares:

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *