Управляем сетью легко: протокол SNMP

Управляем сетью легко:Управляем сетью легко:Волшебный Волшебный SNMPSNMP

Докладчик: Алексей Мараховец

10-Strike Software

www.10-strike.com

“Ну и запросы у вас... - сказала база данных и повисла.”

22

Что такое Что такое SNMPSNMP??

Простой протокол управления сетью;Простой протокол управления сетью;

Универсальный язык общения с Универсальный язык общения с «умным» сетевым «железом»;«умным» сетевым «железом»;

Способ узнать об устройстве много Способ узнать об устройстве много интересного.интересного.

33

Как это работает?Как это работает?

MIB – Men In BlackMIB – Men In Black? ?

Таинственные Таинственные OIDOIDы в дереве ы в дереве MIBMIB;;

Абстрактный синтаксис Абстрактный синтаксис ASN.1ASN.1..

SNMP-SNMP-агент;агент;

44

Management Information Base Management Information Base 1: 1.2.840.10006.300.43.1.2.1.1.2.1 = 32768 [Integer]1: 1.2.840.10006.300.43.1.2.1.1.2.1 = 32768 [Integer]……746: 1.3.6.1.2.1.1.1.0 = "Cisco Internetwork Operating System Software IOS (tm) C2950 Software (C2950-I6Q4L2-746: 1.3.6.1.2.1.1.1.0 = "Cisco Internetwork Operating System Software IOS (tm) C2950 Software (C2950-I6Q4L2-747: 1.3.6.1.2.1.1.2.0 = 1.3.6.1.4.1.9.1.324 [ObjectIdentifier]747: 1.3.6.1.2.1.1.2.0 = 1.3.6.1.4.1.9.1.324 [ObjectIdentifier]748: 1.3.6.1.2.1.1.3.0 = 36,9:5:31.900 [TimeTicks]748: 1.3.6.1.2.1.1.3.0 = 36,9:5:31.900 [TimeTicks]749: 1.3.6.1.2.1.1.4.0 = "" [Octets]749: 1.3.6.1.2.1.1.4.0 = "" [Octets]750: 1.3.6.1.2.1.1.5.0 = "NIO-22_510" [Octets]750: 1.3.6.1.2.1.1.5.0 = "NIO-22_510" [Octets]751: 1.3.6.1.2.1.1.6.0 = "" [Octets]751: 1.3.6.1.2.1.1.6.0 = "" [Octets]752: 1.3.6.1.2.1.1.7.0 = 2 [Integer]752: 1.3.6.1.2.1.1.7.0 = 2 [Integer]753: 1.3.6.1.2.1.1.8.0 = 0,0:0:0.000 [TimeTicks]753: 1.3.6.1.2.1.1.8.0 = 0,0:0:0.000 [TimeTicks]754: 1.3.6.1.2.1.2.1.0 = 26 [Integer]754: 1.3.6.1.2.1.2.1.0 = 26 [Integer]755: 1.3.6.1.2.1.2.2.1.1.1 = 1 [Integer]755: 1.3.6.1.2.1.2.2.1.1.1 = 1 [Integer]759: 1.3.6.1.2.1.2.2.1.1.5 = 5 [Integer]759: 1.3.6.1.2.1.2.2.1.1.5 = 5 [Integer]760: 1.3.6.1.2.1.2.2.1.1.6 = 6 [Integer]760: 1.3.6.1.2.1.2.2.1.1.6 = 6 [Integer]761: 1.3.6.1.2.1.2.2.1.1.7 = 7 [Integer]761: 1.3.6.1.2.1.2.2.1.1.7 = 7 [Integer]762: 1.3.6.1.2.1.2.2.1.1.8 = 8 [Integer]762: 1.3.6.1.2.1.2.2.1.1.8 = 8 [Integer]763: 1.3.6.1.2.1.2.2.1.1.9 = 9 [Integer]763: 1.3.6.1.2.1.2.2.1.1.9 = 9 [Integer]781: 1.3.6.1.2.1.2.2.1.2.1 = "FastEthernet0/1" [Octets]781: 1.3.6.1.2.1.2.2.1.2.1 = "FastEthernet0/1" [Octets]782: 1.3.6.1.2.1.2.2.1.2.2 = "FastEthernet0/2" [Octets]782: 1.3.6.1.2.1.2.2.1.2.2 = "FastEthernet0/2" [Octets]783: 1.3.6.1.2.1.2.2.1.2.3 = "FastEthernet0/3" [Octets]783: 1.3.6.1.2.1.2.2.1.2.3 = "FastEthernet0/3" [Octets]……11024: 1.3.6.1.4.1.9.9.134.1.1.3.0 = 1.3.6.1.6.1.1 [ObjectIdentifier]11024: 1.3.6.1.4.1.9.9.134.1.1.3.0 = 1.3.6.1.6.1.1 [ObjectIdentifier]

Сложно?

55

Конечно можно проще!Конечно можно проще!IP-MIB DEFINITIONS ::= BEGINIP-MIB DEFINITIONS ::= BEGIN

IMPORTSIMPORTS MODULE-IDENTITY, OBJECT-TYPE, Integer32,MODULE-IDENTITY, OBJECT-TYPE, Integer32, Counter32, IpAddress, mib-2 FROM SNMPv2-SMICounter32, IpAddress, mib-2 FROM SNMPv2-SMI PhysAddress FROM SNMPv2-TCPhysAddress FROM SNMPv2-TC MODULE-COMPLIANCE, OBJECT-GROUP FROM MODULE-COMPLIANCE, OBJECT-GROUP FROM

SNMPv2-CONF;SNMPv2-CONF;

ipMIB MODULE-IDENTITYipMIB MODULE-IDENTITY LAST-UPDATED "9411010000Z"LAST-UPDATED "9411010000Z" ORGANIZATION "IETF SNMPv2 Working Group"ORGANIZATION "IETF SNMPv2 Working Group" CONTACT-INFOCONTACT-INFO " Keith McCloghrie" Keith McCloghrie Postal: Cisco Systems, Inc.Postal: Cisco Systems, Inc. 170 West Tasman Drive170 West Tasman Drive San Jose, CA 95134-1706San Jose, CA 95134-1706 USUS Phone: +1 408 526 5260Phone: +1 408 526 5260 Email: kzm@cisco.com"Email: kzm@cisco.com" DESCRIPTIONDESCRIPTION "The MIB module for managing IP and ICMP "The MIB module for managing IP and ICMP

implementations,implementations, but excluding their management of IP routes."but excluding their management of IP routes." REVISION "9103310000Z"REVISION "9103310000Z" DESCRIPTIONDESCRIPTION "The initial revision of this MIB module was part of MIB-"The initial revision of this MIB module was part of MIB- II."II." ::= { mib-2 48}::= { mib-2 48}

-- the IP group-- the IP group

ip OBJECT IDENTIFIER ::= { mib-2 4 }ip OBJECT IDENTIFIER ::= { mib-2 4 }

ipForwarding OBJECT-TYPEipForwarding OBJECT-TYPE SYNTAX INTEGER {SYNTAX INTEGER { forwarding(1), -- acting as a routerforwarding(1), -- acting as a router notForwarding(2) -- NOT acting as a routernotForwarding(2) -- NOT acting as a router }} MAX-ACCESS read-writeMAX-ACCESS read-write STATUS currentSTATUS current DESCRIPTIONDESCRIPTION "The indication of whether this entity is acting as an IP"The indication of whether this entity is acting as an IP router in respect to the forwarding of datagrams router in respect to the forwarding of datagrams

receivedreceived by, but not addressed to, this entity. IP routers forwardby, but not addressed to, this entity. IP routers forward

+ =

1: 1.2.840.10006.300.43.1.2.1.1.2.1 = 32768 [Integer]1: 1.2.840.10006.300.43.1.2.1.1.2.1 = 32768 [Integer]……746: 1.3.6.1.2.1.1.1.0 = "Cisco Internetwork Operating 746: 1.3.6.1.2.1.1.1.0 = "Cisco Internetwork Operating

System Software IOS (tm) C2950 Software System Software IOS (tm) C2950 Software (C2950-I6Q4L2-(C2950-I6Q4L2-

747: 1.3.6.1.2.1.1.2.0 = 1.3.6.1.4.1.9.1.324 747: 1.3.6.1.2.1.1.2.0 = 1.3.6.1.4.1.9.1.324 [ObjectIdentifier][ObjectIdentifier]

748: 1.3.6.1.2.1.1.3.0 = 36,9:5:31.900 [TimeTicks]748: 1.3.6.1.2.1.1.3.0 = 36,9:5:31.900 [TimeTicks]749: 1.3.6.1.2.1.1.4.0 = "" [Octets]749: 1.3.6.1.2.1.1.4.0 = "" [Octets]750: 1.3.6.1.2.1.1.5.0 = "NIO-22_510" [Octets]750: 1.3.6.1.2.1.1.5.0 = "NIO-22_510" [Octets]751: 1.3.6.1.2.1.1.6.0 = "" [Octets]751: 1.3.6.1.2.1.1.6.0 = "" [Octets]752: 1.3.6.1.2.1.1.7.0 = 2 [Integer]752: 1.3.6.1.2.1.1.7.0 = 2 [Integer]753: 1.3.6.1.2.1.1.8.0 = 0,0:0:0.000 [TimeTicks]753: 1.3.6.1.2.1.1.8.0 = 0,0:0:0.000 [TimeTicks]754: 1.3.6.1.2.1.2.1.0 = 26 [Integer]754: 1.3.6.1.2.1.2.1.0 = 26 [Integer]755: 1.3.6.1.2.1.2.2.1.1.1 = 1 [Integer]755: 1.3.6.1.2.1.2.2.1.1.1 = 1 [Integer]759: 1.3.6.1.2.1.2.2.1.1.5 = 5 [Integer]759: 1.3.6.1.2.1.2.2.1.1.5 = 5 [Integer]760: 1.3.6.1.2.1.2.2.1.1.6 = 6 [Integer]760: 1.3.6.1.2.1.2.2.1.1.6 = 6 [Integer]761: 1.3.6.1.2.1.2.2.1.1.7 = 7 [Integer]761: 1.3.6.1.2.1.2.2.1.1.7 = 7 [Integer]762: 1.3.6.1.2.1.2.2.1.1.8 = 8 [Integer]762: 1.3.6.1.2.1.2.2.1.1.8 = 8 [Integer]763: 1.3.6.1.2.1.2.2.1.1.9 = 9 [Integer]763: 1.3.6.1.2.1.2.2.1.1.9 = 9 [Integer]781: 1.3.6.1.2.1.2.2.1.2.1 = "FastEthernet0/1" [Octets]781: 1.3.6.1.2.1.2.2.1.2.1 = "FastEthernet0/1" [Octets]782: 1.3.6.1.2.1.2.2.1.2.2 = "FastEthernet0/2" [Octets]782: 1.3.6.1.2.1.2.2.1.2.2 = "FastEthernet0/2" [Octets]783: 1.3.6.1.2.1.2.2.1.2.3 = "FastEthernet0/3" [Octets]783: 1.3.6.1.2.1.2.2.1.2.3 = "FastEthernet0/3" [Octets]……11024: 1.3.6.1.4.1.9.9.134.1.1.3.0 = 1.3.6.1.6.1.1 11024: 1.3.6.1.4.1.9.9.134.1.1.3.0 = 1.3.6.1.6.1.1

[ObjectIdentifier][ObjectIdentifier]

66

Язык запросовЯзык запросов

GETGETGET NEXTGET NEXTBULK (v2+)BULK (v2+)SETSETTRAP, INFORMTRAP, INFORM

И всё?

77

Немного картинокНемного картинок

88

Где это работает?Где это работает?

ВЕЗДЕВЕЗДЕ

WindowsWindows

Linux Linux и другие *и другие *nixnix

MAC OSMAC OS

IOS ≠ iOSIOS ≠ iOS

SUN SolarisSUN Solaris

99

Реализация в разных ОСРеализация в разных ОС

Системная «Служба SNMP»

Демон snmpd из разных пакетов; утилиты Net-SNMP

Mac OS X Server 10.1.5+ включает пакет UCD-SNMP. Агент snmpd

Функция ОС. Прошивка ПЗУ

Демон snmpd из пакета «netsnmp»

1010

БезопасностьБезопасность

SNMP v1, 2, 2cSNMP v1, 2, 2c

SNMP v3:SNMP v3:

Read / write community (“public”)

User-Based Security ModelUser-Based Security Model ( (модуль аутентификации, модуль модуль аутентификации, модуль шифрования и модуль контроля временишифрования и модуль контроля времени)); ;

Аутентификация HMAC-MD5 и HMAC-SHA; Аутентификация HMAC-MD5 и HMAC-SHA;

Шифрование данных по Шифрование данных по DESDES-56, в планах - Diffie-Hellman, CBC--56, в планах - Diffie-Hellman, CBC-AES-128;AES-128;

3 уровня безопасности: 3 уровня безопасности: noAuthNoPrivnoAuthNoPriv - пароли передаются в - пароли передаются в открытом виде, конфиденциальность данных отсутствует; открытом виде, конфиденциальность данных отсутствует; authNoPrivauthNoPriv - аутентификация без конфиденциальности; - аутентификация без конфиденциальности; authPrivauthPriv - - аутентификация и шифрование, максимальный уровень аутентификация и шифрование, максимальный уровень защищенности.защищенности.

1111

ПрименениеПрименение

Управление сетевыми устройствамиУправление сетевыми устройствами

Мониторинг состоянияМониторинг состояния устройств и устройств и каналов связиканалов связи

Визуализация топологии сети (Визуализация топологии сети (LLDP, LLDP, CDP, LLTDCDP, LLTD))

СигнализацияСигнализация

Инвентаризация устройствИнвентаризация устройств

1212

Ваши вопросы!Ваши вопросы!