Embed Size (px)
DESCRIPTION
Презентация к докладу "Управляем сетью легко: волшебный SNMP"10-Strike Software
Citation preview
Управляем сетью легко:Управляем сетью легко:Волшебный Волшебный SNMPSNMP
Докладчик: Алексей Мараховец
10-Strike Software
www.10-strike.com
“Ну и запросы у вас... - сказала база данных и повисла.”
22
Что такое Что такое SNMPSNMP??
Простой протокол управления сетью;Простой протокол управления сетью;
Универсальный язык общения с Универсальный язык общения с «умным» сетевым «железом»;«умным» сетевым «железом»;
Способ узнать об устройстве много Способ узнать об устройстве много интересного.интересного.
33
Как это работает?Как это работает?
MIB – Men In BlackMIB – Men In Black? ?
Таинственные Таинственные OIDOIDы в дереве ы в дереве MIBMIB;;
Абстрактный синтаксис Абстрактный синтаксис ASN.1ASN.1..
SNMP-SNMP-агент;агент;
44
Management Information Base Management Information Base 1: 1.2.840.10006.300.43.1.2.1.1.2.1 = 32768 [Integer]1: 1.2.840.10006.300.43.1.2.1.1.2.1 = 32768 [Integer]……746: 1.3.6.1.2.1.1.1.0 = "Cisco Internetwork Operating System Software IOS (tm) C2950 Software (C2950-I6Q4L2-746: 1.3.6.1.2.1.1.1.0 = "Cisco Internetwork Operating System Software IOS (tm) C2950 Software (C2950-I6Q4L2-747: 1.3.6.1.2.1.1.2.0 = 1.3.6.1.4.1.9.1.324 [ObjectIdentifier]747: 1.3.6.1.2.1.1.2.0 = 1.3.6.1.4.1.9.1.324 [ObjectIdentifier]748: 1.3.6.1.2.1.1.3.0 = 36,9:5:31.900 [TimeTicks]748: 1.3.6.1.2.1.1.3.0 = 36,9:5:31.900 [TimeTicks]749: 1.3.6.1.2.1.1.4.0 = "" [Octets]749: 1.3.6.1.2.1.1.4.0 = "" [Octets]750: 1.3.6.1.2.1.1.5.0 = "NIO-22_510" [Octets]750: 1.3.6.1.2.1.1.5.0 = "NIO-22_510" [Octets]751: 1.3.6.1.2.1.1.6.0 = "" [Octets]751: 1.3.6.1.2.1.1.6.0 = "" [Octets]752: 1.3.6.1.2.1.1.7.0 = 2 [Integer]752: 1.3.6.1.2.1.1.7.0 = 2 [Integer]753: 1.3.6.1.2.1.1.8.0 = 0,0:0:0.000 [TimeTicks]753: 1.3.6.1.2.1.1.8.0 = 0,0:0:0.000 [TimeTicks]754: 1.3.6.1.2.1.2.1.0 = 26 [Integer]754: 1.3.6.1.2.1.2.1.0 = 26 [Integer]755: 1.3.6.1.2.1.2.2.1.1.1 = 1 [Integer]755: 1.3.6.1.2.1.2.2.1.1.1 = 1 [Integer]759: 1.3.6.1.2.1.2.2.1.1.5 = 5 [Integer]759: 1.3.6.1.2.1.2.2.1.1.5 = 5 [Integer]760: 1.3.6.1.2.1.2.2.1.1.6 = 6 [Integer]760: 1.3.6.1.2.1.2.2.1.1.6 = 6 [Integer]761: 1.3.6.1.2.1.2.2.1.1.7 = 7 [Integer]761: 1.3.6.1.2.1.2.2.1.1.7 = 7 [Integer]762: 1.3.6.1.2.1.2.2.1.1.8 = 8 [Integer]762: 1.3.6.1.2.1.2.2.1.1.8 = 8 [Integer]763: 1.3.6.1.2.1.2.2.1.1.9 = 9 [Integer]763: 1.3.6.1.2.1.2.2.1.1.9 = 9 [Integer]781: 1.3.6.1.2.1.2.2.1.2.1 = "FastEthernet0/1" [Octets]781: 1.3.6.1.2.1.2.2.1.2.1 = "FastEthernet0/1" [Octets]782: 1.3.6.1.2.1.2.2.1.2.2 = "FastEthernet0/2" [Octets]782: 1.3.6.1.2.1.2.2.1.2.2 = "FastEthernet0/2" [Octets]783: 1.3.6.1.2.1.2.2.1.2.3 = "FastEthernet0/3" [Octets]783: 1.3.6.1.2.1.2.2.1.2.3 = "FastEthernet0/3" [Octets]……11024: 1.3.6.1.4.1.9.9.134.1.1.3.0 = 1.3.6.1.6.1.1 [ObjectIdentifier]11024: 1.3.6.1.4.1.9.9.134.1.1.3.0 = 1.3.6.1.6.1.1 [ObjectIdentifier]
Сложно?
55
Конечно можно проще!Конечно можно проще!IP-MIB DEFINITIONS ::= BEGINIP-MIB DEFINITIONS ::= BEGIN
IMPORTSIMPORTS MODULE-IDENTITY, OBJECT-TYPE, Integer32,MODULE-IDENTITY, OBJECT-TYPE, Integer32, Counter32, IpAddress, mib-2 FROM SNMPv2-SMICounter32, IpAddress, mib-2 FROM SNMPv2-SMI PhysAddress FROM SNMPv2-TCPhysAddress FROM SNMPv2-TC MODULE-COMPLIANCE, OBJECT-GROUP FROM MODULE-COMPLIANCE, OBJECT-GROUP FROM
SNMPv2-CONF;SNMPv2-CONF;
ipMIB MODULE-IDENTITYipMIB MODULE-IDENTITY LAST-UPDATED "9411010000Z"LAST-UPDATED "9411010000Z" ORGANIZATION "IETF SNMPv2 Working Group"ORGANIZATION "IETF SNMPv2 Working Group" CONTACT-INFOCONTACT-INFO " Keith McCloghrie" Keith McCloghrie Postal: Cisco Systems, Inc.Postal: Cisco Systems, Inc. 170 West Tasman Drive170 West Tasman Drive San Jose, CA 95134-1706San Jose, CA 95134-1706 USUS Phone: +1 408 526 5260Phone: +1 408 526 5260 Email: [email protected]"Email: [email protected]" DESCRIPTIONDESCRIPTION "The MIB module for managing IP and ICMP "The MIB module for managing IP and ICMP
implementations,implementations, but excluding their management of IP routes."but excluding their management of IP routes." REVISION "9103310000Z"REVISION "9103310000Z" DESCRIPTIONDESCRIPTION "The initial revision of this MIB module was part of MIB-"The initial revision of this MIB module was part of MIB- II."II." ::= { mib-2 48}::= { mib-2 48}
-- the IP group-- the IP group
ip OBJECT IDENTIFIER ::= { mib-2 4 }ip OBJECT IDENTIFIER ::= { mib-2 4 }
ipForwarding OBJECT-TYPEipForwarding OBJECT-TYPE SYNTAX INTEGER {SYNTAX INTEGER { forwarding(1), -- acting as a routerforwarding(1), -- acting as a router notForwarding(2) -- NOT acting as a routernotForwarding(2) -- NOT acting as a router }} MAX-ACCESS read-writeMAX-ACCESS read-write STATUS currentSTATUS current DESCRIPTIONDESCRIPTION "The indication of whether this entity is acting as an IP"The indication of whether this entity is acting as an IP router in respect to the forwarding of datagrams router in respect to the forwarding of datagrams
receivedreceived by, but not addressed to, this entity. IP routers forwardby, but not addressed to, this entity. IP routers forward
+ =
1: 1.2.840.10006.300.43.1.2.1.1.2.1 = 32768 [Integer]1: 1.2.840.10006.300.43.1.2.1.1.2.1 = 32768 [Integer]……746: 1.3.6.1.2.1.1.1.0 = "Cisco Internetwork Operating 746: 1.3.6.1.2.1.1.1.0 = "Cisco Internetwork Operating
System Software IOS (tm) C2950 Software System Software IOS (tm) C2950 Software (C2950-I6Q4L2-(C2950-I6Q4L2-
747: 1.3.6.1.2.1.1.2.0 = 1.3.6.1.4.1.9.1.324 747: 1.3.6.1.2.1.1.2.0 = 1.3.6.1.4.1.9.1.324 [ObjectIdentifier][ObjectIdentifier]
748: 1.3.6.1.2.1.1.3.0 = 36,9:5:31.900 [TimeTicks]748: 1.3.6.1.2.1.1.3.0 = 36,9:5:31.900 [TimeTicks]749: 1.3.6.1.2.1.1.4.0 = "" [Octets]749: 1.3.6.1.2.1.1.4.0 = "" [Octets]750: 1.3.6.1.2.1.1.5.0 = "NIO-22_510" [Octets]750: 1.3.6.1.2.1.1.5.0 = "NIO-22_510" [Octets]751: 1.3.6.1.2.1.1.6.0 = "" [Octets]751: 1.3.6.1.2.1.1.6.0 = "" [Octets]752: 1.3.6.1.2.1.1.7.0 = 2 [Integer]752: 1.3.6.1.2.1.1.7.0 = 2 [Integer]753: 1.3.6.1.2.1.1.8.0 = 0,0:0:0.000 [TimeTicks]753: 1.3.6.1.2.1.1.8.0 = 0,0:0:0.000 [TimeTicks]754: 1.3.6.1.2.1.2.1.0 = 26 [Integer]754: 1.3.6.1.2.1.2.1.0 = 26 [Integer]755: 1.3.6.1.2.1.2.2.1.1.1 = 1 [Integer]755: 1.3.6.1.2.1.2.2.1.1.1 = 1 [Integer]759: 1.3.6.1.2.1.2.2.1.1.5 = 5 [Integer]759: 1.3.6.1.2.1.2.2.1.1.5 = 5 [Integer]760: 1.3.6.1.2.1.2.2.1.1.6 = 6 [Integer]760: 1.3.6.1.2.1.2.2.1.1.6 = 6 [Integer]761: 1.3.6.1.2.1.2.2.1.1.7 = 7 [Integer]761: 1.3.6.1.2.1.2.2.1.1.7 = 7 [Integer]762: 1.3.6.1.2.1.2.2.1.1.8 = 8 [Integer]762: 1.3.6.1.2.1.2.2.1.1.8 = 8 [Integer]763: 1.3.6.1.2.1.2.2.1.1.9 = 9 [Integer]763: 1.3.6.1.2.1.2.2.1.1.9 = 9 [Integer]781: 1.3.6.1.2.1.2.2.1.2.1 = "FastEthernet0/1" [Octets]781: 1.3.6.1.2.1.2.2.1.2.1 = "FastEthernet0/1" [Octets]782: 1.3.6.1.2.1.2.2.1.2.2 = "FastEthernet0/2" [Octets]782: 1.3.6.1.2.1.2.2.1.2.2 = "FastEthernet0/2" [Octets]783: 1.3.6.1.2.1.2.2.1.2.3 = "FastEthernet0/3" [Octets]783: 1.3.6.1.2.1.2.2.1.2.3 = "FastEthernet0/3" [Octets]……11024: 1.3.6.1.4.1.9.9.134.1.1.3.0 = 1.3.6.1.6.1.1 11024: 1.3.6.1.4.1.9.9.134.1.1.3.0 = 1.3.6.1.6.1.1
[ObjectIdentifier][ObjectIdentifier]
66
Язык запросовЯзык запросов
GETGETGET NEXTGET NEXTBULK (v2+)BULK (v2+)SETSETTRAP, INFORMTRAP, INFORM
И всё?
77
Немного картинокНемного картинок
88
Где это работает?Где это работает?
ВЕЗДЕВЕЗДЕ
WindowsWindows
Linux Linux и другие *и другие *nixnix
MAC OSMAC OS
IOS ≠ iOSIOS ≠ iOS
SUN SolarisSUN Solaris
99
Реализация в разных ОСРеализация в разных ОС
Системная «Служба SNMP»
Демон snmpd из разных пакетов; утилиты Net-SNMP
Mac OS X Server 10.1.5+ включает пакет UCD-SNMP. Агент snmpd
Функция ОС. Прошивка ПЗУ
Демон snmpd из пакета «netsnmp»
1010
БезопасностьБезопасность
SNMP v1, 2, 2cSNMP v1, 2, 2c
SNMP v3:SNMP v3:
Read / write community (“public”)
User-Based Security ModelUser-Based Security Model ( (модуль аутентификации, модуль модуль аутентификации, модуль шифрования и модуль контроля временишифрования и модуль контроля времени)); ;
Аутентификация HMAC-MD5 и HMAC-SHA; Аутентификация HMAC-MD5 и HMAC-SHA;
Шифрование данных по Шифрование данных по DESDES-56, в планах - Diffie-Hellman, CBC--56, в планах - Diffie-Hellman, CBC-AES-128;AES-128;
3 уровня безопасности: 3 уровня безопасности: noAuthNoPrivnoAuthNoPriv - пароли передаются в - пароли передаются в открытом виде, конфиденциальность данных отсутствует; открытом виде, конфиденциальность данных отсутствует; authNoPrivauthNoPriv - аутентификация без конфиденциальности; - аутентификация без конфиденциальности; authPrivauthPriv - - аутентификация и шифрование, максимальный уровень аутентификация и шифрование, максимальный уровень защищенности.защищенности.
1111
ПрименениеПрименение
Управление сетевыми устройствамиУправление сетевыми устройствами
Мониторинг состоянияМониторинг состояния устройств и устройств и каналов связиканалов связи
Визуализация топологии сети (Визуализация топологии сети (LLDP, LLDP, CDP, LLTDCDP, LLTD))
СигнализацияСигнализация
Инвентаризация устройствИнвентаризация устройств
1212
Ваши вопросы!Ваши вопросы!
