Snmp community что это
Как настраивать SNMP Community Strings
Параметры загрузки
Об этом переводе
Этот документ был переведен Cisco с помощью машинного перевода, при ограниченном участии переводчика, чтобы сделать материалы и ресурсы поддержки доступными пользователям на их родном языке. Обратите внимание: даже лучший машинный перевод не может быть настолько точным и правильным, как перевод, выполненный профессиональным переводчиком. Компания Cisco Systems, Inc. не несет ответственности за точность этих переводов и рекомендует обращаться к английской версии документа (ссылка предоставлена) для уточнения.
Содержание
Введение
Этот документ поясняет процедуру настройки строки имени и пароля протокола SNMP на маршрутизаторах Cisco, модульных коммутаторах с функциями маршрутизатора (RSM) и коммутаторах Catalyst. В контексте этого документа термин «настройка» включает в себя проверку, включение, изменение и отключение строк сообщества SNMP.
Предварительные условия
Требования
Для этого документа отсутствуют особые требования.
Используемые компоненты
Настоящий документ не имеет жесткой привязки к каким-либо конкретным версиям программного обеспечения и оборудования.
Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.
Условные обозначения
Как настроить строки имени и пароля SNMP на маршрутизаторе и коммутаторе XL Catalyst под управлением ПО Cisco IOS
Включите строки имени и пароля SNMP
Эта процедура аналогична для маршрутизаторов и коммутаторов Catalyst серии XL под управлением программного обеспечения Cisco IOS.
Telnet к маршрутизатору:
Введите enable password в командной строке для перехода в режим enable:
Отобразить текущую конфигурацию и найти сведения о протоколе SNMP:
Примечание. Если сведения о SNMP отсутствуют, продолжайте выполнение описанных шагов. Если представлены какие-нибудь команды SNMP, то их можно изменить или отключить.
Перейдите в режим настройки конфигурации:
Используйте эту команду для включения строки имени и пароля, доступной только для чтения (RO):
где «public» является строкой имени и пароля, доступной только для чтения.
Используйте эту команду для включения строки сообщества, доступной только для чтения (RO):
Router(config)#snmp-server community private RW
где “private” – это идентификационная строка имени и пароля для чтения и записи.
Выйдите из режима настройки конфигурации и вернитесь к основному приглашению:
Запишите измененную конфигурацию в энергонезависимую оперативную память (NVRAM), чтобы сохранить настройки:
Проверьте строки сообщества SNMP
Вот как проверить строки сообщества SNMP.
Убедитесь, что между сервером управления сетью (NMS) и маршрутизатором установлено соединение TCP/IP:
Telnet к маршрутизатору:
Введите enable password в командной строке для перехода в режим enable:
Отобразить текущую конфигурацию и найти сведения о протоколе SNMP:
В этом примере выходных данных «public» является строкой сообщества, доступной только для чтения, а «private» — строкой сообщества, доступной для чтения и записи.
Примечание. Если вы не видите никаких операторов «snmp-server», протокол SNMP не включен на маршрутизаторе.
Либо выполните команду show snmp в привилегированном режиме. Это сообщение также указывает, что протокол SNMP не включен на данном маршрутизаторе:
Выйдите из режима включения и вернитесь к главному приглашению командной строки:
Измените строки имени и пароля SNMP
Выполните эти шаги, чтобы изменить строки сообщества SNMP.
Telnet к маршрутизатору:
Введите enable password в командной строке для перехода в режим enable:
Отобразить текущую конфигурацию и найти сведения о протоколе SNMP:
Перейдите в режим настройки конфигурации:
Для изменения текущей строки сообщества, доступной только для чтения (RO), выполните следующие действия:
Удалите текущую строку сообщества, доступную только для чтения (RO), с помощью следующей команды:
Router(config)#no snmp-server community public RO (где «public» — это строка сообщества, доступная только для чтения),
Введите новую строку сообщества, доступную только для чтения (RO), с помощью следующей команды:
Router(config)#snmp-server community XXXX RO (где «XXXX» — строка сообщества, доступная только для чтения),
Для изменения текущей строки сообщества, доступной для чтения и записи (RW), выполните следующие действия:
Удалите текущую строку сообщества, доступную для чтения и записи (RW), с помощью следующей команды:
Router(config)#no snmp-server community private RW (где «private» — строка сообщества, доступная для чтения и записи),
Введите новую строку сообщества, доступную для чтения и записи (RW), с помощью следующей команды:
Router(config)#snmp-server community YYYY RW (где «YYYY» — строка сообщества, доступная для чтения и записи),
Выйдите из режима настройки конфигурации и вернитесь к основному приглашению:
Запишите измененную конфигурацию в энергонезависимую оперативную память (NVRAM), чтобы сохранить настройки:
Отключение/удаление строк имени и пароля SNMP
Выполните эти действия, чтобы отключить или удалить строки сообщества SMMP.
Telnet к маршрутизатору:
Введите enable password в командной строке для перехода в режим enable:
Отобразить текущую конфигурацию и найти сведения о протоколе SNMP:
Перейдите в режим настройки конфигурации:
Для отключения или удаления текущей строки сообщества, доступной только для чтения (RO), используйте следующую команду:
где «public» является строкой имени и пароля, доступной только для чтения
Для отключения или удаления текущей строки сообщества, доступной для чтения и записи (RW), используйте следующую команду:
где “private” – это идентификационная строка имени и пароля для чтения и записи
Выйдите из режима настройки конфигурации и вернитесь к основному приглашению:
Запишите измененную конфигурацию в энергонезависимую оперативную память (NVRAM), чтобы сохранить настройки:
Настройка строк сообщества SNMP для модуля коммутатора маршрутов
Включите строки имени и пароля SNMP
Проверьте строки сообщества SNMP
Выполните эту процедуру для проверки строк сообщества SNMP на RSM.
Telnet к коммутатору Catalyst (в нашем примере используется Catalyst 5500):
Введите enable password в командной строке для перехода в режим enable:
Выполните команду show module, чтобы отобразить системные модули и определить местоположение модуля RSM. Например:
После определения Mod number запустите «сеанс» модуля RSM. Например:
Введите enable password в командной строке для перехода в режим enable:
Отобразить текущую конфигурацию и найти сведения о протоколе SNMP:
В этом примере выходных данных «public» является строкой сообщества, доступной только для чтения, а «private» — строкой сообщества, доступной для чтения и записи.
Примечание. Если вы не видите никаких операторов «snmp-server», протокол SNMP не включен на маршрутизаторе.
Альтернативно, можно подать команду show snmp во включенном режиме. Это сообщение также указывает, что протокол SNMP не включен на данном маршрутизаторе.
Выйдите из режима включения и вернитесь к главному приглашению командной строки:
Измените строки имени и пароля SNMP
Отключение/удаление строк имени и пароля SNMP
Как настроить SNMP-строки сообщества для карты MSFC
Включите строки имени и пароля SNMP
На функциональной карте многоуровневого коммутатора (MSFC) выполняется тот же программный код Cisco IOS, что и на маршрутизаторах. Для включения SNMP можно выполнить процедуру, аналогичную описанной в.
Проверьте строки сообщества SNMP
Вот как проверить строки сообщества SNMP на функциональной карте многоуровневого коммутатора (MSFC).
Telnet к коммутатору Catalyst (в данном примере используется Catalyst 6509):
Введите enable password в командной строке для перехода в режим enable:
Выполните команду show module, чтобы отобразить системные модули и определить местоположение модуля MSFC. Например:
После определения номера Mod начните «сеанс» с модулем MSFC. Например:
Введите enable password в командной строке для перехода в режим enable:
Отобразить текущую конфигурацию и найти сведения о протоколе SNMP:
В этом примере выходных данных «public» является строкой сообщества, доступной только для чтения, а «private» — строкой сообщества, доступной для чтения и записи.
Примечание. Если вы не видите никаких операторов «snmp-server», протокол SNMP не включен на маршрутизаторе.
Альтернативно, можно подать команду show snmp во включенном режиме. Это сообщение также указывает, что протокол SNMP не включен на данном маршрутизаторе:
Выйдите из режима включения и вернитесь к главному приглашению командной строки:
Измените строки имени и пароля SNMP
MSFC работает под управлением того же программного обеспечения Cisco IOS, что и маршрутизаторы. Для изменения SNMP можно выполнить процедуру, аналогичную описанной в примере для маршрутизатора.
Отключение/удаление строк имени и пароля SNMP
MSFC работает под управлением того же программного обеспечения Cisco IOS, что и маршрутизаторы. Для отключения SNMP можно выполнить процедуру, аналогичную описанной в примере для маршрутизатора.
Как конфигурировать строки сообщества SNMP на коммутаторе Catalyst
На коммутаторах Catalyst серий 4000, 5000 и 6000, на которых работает обычная операционная система (ОС) Catalyst, протокол SNMP включен по умолчанию с набором строк сообщества со следующими настройками:
Устройства, предназначенные только для чтения: Public
Зная эти строки сообщества и IP-адрес интерфейса управления коммутатора, любой пользователь может изменить конфигурацию устройства. Необходимо изменить строки сообщества на коммутаторе Catalyst сразу после установки устройства в сети. Это очень важно.
Включите строки имени и пароля SNMP
Выполните эти действия, чтобы включить строки сообщества SNMP на коммутаторе Catalyst.
Telnet к коммутатору Catalyst (в данном примере используется Catalyst 5500):
Введите enable password в командной строке для перехода в режим enable:
Для того чтобы строка сообщества была доступна только для чтения (RO), используйте следующую команду:
(где «XXXX» – строка имени и пароля только для чтения),
Для того чтобы строка сообщества была доступна для чтения и записи (RW), используйте следующую команду:
Примечание. Коммутаторы Catalyst серий 4000, 5000 и 6000 не имеют загрузочных конфигураций. Поэтому, в отличие от маршрутизаторов, в этих коммутаторах нет команды write memory.
Убедитесь, что новые строки сообщества добавлены:
Проверьте строки сообщества SNMP
Выполните эти действия для настройки строк сообщества SNMP на коммутаторе Catalyst.
Telnet к коммутатору Catalyst (в данном примере используется Catalyst 5500):
Введите enable password в командной строке для перехода в режим enable:
Выполните команду show snmp, чтобы отобразить текущие сведения об SNMP и выполнить поиск информации о строках доступа. Например:
Измените строки имени и пароля SNMP
Выполните эти действия для изменения строк сообщества SNMP на коммутаторе Catalyst.
Telnet к коммутатору Catalyst (в данном примере используется Catalyst 5500):
Введите enable password в командной строке для перехода в режим enable:
Для изменения строки сообщества, доступной только для чтения (RO), используйте следующую команду:
где «public» является строкой имени и пароля, доступной только для чтения. Эта команда перезаписывает существующую строку сообщества (если есть на коммутаторе).
Для включения строки сообщества, доступной для чтения и записи (RW), используйте следующую команду:
где “private” – это идентификационная строка имени и пароля для чтения и записи. Эта команда перезаписывает существующую строку сообщества (если есть на коммутаторе).
Примечание. ОС Catalyst поддерживает только одну строку сообщества для каждого из сообществ read-only, read-write и read-write-all. В отличие от Cisco IOS, здесь нельзя настроить несколько строк сообщества.
Выполните команду show snmp, чтобы отобразить текущие сведения об SNMP и выполнить поиск информации о строках доступа. Например:
Отключение/удаление строк имени и пароля SNMP
Выполните эти действия, чтобы отключить или удалить строки сообщества SNMP на коммутаторе Catalyst.
Telnet к коммутатору Catalyst (в данном примере используется Catalyst 5500):
Введите enable password в командной строке для перехода в режим enable:
Для удаления строки сообщества, доступной только для чтения (RO), используйте следующую команду:
Для удаления строки сообщества, доступной для чтения и записи (RW), используйте следующую команду:
Убедитесь, что строки сообщества удалены. Например:
Как видим, столбец «Community-String» пуст. Это указывает, что строки сообщества, доступные только для чтения и для чтения и записи, удалены.
Протокол управления SNMP
Simple Network Management Protocol (SNMP) — это протокол прикладного уровня, он делает возможным обмен данными между сетевыми устройствами.
SNMP — это не продукт, а свод правил. Он определен Советом по архитектуре Интернета и является частью пакета TCP/IP. SNMP управляется и поддерживается Инженерной группой Интернета (IETF).
Протокол позволяет системному администратору проводить мониторинг, контролировать производительность сети и изменять конфигурацию подключенных устройств. SNMP используют в сетях любого размера: чем крупнее сеть, тем лучше раскрываются преимущества протокола. Он позволяет просматривать, контролировать и управлять узлами через единый интерфейс с функциями пакетных команд и автоматического оповещения.
Таким образом, SNMP избавляет администратора от необходимости ввода команд вручную. Всего были разработаны и развернуты три версии. Все они используются до сих пор, а самой распространенной стала вторая — SNMPv2с.
Архитектура SNMP
Компоненты, составляющие архитектуру SNMP:
Сетевая станция управления — NMS
Network Management Station (NMS) удаленно мониторит управляемые устройства, получает данные, собранные мастер-агентами, отслеживает производительность и представляет полученную информацию в графическом виде. Встроенный менеджер NMS отвечает за связь с агентами.
Агенты
Мастер-агент
Это программа, связывающая сетевых менеджеров и субагентов. Мастер-агент анализирует запросы сетевого менеджера NMS и пересылает их субагентам, собирает и формирует ответы субагентов и отправляет их менеджеру. Мастер-агент уведомляет менеджера, если запрос некорректен или запрошенная информация недоступна.
Субагент
Это программа, поставляемая вендором вместе с сетевым устройством. Субагент пересылает собранную информацию мастер-агенту. У каждого управляемого компонента есть соответствующий субагент.
Управляемый компонент
Это подключенное к сети устройство или программное обеспечение с встроенным субагентом. К таким устройствам относятся не только маршрутизаторы, коммутаторы и серверы, но и IP-видеокамеры, МФУ и IP-телефоны. К софту с субагентами также относятся антивирусные программы, системы резервного копирования, ПО для систем ИБП.
База управляющей информации — MIB
MIB — это иерархическая база данных со сведениями об устройстве. У каждого типа устройства своя MIB-таблица: у принтера в ней содержится информация о состоянии картриджей, а у коммутатора — данные о трафике. Благодаря MIB менеджер знает, какую информацию он может запросить у агента устройства.
Идентификатор объекта — OID
Каждый объект в MIB имеет свой уникальный ID — OID, который представлен в числовом формате и имеет иерархическую структуру. OID — это числовой эквивалент пути к файлу. Он присваивает значения каждой таблице в MIB, каждому столбцу в таблице и каждому значению в столбце.
Например, OID 1.3.6.1.4.868.2.4.1.1.1.3.3562.3. означает iso.org.dod.internet.private.transition.products.chassis.card.slotCps.
cpsSlotSummary.cpsModuleTable.cpsModuleEntry.cpsModuleModel.3562.3.
Используя первые 6 цифр этого OID, можно пройти по дереву на схеме.
Часть значений в OID содержит данные о производителе устройства, что позволяет быстро получить определенную информацию о девайсе.
Древовидная иерархия MIB и OID в SNMP выглядит несколько запутанной, но у нее есть свои преимущества. Это простая и гибкая система организации сетевых устройств, она работает вне зависимости от размера сети.
Теория и логика работы протокола SNMP
Предназначение
Изначально протокол должен был предоставить системным администраторам инструмент для управления интернетом. Однако, гибкая архитектура SNMP позволила проводить мониторинг всех сетевых устройств и управлять ими с одной консоли. Это и стало причиной распространения SNMP.
Менеджеры и агенты обмениваются данными через протокол UDP. Вместо него также может использоваться TCP, IPX или протокол MAC-уровня. Обмен данными основан на Protocol Data Unit (PDU).
Всего в SNMP семь PDU:
TRAP, GETBULK — есть только во второй и третьей версиях протокола SNMP.
Схема PDU
| IP заголовок | TCP/IP | TCP/IP |
| UDP заголовок | TCP/IP | TCP/IP |
| Версия SNMP | v1/v2/v3 | PDU |
| Строка сообщества | Public, Private | PDU |
| Тип PDU | Get, GetNext, Response, Set, Trap, GetBulk, Inform | PDU |
| ID запроса | Идентификатор запроса | PDU |
| Статус ошибки | 0, 1, 2, 3, 4, 5 | PDU |
| Индекс ошибки | 0, 1 | PDU |
| Связанные переменные | Одна или несколько переменных в запросе | PDU |
Применение
Статусы ошибок и их описание.
Сетевые порты SNMP
По умолчанию SNMP использует UDP-порты 161 и 162. Менеджер отправляет запросы на порт 161 агента. С порта 161 агент отправляет ответ менеджеру. При отправке запроса менеджер добавляет к нему ID, а агент вставляет этот ID в ответ, чтобы менеджер мог связать свой запрос с ответом агента.
Ловушки агент высылает на порт 162 менеджера. Если используется DLTS или TLS, то агент высылает сообщения на порт 10162, а менеджер — на порт 10161. Администратор может изменить порты SNMP, используемые по умолчанию, на любые другие.
Ловушки
Ловушка (Trap) — это важнейший способ коммуникации в SNMP. Менеджер отвечает за большое количество устройств, на многих из них может быть несколько управляемых компонентов. Агент отправляет ловушку по своей инициативе, когда необходимо сообщить менеджеру о событии. Например, ловушка может выслать отчет о перегреве машины или о том, что в тонере закончились чернила.
Получив уведомление, менеджер выбирает нужное действие, например, опрашивает агента, чтобы получить полное представление о том, что произошло. Перечень уведомлений, которые посылает ловушка:
В SNMP есть два типа ловушек: Trap и Inform. Отличия между ними в том, что после получения Inform менеджер подтверждает получение ловушки. В противном случае агент будет отправлять Inform, пока не получит подтверждения. А вот после получения Trap менеджер не отправляет подтверждение. Если сообщение не дошло до менеджера, агент об этом не узнает.
Версии протокола SNMP
SNMPv1
Первая версия протокола создана в 80-х годах XX века. Легка в настройке — требуется только строка community. Версия широко используется до сих пор.
SNMPv2с
Вторая версия протокола SNMP появилась в 1993 году. Разработчики добавили в нее новый запрос GetBulk и ловушку Inform, а также усовершенствовали безопасность.
У этой версии есть два способа коммуницировать с устройствами, поддерживающими SNMPv1: двуязычная система сетевого управления и прокси-агенты. Прокси-агенты выполняют роль мастер-агентов, а в двуязычной системе управления менеджер определяет, какую версию SNMP поддерживает агент, и связывается с ним через SNMPv1 или SNMPv2c.
SNMPv3
Третья версия вышла в 1998 году. Разработчики добавили в SNMP криптографическую защиту, облегчили удаленную настройку и администрирование объектов. Этого удалось достичь за счет определения набора стандартизованных объектов управления, называемых объектами MIB удаленного сетевого мониторинга, — RMON MIB.
Безопасность
Изначально безопасность не была первоочередной задачей разработчиков. Первая версия SNMP была создана для удаленного администрирования во времена, когда угроза несанкционированного доступа была минимальной. Поэтому SNMPv1 слабо защищена от взлома, и злоумышленники могли использовать ее для проникновения в сетевую инфраструктуру.
В работе над второй версией протокола разработчики предложили несколько вариантов решения. Распространение получил вариант SNMPv2c — не самый надежный, но простой в использовании.
Основная проблема с безопасностью в том, что почти все оборудование поддерживает версию SNMPv1. И только часть работает с версиями SNMPv2с и SNMPv3. Именно поэтому самой популярной стала SNMPv2с. Она способна работать с устройствами, которые поддерживают первую или вторую версии SNMP.
Модели безопасности протоколов SNMP по версиям
| SNMPv1 | Community–based security |
| SNMPv2c | Community–based security |
| SNMPv2u | User–based security |
| SNMPv2 | Party–based security |
| SNMPv3 | User–based security |
Community-based Security — модель безопасности на основе строки сообщества. Фактически это идентификатор пользователя или пароль, который отправляется вместе с запросом. Если строка сообщества неверна, агент игнорирует запрос.
Строка сообщества зависит от вендора устройства. Часто вендоры по умолчанию выбирают «PUBLIC» в качестве пароля, поэтому первым делом на новых устройствах нужно изменить строку сообщества для защиты сети от злоумышленников.
Строки сообщества бывают трех видов:
Строка сообщества широко используется из-за своей простоты и наличия внешних систем безопасности.
Party-based Security Model — модель на основе так называемых «сторон». Для коммуникации между менеджером и агентов выбирается логическая сущность, называемая стороной. Она устанавливает протоколы аутентификации и шифрования, а отправитель и получатель соглашаются со способом шифрования и дешифровки данных. Сложность использования модели помешала ее распространению среди пользователей.
User-based Security Model — модель безопасности на основе пользователей. Уровни аутентификации, безопасности и конфиденциальности протоколов и ключей настраиваются у агента и менеджера.
Лучше всего безопасность проработана в третьей версии SNMP за счет USM и VACM. Упрощенно VACM (View-based Access Control Model) можно описать как модель с разными уровнями доступа для групп менеджеров. При получении запроса агент решает, разрешен ли определенной группе менеджеров доступ к чтению, записи и получению уведомлений.
Типичные проблемы безопасности
Если системный администратор не использует SNMP, то он должен отключить его на устройствах.
Практическое применение протокола
С помощью SNMP администратор управляет приложениям и облачными сервисами, администрирует локальную сеть и контролирует состояние сервера с одной консоли.
Возможности SNMP-протокола
Благодаря протоколу администратор может:
При помощи стороннего ПО можно также:
SNMP и переход с IPv4 на IPv6
Протокол по умолчанию должен работать с IPv4 или IPv6. На практике IPv6 создает определенные проблемы для работы SNMP. Эти проблемы связаны объектами MIB, содержащими сетевые адреса. OID в MIB хранят информацию для нескольких уровней TCP/IP, и различия между IPv4 и IPv6 будут отражены в OID.
Отсутствие поддержки IPv6 в существующих объектах MIB проявляется двумя способами:
Эти проблемы решаются также двумя способами:
Инсталляция
Настройка SNMP в Windows
Она подробно описана в документации Microsoft.
Настройка данных агента SNMP
Пуск → Панель управления → Администрирование → Управление компьютером.
Настройка сообщества и ловушек SNMP
Пуск → Панель управления → Администрирование → Управление компьютером.
Настройка безопасности SNMP
Пуск → Панель управления → Администрирование → Управление компьютером.
Настройка SNMP в Linux
Настройка SNMP в CentOS 7
Сначала нужно установить последние обновления при помощи yum/dnf:
затем установить SNMP:
и создать копию конфигурационного файла:
теперь нужно отредактировать настройки агента
Локацию и email лучше указать реальные.
Пора добавить сервис в автозагрузку и перезапустить его:
Как проверить, что сервис запущен:
Опрос агента с помощью утилиты snmpwalk:
Опрос сервера локально командой:
Настройка SNMP в Debian 10
Сначала нужно установить демона, клиента и файлы:
После установки переходим к настройке SNMP в Debian.
Файлом настройки SNMP-агента по умолчанию является /etc/snmp/snmpd.conf. Агент SNMP может быть запущен с настройками по умолчанию. Однако для включения удаленного мониторинга нужно сделать несколько изменений. Для этого создайте резервную копию файла:
Теперь нужно изменить директиву agentAdress. Ее текущие настройки разрешают доступ только с локального компьютера. Для включения удаленного мониторинга необходимо определить IP-адрес интерфейса:
Для настройки аутентификации:
rocommunity предоставляет доступ только на чтение, а rwcommunity дает доступ к чтению/записи. В Access Control section нужно поместить строку
rocommunity S3CUrE 192.168.43.100
Кроме того, можно включить запрос с локального хоста rocommunity S3CUrE localhost:
Затем нужно перезапустить SNMP:
Чтобы добавить сервис в автозагрузку, введите:
SNMP — это простой и эффективный способ для сбора и обмена информацией между сетевыми устройствами, которые выпущены разными вендорами и работают на разном ПО. Этот протокол — не идеальное, но все еще одно из лучших решений для мониторинга и управления. На сегодняшний день нет другого инструмента с сопоставимым уровнем поддержки и использования.
Созданный 30 лет назад SNMP продолжает работать, потому что он обладает характеристиками, которых нет ни у одной из его аналогов. Он простой в использовании, бесплатный и поддерживается практически всеми вендорами.