SNMP

SNMP – простой протокол сетевого управления, позволяющий удалённо отслеживать некоторые системные параметры ARMA FW с помощью различных систем мониторинга.

В зависимости от выбранных опций может выполняться мониторинг:

  • общей системной информации – использование ЦП, памяти и диска;

  • сведений об устройстве, сетевого трафика;

  • сведений об интерфейсах, активных процессов и установленного ПО;

  • статусов туннелей IPsec.

За реализацию SNMP в ARMA FW отвечает сервис «snmpd». ARMA FW поддерживает следующие версии SNMP:

  • SNMP v.1, 2;

  • SNMP v.3.

MIB-файл

MIB-файл представляет собой БД, содержащую информацию об объектах устройства, с которым предстоит работа по протоколу SNMP. MIB-файл может быть использован при работе с ПО мониторинга SNMP.

Для ознакомления с идентификаторами объектов ARMA FW необходимо перейти во вкладку «OID» подраздела настройки SNMP («Система» - «Настройки» - «SNMP») (см. Рисунок – Идентификаторы объектов).

Компании «InfoWatch» предоставлен идентификатор «31115». Последующий идентификатор «100» соответствует продукту – ARMA FW.

Для экспорта MIB-файла ARMA FW необходимо нажать кнопку «bttn.save».

../../../_images/fw.rp.snmp.1.1.png

Рисунок – Идентификаторы объектов

В результате будет выполнен экспорт MIB-файла «INFOWATCH-MIB» в формате «txt».

SNMP v.1, 2

Настройка SNMP v.1, 2 подразумевает аутентификацию на основе единой текстовой строки «Community String» – своеобразного пароля. Удалённая пользовательская программа SNMP и агент SNMP должны использовать одно и то же значение Community Strings.

Настройка SNMP v.1, 2

Для настройки удалённого мониторинга по протоколам SNMP v.1, 2 необходимо выполнить следующие действия:

  1. Перейти в подраздел общих настроек SNMP («Система» - «Настройки» - «SNMP» - «Общие настройки») и установить флажок для параметра «Включить».

  2. Задать значение в поле параметра «Общая строка SNMP» и нажать кнопку «Сохранить» (см. Рисунок – Настройка SNMP v.1, 2).

../../../_images/fw.rp.snmp.2.1.1.png

Рисунок – Настройка SNMP v.1, 2

Дополнительные параметры SNMP v.1, 2.

В качестве дополнительной информации возможно указать расположение ARMA FW и контактную информацию в полях «Расположение SNMP» и «Контактная информация» соответственно.

В случае установки флажка для параметра «Отображать себя как Layer3 устройство» устройство будет позиционировать себя, как устройство в сети на уровне L3, то есть устройство с IP-адресами на сетевом уровне модели OSI. По умолчанию ARMA FW работает в сети на уровне L2, то есть как устройство с MAC-адресом.

В случае установки флажка для параметра «Отображать версию в OID» будет передаваться OID устройства для идентификации поставщика данного устройства. Используется, если иначе получить информацию об установленной системе и других характеристиках устройства через протокол SNMP не удаётся.

Проверка работы SNMP v.1, 2

Для проверки работы SNMP будет использоваться схема стенда, представленная на рисунке (см. Рисунок – Схема стенда для проверки SNMP). На ПК «Admin» установлено ПО мониторинга «PowerSNMP Free Manager».

../../../_images/fw.rp.snmp.2.2.1.png

Рисунок – Схема стенда для проверки SNMP

Для корректного отображения дерева объектов ARMA FW в «PowerSNMP Free Manager» следует импортировать файл «INFOWATCH-MIB.txt». Импорт выполняется нажатием кнопки «Load MIB…» в меню «Tools» и указанием MIB-файла в открывшемся окне проводника.

Для проверки работы SNMP v.1, 2 необходимо выполнить следующие действия:

  1. В ПО «PowerSNMP Free Manager» нажать правой кнопкой мыши на строку «SNMP Agents» и выбрать «Add Agent».

  2. В нижней части открывшегося окна нажать кнопку «Add Agent», указать IP-адрес ARMA FW, в «Community» значение, указанное в настройках ранее (см. «Настройка SNMP v.1, 2»), выбрать версию протокола «1» или «2», нажать «ОК» (см. Рисунок – Добавление SNMP агента, SNMP v.1, 2) и нажать «ОК».

../../../_images/fw.rp.snmp.2.2.2.png

Рисунок – Добавление SNMP агента, SNMP v.1, 2

  1. В правой области окна, в дереве доступных данных выбрать поле «1 sysDescr», нажать правой кнопкой мыши по IP-адресу ARMA FW в левой области окна и выбрать «Query…». Результатом будет получение информации о значениях параметров ARMA FW (см. Рисунок – Информация о значениях параметров ARMA FW).

../../../_images/fw.rp.snmp.2.2.3.png

Рисунок – Информация о значениях параметров ARMA FW

Может потребоваться ручное добавление объектов мониторинга (см. «Добавление объекта мониторинга»).

SNMP v.3

Настройка SNMP v.3 подразумевает аутентификацию на основе имени пользователя и пароля, а также шифрование трафика.

Настройка SNMP v.3

Для настройки удалённого мониторинга по протоколу SNMP v.3 необходимо выполнить следующие действия:

  1. Перейти в подраздел общих настроек SNMP («Система» - «Настройки» - «SNMP» - «Общие настройки») и установить флажок в параметре «Включить».

  2. Перейти во вкладку «Пользователи SNMP v.3» и нажать кнопку «bttn.plus».

  3. В открывшейся форме (см. Рисунок – Добавление пользователя SNMP v.3) заполнить поля «Имя пользователя», «Пароль», «Ключ шифрования» и нажать кнопку «Сохранить». Для обеспечения возможности редактирования дерева MIB, созданным пользователем, следует установить флажок для параметра «Разрешить запись». Параметры «Алгоритм хеша» и «Тип шифрования» изменить в случае необходимости.

../../../_images/fw.rp.snmp.3.1.1.png

Рисунок – Добавление пользователя SNMP v.3

Примечание

Пароль и ключ шифрования должен содержать от 8 до 64 символов. Допустимые символы:

0-9 a-z A-Z ._!#=%+$()/-

Проверка работы SNMP v.3

Для проверки работы SNMP будет использоваться схема стенда, представленная на рисунке (см. Рисунок – Схема стенда для проверки SNMP). На ПК «Admin» установлено ПО мониторинга «PowerSNMP Free Manager».

Для корректного отображения дерева объектов ARMA FW в «PowerSNMP Free Manager» следует импортировать файл «INFOWATCH-MIB.txt». Импорт выполняется нажатием кнопки «Load MIB…» в меню «Tools» и указанием MIB-файла в открывшемся окне проводника.

Для проверки работы SNMP v.3 необходимо выполнить следующие действия:

  1. В ПО «PowerSNMP Free Manager» нажать правой кнопкой мыши на строку «SNMP Agents» и выбрать «Add Agent».

  2. В нижней части открывшегося окна нажать кнопку «Add Agent», ввести IP-адрес ARMA FW, выбрать версию протокола «3», указать данные для аутентификации, заданные в настройках ранее (см. «Настройка SNMP v.3»), нажать «ОК» (см. Рисунок – Добавление SNMP агента (SNMP v.3)) и нажать «ОК».

../../../_images/fw.rp.snmp.3.2.1.png

Рисунок – Добавление SNMP агента (SNMP v.3)

  1. В правой области окна, в дереве доступных данных выбрать поле «1 sysDescr», нажать правой кнопкой мыши по IP-адресу ARMA FW в левой области окна и выбрать «Query…». Результатом будет получение информации о значениях параметров ARMA FW.

Может потребоваться ручное добавление объектов мониторинга (см. «Добавление объекта мониторинга»).

Добавление объекта мониторинга

Для ручного добавления объекта мониторинга в «PowerSNMP Free Manager» необходимо в дереве объектов нажать ПКМ на строку «100 services» (см. Рисунок – Добавление объекта мониторинга), выбрать «Add Watch…», в появившемся окне ввести в поле параметра «Variable IID» значение идентификатора интересующего объекта ARMA FW (см. Рисунок – Идентификаторы объектов) и нажать кнопку «Add».

../../../_images/fw.rp.snmp.3.2.1.1.png

Рисунок – Добавление объекта мониторинга

Проверка мониторинга IPsec

В качестве примера приведён мониторинг статусов трёх туннелей IPsec (см. Рисунок – Мониторинг IPsec по SNMP). Туннели IPsec предварительно добавлены вручную в «PowerSNMP Free Manager».

../../../_images/fw.rp.snmp.3.2.2.1.png

Рисунок – Мониторинг IPsec по SNMP

Возможно отображение следующих статусов туннеля IPsec в «PowerSNMP Free Manager»:

  • «CONNECTING» – соединение устанавливается;

  • «ESTABLISHED» – соединение установлено;

  • «NOT CONNECTED» – соединение не установлено;

  • «Dart.Snmp.SimpleType.NoSuchInstance» – туннель выключен.