SNMP

Протокол SNMP (Simple Network Management Protocol) предназначен для сбора, организации и управления информацией об управляемых сетевых устройствах в IP-сетях. Протокол позволяет осуществлять мониторинг состояния оборудования, получение данных о конфигурации и, при необходимости, изменение параметров устройства.

Системы ARMA Стена поддерживает SNMP версий SNMPv2c и SNMPv3. Поддерживается работа как в IPv4, так и в IPv6 сетях.

SNMPv2c

SNMPv2c — устаревшая, но широко распространённая версия протокола. Аутентификация осуществляется по строке сообщества (community string), передаваемой в открытом виде. Отсутствует шифрование трафика.

Конфигурация SNMPv2c

1. Определить имя сообщества SNMP и уровень доступа:

   set service snmp community <имя_сообщества> authorization <ro|rw>
   

   где:

   • <имя_сообщества> - имя сообщества SNMP;

   • <ro|rw> - уровень доступа: ro (только чтение) или rw (чтение и запись).

2. Разрешить доступ к SNMP-агенту для всех хостов в указанной подсети (IPv4 или IPv6):

   set service snmp community <имя_сообщества> network <CIDR>
   

   где: <CIDR> - адрес подсети в формате <x.x.x.x/x> или <h:h:h:h:h:h:h:h/x>.

3. Разрешить доступ к SNMP-агенту только с указанного IP-адреса:

   set service snmp community <имя_сообщества> client <IP-адрес>
   

   где: <IP-адрес> - IP-адрес SNMP-клиента.

4. Установить текстовое описание физического местоположения устройства:

   set service snmp location "<местоположение>"
   

   где: <местоположение> - краткое описание местоположения устройства.

5. Указать контактную информацию администратора:

   set service snmp contact "<контакт>"
   

   где: <контакт> - контактную информацию администратора (например, email).

6. Задать адрес NMS:

   set service snmp trap-target <IP-адрес_цели>
   

   где: <IP-адрес_цели> - адрес NMS в формате <x.x.x.x> или <h:h:h:h:h:h:h:h>, на который устройство будет отправлять асинхронные уведомления (traps) при наступлении событий.

7. Ограничить прослушивание SNMP-агента указанным IP-адресом и портом:

   set service snmp listen-address <IP-адрес> port <порт>
   

   где:

   • <IP-адрес> - IP-адрес в формате <x.x.x.x> или <h:h:h:h:h:h:h:h>;

   • <порт> - номер порта. Возможно указать значения в диапазоне от «1» до «65535». По умолчанию используется 161 порт.

SNMPv3

SNMPv3 обеспечивает повышенный уровень безопасности за счёт поддержки аутентификации, шифрования и контроля целостности сообщений.

Поддерживаемые механизмы безопасности:

• Аутентификация: SHA или MD5.

• Шифрование (privacy): AES (128 бит) или DES.

• Уровни безопасности:

  • noAuthNoPriv — без аутентификации и шифрования;

  • authNoPriv — аутентификация, без шифрования;

  • authPriv — аутентификация и шифрование (рекомендуется).

Конфигурация SNMPv3

1. Задать уникальный идентификатор SNMP-агента (Engine ID) в шестнадцатеричном формате:

   set service snmp v3 engineid <HEX-строка>
   

   где <HEX-строка> - уникальный идентификатор SNMP-агента. Необходим для корректной работы SNMPv3, особенно при шифровании.

2. Создать группу пользователей SNMPv3 с указанным уровнем доступа:

   set service snmp v3 group <имя_группы> mode <ro|rw>
   

   где:

   • <имя_группы> - имя группы пользователей SNMPv3;

   • <ro|rw> - уровень доступа: ro (только чтение) или rw (чтение и запись).

3. Связать группу с представлением (view), определяющим, какие OID доступны для просмотра:

   set service snmp v3 group <имя_группы> view <имя_представления>
   

4. Установить пароль аутентификации для пользователя:

   set service snmp v3 user <имя_пользователя> auth plaintext-password <пароль>
   

   где:

   • <имя_пользователя> - имя пользователя;

   • <пароль> - значение пароля для пользователя.

5. Определить алгоритм хеширования для аутентификации:

   set service snmp v3 user <имя_пользователя> auth type <sha|md5>
   

   где <sha|md5> - алгоритм хеширования для аутентификации: sha или md5 (по умолчанию).

6. Установить пароль шифрования (privacy password) для защиты данных при передаче:

   set service snmp v3 user <имя_пользователя> privacy plaintext-password <пароль>
   

   где <пароль> - значение пароля.

7. Указать алгоритм шифрования:

   set service snmp v3 user <имя_пользователя> privacy type <aes|des>
   

   где <aes|des> - алгоритм шифрования: aes или des (по умолчанию).

8. Назначить пользователя в указанную группу, наследуя её права доступа и настройки:

   set service snmp v3 user <имя_пользователя> group <имя_группы>
   

9. Определить дерево OID, доступное в рамках данного представления:

   set service snmp v3 view <имя_представления> oid <OID>
   

   где <OID> - дерево OID. При указании значения «1» открывается доступ ко всем OID.

Пример настройки SNMPv3

Настроить демон SNMP на прослушивание только IP-адреса 10.10.10.100. Создать нового пользователя SNMP с именем «arma» и паролём «Fr424!dfT». Новый пользователь будет использовать SHA/AES для аутентификации и шифрования.

1. Настройка системы ARMA Стена.

set service snmp listen-address 10.10.10.100
set service snmp location 'ARMA'
set service snmp v3 engineid '000000000000000000000002'
set service snmp v3 group default mode 'ro'
set service snmp v3 group default view 'default'
set service snmp v3 user arma auth plaintext-password 'Fr424!dfT'
set service snmp v3 user arma auth type 'sha'
set service snmp v3 user arma group 'default'
set service snmp v3 user arma privacy plaintext-password 'Fr424!dfT'
set service snmp v3 user arma privacy type 'aes'
set service snmp v3 view default oid 1

commit
save

2. Настройка SNMP-менеджера.

   На пользовательском компьютере под управлением операционной системы семейства Windows установлено ПО мониторинга «PowerSNMP Free Manager».

Для корректного отображения дерева объектов ARMA Стена в «PowerSNMP Free Manager» следует импортировать все файлы из каталога «/usr/share/snmp/mibs/» системы ARMA Стена.

Для проверки работы SNMPv.3 необходимо выполнить следующие действия:

1. В ПО «PowerSNMP Free Manager» нажать правой кнопкой мыши на строку «SNMP Agents» и выбрать «Add Agent».

2. В нижней части открывшегося окна нажать кнопку «Add Agent», ввести IP-адрес ARMA Стена, выбрать версию протокола «3», указать данные для аутентификации, заданные ранее в системе ARMA Стена, нажать «ОК» (см. Рисунок – Добавление SNMP агента (SNMP v.3)) и нажать «ОК».

Рисунок – Добавление SNMP агента (SNMPv.3)

3. В правой области окна, в дереве доступных данных выбрать поле «1 sysDescr», нажать правой кнопкой мыши по IP-адресу ARMA Стена в левой области окна и выбрать «Query…». Результатом будет получение информации о версии системы ARMA Стена.

MIB-файлы

MIB-файл представляет собой БД, содержащую информацию об объектах устройства, с которым предстоит работа по протоколу SNMP. MIB-файл может быть использован при работе с ПО мониторинга SNMP.

MIB-файлы, описывающие OID-дерево системы ARMA Стена, доступны в системе по пути: «/usr/share/snmp/mibs/»