Gestin de red simple (SNMP)

SNMP fue desarrollado para permitir a los administradores gestionar los nodos, como servidores,
estaciones de trabajo, routers, conmutadores y dispositivos de seguridad, en una red IP. Permite a
los administradores de red para gestionar el rendimiento de la red, encontrar y resolver problemas
de red, y el plan para el crecimiento de la red.
SNMP es un protocolo de capa de aplicacin que proporciona un formato de mensaje para la
comunicacin entre directivos y agentes. El sistema de SNMP consiste de tres elementos:
administrador SNMP
Agentes SNMP (nodo gestionado)
Management Information Base (MIB )
Para configurar SNMP en un dispositivo de red, primero es necesario para definir la relacin entre
el gestor y el agente.
El gestor de SNMP es parte de un sistema de gestin de red (NMS). El gestor SNMP se ejecuta el
software de gestin SNMP. Como se muestra en la figura, el administrador SNMP puede recopilar
informacin de un agente SNMP utilizando la accin "get" y puede cambiar las configuraciones en
un agente usando la accin "set". Adems, los agentes SNMP pueden enviar informacin
directamente a un NMS usando "tramas".
El agente SNMP y MIB residen en la creacin de redes de dispositivos clientes. Los dispositivos de
red que deben ser gestionadas, tales como switches, routers, servidores, firewalls, y estaciones de
trabajo, estn equipados con un mdulo de software del agente SMNP. MIB de almacn de datos
acerca del funcionamiento del dispositivo y estn destinados a ser disponibles para los usuarios
remotos autenticados. El agente SNMP es responsable de proporcionar el acceso a la MIB local de
los objetos que refleje los recursos y la actividad.
SNMP define cmo se intercambia la informacin de gestin entre las aplicaciones de gestin de
redes y agentes de gestin. SNMP utiliza UDP, nmero de puerto 162, para recuperar y enviar
informacin de gestin.
SNMP
SNMP Operacin
Agentes SNMP que residen en los dispositivos administrados recoger y almacenar informacin
sobre el dispositivo y su funcionamiento. Esta informacin se almacena por el agente local en la
MIB. El administrador SNMP utiliza entonces el agente SNMP para acceder a la informacin dentro
de la MIB.
Hay dos peticiones principales del gestor SNMP get y set. Una solicitud GET es utilizado por el NMS
para consultar el dispositivo para datos. A peticin de establecimiento es utilizado por el NMS para
cambiar las variables de configuracin en el dispositivo del agente. A peticin de establecimiento
tambin puede iniciar acciones dentro de un dispositivo. Por ejemplo, un juego puede hacer que
un router se reinicie, enviar un archivo de configuracin, o recibir un archivo de configuracin. El
administrador SNMP utiliza las acciones get y set para realizar las operaciones que se describen en
la tabla de la figura 1.
El agente SNMP responde a las solicitudes SNMP administrador de la siguiente manera:
Obtener una variable MIB - El agente SNMP realiza esta funcin en respuesta a una
GetRequest - PDU a partir de los NMS. El agente recupera el valor de la variable MIB
solicitado y responde a la NMS con ese valor.
Establecer una variable de MIB - El agente SNMP realiza esta funcin en respuesta a una
SetRequest - PDU a partir de los NMS. El agente SNMP cambia el valor de la variable MIB
al valor especificado por el SMN. Un agente SNMP respuesta a una solicitud conjunto
incluye la nueva configuracin en el dispositivo.
La Figura 2 ilustra el uso de un GetRequest de SNMP para determinar si la interfaz G0 / 0 es hacia
arriba / hacia arriba.
El SMN que peridicamente sondea los agentes SNMP que residen en los dispositivos
administrados, mediante la consulta del dispositivo para datos mediante la solicitud GET. El uso de
este proceso, una aplicacin de gestin de red puede recoger informacin para monitorear las
cargas de trfico y para verificar la configuracin de los dispositivos de los dispositivos
gestionados. La informacin se puede visualizar a travs de interfaz grfica de usuario en el SMN.
Promedios, mnimos o mximos pueden ser calculados, los datos pueden ser graficados o
umbrales pueden configurarse para activar un proceso de notificacin cuando se superan los
umbrales. Por ejemplo, un NMS puede monitorear el uso de CPU de un router Cisco. Las muestras
del gestor de SNMP el valor peridicamente y presenta esta informacin en un grfico para el
administrador de red para utilizar en la creacin de una lnea de base.
Peridico de sondeo SNMP tiene desventajas. En primer lugar, hay un retraso entre el momento
en que se produce un evento y el tiempo que se observa (a travs de sondeo) por el NMS. En
segundo lugar, existe un trade-off entre la frecuencia de sondeo y la utilizacin de ancho de
banda.
Para mitigar estos inconvenientes, es posible que los agentes SNMP para generar y enviar capturas
a informar al NMS inmediato de ciertos eventos. Las trampas son mensajes no solicitados que
alertan al administrador SNMP a una condicin o evento de la red. Ejemplos de condiciones de
trampa incluyen, pero no se limitan a , autenticacin irregular de usuario , se reinicia , el estado
del enlace ( arriba o abajo ) , el seguimiento de la direccin MAC , el cierre de una conexin TCP , la
prdida de la conexin a un vecino , u otros eventos importantes . Notificaciones trampa dirigida a
reducir los recursos de red y de los agentes, al eliminar la necesidad de algunas de las solicitudes
de sondeo SNMP.
La figura 1 ilustra el uso de una trampa SNMP para alertar al administrador de red que la interfaz
G0 / 0 ha fallado. El software de NMS puede enviar al administrador de red un mensaje de texto,
aparecer una ventana en el software de NMS, o apague el router icono rojo en la GUI NMS.
El intercambio de todos los mensajes SNMP se ilustra en la Figura 2.
Hay varias versiones de SNMP, incluyendo:
SNMPv1 - El protocolo simple de administracin de redes, un estndar de Internet
completo, que se define en el RFC 1157.
SNMPv2c - Definido en RFC 1901/08; utiliza marco administrativo basado en la comunidad
-serie- .
SNMPv3 - protocolo basado en estndares interoperables originalmente definido en el
RFC 2273 a 2275; proporciona un acceso seguro a los dispositivos mediante la
autenticacin y el cifrado de paquetes a travs de la red. Incluye estas caractersticas de
seguridad: integridad de los mensajes para asegurar que un paquete no se ha alterado en
trnsito; de autenticacin para determinar que el mensaje es de una fuente vlida, y el
cifrado para evitar que el contenido de un mensaje de ser ledo por una fuente no
autorizada.
Todas las versiones utilizan gestores SNMP, agentes y MIB. Software Cisco IOS soporta las tres
versiones anteriores. La versin 1 es una solucin de legado y no encuentra a menudo en las redes
de hoy; Por lo tanto, este curso se centra en las versiones 2c y 3.
Tanto SNMPv1 y SNMPv2c utilizan una forma basada en la comunidad de seguridad. La comunidad
de los administradores capaces de acceder a la MIB del agente se define por una ACL y la
contrasea.
A diferencia de SNMPv1, SNMPv2c incluye un mecanismo de recuperacin mayor y el mensaje de
error ms detallado acudir a los puestos de gestin. El mecanismo de recuperacin mayor
recupera tablas y grandes cantidades de informacin, minimizando el nmero de viajes de vuelta
necesarias. La mejora en el control de errores SNMPv2c incluye cdigos de error ampliados que
distinguen diferentes tipos de condiciones de error. Estas condiciones se presentan a travs de un
nico cdigo de error en SNMPv1. Cdigos de retorno de error en SNMPv2c incluyen el tipo de
error.
Nota: SNMPv1 y SNMPv2c ofrecen caractersticas de seguridad mnimas. Especficamente,
SNMPv1 y SNMPv2c pueden ni autenticar el origen de un mensaje de gestin ni proporcionar
cifrado. SNMPv3 se describe ms en la actualidad en el RFC 3410 a 3.415. Se aade mtodos para
garantizar la transmisin segura de datos crticos entre dispositivos gestionados.
SNMPv3 proporciona tanto para los modelos de seguridad y niveles de seguridad. Un modelo de
seguridad es una estrategia de autenticacin configurado para un usuario y el grupo en el que
reside el usuario. A nivel de seguridad es el nivel permitido de seguridad dentro de un modelo de
seguridad. Una combinacin del nivel de seguridad y el modelo de seguridad de determinar qu se
utiliza el mecanismo de seguridad al manipular un paquete SNMP. Modelos de seguridad
disponibles son SNMPv1, SNMPv2c y SNMPv3.
La figura identifica las caractersticas de las diferentes combinaciones de modelos y niveles de
seguridad.
Un administrador de red debe configurar el agente SNMP para utilizar la versin de SNMP con el
apoyo de la estacin de administracin. Debido a que un agente puede comunicarse con mltiples
gestores SNMP, es posible configurar el software para soportar comunicaciones utilizando
SNMPv1, SNMPv2c o SNMPv3.
Para SNMP funcione , el SMN deben tener acceso a la MIB. Para asegurarse de que las solicitudes
de acceso son vlidos, alguna forma de autenticacin debe estar en su lugar .
SNMPv1 y SNMPv2c utilizan cadenas de comunidad que controlan el acceso a la MIB. Las cadenas
de comunidad son contraseas de texto plano . Cadenas de comunidad SNMP autenticar el acceso
a los objetos MIB .
Hay dos tipos de cadenas de comunidad :
Slo lectura (ro) - Proporciona acceso a las variables MIB , pero no permite que estas variables
pueden cambiar, slo lectura. Dado que la seguridad es mnima en la versin 2c , muchas
organizaciones utilizan SNMPv2c en modo de slo lectura.
Lectura-escritura (rw ) - Proporciona acceso de lectura a todos los objetos en la MIB .
Para ver o establecer las variables MIB , el usuario debe especificar la cadena de comunidad
apropiada para lectura o escritura . Reproduzca la animacin en la figura para ver cmo SNMP
opera con la cadena de comunidad .
Nota : Las contraseas de texto sin formato no se consideran un mecanismo de seguridad . Esto se
debe a que las contraseas de texto plano son muy vulnerables a man-in- the-middle ataques, en
el que estn comprometidos a travs de la captura de paquetes.
El MIB organiza las variables jerrquicamente . Variables MIB permiten al software de gestin para
supervisar y controlar el dispositivo de red . Formalmente, el MIB define cada variable como un
identificador de objeto (OID ) . OID identifican nicamente los objetos gestionados en la jerarqua
MIB. El MIB organiza los OID basados en estndares RFC en una jerarqua de OID , por lo general se
muestra como un rbol.
El rbol MIB para cualquier dispositivo dado incluye algunas ramas con variables comunes a
muchos dispositivos de red y algunas ramas con variables especficas a ese dispositivo o
proveedor.
RFCs definen algunas variables pblicas comunes . La mayora de los dispositivos de la ejecucin
de estas variables MIB . Adems , los proveedores de equipos de redes , como Cisco, pueden
definir sus propias ramas privadas del rbol para dar cabida a nuevas variables especficos a sus
dispositivos. La figura 1 muestra las partes de la estructura MIB definidos por Cisco Systems, Inc.
Nota cmo el OID se puede describir con palabras o nmeros para ayudar a localizar una
determinada variable en el rbol. OID pertenecientes a Cisco , como se muestra en la Figura 1 , se
numeran como sigue: . . . . . . . Iso ( 1 ) org ( 3 ) DOD ( 6 ) Internet ( 1 ) privadas ( 4 ) empresas ( 1 )
de Cisco ( 9 ) . Esto se muestra como 1.3.6.1.4.1.9 .
Debido a que la CPU es uno de los recursos clave , que debe ser medido de forma continua .
Estadsticas de CPU deben compilarse en el SMN y se representan . Al observar la utilizacin de
CPU durante un perodo de tiempo prolongado permite al administrador establecer una
estimacin de referencia para la utilizacin de la CPU . Los valores umbral se pueden establecer en
relacin con esta lnea de base . Cuando el uso de CPU supera este umbral , se envan las
notificaciones . Una herramienta grfica SNMP puede agentes peridicamente encuestas de SNMP
, como por ejemplo un router, y el grfico de los valores recogidos . La Figura 2 ilustra muestras de
5 - minutos de utilizacin de la CPU del router durante el perodo de unas pocas semanas .
Los datos se recuperan a travs de la utilidad snmpget , emitido el NMS. Uso de la utilidad
snmpget , se puede obtener manualmente los valores para la media del porcentaje ocupado de la
CPU . La utilidad snmpget requiere que la versin de SNMP , la comunidad correcta, la direccin IP
del dispositivo de red para consultar , y el nmero OID se establecen . La Figura 3 muestra el uso
de la utilidad snmpget gratuito , que permite la recuperacin rpida de informacin de la MIB.
La Figura 3 muestra un tiempo bastante largo de comandos con varios parmetros , incluyendo :
- v2c - versin de SNMP
-c comunidad - SNMP contrasea, denominada una cadena de comunidad
Direccin IP del dispositivo supervisado - 10.250.250.14
1.3.6.1.4.1.9.2.1.58.0 - OID de la variable MIB
La ltima lnea muestra la respuesta . El resultado muestra una versin abreviada de la variable
MIB. A continuacin, muestra el valor real en la ubicacin MIB. En este caso , la media mvil
exponencial 5 minutos del porcentaje ocupado CPU es 11 por ciento . La utilidad da una idea de
los mecanismos bsicos de cmo funciona el SNMP. Sin embargo, trabajar con largos nombres de
variables MIB como 1.3.6.1.4.1.9.2.1.58.0 puede ser problemtica para el usuario medio . Con
mayor frecuencia , el personal de operaciones de red utiliza un producto de gestin de red con
una interfaz grfica de usuario fcil de usar, con toda la variable de datos MIB de nomenclatura
transparente para el usuario .
El sitio web de Cisco SNMP Navigator permite que un administrador de red para investigar los
detalles de un OID particular. La figura 4 muestra un ejemplo asociado con un cambio de
configuracin en un switch Cisco 2960 .