Модель управления, используемая в протоколе SNMP

При использовании протокола SNMP программа пользователя (менеджер сети) осуществляет виртуальные соединения с SNMP-агентами. Программа SNMP-агента установлена на элементе сети, и предоставляет менеджеру сети информацию о состоянии данного элемента. Этот процесс осуществляется в рамках системы управления сетью (network management systems, NMS).

Управляемое устройство, на котором функционирует программа-агент, может быть любым – сервер доступа в Интернет, УПАТС, принтер, маршрутизатор, концентратор ЛВС и т.п. В данной ситуации программы управления должны быть построены таким образом, чтобы минимизировать воздействие программы-агента на управляемое устройство.

Рисунок. Использование протокола SNMPv2

Агенты по заданию менеджера или автоматически (по расписанию) могут отслеживать следующие показатели работы оборудования:

•Число и состояние виртуальных каналов;

•Число определенных видов сообщений о неисправностях/отказах

•Число входящих и исходящих пакетов для данного устройства;

•Максимальная длина очереди на входе/выходе;

•Отправленные и принятые широковещательные сообщения;

•Отказавшие и вновь запущенные в эксплуатациюсетевые и абонентские интерфейсы.

Стандартная IMIB протокола SNMP включает различные объекты/элементы, создаваемые с целью измерения, мониторинга и контроля функционирования протоколов IP,TCP,UDP, контроля IP-маршрутов, TCP-соединений, состояния сетевых интерфейсов элементов сети в целом. При управлении протокол SNMP обращается за информацией именно к IMIB.

Существует два стандарта IMIB, применяемых в SNMP, MIB-I и MIB-II. Существует версия MIB для удалённого управления с помощью агентов протокола удалённого мониторинга сетей (Remote Monitoring, RMON).

В стандарте MIB-I определены только операции чтения из базы. В этой версии существует всего 114 управляемых объектов, разделённые на 8 групп.

Команды управления в SNMP используются в первую очередь для получения текущего значения или установки нового значения атрибута объекта управления с соответствующим идентификатором.

В тоже время существует возможность с помощью добавления в IMIB новых элементов – таблиц, столбцов в существующую таблицу – расширять описания существующих или создавать новые управляемые объекты.

 

ЭЛЕМЕНТЫ ПРОТОКОЛА SNMP

В протоколе SNMP можно выделить следующие основные стандартизованные элементы.

1.Стандартный формат сообщения (standard message format), который определяется форматом сообщения UDP.

2.Стандартный набор управляемых объектов (standard set of managed objects) представляет собой набор стандартных объектов и значений (values) их атрибутов в IMIB. Эти значения можно получить в ответ на запросы станции управления.

3.Стандартный способ добавления объектов (standard way of adding objects). Этот метод позволяет фирмам-производителям расширять стандартный набор управляемых объектов посредством спецификации новых управляемых объектов и добавления их в IMIB.

Начиная с протокола SNMP версии 1 (SNMPv1) были определены четыре типа стандартных SNMP-операций для управления объектами:

•Операция Get [получить] применяется чтобы возвратить (получить) значение атрибутов управляемого объекта из группы IMIB.

•Операция GetNext [получить следующий] существует, чтобы возвратить имя (и значение атрибутов) следующего по порядку управляемого объекта в IMIB.

•Операция Set [установить] применяется, чтобы установить на управляемых объектах значения атрибутов (изменить содержание ячейки таблицы.

•Операция Trap [прерывание] используется сетевыми устройствами асинхронно; с помощью прерывания, остановив выполнение других программ управления, элементы сети могут самостоятельно, без специального запроса, сообщить менеджеру сети о возникших отказах, перегрузках и т.п.

В протоколе SNMP версии 2 (SNMPv2) помимо перечисленных, были добавлены новые SNMP-операции, а именно:

•Операция GetBulk [получить перечень] используется для извлечения большого числа значений из таблиц, а не единичных значений атрибутов.

•Операция Inform [информировать] позволяет одной NMS выполнять операцию Trap на другой NMS и, соответственно, получать ответ на асинхронный запрос.

•Операция Report [рапорт] позволяет агенту сообщить о состоянии управляемого ресурса; сообщение выдаётся без запроса.

Каждой перечисленной операции соответствует блок PDU определённого формата. Используя перечисленные операции (команды) можно сформировать соответствующие примитивы запросов для обмена между менеджером и агентом.

В результате выполнения операции менеджером или агентом будет сгенерирован один из следующих запросов:

•Запрос «Получить» (GetRequest) – используется чтобы определить технические характеристики и состояние устройства с помощью операции Get.

•Запрос «Получить следующий» (GetNextRequest) –используется сетевыми менеджерами для «просмотра» всех имен управляемых объектов и их атрибутов, которые поддерживаются агентом на данном сетевом устройстве. Эта процедура выполняется начиная с первого объекта так, чтобы после выборки информации о первом объекте перейти к выборке данных по следующему объекту в IMIB (c использованием GetNext). Данная процедура может повторяться до тех пор, не будет обнаружена ошибка сетевого устройства или до конца перечня объектов IMIB.

•Запрос «Установить» (SetRequest) – позволяет осуществлять действия, связанные с изменением значения атрибута с помощью операции «Set».

•Запрос «Прерывание» (Trap). Протокол SNMP предоставляет механизм, посредством которого сетевые устройства могут «выдавать наружу» (reach out) или самим себе (через Trap) прерывание, обозначающее наличие проблемы.

Кроме перечисленных, имеются запросы типа InformRequest [информировать] и GetBulkRequest [получить перечень]. Сообщение Response [ответ] включает информацию, передаваемую в ответ на запрос.

Рисунок Обмен запросами и ответами в SNMP v2

 

Таблица. Назначение полей PDU протокола SNMP

 

 

Все вышеупомянутые типы операций и запросов закодированы в виде PDU, которыми обмениваются устройства, поддерживающие протокол SNMP.

Рисунок. Форматы блоков PDU в SNMP (v1 и v2)

ФУНКЦИИ УПРАВЛЕНИЯ SNMP

Самый убедительный довод в пользу применения протокола SNMP заключается в том, что он разрабатывался как протокол, поддерживающий единый способ доступа к сетевому устройству на основе стека протоколов TCP/IP. Поскольку стек протоколов TCP/IP достаточно универсален, следовательно универсален и протокол SNMP.

Дополнительный аргумент в пользу применения SNMP состоит в том, что данный протокол определяет состояние устройства без организации сложного удаленного доступа или без потребности в сложных процедурах аутентификации. В результате появляется возможность получения большого числа данных о состоянии элементов крупномасштабной сети. Однако отсутствие надёжных средств обеспечения информационной безопасности нецелесообразно с точки зрения живучести и надёжности системы управления. Поэтому в версии 3 протокола SNMP аутентификации и криптозащите уделено особое внимание.

Большинство программ-менеджеров в SNMP обеспечивают следующие функции управления:

- Функции сбора информации о неисправностях (alarm polling functions). SNMP-менеджеры обеспечивают возможность установить пороги чувствительности (thresholds) на управляемых объектах (максимально допустимое число ошибок), и своевременно выдавать аварийное сообщение, когда эти пороги превышены. Реализация данной функции позволяет постоянно контролировать техническую исправность сети и её отдельных элементов.

- Функции контроля тренда (trend monitoring functions). Периодически производится считывание значений атрибутов, что позволяет оценить рабочие характеристики сети в динамике т.е. построить тренд сети по тому или иному признаку. В частности, описанная функция может использоваться для определения графика (профиля) нагрузки сети на заданном интервале времени.

- Функции прерывания при приеме (trap reception functions). SNMP-менеджеры обеспечивают возможность приёма и фильтрации SNMP-прерываний, которые выдаются сетевыми устройствами. Прерывания позволяют сетевым устройствам самостоятельно, не дожидаясь запроса, сообщать о проблемах, отказах и т.п.

Протокол SNMP версии 3 имеет следующие особенности:

•Модульность архитектуры как программных решений, так и спецификаций SNMPv3. Модульность позволяет сочетать в рамках одной системы управления NMS компоненты от разных поставщиков, проводить модернизацию протокола и развивать его.

•Поддержка режима распределённой обработки данных.

•Возможность работать в режиме агента, менеджера или в совмещённом режиме.

•Поддержание конфигурации сети любого масштаба и состава.

•Механизмы обеспечения информационной безопасности для защиты сообщений и разграничения доступа к информации управления.

На рисунке представлены основные компоненты архитектуры SNMPv3 для конфигурации агента и менеджера.

Основных компонентов два:

•машина протокола SNMP, SNMP-машина (SNMP engine);

•приложения управления SNMP (SNMP application).

Машина протокола SNMP присутствует во всех управляемых и управляющих системах т.е. и в менеджерах и в агентах. Машина протокола SNMP осуществляет функции посылки и приёма блоков PDU, функции аутентификации, шифрование и дешифрование SNMP-сообщений, функции контроля доступа к управляемым объектам.

Машина протокола SNMP по отношению к приложению управления функционирует в режиме приёма и в режиме передачи. Машина протокола SNMP имеет модульную структуру и включает четыре компонента:

•диспетчер (dispatcher);

•подсистема обработки сообщений (message processing system);

•подсистема информационной безопасности (security subsystem);

•подсистема разграничения доступа (access control subsystem).

 

 

Рисунок. Конфигурации менеджера и агента в SNMP v3

 

Диспетчер занимается приемом и отправкой SNMP-сообщений. Диспетчер выполняет функции управления нагрузкой. Диспетчер по номеру версии в заголовке PDU определяет, какой тип обработки сообщений необходим для данного SNMP-сообщения.

Подсистема обработки сообщений принимает/передаёт сообщения диспетчеру. На передаче данная подсистема добавляет необходимый заголовок для передачи через сеть передачи данных; на приёме эта подсистема извлекает PDU протокола SNMP из пакета, полученного по сети передачи данных.

Подсистема информационной безопасности (security subsystem) протокола SNMP обеспечивает функции аутентификации и шифрования. В протоколах SNMPv1 и SNMPv2 особого внимания вопросам информационной безопасности управления не уделялось. SNMPv3 включает модель обеспечения безопасности, которая предусматривает меры защиты против следующих потенциальных угроз:

•модификация информации управления при передаче;

•подмена данных, как средство неавторизованного выполнения операций управления на объекте;

•резкое увеличение потока сообщений до уровня, превышающего обычные отклонения;

•несанкционированное ознакомление с сообщениями.

При передаче подсистема безопасности получает SNMP-сообщение от подсистемы обработки сообщений. В зависимости от требуемой услуги управления, подсистема безопасности может шифровать PDU и часть полей в заголовке сообщения SNMP.

Защищённое сообщение возвращается в подсистему обработки сообщений. На приёме происходит обработка сообщения в обратном порядке (дешифровка), однако дополнительно может выполняться проверка.

Протокол SNMPv3 не предусматривает специальных средств защиты против атак на доступность.

Модель безопасности включает подсистему разграничения доступа к информации. Подсистема обеспечивает услуги авторизации для контроля доступа к IMIB в случае чтения или установки новых атрибутов объектов.

Модель доступа описана в документе RFC 2275. Согласно данной рекомендации, каждый субъект управления получает т.н. представление (view) о данных системы, а также о подмножестве информации управления, задаваемой спецификациями IMIB. Это позволяет сделать доступными только те функции, которые включены в представление.

Для операций чтения, записи и выдачи уведомлений могут использоваться отдельные представления, что повышает надёжность механизма информационной защиты SNMPv3.

В SNMPv3 предусмотрено пять стандартных модулей приложений управления:

•Генерация команд (command generator applications) – осуществляет мониторинг и манипуляции с данными управления на удалённых агентах. Использует стандартные PDU из таблицы 2.2.

•Прием уведомлений (notification receiver application) – обрабатывает входящие асинхронные сообщения типа Trap, Response.

•Создание извещений (notification originator application) – инициирует асинхронные сообщения. Использует запросы InformRequest.

•Доверенное перенаправление (proxy forwarded applications) – использует возможности диспетчера для перенаправления сообщений SNMP.

Формат сообщения SNMP v3 изменяется

Рисунок. Формат сообщения SNMP v3

Таблица. Назначение полей PDU протокола SNMP v3