Snmp трапы. SNMP: протокол управления сетью

Trap («ловушка») - это определенный тип действия протокола SNMP. Он позволяет клиентам асинхронно информировать сервер о наступлении определенного числа значимых событий. Другими словами - это способ отправки уведомлений сетевым администраторам, использующим консоли управления, поддерживающие данный протокол.

Администратор определяет пороговые значения, которые используют для создания зоны треппинга. Диапазон значений из предустановленных пороговых значений - перегрузка.

Как написано выше ловушка SNMP представляет собой уведомляющее сообщение о событии, отправляемое службой ловушек SNMP, действующей на SNMP-узле. Ловушка SNMP посылается другим SNMP-узлам сети или системе SNMP-управления, которые можно назвать назначениями ловушки.

SNMP Trap является одним из основных типов 5 сообщений, используемых в протоколе SNMP . Делает SNMP ловушки отличными из всех других типов сообщений является то, что это единственный метод, который может быть инициирован непосредственно в области SNMP агента. Все другие основные типы сообщений SNMP инициируются либо по инициативе менеджера SNMP, либо выдаются в ответ на SNMP сообщения менеджера. Это то, что делает ловушку столь важный и наиболее распространенным сообщением SNMP в большинстве сетей. Ловушка - это способ передать по протоколу SNMP агента уведомления менеджеру, что "что-то не так".

Некоторые устройства, особенно построенные совсем недавно, могут передавать SNMPловушки самостоятельно, чтобы предупреждать менеджера SNMP , когда они испытывают проблемы. Для более старых устройств, которые не поддерживают протокол SNMP изначально, SNMP RTU может быть использован для сбора сигналов от нескольких устаревших устройств одновременно, конвертировать их в SNMP ловушки, и передавать их (чаще всего по локальной сети) к своему менеджеру SNMP.

Есть два основных способа для передачи полезной информации с помощью SNMP ловушек. Один заключается в использовании так называемых "гранулированных ловушек". Гранулированные ловушки могут отличаться друг от друга, потому что каждая из них имеет уникальный идентификационный номер (так называемый OID или "идентификатор объекта» в SNMP мире).

SNMP-менеджер после получения SNMP ловушки с устройства будет искать OID для управление информационной базой или MIB. Потому что гранулированные ловушки используют уникальные идентификационные номера, чтобы поддерживать этот метод поиска, данные сигнализации не должны обязательно содержаться в ловушке SNMP. Это не снижает пропускную способность, потребляемую SNMP ловушками, потому что они не посылают избыточную информацию через сеть, так как менеджер SNMP может легко посмотреть эти данные сам.

Когда гранулированные ловушки не используются, SNMP ловушки могут быть сконфигурированы, чтобы содержать данные о тревожной сигнализации в себе. В этом случае, для всех SNMP ловушек от устройства можно использовать только один OID. Чтобы понять эти типы ловушек, менеджеру SNMP необходимо проанализировать данные, содержащиеся в них. Данные хранятся в пределах ловушки SNMP в простой конфигурации двумя ключ-значениями. Предпочтительно использовать гранулированные ловушки для сценариев мониторинга сети, потому что это снижает нагрузку на сети, которые могли бы быть использованы для приносящей доход деятельности.

Тем не менее, важно, подобрать универсальный менеджер SNMP , который способен обрабатывать оба типа SNMP ловушек. Даже если все ваши пульты сигнализации (RTU в) отправляют только гранулированные ловушки, то по крайней мере один из ваших других устройств будут использовать привязки переменных для хранения данных сигнализации вместо этого. Представьте себе головную боль от осознания ваш менеджер SNMP не будет способен собирать SNMP ловушки из 100% ваших сетевых устройств.

SNMP менеджер не может записать местоположение, время, тяжесть и описания тревожных событий. Для адаптации менеджера SNMP для мониторинга, эти факторы необходимо создать и поддерживать список сигнализации, представляющий все отслеживаемые точки в сети - а затем также создавать и поддерживать базу данных, связывающую все ловушки, которые могут быть отправлены на менеджер SNMP с тревог на этот список.

Менеджер SNMP не может вести список стоящих тревог. Вместо этого, типичный SNMPменеджер поддерживает журнал событий вновь зарегистрированных ловушек и историю журнала признанных ловушек. Как только ловушка признается, считывается и может быть выполнена, она очищается. Представьте себе, что может случиться с вашей сетью, если оператор системы признает тревогу, а затем, по какой причине, не в состоянии исправить состояние тревоги.

Чтобы было легче понять, как SNMP ловушки работают, полезно рассмотреть пример. Один SNMP RTU, который широко используется в сетях по всему миру -это NetGuardian . Удобство и качество программного обеспечения позволило данному продукту быть развернутым на телекоммуникационных сетях по всему миру.

Это RTU посылает SNMP ловушки на различные входы. Чаще всего, NetGuardian шлет SNMP ловушки так, чтобы менеджер SNMP , когда один из его 32 дискретных входов сигнализации срабатывал при выходе замыкания контактов из одного из ваших устройств. Это может означать, что угодно, от отказа генератора, до отключения датчика движения.

Данная модель также может отправить SNMP ловушки на основе текущего состояния тока или напряжения на его восьми аналоговых входах. С Аналоговые входы никогда не является триггерами, а прошивка и конфигурация пользователя используются для определения того, когда посылать ловушки.

В сообщении «Trap» содержится следующая информация:

• Uptime устройства , время которое прошло с момента подключения устройства.
• Идентификатор (OID ) , включают себя информацию о событии, которое прошло.
• Любые пары идентификаторов и их значения , которые могут предоставить дополнительную информацию.

Назначение ловушек задается именем узла или IP-адресом. Для ее использование необходимо указать имя сообщества.

На рисунке 3.11 изображена схема запросов/ответов SNMP.

• Имя сообщества . Имя играет роль пароля для SNMP-узлов. Пользователь SNMP может отправить сообщение ловушку всем SNMP-узлам, которые используют известное сетевое имя. Имена сообществ, перечисленных во вкладке «Trap», используются только для проверки исходящих сообщений ловушек. Для проверки всех сообщений необходима дополнительная настройка SNMP-узла.
• Добавить в список и удалить из него. Добавляет или удаляет выделенное имя в списке «Имя сообщества».
• Адреса назначения ловушки . Список назначения ловушек, которые являются системами SNMP-управления. Получают сообщения ловушки от любого SNMP-узла в данном сообществе.
• Добавить и удалить. Добавление или удаление системы SNMP-управления в список назначения ловушек или из него.
• Изменить. Изменение имени узла или IP-адреса выбранного назначения ловушек.

Сетевой администратор может настроить SNMPv2 для получения информации о сети от сетевых устройств. Как показано на рисунке, основные шаги настройки SNMP выполняются в режиме глобальной конфигурации.

Шаг 1. (Обязательно) Настройте строку сообщества и уровень доступа («только чтение» или «чтение и запись») с помощью команды snmp-server community string ro | rw .

Шаг 2. (Дополнительно) Документально зафиксируйте местоположение устройства с помощью команды snmp-server location text .

Шаг 3. (Дополнительно) Документально зафиксируйте системный контакт с помощью команды snmp-server contact text .

Шаг 4. (Дополнительно) Ограничьте доступ по SNMP, разрешив его только узлам NMS (диспетчерам SNMP), которые разрешены списком контроля доступа: определите список контроля доступа, затем укажите ссылку на этот список контроля доступа с помощью команды snmp-server community string access-list-number-or-name . Эту команду можно использовать как для определения строки сообщества, так и для ограничения доступа SNMP с помощью списков контроля доступа. При желании шаги 1 и 4 можно объединить в один; сетевое устройство Cisco объединяет две команды в одну, если они вводятся по отдельности.

Шаг 5. (Дополнительно) Укажите получателя операций ловушки SNMP с помощью команды snmp-server host host-id [ version { 1 | 2c | 3 [ auth | noauth | priv ]}] community-string . По умолчанию диспетчеры ловушек не определены.

Шаг 6. (Дополнительно) Включите ловушки на агенте SNMP с помощью команды snmp-server enable traps notification-types . Если в этой команде не определены типы уведомлений-ловушек, отправляются все типы ловушек. Если требуется применить конкретные типы ловушек, необходимо повторное использование этой команды.

Примечание . По умолчанию в SNMP не установлены ловушки. Без этой команды диспетчеры SNMP должны будут проводить опрос для получения всей существенной информации.

Проверка настройки SNMP

Существует несколько программных решений для просмотра выходных данных SNMP. В рамках нашего курса сервер Syslog Kiwi отображает сообщения SNMP, связанные с ловушками SNMP.

ПК 1 и R1 настроены для отображения выходных данных, связанных с ловушками SNMP, в диспетчере SNMP.

Как показано на рисунке 1, компьютеру ПК 1 назначен IP-адрес 192.168.1.3/24. Сервер Syslog Kiwi установлен на ПК 1.

После настройки маршрутизатора R1 при возникновении события, подходящего под определение ловушки, на диспетчер SNMP отправляются ловушки SNMP. Например, если состояние интерфейса меняется на активное, на сервер отправляется ловушка. Изменения настройки на маршрутизаторе также вызывают отправку ловушек SNMP диспетчеру SNMP. Список из более чем 60 типов уведомлений-ловушек можно увидеть с помощью команды snmp-server enable traps?. В настройке R1 в команде snmp-server enable traps notification-types не указаны типы уведомлений-ловушек, поэтому отправляются все ловушки.

На рисунке 2 в меню Setup (Настройка) установлен флажок. Это означает, что администратору сети нужно, чтобы программное обеспечение диспетчера SNMP принимало ловушки SNMP через порт UDP 162.

На рисунке 3 верхняя строка выходных данных ловушки SNMP означает, что состояние интерфейса GigabitEthernet0/0 изменилось на активное. Кроме того, при каждом входе в режим глобальной конфигурации из привилегированного режима диспетчер SNMP принимает ловушку, как показано в выделенной строке.

Для проверки настройки SNMP используйте любые варианты командыshow snmp в привилегированном режиме. Самой полезной является просто команда show snmp , так как она отображает информацию, которая обычно представляет интерес при проверке настройки SNMP. Если речь идёт о настройке SNMPv3, при использовании большинства других параметров команды отображаются только отдельные части выходных данных команды show snmp . На рисунке 4 представлен пример выходных данных show snmp .

В выходных данных команды show snmp не отображаются сведения, касающиеся строки сообщества SNMP или связанного списка контроля доступа, если таковой существует. На рисунке 5 представлена строка сообщества SNMP и данные списка контроля доступа, выведенные с помощью команды show snmp community .

Хотя протокол SNMP полезен для мониторинга и отладки (как показано на рисунке), он может привести к возникновению уязвимостей с точки зрения безопасности. По этой причине перед внедрением SNMP изучите лучшие практические рекомендации по обеспечению безопасности.

В SNMPv1 и SNMPv2c используются строки сообщества SNMP в незашифрованном виде для аутентификации доступа к объектам MIB. Строки сообщества, как и любой другой пароль, следует тщательно выбирать, чтобы их было непросто взломать. Кроме того, строки доступа необходимо регулярно менять в соответствии с политиками безопасности сети. Например, строки изменяются, если сетевой администратор меняет роли или уходит из компании. Если протокол SNMP используется только для наблюдения за устройствами, используйте сообщества только для чтения.

Убедитесь, что сообщения SNMP не распространяются за пределы консолей управления. Для предотвращения попадания сообщений SNMP за пределы необходимых устройств используйте списки контроля доступа. Для предоставления доступа только системам управления на контролируемых устройствах также должен использоваться список контроля доступа.

Рекомендуется использовать протокол SNMPv3, обеспечивающий аутентификацию и шифрование. Существует ряд других команд режима глобальной конфигурации, которые сетевой администратор может применять, чтобы воспользоваться преимуществами поддержки аутентификации и шифрования, предоставляемой протоколом SNMPv3:

• Команда snmp-server group groupname { v1 | v2c | v3 { auth | noauth | priv }} создаёт новую группу SNMP на устройстве.

• Команда snmp-server user username groupname v3 [ encrypted ] [ auth { md5 | sha } auth-password ] [ priv { des | 3des | aes { 128 | 192 | 256 }} priv-password ] используется для добавления нового пользователя в группу SNMP, определённую в команде snmp-server group groupname .

Примечание . Настройка SNMPv3 выходит за рамки учебных программ CCNA.

Только в Pro-версии программы LANState. SNMP-ловушка (SNMP-trap) - это особый сигнал, отправляемый устройством с поддержкой протокола SNMP. Как правило, подобные сигналы отправляются устройствами для того, чтобы оповестить администратора сети о наступлении каких-то критических событий. К примеру, некоторые виды источников бесперебойного питания (UPS) могут отправлять SNMP-trap в случае, когда оборудование переходит в режим питания от батарей UPS. Как правило, подобные ситуации требуют незамедлительного вмешательства обслуживающего персонала и поэтому устройство само инициирует отправку сигнала по протоколу SNMP. Еще в качестве примера можно привести некоторые модели датчиков вскрытия помещений и стоек оборудования. Эти датчики могут быть подключены к локальной сети и поддерживать отправку SNMP-trap в критических ситуациях, таких как несанкционированное открытие двери, к примеру.

Программа LANState может принимать такие сообщения и сигнализировать о них несколькими различными способами. Для включения возможности принятия SNMP-trap необходимо выбрать пункт главного меню SNMP | SNMP-ловушки (trap) . В появившемся окне следует задать условия отбора (фильтр) сообщений, либо оставить включенным по умолчанию параметр Принимать все сообщения от SNMP-устройств , и нажать кнопку Включить приём сообщений от SNMP-устройств . Номер порта 162 является стандартным и изменять его рекомендуется только в тех случаях, когда вы уверенны, что отправка сообщений от устройства будет происходить на какой-либо другой порт (задается в настройках самого SNMP-устройства).

Рис 1. Окно Ловушка SNMP .

Если в вашей сети SNMP-trap рассылают несколько устройств, то вы можете задать фильтр сообщений, чтобы отсеивать ненужные и малоинформативные. Для этого установите переключатель в позицию Принимать сообщения, удовлетворяющие хотя бы одному условию и задайте условия отбора, нажав кнопку Добавить .

Рис 2. Окно Параметры условия .

К примеру, для того, чтобы принимать сообщения только от одного устройства и игнорировать от других - поставьте галочку IP отправителя и укажите его IP-адрес. Аналогично, можно принимать сообщения, адресованные именно вашему компьютеру (галочка IP получателя ).

В сообщении SNMP- trap содержится структурированная информация, состоящая из имени переменной SNMP (OID) и её значения. К примеру, признаком того, что сервер перешел в режим питания от UPS может быть сообщение, в котором содержится переменная, отвечающая за режим питания со значением, скажем, 1. Имя переменной выглядит как 1.3.6.4.6.6. Для получения SNMP-trap только с определенными переменными следует указать их в поле Переменные . В поле Имя задайте имя переменной, в Тип - её тип (можно выбрать из списка либо ничего не указывать) и задайте значение . После этого нажмите кнопку Добавить и заданная переменная поместится в список.

После этого, программа в каждом полученном сообщении будет искать заданную переменную и в случае ее обнаружения сигнализировать.

Для настройки сигнализации нажмите кнопку Настройка оповещения...

Рис 3. Окно Параметры оповещения .

Программа выполняет те же действия, что и в функции мониторинга устройств .

После завершения всех настроек и включения приёма SNMP-trap, это окно можно закрыть. Функция при этом продолжит свою работу в фоновом режиме.

Скачайте бесплатную 30-дневную версию прямо сейчас и попробуйте!