Tabla de Contenido
Introdução ao SNMP
Agora que sua rede está mapeada e todos os seus componentes estão usando o mesmo relógio, é hora de ver como você pode gerenciar sua rede usando o protocolo SNMP (Simple Network Management Protocol).
O SNMP foi desenvolvido para permitir que os administradores gerenciem nós, como servidores, estações de trabalho, roteadores, switches e dispositivos de segurança, em uma rede IP. Ele permite que os administradores de rede monitorem e gerenciem o desempenho da rede, encontrem e resolvam problemas de rede e planejem o crescimento da rede.
SNMP é um protocolo de camada de aplicativo que fornece um formato de mensagem para comunicação entre gerentes e agentes. O sistema SNMP consiste em três elementos:
- Gerenciador SNMP
- Agentes SNMP (nó gerenciado)
- Base de informações de gerenciamento (MIB)
Para configurar o SNMP em um dispositivo de rede, primeiro é necessário definir a relação entre o gerente e o agente.
O gerenciador SNMP é parte de um sistema de gerenciamento de rede (NMS). O gerenciador SNMP executa o software de gerenciamento SNMP. Conforme mostrado na figura, o gerenciador SNMP pode coletar informações de um agente SNMP usando a ação “get” e pode alterar as configurações em um agente usando a ação “set”. Além disso, os agentes SNMP podem encaminhar informações diretamente para um gerente de rede usando “traps”.
O agente SNMP e o MIB residem em dispositivos clientes SNMP. Os dispositivos de rede que devem ser gerenciados, como switches, roteadores, servidores, firewalls e estações de trabalho, são equipados com um módulo de software de agente SNMP. Os MIBs armazenam dados sobre o dispositivo e estatísticas operacionais e devem estar disponíveis para usuários remotos autenticados. O agente SNMP é responsável por fornecer acesso ao MIB local.
O SNMP define como as informações de gerenciamento são trocadas entre os aplicativos de gerenciamento de rede e os agentes de gerenciamento. O gerenciador SNMP pesquisa os agentes e consulta o MIB para agentes SNMP na porta UDP 161. Os agentes SNMP enviam quaisquer traps SNMP para o gerenciador SNMP na porta UDP 162.
Operação SNMP
Os agentes SNMP que residem em dispositivos gerenciados coletam e armazenam informações sobre o dispositivo e sua operação. Essas informações são armazenadas pelo agente localmente no MIB. O gerenciador SNMP então usa o agente SNMP para acessar informações dentro do MIB.
Existem duas solicitações principais do gerenciador SNMP, get e set. Uma solicitação get é usada pelo NMS para consultar os dados do dispositivo. Uma solicitação definida é usada pelo NMS para alterar as variáveis de configuração no dispositivo do agente. Uma solicitação definida também pode iniciar ações em um dispositivo. Por exemplo, um conjunto pode fazer com que um roteador seja reinicializado, envie um arquivo de configuração ou receba um arquivo de configuração. O gerenciador SNMP usa as ações get e set para realizar as operações descritas na tabela.
Operação | Descrição |
---|---|
get-request | Recupera um valor de uma variável específica. |
get-next-request | Recupera um valor de uma variável dentro de uma tabela; o gerenciador SNMP não precisa saber o nome exato da variável. Uma pesquisa sequencial é realizada para encontrar a variável necessária de dentro de uma tabela. |
get-bulk-request | Recupera grandes blocos de dados, como várias linhas em uma tabela, que de outra forma exigiriam a transmissão de muitos pequenos blocos de dados. (Funciona apenas com SNMPv2 ou posterior.) |
get-response | Respostas a get-request, get-next-request e set-request enviadas por um NMS. |
set-request | Armazena um valor em uma variável específica. |
O agente SNMP responde às solicitações do gerenciador SNMP da seguinte forma:
- Obter uma variável MIB – O agente SNMP executa esta função em resposta a um GetRequest-PDU do gerenciador de rede. O agente recupera o valor da variável MIB solicitada e responde ao gerenciador da rede com esse valor.
- Definir uma variável MIB – O agente SNMP executa esta função em resposta a um SetRequest-PDU do gerenciador de rede. O agente SNMP altera o valor da variável MIB para o valor especificado pelo gerenciador de rede. Uma resposta do agente SNMP a uma solicitação definida inclui as novas configurações no dispositivo.
A figura ilustra o uso de um SNMP GetRequest para determinar se a interface G0 / 0/0 está ativa / ativa.
SNMP Agent Traps
Um NMS pesquisa periodicamente os agentes SNMP que residem em dispositivos gerenciados usando a solicitação get. O NMS consulta o dispositivo em busca de dados. Usando este processo, um aplicativo de gerenciamento de rede pode coletar informações para monitorar as cargas de tráfego e verificar as configurações dos dispositivos gerenciados. As informações podem ser exibidas por meio de uma GUI no NMS. Médias, mínimos ou máximos podem ser calculados. Os dados podem ser representados graficamente ou os limites podem ser definidos para acionar um processo de notificação quando os limites são excedidos. Por exemplo, um NMS pode monitorar a utilização da CPU de um roteador Cisco. O gerenciador SNMP obtém amostras do valor periodicamente e apresenta essas informações em um gráfico para o administrador da rede usar na criação de uma linha de base, criação de um relatório ou visualização de informações em tempo real.
A pesquisa SNMP periódica tem desvantagens. Primeiro, há um atraso entre a hora em que um evento ocorre e a hora em que ele é percebido (por meio de pesquisa) pelo NMS. Em segundo lugar, há uma compensação entre a frequência de pesquisa e o uso da largura de banda.
Para atenuar essas desvantagens, é possível que os agentes SNMP gerem e enviem traps para informar o NMS imediatamente sobre determinados eventos. Traps são mensagens não solicitadas que alertam o gerente SNMP sobre uma condição ou evento na rede. Exemplos de condições de trap incluem, mas não estão limitados a, autenticação inadequada do usuário, reinicializações, status do link (ativado ou desativado), rastreamento de endereço MAC, fechamento de uma conexão TCP, perda de conexão com um vizinho ou outros eventos significativos. As notificações direcionadas a armadilhas reduzem os recursos da rede e do agente, eliminando a necessidade de algumas solicitações de sondagem SNMP.
A figura ilustra o uso de um trap SNMP para alertar o administrador da rede de que a interface G0 / 0/0 falhou. O software NMS pode enviar uma mensagem de texto ao administrador da rede, abrir uma janela pop-up no software NMS ou tornar o ícone do roteador vermelho na GUI do NMS.
A troca de todas as mensagens SNMP é ilustrada na figura.
Versões SNMP
Existem várias versões de SNMP:
- SNMPv1 – Este é o protocolo de gerenciamento de rede simples, um padrão completo da Internet, definido no RFC 1157.
- SNMPv2c – definido nas RFCs 1901 a 1908. Ele usa uma estrutura administrativa baseada em string de comunidade.
- SNMPv3 – Este é um protocolo baseado em padrões interoperáveis originalmente definido nas RFCs 2273 a 2275. Ele fornece acesso seguro a dispositivos autenticando e criptografando pacotes na rede. Inclui os seguintes recursos de segurança: integridade da mensagem para garantir que um pacote não foi adulterado em trânsito, autenticação para determinar se a mensagem é de uma fonte válida e criptografia para evitar que o conteúdo de uma mensagem seja lido por uma fonte não autorizada.
Todas as versões usam gerenciadores SNMP, agentes e MIBs. O software Cisco IOS oferece suporte às três versões acima. A versão 1 é uma solução legada e não é frequentemente encontrada nas redes hoje; portanto, este curso se concentra nas versões 2c e 3.
SNMPv1 e SNMPv2c usam uma forma de segurança baseada na comunidade. A comunidade de gerentes que pode acessar o MIB do agente é definida por uma string de comunidade.
Ao contrário do SNMPv1, o SNMPv2c inclui um mecanismo de recuperação em massa e relatórios de mensagens de erro mais detalhados para as estações de gerenciamento. O mecanismo de recuperação em massa recupera tabelas e grandes quantidades de informações, minimizando o número de viagens de ida e volta necessárias. O tratamento de erros aprimorado do SNMPv2c inclui códigos de erro expandidos que distinguem diferentes tipos de condições de erro. Essas condições são relatadas por meio de um único código de erro no SNMPv1. Os códigos de retorno de erro no SNMPv2c incluem o tipo de erro.
Nota: SNMPv1 e SNMPv2c oferecem recursos de segurança mínimos. Especificamente, SNMPv1 e SNMPv2c não podem autenticar a origem de uma mensagem de gerenciamento nem fornecer criptografia. O SNMPv3 é mais descrito atualmente nas RFCs 3410 a 3415. Ele adiciona métodos para garantir a transmissão segura de dados críticos entre dispositivos gerenciados.
SNMPv3 fornece modelos e níveis de segurança. Um modelo de segurança é uma estratégia de autenticação configurada para um usuário e o grupo no qual o usuário reside. Um nível de segurança é o nível permitido de segurança em um modelo de segurança. Uma combinação do nível de segurança e do modelo de segurança determina qual mecanismo de segurança é usado ao lidar com um pacote SNMP. Os modelos de segurança disponíveis são SNMPv1, SNMPv2c e SNMPv3.
A tabela identifica as características das diferentes combinações de modelos e níveis de segurança.
Clique em cada botão para obter mais informações sobre as características das diferentes combinações de modelos e níveis de segurança.
Um administrador de rede deve configurar o agente SNMP para usar a versão SNMP suportada pela estação de gerenciamento. Como um agente pode se comunicar com vários gerenciadores SNMP, é possível configurar o software para suportar comunicações usando SNMPv1, SNMPv2c ou SNMPv3.
Community Strings
Para que o SNMP funcione, o NMS deve ter acesso ao MIB. Para garantir que as solicitações de acesso sejam válidas, alguma forma de autenticação deve estar em vigor.
SNMPv1 e SNMPv2c usam sequências de comunidade que controlam o acesso ao MIB. Strings de comunidade são senhas em texto simples. Strings de comunidade SNMP autenticam o acesso a objetos MIB.
Existem dois tipos de strings de comunidade:
- Somente leitura (ro) – Este tipo fornece acesso às variáveis MIB, mas não permite que essas variáveis sejam alteradas, apenas lidas. Como a segurança é mínima na versão 2c, muitas organizações usam SNMPv2c no modo somente leitura.
- Leitura-gravação (rw) – Este tipo fornece acesso de leitura e gravação a todos os objetos no MIB.
Para visualizar ou definir variáveis MIB, o usuário deve especificar a string de comunidade apropriada para acesso de leitura ou gravação.
Clique em Reproduzir para ver uma animação sobre como o SNMP opera com a string de comunidade.
Nota: As senhas em texto simples não são consideradas um mecanismo de segurança. Isso ocorre porque as senhas de texto simples são altamente vulneráveis a ataques man-in-the-middle, nos quais são comprometidas por meio da captura de pacotes.
ID do Objeto MIB
O MIB organiza variáveis hierarquicamente. As variáveis MIB permitem que o software de gerenciamento monitore e controle o dispositivo de rede. Formalmente, o MIB define cada variável como um ID de objeto (OID). Os OIDs identificam exclusivamente objetos gerenciados na hierarquia MIB. O MIB organiza os OIDs com base nos padrões RFC em uma hierarquia de OIDs, geralmente mostrada como uma árvore.
A árvore MIB para qualquer dispositivo inclui algumas ramificações com variáveis comuns a muitos dispositivos de rede e algumas ramificações com variáveis específicas para aquele dispositivo ou fornecedor.
RFCs definem algumas variáveis públicas comuns. A maioria dos dispositivos implementa essas variáveis MIB. Além disso, os fornecedores de equipamentos de rede, como a Cisco, podem definir seus próprios ramos privados da árvore para acomodar novas variáveis específicas de seus dispositivos.
A figura mostra partes da estrutura MIB definida pela Cisco. Observe como o OID pode ser descrito em palavras ou números para ajudar a localizar uma variável específica na árvore. Os OIDs pertencentes à Cisco são numerados da seguinte maneira: .iso (1) .org (3) .dod (6) .internet (1) .private (4) .enterprises (1) .cisco (9). Portanto, o OID é 1.3.6.1.4.1.9.
Cenário de sondagem SNMP
O SNMP pode ser usado para observar a utilização da CPU por um período de tempo, pesquisando dispositivos. As estatísticas da CPU podem ser compiladas no NMS e representadas graficamente. Isso cria uma linha de base para o administrador da rede. Os valores de limite podem então ser definidos em relação a esta linha de base. Quando a utilização da CPU excede esse limite, notificações são enviadas. A figura ilustra amostras de 5 minutos de utilização da CPU do roteador durante o período de algumas semanas.
Os dados são recuperados por meio do utilitário snmpget, emitido no NMS. Usando o utilitário snmpget, você pode recuperar dados em tempo real manualmente ou fazer com que o NMS execute um relatório. Este relatório forneceria um período de tempo durante o qual você poderia usar os dados para obter a média. O utilitário snmpget requer que a versão SNMP, a comunidade correta, o endereço IP do dispositivo de rede a ser consultado e o número OID sejam definidos. A figura demonstra o uso do utilitário freeware snmpget, que permite a recuperação rápida de informações do MIB.
O comando do utilitário snmpget tem vários parâmetros, incluindo:
- -v2c – Esta é a versão do SNMP.
- -c community – Esta é a senha SNMP, chamada string de comunidade.
- 10.250.250.14 – Este é o endereço IP do dispositivo monitorado.
- 1.3.6.1.4.1.9.2.1.58.0 – Este é o OID da variável MIB.
A última linha mostra a resposta. A saída mostra uma versão reduzida da variável MIB. Em seguida, ele lista o valor real no local do MIB. Nesse caso, a média móvel de 5 minutos da porcentagem de CPU ocupada é 11 por cento.
SNMP Object Navigator
O utilitário snmpget fornece algumas dicas sobre a mecânica básica de como o SNMP funciona. No entanto, trabalhar com nomes de variáveis MIB longos como 1.3.6.1.4.1.9.2.1.58.0 pode ser problemático para o usuário médio. Mais comumente, a equipe de operações de rede usa um produto de gerenciamento de rede com uma GUI fácil de usar, o que torna toda a nomenclatura de variáveis de dados MIB transparente para o usuário.
Pesquise “ferramenta Cisco SNMP Object Navigator” para encontrar a ferramenta Cisco que permite a um administrador de rede pesquisar detalhes sobre um determinado OID. A figura exibe um exemplo de uso do navegador para pesquisar as informações de OID para o objeto whyReload.
Laboratório – Software de monitoramento de rede de pesquisa
Neste laboratório, você concluirá os seguintes objetivos:
- Parte 1: Pesquise sua compreensão sobre monitoramento de rede
- Parte 2: Ferramentas de monitoramento de rede de pesquisa
- Parte 3: Selecione uma ferramenta de monitoramento de rede
Pronto para ir! Continue visitando nosso blog do curso de networking, confira todo o conteúdo do CCNA 3 aqui; e você encontrará mais ferramentas e conceitos que o tornarão um profissional de rede.