- •2. Версии iPv4 и iPv6
- •3. Пакеты и их инкапсуляция
- •4. Адресация пакетов
- •Глава 14. Сети tcp/ip 505
- •6. Cidr: протокол бесклассовой междоменной маршрутизации
- •7. Частные адреса и система nat
- •8. Маршрутизация
- •9. Таблицы маршрутизации
- •10. Arp: протокол преобразования адресов
- •11. Dhcp: протокол динамического конфигурирования узлов
- •12. Ррр: протокол двухточечного соединения
- •13. Команда ifconfig: конфигурирование сетевых интерфейсов
- •14. Демоны маршрутизации
- •Глава 15. Маршрутизация 571
- •15. Основные протоколы маршрутизации
- •Глава 15. Маршрутизация 567
- •16. Технология Ethernet: сетевая панацея
- •17. Беспроводной стандарт: локальная сеть для кочевников
- •18. Dsl и кабельные модемы: “последняя миля” 8
- •Глава 16. Сетевые аппаратные средства 593
- •20. Основные задачи системы dns
- •Глава 18. Сетевой протокол Network File System 737
- •22. Серверная часть протокола nfs
- •Глава 18. Сетевой протокол Network File System 745
- •23. Клиентская часть протокола nfs
- •Глава 18. Сетевой протокол Network File System 753
- •24. Ldap: упрощенный протокол доступа к каталогам
- •25. Структура данных ldap
- •Глава 19. Совместное использование системных файлов 775
- •26. Nis: Сетевая информационная служба
- •27. Системы электронной почты
- •Глава 20. Электронная почта 789
- •28. Протоколы smtp, pop3.
- •30. Почтовые серверы
- •Часть II. Работа в сети
- •31. Cпам и вредоносные программы
- •Глава 20. Электронная почта 813 ip range
- •32. Фильтрация почты
- •33. Почтовый агент sendmail
- •34. Почтовый агент Postfix
- •Глава 20. Электронная почта 877
- •35. Поиск неисправностей в сетях
- •Глава 21. Управление сетями 911
- •36. Kоманда traceroute: трассировка ip-пакетов
- •Глава 21. Управление сетями 915
- •37. Команда netstat: получение информации о состоянии сети
- •Глава 21. Управление сетями 919
- •39. Snmp: простой протокол управления сетями
- •40. Протокол NetFlow: мониторинг соединений
- •Глава 21. Управление сетями 939
- •41. Ключевые аспекты безопасности
- •Глава 22. Безопасность 951
- •42. Пароли и учетные записи пользователей
- •43. Эффективное использование команды chroot
- •44. Команда nmap: сканирование сетевых портов
- •45. Bro: программная система для распознавания вторжения в сеть
- •Глава 22. Безопасность 967
- •46. Мандатное управление доступом
- •47. Ssh: безопасная оболочка
- •48. Брандмауэры
- •Глава 22. Безопасность 983
- •49. Функциональный стек lamp
- •50. Обнаружение ресурсов в сети веб
- •Глава 23. Веб-хостинг 1003
- •51. Принцип работы http
- •52. Конфигурирование сервера Apache
- •Глава 23. Веб-хостинг 1011
- •53. Виртуальные интерфейсы
- •54. Протокол Secure Sockets Layes
- •Глава 23. Веб-хостинг 1017
39. Snmp: простой протокол управления сетями
Когда в начале 90-х годов протокол SNMP впервые появился на рынке, возникла своеобразная “золотая лихорадка”. Сотни компаний выпустили собственные пакеты управления по протоколу SNMP. Кроме того, многие поставщики аппаратных и про граммных средств стали включать в свои продукты SNMP-агенты. Большинство компо нентов сетевого аппаратного обеспечения, предназначенных для производства (а не для домашнего использования), в настоящее время содержат агенты SNMP.
Прежде чем погрузиться в дебри SNMP, заметим, что терминология, употребляемая в этой области, одна из самых бестолковых и невразумительных. Стандартные назва ния объектов и концепций SNMP будут активно уводить читателей от понимания их назначения, так что запаситесь терпением. У людей, ответственных за такое положение вещей, следует отобрать клавиатуру.
Структура протокола SNMP
В SNMP данные организованы иерархически, причем структура иерархии жестко определена. Это делает пространство имен универсальным и расширяемым, по крайней мере теоретически. Большие его области оставлены для перспективного использования; дополнения, создаваемые поставщиками операционных систем, локализуются в опреде ленных диапазонах во избежание конфликтов. Для формирования пространства имен используются так называемые базы управляющей информации (Management Information Base, MIB). Это структурированные текстовые файлы, которые содержат описания дан ных, доступных по протоколу SNMP. Ссылки на конкретные переменные, описываемые в базе данных, называются идентификаторами объектов (Object Identifier, OID).
В переводе на человеческий язык это означает всего лишь, что протокол SNMP определяет иерархическое пространство имен переменных, хранящих “интересные” па раметры системы.
Иерархия SNMP напоминает иерархию имен файловой системы. Только в качестве символа-разделителя используется точка, а каждому узлу иерархии присваивается не имя, а номер. Для облегчения ссылок узлам присваиваются также текстовые имена, но схема именования выходит за рамки самой иерархии и определяется на высоком уровне. (Это похоже на связь между именами компьютеров и их IР-адресами.)
Глава 21. Управление сетями 929
К примеру, идентификатор OID, соответствующий показателю общего времени ра боты системы, выглядит так: 1.3.6.1.2.1.1.3. В текстовом виде его можно записать сле дующим образом.
iso.org.dod.intemet.mgmt.mib-2.system.sysUpTime
Верхние уровни иерархии SNMP носят искусственный характер и обычно не содер жат полезных данных. По сути, интересная информация начинает появляться только на уровне iso.org.dod.internet.mgmt (вчисловом виде — 1.3.6.1.2).
Основная административная база данных SNMP для протоколов TCP/IP (MIB-I) обеспечивает доступ к наиболее важным управляющим данным: информации о системе, ее интерфейсах, преобразовании адресов и протоколах (IP, ICMP, TCP, UDP и др.). В до кументе RFC1213 описана новая, более полная версия этой базы: MIB-II. Большинство SNMP-серверов поддерживает базу MIB-II. В табл. 21.1 приведена выборка узлов иерар хии из пространства имен MIB-II.
Таблица 21.1. Некоторые идентификаторы из базы MIB-II
OIDa Тип Содержание
system.sysDescr строка Информация о системе: производитель, модель, тип ОС и т.д.
system.sysLocation строка Физическое местонахождение компьютера
system.sysContact строка Информация о владельце компьютера
system.sysName строка Имя системы (обычно это полное DNS-имя)
interfaces.ifNumber целое Количество имеющихся сетевых интерфейсов
interfaces.ifTable таблица Таблица с информацией о каждом интерфейсе
ip.ipForwarding целое 1, если система является шлюзом, иначе 2
ip.ipAddrTable таблица Таблица данных IP-адресации (маски и т.д.)
ip.ipRouteTable таблица Системная таблица маршрутизации
icmp.icmplnRedirects целое Число полученных директив переадресации протокола ICMP
icmp.icmplnEchos целое Число полученных эхо-пакетов
tcp.tcpConnTable таблица Таблица текущих ТСР-соединений
udp.udpTable таблица Таблица с информацией о UDP-сокетах, через которые серверы ожидают прием запросов
а Относительно узла iso.org.dod.internet.mgmt.mib-2.
Помимо основной административной базы данных, существуют базы для различных типов аппаратных интерфейсов и протоколов. Имеются также базы данных по отдель ным поставщикам и конкретным изделиям.
База MIB — это лишь соглашение об именовании управляющих данных. Для того чтобы эта схема заработала, ее необходимо подкрепить программой-агентом, которая будет обеспечивать соответствие содержимого SNMP-переменных текущему состоянию устройства. Код для основной базы MIB (в настоящее время MIB-II) поставляется с большинством SNMP-агентов Linux. Некоторые агенты разрешают подключать допол нительные базы данных.
Агенты SNMP — сложные существа, имеющие общие проблемы с безопасностью. Не следует полагаться на агентов, которых поставщики предоставляют в готовом виде. Ра зумнее скомпилировать и инсталлировать текущую версию агента NET-SNMP (см. далее).
930 Часть II. Работа в сети
Операции протокола SNMP
В пространстве имен SNMP определено всего четыре базовые операции: get (про читать), get-next (прочитать следующий), set (записать) и trap (прерывание).
Операции get и set — это базовые операции чтения и записи данных на узле иерар хии, который определяется конкретным значением OID. Операция get-next использу ется для последовательного прохода по базе MIB, а также для чтения таблиц.
Прерывание (операция trap) — это неожиданное уведомление клиента о том, что на сервере произошло нестандартное событие. Определен ряд стандартных прерываний, в том числе уведомления вида “я только что включился”, сообщения об отказах и восста новлении сетевых каналов, а также сообщения, связанные с различными проблемами маршрутизации и аутентификации. Широко применяются и нестандартные прерывания, например для отслеживания значений требуемых SNMP-переменных. Если эти значе ния выходят за границы установленного диапазона, выдается соответствующее сообще ние. Способ определения получателей таких сообщений зависит от реализации агента.
Поскольку сообщения SNMP потенциально могут изменять информацию о конфи гурации компьютера, необходим какой-то механизм защиты. Простейшая защита осно вана на концепции группового имени (community name). Для тех, кто не страдает кос ноязычием, поясним: на языке разработчиков протокола это синоним слова “пароль”. Доступу только для чтения соответствует один пароль, простите, групповое имя, а до ступу для записи — другой.
Несмотря на то что многие организации продолжают использовать общепринятую строковую аутентификацию имени и пароля, версия 3 протокола SNMP включает ме тоды управления доступом с высокой степенью безопасности. Их настройка требует до полнительной работы, но снижение риска стоит этого. Если по каким-то причинам вы не можете использовать версию 3 протокола SNMP, по крайней мере выберите строку имени и пароля, которую сложно угадать.