9.2.3 Типы сообщений протокола snmp

Протокол SNMP является простым протоколом типа «запрос – ответ», т.е. на каждый запрос менеджера, агент должен дать ответ. В протоколе определено несколько типов сообщений, которыми обмениваются менеджер и агент:

· Get - Request – запрос значений одного или нескольких объектов;

· Get-Next-Request – запрос значения следующего объекта, в соответствии с алфавитным порядком идентификаторов OID;

· Set -Request – запрос на изменение значения одного или нескольких объектов;

· Get(Set)-Reply – получение ответа от агента на сообщение Get-Request, Get-Next-Request или Set-Request.

Сообщение Trap (ловушка) используется агентом SNMP для асинхронного сообщения менеджеру SNMP о событии, происходящем на управляемом сетевом устройстве. События могут быть серьезные, например, перезагрузка устройства или менее серьезные, например, изменение состояния порта.

Версия SNMP v.2 добавляет к этому набору команду GetBulk, которая позволяет менеджеру получить несколько переменных за один запрос.

При передаче управляющих сообщений, в качестве протокола транспортного уровня используется протокол UDP .

Рис. 9.13.Типы сообщения протокола SNMP

9.2.4 Безопасность snmp

В протоколе SNMP v.1 и v.2c предусмотрена аутентификация пользователей, которая выполняется с помощью строки сообщества (Community string). Строки Community string функционирует подобно паролю, который разрешает удаленному менеджеру SNMP доступ к агенту. Менеджер и агент SNMP должны использовать одинаковые строки Community string, т.к. все пакеты от менеджера SNMP не прошедшего аутентификацию будут отбрасываться. В коммутаторах с поддержкой SNMP v.1 и v.2c используются следующие Community string по умолчанию:

· public – позволить авторизованной рабочей станции читать (право «read only») MIB-объекты;

· private –позволить авторизованной рабочей станции читать и изменять (право «read/write») MIB -объекты.

Внимание: Community string передаются по сети в открытом виде.

Протокол SNMP v.3 использует более сложный процесс аутентификации, который разделен на две части. Первая часть – обработка списка и атрибутов пользователей, которым позволено функционировать в качестве менеджера SNMP. Вторая часть описывает действия, которые каждый пользователь из списка может выполнять в качестве менеджера SNMP.

На коммутаторе SNMP можно создавать группы со списками пользователей (менеджеров SNMP) и настраивать для них общий набор привилегий. Помимо этого для каждой группы может быть установлена версия используемого ей протокола SNMP . Таким образом, можно создать группу менеджеров SNMP, которым позволено просматривать информацию с правом «read only» или получать ловушки (trap), используя SNMP v.1, в то время как другой группе можно настроить наивысший уровень привилегий с правами «read/write» и возможность использования протокола SNMP v.3.

При использовании протокола SNMP v.3, отдельным пользователям или группам менеджеров SNMP может быть разрешено или запрещено выполнять определенные функции SNMP-управления. Помимо этого в SNMP v.3 доступен дополнительный уровень безопасности, при котором SNMP-сообщения могут шифроваться при передаче по сети.