3.4. Відмінності snmpv3
SNMP - протокол прикладного рівня. Він призначений для обміну інформацією між мережевими пристроями. За допомогою цього протоколу, мережевий адміністратор може проводити аналіз мережевого устаткування, знаходити і вирішувати безліч мережевих проблем.
У Грудні 1997 року з виходом SNMPv3, користувачам стали доступні нові служби, такі як: обмеження доступу, захист даних і аутентифікація користувача.
Крім цього, варто зазначити, що SNMPv3 перейняв модульну архітектуру від своїх попередників. Це забезпечує підтримку попередніх версій SNMPі, не дивлячись на те, що SNMPv1 і SNMPv2 не підтримують аутентифікацію і шифрування, у Вас буде можливість керування пристроями, які підтримують ці версії.
При створенні нової версії розробники керувалися такими принципами:
1. необхідно забезпечити більшу безпеку протоколу (особливо для операцій типу SET);
2. SNMPv3 повинен мати можливість подальшого розвитку та розширення;
3. протокол повинен залишитися простим і зрозумілим;
4. налаштування параметрів безпеки SNMPv3 повинні бути максимально простими;
У SNMPv3 вже не застосовуються терміни «агент» і «менеджер», тепер використовуються терміни «сутності». Як і раніше одна сутність знаходиться на керованому пристрої, а друга займається опитуванням додатків.
У сутностей-агентів і сутностей-менеджерів тепер є ядро, яке виконує Чотири основні функції (див. Рисунок 1):
1.Функция диспетчера;
2.Обработка повідомлень;
3.Функції безпеки;
4.Контроль доступу.
Диспетчер - це проста система управління вхідний і вихідний трафік. Для кожного вихідного блоку даних (PDU) він визначає тип необхідної обробки (SNMPv1, SNMPv2, SNMPv3) і передає блок даних відповідного модуля в системі обробки повідомлень.
Після того як система обробки повідомлень поверне повідомлення, яке містить цей блок даних, Диспетчер відправить його на транспортний рівень для подальшої передачі. Для вхідних повідомлень, Диспетчер проводить зворотну операцію.
Система обробки повідомлень отримує від Диспетчера вихідні блоки даних (PDU), додає до них відповідний заголовок і повертає їх назад Диспетчеру.
Система безпеки відповідає за шифрування і аутентифікацію. Всі вихідні повідомлення перед відправкою спочатку передаються із системи обробки повідомлень в систему безпеки, де всі шифруються поля в заголовку повідомлення, блок даних (PDU), генерується код аутентифікації і додається до заголовку повідомлення.
Після цього повідомлення передається назад у систему обробки повідомлень. Точно така ж операція, але в зворотному порядку провадиться для всіх вхідних повідомлень.
Система контролю доступу управляє службами аутентифікації для контролю доступу до MIB виходячи з вмісту блоків даних. (PDU). Теоретично, система контролю доступу може працювати з різними моделями контролю доступу, але на даний момент в RFC 2275 описана лише одна модель - VACM (View-BasedAccessControlModel)
В таблиці 3.2 описані деякі методи застосування SNMP.
Основні методи SNMP
Таблиця 3.2.
Метод |
Для чого застосовуеться |
Підтримується |
GET |
Використовується менеджером для отримання даних з MIB. Розмір повідомлення може обмежувати агента. SNMPv1-3 |
SNMPv1-3 |
GET-NEXT |
Метод дозволяє послідовно виконати набір команд і получіти набір значень з MIB SNMPv1-3 |
SNMPv1-3 |
GET-BULK |
Використовується менеджером для отримання відразу великої кількості даних з MIB. Розмір повідомлення посилається агентом не обмежений. SNMPv2, SNMPv3 |
SNMPv2, SNMPv3 |
SET |
Використовується менеджером для установки значень в MIB агента SNMPv1-3 |
SNMPv1-3 |
GET-RESPONSE |
|
SNMPv1-3 |
TRAP |
Використовується агентом щоб послати сигнал менеджеру SNMPv1-3 |
SNMPv1-3 |
NOTIFICATION |
|
SNMPv2, SNMPv3 |
INFORM |
Використовується менеджером для відсилання сигналу іншому менеджерові |
SNMPv2, SNMPv3 |
REPORT |
|
SNMPv2, SNMPv3 |
За допомогою цих команд і стандартною бази MIB можна отримати найрізноманітнішу інформацію.
Наприклад: кількість прийнятих та відправлених пакетів по TCP, IP, UDP або ICMP. А ще можна дізнатися про кількість помилок, які були виявлені під времяотправкі або отримання пакетів.
При розробці SNMPv3 чимало уваги було приділено безпеці протоколу. Тепер стала підтримуватися модель, орієнтована на користувача (User-BasedSecurityModel скор. USM <* см. RFC 3414>) завдяки якій стало можливим додавання модулів аутентифікації і шіфрованіябез зміни базової архітектури (рис.3.3).
Суть SNMP
Рис. 3.3. Схема роботи ядра SNMPv3