利用SNMP實時了解網絡運行狀況
在大型網絡管理中,網絡管理員比較頭痛的問題就是如何實時了解不在身邊的網絡設備的運行狀況。若要一臺一臺的去查看網絡設備的運行現狀,那明顯不是很現實。筆者在這里為大家介紹一種利用SNMP協議自動幫助管理員收集網絡運行狀況的方法。通過這種方法,網絡管理員只需要坐在自己的位置上,就可以了解全公司的網絡設備的運行情況。
SNMP,其中文名字叫做簡單網絡管理協議,這是一個應用層協議。有了這個簡單網絡管理協議,則網絡管理員可以很方便的在SNMP代理和管理器之間交換管理信息。它的主要作用就是幫助企業網絡管理人員更方便的了解網絡性能、發現并解決網絡問題、規劃網絡的未來發展。
若網絡管理員要部署SNMP應用也比較簡單。下面筆者通過一個簡單的例子,來談談在企業網絡中如何通過SNMP協議來幫助網絡管理員實時了解網絡運行狀況。
如上圖中,現在網絡管理員希望能夠在自己的電腦上,實時了解這臺路由器的運行狀況,前提是不離開自己的位置。此時,該如何處理呢?
一、 SNMP應用的基本組成部分。
在講解這個解決方案之前,筆者先要談談SNMP應用的基本組成部分,這有利于大家了解后續的配置。通常情況下,SNMP應用主要有三部分組成,分別為網絡管理系統、SNMP代理以及被管設備。
SNMP代理是一個駐留在網絡設備上的網絡管理軟件。他的作用就是將網絡設備中的本地管理信息,如日志信息等,轉換為SNMP兼容的格式。并且隔一段時間,把這個信息發送給SNMP管理系統。其主要作用就是一個,把路由器等網絡設備中的日志文件進行轉換。以便SNMP管理系統進行讀取。
被管設備就是指我們需要管理的網絡設備。在這些設備中,往往就含有SNMP代理。這些SNMP代理會主動收集和存儲管理信息,并通過SNMP把這些信息提供給網絡管理系統。現在大部分廠家的網絡設備,如思科的路由器、交換機等產品,就都帶有SNMP代理功能。為此,從SNMP應用解決方案來講,這些帶有SNMP代理的網絡設備或者服務器,就被稱為被管設備。
網絡管理系統主要與被管理設備上的SNMP代理進行通信,從而完成信息收集、信息統計、異常警報等作用。在實際工作中,網絡管理系統往往安裝在網絡管理員的主機上。從而他可以在不離開自己位置的前提下,收集各個網絡設備的運行信息。
二、 SNMP應用的主要命令。
SNMP的命令比較少,但是個個都比較實用。
第一個命令是讀(READ)命令。即網絡管理員可以在網絡管理系統上,通過Read命令,去見識被管設備的運行狀況。如當管理員發現某臺路由器設備運行異常,以前設置的訪問控制列表不起作用。此時,就可以在自己電腦的網絡管理系統中,通過Read命令去了解路由器的當前運行狀況,以了解到底是哪里出現了問題。
第二個命令是寫(WRITE)命令。如網絡管理員通過讀命令了解到路由器的訪問控制列表失效了。此時,網絡管理員就可以在自己主機上,通過網絡管理系統向路由器發布命令,讓其重新啟用訪問控制列表。也就是說,寫命令主要就是向路由器等被管設備發送操作指令。
以上這兩個命令主要是在網絡管理員這端發送的。即其主動權在管理員這邊。
第三個命令為陷阱(Trap)命令。也就是說,網絡管理員先在路由器等被管設備中設立一些指標,如CPU利用率等等。當超過這個指標后,在路由器等被管設備上的SNMP代理就會把這個信息發送給網絡管理系統。管理員就可以通過網絡管理系統了解到這個信息,從而可以讓他們盡快的采取應對的對策。若用專業的語言描述,就是Trap命令用來向SNMP管理器伊布發送事件報告。
第四個命令為通知(Inform)命令。這個命令跟陷阱命令類似,主要就是用來做SNMP事件通知。不過其跟陷阱命來有一個很大的不同,即陷阱命令是不可靠的,而Inform命令是可靠的。也就是說,陷阱命令發出信息后,就算完工了,其不會關心網絡管理系統是否真正的受到了這條信息。而Inform命令在發出信息后,會等待網絡管理員的響應。如果SNMP代理沒有收到確認消息的話,則就會在一段時間后沖發Inform報文信息。所以,從這個角度講,Inform命令更加可靠。
第三、第四個命令主要是路由器等被管設備發生異常情況時,自動向網絡管理員報警。如此的話,網絡管理員就不用天天盯著網絡管理系統看。因為在有異常情況時,路由器等被管設備會自動向網絡管理員報警。從而網絡管理員不會漏過任何一個警報,為他們處理問題引得了時間。
三、 SNMP引用的注意點。
在使用SNMP解決方案來收集被管設備的運行信息時,最主要的問題就是要注意其安全方面的漏洞。因為非法攻擊者可以使用SNMP協議了解被管設備配置以及內部網絡拓撲結構。甚至還可以對網絡設備的配置進行更改,以滿足他們進一步入侵的需要。另外,非法攻擊者還可以通過SNMP的一些輔助工具,如SNMP發現工具或者通過捕獲SNMP報文,來訪問管理信息庫,從而掌握一些下一步攻擊所需要的基本信息。
所以,網絡管理員在享受SNMP所帶來便利的時候,也需要關注其可能會導致的安全漏洞。針對這個安全問題,筆者有如下建議。
一是利用SNMPv2版本代替SNMPv1版本。現在簡單網絡管理協議(SNMP)有兩個版本。其第一個版本安全性比較差,如通過明文形式傳遞數據等等。而以明文形式在網絡上傳遞數據的話,則非法攻擊者可以利用一些黑客工具,輕易捕獲SNMP報文,從而收集一些可用的信息。而第二個版本的網絡管理協議,則在這方面有了改進。最重要的變化,就是把明文傳輸改為了密文傳輸。如此,非法攻擊這若想通過網絡偵聽等手段非法獲取SNMP報文,就變得沒有意義。因為他們及時取得這個報文,報文的內容也是加密過的,他們無法讀取。所有到手的SNMP報文也就一文不值。另外,第二個版本的網絡管理簡單協議也增強了一些操作上的內容,如改善了Inform命令的操作方式等等。所以,無論從安全上還是從管理上,第二個版本的簡單網絡管理協議都比第一個版本的要好的多。為此,在有條件的情況下,網絡管理員最好采用第二個版本。
二是利用獨立的身份驗證機制,來進行身份驗證。因為SNMP協議本身并沒有身份鑒別能力,這就在安全威脅面前暴露了嚴重的脆弱性。所以,一個未經授權的實體可以假借授權管理實體的身份來進行操作。如未經授權的用戶可能試圖改變由授權的管理員用戶所產生的SNMP報文等等。如果未經授權的用戶錄制、延時或者復制并重放了由授權用戶所產生的保溫,則報文的序列和時間就會被修改。所以,若沒有給SNMP協議配備身份驗證機制的話,對于企業網絡的安全是一個很大的挑戰。筆者認為,無論在何時,管理的便利性與安全性都是同等重要的。
三是合理選擇訪問模式。眾所周知,思科的路由器提供了兩種訪問模式,分別為用戶級模式與特權級模式。其中用戶模式之能夠查看路由器的一些基本信息,而不能夠更改其配置。而在利用簡單網絡管理協議收集管理路由器的時候,其也可以選擇訪問模式。路由器上的SNMP代理能夠使得用戶未用戶訪問模式與特權訪問模式配置不同的字符串,從而進行訪問模式的控制。例如,要SNMP代理以特權模式的方式訪問路由器的華,則可以在命令后面加入RW選項;而如果以用戶模式進行訪問的話,則可以加入RO參數。在一般情況下,建議用戶采用用戶模式進行訪問。而只有在用戶模式下不能夠完成任務的時候,才使用特權模式。這個訪問模式的控制,可以在很大程度上提高SNMP解決方案的安全系數。
【編輯推薦】
