簡單網絡管理協定

簡單網絡管理協定(SNMP,Simple Network Management Protocol)構成了互聯網工程工作小組(IETF,Internet Engineering Task Force)定義的Internet協定族的一部分。該協定能夠支援網絡管理系統,用以監測連接到網絡上的裝置是否有任何引起管理上關注的情況。它由一組網絡管理的標準組成,包含一個應用層協定(application layer protocol)、資料庫模式(database schema),和一組資料物件。

概論和基礎觀念

編輯

在典型的SNMP用法中,有許多系統被管理,而且是有一或多個系統在管理它們。每一個被管理的系統上有運行一個叫做代理者(agent)的軟件元件,且透過SNMP對管理系統報告資訊。

基本上,SNMP代理者以變數呈現管理資料。管理系統透過GETGETNEXTGETBULK協定指令取回資訊,或是代理者在沒有被詢問的情況下,使用TRAPINFORM傳送資料。管理系統也可以傳送組態更新或控制的請求,透過SET協定指令達到主動管理系統的目的。組態和控制指令只有當網絡基本結構需要改變的時候使用,而監控指令則通常是常態性的工作。

可透過SNMP存取的變數以階層的方式結合。這些分層和其他元數據(例如變數的類型和描述)以管理資訊庫MIBs)的方式描述。

SNMP基本元件

編輯

一個SNMP管理的網絡由下列三個關鍵元件組成:

  1. 網絡管理系統(NMSs,Network-management systems)
  2. 被管理的裝置(managed device)
  3. 代理者(agent)

一個網絡管理系統執行應用程式,以該應用程式監視並控制被管理的裝置。也稱為管理實體(managing entity),網絡管理員在這兒與網絡裝置進行互動。網絡管理系統提供網絡管理需要的大量運算和記憶資源。一個被管理的網絡可能存在一個以上的網絡管理系統。

一個被管理的裝置是一個網絡節點,它包含一個存在於被管理的網絡中的SNMP代理者。被管理的裝置透過管理資訊庫(MIB)收集並儲存管理資訊,並且讓網絡管理系統能夠透過SNMP代理者取得這項資訊。

代理者是一種存在於被管理的裝置中的網絡管理軟件模組。代理者控制本地機器的管理資訊,以和SNMP相容的格式傳送這項資訊。

SNMP架構

編輯

從體系結構上來講,SNMP框架由主代理、子代理和管理站組成。

主代理

編輯

主代理是一個在可執行SNMP的網絡元件上運作的軟件,可回應從管理站發出的SNMP要求。它的角色類似客戶端/伺服器結構(Client/Server)術語中的伺服器。主代理依賴子代理提供有關特定功能的管理資訊。

如果系統當前擁有多個可管理的子系統,主代理就會傳遞它從一個或多個子代理處收到的請求。這些子代理在一個子系統以及對那個子系統進行監測和管理操作的介面內為關心的物件建模。主代理和子代理的角色可以合併,在這種情況下我們可以簡單的稱之為代理(agent)。

子代理

編輯

子代理是一個在可執行SNMP的網絡元件上運作的軟件,執行在特定子系統的特定管理資訊庫(MIB,Management Information Base)中定義的資訊和管理功能。子代理的一些能力有:

  • 搜集主代理的資訊
  • 組態主代理的參數
  • 回應管理者的要求
  • 產生警告或陷阱

對協定和管理資訊結構的良好分離使得使用SNMP來監測和管理同一網絡內上百的不同子系統非常簡單。MIB模型運行管理OSI參考模型的所有層,並可以擴展至諸如資料庫,電子郵件以及J2EE參考模型之類的應用。

管理站

編輯

管理者或者管理站提供第三個元件。它和一個客戶端/伺服器結構下的用戶端一樣工作。它根據一個管理員或應用程式的行為發出管理操作的請求,也接收從代理處獲得的TRAP。

SNMP協定

編輯

SNMP第一版和SMI規格的資料型態

編輯

SNMP第一版SMI指定許多SMI規格的資料型態,它們被分為兩大類:

  1. 簡單資料型態
  2. 泛應用資料型態

SNMP第二版和管理資訊結構

編輯

SNMP第二版SMI在RFC 2578之中描述,它在SNMP第一版的SMI規格資料型態上進行增加和強化,例如位元串(bit strings)、網絡地址(network addresses)和計數器(counters)。

SNMP協定在OSI模型應用層(第七層)運作,在第一版中指定五種核心PDU:

  1. GET REQUEST
  2. GET NEXT REQUEST
  3. GET RESPONSE
  4. SET REQUEST
  5. TRAP

其他PDU在SNMP第二版加入,包含:

  1. GETBULK REQUEST
  2. INFORM

SNMP第二版SMI資訊模組

編輯

SNMP第二版SMI也指定了資訊模組來詳細說明一群相關連的定義。有三種SMI資訊模組:MIB模組、回應狀態、能力狀態。

SNMP第三版

編輯

SNMP第三版由RFC 3411-RFC 3418定義,主要增加SNMP在安全性和遠端組態方面的強化。

SNMP第三版提供重要的安全性功能:

  • 資訊完整性:保證封包在傳送中沒有被竄改。
  • 認證:檢驗資訊來自正確的來源。
  • 封包加密:避免被未授權的來源窺探。

開發和使用

編輯

第一版

編輯

SNMP的第一個RFC系列出現在1988年:

  1. RFC 1065:基於TCP/IP網絡的管理資訊的結構和認定
  2. RFC 1066:以基於TCP/IP網絡的網絡管理為基礎的管理資訊
  3. RFC 1067:一個簡單網絡管理協定

這些協定被廢除經由:

  1. RFC 1155:基於TCP/IP網絡的管理資訊的結構和認定
  2. RFC 1156:以基於TCP/IP網絡的網絡管理為基礎的管理資訊
  3. RFC 1157:一個簡單網絡管理協定

SNMP協定工作在OSI模型的應用層(第七層)。它(在第一版中)指定了四種核心協定數據單元(PDU):

  1. GET,用來得到一條管理資訊
  2. GETNEXT,用來反覆得到管理資訊的序列
  3. SET,用來給一個被管理的子系統製造一個變化
  4. TRAP,用來報告一個關於被管理子系統的警告或其他非同步事件

典型的,SNMP為代理使用UDP埠161,為管理站使用UDP埠162。

第一版因為其脆弱的安全性而備受爭議。客戶端認證使用明碼傳送。在80年代,SNMP第一版被設計出來的時期,互聯網標準的認證/安全並不被主要的協定設計團體所重視。

第二版

編輯

SNMP第二版(RFC 1441RFC 1452)修訂了第一版並且包含了在效能、安全、機密性和管理者之間通訊這些領域的改進。它引入了GETBULK以取代反覆的GETNEXT,藉以在單個請求中取得大量的管理數據。然而,SNMP第二版的新安全系統被認為過於複雜,而不被廣泛接受。

SNMP v2c(基於社群的SNMP第二版)定義於RFC 1901–RFC 1908,一開始也非正式的被稱為SNMP第1.5版。SNMPv2c包含SNMP第二版除了受爭議的新SNMP第二版安全模型以外的部份,並以SNMP第一版的簡單的基於社群的安全性方案取而代之。

SNMP v2u(基於用戶的SNMP第二版)定義於RFC 1909–RFC 1910。這是一個SNMP第一版和SNMP第二版的折衷方案,試圖提供比SNMP第一版更好的安全性,又不遭遇SNMP第二版的高複雜度。這產生一個被商業化的變種,稱為SNMP v2*,而且它的機制最後被SNMP第三版的兩個安全性框架之一採用。

SNMP第一版和SNMPv2c的互操作性

編輯

在目前的指定中,SNMP第二版和SNMP第一版在兩個關鍵領域不相容:訊息格式和協定操作。SNMPv2c訊息使用和SNMP第一版不同的標頭和協定數據單元(PDU)格式。SNMPv2c也使用兩個沒有在SNMP第一版指定的協定操作。此外,RFC 1908定義兩個可能的SNMP第一版/第二版共存策略:代理伺服器代理(proxy agents)和雙語網絡管理系統(bilingual network-management systems)。

第三版

編輯

Internet工程工作小組(IETF)把在RFC3411-RFC3418(STD0062)中定義的SNMP第三版作為2004年的標準版本。IETF將先前的版本定為「Obsolete」或「Historical」。

實際上,SNMP實現通常支援多個版本:典型的SNMPv1、SNMPv2c以及SNMPv3。參見RFC3584「Internet標準網絡管理框架第一、二、三版間的共存」。

SNMP第三版提供三項重要的服務:認證、私隱和存取控制

使用舉例

編輯

SNMP v1 v2c

編輯
  • 監控裝置正常運行時間 (sysUpTimeInstance)
  • 作業系統版本清單 (sysDescr)
  • 收集介面資訊 (ifName, ifDescr, ifSpeed, ifType, ifPhysAddr)
  • 測量網絡介面吞吐量 (ifInOctets, ifOutOctets)
  • 查詢遠端ARP快取 (ipNetToMedia)

下面的輸出作為在一個路由器上的snmpwalk的例子展示了裝置的基本資訊:

 snmpwalk -c public punch system

 SNMPv2-MIB::sysDescr.0 = STRING: Cisco Internetwork Operating System Software IOS (tm) C2600
 Software (C2600-IO3-M), Version 12.2(15)T5, RELEASE SOFTWARE (fc1)
 TAC Support: http://www.cisco.com/tac

 Compiled Thu 12-Jun-03 15:49 by eaarm
 SNMPv2-MIB::sysObjectID.0 = OID: SNMPv2-SMI::enterprises.9.1.187
 DISMAN-EVENT-MIB::sysUpTimeInstance = Timeticks: (835747999) 96 days, 17:31:19.99
 SNMPv2-MIB::sysContact.0 = STRING: wikiuser
 SNMPv2-MIB::sysName.0 = STRING: punch
 SNMPv2-MIB::sysLocation.0 = STRING: test
 SNMPv2-MIB::sysServices.0 = INTEGER: 78
 SNMPv2-MIB::sysORLastChange.0 = Timeticks: (0) 0:00:00.00

SNMP v3

編輯

由於 SNMP v3 加強了安全設計,存取上要提供較多資訊

透過工具指令存取

編輯

在 Shell 環境下安全取得一台主機所有 CPU Core 使用狀況的方法:

  • -l authPriv 表示要認證也要傳輸加密
  • -a 為認證密碼保護方式 -A 為認證密碼
  • -x 為傳輸加密方式 -X 為傳輸金鑰
  • 1.3.6.1.2.1.25.3.3.1.2 表示要監視所有 CPU Core 使用狀況
snmpwalk -v 3 -l authPriv -u user \
   -a SHA -A userpass \
   -x AES -X userpass \
   10.33.1.1 \
   1.3.6.1.2.1.25.3.3.1.2

HOST-RESOURCES-MIB::hrProcessorLoad.196608 = INTEGER: 7
HOST-RESOURCES-MIB::hrProcessorLoad.196609 = INTEGER: 8

透過 PHP 存取

編輯
if (function_exists('snmp3_get')) {
	$result = snmp3_real_walk(
		'10.33.1.1',         // 要監視的主機
		'user',                  // 存取 SNMP 服務的帳號
		'authPriv',              // 安全等級 (要認證也要傳輸加密)
		'SHA',                   // 認證密碼的保護方式
		'userpass',              // 認證用密碼
		'AES',                   // 傳輸加密方式
		'userpass',              // 傳輸用密鑰
		'1.3.6.1.2.1.25.3.3.1.2' // 監看所有 CPU core 的負載狀況,編號為 CPU 負載狀況的 OID
	);
	print_r($result);
}

Array
(
    [HOST-RESOURCES-MIB::hrProcessorLoad.196608] => INTEGER: 7
    [HOST-RESOURCES-MIB::hrProcessorLoad.196609] => INTEGER: 11
)

經常監視的數據

編輯

處理器、記憶體、儲存裝置、網絡環境為最常被監視的項目,這些項目的細節資訊如下表: [1] [2] [3]

項目 存取方式 OID MIB
處理器
用戶佔用時間比 GET .1.3.6.1.4.1.2021.11.9.0 UCD-SNMP-MIB::ssCpuUser
系統佔用時間比 GET .1.3.6.1.4.1.2021.11.10.0 UCD-SNMP-MIB::ssCpuSystem
閒置時間比 GET .1.3.6.1.4.1.2021.11.11.0 UCD-SNMP-MIB::ssCpuIdle
每個 Core 的用量 WALK .1.3.6.1.2.1.25.3.3.1.2 HOST-RESOURCES-MIB::hrProcessorLoad
記憶體
記憶體容量 GET .1.3.6.1.4.1.2021.4.5.0 UCD-SNMP-MIB::memTotalReal
記憶體消耗量 GET .1.3.6.1.4.1.2021.4.6.0 UCD-SNMP-MIB::memAvailReal
記憶體剩餘量 GET .1.3.6.1.4.1.2021.4.11.0 UCD-SNMP-MIB::memTotalFree
虛擬記憶體容量 GET .1.3.6.1.4.1.2021.4.3.0 UCD-SNMP-MIB::memTotalSwap
虛擬記憶體剩餘量 GET .1.3.6.1.4.1.2021.4.4.0 UCD-SNMP-MIB::memAvailSwap
儲存裝置
各磁碟容量 WALK .1.3.6.1.4.1.2021.9.1.6.1 UCD-SNMP-MIB::dskTotal
各磁碟消耗量 WALK .1.3.6.1.4.1.2021.9.1.7.1 UCD-SNMP-MIB::dskAvail
各磁碟消耗量百分比 WALK .1.3.6.1.4.1.2021.9.1.9.1 UCD-SNMP-MIB::dskPercent
網絡環境
網絡裝置名稱 WALK .1.3.6.1.2.1.31.1.1.1.1 IF-MIB::ifName

參見

編輯
  1. ^ UCD-SNMP-MIB. Net-SNMP. [2016-07-29]. (原始內容存檔於2019-05-02). 
  2. ^ HOST-RESOURCES-MIB. Net-SNMP. [2016-07-29]. (原始內容存檔於2020-12-19). 
  3. ^ IF-MIB (ifMIBObjects). Net-SNMP. [2016-07-29]. (原始內容存檔於2019-05-02). 

外部連結

編輯