SNMP Einführung
Transcription
SNMP Einführung
ITS-LABOR NWM SNMP Einführung Command Line Tools Am Markt existieren jede Menge leistungsfähige, kommerzielle sowie open source Produkte, um Netzwerke und Serversysteme über das Simple Network Management Protokoll SNMP zu verwalten. Als typische Vertreter sind natürlich HP Openview, Tivoli, MRTG,... zu nennen. Um diese komplexen Systeme zu meistern, ist es aber unverzichtbar ihr Funktionsweise genau zu verstehen und den Umgang mit Management Informationen 100-prozentig zu beherrschen. Um diese Fertigkeiten zu erlangen, muss man sich grundlegend mit der Struktur von Management Informationen beschäftigen und die drei Dienstprimitiven von SNMP, nämlich SET, GET und TRAP verstehen. Dazu stehen für alle gängigen Betriebssysteme die Command Line basierenden Tools snmpget, snmpset, snmptrap zur Verfügung. Seite 1 von 6 © Thomas Pfeiffenberger Studiengang ITS -- FH Salzburg 14/15 150430_nwm_snmp_task_v01.docx ITS-LABOR NWM Step by Step to Network Management Anhand einer einfachen Netzwerktopologie soll veranschaulicht werden, wie ein Netzwerk mittels SNMP ge-„managed“ werden kann. Der Router/Access Point steht dabei stellvertretend für eine beliebige Anzahl von Netzwerkknoten. Mit dem Management PC soll veranschaulicht werden, dass auch Hosts oder Serversysteme sehr einfach mittels SNMP verwaltet werden können. SNMP Komponenten Die drei wesentlichen Bestandteile des SNMP Konzeptes sind die Management Information Base, der SNMP Agent und die SNMP Manager Station. Die Management Information Base ist eine als Baumstruktur angelegte Datenbank, deren Grundstruktur MIB 2 im RFC 1213 standardisiert ist. In ihr werden alle Zustandsinformationen eines SNMP Knotens gespeichert. Ein SNMP Agent ist ein Managment Prozess am jeweiligen SNMP Knoten, der die Kommunikation (Lese- und Schreibzugriff) auf die einzelnen Zustandsinformationen in der MIB regelt und eine Netzwerkkommunikation ermöglicht. Figure 1 SNMP Architektur (technet.mircosoft.com) Eine SNMP Management Station kommuniziert über die SNMP Dienstprimitiven set, get und trap mit dem jeweiligen Agent und speichert und wertet Zustandsinformationen der einzelnen Netzwerkknoten zentral aus. Seite 2 von 6 © Thomas Pfeiffenberger Studiengang ITS -- FH Salzburg 14/15 150430_nwm_snmp_task_v01.docx ITS-LABOR NWM SNMP Übungsdurchführung Router/Accesspoint SNMP aktivieren Router(config)#access-list 10 permit [IP Address of SNMP Manager] Router(config)#snmp-server community geheim RW 10 Router(config)#snmp-server contact [email protected] Fragen: • Was bedeuten diese Befehle? • Wie können Location Informationen hinterlegt werden? • Welche SNMP Version wird hier verwendet? SNMP Tools installieren Windows Host Überprüfen Sie ob am Windows Host der SNMP Dienst installiert ist (Systemsteuerung ? Software ? Windows Komponenten hinzufügen ? Komponente in „Verwaltungs- und Überwachungsprogramme“). Konfigurieren Sie den SNMP Dienst unter Systemsteuerung ? Verwaltung ? Dienste ? SNMP. Frage: • Welche Zugriffsrechte können einem Community String zugewiesen werden? snmpwalk ( im Installationsordner ausführen ) Der Befehl snmpwalk bietet eine einfache Möglichkeit die gesamte MIB eines Netzwerkknotens auszulesen, beziehungsweise einen Startpunkte zu setzen, ab dem alle tieferliegenden Zustandsinformationen aus der Baumstruktur ausgelesen werden. TASK1# Router/Access Point mit snmpwalk abfragen ----------------------------------------------------------------------------------------------------------------1. Alle Zustandsinformationen vom Router auslesen. snmpwalk -m all [IP] geheim 2. Die gesamte MIB II auslesen snmpwalk –m all [IP]geheim .1.3.6.1.2.1 3. Alle Herstellerspezifische SNMP Zustandsinformationen auslesen z.B Seite 3 von 6 © Thomas Pfeiffenberger Studiengang ITS -- FH Salzburg 14/15 150430_nwm_snmp_task_v01.docx ITS-LABOR NWM snmpwalk –m all [IP]geheim .1.3.6.1.4.1.9 4. Die gesamte System Gruppe unter MIB II auslesen snmpwalk –m all [IP] geheim .1.3.6.1.2.1.1 snmpget Usage: snmpget [options...] <hostname> {<community>} [<objectID>] Der Befehl snmpget bietet eine einfache Möglichkeit einzelne Zustandsinformationen aus der MIB eines Netzwerkknotens auszulesen. Die möglichen Optionen sind gleich wie beim snmpwalk Befehl. Führen Sie diesen abfrage auch auf einen Windows Host durch! Beschreiben Sie den Unterschied zwischen Router/AccessPoint und Windows Host. TASK2# Router ----------------------------------------------------------------------------------------------------------------1. System.SysContact auslesen snmpget -m all [IP]geheim .1.3.6.1.2.1.1.4.0 .iso.3.6.1.2.1.1.4.0 = "[email protected]" um eine schönere Ausgabe zu erhalten werden weitere Optionen verwendet. snmpget -m all –O v –O q [IP] geheim .1.3.6.1.2.1.1.4.0 "[email protected]" 2. Den Operation Status von einem Interface auslesen Aus dem RFC 1213 folgt die Beschreibung, und die OID .1.3.6.1.2.1.1.4 Um die Beschreibung des Interface (ifDescr) mit der ID 3 abzufragen snmpget -m all –O v –O q [IP] geheim .1.3.6.1.2.1.2.2.1.2.3 "Serial 0" um den Operating Status abzufragen. snmpget -m all –O v –O q [IP] geheim .1.3.6.1.2.1.2.2.1.8.3 snmpset Usage: snmpset [options...] <hostname> {<community>} [<objectID>] <type> <value> Seite 4 von 6 © Thomas Pfeiffenberger Studiengang ITS -- FH Salzburg 14/15 150430_nwm_snmp_task_v01.docx ITS-LABOR NWM Der Befehl snmpset bietet eine einfache Möglichkeit einzelne Zustandsinformationen in die MIB eines Netzwerkknotens zu schreiben und zu verändern. Die Vorraussetzung dafür ist natürlich die Schreibberechtigung am Netzknoten (write community string) und die Definition der einzelnen Zustandsinformation in der MIB als Read-Write. Frage: • Welche Datentypen sind bei snmpset möglich? TASK3# Router /(AccessPoint) snmp set ----------------------------------------------------------------------------------------------------------------1. System.SysContact schreiben snmpset -m all [IP]geheim .1.3.6.1.2.1.1.4.0 s "John Doe" .iso.3.6.1.2.1.1.4.0 = "John Doe" Die erfolgreiche Durchführung dieses Befehls kann am Router sehr einfach mit dem show run Befehl verifiziert werden. Als geänderter Eintrag steht hier: snmp-server contact John Doe Eine Überprüfung mit dem snmpget Befehl ist ebenfalls möglich. Wie „gefährlich“ dieser Befehl sein kann soll in nachfolgenden Beispielen kurz dargestellt werden. TASK4# Router – Interface deaktivieren 1. ifAdminStatus schreiben Um das Interface Serial 0 (IfIndex 3) zu deaktivieren Überprüfen Sie den OID! snmpset -m all [IP]geheim .1.3.6.1.2.1.2.2.1.7.3 i 2 .iso.3.6.1.2.1.2.2.1.7.3 = 2 Seite 5 von 6 © Thomas Pfeiffenberger Studiengang ITS -- FH Salzburg 14/15 150430_nwm_snmp_task_v01.docx ITS-LABOR NWM Die erfolgreiche Durchführung dieses Befehls kann am Router sehr einfach mit dem show run Befehl verifiziert werden. Interface Serial 0 shutdown Eine Überprüfung mit dem snmpget Befehl ist ebenfalls möglich. Frage: • Kann man den Router mittels snmpset auch rebooten? TASK5# Beschreiben Sie mögliche Sicherheitsaspekte von SNMP! TASK6# Netmonitor 1.0 Versuchen Sie aus den bisherigen Erkenntnissen einen einfachen NetMonitor in einer Scriptsprache zu implementieren. Sie können sich dabei die MIB Parameter selber wählen. TASK7# Beantworten Sie folgende Fragen! Fragen • Wie ist die Beschreibung der sysUptime und welchen Status hat sie? • Nennen Sie den Index der einzelnen Interfaces am Router? • Bestimmen Sie die MTU und MAC-Adresse eines Router Interfaces per SNMP • Welche Syntax hat ifOutQLen und was ist der Unterschied zur Syntax von ifOutErrors? • Beschreiben Sie den Unterschied zwischen snmpwalk, snmpset und snmpget! Weiter Informationen: Machen Sie sich mit dem unter https://cna.fh-salzburg.ac.at/CCNA/CCNA5-R&S/CCNA-RS_CN/course/module8/#8.0.1.1 beschriebenen Inhalten zu Syslog und SNMP vertraut. Seite 6 von 6 © Thomas Pfeiffenberger Studiengang ITS -- FH Salzburg 14/15 150430_nwm_snmp_task_v01.docx