SNMP Einführung

ITS-LABOR
NWM
SNMP Einführung
Command Line Tools
Am Markt existieren jede Menge leistungsfähige, kommerzielle sowie open source Produkte,
um Netzwerke und Serversysteme über das Simple Network Management Protokoll SNMP zu
verwalten. Als typische Vertreter sind natürlich HP Openview, Tivoli, MRTG,... zu nennen.
Um diese komplexen Systeme zu meistern, ist es aber unverzichtbar ihr Funktionsweise genau
zu verstehen und den Umgang mit Management Informationen 100-prozentig zu
beherrschen. Um diese Fertigkeiten zu erlangen, muss man sich grundlegend mit der Struktur
von Management Informationen beschäftigen und die drei Dienstprimitiven von SNMP,
nämlich SET, GET und TRAP verstehen.
Dazu stehen für alle gängigen Betriebssysteme die Command Line basierenden Tools
snmpget, snmpset, snmptrap zur Verfügung.
Seite 1 von 6
© Thomas Pfeiffenberger
Studiengang ITS -- FH Salzburg 14/15
150430_nwm_snmp_task_v01.docx
ITS-LABOR
NWM
Step by Step to Network Management
Anhand einer einfachen Netzwerktopologie soll veranschaulicht werden, wie ein Netzwerk
mittels SNMP ge-„managed“ werden kann. Der Router/Access Point steht dabei
stellvertretend für eine beliebige Anzahl von Netzwerkknoten. Mit dem Management PC soll
veranschaulicht werden, dass auch Hosts oder Serversysteme sehr einfach mittels SNMP
verwaltet werden können.
SNMP Komponenten
Die drei wesentlichen Bestandteile des SNMP Konzeptes sind die Management Information
Base, der SNMP Agent und die SNMP Manager Station.
Die Management Information Base ist eine als Baumstruktur angelegte Datenbank, deren
Grundstruktur MIB 2 im RFC 1213 standardisiert ist. In ihr werden alle
Zustandsinformationen eines SNMP Knotens gespeichert.
Ein SNMP Agent ist ein Managment Prozess am jeweiligen SNMP Knoten, der die
Kommunikation (Lese- und Schreibzugriff) auf die einzelnen Zustandsinformationen in der
MIB regelt und eine Netzwerkkommunikation ermöglicht.
Figure 1 SNMP Architektur (technet.mircosoft.com)
Eine SNMP Management Station kommuniziert über die SNMP Dienstprimitiven set, get und
trap mit dem jeweiligen Agent und speichert und wertet Zustandsinformationen der einzelnen
Netzwerkknoten zentral aus.
Seite 2 von 6
© Thomas Pfeiffenberger
Studiengang ITS -- FH Salzburg 14/15
150430_nwm_snmp_task_v01.docx
ITS-LABOR
NWM
SNMP Übungsdurchführung
Router/Accesspoint SNMP aktivieren
Router(config)#access-list 10 permit [IP Address of SNMP Manager]
Router(config)#snmp-server community geheim RW 10
Router(config)#snmp-server contact [email protected]
Fragen:
• Was bedeuten diese Befehle?
• Wie können Location Informationen hinterlegt werden?
• Welche SNMP Version wird hier verwendet?
SNMP Tools installieren
Windows Host
Überprüfen Sie ob am Windows Host der SNMP Dienst installiert ist (Systemsteuerung ?
Software ? Windows Komponenten hinzufügen ? Komponente in „Verwaltungs- und
Überwachungsprogramme“). Konfigurieren Sie den SNMP Dienst unter Systemsteuerung
? Verwaltung ? Dienste ? SNMP.
Frage:
• Welche Zugriffsrechte können einem Community String zugewiesen werden?
snmpwalk ( im Installationsordner ausführen )
Der Befehl snmpwalk bietet eine einfache Möglichkeit die gesamte MIB eines
Netzwerkknotens auszulesen, beziehungsweise einen Startpunkte zu setzen, ab dem alle
tieferliegenden Zustandsinformationen aus der Baumstruktur ausgelesen werden.
TASK1# Router/Access Point mit snmpwalk abfragen
----------------------------------------------------------------------------------------------------------------1. Alle Zustandsinformationen vom Router auslesen.
snmpwalk -m all [IP] geheim
2. Die gesamte MIB II auslesen
snmpwalk –m all [IP]geheim .1.3.6.1.2.1
3. Alle Herstellerspezifische SNMP Zustandsinformationen auslesen
z.B
Seite 3 von 6
© Thomas Pfeiffenberger
Studiengang ITS -- FH Salzburg 14/15
150430_nwm_snmp_task_v01.docx
ITS-LABOR
NWM
snmpwalk –m all [IP]geheim .1.3.6.1.4.1.9
4. Die gesamte System Gruppe unter MIB II auslesen
snmpwalk –m all [IP] geheim .1.3.6.1.2.1.1
snmpget
Usage: snmpget [options...] <hostname> {<community>} [<objectID>]
Der Befehl snmpget bietet eine einfache Möglichkeit einzelne Zustandsinformationen aus der
MIB eines Netzwerkknotens auszulesen. Die möglichen Optionen sind gleich wie beim
snmpwalk Befehl.
Führen Sie diesen abfrage auch auf einen Windows Host durch!
Beschreiben Sie den Unterschied zwischen Router/AccessPoint und Windows Host.
TASK2# Router
----------------------------------------------------------------------------------------------------------------1. System.SysContact auslesen
snmpget -m all [IP]geheim .1.3.6.1.2.1.1.4.0
.iso.3.6.1.2.1.1.4.0 = "[email protected]"
um eine schönere Ausgabe zu erhalten werden weitere Optionen verwendet.
snmpget -m all –O v –O q [IP] geheim .1.3.6.1.2.1.1.4.0
"[email protected]"
2. Den Operation Status von einem Interface auslesen
Aus dem RFC 1213 folgt die Beschreibung, und die OID .1.3.6.1.2.1.1.4
Um die Beschreibung des Interface (ifDescr) mit der ID 3 abzufragen
snmpget -m all –O v –O q [IP] geheim .1.3.6.1.2.1.2.2.1.2.3
"Serial 0"
um den Operating Status abzufragen.
snmpget -m all –O v –O q [IP] geheim .1.3.6.1.2.1.2.2.1.8.3
snmpset
Usage: snmpset [options...] <hostname> {<community>} [<objectID>] <type> <value>
Seite 4 von 6
© Thomas Pfeiffenberger
Studiengang ITS -- FH Salzburg 14/15
150430_nwm_snmp_task_v01.docx
ITS-LABOR
NWM
Der Befehl snmpset bietet eine einfache Möglichkeit einzelne Zustandsinformationen in die
MIB eines Netzwerkknotens zu schreiben und zu verändern. Die Vorraussetzung dafür ist
natürlich die Schreibberechtigung am Netzknoten (write community string) und die Definition
der einzelnen Zustandsinformation in der MIB als Read-Write.
Frage:
• Welche Datentypen sind bei snmpset möglich?
TASK3# Router /(AccessPoint) snmp set
----------------------------------------------------------------------------------------------------------------1. System.SysContact schreiben
snmpset -m all [IP]geheim .1.3.6.1.2.1.1.4.0 s "John Doe"
.iso.3.6.1.2.1.1.4.0 = "John Doe"
Die erfolgreiche Durchführung dieses Befehls kann am Router sehr einfach mit dem show run
Befehl verifiziert werden.
Als geänderter Eintrag steht hier:
snmp-server contact John Doe
Eine Überprüfung mit dem snmpget Befehl ist ebenfalls möglich.
Wie „gefährlich“ dieser Befehl sein kann soll in nachfolgenden Beispielen kurz dargestellt
werden.
TASK4# Router – Interface deaktivieren
1. ifAdminStatus schreiben
Um das Interface Serial 0 (IfIndex 3) zu deaktivieren
Überprüfen Sie den OID!
snmpset -m all [IP]geheim .1.3.6.1.2.1.2.2.1.7.3 i 2
.iso.3.6.1.2.1.2.2.1.7.3 = 2
Seite 5 von 6
© Thomas Pfeiffenberger
Studiengang ITS -- FH Salzburg 14/15
150430_nwm_snmp_task_v01.docx
ITS-LABOR
NWM
Die erfolgreiche Durchführung dieses Befehls kann am Router sehr einfach mit dem show run
Befehl verifiziert werden.
Interface Serial 0
shutdown
Eine Überprüfung mit dem snmpget Befehl ist ebenfalls möglich.
Frage:
• Kann man den Router mittels snmpset auch rebooten?
TASK5# Beschreiben Sie mögliche Sicherheitsaspekte von SNMP!
TASK6# Netmonitor 1.0
Versuchen Sie aus den bisherigen Erkenntnissen einen einfachen NetMonitor in einer
Scriptsprache zu implementieren. Sie können sich dabei die MIB Parameter selber wählen.
TASK7# Beantworten Sie folgende Fragen!
Fragen
• Wie ist die Beschreibung der sysUptime und welchen Status hat sie?
• Nennen Sie den Index der einzelnen Interfaces am Router?
• Bestimmen Sie die MTU und MAC-Adresse eines Router Interfaces per SNMP
• Welche Syntax hat ifOutQLen und was ist der Unterschied zur Syntax von
ifOutErrors?
• Beschreiben Sie den Unterschied zwischen snmpwalk, snmpset und snmpget!
Weiter Informationen:
Machen Sie sich mit dem unter https://cna.fh-salzburg.ac.at/CCNA/CCNA5-R&S/CCNA-RS_CN/course/module8/#8.0.1.1 beschriebenen Inhalten zu Syslog und SNMP vertraut.
Seite 6 von 6
© Thomas Pfeiffenberger
Studiengang ITS -- FH Salzburg 14/15
150430_nwm_snmp_task_v01.docx