درباره SNMP
WiKiآیا تاکنون به این فکر کرده اید که نرم افزارهای مانیتورینگ، اطلاعات مربوط به کلاینتها را چگونه دریافت کرده و برای شما مانیتور می کنند؟ تمامی نرم افزارهایی (مانند نرم افزارهای مانیتورینگ و آنتی ویروسها) که قرار است اطلاعات را از یک کلاینت دریافت و پردازش کنند، نیاز دارند که از طریقی این اطلاعات را دریافت نمایند. Simple Network Management Protocol یا همان SNMP پروتکل مشهور و پرکاربرد برای این کار و مدیریت شبکه است. از SNMP برای جمع آوری اطلاعات مربوط به کانفیگها و تجهیزات شبکه مانند سرورها، پرینترها، سوئیچها و روترها، بر اساس یک IP، استفاده می شود. اگر بخاطر داشته باشید، شبکه به چندین لایه تقسیم می شود. SNMP در واقع یک پروتکل لایه Application است که برای تبادل اطلاعات مدیریتی بین تجهیزات شبکه استفاده می شود. این پروتکل بخشی از همان پروتکل TCP/IP می باشد. SNMP یکی از پروتکلهای بسیار ارزشمند و پرکاربرد برای مدیریت و مانیتور عناصر و تجهیزات شبکه های LAN به کار می رود. بطور کلی نحوه کار SNMP بدین شکل است که یک Agent (ویژگیست که روی کلاینتها نصب و فعال شده تا اطلاعات کلاینت را جمع آوری کرده و به سرور بفرستد) اطلاعات کلاینتها را به SNMP Manger (همان سروری که قرار است اطلاعات کلاینتها را از Agent دریافت کرده و به نرم افزار مانیتورینگ تحویل بدهد) ارسال کرده و مانیتور می کند.
اجزاء SNMP و کاربردهای آنها
در شبکه، عموما یک یا چندین کامپیوتر از وظیفه مدیریت یا مانیتور تجهیزات را به عهده دارند (مانند سرور مانیتورینگ) که به آنها SNMP Manager گفته می شود. در واقع هر تجهیز و کلاینتی که شما می خواهید آن را مدیریت و مانیتور کنید، ویژگی به نام Agent را روی آن فعال کرده تا اطلاعات را از طریق پروتکل SNMP به SNMP Manager ارسال کند. وظیفه SNMP Manager، دریافت اطلاعات و Query از Agent، تعیین متغیرهای مورد نظر خود و اعلام وقایع و تغییرات به Agent است.
Agent نیز برنامه و ویژگی است که درون تجهیزات شبکه قرار دارد و می بایست فعال شود. فعال سازی آن باعث می شود تا اطلاعات مدیریتی کلاینت را بصورت Local جمع آوری کرده و آنها را برای ارسال به SNMP Manager آماده کند، تا هر زمان SNMP Manager درخواست کرد، پاسخگو باشد. البته این Agent می تواند استاندارد بوده (مانند Net-SNMP) یا مربوط به شرکت خاصی (مانند HP insight Agent) باشد. بنابراین، بطور کلی وظایف Agent در موارد زیر خلاصه می شود:
- جمع آوری اطلاعات مدیریتی درباره محیطی که در آن قرار دارد
- ذخیره و بازبابی اطلاعات مدیریتی به عنوان MIB (در ادامه توضیح داده می شود)
- علامت دادن به SNMP Manager در صورت بروز هر تغییر یا اتفاقی در کلاینت
- عمل کردن همانند یک پروکسی برای تجهیزاتی که با SNMP مدیریت نشده اند
در واقع یک SNMP Manager می تواند، انواع اطلاعات زیر را از Agent درخواست کرده و مانیتور کند:
- آمار و تشخیص هویت پروتکل شبکه
- یافتن تجهیزات متصل به شبکه
- اطلاعات پیکربندی نرم افزاری و سخت افزاری
- آمار کارکرد و میزان کارایی تجهیز
- پیامهای خطا و Eventها
- آمار کارکرد برنامه ها و نرم افزارهای استفاده شده در کلاینت
اگر در Agent اجازه Write به SNMP Manager بدهید، SNMP Manager می تواند درخواست ایجاد یک Config را با استفاده از پیام Set به Agent ارسال کرده و یک پارامتر Local را تغییر دهد و در اصطلاح کلاینت را از راه دور و با استفاده از SNMP کانفیگ کند. البته دقت کنید که درخواستهای Set به مجموعه پارامترهای کوچکی از کلاینت محدود می شود که برایشان دسترسی Read-Write تعریف شده است. بیشتر پارامترهای کلاینت فقط اجازه خواندن داشته و Read-Only می باشند. شکل زیر، اجزاء SNMP را در هر لایه TCP/IP مشخص می کند:
نحوه ارتباط SNMP Manger با Agent
شکل زیر نحوه ارتباط SNMP Manager را با Agent نشان می دهد:
شکل بالا، مثالی از ارتباط بین SNMP Manager و SNMP Agent را نشان می دهد:
- SNMP Manager، کامپیوتر A، پیغام SNMP را ایجاد می کند که شامل درخواست اطلاعات (Get) برای تعدادی از کلاینتها و Sessionهای فعال، اسم Community که SNMP Manager به آن تعلق دارد و مقصد پیام است (در اینجا مقصد پیام، کامپیوتر B با IP 131.107.3.24 می باشد). (Community در واقع علامت شناسایی SNMP Manager است که در ادامه بطور کامل توضیح داده خواهد شد)
SNMP Manager هم می تواند از برنامه Microsoft SNMP Management API Library (Mgmtapi.dll) استفاده کند و یا می تواند از برنامه Microsoft WinSNMP API library (Wsnmp32.dll) برای انجام این مرحله بهره ببرد. (این دو برنامه، در واقع فایلهای اجرائی برای و دو سرویس مربوط به SNMP هستند)
- SNMP Manager درخواست اطلاعات را با استفاده از سرویسهای بالا به کامپیوتر B ارسال می کند.
- هنگامی که کامپیوتر B پیام را دریافت می کند، نام Community موجود در پیام (MonitorInfo) را مشاهده کرده و تایید می کند که جزو نامهای قابل قبول او است؛ با توجه به لیست اجازه دسترسی که در اختیار دارد، Community را می سنجد و آدرس مبداء پیام را ارزیابی می کند.
اگر نام Community یا اجازه دسترسی نادرست بوده و سرویس SNMP، برای مثال، برای ارسال یک پیام "دریافت احراز هویت (Authentication Trap)" کانفیگ شده باشد، Agent یک پیام “ Trap “ Authentication Failure به مقصد Trap مورد نظر ارسال می گردد که در این مثال کامپیوتر C می باشد. در اینصورت، کامپیوتر B و C به Community با نام TrapAlarm متعلق هستند.
- حال بخشی از Agent افزونه مناسبی را برای بازیابی اطلاعات Session درخواست شده (همان پیام درخواست اطلاعات کامپیوتر A) استفاده می کند.
- با استفاده از اطلاعات Session بازیابی شده، سرویس SNMP پاسخی را ایجاد می کند که حاوی تعداد Sessionهای فعال و آدرس مقصد می باشد.
- در نهایت کامپیوتر B پاسخ را به کامپیوتر A ارسال می کند.
مفهوم Management Information Base (MIB)
MIB مجموعه ای اطلاعات است که برای مدیریت عناصر موجود در شبکه استفاده می شود. MIBها Objectهای مدیریت شده ای را که SNMP Manager نیاز داشته و می خواهد مانیتور کند، ایجاد می کنند. هنگامی که SNMP Manager اطلاعات را از Agent درخواست می کند، SNMP Agent اطلاعات مورد درخواست را از MIB بازیابی می کند. به زبان ساده، تمامی اطلاعاتی که قرار است SNMP Manager از Agent دریافت کرده و مانیتور کند، در این MIBها ذخیره می شوند.
هر سیستمی در شبکه (کامپیوترها، سرور، روتر و غیره) یک MIB داشته که وضعیت منابع مدیریت شده را روی سیستم نشان می دهد، مانند ورژن نرم افزاری که روی آن دستگاه نصب شده است، IP هر پورت یا Interface، میزان فضای آزاد هارد و یا تعداد فایلهای در حال اجراء MIB اطلاعات ثابت را در خود ذخیره نمی کند، اما در عوض وابسته به Object هاست؛ Database پویایی داشته که مجموعه منطقی از تعاریف موارد مدیریت شده دارد. به زبان ساده، MIB فقط اطلاعاتی را در خود ذخیره می کند که قابل تغییر هستند، همچنین MIBها نوع اطلاعات هر Object مدیریت شده را تعریف می کنند.
پیامهای SNMP
همانطور که می دانید، در SNMP نیز تعدادی پیام بین SNMP Manager و Agent رد و بدل می شود. یک پیام SNMP شامل یک SNMP Protocol Data Unit (PDU) و عناصر مربوط به Header آن پیام است. یک SNMP Agent در دو صورت اطلاعات را ارسال می کند:
- هنگامی که می خواهد به درخواست SNMP Manager پاسخ دهد
- هنگامی که یک Trap Event رخ می دهد
SNMP از پروتکل UDP برای انتقال پیامهای SNMP استفاده می کند. SNMP از سرویسهای انتقال UDP ساده استفاده می کند که یا رسیدن پیام، و یا توالی صحیح پکتهای رسیده شده را ضمانت می کنند، بنابراین SNMP می تواند حتی اگر تعدادی از سرویسهای شبکه از کار بیافتند، به کار خود ادامه دهد. بصورت پیشفرض پورت UDP 161 برای ارسال و دریافت پیامهای SNMP استفاده شده و پورت 162 برای رد و بدل کردن SNMP Traps بکار می رود. البته این پورتها قابل تغییر هستند. شکل زیر مثالی از ارتباطات بین SNMP Manager و Agent هاست:
- SNMP Manager از کامپیوتر A درخواست می کند که اطلاعات سیستم را به او بدهد تا مانیتور کند. Agent نیز اطلاعات را MIB سیستم به Manager می فرستد.
- در کامپیوتر B اتفاق غیرمنتظره افتاده است و Agent با استفاده از Trap، آن را به SNMP Manager اطلاع می دهد.
- در کامپیوتر C، به دلیل اینکه SNMP Manager اطلاعات کاملی از از آن ندارد، درخواست می کند که با پیام GetNext، تمامی سطرهای Table مربوط به MIB را بخواند.
SNMP Community
همانطور که می دانید، برای استفاده از SNMP، این ویژگی را روی کلاینتها و سرور مانیتور فعال می کنید تا Agent اطلاعات کلاینتها را به SNMP Manager (سرور مانیتور) برساند. اما به این فکر کرده اید که اگر شخصی، SNMP Manager را در جای دیگری از شبکه اجراء کند، می تواند به اطلاعات کلاینتهای شما دسترسی داشته باشد؟! مایکروسافت برای جلوگیری از این کار و بالا بردن سطح امنیت، از یک نام Share شده بین Agent و Manager استفاده می کند تا ترافیک SNMP احراز هویت شود.
یک Community Name در واقع پسورد Share شده ایست که بین چندین Agent و یک SNMP Manager عمل می کند. شما SNMP Manager را Config کرده و کامپیوترها و دستگاههایی را که قرار است زیر نظر Manager باشند را به Community آن مرتبط می کنید. بنابراین، یک SNMP Agent فقط درخواستهای SNMP Managerای را قبول می کند که در لیست قابل قبول Agent باشند.
وقتی یک SNMP Manager درخواستی را به یک Agent ارسال می کند، سرویس SNMP نام Community تقاضا کننده را با Community Name آن Agent و میزان دسترسی آن مقایسه می کند. اگر نام یکسان بود، SNMP Manager با موفقیت احراز هویت شده و Agent به درخواست گزارش یا انجام کار خواسته شده پاسخ می دهد؛ اما اگر نام یکسان نباشد، Agent به درخواست پاسخ نمی دهد. البته در صورتی که Config کرده باشید، یک پیام Trap ارسال کرده و می گوید یک تلاش ناموفق انجام شده است.
بخاطر داشته باشید که یک کامپیوتر یا تجهیز، می تواند به چندین Community متصل باشد. نام SNMP Community به خود سرویس SNMP مربوط شده و ربطی به نامهای Active Directory یا Workgroup ندارد. در ورژنهای قبلی ویندوز، بصورت پیشفرض، نام SNMP Community برای دسترسیهای Read-Only از عبارت “Pablic” و برای دسترسی Read-Write عبارت “Private” استفاده می شد. اما برای افزایش امنیت، همانند یک Password با آن برخورد کنید.
با تعریف SNMP Community، می توانید کامپیوترها و تجهیزات شبکه را برای مدیریت بهتر و امنیت بیشتر، در یک Community قرار دهید. دو روش رایج برای جدا کردن کامپیوترها از یک دیگر و قرار دادن در گروههای مجزا اینست که آنها را یا از روی مکان فیزیکی و یا از روی عملکرد گروه بندی کنید (برای مثال کامپیوترها و تجهیزات حسابداری و مالی از سایر گروهها جدا شده و در Community مجزا قرار گیرند) که بهترین راه، گروه بندی از روی عملکرد است.
علاوه بر این، می توانید مشخص کنید که Agent فقط با مجموعه خاصی از SNMP Managerها در ارتباط باشد. می توان برای هر Community اجازه دسترسی (مانند Read-Only و یا Read-Write) تعیین کرده و یا اینکه وقتی نام Community و یا اجازه دسترسی نادرست بود، با ارسال پیام Trap هشدار دهد. همانطور که می دانید، نرم افزارهای مانیتورینگ از SNMP برای خواندن اطلاعات کلاینتها استفاده می کنند و بنابراین فقط می بایست بصورت Read-Only دسترسی داشته باشند، اما برخی از نرم افزارهای مدیریتی مانند SCCM که نیاز دارند از طریق این سرویس، تغییراتی را نیز روی کلاینتها ایجاد کنند، می بایست دسترسی Read-Write داشته باشند. فقط دقت کنید که تا حد ممکن دسترسی Read-Write ندهید. در برخی از مکانهایی که امنیت بسیار اهمیت دارد، برای ارتباط SNMP Manager با Agentها از IPSec استفاده می کنند.