پروتکل مدیریت ساده شبکه SNMP
آیا تاکنون به این فکر کرده اید که نرم افزارهای مانیتورینگ، اطلاعات مربوط به کلاینت ها را چگونه دریافت کرده و برای شما مانیتور می کنند؟تمامی نرم افزارهایی (مانند نرم افزارهای مانیتورینگ و آنتی ویروس ها) که قرار است اطلاعات را از یک کلاینت دریافت و پردازش کنند، نیاز دارند که از طریقی این اطلاعات را دریافت نمایند. Simple Network Management Protocol یا همان SNMP پروتکل مشهور و پرکاربرد برای این کار و مدیریت شبکه است. از SNMP برای جمع آوری اطلاعات مربوط به کانفیگ ها و تجهیزات شبکه مانند سرورها، پرینترها، سوییچ ها و روترها، بر اساس یک IP، استفاده می شود.
اگر بخاطر داشته باشید، شبکه به چندین لایه تقسیم می شود. SNMP در واقع یک پروتکل لایه Application است که برای تبادل اطلاعات مدیریتی بین تجهیزات شبکه استفاده می شود. این پروتکل بخشی از همان پروتکل TCP/IP می باشد. SNMP یکی از پروتکل های بسیار ارزشمند و پرکاربرد برای مدیریت و مانیتور عناصر و تجهیزات شبکه های LAN به کار می رود.
بطور کلی نحوه کار SNMP بدین شکل است که یک agent (ویژگیست که روی کلاینت ها نصب و فعال شده تا اطلاعات کلاینت را جمع آوری کرده و به سرور بفرستد) اطلاعات کلاینت ها را به SNMP Manger (همان سروری که قرار است اطلاعات کلاینت ها را از agent دریافت کرده و به نرم افزار مانیتورینگ تحویل بدهد) ارسال کرده و مانیتور می کند.
اجزای SNMP و کاربردهای آنها
در شبکه، عموما یک یا چندین کامپیوتر از وظیفه مدیریت یا مانیتور تجهیزات را به عهده دارند (مانند سرور مانیتورینگ) که به آنها SNMP Manager گفته می شود. در واقع هر تجهیز و کلاینتی که شما می خواهید آن را مدیریت و مانیتور کنید، ویژگی به نام agent را روی آن فعال کرده تا اطلاعات را از طریق پروتکل SNMP به SNMP Managerارسال کند. وظیفه SNMP Manager، دریافت اطلاعات و query از agent، تعیین متغیرهای مورد نظر خود و اعلام وقایع و تغییرات به agent است.
Agent نیز برنامه و ویژگی است که درون تجهیزات شبکه قرار دارد و می بایست فعال شود. فعال سازی آن باعث می شود تا اطلاعات مدیریتی کلاینت را بصورت localجمع آوری کرده و آنها را برای ارسال به SNMP Manager آماده کند، تا هر زمان SNMP Manager درخواست کرد، پاسخگو باشد. البته این agent می تواند استاندارد بوده (مانند Net-SNMP) یا مربوط به شرکت خاصی (مانند HP insight agent) باشد. بنابراین، بطور کلی وظایف agent در موارد زیر خلاصه می شود:
- جمع آوری اطلاعات مدیریتی درباره محیطی که در آن قرار دارد
- ذخیره و بازبابی اطلاعات مدیریتی به عنوان MIB (در ادامه توضیح داده می شود)
- علامت دادن به SNMP Manager در صورت بروز هر تغییر یا اتفاقی در کلاینت
- عمل کردن همانند یک پ.ر.و**ی برای تجهیزاتی که با SNMP مدیریت نشده اند
در واقع یک SNMP Manager می تواند، انواع اطلاعات زیر را از agent درخواست کرده و مانیتور کند:
- آمار و تشخیص هویت پروتکل شبکه
- یافتن تجهیزات متصل به شبکه
- اطلاعات پیکربندی نرم افزاری و سخت افزاری
- آمار کارکرد و میزان کارایی تجهیز
- پیام های خطا و event ها
- آمار کارکرد برنامه ها و نرم افزارهای استفاده شده در کلاینت
اگر در agent اجازه write به SNMP Manager بدهید، SNMP Manager می تواند درخواست ایجاد یک کانفیگ را با استفاده از پیام Set به agent ارسال کرده و یک پارامتر local را تغییر دهد و در اصطلاح کلاینت را از راه دور و با استفاده از SNMP کانفیگ کند. البته دقت کنید که درخواست های Set به مجموعه پارامترهای کوچکی از کلاینت محدود می شود که برایشان دسترسی read-write تعریف شده است. بیشتر پارامترهای کلاینت فقط اجازه خواندن داشته و read-only می باشند.
شکل زیر، اجزای SNMP را در هر لایه TCP/IP مشخص می کند:
نحوه ارتباط SNMP Manger با Agent
شکل زیر نحوه ارتباط SNMP Manager را با Agent نشان می دهد: (برگرفته از technet مایکروسافت)
شکل بالا، مثالی از ارتباط بین SNMP Manager و SNMP agent را نشان میدهد:
- SNMP Manager، کامپیوتر A، پیغام SNMP را ایجاد می کند که شامل درخواست اطلاعات (Get) برای تعدادی از کلاینت ها و session های فعال، اسم communityکه SNMP Manager به آن تعلق دارد، و مقصد پیام است (در اینجا مقصد پیام، کامپیوتر B با IP 131.107.3.24 می باشد). (community در واقع علامت شناساییSNMP manager است که در ادامه بطور کامل توضیح داده خواهد شد)
SNMP Manager هم می تواند از برنامه Microsoft SNMP Management API library (Mgmtapi.dll) استفاده کند و یا می تواند از برنامه Microsoft WinSNMP API library (Wsnmp32.dll) برای انجام این مرحله بهره ببرد. (این دو برنامه، در واقع فایل های اجرایی برای و دو سرویس مربوط به SNMP هستند)
- SNMP Manager درخواست اطلاعات را با استفاده از سرویس های بالا به کامپیوتر B ارسال می کند.
- هنگامی که کامپیوتر B پیام را دریافت می کند، نام community موجود در پیام (MonitorInfo) را مشاهده کرده و تایید می کند که جزو نام های قابل قبول او است؛ با توجه به لیست اجازه دسترسی که در اختیار دارد، community را می سنجد و آدرس مبدا پیام را ارزیابی می کند.
اگر نام community یا اجازه دسترسی نادرست بوده و سرویس SNMP، برای مثال، برای ارسال یک پیام “دریافت احرازهویت (authentication trap)” کانفیگ شده باشد، agent یک پیام ” trap “authentication failure به مقصد trap مورد نظر ارسال می گردد که در این مثال کامپیوتر C می باشد. در اینصورت، کامپیوتر B و C بهcommunity با نام TrapAlarm متعلق هستند.
- حال بخشی از agent افزونه ی مناسبی را برای بازیابی اطلاعات session درخواست شده (همان پیام درخواست اطلاعات کامپیوتر A) استفاده می کند.
- با استفاده از اطلاعات session بازیابی شده، سرویس SNMP پاسخی را ایجاد می کند که حاوی تعداد session های فعال و آدرس مقصد می باشد.
- در نهایت کامپیوتر B پاسخ را به کامپیوتر A ارسال می کند.
مفهوم Management Information Base (MIB)
MIB مجموعه ای اطلاعات است که برای مدیریت عناصر موجود در شبکه استفاده می شود. MIB ها object های مدیریت شده ای را که SNMP manager نیاز داشته و می خواهد مانیتور کند، ایجاد می کنند. هنگامی که SNMP manager اطلاعات را از agent درخواست می کند، SNMP agent اطلاعات مورد درخواست را از MIB بازیابی می کند. به زبان ساده، تمامی اطلاعاتی که قرار است SNMP manager از agent دریافت کرده و مانیتور کند، در این MIB ها ذخیره می شوند.
هر سیستمی در شبکه (کامپیوترها، سرور، روتر و غیره) یک MIB داشته که وضعیت منابع مدیریت شده را روی سیستم نشان می دهد، مانند ورژن نرم افزاری که روی آن دستگاه نصب شده است، IP هر پورت یا interface، میزان فضای آزاد هارد و یا تعداد فایل های در حال اجرا. MIB اطلاعات ثابت را در خود ذخیره نمی کند، اما در عوض وابسته به object هاست؛ دیتابیس پویایی داشته که مجموعه منطقی از تعاریف موارد مدیریت شده دارد. به زبان ساده، MIB فقط اطلاعاتی را در خود ذخیره می کند که قابل تغییر هستند، همچنین MIB ها نوع اطلاعات هر object مدیریت شده را تعریف می کنند.
پیام های SNMP
همانطور که می دانید، در SNMP نیز تعدادی پیام بین SNMP manager و agent رد و بدل می شود. یک پیام SNMP شامل یک SNMP protocol data unit (PDU) و عناصر مربوط به header آن پیام است. یک SNMP agent در دو صورت اطلاعات را ارسال می کند:
- هنگامی که می خواهد به درخواست SNMP manager پاسخ دهد
- هنگامی که یک trap event رخ می دهد
SNMP از پروتکل UDP برای انتقال پیام های SNMP استفاده می کند. SNMP از سرویس های انتقال UDP ساده استفاده می کند که یا رسیدن پیام، و یا توالی صحیح پکت های رسیده شده را ضمانت می کنند، بنابراین SNMP می تواند حتی اگر تعدادی از سرویس های شبکه از کار بیافتند، به کار خود ادامه دهد. بصورت پیشفرض پورت UDP 161 برای ارسال و دریافت پیام های SNMP استفاده شده و پورت ۱۶۲ برای ردوبدل کردن SNMP traps بکار می رود. البته این پورت ها قابل تغییر هستند.
شکل زیر مثالی از ارتباطات بین SNMP manager و agent هاست:
- SNMP Manager از کامپیوتر A درخواست می کند که اطلاعات سیستم را به او بدهد تا مانیتور کند. Agent نیز اطلاعات را MIB سیستم به manager می فرستد.
- در کامپیوتر B اتفاق غیرمنتظره افتاده است و agent با استفاده از trap، آن را به SNMP manager اطلاع می دهد.
- در کامپیوتر C، به دلیل اینکه SNMP manager اطلاعات کاملی از از آن ندارد، درخواست می کند که با پیام GetNext، تمامی سطرهای table مربوط به MIB را بخواند.
SNMP Community
همانطور که می دانید، برای استفاده از SNMP، این ویژگی را روی کلاینت ها و سرور مانیتور فعال می کنید تا agent اطلاعات کلاینت ها را به SNMP manager (سرور مانیتور) برساند. اما به این فکر کرده اید که اگر شخصی، SNMP manager ای را در جای دیگری از شبکه اجرا کند، می تواند به اطلاعات کلاینت های شما دسترسی داشته باشد؟! مایکروسافت برای جلوگیری از این کار و بالا بردن سطح امنیت، از یک نام share شده بین agent و manager استفاده می کند تا ترافیک SNMP احراز هویت شود.
یک community name در واقع پسورد share شده ایست که بین چندین agent و یک SNMP manager عمل می کند. شما SNMP manager را کانفیگ کرده و کامپیوترها و دستگاه هایی را که قرار است زیر نظر manager باشند را به community آن مرتبط می کنید. بنابراین، یک SNMP agent فقط درخواست های SNMP manager ای را قبول می کند که در لیست قابل قبول agent باشند.
وقتی یک SNMP manager درخواستی را به یک agent ارسال می کند، سرویس SNMP نام community تقاضا کننده را با community name آن agent و میزان دسترسی آن مقایسه می کند. اگر نام یکسان بود، SNMP manager با موفقیت احراز هویت شده و agent به درخواست گزارش یا انجام کار خواسته شده پاسخ می دهد؛ اما اگر نام یکسان نباشد، agent به درخواست پاسخ نمی دهد. البته در صورتی که کانفیگ کرده باشید، یک پیام trap ارسال کرده و می گوید یک تلاش ناموفق انجام شده است.
بخاطر داشته باشید که یک کامپیوتر یا تجهیز، می تواند به چندین community متصل باشد. نام SNMP community به خود سرویس SNMP مربوط شده و ربطی به نام های Active Directory یا Workgroup ندارد. در ورژن های قبلی ویندوز، بصورت پیشفرض، نام SNMP community برای دسترسی های read-only از عبارت “Public” و برای دسترسی read-write عبارت “Private” استفاده می شد. اما برای افزایش امنیت، همانند یک پسورد با آن برخورد کنید.
با تعریف SNMP community، می توانید کامپیوترها و تجهیزات شبکه را برای مدیریت بهتر و امنیت بیشتر، در یک community قرار دهید. دو روش رایج برای جدا کردن کامپیوترها از یک دیگر و قرار دادن در گروه های مجزا اینست که آنها را یا از روی مکان فیزیکی و یا از روی عملکرد گروه بندی کنید (برای مثال کامپیوترها و تجهیزات حسابداری و مالی از سایر گروه ها جدا شده و در community مجزا قرار گیرند) که بهترین راه، گروه بندی از روی عملکرد است.
علاوه بر این، می توانید مشخص کنید که agent فقط با مجموعه خاصی از SNMP manager ها در ارتباط باشد. می توان برای هر community اجازه دسترسی (مانندread-only و یا read-write) تعیین کرده و یا اینکه وقتی نام community و یا اجازه دسترسی نادرست بود، با ارسال پیام trap هشدار دهد. همانطور که می دانید، نرم افزارهای مانیتورینگ از SNMP برای خواندن اطلاعات کلاینت ها استفاده می کنند و بنابراین فقط می بایست بصورت read-only دسترسی داشته باشند، اما برخی از نرم افزارهای مدیریتی مانند SCCM که نیاز دارند از طریق این سرویس، تغییراتی را نیز روی کلاینت ها ایجاد کنند، می بایست دسترسی read-write داشته باشند. فقط دقت کنید که تا حد ممکن دسترسی read-write ندهید. در برخی از مکان هایی که امنیت بسیار اهمیت دارد، برای ارتباط SNMP manager با agent ها از IPSecاستفاده می کنند.