SNMP

Simple Network Management Protocol (SNMP) dikembangkan untuk memungkinkan administrator mengelola node seperti server, workstation, router, switch, dan peralatan keamanan, pada jaringan IP. Ini memungkinkan administrator jaringan untuk memantau dan mengelola kinerja jaringan, menemukan dan memecahkan masalah jaringan, dan merencanakan pertumbuhan jaringan.

SNMP adalah protokol lapisan aplikasi yang menyediakan format pesan untuk komunikasi antara manajer dan agen. Sistem SNMP terdiri dari tiga elemen:

  • Manajer SNMP
  • Agen SNMP (node ​​yang dikelola)
  • Basis Informasi Manajemen (MIB)

Untuk mengkonfigurasi SNMP pada perangkat jaringan, pertama-tama perlu untuk menentukan hubungan antara manajer dan agen.

Manajer SNMP adalah bagian dari sistem manajemen jaringan (NMS). Manajer SNMP menjalankan perangkat lunak manajemen SNMP. Manajer SNMP dapat mengumpulkan informasi dari agen SNMP menggunakan tindakan “get” dan dapat mengubah konfigurasi pada agen menggunakan tindakan “set”. Selain itu, agen SNMP dapat meneruskan informasi langsung ke manajer jaringan menggunakan “perangkap”.

Agen SNMP dan MIB berada di perangkat klien SNMP. Perangkat jaringan yang harus dikelola, seperti switch, router, server, firewall, dan workstation, dilengkapi dengan modul perangkat lunak agen SMNP. MIB menyimpan data tentang perangkat dan statistik operasional dan dimaksudkan untuk tersedia bagi pengguna remote terotentikasi. Agen SNMP bertanggung jawab untuk menyediakan akses ke MIB lokal.

SNMP mendefinisikan bagaimana informasi manajemen dipertukarkan antara aplikasi manajemen jaringan dan agen manajemen. Manajer SNMP melakukan polling kepada agen dan menanyakan MIB untuk agen SNMP di port UDP 161. Agen SNMP mengirim perangkap SNMP ke manajer SNMP di port UDP 162.

Agen SNMP yang berada di perangkat yang dikelola mengumpulkan dan menyimpan informasi tentang perangkat dan operasinya. Informasi ini disimpan oleh agen secara lokal di MIB. Manajer SNMP kemudian menggunakan agen SNMP untuk mengakses informasi dalam MIB.

Ada dua permintaan manajer SNMP primer, dapatkan dan tetapkan. Permintaan dapatkan digunakan oleh NMS untuk meminta perangkat untuk data. Permintaan yang ditetapkan digunakan oleh NMS untuk mengubah variabel konfigurasi di perangkat agen. Permintaan yang ditetapkan juga dapat memulai tindakan dalam perangkat. Misalnya, satu set dapat menyebabkan router melakukan reboot, mengirim file konfigurasi, atau menerima file konfigurasi.

Agen SNMP menanggapi permintaan manajer SNMP sebagai berikut:

  • Dapatkan variabel MIB – Agen SNMP menjalankan fungsi ini sebagai tanggapan terhadap GetRequest-PDU dari manajer jaringan. Agen mengambil nilai variabel MIB yang diminta dan menanggapi pengelola jaringan dengan nilai tersebut.
  • Menetapkan variabel MIB – Agen SNMP menjalankan fungsi ini sebagai tanggapan terhadap SetRequest-PDU dari manajer jaringan. Agen SNMP mengubah nilai variabel MIB ke nilai yang ditentukan oleh manajer jaringan. Agen SNMP membalas permintaan yang ditetapkan termasuk pengaturan baru di perangkat.

Perangkap Agen SNMP

NMS secara berkala melakukan polling terhadap agen SNMP yang berada di perangkat yang dikelola, dengan menanyakan perangkat untuk data menggunakan permintaan dapatkan. Dengan menggunakan proses ini, aplikasi manajemen jaringan dapat mengumpulkan informasi untuk memantau beban lalu lintas dan untuk memverifikasi konfigurasi perangkat dari perangkat yang dikelola. Informasi dapat ditampilkan melalui GUI pada NMS. Rata-rata, minimum, atau maksimum dapat dihitung, data dapat digambarkan, atau ambang batas dapat diatur untuk memicu proses pemberitahuan ketika ambang batas terlampaui. Misalnya, NMS dapat memonitor penggunaan CPU dari router Cisco. Manajer SNMP sampel nilai secara berkala dan menyajikan informasi ini dalam grafik untuk administrator jaringan untuk digunakan dalam membuat baseline, membuat laporan, atau melihat informasi waktu nyata.

Polling SNMP periodik memang memiliki kerugian. Pertama, ada penundaan antara waktu ketika suatu peristiwa terjadi dan waktu yang diketahui (melalui polling) oleh NMS. Kedua, ada trade-off antara frekuensi polling dan penggunaan bandwidth.

Untuk mengurangi kerugian ini, adalah mungkin bagi agen SNMP untuk membuat dan mengirim perangkap untuk menginformasikan NMS segera dari kejadian-kejadian tertentu. Perangkap adalah pesan yang tidak diminta yang memperingatkan pengelola SNMP untuk suatu kondisi atau peristiwa di jaringan. Contoh kondisi perangkap meliputi, tetapi tidak terbatas pada, otentikasi pengguna yang tidak benar, restart, status tautan (naik atau turun), pelacakan alamat MAC, penutupan koneksi TCP, kehilangan koneksi ke tetangga, atau peristiwa penting lainnya. Pemberitahuan yang diarahkan oleh perisai mengurangi sumber daya jaringan dan agen, dengan menghilangkan kebutuhan untuk beberapa permintaan polling SNMP.

Versi SNMP

Ada beberapa versi SNMP:

  • SNMPv1 – Protokol Manajemen Jaringan Sederhana, Standar Internet Lengkap, didefinisikan dalam RFC 1157.
  • SNMPv2c – Ditetapkan dalam RFC 1901-1908; menggunakan Kerangka Kerja Administrasi berbasis string.
  • SNMPv3 – protokol berbasis standar interoperable awalnya didefinisikan dalam RFC 2273-22275; menyediakan akses yang aman ke perangkat dengan mengautentikasi dan mengenkripsi paket melalui jaringan.

Semua versi menggunakan manajer SNMP, agen, dan MIB. Perangkat lunak Cisco IOS mendukung ketiga versi di atas. Versi 1 adalah solusi warisan dan tidak sering ditemui dalam jaringan saat ini; oleh karena itu, kursus ini berfokus pada versi 2c dan 3.

Baik SNMPv1 dan SNMPv2c menggunakan bentuk keamanan berbasis komunitas. Komunitas manajer yang dapat mengakses MIB agen ditentukan oleh ACL dan kata sandi.

Tidak seperti SNMPv1, SNMPv2c mencakup mekanisme pengambilan massal dan pelaporan pesan kesalahan yang lebih detail ke stasiun manajemen. Mekanisme pengambilan massal mengambil tabel dan sejumlah besar informasi, meminimalkan jumlah perjalanan pulang pergi yang diperlukan. SNMPv2c meningkatkan penanganan kesalahan termasuk kode kesalahan yang diperluas yang membedakan berbagai jenis kondisi kesalahan. Kondisi ini dilaporkan melalui kode kesalahan tunggal di SNMPv1. Kode kembali kesalahan di SNMPv2c menyertakan jenis kesalahan.

SNMPv3 menyediakan untuk kedua model keamanan dan tingkat keamanan. Model keamanan adalah strategi autentikasi yang disiapkan untuk pengguna dan grup tempat pengguna berada. Tingkat keamanan adalah tingkat keamanan yang diizinkan dalam model keamanan. Kombinasi tingkat keamanan dan model keamanan menentukan mekanisme keamanan yang digunakan ketika menangani paket SNMP. Model keamanan yang tersedia adalah SNMPv1, SNMPv2c, dan SNMPv3.

Administrator jaringan harus mengkonfigurasi agen SNMP untuk menggunakan versi SNMP yang didukung oleh stasiun manajemen. Karena agen dapat berkomunikasi dengan banyak pengelola SNMP, dimungkinkan untuk mengonfigurasi perangkat lunak untuk mendukung komunikasi menggunakan SNMPv1, SNMPv2c, atau SNMPv3.

String Komunitas

Agar SNMP dapat beroperasi, NMS harus memiliki akses ke MIB. Untuk memastikan bahwa permintaan akses valid, beberapa bentuk otentikasi harus ada.

SNMPv1 dan SNMPv2c menggunakan string komunitas yang mengontrol akses ke MIB. String komunitas adalah kata sandi plaintext. String komunitas SNMP mengotentikasi akses ke objek MIB.

Ada dua jenis string komunitas:

  • Read-only (ro)- Menyediakan akses ke variabel MIB, tetapi tidak memungkinkan variabel-variabel ini diubah, hanya dibaca.
  • Read-write (rw)- Menyediakan akses baca dan tulis ke semua objek di MIB.

Untuk melihat atau mengatur variabel MIB, pengguna harus menentukan string komunitas yang sesuai untuk akses baca atau tulis.

ID Obyek Basis Informasi Manajemen

MIB mengatur variabel secara hierarkis. Variabel MIB memungkinkan perangkat lunak manajemen untuk memonitor dan mengontrol perangkat jaringan. Secara formal, MIB mendefinisikan setiap variabel sebagai ID objek (OID). OID secara unik mengidentifikasi objek yang dikelola dalam hirarki MIB. MIB mengatur OID berdasarkan standar RFC ke dalam hierarki OID, biasanya ditampilkan sebagai pohon.

Pohon MIB untuk perangkat tertentu mencakup beberapa cabang dengan variabel yang umum untuk banyak perangkat jaringan dan beberapa cabang dengan variabel khusus untuk perangkat atau vendor tersebut.

RFC menentukan beberapa variabel publik umum. Sebagian besar perangkat menerapkan variabel MIB ini. Selain itu, vendor peralatan jaringan, seperti Cisco, dapat menentukan cabang pribadi mereka dari pohon untuk mengakomodasi variabel baru yang spesifik untuk perangkat mereka.

Karena CPU adalah salah satu sumber daya kunci, itu harus diukur terus menerus. Statistik CPU harus dikompilasi pada NMS dan dibuat grafik. Mengamati penggunaan CPU selama periode waktu yang panjang memungkinkan administrator untuk menetapkan perkiraan baseline untuk penggunaan CPU. Nilai Ambang batas kemudian dapat diatur relatif terhadap baseline ini. Ketika utilisasi CPU melebihi ambang ini, notifikasi dikirim. Alat grafik SNMP dapat secara berkala melakukan polling terhadap agen SNMP, seperti router, dan membuat grafik dari nilai yang terkumpul.

Data diambil melalui utilitas snmpget, yang dikeluarkan pada NMS. Menggunakan utilitas snmpget, seseorang dapat secara manual mengambil data real-time atau memiliki NMS menjalankan laporan yang akan memberi Anda jangka waktu yang dapat Anda gunakan data untuk mendapatkan rata-rata. Utilitas snmpget mengharuskan versi SNMP, komunitas yang benar, alamat IP perangkat jaringan untuk query, dan nomor OID ditetapkan.

Baris terakhir menunjukkan tanggapan. Output menunjukkan versi singkat dari variabel MIB. Kemudian daftar nilai aktual di lokasi MIB. Dalam hal ini, rata-rata bergerak eksponensial 5 menit dari persentase sibuk CPU adalah 11 persen. Utilitas memberikan beberapa wawasan ke dalam mekanisme dasar bagaimana SNMP bekerja. Namun, bekerja dengan nama variabel MIB panjang seperti 1.3.6.1.4.1.9.2.1.58.0 dapat menjadi masalah bagi rata-rata pengguna. Lebih umum, staf operasi jaringan menggunakan produk manajemen jaringan dengan GUI yang mudah digunakan, dengan seluruh penamaan variabel data MIB transparan kepada pengguna.

SNMPv3

Simple Network Management Protocol versi 3 (SNMPv3) mengotentikasi dan mengenkripsi paket melalui jaringan untuk menyediakan akses yang aman ke perangkat. Menambahkan otentikasi dan enkripsi ke SNMPv3 mengatasi kerentanan versi-versi awal SNMP.

SNMPv3 mengotentikasi dan mengenkripsi paket melalui jaringan untuk menyediakan akses aman ke perangkat, seperti yang ditunjukkan pada gambar. Ini membahas kerentanan versi sebelumnya dari SNMP.

SNMPv3 menyediakan tiga fitur keamanan:

  • Integritas dan otentikasi pesan – Transmisi dari manajer SNMP (NMS) ke agen (node ​​terkelola) dapat diautentikasi untuk menjamin identitas pengirim dan integritas dan ketepatan waktu pesan.
  • Enkripsi – Pesan SNMPv3 dapat dienkripsi untuk memastikan privasi. Enkripsi mengacak isi paket untuk mencegahnya dilihat oleh sumber yang tidak sah.
  • Kontrol akses – Membatasi pengelola SNMP ke tindakan tertentu pada bagian data tertentu.

Langkah-langkah untuk Mengkonfigurasi SNMP :

Langkah 1. (Diperlukan) Konfigurasikan string komunitas dan tingkat akses (baca-saja atau baca-tulis) dengan string komunitas snmp-server ro | perintah rw .

Langkah 2. (Opsional) Dokumentasikan lokasi perangkat menggunakan perintah teks lokasi snmp-server .

Langkah 3. (Opsional) Dokumen kontak sistem menggunakan perintah teks kontak snmp-server .

Langkah 4. (Opsional) Batasi akses SNMP ke host NMS (manajer SNMP) yang diizinkan oleh ACL: tentukan ACL dan kemudian rujuk ACL dengan perintah string-access-list-number-or-name string komunitas snmp .

Langkah 5. (Opsional) Tentukan penerima operasi perangkap SNMP dengan host snmp-serverhost-id [ versi { 1 | 2c | 3 [ auth | noauth | priv ]}] perintah string komunitas .

Langkah 6. (Opsional) Aktifkan perangkap pada agen SNMP dengan perintah snmp-server enable traps notification-types .

 

Langkah-langkah untuk Mengkonfigurasi SNMPv3 :

SNMPv3 dapat diamankan dengan empat langkah. Angka itu menunjukkan sintaks. Berikut ini menjelaskan setiap langkah:

Langkah 1 . Konfigurasikan ACL standar yang akan memungkinkan akses untuk manajer SNMP resmi.

Langkah 2 . Konfigurasikan tampilan SNMP dengan perintah konfigurasi global konfigurasi server-snmp untuk mengidentifikasi MIB Object Identifiers (OIDs) mana yang dapat dibaca oleh pengelola SNMP.

Langkah 3 . Konfigurasikan fitur grup SNMP dengan perintah konfigurasi global grup snmp-server .

Langkah 4 . Konfigurasikan fitur pengguna grup SNMP dengan perintah konfigurasi global pengguna snmp-server . Perintah memiliki parameter berikut:

Konfigurasi SNMPv3

Untuk mengonfigurasi ACL standar bernama PERMIT-ADMIN. Tampilan SNMP diberi nama SNMP-RO dan dikonfigurasi untuk menyertakan seluruh ISO tree dari MIB. Pada jaringan produksi, administrator jaringan mungkin akan mengkonfigurasi pandangan ini untuk hanya menyertakan OID MIB yang diperlukan untuk memantau dan mengelola jaringan.

Grup SNMP dikonfigurasi dengan nama ADMIN. SNMP diatur ke versi 3 dengan otentikasi dan enkripsi yang diperlukan. Grup diperbolehkan akses hanya baca ke tampilan (SNMP-RO). Akses untuk grup dibatasi oleh PERMIT-ADMIN ACL.

Pengguna SNMP, BOB, dikonfigurasi sebagai anggota grup ADMIN. SNMP diatur ke versi 3. Otentikasi diatur untuk menggunakan SHA, dan kata sandi otentikasi dikonfigurasi. Meskipun R1 mendukung enkripsi AES 256, perangkat lunak manajemen SNMP hanya mendukung AES 128. Oleh karena itu, enkripsi diatur ke AES 128 dan kata sandi penyandian dikonfigurasi.

 

Leave a Reply

Your email address will not be published. Required fields are marked *