<img height="1" width="1" style="display:none" src="https://www.facebook.com/tr?id=1678611822423757&amp;ev=PageView&amp;noscript=1">
Defrag This

| Read. Reflect. Reboot.

SNMP 究竟是什麼?網路監控機制如何一脈相承

Jeff Edwards| Feb 14, 2020 8:02:19 AM

| monitoring, SNMP

簡易網路管理通訊協定 (Simple Network Management Protocol,SNMP) 的名稱當中雖然有「簡易」二字,但絕對不容小覷。這項通訊協定就是網路監控與裝置通訊的命脈。網路管理員嚴重依賴 SNMP,因為幾乎每一家技術製造商都支援這項通訊協定,因此能夠將所有裝置全面納入網路監控的範圍。

SNMP 由一組網路管理標準構成,是網際網路通訊協定套件 (Internet Protocol Suite) 的其中一項要素,由網際網路專案任務小組 (Internet Engineering Task Force,IETF) 所界定。其網路管理標準組成包括應用層通訊協定,以及資料庫結構描述架構。

這套通訊協定採用用戶端-伺服器模式。伺服器稱為管理程式,負責收集和處理網路裝置相關資訊。用戶端稱為代理程式,泛指網路上任何一類負責將資料傳送給管理程式的裝置。管理程式和代理程式透過數種通訊協定資料單位通訊:

  • GetRequest – 用於擷取管理程式傳至代理程式的變數值。
  • SetRequest – 用於變更管理程式傳至代理程式的變數值。
  • GetNextRequest – 尋找管理程式傳至代理程式的變數;也可以對眾多代理程式發出大量要求。
  • Response (回應) – 透過傳回變數的方式接收代理程式對管理程式的回應。
  • Trap (設陷) – 接收代理程式同時對管理程式發出的訊息。
  • InformRequest – 讓不同的管理程式同時產生訊息。
  • Report (回報) – 檢閱訊息並判斷代理程式偵測到的問題屬於哪一種類型。

這項通訊協定會以受管系統上的變數公開管理資料,也就是描述系統狀態和設定資訊。使用者可以遠端查詢及操作變數。

查看 IP 網路上的一切

沒有 SNMP 就無法輕鬆設定網路裝置,也無法收集網路輸送量、使用量、效能問題以及安全漏洞等相關資訊。SNMP 確實讓您能夠查看所有 IP 網路上的一舉一動,伺服器、工作站、印表機、集線器、交換器以及路由器,全都一清二楚。

SNMP 還有另一項很炫的功能,那就是幾乎不影響裝置效能,而且傳輸要求也很低,因此不會影響網路流量。即使其他大多數網路應用程式失效,SNMP 仍然能夠繼續運轉。

使用最新版 SNMP 的重要性

第一版的 SNMP 在 1980 年代問世,公用網際網路目前還在使用這個版本。內部網路一定要使用最新版本 (SNMPv3),這也是一項網際網路標準。最新版本的特點在於安全性更高、裝置存取能力更強,因為這個版本能夠驗證及加密資料封包,封鎖外來入侵者的攻擊。

SNMPv3 讓管理員能夠靈活運用四種不同的安全層級—判斷依據是每一台裝置所處理的使用者類型和資料,以及是封閉網路還是開放網路:

  • 只驗證 (Authentication Only)
  • 只保障隱私權 (Privacy Only)
  • 驗證和隱私權 (Authentication and Privacy)
  • 不保障隱私權也不驗證 (No Privacy and No Authentication)

新的系統管理功能是 SNMPv3 的另一項特色。這些功能包括通知發送程式和 Proxy 轉送程式,作用是輔助遠端設定與裝置支援。這些功能也能顯著簡化大規模裝置部署、裝置帳戶設定和故障管理等作業。

SNMPv3 的其他重要特點包括檢查訊息完整性,確認訊息源自可信的來源。這項通訊協定也嚴格要求只讓指定收件人閱讀訊息。如有未經授權的使用者中途攔截訊息,訊息內容會自動變成亂碼。

使用 SNMPv3 能加強安全防範,但重點在於不能只靠這項通訊協定來保護裝置。例如,您還應該區分使用者角色,並且妥善分配每一台裝置的認證。此外,請務必套用存取控制清單,以利封鎖未經授權的裝置存取。

管理資訊庫相當重要

管理資訊庫 (Management Information Base,MIB) 是 SNMP 的重要組成要素。這個文字檔包含按階層排列的資訊,這些資訊全都與自特定裝置收集而來的資料有關。所有支援 SNMP 的裝置都包含 MIB,通訊協定會將 MIB 轉換成監控軟體可用的格式。

階層這項特點是關鍵。只要使用以名稱和數字組成的物件識別碼,就能不分廠商,將所有裝置的可管理特性整理得井然有序。

除了輪詢和資訊交換以外,SNMP 不需要明確要求也能傳送資料套件。您可以預先設定這些 SNMP「陷阱」,讓用戶端知道裝置發生的具體變化。設定控制命令是 SNMP 的另一項功能,這項功能可以讓用戶端 (監控軟體) 變更裝置內部的設定。

SNMP 小幫手

WhatsUp Gold是能與 SNMP 搭配運用的簡便工具。這套解決方案會監控支援 SNMP 的裝置和作業系統,包括 Windows、Unix 和 Linux。WhatsUp Gold 也提供一組完整的 SNMP 管理工具,包括 SNMP MIB Walker、Explorer、多 SNMP 變數探查,以及趨勢分析。

欲具體瞭解 WhatsUp Gold 如何協助您監控網路裝置,請下載免費試用版

New Call-to-action

Topics: monitoring, SNMP

Default HTML block

發表評論

您的電子郵件地址不會被公開。以下有標記*的為必填項目。

THIS POST WAS WRITTEN BY Jeff Edwards

Jeff Edwards is a tech writer and analyst with three years of experience covering Information Security and IT. Jeff has written on all things cybersecurity, from APTs to zero-days, and previously worked as a reporter covering Boston City Hall.

免費試用

立即下載

聯絡我們

發送訊息

訂閱 Progress 部落格