PDF de programación - Tutorial de NET-SNMP

 



 




























Tutorial de NET-SNMP

2006 © Luis Hernández Acosta

INDICE

1. Sobre este tutorial

2. ¿Qué es SNMP?
2.1. SNMPv1
2.2. SNMPv2
2.3. SNMPv3

3. ¿Qué es NET-SNMP?

4. El agente SNMP (snmpd)
4.1. ¿Qué es?
4.2. ¿Cómo funciona?
4.3. Configuración del agente
4.3.1. Ficheros de configuración
4.3.2. Especificando información sobre nuestro sistema
4.3.3. Configuración de acceso para SNMPv1 y SNMPv2c
4.3.4. Configuración de acceso para SNMPv3
4.3.5. Envío de notificaciones
4.3.6. Configuración de MIB extensible
4.3.7. Configuración de proxy
4.3.8. Pasando el control a programas externos

5. Recepción de notificaciones
5.1. Tipos de notificaciones
5.2. Funcionamiento del mecanismo de notificaciones
5.3. El demonio snmptrapd
5.3.1. Ficheros de configuración
5.3.2. Ejecución de programas para notificaciones entrantes
5.3.3. Formateo de notificaciones
5.3.4. Guardando notificaciones entrantes para consultas mediante SNMP
5.3.5. Creación de usuarios
5.3.6. Reenvío de notificaciones
5.3.7. Directivas adicionales

Documento extraído del artículo:
- “Tutorial de NET-SNMP” por Jorge Moreno Carreres

1

 



 



























1. Sobre este tutorial

Este tutorial pretende ser una guía rápida de configuración para los demonios incluidos en el
paquete de gestión de red NET-SNMP (snmpd y snmptrapd). No es una guía de utilidades para
línea de comandos, ni tampoco pretende entrar en aspectos demasiado teóricos sobre el
funcionamiento interno del protocolo de gestión de red SNMP. Solamente es un documento que
puede servir tanto para configurar los aspectos más básicos como los más avanzados del agente
(snmpd) y el demonio receptor de notificaciones (snmptrapd).

El escenario de las pruebas ha sido una pequeña red local, constituida por los siguientes hosts:

– Un servidor que actúa como pasarela de red, ejecutando una distribución Debian, cuyo
nombre en la red local es averia. Este es el host en el que se ejecuta el agente SNMP.

– Un cliente de red ejecutando una distribución Debian, cuyo nombre en la red es truca.

Aquí se ejecuta el demonio receptor de las notificaciones que manda averia.

2. ¿Qué es SNMP?

SNMP son las siglas de Simple Network Management Protocol y es un protocolo muy extendido
que trabaja en el nivel de aplicación. Mediante SNMP podemos realizar tareas de monitorización
de red, configuración de dispositivos, detección de problemas y otras muchas cosas más.

Para gestionar un dispositivo mediante SNMP, éste debe tener un agente que gestione la
información contenida en la MIB-II (Management Information Base). El protocolo funciona
mediante un mecanismo de petición-respuesta, es decir, nosotros mandamos una petición u orden
al agente que gestiona un dispositivo concreto y éste nos responde con la información requerida o
el resultado de la orden, o con un mensaje de error si nuestra petición fue incorrecta.

Actualmente existen tres versiones de este protocolo: SNMPv1, SNMPv2 y SNMPv3; cada una
con sus propias características y limitaciones. Nuestro objetivo principal será abordar las
diferencias entre estas tres versiones respecto a la autenticación de las peticiones y órdenes.

2.1. SNMPv1

Cuando se utiliza SNMPv1, el agente emplea un sencillo sistema de autenticación para determinar
qué gestor puede acceder a qué variables de la MIB. Este esquema implica la especificación de
unas determinadas políticas de acceso, relacionadas con los conceptos de comunidad, modo de
acceso y vista de la MIB. Una comunidad es un conjunto de hosts relacionados mediante un
nombre de comunidad, que debe ser incluido en la petición. El modo de acceso especifica
los accesos permitidos para una determinada comunidad, que suelen ser none, read-write,
read-only o write-only. Una vista de la MIB define uno o más subárboles de la MIB a los que
una determinada comunidad puede acceder.

Cuando el agente recibe una petición, verifica el nombre de comunidad junto con la IP del host
desde el que se hizo la petición para determinar que el host realmente pertenezca a esa
comunidad. Si esta verificación devuelve un resultado positivo, entonces comprueba que la
comunidad tenga acceso a las variables de la MIB solicitadas en la petición. Si esto es correcto, el
agente responderá a la petición. Si no, devolverá el mensaje de error correspondiente al host
peticionario.

En esta versión también se define la estructura básica que debe tener la MIB, incluyendo los
identificadores de objeto (tanto numéricos como textuales) de los objetos y tablas de uso más
común, como ifTable, tcpConnTable, ipAddrTable, etc. Además, se definen tres operaciones
básicas para el acceso a la información de gestión contenida en la MIB: Get, GetNext y Set. Se
define también la operación Trap para el envío de notificaciones.

2

 



 



























2.2. SNMPv2

SNMPv2 es una extensión de SNMPv1. La abstracción de SNMPv2 que permite el uso de los
mismos elementos descritos para SNMPv1, es decir, los conceptos de comunidad, vista de la
MIB y modo de acceso, es llamada SNMPv2c (Community-based SNMPv2), y es la que el agente
de NET-SNMP implementa.

El formato de la PDU (mensaje) es el mismo, solo que se usa un nuevo número de versión. En
cuanto a las operaciones de acceso a la MIB, además de las definidas en SNMPv1, esta versión
define dos nuevas: GetBulk e Inform. GetBulk se usa para obtener de forma eficiente grandes
cantidades de datos, e Inform se usa para el envío de notificaciones con confirmación por parte
del receptor.

En cuanto a la MIB, en esta versión se definen nuevos tipos de objetos para mejorar la semántica.

2.3. SNMPv3

SNMPv3 añade capacidades de seguridad y configuración remota a las versiones previas. Se
introduce la arquitectura del modelo de seguridad basado en usuarios o USM (User-based
Security Model), para añadir seguridad a los mensajes, y el modelo de control de acceso
basado en vistas o VACM (View-based Access Control Model) para el control de acceso. También
introduce la posibilidad de configurar remotamente el agente dando distintos valores a los objetos
que representan la configuración del agente.

La arquitectura soporta el uso simultáneo de distintos modelos de control de acceso, seguridad y
proceso de mensajes, entre los cuales hay que resaltar la autenticación de usuarios mediante
protocolos seguros (como MD5 o SHA) y la privacidad en la comunicación usando
algoritmos de encriptación como DES.

3. ¿Qué es NET-SNMP?

NET-SNMP es un conjunto de aplicaciones usado para implementar el protocolo SNMP usando
IPv4 e IPv6. Incluye:

– Aplicaciones de línea de comandos para:




tomar información de dispositivos capaces de manejar el protocolo SNMP,
ya sea usando peticiones simples (snmpget, snmpgetnext) o múltiples
(snmpwalk, snmptable, snmpdelta).


manipular información sobre la configuración de dispositivos capaces de







manejar SNMP (snmpset).
conseguir un conjunto de informaciones de un dispositivo con SNMP
(snmpdf, snmpnetstat, snmpstatus).
traducir entre OIDs numéricos y textuales de los objetos de la MIB, y
mostrar el contenido y estructura de la MIB (snmptranslate).

– Un navegador gráfico de la MIB (tkmib), usando Tk/perl.

– Un demonio para recibir notificaciones SNMP (snmptrapd). Las notificaciones
seleccionadas pueden guardarse en un log (como syslog o un archivo de texto plano),
ser reenviadas a otro sistema de gestión de SNMP, o ser pasadas a una aplicación
externa.

3

 



 




























– Un agente configurable para responder a peticiones SNMP para información de gestión
(snmpd). Incluye soporte para un amplio rango de módulos de información de la MIB, y
puede ser extendido usando módulos cargados dinámicamente, scripts externos y
comandos.

– Una biblioteca para el desarrollo de nuevas aplicaciones SNMP, con APIs para C y Perl.

Si elegimos instalar el paquete correspondiente en un sistema basado en GNU/Linux, podemos
instalar el existente para nuestra distribución. En las distribuciones basadas en Debian
corresponde con los paquetes llamados: snmp y snmpd.

4. El agente SNMP (snmpd)

4.1. ¿Qué es?

snmpd es un agente SNMP que escucha en el puerto 161 de UDP (por defecto), esperando la
llegada de peticiones desde algún software de gestión SNMP. Cuando recibe una petición,
recopila la información y/o lleva a cabo las operaciones solicitadas, devolviendo la información
correspondiente al emisor de la petición.

4.2. ¿Cómo funciona?

El agente snmpd se ejecuta como demonio, permaneciendo en segundo plano durante toda su
ejecución. Una vez instalado el paquete NET-SNMP, el agente se ejecutará al iniciar nuestro host
mediante el sistema de servicios estándar de GNU/Linux. Para iniciarlo, pararlo o recargarlo
manualmente usaremos el comando:

# /etc/init.d/snmpd {start|stop|restart|reload|forcereload}

usando una opción u otra dependiendo de lo que queramos hacer. En su arranque, buscará su
archivo de configuración (/etc/snmp/snmpd.conf). Dicho archivo describe el comportamiento del
agente durante la ejecución, aunque no