AA_PO-23747-123RF-Natalia_Lukiyanova_123RF.jpg

© Natalia Lukiyanova, 123RF

Netzwerkinfrastruktur mit SNMP überwachen

Fest im Blick

Wer viele Netzwerksysteme betreibt, kann auch viele Probleme bekommen. Fehlen die Mitarbeiter für eine Echtzeitüberwachung, genügen SNMP und ein paar kleine Skripte, um den Gerätezoo im Blick zu behalten.

Router, Switches, Server, Drucker – Datennetze enthalten viele komplexe Komponenten. Will man sie trotzdem mit möglichst geringem organisatorischen und finanziellen Aufwand überwachen, helfen schon ein Raspberry Pi und das Simple Network Management Protocol SNMP. Letzteres lässt sich nutzen, um Werte wie Datendurchsatz, CPU-Auslastung oder Temperatur eines Geräts abzufragen oder das entsprechende System sogar neu zu konfigurieren.

SNMP ist der Nachfolger des Simple Gateway Management Protocol (SGMP). Seine Spezifikation wurde 1990 von der Internet Engineering Task Force (IETF) verabschiedet und seitdem mehrmals überarbeitet. Mittlerweile liegt sie in der dritten Version vor. Dabei bietet SNMPv3 im Gegensatz zu den Vorgängern verschlüsselte Kommunikation und eine sichere Authentifizierung. Allerdings unterstützen viele heute zu erwerbende Geräte nach wie vor nur SNMPv1 oder SNMPv2.

Das Protokoll in Kürze

SNMP nutzt standardmäßig den UDP-Port 161. Die Kommunikation erfolgt mittels Agenten und Managern, wobei die Agenten auf den einzelnen Geräten laufen und auf Abfragen oder Anweisungen durch den oder die Manager warten. Es gibt zudem noch die SNMP-Traps, bei denen ein Gerät bei bestimmten Ereignissen aktiv eine Meldung an einen Manager verschickt. Diese läuft in der Regel auf dem Port 162 des Managers ein.

SNMP liest Werte verschiedener Netzwerkkomponenten aus, die Managed Objects. Bei einem solchen Managed Object kann es sich um den Status einer Netzwerkschnittstelle, CPU oder den Speicher eines Geräts handeln. Um hier einen Standard zu etablieren, wurde die SNMP-Management Information Base (MIB) entwickelt. In der baumartig organisierten MIB sind die Eigenschaften zahlreicher Managed Objects beschrieben. Die Beschreibungen enthalten den genauen Namen oder die OID (Object Identifier) sowie die erlaubten Datentypen eines Objekts. Die OID können numerisch oder menschenlesbar vorliegen – so meinen .iso.org.dod.internet.mgmt und .1.3.6.1.2 das gleiche Objekt und lassen sich dementsprechend später bei Abfragen gleichberechtigt verwenden.

SNMPv1 und SNMPv2 bauen über die sogenannten Communities Verbindungen auf, denen Manager und Agenten vertrauen. Dazu existieren die Community-Namen für Nur Lesen, Lesen und Schreiben sowie Trap. Die Community-Namen ersetzen das Passwort. Da sie jedoch als Klartext übertragen werden, kann ein Angreifer sie relativ leicht abfangen. Mit den Community-Namen lassen sich verschiedene Aktivitäten abwickeln.

Mit dem Nur-Lesen-Community-String, den die meisten Hersteller mit public voreinstellen, dürfen Sie lediglich Daten am Gerät abfragen. Der Lesen-Schreiben-Community-String, der bei Geräten im Auslieferungszustand meist private lautet, erlaubt auch Änderungen am Gerät vorzunehmen. So dürfen Sie Zähler zurücksetzen oder auch die Router-Konfiguration ändern.

Der Trap-Community-String ist letztendlich nötig, damit Manager die Trap-Meldungen der Agenten entgegennehmen. Die beiden letzten Community-Strings trifft man auf Geräten für Endbenutzer jedoch nicht so häufig an. Noch seltener ist SNMPv3 zu finden, bei dem die gesamte Kommunikation verschlüsselt abläuft und sich die Teilnehmer regulär authentifizieren müssen.

Das Szenario

Wir zeigen am Beispiel eines Komplexes aus Seminar- und Gästehäusern, dessen Nutzer sich in der Vergangenheit sporadisch über eine langsame Internetverbindung beklagten, wie sich mit den Net-SNMP-Werkzeugen [1] einige Gerätewerte abfragen und gegebenenfalls protokollieren lassen. Darauf basierend können Sie weitere Informationen zum Geschehen im Netzwerk einsammeln und Entscheidungen über Infrastrukturverbesserungen treffen.

Die Bildungsstätte Hochlland in Potsdam [2] besteht aus drei mehrstöckigen Seminar- und Gästehäusern, die rege von Schulklassen sowie Gruppen der Jugend- und Erwachsenenbildung genutzt werden. Die drei Häuser teilen sich einen Internetanschluss und sind via Funk und Kabel mehr oder weniger gut miteinander verbunden. Die WLAN-Versorgung für die Gäste erfolgt durch derzeit acht Access Points (APs), in der nächsten Ausbaustufe soll ihre Anzahl auf vierzehn ansteigen.

Die Bildungsstätte verfolgt das Konzept der Selbstorganisation, was bedeutet, dass die Gruppen die Häuser völlig selbstständig nutzen. Personal ist nicht immer vor Ort, sodass sich Probleme mit der meist stabilen Internetanbindung im Nachhinein nur schwer nachvollziehen lassen. Viele Gruppen reisen allein an und ab – wobei es gelegentlich passiert, dass auch einmal ein AP ungefragt mitreist. Darüber hinaus gibt es Nachbarn, die an die Zugangsdaten des halböffentlichen Hauses gelangt sind und das Netz gern und ausgiebig nutzen. Diesen soll der Zugang möglichst erschwert werden.

Diesen Artikel als PDF kaufen

Express-Kauf als PDF

Umfang: 6 Heftseiten

Preis € 0,99
(inkl. 19% MwSt.)

LinuxCommunity kaufen

Einzelne Ausgabe
 
Abonnements
 
TABLET & SMARTPHONE APPS
Bald erhältlich
Get it on Google Play

Deutschland

Ähnliche Artikel

Kommentare

Infos zur Publikation

LU 11/2017: Server für Daheim

Digitale Ausgabe: Preis € 8,50
(inkl. 19% MwSt.)

LinuxUser erscheint monatlich und kostet 5,95 Euro (mit DVD 8,50 Euro). Weitere Infos zum Heft finden Sie auf der Homepage.

Das Jahresabo kostet ab 86,70 Euro. Details dazu finden Sie im Computec-Shop. Im Probeabo erhalten Sie zudem drei Ausgaben zum reduzierten Preis.

Bei Google Play finden Sie digitale Ausgaben für Tablet & Smartphone.

HINWEIS ZU PAYPAL: Die Zahlung ist ohne eigenes Paypal-Konto ganz einfach per Kreditkarte oder Lastschrift möglich!

Stellenmarkt

Aktuelle Fragen

Lieber Linux oder Windows- Betriebssystem?
Sina Kaul, 13.10.2017 16:17, 3 Antworten
Hallo, bis jetzt hatte ich immer nur mit
IT-Kurse
Alice Trader, 26.09.2017 11:35, 2 Antworten
Hallo liebe Community, ich brauche Hilfe und bin sehr verzweifelt. Ih bin noch sehr neu in eure...
Backup mit KUP unter Suse 42.3
Horst Schwarz, 24.09.2017 13:16, 3 Antworten
Ich möchte auch wieder unter Suse 42.3 mit Kup meine Backup durchführen. Eine Installationsmöglic...
kein foto, etc. upload möglich, wo liegt mein fehler?
kerstin brums, 17.09.2017 22:08, 5 Antworten
moin, zum erstellen einer einfachen wordpress website kann ich keine fotos uploaden. vom rechne...
Arch Linux Netzwerkkonfigurationen
Franziska Schley, 15.09.2017 18:04, 0 Antworten
Moin liebe Linux community, ich habe momentan Probleme mit der Einstellung des Lan/Wlan in Arc...