SNMP – Simple Network

Management Protocol
 Définition

 SNMP signifie Simple Network Management Protocol (traduisez protocole

simple de gestion de réseau).
 Il s'agit d'un protocole qui permet aux administrateurs réseau de gérer
les équipements du réseau et de diagnostiquer les problèmes de réseau.
 Il permet de surveiller « à chaud » les éléments du réseau (routeur, station
de travail, imprimante…) en collectant des informations sur leurs états et
leurs comportements
 de gérer la configuration des éléments du réseau
 En terme de modélisation, SNMP définit un format universel de
représentation des informations d’administration
 En terme de transport, SNMP définit un protocole permettant l’échange
de ces informations pour n’importe quel terminal
 Initialement, fournit un protocole ciblant IP
 Puis, supporte l’ajout de mécanismes pour d’autre architectures réseaux
 Architecture SNMP – client-serveur

 SNMP a pour but d’administrer en intervenant à distance

 SNMP est donc (comme la majorité des systèmes d’administration) de
type client – serveur
SNMP et le modèle OSI

 Un protocole de niveau applicatif permettant à deux entités SNMP

de dialoguer
 SNMP s’appuie sur
 UDP (communication non fiable, sans connexion) : un message
SNMP est un paquet transporté via UDP sur un port (port standard
: 161 pour les commandes et 162 pour les traps)
 ASN.1 (Abstract Syntax Notation One) est un standard international
spécifiant une notation destinée à décrire des structures de données
dans le secteur des télécommunications et des réseaux
informatiques.
 Principe de fonctionnement du protocole SNMP

 Le système de gestion de réseau est basé sur deux éléments principaux : un

manager et des agents.
 Le protocole SNMP se base sur le fait qu’il existe une station de gestion
réseau, le manager, dont le rôle est de contrôler le réseau et de communiquer
via ce protocole avec un agent.
 Un manager(entité logicielle) centralise les informations en provenance des
équipements du réseau par l’intermédiaire d’agents agissant pour le compte du
manager
 L’intelligence se trouve dans le manager, Ainsi, les agents sont simples et légers
sans grand impact sur les hôtes
 Le manager :
 Envoie des commandes(de contrôle) et reçoit les réponses y
afférant : approche de type pull (question-réponse)
 Reçoit des notifications non sollicitées.
 Il incombe au manager d’émettre des commandes pour
obtenir plus de détail
 L’agent fournit un accès à un objet local MIB (Management
Information Base) qui reflète l’état des ressources et
l’activité de l’hôte
 L’agent répond aux commandes du manager en retournant
les valeurs de la MIB et en assignant des valeurs
 une application de gestion de réseau résidant dans un
périphérique et chargé de transmettre les données locales
de gestion du périphérique au format SNMP
Architecture snmpv1, snmpv2
Architecture snmp v3
 Propose une nouvelle terminologie : on ne parle plus de manager, d’agent mais d’entité
 Constitue une transition vers une architecture p2p et modulaire : une entité est
composée d’un engin de base et d’applications
Modèle d’interaction
 Modèle d’interaction
 SNMP se base sur des primitives lui permettant de réaliser des actions sur
une MIB
 Ces primitives offrent deux fonctionnalités fondamentales : l’interrogation
et l’assignation
 Get : Cette commande, envoyée par le manageur à l’agent, a pour
objectif de demander une information à l’agent. Celui-ci, dans le cas
où la validité de la requête est confirmée, renvoie au manageur la
valeur correspondant à l’information demandée.
 Getnext : Cette commande, envoyée par le manageur à l’agent, a pour
objectif de demander l’information suivante à l’agent : il arrive qu’il
soit nécessaire de parcourir toute une liste de variables de l’agent. On
utilise alors cette commande, à la suite d’une requête ‘get’, afin d’obtenir
directement le contenu de la variable suivante.
 Getbulk : Cette commande, est envoyée par la manageur à l’agent pour connaître
la valeur de plusieurs variables : cela évite d’effectuer plusieurs requêtes Get en
série, améliorant les performances (implémenté dans SNMPv2).
 Set : Cette commande, envoyée par le manageur à l’agent, a pour objectif
de définir la valeur d’une variable de l’agent administré. Cela permet
d’effectuer des modifications sur le matériel.
 Trap : Lorsqu’un événement particulier survient chez l’agent (connexion,
modification de la valeur d’une variable donnée, etc…), celui-ci est susceptible
d’envoyer ce que l’on appelle une « trap », à savoir un message d’information
destiné à la station d’administration : celle-ci pourra alors la traiter et
éventuellement agir en conséquence. S’il s’agit par exemple de la coupure d’un
lien réseau, cela permet à l’administrateur réseau d’en être immédiatement
informé.
 Inform : Dans certains cas, il peut être intéressant pour l’agent
d’obtenir une réponse à une Trap qu’il a émise, afin d’obtenir
confirmation que celle-ci a bien été reçue et analysée : c’est l’objectif
d’une commande « inform ». (Implémenté dans SNMPv2).
Resumé des commandes snmp v2
Management Information Base (MIB)

 Une MIB est une collection d’informations organisées de façon

hiérarchique accédées par un protocole (SNMP)
 Une MIB comprend un ensemble d’objets administrés (ou objet MIB ou
simplement par abus de langage, MIB)
 Un objet MIB représente une caractéristique du terminal administré
 Une MIB est une spécification orientée data définissant le nommage, le
type, le format, les actions auprès des objets administrés
 La MIB forme une interface d’accès auprès de l’instrumentation sous-
jacente ; les objets étant accédés via la MIB (sorte de base de données
virtuelle)
 OID (Object Identifier)

 Dans cette hiérarchie, un objet de la MIB est identifié de

façon non ambiguë par
 un nom
 un identifiant de type OID (Object Identifier) qui identifie
l’objet de façon unique dans la hiérarchie (c’est-à-dire dans
l’espace de nommage globale)
 Avantage des OID

 Chaque information d’administration est identifiée de

façon unique et globale(c’est à-dire au sein d’une même
espace de nommage)
 Fournit une façon de déléguer les autorités administratives
 Fournit un nommage flexible (homme/machine) alliant
nombre et nom
 Objet MIB

Un objet contenu dans une MIB est défini par :

 Son nom
 Son type (SYNTAXE)
 Son rôle (DESCRIPTION: chaîne de caractère indiquant le rôle
de l’objet avec SNMPv2)
 Ses droits d’accès (ACCESS avec SMPv1 et MAXACCESS
avec SNMPv2), par exemple, read-only
 Son état de (STATUS) (par exemple optional)
La pratique
 Configuration d’un agent snmp sous windows

 Pour installer l'agent Microsoft SNMP sur un Windows 7, vous devez ouvrir le panneau de
contrôle et cliquez sur Programmes puis dans le menu sélectionnez Activer ou désactiver des
fonctionnalités Windows
 Dans la liste des fonctionnalités, cochez la case Protocole SNMP
 Cochez le protocole SNMP Simple Network Management Protocol. Ceci est nécessaire pour
installer l'agent SNMP et d'autres services SNMP.
 Il est normalement inutile d’avoir le fournisseur SNMP WMI. Le composant fournisseur de
SNMP WMI permet aux applications WMI d'accéder aux informations SNMP (Simple
Network Management) à travers WMI (Windows Management Instrumentation).
 WMI est un système de gestion interne de Windows qui prend en charge la surveillance et le
contrôle de ressource système via un ensemble d’interfaces. Il fournit un modèle cohérent et
organisé logiquement des états de Windows.
 C'est grâce à WMI que le composant Propriétés système de Windows peut afficher les
propriétés du système sur un ordinateur distant ou local.
 Configuration du service
 La configuration du service SNMP est effectuée par le biais de l'option de propriétés de
service. Pour y accéder, ouvrez le panneau de configuration et sélectionnez Outil
d'administration
 Rechercher le service snmp, faites un clic droit dessus et sélectionner propriété
 La fenêtre de propriétés de service SNMP est affiché
 Dans l'onglet Agent, les variables SNMP de la Mib2 system peuvent être définies
 Spécification des propriétés de l’équipement. Vous pouvez définir ici la valeur standard mib2 syscontact et
syslocation . Le sysname est le nom de l'hôte et ne peut pas être modifiée ici (c’est le nom de la machine Windows).
 Contact : Nom et les coordonnées de l'administrateur (objet syscontact de la mib2)
 Emplacement : Emplacement du dispositif. Ici vous pouvez entrer l'adresse, le numéro de bâtiment, étage, salle,
numéro de rack.(objet syslocation de la mib2)
 Services : les propriétés avancées de l'agent indiquant les fonctions fournies par cet équipement: (objet sysservices
de la mib2)
          Physique : Cet équipement  propose des services physique au réseau, hub, répéteur Ethernet
          Liaison de données et de sous-réseaux : Cet équipement  propose des services de liaison, par exemple, pont,
(Couche 2 du modèle OSI).
          Internet : Cet équipement propose des services de transport IP (Couche 3 du modèle OSI)
          End-to-end : Cet équipement propose des services de bout en bout (Protocole TCP). (Couche 4 du modèle
OSI)
          Applications : Cet équipement  propose des services d’application, serveur d’application (couche 7 du modèle
OSI)
 Les modifications apportées ici modifient la valeur de l’objet SNMP sysservices
 Les options suivantes doivent être configurées pour activer la sécurité SNMP :
 Nom de la communauté a accepté. Le service SNMP nécessite la configuration d'au moins un
nom de communauté par défaut. Le nom public est généralement utilisé comme nom de la
communauté parce que c'est le nom commun qui est universellement reconnu dans toutes les
implémentations de SNMP. Vous pouvez supprimer ou modifier le nom de la communauté par
défaut ou ajouter plusieurs noms de communauté. Si l'agent SNMP reçoit une demande d'une
communauté qui n'est pas sur cette liste, il peut générer un Trap d'authentification (option ci-
après). Si aucun nom de la communauté n'est défini, l'agent SNMP refuse toutes les requêtes
entrantes SNMP en provenance des manager SNMP (LoriotPro).
 Autorisations. Vous pouvez sélectionner les niveaux d'autorisation qui déterminent la façon
dont un agent traite les demandes SNMP de diverses communautés. Par exemple, vous pouvez
configurer le niveau d'autorisation pour bloquer l'agent SNMP de traiter toute demande d'une
communauté spécifique.
 Accepter des paquets SNMP de n'importe quel hôte. Dans ce contexte, l'hôte de la
source et la liste des hôtes acceptables consulter le système de gestion SNMP source et la
liste des autres systèmes de gestion acceptable. Lorsque cette option est activée, aucuns
les paquets SNMP ne sont rejetés, fondée sur le nom ou l'adresse de l'hôte source ou sur
la base de la liste des hôtes acceptables. Cette option est activée par défaut.
 Accepter uniquement les paquets SNMP provenant de ces hôtes. Cette option offre
une sécurité limitée. Lorsque l'option est activée, seuls les paquets SNMP a reçu des
hôtes sur une liste d'hôtes acceptables sont acceptés. L'agent SNMP rejette les messages
des autres hôtes et envoie un piège d'authentification.
 Envoyer des interruptions d'authentification. Lorsqu'un agent SNMP reçoit une
demande qui ne contient pas un nom valide de communauté ou l'hôte qui envoie le
message n'est pas sur la liste des hôtes accepter, l'agent peut envoyer un message Trap
d’erreur d’authentification à un ou plusieurs destinations du Trap.
 Configuration d’un agent snmp sous linux
(ubuntu)
 Installer les paquets snmp , snmpd
 # sudo apt-get install snmp snmpd
 Pour rendre l'accès à snmp possible depuis la machine B il faut éditer le fichier
/etc/snmp/snmpd.conf
 Modifier la ligne suivante en changeant l’adresse IP et en mettant celle de
votre interface réseau qui écoute le réseau
 # Listen for connections from the local system only
 agentAddress udp:127.0.0.1:161
 En
 # Listen for connections from the local system only
 agentAddress udp:192.168.79.134:161
 Vous devez rajouter les lignes suivantes dans /etc/snmp/snmpd.conf
 disk / 100000
 disk /etc 100000
 disk /home 100000
 Ensuite redémarrer le service
 #sudo /etc/init.d/snmpd restart

 Ensuite tester si la configuration est bonne avec la commande snmpwalk

 Cette commande permet de sortir sur la console toutes les informations accessibles sur le
périphériques.

 snmpwalk -v1 -c public 192.168.0.232

 -v1 : indique que l'on utilise le protocole SNMP version 1 (la version du protocole à utiliser
dépend du périphérique supervisé).
 -c private : indique le community name pour accéder aux informations. Dans cet exemple, on
utilise le community name private. Ce community name est dépendant du périphérique et se
modifie dans les paramètres de ce dernier (interface web, console,…).
 192.168.0.232 : indique l'adresse IP du périphérique.
 Importation des MIB
 éditer le fichier /etc/default/snmpd
 A la place de
 export MIBDIRS=
 ajouter
 export MIBDIRS=/usr/share/snmp/mibs
 Export MIBS = ALL

 Commentez le fichier /etc/snmp/snmp.conf

 #mibs ALL
 Telechargement des MIB
 #apt-get update
 #apt-get install snmp-mibs-downloader

 On crée un lien symbolique

 ln –s /usr/share/mibs/ /usr/share/snmp/mibs

 On redémarre le service
 /etc/init.d/snmpd restart

 Pour vérifier le fonctionnement

 # snmpwalk -v1 -c public 192.168.0.232
Installation du manager

 Il existe plusieurs logiciels pouvant tenir ce rôle de manager

 Chacun d’entre eux ayant leur particularité
 On peut citer entre autre :
 PRTG
 LoriotPro
 Cacti
 Nagios
 Solarwinds