El Hassan EL AMRI – SNMP

E l H a s a n E L A M R I P a g e 1 | 5

Campus Réseaux Informatiques et Télécommunications

SNMP

(Simple Network Management Protocol)

I. Présentation protocole SNMP

SNMP (Simple Network Management Protocol)

Le protocole SNMP a été développé afin de permettre aux administrateurs de gérer des nœuds, tels

que des serveurs, des stations de travail, des routeurs, des commutateurs et des appareils de sécurité

sur un réseau IP. Il permet aux administrateurs réseau de gérer les performances des réseaux, de

rechercher et de résoudre d'éventuels problèmes sur ceux-ci et de planifier leur croissance.

SNMP est un protocole de couche Application qui procure un format pour les messages de

communication entre les gestionnaires et les agents.

Le système SNMP se compose de trois éléments :

Gestionnaire SNMP

Agents SNMP (nœud géré)

Base d'informations de gestion (MIB)

II. Fonctionnement de SNMP

Les agents SNMP qui résident sur des périphériques gérés collectent et stockent les informations

relatives aux périphériques et à leur fonctionnement. Ces informations sont stockées localement par

l'agent dans la base de données MIB. Le gestionnaire SNMP utilise ensuite l'agent SNMP pour accéder

aux informations contenues dans la base de données MIB.

Il existe deux types principaux de requêtes de gestionnaire SNMP, à savoir get et set. Une requête get

est utilisée par le système de gestion de réseau (NMS) afin d'obtenir des données de la part d'un

périphérique. Une requête set est utilisée par le système de gestion de réseau (NMS) afin de modifier

les variables de configuration du périphérique de l'agent. Une requête set peut également initier des

actions au niveau d'un périphérique. Par exemple, une requête set peut provoquer le redémarrage d'un

routeur ainsi que l'envoi ou la réception d'un fichier de configuration.

L'agent SNMP répond comme suit aux requêtes du gestionnaire SNMP :

Obtenir une variable MIB : l'agent SNMP effectue cette fonction en réponse à une unité de

données de protocole GetRequest à partir du système de gestion de réseau (NMS). L'agent

récupère la valeur de la variable MIB demandée et répond au système de gestion de réseau

(NMS) en lui communiquant cette valeur.

Définir une variable MIB : l'agent SNMP effectue cette fonction en réponse à une unité de

données de protocole SetRequest à partir du système de gestion de réseau (NMS). L'agent

SNMP modifie la valeur de la variable MIB à la valeur spécifiée par le système de gestion de

réseau (NMS). Une réponse d'agent SNMP à une requête set inclut les nouveaux paramètres

définis dans le périphérique.

El Hassan EL AMRI – SNMP

E l H a s a n E L A M R I P a g e 2 | 5

Exemple des requêtes SNMPv1

III. Les Versions SNMP

SNMPv1 : Ceci est la première version du protocole, tel que définie dans le RFC 1157. La sécurité de

cette version est triviale, car la seule vérification qui est faite est basée sur la chaîne de caractères "

community ".

SNMPv2c (expérimental): Cette version du protocole est appelé " community stringbased SNMPv2 ".

Ceci est une amélioration des opérations de protocole et des types d'opérations et utilise la sécurité

par chaîne de caractères "community " de SNMPv1.

SNMPv2c a introduit quelques nouveaux types, mais sa nouveauté majeure est l'opération

GETBULK, qui permet à une plateforme de gestion, de demander en bloc de plusieurs variables

consécutives dans la MIB de l'agent.

Généralement, on demande autant de variables que l'on peut mettre dans un paquet SNMP.

Opération Inform Avec cette Pdu, le manager informe l'agent qu'il a reçu un Trap (acquittement).

SNMPv3 (standard actuel): Cette version comprend une combinaison de la sécurité basée sur les usagers et les types et les opérations.

Cette nouvelle version du protocole SNMP vise essentiellement à inclure la sécurité des transactions

La sécurité comprend l'identification des parties qui communiquent et l'assurance que la conversation soit privée, même si elle passe par un réseau public.

La sécurité de SNMPv3 est basée sur 2 concepts :

– USM (User-based Security Model) ** 3 mécanismes sont utilisés, chaque mécanisme permet d'empêcher un type d'attaque **

El Hassan EL AMRI – SNMP

E l H a s a n E L A M R I P a g e 3 | 5

Authentification :

Empêche quelqu'un de changer le paquet SNMPv3 en cours de route et de valider le mot de passe de la personne qui transmet la requête.

Chiffrement : Empêche quiconque de lire les informations de gestions contenues dans un paquet

SNMPv3.

L'estampillage du temps : Empêche la réutilisation d'un paquet SNMPv3 valide a déjà transmis par quelqu'un.

– VACM (View- based Access Control Model)

Permet le contrôle d'accès au travers de la MIB. On a la possibilité de restreindre l'accès en lecture et/ou écriture pour un groupe ou par utilisateur

IV. Identifiants de communauté Les protocoles SNMPv1 et SNMPv2c utilisent des identifiants de communauté qui contrôlent l'accès à la base de données MIB. Les identifiants de communauté sont des mots de passe en texte clair. Les chaînes de communauté SNMP authentifient l'accès aux objets MIB. Il existe deux types d'identifiants de communauté :

Lecture seule (ro) : fournit un accès aux variables MIB, mais ne permet pas de les modifier,

uniquement de les lire. La sécurité étant minimale dans la version 2c, de nombreuses entreprises utilisent le protocole SNMPv2c en mode lecture seule.

Lecture/écriture (rw) : fournit un accès en lecture et en écriture à l'ensemble des objets de la

base de données MIB. Pour afficher ou définir des variables MIB, l'utilisateur doit spécifier l'identifiant de communauté approprié pour l'accès en lecture ou en écriture.

V. Base d'informations de gestion (ID d'objet) La base de données MIB organise les variables de manière hiérarchique. Les variables MIB permettent au logiciel de gestion de surveiller et de contrôler le périphérique réseau. De manière formelle, la base de données MIB définit chaque variable comme étant un ID d'objet (OID). Les ID d'objet (OID) identifient de manière unique les objets gérés au sein de la hiérarchie MIB. La base de données MIB organise les ID d'objet (OID) sur la base de normes RFC au sein d'une hiérarchie d'ID d'objet, généralement affichée sous la forme d'une arborescence. L'arborescence de la base de données MIB de n'importe quel périphérique donné inclut certaines branches avec des variables communes à de nombreux périphériques réseau, ainsi que quelques branches avec des variables spécifiques à ce périphérique ou fournisseur. Les RFC définissent certaines variables publiques courantes. La plupart des périphériques implémentent ces variables MIB. De plus, les fournisseurs d'équipements réseau, tels que Cisco, peuvent définir leurs propres branches privées de l'arborescence afin d'accueillir de nouvelles variables spécifiques pour leurs périphériques. La Figure ci-dessous illustre certaines parties de la structure de la base de données MIB définie par Cisco Systems, Inc. Notez comment l'ID d'objet (OID) peut être décrit en termes de mots ou de nombres afin de pouvoir localiser facilement une variable spécifique dans l'arborescence. Les ID d'objet (OID) appartenant à Cisco, comme le montre la Figure ci-dessous, sont numérotés comme suit : .iso (1).org (3).dod (6).internet (1).private (4).enterprises (1).cisco (9). La valeur affichée est 1.3.6.1.4.1.9.

El Hassan EL AMRI – SNMP

E l H a s a n E L A M R I P a g e 4 | 5

VI. Configuration du protocole SNMP

Étapes de configuration du protocole SNMP

Un administrateur réseau peut configurer le protocole SNMPv2 de manière à obtenir des informations

réseau à partir des périphériques présents sur celui-ci. Comme le montre la figure ci-dessous, les étapes

de base de la configuration du protocole SNMP s'exécutent toutes en mode de configuration globale.

Étape 1. (Obligatoire) Configurez l'identifiant de communauté et le niveau d'accès (lecture seule ou

lecture/écriture) à l'aide de la commande snmp-server community string ro | rw.

Étape 2. (Facultatif) Documentez l'emplacement du périphérique à l'aide de la commande snmp-server

locationtext.

Étape 3. (Facultatif) Documentez le contact du système à l'aide de la commandesnmp-server

contact text.

Étape 4. (Facultatif) Limitez l'accès SNMP aux hôtes NMS (gestionnaires SNMP) qui sont autorisés par

une liste de contrôle d'accès : définissez la liste de contrôle d'accès, puis référencez-la à l'aide de la

commande snmp-server communitystring access-list-number-or-name. Cette commande peut être

utilisée à la fois pour spécifier un identifiant de communauté et pour limiter l'accès SNMP par le biais de

listes de contrôle d'accès. Il est possible de combiner les étapes 1 et 4 en une seule, si vous le souhaitez.

Le périphérique réseau Cisco allie les deux commandes en une seule si elles sont introduites

séparément.

Étape 5. (Facultatif) Spécifiez le destinataire des opérations de déroutement SNMP à l'aide de la

commande snmp-server host host-id [version{1|2c | 3 [auth | noauth | priv]}]community-string. Par

défaut, aucun gestionnaire de déroutement n'est défini.

Étape 6. (Facultatif) Activez les déroutements sur un agent SNMP à l'aide de la commande snmp-

server enable traps notification-types. Si aucun type de notification de déroutement n'est spécifié dans

El Hassan EL AMRI – SNMP

E l H a s a n E L A M R I P a g e 5 | 5

cette commande, tous les types de déroutements sont envoyés. L'utilisation répétée de cette commande

est requise si un sous-ensemble spécifique de types de déroutements est souhaité.

Remarque : par défaut, aucun type de déroutement n'est défini dans le protocole SNMP. En l'absence

de cette commande, les gestionnaires SNMP doivent tenter d'obtenir toutes les informations

pertinentes.

Exemple de configuration SNMP

Rejoignez-nous dans notre groupe sur Facebook

https://www.facebook.com/groups/RESEAUX2INFORMATIQUES2TELECOM/