SNMP devreye alma
Varsayılan olarak cihaz yazılımında SNMP işlemi devre dışındadır. SNM destekli makinaların ve yönetim sistemlerinin erişimi için öncelikle SNMP yi evreye almalısınız.
1. Şasi üzerine tıklayın SNMP sekmesini seçin.
2. SNMP enabled kutusunu işaretleyin .
3. Review/apply butonuyla değişiklikleri görün ve Apply changes butonuyla onaylayarak devreye alın
SNMP sürümleri ve iş akışı
Sistemde çalışan SNMP hizmeti SNMP v1, v2, ve v3 sürümlerini destekler. Ayrıca sistemdeki olayları aktarma için desteklediği MIB lerde tanımlı mesajları (traps) tuzak alıcılara (trap receivers) gönderebilmektedir.
SNMP v1 ve v2
Sisteme erişimi kontrol etmek için, bir topluluk(community) listesi tanımlanmalıdır. Her topluluk girdisi, bir harf katarı (string) ve erişim yetki seviyesinden oluşur. Sadece doğru topluluk bilgileri ile talep edilen mesajlar sistem tarafından cevaplanır.
SNMP hizmeti, cihazın yönetilmesi için gereken değişkenlerin bir listesini tutar. Bu değişkenler, Yönetim Bilgi Temeli (Management Information Base (MIB)) adı verilen alanlarda tutulur.
SNMP v3
SNMP v1 ve v2 protokollerinin sunduğu fonksiyonların yanında, SNMP v3 erişim kontrolü ve bilgi gönderme mekanizmalarında ilave yetenekler sunar. SNMPv3 mimarisi mesaj güvenliği için kullanıcı temelli bir güvenlik modeli (User-based Security Model (USM)) getirir. Bu model şunları içerir:
- Kimlik Doğrulama (Authentication): Verinin doğru istemci ve cihaz arasında akışını onaylar.
- Mahremiyet (Privacy): Mesaj içeriğinin saklanmasını sağlar. Şifrelem için Cipher Block- Chaining (CBC) kullanılır. Kimlik doğrulama tek başına ya da mahremiyet ile beraber kullanılabilir. Ancak mahremiyet özelliği kimlik doğrulama olmadan aktif hale getirilemez.
- Zamanlama (Timeliness): Mesajların gecikmesine veya tekrarlama ataklarına karşı koruma sağlar. SNMP servisi, mesajın zaman damgası ile mesaj geliş süresini karşılaştırır.
- Anahtar Yönetimi (Key Management): Anahtar yaratılması, güncellenmesi ve kullanımını içerir. Sistem SNMP bildirimlerinin OID bazında filtrelenmesine izin verir. OID ler sistem özelliklerinin yönetilmesi için kullanılır.
Erişim kontrolü için, SNMPv3 mimarisi, görünüm temelli erişim kontrol modeli (View-based Access Control Model (VACM)) kullanır. VACM önceki sürümlere göre daha kararlı bir mahremiyet ve kimlik doğrulama mekanizması sağlar ve kullanıcıların daha esnek erişim yapılandırmalarını destekler.
Angora Networks SNMP kullanımında v3 ile çalışılmasını önerir
SNMP akışı
SNMP v1 ve v2 akışı:
Eğer SNMP v1 veya v2 kullanmaya karar verirseniz, bir topluluk adı belirlemek için Add community özelliğini kullanabilirsiniz. Her topluluk için sadece okuma veya okuma-yazma haklarını verebilirsiniz. İlave olarak, her topluluk için daha kısıtlı bir MIB grubuna erişimini sağlayabilirsiniz.
SNMPv3 akışı:
SNMPv3 kullanımında, kullanıcılar gruplar halinde organize edilir, ve bir gruba dahil olmadıkça kullanışsızdırlar. Grup mantıksal bir etiket sağlar. Gruplar kullanıcı veya topluluk ile bağlantılandığında kullanılır hale gelir. Grup ayrıca kendine bağlı üyelerin okuma, yazma ve uyarma haklarını tanımlar. SNMPv3 kullanmaya karar verirseniz, aşağıdaki eylemler almanız önerilir.
1. Kullanıcı ve erişim modelini tanımlayın.
2. SNMP v1 topluluklarını bir güvenlik adıyla eşleştirin.
3. Grup yaratın
4. Grup yetkisinin sınırlandırılacağı görününümü (view) tanımlayın.
5. Grup için bir erişim politikası yaratın.
Tuzak (Traps) ve bildirim (notifications) yönetimi
Sistem kayıtlı SNMP alıcılarına tuzak ve bildirim gönderme yeteneğine sahiptir. Yapılandırma için:
1. Send notifications kutularını işaretleyin.
2. Configure notification hosts butonuna tıklayarak bu uyarıları alacak cihazları tanımlayın.
SNMP Engine ID
KARINCA değiştirilemeyen bir SNMP Engine ID kullanmaktadır. Engine ID SNMPv3 konuşmalarında cihazın tekilliğini sağlamak için kullanılır. Dolayısıyla bir ağ içinde her cihaz için eşşiz olmalıdır.
Engine ID bilgisini görmek için , şasiyi seçin ve SNMP sekmesine tıklayın. . Engine ID aşağıdaki resimde işaretlenmiştir.
SNMP yerel Engine ID bilgisi
Bildirim ve tuzak ayarları
SNMP başlışındaki Send notifications seçimi, size hangi SNMP bildirimleri göndereceğinizi seçme imkanı verir. Bu bildidimlerin nereye gönderileceğini yapılandımak için SNMP Notification Hosts butonuna tıklanmalıdır.
SNMP bildirim gönderme seçenekleri
Gönderilecek bildirimlerin belirtilmesi
1. Şasiye tıklayın ve SNMP sekmesini seçin.
2. Send notifications seçeneklerinden, alıcı cihazlara göndermek isteyeceğiniz bildirimleri seçin. Aşağıdaki bildirimler arasından seçim yapabilirsiniz:
- Sağlık(Health): Aşağıdaki olaylar bir sağlık bildirimini tetikler:
- Eşik değer üstündeki sistem sıcaklığı threshold (nctapNotifySysTemperature)
- Sistem gücü Açık/Kapalı (nctapNotifyPower)
- Fan Açık/Kapalı (nctapNotifyFan)
- SNMP: Aşağıdaki olaylar bir SNMP bildirimini tetikler:
- Sistem başlatılması (coldStart)
- Sistem yeniden başlatılması (warmStart)
- SNMP kimlik doğrulama hatası (authenticationFailure)
- Sistem(System): Aşağıdaki olaylar bir sistem bildirimini tetikler:
- Port açılma durumu (linkUp)
- Port kapanma durumu (linkDown)
- Veri akışı üst eşik değeri geçilmesi (nctapNotifyXSTrafficOver)
- Veri akışı alt eşik değerinin altına düşülmesi (nctapNotifyXSTrafficUnder
- Hatalı giriş isteği (ncUnauthorisedAccess)
3. Review/apply butonuyla değişiklikleri görün ve Apply changes butonuyla onaylayarak devreye alın.
Bildirim alıcılarını yapılandırma
1. Şasiye tıklayın ve SNMP sekmesini seçin.
2. Configure notification hosts butonuna tıklayın
3. Yeni bir cihaz eklemek için , Add new notification host seçeneğine, ya da düzenlemek için cihaz yanındaki düzenleme butonuna tıklayın. Add/Edit notification host penceresi gözükecektir.
4. Bildirim alacak cihazın detaylarını girin:
- Hedef(Destination): Bildirim alacak cihazın yerini şu şekilde yazın: {protocol}:]{host}[:{port}] Burada protocol udp veya udp6; host cihaz adı veya IPv4 veya IPv6 adresi; port ise cihaza erişilecek UDP port unu temsil eder.
- SNMP versiyonu: SNMP v1, v2c veya v3 den birini seçin
- Bildirim tipi (Notification type): Bildirimin tuzak (trap) olarak mı, ya da desteklendiği durumda bilgi (inform) olarak mı iletileceğini girin.
- Kimlik (Credentials): Yönetim için güvenlik kimliklerini girin. SNMPv1 ve v2c için topluluk kelimesini, SNMPv3 de ise tuzak için yerel kullanıcı adını, bilgi için uzak kullanıcıyı girin.
- Engine ID: Uzak kullanıcının engine ID bilgisini girin.
5. Add host butonuna tıklayarak yapılandırmayı sonlandırın.
6. Review/apply butonuyla değişiklikleri görün ve Apply changes butonuyla onaylayarak devreye alın.
SNMP bildirim cihazı ekleme/düzenleme
SNMPv1/v2 topluluklarının belirtilmesi
SNMPv1 ve v2c için erişim hakları topluluk isimleri tanımlanarak belirlenir. Bu işlem Configure communities penceresinden yapılır, ve Traditional access control butonuna tıklanarak erişilir. Topluluk adı, cihaz ile istemci yönetim istasyonu arasında bir ortak paroladır. Yönetim sisteminin kimlik doğrulaması için kullanılır.
Topluluklar sadece SNMPv1 ve v2 de kullanılır. SNMPv3 topluluk yerine kullanıcılar ile işlem yapar. Kullanıcılar, hakların tanımlandığı gruplara atanır.
SNMP v1 ve v2 için toplulukların tanımlanması
SNMPv1/v2 topluluk tanımlama
1. Şasiye tıklayın ve SNMP sekmesini seçin.
2. Traditional access control bölümünden, Configure communities butonuna tıklayın. SNMP Communities penceresi açılır.
3. Yeni topluluk tanımlamak için, Add new community butonuna tıklayın ya da düzenle butonuna tıklayarak mevcut toplulukları düzenleyin.
4. Topluluk bilgilerini düzenleyin:
- Topluluk kelimesi (Community string): Kullanıcıyı doğrulamak kullanılacak kelimeyi girin. Bu kelime büyük/küçük harf duyarlıdır ve en fazla 32 alfanümerik (boşluk hariç) karakterden oluşur. İlk karakter bir harf olmak zorundadır.
- IP versiyonu: IPv4 ve IPv6 erişim seçimi buradan yapılır.
- Kaynak(Source): Topluluk ile erişimi, kaynak adres, ağ maskesi ve cihaz adı tanımlayarak, belli kaynaklarla kısıtlayabiliriniz.
- Tip(Type): Topluluk ile sadece okuma veya okuma-yazma yapılması belirlenir.
- OID: Bu topluluk ile MIB ağacında belli OID lere erişim sağlanmasını seçebilirsiniz.
5. Add community butonuna tıklayarak, yapılandırmayı bitirin.
6. Review/apply butonuyla değişiklikleri görün ve Apply changes butonuyla onaylayarak devreye alın.
SNMP v1 ve v2 için topluluk ekleme ekranı
SNMP v3 yapılandırması
SNMPv3 kullanıcılarının, yönetimsel erişimlerinin tanımlanması için önerilen adımlar şöyledir:
1. Kullanıcıyı ve erişim modelini tanımlayın.
2. Varsa SNMP v1 ve 2c topluluklarını bir güvenlik adına eşleştirin.
3. Grupları yaratın
4. Grupların kısıtlamaları için görünümleri (view) tanımlayın.
5. Gruplar için erişim politikalarını tanımlayın.
SNMP kullanıcılarını tanımlama
Bir SNMP kullanıcısı, kullanıcı adı, parola ve erişim metodunun tanımlanması ile yaratılır. Kullanıcının belli bir erişim kapsamı olmalı ve bu kapsam sistem Engine ID ile tekilleştirilir.
Kullanıcı erişimi onaylandıktan sonra, grup özelliklerini alır ve grupla eşleşmiş görünüme göre yetkileri belirlenir. Gruplar, yöneticilerin kullanıcılara erişim hakları vermesi için kullanılır. Bir kullanıcı sadece bir grup üyesi olabilir.
SNMP Users sayfası (aşağıda gösterilmiştir), SNMPv3 kullanıcısının yartılması için kullanılır. SNMPv3 kullanıcısı, cihaz üzerindeli yerel veritabanında tutulur.
SNMP kullanıcısı penceresi
SNMP kullanıcısı tanımlama
1. Şasiye tıklayın ve SNMP sekmesini seçin.
2. View-based access control altında,Configure users seçeneğine tıklayın. SNMP Users penceresi açılacaktır.
3. Yeni kullanıcı tanımlamak için, Add new user butonuna, veya mevcut kullanıcıyı düzenlemek için düzenleme ikonuna tıklayın. Add/Edit new user penceresi açılacaktır.
4. Kullanıcı detaylarını girin veya düzenleyin.
- Kullanıcı Adı(User name): Kullanıcı için bir isim belirleyin. Specify a name for the user. İsim en fazla 32 alfanümerik (boşluk hariç) karakterden oluşur. İlk karakter bir harf olmak zorundadır.
- Motor(Engine): Kullanıcının yerel bir kullanıcımı olacağını yosa uzak kullanıcı mı olacağını seçin. Uzak kullanıcı seçilire, uzak Engine ID yi girin. Engine ID hex 10–64 rakam arasındadır.
- Kimlik Doğrulama(Authentication): Kimlik doğrulama mekanizmasının kullanılıp kullanılmayacağını, eğer kullanılacksa, MD5 veya SHA (daha güvenli) seçeneklerinden hangisinin kullanılacağını seçin. Eğer kimlik doğrulama aktifse, bir şifre kelimesi tanımlayın.Bu keime 8–64 ASCII kontrol harici karakterlerinden oluşmalıdır. Eğer kullanıcıyı düzenliyorsanız, mevcut şifre kelimesini kullanmak için bu alanı boş bırakın.
- Mahremiyet(Privacy): Kriptolamanın kullanılmasını seçebilirsiniz. DES veya daha güvenli olan AES den birini seçin. Eğer kriptolama aktifse, bir şifre kelimesi tanımlayın.Bu keime 8–64 ASCII kontrol harici karakterlerinden oluşmalıdır. Eğer kullanıcıyı düzenliyorsanız, mevcut şifre kelimesini kullanmak için bu alanı boş bırakın.
5. Add user butonuna basarak kullanıcı tanımlamayı bitirin.
6. Review/apply butonuyla değişiklikleri görün ve Apply changes butonuyla onaylayarak devreye alın.
SNMP kullanıcı ekleme penceresi
SNMP kullanıcılarını güvenlik adları ile eşleştirme
Hem SNMPv1/v2 ile bağlanacak noktalar hem de SNMPv3 kullanıcıları, bir güvenlik adı kullanılarak gruplara eklenir.
SNMP Communities (VACM) penceresinden,topluluk adının veya kullanıcı adının ve IP adresi veya ağ bloklarının bir güvenlik adına eşleşmesi sağlanır.
SNMP Toplulukları (VACM) penceresi
SNMP v1 ve v2 topluluklarının güvenlik adları ile eşleşmesi
1. Şasiye tıklayın ve SNMP sekmesini seçin.
2. View-based access control bağlığı altında, Configure communities butonuna tıklayın. . SNMP Toplulukları (VACM) penceresi açılacaktır.
3. Yeni kullanıcı eşleşmesi için, Add new community butonuna, veya varolan bir eşleşmeyi düzenlemek için, yanındaki düzenleme butonuna tıklayın. Add/Edit Community penceresi açılacaktır.
4. Topluluk eşleşmesi için bilgileri girin veya düzenleyin.
- Topluluk kelimesi (Community string): Topluluk kelimesini girin. Bu kelime büyük/küçük harf duyarlıdır ve en fazla 32 alfanümerik (boşluk hariç) karakterden oluşur. İlk karakter bir harf olmak zorundadır.
- IP versiyonu (IP version): IPv4 veya IPv6 arasında seçim yapın.
- Kaynak (Source): Bu topluluk için erişilebilecek kaynak adresleri sınırlayabilirsiniz. Burada tek bir adresi, bir ağ veya cihaz adı tanımlayabilirsiniz.
- Güvenlik Adı (Security name): Bir güvenlik adı tanımlayın. Bu güvenlik adı SNMPv3 de olduğu gibi daha sonra kullanıcıların gruplandırılması için kullanılır.
5. Add community butonuna basarak eşleşmeyi tamamlayın.
6. Review/apply butonuyla değişiklikleri görün ve Apply changes butonuyla onaylayarak devreye alın.
SNMP topluluk ekleme penceresi
SNMP grupları yaratma
SNMPv3, kullanıcıları gruplara atayarak, hangi olaylara erişim izni verileceğini ve kullanıcının hangi hareketleri yapabileceğini tanımlar. Grup mantıksal bir etikettir ve sadece bir kullanıcı veya topluluk ile ilişkilendirilirse çalışır. Ayrıca gruplarda tanımlanan özellikler ile, üyenin, okuma, yazma ve uyarma hakları da tanımlanır.
Arayüz üzerinden, SNMP Groups penceresi kullanılarak grup tanımı yapılabilir.
SNMP Grup penceresi
SNMP grup yaratılması
1. Şasiye tıklayın ve SNMP sekmesini seçin.
2. View-based access control altında, Configure groups butonuna tıklayın. SNMP Groups penceresi açılır.
3. Yeni grup tanımlamak için, Add new group butonuna ya da mevcut gruplarda değişiklik yapmak için, düzenle butonuna tıklayın. Add/Edit group member penceresi açılacaktır.
4. Grup detaylarını girin veya düzenleyin:
- Grup adı (Group name): Grup adı girin. Bu ad harf ile başlamalı ve en fazla 32 alfanümerik karakterden oluşmalıdır.
- Üye (Member): Grup içine eklenecek üyeyi belirtin. Her seferde bir kullanıcı eklenir. Kullanıcı yerel SNMP kullanıcısı veya güvenlik adı olabilir. Aynı üye farklı güvenlik modellerindeki farklı grupların içerisinde yer alabilir.
- Güvenlik Modeli (Security model): SNMPv1, SNMPv2c, veya SNMPv3 girin.
5. Add group butonuna tıklayarak sonlandırın.
6. Review/apply butonuyla değişiklikleri görün ve Apply changes butonuyla onaylayarak devreye alın.
SNMP grup üyesi ekle/düzenle penceresi
SNMP görünümlerinin tanımlama
SNMP görünümü, kullanıcı tarafından tanımlanmış, MIB ağacının erişilebilir alt ağaç aralığıdır. Her alt ağaç kimliği bir OID ile tanımlanmaktadır. En uç durumda du alt ağaç, en uçtaki yaprak olabilir. Her alt ağaç görünüm içine dahil edilir, ya da hariç tutulur.
Görüntüler SNMP Views penceresinden tanımlanır.
SNMP görünümleri penceresi
SNMP görünümü tanımlama
1. Şasiye tıklayın ve SNMP sekmesini seçin.
2. View-based access control altında, Configure views butonuna tıklayın. SNMP Views penceresi açılır.
3. Yeni görünüm için , Add new view butonuna, ya da mevcut bir görüntüyü değiştirmek için düzenleme butonuna tıklayın. Add/Edit view member penceresi açılır.
4. Add new view butonuna tıklayarak yeni görünüm penceresini açın.
5. Görünüm detaylarını girin veya güncelleyin.
- İsim(Name): Görünüm için bir isim girin. İsim 1-32 alfanümerik karakterden oluşur ve harf ile başlamak zorundadır.
- Görünüm Tipi (View type): Tüm OID lere mi, sadece belli bir OID nin altında kalanlara mı erişileceğini seçin.
- OID – Yönetim ağacında hangi noktadan sonra bu görünümün uygulanacağını seçin. Specify the position in the management tree below which this view applies.
- Maske(Mask): Sadece belli OID leri tanımlamak için kullanılır. Maske bir tabloda belli satırların tanımlanmasını sağlar. Böylece tablonun sutun indeksi göz ardı edilebilir. Örneğin sadece bazı portların bilgilerini almak için kullanabilirsiniz.
6. Add view butonuna basarak yapılandırmayı bitirin.
7. Review/apply butonuyla değişiklikleri görün ve Apply changes butonuyla onaylayarak devreye alın.
SNMP görünüm ekleme/düzenleme penceresi
Grup erişim politikalarını tanımlama
Grup erişim politikaları, grup bazında hakları ve bu gruğ için gereken minimum güvenlik modeli ve seviyesini tanımlar. Erişim seçenekleri şunlardır:
- Okuma(Read): Erişim sadece veri okuma ile sınırlı tutulur.
- Yazma(Write): Erişim okumanın yanına yönetimsel değişikliklere de izin verir.
- Bilgilendirme(Notify): Görünüm içindeki verilerin sadece gönderilebilmesine izin verir.
Grup erişim yetkileri SNMP Access Control List penceresinden tanımlanır.
SNMP erişim kontrol listesi penceresi
Grup politikası tanımlama
1. Şasiye tıklayın ve SNMP sekmesini seçin.
2. View-based access control altına, Configure access control list butonuna tıklayın. SNMP Access Control List penceresi açılır.
3. Yeni politika tanımlamak için, Add new access butonuna, ya da mevcut bir politikayı düzenlemek için düzenle butonuna tıklayın. Add/Edit access penceresi açılır.
4. Grup politikası için detayları girin:
- Grup adı(Group name): Tanımlayıcı bir ad girin.
- Güvenlik Modeli(Security model): Güvenlik modelini belirtin. (SNMPv1, SNMPv2c, SNMPv3). Erişim sadece doğru model ile gelen isteklere sağlanır
- Güvenlik seviyesi(Security level): Gğvenlik seviyesini belirtin. Uygun seviyede gelen istekler işlencektir. Sıralama: Yok(None) (en düşük), Kimlik Doğrulama(Authentication only), Kimlik Doğrulama ve Mahremiyet (Authentication + Privacy) (en yüksek).
- Okuma (Read view): İsteklerin eşleşeceği okuma tipi görüntüyü seçin. Eğer erişim sağlanmayacaksa, ‘None’ tipi bir görüntü seçin ve erişimi engelleyin
- Yazma(Write view): İsteklerin eşleşeceği yazma tipi görüntüyü seçin. Eğer erişim sağlanmayacaksa, ‘None’ tipi bir görüntü seçin ve erişimi engelleyin
- Bilgi(Notify view): İsteklerin eşleşeceği bilgi tipi görüntüyü seçin. Eğer erişim sağlanmayacaksa, ‘None’ tipi bir görüntü seçin ve erişimi engelleyin
5. Add view butonuna basarak tamamlayın.
6. Review/apply butonuyla değişiklikleri görün ve Apply changes butonuyla onaylayarak devreye alın.
Leave A Comment?