SNMP

Dieser Artikel enthält Folgendes:

Der CS141 unterstützt SNMP v2 sowie SNMP v3

Trap-Empfänger einrichten

Konfiguration von SNMP v3

SNMP v3:Die Security Level

TRAP-Empfänger konfigurieren, die mit SNMP v3 arbeiten

Trap-Empfänger-Test

Für diesen Schritt navigieren Sie zu folgendem Menü:

Das Simple Network Management Protocol ist ein Netzwerkprotokoll, das von der IETF entwickelt wurde, um Netzwerkelemente von einer zentralen Station aus überwachen und steuern zu können. Das Protokoll regelt dabei die Kommunikation zwischen den überwachten Geräten und der Überwachungsstation. SNMP beschreibt den Aufbau der Datenpakete, die gesendet werden können, und den Kommunikationsablauf. 

Der CS141 kann vollständig in ein Netzwerk mit SNMP-Überwachung integriert werden. Der integrierte SNMP-Agent regelt sowohl das Empfangen als auch das Senden entsprechender Anfragen.

Hinweis:

SNMP V1.0 wird vom CS141 offiziell nicht unterstützt. GENEREX empfiehlt ausschließlich den Gebrauch ab Version 2.0. Da V1.0 aber in großen Bestandteilen von V2.0 enthalten ist, wird der CS141 auf SNMP-V1 Anfragen antworten, jedoch erfolgt die Verwendung von V1.0 außerhalb des offiziellen Supports.

Der CS141 unterstützt SNMP v2 sowie SNMP v3

Der Unterschied besteht darin, dass SNMP v2 auf der autorisierten IP-Adresse basiert, während SNMP v3 mit direkten Benutzerberechtigungen unter Verwendung eines Benutzernamens und Passworts arbeitet.

Konfiguration von SNMP V2:

Die Übersicht zeigt alle konfigurierten Communities:

Um neue SNMP-Berechtigungen zu konfigurieren, klicken Sie auf +

IP-Adresse

Geben Sie unter IP-Adresse die IP-Adresse des autorisierten Computers ein, um den Zugriff auf das CS141-Gerät über SNMP v2 zu ermöglichen. Dabei definiert der Name der Community die Berechtigungsgruppe.

Berechtigung 

Definiert die Berechtigungen während des Zugriffs:

Nur lesen                        Geräte, die in dieser Berechtigungsgruppe arbeiten, haben nur Leseberechtigungen

Lesen/Schreiben             Geräte, die in dieser Berechtigungsgruppe arbeiten, können Datenpakete lesen und                                                  schreiben/löschen.

Trap-Empfänger einrichten

Wozu dienen SNMP-Traps?

Im Prinzip kann ein Agent, der ein System überwacht, bei Bedarf ein unaufgefordertes Trap-Paket an seine Verwaltungsstation senden. Unter anderem wird der Status des überwachten Geräts kommuniziert. Andererseits kann der Agent Serviceanfragen von seinem Manager empfangen und verarbeiten. Standardmäßig sind zwei Ports erforderlich:

Port 161      Wird vom Agenten auf dem Gerät benötigt, um die Anfragen zu empfangen

Port 162      Wird von der Management Station benötigt, um Nachrichten zu empfangen

Wenn diese Ports blockiert sind, funktioniert die Kommunikation nicht. 

Konfiguration von Trap-Empfängern auf dem CS141

Der Vorteil der Trap-Nachrichten ist, dass der CS141 automatisch über Änderungen in der USV informieren kann.

Um einen neuen Trap-Empfänger hinzuzufügen, klicken Sie auf +, 

Da Trap-Nachrichten ausschließlich gesendet werden, um über Statusänderungen zu informieren, sind keine Lese-/Schreibberechtigungen erforderlich.

Geben Sie die IP-Adresse des Empfängers sowie eine gültige Community ein.

Mit der Schaltfläche Speichern übernimmt der CS141 die Einstellungen und der SNMP-Agent wird neu gestartet. Der CS141 muss nicht neu gestartet werden.

Trap-Empfänger-Test

Die neu eingerichteten Trap-Empfänger können dann getestet werden:

Für einen SMNP-Test stellt jedes Gerät der CS141-Produktfamilie ein praktisches Testwerkzeug zur Verfügung, um zu überprüfen, ob der Trap-Empfänger online und verfügbar ist: Wählen Sie einfach einen Trap aus der Liste der verfügbaren Traps aus und klicken Sie auf die Testtaste.

Ihr Empfänger sollte zuerst den Trap anzeigen und dann aus der Liste der aktiven Systemereignisse entfernen.

Hinweis:

Trap-Nachrichten sind automatisch generierte Nachrichten, die keine Bestätigung anfordern - ein Gerät, das Trap-Nachrichten sendet, weiß im Allgemeinen nicht, ob die Nachrichten angekommen sind. Folglich wird es nicht möglich sein, Informationen über den Empfang zu protokollieren.

Konfiguration von SNMP v3

Die Übersicht zeigt alle konfigurierten Benutzer:

Da SNMP v3 auf Benutzerbasis arbeitet, können Sie hier keine Benutzergruppen anlegen Klicken Sie auf das +, um einen neuen Benutzer zu konfigurieren:

Benutzer

SNMP v3 verzichtet auf die Möglichkeit, autorisierte IP-Adressen und Benutzergruppen einzurichten. Administratoren müssen einen lokalen Benutzer im CS141-Gerät hinzufügen.

Erlaubnis

Standardmäßig erhält jeder Benutzer die Berechtigung für beides - Lesen und Schreiben. In einigen Fällen kann dies von Administratoren nicht erlaubt sein. Um zu verhindern, dass SNMP-Benutzer Daten schreiben, aktivieren Sie die Option Nur lesen

SNMP v3: Die Security Level

Authentifizierung

Definiert die Sicherheitsstufe und die Passwortkontrolle zum Zugriff auf das CS141-Gerät über SNMP v3:

No security                                             Kein Passwort benötigt

Authenticities                                         Ein Passwort wird abgefragt.

Authentication and Privacy                   Die Verbindung wird zusätzlich verschlüsselt, zwei Passworte werden                                                                         benötigt.

Passwort für den Datenzugriff auf Benutzerebene                  

Maximale Passwortlänge: 16 Zeichen

Privacy Enhanced: Verschlüsselter Datenverkehr

Maximale Passwortlänge: 16 Zeichen

MD5 – Message-Digest-Algorithmus

Mit diesem Verfahren wird aus einer Nachricht (z.B. einem Passwort) ein 128-Bit-Hashwert erzeugt, mit dem die Übertragung relativ einfach auf Richtigkeit überprüft werden kann. Der Vorteil ist die geringe Rechenleistung, die für den Prozess erforderlich ist.

SHA – Secure Hash Algorithm

Grundsätzlich macht es dasselbe, ist jedoch etwas flexibler und funktioniert anders. Dieses Verfahren bezieht sich auf eine Gruppe von standardisierten kryptologischen Hash-Funktionen, die einen Hash-Wert berechnen, der nicht zurückverfolgt werden kann.

Welche der beiden Methoden Sie zur Authentifizierung auswählen müssen, hängt von den Vorgaben des jeweiligen Netzwerkbetreibers ab.

Datenschutzoptionen

Neben der Authentifizierung können Sie die Datenübertragung über die Datenschutzoptionen verschlüsseln:

DES – Data Encryption Standard

DES ist ein sehr weit verbreiteter Standard, der einen symmetrischen Verschlüsselungsalgorithmus verwendet. Ein identischer Schlüssel wird sowohl für die Verschlüsselung als auch für die Entschlüsselung verwendet.

AES – Advanced Encryption Standard

AES ist ebenfalls weit verbreitet und gehört zu den symmetrischen Verschlüsselungsmethoden. Als Nachfolger von DES hat es den Vorteil, flexibler zu sein und dass der Hash-Wert nicht zurückverfolgt werden kann. Da jedoch unterschiedliche Algorithmen verwendet werden, ist es nicht möglich, mit AES verschlüsselte DES-Daten zu entschlüsseln.

Welche Methoden sollte ich einstellen?

Die jeweiligen Methoden der Verschlüsselung unterscheiden sich grundlegend und nicht kompatibel zueinander. Da alle Methoden mit ihren Konzepten zum derzeitigen Stand der Technik weitgehend als „sicher“ gelten, ist bei der Einstellung die Vorgaben durch den jeweiligen Netzwerk betreiber zu beachten, in dem Sie den CS141 integrieren möchten. Folgende Kombinationen sind möglich:

• MD5 / DES
• MD5 / AES
• SHA / DES
• SHA / AES

Sie erhalten die erforderlichen Zugangsdaten von dem verantwortlichen Netzwerkbetreuer / Administrator.

Hinweis:

Bitte beachten Sie, dass neben den korrekten Zugangsdaten auch der Verschlüsselungstyp identisch sein muss, andernfalls wird keine Verbindung hergestellt.

TRAP-Empfänger konfigurieren, die mit SNMP v3 arbeiten

Um einen Trap-Empfänger, der mit SNMP v3 arbeitet, einzurichten, müssen Sie einen geeigneten Benutzer erstellen. Dieser Benutzer kann dann als Trap-Empfänger in SNMP v3 ausgewählt werden.

Die SNMP v3 Engine ID

Die Engine ID wird von SNMPv3-Agenten verwendet, um ein Gerät eindeutig zu identifizieren. Der CS141 verwendet standardmäßig seine eigene MAC-Adresse mit dem Präfix 80.00.1F.88.03.[XXX].

Die MAC-Adresse finden Sie übersichtlich unter System>About:

Die Engine ID für diesen CS141 würde also lauten: 

 80.00.1F.88.03.00.30.D6.16.BB.D4

Trap-Empfänger-Test

Nachdem die Konfiguration abgeschlossen ist, verwenden Sie die Testfunktion, um den SNMP v3 Trap-Empfänger zu testen:
Wählen Sie dazu einfach den gewünschten Trap aus und drücken Sie die Testtaste.

Die Testnachricht sollte nach Drücken der Testtaste sofort im entsprechenden empfangenden System angezeigt werden.

Hinweis:

Wie bei SNMP v2 sind die Trap-Nachrichten automatisch generierte Nachrichten, die keine Bestätigung anfordern - ein Gerät, das Trap-Nachrichten sendet, weiß im Allgemeinen nicht, ob die Nachrichten angekommen sind. Folglich wird es nicht möglich sein, Informationen über einen Empfang zu protokollieren.

SNMP MIB File

Eine MIB (Management Information Base) ist im Grunde genommen ein Katalog oder ein Verzeichnis, das alle Informationen enthält, die über ein Netzwerkgerät mittels SNMP abgefragt werden können. Diese Informationen werden von Managementsystemen benötigt, und sobald spezielle Anpassungen und Erweiterungen für ein Gerät durchgeführt wurden, ist es ratsam, die MIB beim jeweiligen Gerätehersteller anzufragen.

Den aktuellen MIB-File für GENEREX-Produkte finden sie wahlweise unter www.generex.de im Downloadbereich, oder aber für die jeweilige Firmware zugeschnitten unter Services >SNMP Agent direkt bei der Auswahl der SNMP-Version. Eine Übersicht verfügbarer OID’s ist zudem im Anhang in des CS141 Handbuchs zu finden.