Basit Ağ Yönetim Protokolü (SNMP)

[Nizam-ı Alem]

Metin2 EP, Valorant VP dahil tüm oyun ürünlerini en uygun fiyatlarla bulabilir, Item ve Karakterlerinizi hızlıca satabilirsiniz. HEMEN TIKLA!

Bu konumda sizlere , Basit Ağ Yönetim Protokolü (SNMP) üzerine anlatım yapmaya çalışıcam. En yaygın olarak uygulanan ağ protokollerinden biridir ve özellikle CCNA veya CCNP gibi bir sınava hazırlanıyorsanız, herhangi bir ağ mühendisi için mutlaka bilinmesi gereken bir konudur.
​

SNMP'ye neden ihtiyacımız var?​

SNMP'nin nasıl ortaya çıktığını ve neden gerekli olduğunu anlamak için 1970'lere ve 1980'lere geri dönmeliyiz. O zamanlar, çoğu kurumsal ağ, cihaz bazında CLI kullanılarak manuel olarak yönetiliyor ve izleniyordu. Merkezi bir ağ izleme sistemi (NMS) yoktu. Cihazlardan veri toplama olmadığı için geçmiş sorunları ve olayları gidermek ve analiz etmek neredeyse imkansızdı. Ağ karanlıktaydı. Tipik olarak, ağ ekibi, aşağıdaki diyagramda gösterildiği gibi, halihazırda etkilenen kullanıcılar aracılığıyla devam eden bir ağ sorunu olduğunu anlıyordu.

Ancak, 1980'lerin sonlarında ağlar daha büyük ve iş açısından daha kritik hale geldi. Ağ yöneticileri, merkezi bir izleme sistemi olmadan ağın sağlığını korumakta önemli zorluklarla karşılaştılar. Yöneticilerin tek başına ağı 7/24 izleyip sorunları tespit edemeyeceği açıkça ortaya çıktı. Bir yerde bir yönlendiricide bir arayüzün devre dışı kaldığını ve bir izleme sisteminizin olmadığını düşünün. Kullanıcıların bildirdiği bir kesintiye neden olursa veya şans eseri o yönlendiriciye giriş yapıp arayüz durumunu kontrol ederseniz, arayüzün devre dışı olduğunu göreceksiniz.

İşte o zaman merkezi bir ağ izleme sistemine duyulan ihtiyaç belirginleşti. Ağ ekiplerinin, aşağıdaki şemada gösterildiği gibi, ağ istatistiklerini toplayabilen, cihaz durumunu izleyebilen ve yöneticileri devam eden sorunlar hakkında bilgilendirebilen bir sisteme ihtiyacı vardı. Ancak, o zamanlar (1970'ler-1980'ler) ağ cihazlarından veri toplamak, yönetmek ve izlemek için standart bir protokol yoktu.

Her üretici, cihazlarını yönetmek için genellikle tescilli protokoller kullanıyordu; bu da farklı satıcıların ekipmanları arasında birlikte çalışabilirliği zorlaştırıyordu. İnternet Mühendisliği Görev Gücü (IETF), çok çeşitli cihazları tutarlı bir şekilde yönetebilecek ve izleyebilecek basit, standartlaştırılmış bir protokole duyulan ihtiyacı fark etti. IETF'nin İnternet Faaliyetleri Kurulu (IAB), 1987'de SNMP'nin geliştirilmesini başlattı. Amaç, cihazlardan operasyonel verileri toplayabilen, depolayabilen ve değiştirebilen standart bir protokol oluşturmaktı.
​

SNMP'nin Geliştirilmesi​

SNMP sürüm 1, 1988'de RFC 1067 olarak resmi olarak yayınlandı. Başlangıçta geçici bir çözüm olarak tasarlanmış olsa da, basitliği ve etkinliği yaygın olarak benimsenmesine yol açtı. SNMPv1'in başarısından sonra, daha sonraki sürümler geliştirildi:

SNMPv2 (1993): Daha iyi performans ve ek özellikler getirdi, ancak güvenlik ve uygulama karmaşıklığı sorunlarıyla karşılaştı.

SNMPv3 (1998): Güvenliğe odaklandı, kimlik doğrulama, şifreleme ve erişim kontrolü ekledi.
Eski bir protokol olmasına rağmen, uyarlanabilirliği ve her türlü cihazda (yönlendiriciler, anahtarlar, bilgisayarlar, yazıcılar, kablosuz erişim noktaları vb.) kullanım kolaylığı sayesinde günümüzde ağ izleme için temel bir araç olmaya devam etmektedir.
​

SNMP nedir?​

SNMP, aşağıdaki şemada gösterildiği gibi, cihazları izlemek ve yönetmek için istek-yanıt mekanizmasını kullanan bir uygulama katmanı protokolüdür.

Bu, bir yönetici ve ajanlar arasındaki iletişim için mesaj formatını tanımlar. SNMP yöneticisi, bir sunucuda çalışan ve yönetilen cihazlardan bilgi toplamak için SNMP kullanan bir uygulamadır. Yöneticiye genellikle Ağ Yönetim İstasyonu (NMS) denir.

Ağdaki her yönetilen cihazın işletim sistemine gömülü bir SNMP ajanı vardır. Ajan, cihazın yapılandırması, durumu ve sayaçları hakkında bilgi içerir.
​

SNMP'nin ardındaki fikir​

SNMP'nin ardındaki fikir, bilgisayar, yönlendirici, anahtar, güvenlik duvarı, yazıcı, erişim noktası vb. gibi ağa bağlı tüm cihazların aynı özelliklere sahip olmasıdır. Hepsinin CPU, RAM, disk, işletim sistemi, arayüzler, tamponlar, ana bilgisayar adı, IP adresleri, sıcaklık sensörleri vb. özellikleri vardır. Bu nedenle, her cihaz özelliği bir değişken olarak temsil edilebiliyorsa, bir uygulama bu değişkenleri okuyarak ve değiştirerek cihazı izleyebilir ve yönetebilir. İşte protokol de bunu yapar; aşağıdaki şemada gösterildiği gibi, her cihazın özelliğini bir OID (Nesne Tanımlayıcısı) ile tanımlanan bir nesne olarak temsil eder.

Ardından, OID'leri hiyerarşik olarak Yönetim Bilgi Tabanı (MIB) adı verilen yapılandırılmış bir veritabanına düzenler. Daha sonra, OID'ler ve MIB'yi daha ayrıntılı olarak ele alacağız.
​

SNMP Bileşenleri​

Aşağıdaki şemada gösterildiği gibi, SNMP tarafından yönetilen bir ağ üç ana bileşenden oluşur: bir SNMP yöneticisi, SNMP aracıları ve bir Yönetim Bilgi Tabanı (MIB).

SNMP yöneticisi, ağ yöneticisi ile yönetim sistemi arasında arayüz görevi görür. Ayrıca Ağ Yönetim İstasyonu (NMS) olarak da adlandırılır. SNMP sorgu mesajlarını kullanarak cihazlardan operasyonel verileri toplar.

SNMP ajanı, yönetilen cihazın işletim sistemine (OS) yüklenen bir yazılım modülüdür. Cihazın MIB veritabanında bilgileri saklar ve SNMP yöneticisinin orada depolanan değerleri okumasına ve yazmasına olanak tanır.

Yönetim Bilgi Tabanı (MIB), yönetilebilen cihazın değişkenlerinin (OID'ler) veritabanıdır. Tipik olarak, bir MIB cihaza özgüdür.
​

SNMP nasıl çalışır?​

Şimdi, protokolün nasıl çalıştığını gerçekten anlamak için, MIB veritabanına ve OID'lere daha ayrıntılı olarak bakalım.
​

MIB Hiyerarşisi​

Her SNMP ajanı (teknik olarak her yönetilen cihaz), ajanın okuyup yazabileceği değişkenleri tanımlayan kendi Yönetim Bilgi Tabanına (MIB) sahiptir. Cihazın MIB'sinde bulunan her bir değişkene Nesne denir ve bir Nesne Tanımlayıcısı (OID) ile tanımlanır.

MIB yapısı, aşağıdaki şemada gösterildiği gibi, her düğümün bir ad veya numara ile tanımlandığı bir ağaç hiyerarşisi olarak düzenlenmiştir.

MIB ağacının ilk birkaç dalı, örneğin iso.org.dod.internet.mgmt, her zaman aynıdır çünkü ISO tarafından tanımlanan standartlaştırılmış bir hiyerarşiyi takip ederler. Bu yapı, farklı sistemler ve satıcılar arasında nesneleri düzenlemek için tutarlı, küresel olarak tanınan bir çerçeve sağlar. iso (1) ile başlayan ağaç, kuruluşları temsil eden org (3) ve ardından internet standartlarını ilk olarak yöneten (1980'ler-1990'larda) Savunma Bakanlığı için dod (6) dallarına ayrılır. Oradan, internet (1), yönetilen nesneler için mgmt (2) ve satıcıya özgü nesneler için private (4) gibi alanlara ayrılır. Bu standartlaştırılmış organizasyon, tüm MIB uygulamalarında birlikte çalışabilirlik ve tekdüzelik sağlar.

Değişken adlarının ve numaralarının karmaşıklığı nedeniyle MIB'lerle doğrudan çalışmak zor olabilir. Cisco Prime, PRTG, Solarwinds vb. gibi NMS araçları, ayrıntılı MIB yapılarını gizleyerek bu süreci basitleştirir. Ağ yöneticilerinin genellikle yönettikleri cihazların MIB yapısını bilmelerine gerek yoktur. Bununla birlikte, özellikle CCNA/CCNP/CCIE sınavına hazırlanıyorsanız, MIB yapısı ve nasıl çalıştığı hakkında genel bir anlayışa sahip olmak faydalıdır.

Dikkat edin, isim gösterimi insanlar için tasarlanmıştır. Makineler sayı gösterimi kullanır. Örneğin, yönetici bir arayüzün MAC adresini sorgulamak istiyorsa, yukarıdaki diyagramda sarı renkle vurgulanan aşağıdaki OID'yi kullanacaktır:

R1# snmp get v2c 10.1.1.3 public oid 1.3.6.1.2.1.2.2.1.6.1
SNMP Response: reqid 44, errstat 0, erridx 0
 ifPhysAddress.1 = AA BB CC 00 20 00

OID'deki son rakamın arayüz numarası olduğuna dikkat edin. Cihazın dört arayüzü varsa, ikincisinin MAC adresi 1.3.6.1.2.1.2.2.1.6.2 OID'sinde, üçüncüsünün 1.3.6.1.2.1.2.2.1.6.3'te ve dördüncüsünün 1.3.6.1.2.1.2.2.1.6.4'te bulunabilir. 1. indeks altındaki arayüzün hangisi olduğunu kontrol etmek istiyorsak, aşağıdaki komutu kullanabiliriz:

R1# snmp get v2c 10.1.1.3 public oid 1.3.6.1.2.1.2.2.1.2.1
SNMP Response: reqid 48, errstat 0, erridx 0
 ifDescr.1 = Ethernet0/0

Dolayısıyla, SNMP kullanarak R2(10.1.1.3)'ün Ethernet0/0 arayüzünün MAC adresinin aabb.cc00.2000 olduğunu anladık. Nitekim, bunu aşağıdaki gibi CLI kullanarak da doğrulayabiliriz:

R2# show interface Eth0/0 | in address
  Hardware is AmdP2, address is aabb.cc00.2000 (bia aabb.cc00.2000)
  Internet address is 10.1.1.3/24

SNMP mesajları​

SNMP, istek-yanıt protokolüdür. Ağ yönetim sistemi (NMS) bir istek gönderir ve uzak cihaz bir yanıt döndürür. Bununla birlikte, bir nesnenin durumu zaman içinde değişebileceğinden (örneğin, bir arayüz şu anda çalışır durumda olabilir ancak 5 dakika sonra çalışmaz durumda olabilir), NMS, güncellenmiş bilgileri almak için cihazı birkaç dakikada bir sorgular. Bu, aşağıdaki diyagramda gösterildiği gibi, yoklama aralığı olarak adlandırılır.

Bu istek-yanıt iletişimi üç mesaj kategorisi kullanır: Get, Set ve Trap. Mesajlar bir başlık ve bir PDU (protokol veri birimi) içerir. Başlıklar, kimlik doğrulaması olarak kullanılan topluluk dizesinden oluşur (daha sonra ayrıntılı olarak ele alınacaktır). PDU, gönderilen mesajın türüne bağlıdır, ancak tipik olarak istenen bilgileri içerir.
​

Get mesajları​

SNMP yöneticisi (NMS olarak adlandırılır), SNMP ajanından OID (Nesne Tanımlayıcısı) ile tanımlanan belirli bir yönetilen nesnenin değerini almak için SNMP Get mesajlarını kullanır. Aşağıdaki diyagram, sürecin görsel bir örneğini sunmaktadır.

Her bir GET mesajının işlevini inceleyelim ve tipik olarak ne zaman kullanıldığını görelim. SNMP mesajlarını ayrıntılı olarak bilmenize ve hatırlamanıza gerek olmadığını unutmayın. Ağ İzleme Sistemi (NMS), cihazlardan veri almak için bu mesajları kullanır; genellikle sizin bir şey yapmanız gerekmez. Bununla birlikte, CCNA/CCNP/CCIE sınavlarında ilgili SNMP sorularıyla karşılaşabilirsiniz, bu nedenle bunları genel düzeyde bilmek faydalıdır.
​

SNMP GET:​

GET mesajı, belirli bir OID değerini alır. NMS, tam OID'yi belirtir ve ajan, bu OID ile ilişkili değerle yanıt verir. Örneğin, NMS Ge0/1 arayüzünün durumunu istiyorsa, ilgili OID'yi kullanır ve ajanın yanıtı arayüz durumunu içerir.
​

SNMP GetNext:​

GetNext mesajı, MIB veritabanındaki bir sonraki OID'nin değerini alır. NMS, belirli bir OID sağlar ve ajan, MIB ağacındaki bir sonraki nesnenin OID'sini ve değerini döndürür. Ağ yönetim sistemi (NMS) bir sonraki nesnenin tam OID'sini bilmediğinde, bir liste veya tablodaki öğeleri tek tek incelemek için kullanılır.
​

SNMP GetBulk:​

GetBulk mesajı, tek bir istekte birden fazla OID alır ve büyük miktarda veri toplamak için gereken sorgu sayısını azaltır. Örneğin, NMS bunu aynı anda birkaç ağ arayüzü hakkında bilgi almak için kullanır; bu da büyük tablolar veya listeler için birden fazla GetNext isteğinden daha verimlidir.
​

Özetle:​

SNMP Get: Tek, belirli bir OID alır.

SNMP GetNext: MIB ağacındaki bir sonraki OID'yi alır.

SNMP GetBulk: Verimli toplu veri toplama için tek bir istekte birden fazla nesne alır.
​

Set mesajları​

SNMP set mesajları, bir ağ yönetim sistemi (NMS) tarafından yönetilen bir cihazdaki değerleri değiştirmek veya yapılandırmak için kullanılır; örneğin, bir arayüzün durumunu değiştirmek veya cihaz ayarlarını güncellemek gibi. Bu mesajlar, istenen Nesne Tanımlayıcısını (OID) ve cihaza uygulanacak yeni değeri içerir. Cihaz isteği işler ve başarılı olursa, yapılandırmayı veya durumu buna göre günceller ve onay için NMS'ye bir yanıt gönderir.

SNMP ayar mesajlarının, yalnızca yetkili kullanıcıların bir cihazın yapılandırmasını değiştirebilmesini sağlamak için kimlik doğrulama ve okuma-yazma erişimi gerektirdiğini unutmayın. Kimlik doğrulama mekanizması, kullanılan SNMP sürümüne bağlıdır:

SNMPv1 ve SNMPv2: Kimlik doğrulama için basit bir parola olarak bir topluluk dizesi kullanır. Topluluk dizesi, cihazın yapılandırılmış dizesiyle eşleşirse, istek kabul edilir.

SNMPv3: Kullanıcı adlarıyla kimlik doğrulama ve isteğe bağlı şifreleme de dahil olmak üzere daha sağlam güvenlik sağlar ve mesajların gizliliğini ve bütünlüğünü garanti eder.
SNMP toplulukları hakkında daha fazla bilgi için dersin yapılandırma bölümüne bakın.
​

Tuzak Mesajları​

SNMP'nin sınırlamalarından biri, istek-yanıt yapısıdır. Bu, bir cihazın yalnızca NMS'den bir sorgu yapıldığında çalışma durumunu bildirdiği anlamına gelir. Bu, bir arayüzün devre dışı kalması gibi ağ yöneticilerinin dikkatini gerektiren bir olay olduğunda verimli değildir. Bu nedenle protokol, SNMP Tuzakları adı verilen gerçek zamanlı bildirimler uygular.

SNMP tuzağı, bir SNMP aracısı (bir cihaz) tarafından bir SNMP yöneticisine (Ağ Yönetim Sistemi) gönderilen, yönetilen cihazdaki belirli olayları veya koşulları bildirmek için kullanılan, istenmeyen bir mesajdır. Tipik istek-yanıt akışının aksine, tuzaklar, aşağıdaki şemada gösterildiği gibi, aracı tarafından başlatılan tek yönlü iletişimlerdir.

SNMP Tuzakları, donanım arızaları veya eşik ihlalleri gibi sorunları gerçek zamanlı olarak belirlemeye yardımcı olur. Örneğin, bir arayüz devre dışı kalırsa, ağ cihazları hemen NMS'ye bir SNMP tuzağı gönderir. Ağ yöneticisi, sorunun büyümesini veya kesintiyi önlemek için hemen harekete geçer.
​

Cisco Cihazlarında SNMP Yapılandırması​

Şimdi biraz daha pratik olalım ve Cisco cihazlarında temel SNMP işlevlerini nasıl yapılandırdığımızı gösterelim.
​

Cisco Yönlendiricisinde SNMP Etkinleştirme​

Cisco yönlendiricisinde SNMP'yi etkinleştirmek, aşağıdaki çıktıda gösterildiği gibi genel yapılandırma modunda bir veya iki komut eklemek kadar basittir.
​

Router(config)# snmp-server community [community-string] [permissions]​

Sadece topluluğu ve izin düzeyini belirtmemiz gerekiyor.
​

SNMP topluluğu nedir?​

SNMP topluluğu, SNMP özellikli bir cihaza erişimi kontrol etmek için kullanılan parola benzeri bir dizedir. SNMP işlemleri için temel bir kimlik doğrulama biçimi görevi görür ve bir kullanıcının veya ağ yönetim sisteminin (NMS) cihaza hangi erişim düzeyine sahip olduğunu belirler. Genellikle iki tür topluluk dizesi vardır:

Salt Okuma (RO): Bu topluluk, SNMP yöneticisinin cihazdan yalnızca veri almasına (örneğin performans ölçümlerini veya yapılandırmaları kontrol etmesine) izin verir, ancak herhangi bir ayarı değiştiremez.

Okuma-Yazma (RW):Bu topluluk, SNMP yöneticisinin cihazdan veri almasına ve yapılandırmasını veya ayarlarını değiştirmesine izin verir.

Topluluk dizeleri, SNMP işlemleri için basit kimlik doğrulama anahtarları görevi görür. Ağ üzerinden açık metin olarak gönderilirler; bu da daha yüksek güvenlik gerektiren ortamlarda bir güvenlik endişesidir. Daha güvenli kurulumlarda, şifrelemeyi ve daha güçlü kimlik doğrulama mekanizmalarını desteklediği için genellikle SNMPv3 tercih edilir.

Aşağıdaki örnekler, salt okunur ve okuma-yazma topluluklarının nasıl yapılandırılacağını göstermektedir.
​

Router(config)# snmp-server community MyPublicCommunity ro​

Router(config)# snmp-server community MyPrivateCommunity rw​

Bu iki komut, cihazda SNMP işlevini etkinleştirmek ve onu ağı izleyen ve yöneten NMS sisteminize eklemek için yeterlidir.
​

SNMP Tuzaklarını Etkinleştir (İsteğe Bağlı)​

Gerçek dünya uygulamalarında, cihazda bir olay meydana geldiğinde NMS'yi anında bilgilendiren SNMP tuzak işlevini de etkinleştirmek isteriz. Bunu aşağıdaki komutla etkinleştiririz.
​

Router(config)# snmp-server host [nms-ip] version 2c [community-string]​

Router(config)# snmp-server enable traps​

Dikkat edin, NMS-ip yönetim sisteminin IP adresidir ve community string ise paroladır.
​

Yapılandırmanın Test Edilmesi​

Tipik bir uygulama laboratuvarında, SNMP işlevlerini test etmek ve denemek için tam teşekküllü bir NMS sistemine sahip olmanız muhtemelen mümkün değildir. Bununla birlikte, çoğu Cisco cihazı hem SNMP ajanı hem de SNMP yöneticisi olarak çalışabilir. Bu işlevi etkinleştirmek için, aşağıda sarı renkle vurgulanan komutu kullanıyoruz.

Yukarıda gösterilen yapılandırmayla iki yönlendiriciyi kolayca yapılandırabilir ve farklı OID'leri sorgulamayı test edebilirsiniz. Örneğin, yalnızca sağdaki yönlendiriciye (R1) erişimimiz olduğunu varsayalım. R1'den, SNMP kullanarak R2'nin kaç arayüzü olduğunu kontrol edebilir ve IP adreslerini, MAC adreslerini, hızlarını, çift yönlü iletişimlerini, MTU'larını vb. görebiliriz.

R1'e giriş yaptık. İlk olarak, SNMP kullanarak R2'nin kaç arayüzü olduğunu kontrol edelim. OID şu şekilde görünecektir:

Şimdi bunu SNMP üzerinden kontrol edelim:

R1# snmp get v2c 10.1.1.3 public oid 1.3.6.1.2.1.2.1.0
SNMP Response: reqid 78, errstat 0, erridx 0
 ifNumber.0 = 6

R2'nin altı arayüzü olduğunu görüyoruz. Şimdi, bunların adlarını kontrol edelim. Her bir arayüz için bunu yapmak üzere kullanılacak OID, aşağıdaki şemada gösterildiği gibidir.

Şimdi bunları R1'den SNMP aracılığıyla kontrol edelim:

R1# snmp get v2c 10.1.1.3 public oid 1.3.6.1.2.1.2.2.1.2.1
SNMP Response: reqid 79, errstat 0, erridx 0
 ifDescr.1 = Ethernet0/0
R1#
R1# snmp get v2c 10.1.1.3 public oid 1.3.6.1.2.1.2.2.1.2.2
SNMP Response: reqid 80, errstat 0, erridx 0
 ifDescr.2 = Ethernet0/1
R1#
R1# snmp get v2c 10.1.1.3 public oid 1.3.6.1.2.1.2.2.1.2.3
SNMP Response: reqid 81, errstat 0, erridx 0
 ifDescr.3 = Ethernet0/2
R1#
R1# snmp get v2c 10.1.1.3 public oid 1.3.6.1.2.1.2.2.1.2.4
SNMP Response: reqid 82, errstat 0, erridx 0
 ifDescr.4 = Ethernet0/3
R1#
R1# snmp get v2c 10.1.1.3 public oid 1.3.6.1.2.1.2.2.1.2.5
SNMP Response: reqid 83, errstat 0, erridx 0
 ifDescr.5 = SR0
R1#
R1# snmp get v2c 10.1.1.3 public oid 1.3.6.1.2.1.2.2.1.2.6
SNMP Response: reqid 84, errstat 0, erridx 0
 ifDescr.6 = Null0

Böylece, yönlendiriciye erişimimiz olmadan R2'nin altı arayüzü olduğunu bulduk: Eth0/0, Eth0/1, Eth0/2, Eth0/3, SR0 ve Null0. SNMP'nin başarılı bir şekilde kimlik doğrulaması yapabilmesi için R2'de yapılandırılmış yalnızca SNMP topluluğunu biliyoruz.

SNMP'nin yüksek seviyede nasıl çalıştığını gördünüz. Elbette, protokolün daha derinlemesine incelendiğinde birçok başka yönü ve özelliği vardır, ancak bu genellikle çoğu ağ mühendisi için gerekli değildir.​

 

[Tolstoy]

Eline sağlık

 

[KERİM ERBAY]

Eline sağlık