Vous êtes sur la page 1sur 5

El Hassan EL AMRI – SNMP

Campus Réseaux Informatiques et Télécommunications

SNMP
(Simple Network Management Protocol)

I. Présentation protocole SNMP


SNMP (Simple Network Management Protocol)

Le protocole SNMP a été développé afin de permettre aux administrateurs de gérer des nœuds, tels
que des serveurs, des stations de travail, des routeurs, des commutateurs et des appareils de sécurité
sur un réseau IP. Il permet aux administrateurs réseau de gérer les performances des réseaux, de
rechercher et de résoudre d'éventuels problèmes sur ceux-ci et de planifier leur croissance.

SNMP est un protocole de couche Application qui procure un format pour les messages de
communication entre les gestionnaires et les agents.

Le système SNMP se compose de trois éléments :

 Gestionnaire SNMP

 Agents SNMP (nœud géré)

 Base d'informations de gestion (MIB)

II. Fonctionnement de SNMP


Les agents SNMP qui résident sur des périphériques gérés collectent et stockent les informations
relatives aux périphériques et à leur fonctionnement. Ces informations sont stockées localement par
l'agent dans la base de données MIB. Le gestionnaire SNMP utilise ensuite l'agent SNMP pour accéder
aux informations contenues dans la base de données MIB.

Il existe deux types principaux de requêtes de gestionnaire SNMP, à savoir get et set. Une requête get
est utilisée par le système de gestion de réseau (NMS) afin d'obtenir des données de la part d'un
périphérique. Une requête set est utilisée par le système de gestion de réseau (NMS) afin de modifier
les variables de configuration du périphérique de l'agent. Une requête set peut également initier des
actions au niveau d'un périphérique. Par exemple, une requête set peut provoquer le redémarrage d'un
routeur ainsi que l'envoi ou la réception d'un fichier de configuration.

L'agent SNMP répond comme suit aux requêtes du gestionnaire SNMP :

 Obtenir une variable MIB : l'agent SNMP effectue cette fonction en réponse à une unité de
données de protocole GetRequest à partir du système de gestion de réseau (NMS). L'agent
récupère la valeur de la variable MIB demandée et répond au système de gestion de réseau
(NMS) en lui communiquant cette valeur.

 Définir une variable MIB : l'agent SNMP effectue cette fonction en réponse à une unité de
données de protocole SetRequest à partir du système de gestion de réseau (NMS). L'agent
SNMP modifie la valeur de la variable MIB à la valeur spécifiée par le système de gestion de
réseau (NMS). Une réponse d'agent SNMP à une requête set inclut les nouveaux paramètres
définis dans le périphérique.

El Hasan EL AMRI Page 1|5


El Hassan EL AMRI – SNMP

Exemple des requêtes SNMPv1

III. Les Versions SNMP


SNMPv1 : Ceci est la première version du protocole, tel que définie dans le RFC 1157. La sécurité de
cette version est triviale, car la seule vérification qui est faite est basée sur la chaîne de caractères "
community ".

SNMPv2c (expérimental): Cette version du protocole est appelé " community stringbased SNMPv2 ".
Ceci est une amélioration des opérations de protocole et des types d'opérations et utilise la sécurité
par chaîne de caractères "community " de SNMPv1.

 SNMPv2c a introduit quelques nouveaux types, mais sa nouveauté majeure est l'opération
GETBULK, qui permet à une plateforme de gestion, de demander en bloc de plusieurs variables
consécutives dans la MIB de l'agent.

 Généralement, on demande autant de variables que l'on peut mettre dans un paquet SNMP.

 Opération Inform Avec cette Pdu, le manager informe l'agent qu'il a reçu un Trap (acquittement).

SNMPv3 (standard actuel): Cette version comprend une combinaison de la sécurité basée sur les
usagers et les types et les opérations.
 Cette nouvelle version du protocole SNMP vise essentiellement à inclure la sécurité des
transactions
 La sécurité comprend l'identification des parties qui communiquent et l'assurance que la
conversation soit privée, même si elle passe par un réseau public.

La sécurité de SNMPv3 est basée sur 2 concepts :

– USM (User-based Security Model)


** 3 mécanismes sont utilisés, chaque mécanisme permet d'empêcher un type d'attaque **

El Hasan EL AMRI Page 2|5


El Hassan EL AMRI – SNMP

 Authentification :
 Empêche quelqu'un de changer le paquet SNMPv3 en cours de route et de valider le mot
de passe de la personne qui transmet la requête.
 Chiffrement :
 Empêche quiconque de lire les informations de gestions contenues dans un paquet
SNMPv3.

 L'estampillage du temps :
 Empêche la réutilisation d'un paquet SNMPv3 valide a déjà transmis par quelqu'un.

– VACM (View- based Access Control Model)


 Permet le contrôle d'accès au travers de la MIB. On a la possibilité de restreindre l'accès en
lecture et/ou écriture pour un groupe ou par utilisateur

IV. Identifiants de communauté


Les protocoles SNMPv1 et SNMPv2c utilisent des identifiants de communauté qui contrôlent l'accès à
la base de données MIB. Les identifiants de communauté sont des mots de passe en texte clair. Les
chaînes de communauté SNMP authentifient l'accès aux objets MIB.

Il existe deux types d'identifiants de communauté :

 Lecture seule (ro) : fournit un accès aux variables MIB, mais ne permet pas de les modifier,
uniquement de les lire. La sécurité étant minimale dans la version 2c, de nombreuses
entreprises utilisent le protocole SNMPv2c en mode lecture seule.
 Lecture/écriture (rw) : fournit un accès en lecture et en écriture à l'ensemble des objets de la
base de données MIB.

Pour afficher ou définir des variables MIB, l'utilisateur doit spécifier l'identifiant de communauté
approprié pour l'accès en lecture ou en écriture.

V. Base d'informations de gestion (ID d'objet)


La base de données MIB organise les variables de manière hiérarchique. Les variables MIB permettent
au logiciel de gestion de surveiller et de contrôler le périphérique réseau. De manière formelle, la base
de données MIB définit chaque variable comme étant un ID d'objet (OID). Les ID d'objet (OID) identifient
de manière unique les objets gérés au sein de la hiérarchie MIB. La base de données MIB organise les
ID d'objet (OID) sur la base de normes RFC au sein d'une hiérarchie d'ID d'objet, généralement affichée
sous la forme d'une arborescence.

L'arborescence de la base de données MIB de n'importe quel périphérique donné inclut certaines
branches avec des variables communes à de nombreux périphériques réseau, ainsi que quelques
branches avec des variables spécifiques à ce périphérique ou fournisseur.

Les RFC définissent certaines variables publiques courantes. La plupart des périphériques
implémentent ces variables MIB. De plus, les fournisseurs d'équipements réseau, tels que Cisco,
peuvent définir leurs propres branches privées de l'arborescence afin d'accueillir de nouvelles variables
spécifiques pour leurs périphériques.

La Figure ci-dessous illustre certaines parties de la structure de la base de données MIB définie par
Cisco Systems, Inc. Notez comment l'ID d'objet (OID) peut être décrit en termes de mots ou de nombres
afin de pouvoir localiser facilement une variable spécifique dans l'arborescence. Les ID d'objet (OID)
appartenant à Cisco, comme le montre la Figure ci-dessous, sont numérotés comme suit : .iso (1).org
(3).dod (6).internet (1).private (4).enterprises (1).cisco (9). La valeur affichée est 1.3.6.1.4.1.9.

El Hasan EL AMRI Page 3|5


El Hassan EL AMRI – SNMP

VI. Configuration du protocole SNMP

Étapes de configuration du protocole SNMP

Un administrateur réseau peut configurer le protocole SNMPv2 de manière à obtenir des informations
réseau à partir des périphériques présents sur celui-ci. Comme le montre la figure ci-dessous, les étapes
de base de la configuration du protocole SNMP s'exécutent toutes en mode de configuration globale.

Étape 1. (Obligatoire) Configurez l'identifiant de communauté et le niveau d'accès (lecture seule ou


lecture/écriture) à l'aide de la commande snmp-server community string ro | rw.

Étape 2. (Facultatif) Documentez l'emplacement du périphérique à l'aide de la commande snmp-server


locationtext.

Étape 3. (Facultatif) Documentez le contact du système à l'aide de la commandesnmp-server


contact text.

Étape 4. (Facultatif) Limitez l'accès SNMP aux hôtes NMS (gestionnaires SNMP) qui sont autorisés par
une liste de contrôle d'accès : définissez la liste de contrôle d'accès, puis référencez-la à l'aide de la
commande snmp-server communitystring access-list-number-or-name. Cette commande peut être
utilisée à la fois pour spécifier un identifiant de communauté et pour limiter l'accès SNMP par le biais de
listes de contrôle d'accès. Il est possible de combiner les étapes 1 et 4 en une seule, si vous le souhaitez.
Le périphérique réseau Cisco allie les deux commandes en une seule si elles sont introduites
séparément.

Étape 5. (Facultatif) Spécifiez le destinataire des opérations de déroutement SNMP à l'aide de la


commande snmp-server host host-id [version{1|2c | 3 [auth | noauth | priv]}]community-string. Par
défaut, aucun gestionnaire de déroutement n'est défini.

Étape 6. (Facultatif) Activez les déroutements sur un agent SNMP à l'aide de la commande snmp-
server enable traps notification-types. Si aucun type de notification de déroutement n'est spécifié dans

El Hasan EL AMRI Page 4|5


El Hassan EL AMRI – SNMP

cette commande, tous les types de déroutements sont envoyés. L'utilisation répétée de cette commande
est requise si un sous-ensemble spécifique de types de déroutements est souhaité.

Remarque : par défaut, aucun type de déroutement n'est défini dans le protocole SNMP. En l'absence
de cette commande, les gestionnaires SNMP doivent tenter d'obtenir toutes les informations
pertinentes.

Exemple de configuration SNMP

Rejoignez-nous dans notre groupe sur Facebook


https://www.facebook.com/groups/RESEAUX2INFORMATIQUES2TELECOM/

El Hasan EL AMRI Page 5|5