Стандарт SNMPv3

Дэн Бекман

В мире протоколов сетевого управления, на пути развития которых до сих пор стояли такие непреодолимые барьеры, как проблема обеспечения безопасности, сегодня праздник. Многие производители, играющие ключевую роль в сетевой индустрии, уже объявили о своей поддержке нового протокола SNMPv3, разработанного рабочей группой IETF.

Несмотря на то что версия 3 стандарта SNMP -- последний вариант всеми уважаемого протокола Simple Network Management Protocol -- имеет всего лишь статус проекта, предлагаемого рабочей группой IETF, она уже получила сильную поддержку со стороны сообщества производителей. Известные фирмы Bay Networks, BMC Software, Cisco Systems, Hewlett-Packard, Liebert, SNMP Research International и Tivoli Systems первыми начали разработку собственных продуктов на основе этого стандарта.

Протокол SNMPv3, безусловно, является очень перспективным. В нем воплощено большинство предложений, выдвинутых рабочими группами для усовершенствования SNMPv2 и устраняющих различные недостатки первоначальной версии SNMP. Среди наиболее значимых характеристик нового протокола - оператор GetBulk, 64-разрядные счетчики, усовершенствованный оператор Set и использование уникального идентификатора для каждой SNMP-машины 1. Но лучше всего в SNMPv3 реализована мощная комплексная модель обеспечения безопасности.

В то время как одни изменения (например, введение 64-разрядных счетчиков, необходимых для поддержки оборудования Gigabit Ethernet) отражают достижения в сетевой технологии, снимающие различные ограничения, накладываемые исходным протоколом, другие -- улучшают уже реализованные прежде возможности. Так, для запроса большого объема данных от SNMP-агента оператор GetBulk объединяет несколько операторов Get и GetNext в один пакет, уменьшая тем самым избыточную сетевую нагрузку. Кроме того, в SNMPv3 усовершенствована операция Set, выполняющая проверку каждого запроса на предмет его успешного завершения.

Последняя версия также предполагает некоторые изменения в рамках самого SNMP-управления, в частности возможность изменения параметров конфигурации самого SNMP-агента, что позволяет полноценно осуществлять удаленное управление SNMP-устройствами. Наконец, SNMPv3 вводит понятие идентификатора SNMP-машины - snmpEngineID, а также дает возможность обращаться к нескольким контекстам внутри управляемого устройства. Эти новые функции помогают отслеживать связи внутри сетевой топологии, выполнять аутентификацию и обращаться к более сложным компонентам сетевой инфраструктуры, имеющим множественные логические контексты внутри одного управляемого устройства. Так, с помощью SNMPv3 к каждому порту коммутатора можно обращаться как к логическому мосту внутри объекта "коммутатор".

Пока стандарт протокола SNMP следующего поколения ожидает своего принятия, остановимся более подробно на ранних его реализациях и попытаемся рассмотреть область для возможного применения при построении защищенной сетевой инфраструктуры предприятия.

Полную версию данной статьи смотрите в 12-м номере журнала.