SNMP Systeme
7 Minuten Lesezeit
Der Assistent für die Inventarisierung von SNMP Systemen wird über die Schaltfläche Netzwerk Scan oder SNMP geöffnet. Nach Auswahl einer Firma und Auswahl einer Domäne (siehe: grundlegende Schritte) wird der Einzelschritt SNMP Systeme inventarisieren angezeigt.
Für SNMP v1-, v2- und v3-Systeme werden die Systemdaten sowie die Topologie-Informationen inventarisiert.
SNMP-Systeme inventarisieren
Erreichbarkeitsprüfung mit Ping
Bei der SNMP-Inventarisierung eines IP-Bereichs werden standardmäßig Pings gesendet, um nicht existierende oder ausgeschaltete Geräte auszuschließen. Nur Geräte, die auf den Ping reagieren, werden inventarisiert.
Parallel ausgeführte Pings: Falls die Firewall aufgrund der hohen Anzahl an Ping-Abfragen während der Durchsuchung der IP-Bereiche Anfragen blockiert, kann dieses Problem durch die Begrenzung der parallel ausgeführten Pings umgangen werden.
Systemerreichbarkeit mit Ping prüfen: Wenn das jeweilige Gerät auf Ping-Anfragen nicht reagiert oder Netzwerkeinstellungen bzw. Firewalls ICMP-Anfragen blockieren, kann das Inventarisierungsmodul keine Systeme finden. Über das Kontrollkästchen Systemerreichbarkeit mit Ping prüfen werden Pings unterbunden, und stattdessen werden SNMP-Anfragen an alle IP-Adressen gesendet.
- Die Ping-Prüfung sollte nur deaktiviert werden, wenn bekannt ist, dass Geräte Ping blockieren, aber per SNMP erreichbar sind.
Wenn die Anzahl der parallel ausgeführten Pings begrenzt oder die Ping-Prüfung deaktiviert wird, kann sich die Dauer der Inventarisierung verlängern.
IP-Bereiche definieren und verwalten
Die Eingabefelder IP von, IP bis, Community und Timeout definieren einen zu inventarisierenden IP-Bereich, das Beschreibungsfeld unterstützt bei der Zuordnung der Netzwerke. Das Eingabefeld Community unterstützt kommasepariert mehrere Werte, welche während der Inventarisierung verwendet werden.
Sobald die gewünschten Bereiche zur Tabelle IP Bereiche hinzugefügt wurden, kann über das vorangestellte Kontrollkästchen bestimmt werden, ob eine Inventarisierung des jeweiligen Bereichs stattfinden soll.
CSV-Import für mehrere IP-Bereiche
Wenn mehrere IP-Bereiche bei der Inventarisierung zu berücksichtigen sind besteht die Möglichkeit, diese über den Button Liste laden direkt aus einer CSV-Datei einzulesen. In der CSV Datei müssen die Werte für IP von, IP bis, Community und Timeout in genau dieser Reihenfolge durch “;” getrennt aufgelistet werden, das Feld Beschreibung ist optional. Zeilen, die nicht diesem Format entsprechen, werden bei der Verarbeitung ausgelassen.
Anwendungsbeispiel einer CSV-Datei mit mehreren Community Werten
IP von;IP bis;Community;Timeout;Beschreibung
192.168.100.1;192.168.103.254;public;2500;Produktivnetz Nebengebaeude
172.31.1.1;172.31.1.254;private, public;5000;Testnetz
SNMP v1/v2 Fallback
Bei der SNMP Inventarisierung versucht Docusnap über das v2 Protokoll, Daten vom SNMP Gerät zu erhalten. Funktioniert diese Anfrage nicht, wird eine neue Anfrage über das v1 Protokoll gestartet. Bei einigen SNMP Geräten kann eine Anfrage über das v2 Protokoll dazu führen, dass diese für einige Sekunden via SNMP nicht erreichbar sind. In diesem Fall kann gewählt werden, dass das v1 Protokoll zuerst ausgeführt wird. Kann ein Gerät nicht korrekt erfasst werden besteht die Möglichkeit, dass mit der Aktivierung des Kontrollkästchen v1 bevorzugen die erforderlichen Daten erfolgreich abgeholt werden können.
Systeme mit SNMP v3-Protokoll inventarisieren
Im nächsten Schritt erfolgt die Inventarisierung von Systemen, die SNMP v3 unterstützen.
Unterschiede zwischen SNMP v1/v2 und SNMP v3
Der wesentliche Unterschied zwischen SNMP v3 und SNMP v1/v2 besteht darin, dass für diese Systeme Anmeldedaten statt einer Community definiert werden können.
Einzelsysteme mit SNMP v3 inventarisieren
Über die Schaltfläche Neu kann festgelegt werden, ob eine Inventarisierung von einzelnen Systemen oder über einen IP-Bereich durchgeführt werden soll. Im entsprechenden Folgedialog werden die Anmeldedaten eingetragen, die der konfigurierten Sicherheitsstufe der Systeme entsprechen. Wenn die gleichen Anmeldedaten bereits für ein anderes System gespeichert wurden, können diese durch Auswahl im Kombinationsfeld Anmeldedaten übernehmen für die aktuelle Eingabe verwendet werden.
Durch Klick auf die Schaltfläche Bearbeiten wird die Dialog SNMP v3 Anmeldedaten für das markierte System geöffnet und die Anmeldedaten können bearbeitet werden.
Wenn mehrere v3 Einzelsysteme mit unterschiedlichen Anmeldedaten oder Netzwerkinformationen inventarisiert werden sollen, bietet sich die Möglichkeit des CSV-Imports. Durch Klick auf die Schaltfläche Liste laden öffnet sich der Auswahldialog. In der CSV-Datei müssen die Werte in folgender Reihenfolge durch “;” getrennt angegeben werden: Systemname oder IP-Adresse; USM Benutzer; Auth Algorithmus; Auth Passwort; Privacy Algorithmus; Privacy Passwort; Kontextname; Timeout. Wenn die weiteren v3 Systeme die gleichen Anmeldedaten haben, ist es ausreichend, nur den Systemnamen oder IP-Adresse anzugeben. Werden neue Anmeldedaten angegeben, gelten diese wiederrum für weitere Einträge.
Beispiel für CSV Datei
ASWIT0001;Docusnap;SHA;geheim;DES;geheim;kontext;2600
192.168.100.3
192.168.100.4
192.168.100.5
IP-Bereiche mit SNMP v3 inventarisieren
Die Inventarisierung von IP-Bereichen bei SNMP v3 Systemen verläuft ähnlich der Inventarisierung von Einzelsystemen. Über den Button Neu kann per Neuer IP-Bereich der Dialog für die Anmeldedaten geöffnet werden. Anschließend wird anstelle eines Systemnamens oder einer IP-Adresse der Bereich durch IP von und IP bis bestimmt.
Ebenso können IP-Bereiche per CSV-Import durch den Button Liste laden eingelesen werden. Die Struktur der CSV-Datei bleibt dabei unverändert, anstelle des Systemnamen oder einer IP-Adresse wird der zu erfassende IP-Bereich hinterlegt.
Anwendungsbeispiel einer CSV-Datei mit IP-Bereichen
192.168.100.1-192.168.100.150;Docusnap;SHA;geheim;DES;geheim;kontext;2600
192.168.100.151-192.168.100.254
Anmeldedaten werden pro Tabelleneintrag im Assistenten gespeichert, damit diese beim nächsten Öffnen wieder vorhanden sind. Durch Klick auf die Schaltfläche Bereits bekannte Systeme aus der Datenbank laden können SNMPv3 Geräte inklusive der Anmeldedaten erneut geladen werden. Dadurch müssen Geräte, die bereits im Zuge der Inventarisierung mit einem anderen Assistenten inventarisiert oder aus dem Assistenten gelöscht wurden, nicht erneut eingegeben werden.
Nachdem die gewünschten Systeme hinzugefügt wurden, kann über das vorangestellte Kontrollkästchen bestimmt werden, ob eine Inventarisierung des jeweiligen Systems oder IP-Bereichs stattfinden soll.
Besondere Merkmale der SNMP-Inventarisierung
SNMP v1 und v2: SNMP-Systeme werden in Docusnap grundsätzlich über das SNMP-Protokoll v1 und -Protokoll v2 erfasst. Dabei wird jede einzelne IP-Adresse des abgegebenen Bereichs dahingehend überprüft, ob es sich dabei um ein SNMP-System handelt. Reagiert die angeforderte IP-Adresse auf einen Ping und erweist sie sich als gültiges SNMP-System, wird die Inventarisierung über das SNMP-Protokoll durchgeführt.
SNMP v3 priorisieren: SNMP-Systeme, die das SNMP v3-Protokoll benötigen und sich im IP Bereich der v1 und v2 Inventarisierung befinden, werden bei der Inventarisierung der V1 und V2 Systemen nicht berücksichtigt.
Ergebnisse in der Zusammenfassung: Überschneiden sich die Bereiche bei gleichzeitiger SNMP und SNMP v3 Inventarisierung werden SNMP v3 Ergebnisse in der Zusammenfassung durch v3 gekennzeichnet.
Identische Systemnamen: Standardmäßig werden die SNMP-Systeme anhand ihres Systemnamens inventarisiert. Wenn sich mehrere SNMP-Systeme mit demselben Systemnamen im Netzwerk befinden, werden alle Systeme als ein System ausgegeben. Um alle Systeme ausgeben zu können, kann im Dialog Optionen - Inventarisierung, unter dem Punkt Inventarisierung festgelegt werden, dass die SNMP-Systeme über DNS-Namen identifiziert werden.
Zusatzprogramme Telnet/SSH
Grundsätzlich entspricht diese Funktion den bereits in Docusnap vorhandenen Zusatzprogrammen, mit welchen optional während der Windows-Inventarisierung Befehle auf dem Zielsystem ausgeführt werden, um dann die Ausführungsergebnisse in Docusnap zu speichern.
Zusatzprogramme Telnet/SSH bietet diese Funktion für die SNMP Inventarisierung und verwendet dabei die Protokolle Telnet bzw. SSH für die Datenbeschaffung. Eine Datenbeschaffung über diese Funktion ist aktuell nur für SNMP Geräte vom Typ Switch möglich.
Um dieses Feature mit der SNMP Inventarisierung zu verwenden, muss es beim Dialog Optionen - Inventarisierung im Bereich Features im Assistenten anzeigen die Option Zusatzprogramme Telnet/SSH (Preview) aktiviert werden.
Dieser optionale Inventarisierungsschritt erlaubt es, bereits erfasste Switche auszuwählen und zusätzliche Informationen durch eine geeignete Befehlssequenz abzufragen.
Über den Button Hinzufügen ist es im Folgedialog möglich, die Befehlssequenzen für alle bereits erfassten Switche zu bestimmen.
Der Timeout Wert definiert, wie lange Docusnap auf eine Antwort des SNMP Gerätes wartet bevor die Sequenz abgebrochen wird. Weiterhin sind Benutzer und Passwort für die Anmeldung einzutragen. Der hier eingetragene Benutzer muss über die entsprechenden Rechte verfügen. Es wäre z.B. bei HP Switches möglich sich als “Operator” am Switch anzumelden. Dieser Benutzer ist jedoch nicht berechtigt, die Switch-Konfiguration auszulesen. Dazu wird der Benutzer “admin” benötigt.
Abschließend kann über den Button Speichern der Dialog verlassen oder über Verbindung prüfen und Speichern zuvor die Anmeldedaten verifiziert werden.
Docusnap liefert zwei einfache Vorlagen für Befehlssequenzen mit. Dabei wird auf einem Switch (ohne Herstellerbezug) eine Konfigurationsabfrage erstellt. Das Beispiel ist für den Aufruf via Telnet und via SSH vorhanden.
Weitere Befehlssequenzen können vom Benutzer in der Docusnap Administration erstellt werden.