2. Documentation Overview (Dokumentationsübersicht)

2. Documentation Overview (Dokumentationsübersicht)

Die SNMP Version 3 Dokumentation ist in mehrere Dokumente organisiert. Dieser Abschnitt bietet einen Überblick über diese Dokumente und ihre Beziehungen.

2.1. Document Roadmap (Dokumenten-Roadmap)

Die SNMP Version 3 Dokumentation besteht aus den folgenden Dokumenten:

1. Architektur: Dieses Dokument (RFC 3411) beschreibt die Gesamtarchitektur von SNMP-Management-Frameworks.

2. Nachrichtenverarbeitung und -verteilung: RFC 3412 beschreibt das Message Processing Subsystem und den Dispatcher.

3. Benutzerbasiertes Sicherheitsmodell: RFC 3414 beschreibt das User-based Security Model (USM) für SNMPv3.

4. Ansichtsbasiertes Zugriffskontrollmodell: RFC 3415 beschreibt das View-based Access Control Model (VACM) für SNMPv3.

5. Protokolloperationen: RFC 3416 beschreibt die Protokolloperationen für SNMPv2.

6. Transport-Mappings: RFC 3417 beschreibt die Transport-Mappings für SNMP über UDP und andere Transporte.

7. Management Information Base: RFC 3418 beschreibt die Management Information Base (MIB) für SNMPv2.

8. Koexistenz und Übergang: RFC 3584 beschreibt die Koexistenz zwischen SNMPv1, SNMPv2c und SNMPv3.

2.2. Applicability Statement (Anwendbarkeitserklärung)

Das SNMPv3-Framework ist so konzipiert, dass es auf eine breite Palette von Netzwerkverwaltungsszenarien anwendbar ist. Es ist besonders gut geeignet für:

• Verwaltung großer Netzwerke mit Tausenden von Geräten
• Verwaltung von Netzwerken, in denen Sicherheit ein Anliegen ist
• Verwaltung von Netzwerken, in denen Fernkonfiguration erforderlich ist
• Verwaltung von Netzwerken, in denen mehrere Verwaltungssysteme koexistieren müssen

Das Framework ist erweiterbar konzipiert und ermöglicht das Hinzufügen neuer Funktionen, wenn sich die Anforderungen weiterentwickeln.

2.3. Coexistence and Transition (Koexistenz und Übergang)

Das SNMPv3-Framework ist so konzipiert, dass es die Koexistenz mit SNMPv1 und SNMPv2c ermöglicht. Dies ermöglicht es Netzwerken, schrittweise von älteren Versionen von SNMP zu SNMPv3 zu migrieren.

Die Koexistenzstrategie umfasst:

1. Proxy-Mechanismen: SNMPv3-Entitäten können als Proxies fungieren und zwischen verschiedenen Versionen von SNMP übersetzen.

2. Dual-Stack-Implementierungen: SNMP-Entitäten können mehrere Versionen von SNMP gleichzeitig unterstützen.

3. Übersetzungsmechanismen: Nachrichten können von einer Version von SNMP in eine andere übersetzt werden.

Details zu Koexistenz- und Übergangsstrategien sind in RFC 3584 beschrieben.

2.4. Transport Mappings (Transport-Mappings)

SNMP-Nachrichten können über verschiedene Netzwerkprotokolle transportiert werden. Der häufigste Transport ist UDP (User Datagram Protocol). Andere Transporte umfassen TCP, IPX und AppleTalk.

RFC 3417 definiert die Standard-Transport-Mappings für SNMP. Es beschreibt, wie SNMP-Nachrichten für die Übertragung über verschiedene Transporte formatiert werden und wie Adressen dargestellt werden.

2.5. Message Processing (Nachrichtenverarbeitung)

Das Message Processing Subsystem ist verantwortlich für die Vorbereitung von Nachrichten zur Übertragung und für die Extraktion von Daten aus empfangenen Nachrichten. Es bietet eine konsistente Schnittstelle zum Dispatcher, unabhängig vom verwendeten Nachrichtenformat.

RFC 3412 beschreibt das Message Processing Subsystem im Detail. Es definiert die abstrakten Service-Schnittstellen, die Message Processing Models implementieren müssen.

2.6. Security (Sicherheit)

Sicherheit ist eine kritische Komponente des SNMPv3-Frameworks. Das Security Subsystem bietet Authentifizierung, Vertraulichkeit und Aktualitätsprüfung für SNMP-Nachrichten.

Das User-based Security Model (USM) ist das primäre Sicherheitsmodell, das für SNMPv3 definiert ist. Es bietet:

• Authentifizierung: Verwendung von HMAC-MD5-96 oder HMAC-SHA-96 Authentifizierungsprotokollen
• Vertraulichkeit: Verwendung von CBC-DES oder CBC-AES Verschlüsselungsprotokollen
• Aktualität: Verwendung zeitbasierter Nachrichtenvalidierung zur Verhinderung von Replay-Angriffen

RFC 3414 beschreibt das User-based Security Model im Detail.

Die Architektur ermöglicht die Definition zusätzlicher Sicherheitsmodelle in der Zukunft.

2.7. Access Control (Zugriffskontrolle)

Das Access Control Subsystem bestimmt, ob eine bestimmte SNMP-Operation basierend auf der Identität des Benutzers und dem Zugriff auf das verwaltete Objekt erlaubt ist.

Das View-based Access Control Model (VACM) ist das primäre Zugriffskontrollmodell, das für SNMPv3 definiert ist. Es bietet:

• Gruppenbasierte Zugriffskontrolle: Benutzer werden Gruppen zugewiesen, und Zugriffsrechte werden Gruppen zugewiesen
• Kontextbasierte Zugriffskontrolle: Zugriffsrechte können basierend auf dem SNMP-Kontext variieren
• Ansichtsbasierte Zugriffskontrolle: Zugriffsrechte werden in Bezug auf MIB-Ansichten definiert, die angeben, auf welche Objekte zugegriffen werden kann

RFC 3415 beschreibt das View-based Access Control Model im Detail.

Die Architektur ermöglicht die Definition zusätzlicher Zugriffskontrollmodelle in der Zukunft.

2.8. Protocol Operations (Protokolloperationen)

SNMP definiert mehrere Arten von Protokolloperationen:

1. Get: Abrufen des Werts eines oder mehrerer verwalteter Objekte
2. GetNext: Abrufen des Werts des lexikographisch nächsten verwalteten Objekts
3. GetBulk: Effizientes Abrufen der Werte mehrerer verwalteter Objekte
4. Set: Ändern des Werts eines oder mehrerer verwalteter Objekte
5. Trap: Asynchrone Benachrichtigung vom Agenten an den Manager gesendet
6. InformRequest: Asynchrone Benachrichtigung, die eine Bestätigung erfordert

RFC 3416 beschreibt diese Protokolloperationen im Detail. Es definiert die PDU-Formate und die Verarbeitungsregeln für jeden Operationstyp.

2.9. Applications (Anwendungen)

SNMP-Anwendungen nutzen die Dienste der SNMP-Engine, um Verwaltungsfunktionen auszuführen. Die Architektur definiert mehrere Arten von Anwendungen:

1. Command Generator: Initiiert Get-, GetNext-, GetBulk- und Set-Operationen
2. Command Responder: Antwortet auf Get-, GetNext-, GetBulk- und Set-Operationen
3. Notification Originator: Initiiert Trap- und InformRequest-Operationen
4. Notification Receiver: Empfängt Trap- und InformRequest-Operationen
5. Proxy Forwarder: Leitet Nachrichten zwischen SNMP-Entitäten weiter

Anwendungen können innerhalb einer einzelnen SNMP-Entität kombiniert werden. Beispielsweise enthält ein typischer SNMP-Agent sowohl einen Command Responder als auch einen Notification Originator.

2.10. Structure of Management Information (Struktur der Verwaltungsinformationen)

Die Structure of Management Information (SMI) definiert, wie verwaltete Objekte definiert und organisiert werden. Die SMI umfasst:

1. Objektdefinitionen: Die Syntax zur Definition verwalteter Objekte
2. Benennung: Das hierarchische Benennungsschema für verwaltete Objekte (Objektkennungen)
3. Datentypen: Die primitiven und konstruierten Datentypen, die verwendet werden können

Die SMI für SNMPv2 ist in RFC 2578, RFC 2579 und RFC 2580 definiert.

2.11. Textual Conventions (Textuelle Konventionen)

Textual Conventions sind ein Mechanismus zur Definition neuer Datentypen basierend auf bestehenden Datentypen. Sie bieten eine Möglichkeit, Datentypen semantische Bedeutung zu geben und Anzeigeformate festzulegen.

RFC 2579 definiert den Mechanismus zur Erstellung von Textual Conventions.

2.12. Conformance Statements (Konformitätserklärungen)

Conformance Statements definieren die Anforderungen für die Implementierung von MIB-Modulen. Sie spezifizieren, welche Objekte implementiert werden müssen, welche Objekte optional sind und alle Implementierungseinschränkungen.

RFC 2580 definiert den Mechanismus zur Erstellung von Conformance Statements.

2.13. Management Information Base Modules (Management Information Base Module)

Ein Management Information Base (MIB) Modul ist eine Sammlung verwandter Definitionen verwalteter Objekte. MIB-Module werden unter Verwendung der SMI-Syntax definiert.

MIB-Module können Definitionen aus anderen MIB-Modulen importieren, was modulares Design und Wiederverwendung ermöglicht.

2.13.1. SNMP Instrumentation MIBs (SNMP-Instrumentierungs-MIBs)

Mehrere MIB-Module sind speziell für die Verwaltung von SNMP-Entitäten definiert:

1. SNMP-FRAMEWORK-MIB (RFC 3411): Definiert Objekte für die SNMP-Engine
2. SNMP-MPD-MIB (RFC 3412): Definiert Objekte für die Nachrichtenverarbeitung
3. SNMP-USER-BASED-SM-MIB (RFC 3414): Definiert Objekte für das User-based Security Model
4. SNMP-VIEW-BASED-ACM-MIB (RFC 3415): Definiert Objekte für das View-based Access Control Model
5. SNMP-COMMUNITY-MIB (RFC 3584): Definiert Objekte für Community-basierte Sicherheit
6. SNMP-TARGET-MIB (RFC 3413): Definiert Objekte zur Konfiguration von Benachrichtigungszielen
7. SNMP-NOTIFICATION-MIB (RFC 3413): Definiert Objekte zum Filtern von Benachrichtigungen
8. SNMP-PROXY-MIB (RFC 3413): Definiert Objekte zur Konfiguration des Proxy-Verhaltens

2.14. SNMP Framework Documents (SNMP-Framework-Dokumente)

Die folgenden Dokumente definieren das SNMPv3-Framework:

• RFC 3410: Einführung und Anwendbarkeitserklärungen für Internet-Standard Management Framework
• RFC 3411: Eine Architektur zur Beschreibung von SNMP-Management-Frameworks (dieses Dokument)
• RFC 3412: Message Processing and Dispatching für das Simple Network Management Protocol (SNMP)
• RFC 3413: Simple Network Management Protocol (SNMP) Anwendungen
• RFC 3414: User-based Security Model (USM) für Version 3 des Simple Network Management Protocol (SNMPv3)
• RFC 3415: View-based Access Control Model (VACM) für das Simple Network Management Protocol (SNMP)
• RFC 3416: Version 2 der Protokolloperationen für das Simple Network Management Protocol (SNMP)
• RFC 3417: Transport-Mappings für das Simple Network Management Protocol (SNMP)
• RFC 3418: Management Information Base (MIB) für das Simple Network Management Protocol (SNMP)

Diese Dokumente definieren kollektiv das vollständige SNMPv3-Framework.