SNMP (Simple Network Management Protocol) ist ein Netzwerkprotokoll um Netzwerkelemente überwachen und verwalten zu können. Hierüber kann ein Manager Messwerte, Alarme und weitere Variablen eines SNMP-Agenten abfragen. KentixONE ist in der Lage sowohl Datenpakete an einen Manager zu versenden als auch von einem Agenten Datenpakete zu empfangen. In diesem Fall ist KentixONE der Manager. SNMP bietet zusätzlich die Möglichkeit, eigenständig Nachrichten an den Manager zu versenden, sobald ein bestimmtes Ereignis eintritt. Eine solche Initiativbenachrichtigung wird als „Trap“ bezeichnet.
SNMP Konfiguration
Um SNMP auf einem Kentix Gerät zu aktivieren, muss die entsprechende Checkbox ausgewählt werden. Anschließend kann eine Liste in Form einer CSV-Datei mit allen von KentixONE zur Verfügung gestellten Mess- und Konfigurationswerten heruntergeladen werden. Jeder Wert hat einen eindeutigen Identifikator (OID), der durch den ASN.1 Standard definiert ist. Zusätzlich kann auf der Kentix Homepage im Bereich Software eine MIB-Datei (Management Information Base) heruntergeladen werden, die die OID-Baumstruktur enthält. Jede Verzweigung der Baumstruktur hat einen Namen und eine Nummer. Beim Durchlaufen der Baumstruktur (MIB-Walk) werden die einzelnen Knoten immer spezifischer.
Nach Aktivierung der SNMP Funktion kann für jedes Element in der DetailView (Alarmgruppen und Geräte) eine Liste der für das Element erzeugten OIDs angezeigt werden.
Wenn KentixOne eine Trap von einem Agenten empfängt, kann KentixONE alle überwachten OIDs des Agenten erneut abrufen. Für jede konfigurierte OID wird eine separate Abfrage gestartet.
SNMP Zugänge
Damit ein Datenaustausch zwischen Agent und Manager stattfinden kann, muss zunächst ein Zugang zwischen Agent und Manager konfiguriert werden. In der Tabelle sind alle angelegten Zugänge aufgelistet. Durch Klicken auf den Reiter „+“ wird ein neuer Zugang angelegt und ein neues Konfigurationsfenster erscheint.
Allgemein
Um einen SNMP-Zugang einzurichten, muss festgelegt werden, ob KentixONE als Agent oder als Manager agieren soll. Dazu können drei verschiedene SNMP-Typen eingestellt werden. Bei den SNMP-Typen „Daten bereitstellen“ und „Trap“ ist KentixONE der Agent. Beim Typ „Daten empfangen“ ist KentixONE der Manager. Dem Zugang muss ein Name und die SNMP-Version zugewiesen werden. Der Name des Zugangs erscheint in der Tabelle aller angelegten Zugänge und beim Hinzufügen von SNMP-Sensoren in der Detail View und hilft bei deren Verwaltung. Die SNMP Version muss sowohl beim Agent als auch beim Manager übereinstimmen. KentixONE unterstützt SNMPv2 und SNMPv3, die sich hauptsächlich in der Sicherheit der Übertragung der Datenpakete unterscheiden. Stellen Sie die Version entsprechend ein. Neu angelegte Zugänge sind standardmäßig nicht aktiv. Dies muss manuell durch Anklicken der entsprechenden Checkbox geändert werden.
Traps
Der Menüpunkt erscheint nur, wenn als SNMP-Typ „Trap“ eingestellt ist. Traps können bei folgenden Ereignissen gesendet werden:
- Coldstart: Eine Unterbrechung der Spannungsversorgung löst einen Trap aus.
- Warmstart: Ein Neustart des Gerätes löst einen Trap aus.
- Alarm: Sobald ein Alarm auftritt, wird ein Trap ausgelöst.
- Änderung Alarmstatus: Sobald sich der Status des Alarms von Alarm auf keinen Alarm bzw. von keinem Alarm auf Alarm ändert, wird ein Trap ausgelöst. Auch die Änderung von quittierbarerer Alarm auf Alarm löst ein Trap aus.
- Zutritt: Sobald ein SmartAccess Zutrittsereignis eintritt, wird ein Trap ausgelöst.
Für Alarm- und Zutrittstraps kann zwischen zwei verschiedenen Darstellungsarten gewählt werden. Bei einem strukturierten Alarm- oder Zutrittstrap werden die Alarmwerte in einem Datenpaket in einzelne OIDs gepackt und gesendet. Bei einem normalen Alarmtrap werden alle Alarmwerte, nur durch ein Komma getrennt, in einen einzigen OID gepackt und gesendet. Beim SNMP-Typ Änderung Alarmstatus werden die Traps immer als strukturierter Trap gesendet.
Authentifizierung
Die Authentifizierung ist abhängig der verwendeten SNMP-Version.
Bei der Version 2 werden zur Authentifizierung zwischen Agent und Manager sogenannte Communities verwendet. Communities sind Namen, die mit der Anfrage zusammen vom SNMP-Service übermittelt werden und stellen einen vorher vereinbaren Schlüssel dar (Pre-shared key).
Ab Version 3 kann ein Authentifizierungsprotokoll und ein Privacy Protokoll ausgewählt werden. Zusätzlich zu den beiden Protokollen muss ein Benutzername vergeben werden. Dieser wird zur Authentifizierung verwendet. SNMP 3 unterstützt folgende Kombinationen:
- Keine Authentifizierung und kein Privacy Protokoll
- Authentifizierung und kein Privacy Protokoll
- Authentifizierung und Privacy Protokoll
Als Authentifizierungsprotokolle können HMAC-MD5 (hash-based message authentication code) und HMAC-SHA gewählt werden. SHA und MD5 sind zwei verschiedene Hash-Funktionen. Sobald ein Authentifizierungsprotokoll verwendet wird, wird zusätzlich das Authentifizierungspasswort benötigt.
Bei der Kombination „Authentication and Privacy Protocol“ muss zusätzlich zum oben genannten Authentifizierungsprotokoll ein Privacy-Protokoll ausgewählt werden. Unterstützt werden die Verschlüsselungsalgorithmen DES (Data Encryption Standard), 3DES (Triple-DES), AES (Advanced Encryption Standard) und IDEA (International Data Encryption Algorithm). Beim Advanced Encryption Standard muss zusätzlich die Schlüssellänge angegeben werden (AES128, AES192, AES256). Zusätzlich besteht beim Advanced Encryption Standard die Möglichkeit, einen 3DES-erweiterten Schlüssel zu verwenden. Zusätzlich zum Protokoll muss das Privacy Passwort angegeben werden.
Einstellungen
Sobald KentixONE Daten von einem Agenten abfragen möchte, wird die IP-Adresse des Hosts und der Port benötigt, auf dem der SNMP-Dienst Daten bereitstellt.
Da beim SNMP-Typ „Trap“ unaufgefordert ein Datenpaket an den Manager gesendet wird, muss auch hier die IP-Adresse des Hosts und der Port angegeben werden. Außerdem kann ein Heartbeat konfiguriert werden. Dieser dient zur zyklischen Funktionskontrolle des Agenten. Das Heartbeat-Intervall gibt die Länge des Zeitintervalls zwischen zwei Heartbeat-Meldungen an. Zum Testen der Einstellungen kann auch eine einzelne Heartbeat-Nachricht durch Klicken auf den Button „Trap senden“ gesendet werden.