SNMP
Der Klassiker zur Überwachung von Netzwerk- und IT-Geräten: eine Zentrale fragt die Geräte ab.
Der Aufbau: ein Manager überwacht mehrere Netzwerkgeräte. In jedem läuft ein Agent, der eine MIB hält — einen Katalog von Werten, die über OIDs eindeutig adressiert sind.
In 30 Sekunden
SNMP (Simple Network Management Protocol, «einfaches Netzwerk-Verwaltungsprotokoll») ist der De-facto-Standard, um Netzwerk- und IT-Geräte zu überwachen und zu verwalten – Switches, Router, Firewalls, Drucker, USV-Anlagen (unterbrechungsfreie Stromversorgung) und Server. Eine zentrale Software (der Manager) fragt die Geräte nach Zustandswerten ab, zum Beispiel Laufzeit, Auslastung oder Temperatur. Jedes Gerät führt dazu ein kleines Programm, den Agenten, das diese Werte bereithält. Umgekehrt kann ein Gerät auch von sich aus Alarm schlagen, wenn etwas passiert. Weil praktisch jedes ernsthafte Netzwerkgerät SNMP kann, ist es die gemeinsame Sprache fürs Monitoring.
Stellen Sie sich einen Hausmeister vor, der jede Stunde durch ein grosses Gebäude geht und an jeder Tür fragt: «Alles in Ordnung? Wie warm ist es bei euch? Wie voll ist der Papierkorb?» Jeder Raum hat eine Nummer, und zu jeder Nummer gibt es feste Fragen mit klaren Antworten. Brennt es irgendwo, wartet der Raum nicht auf die nächste Runde, sondern schickt sofort jemanden los, der Bescheid gibt. Genau so arbeitet SNMP: regelmässiges Abfragen plus spontane Alarmmeldungen.
Wo trifft man SNMP an?
Netzwerk-Überwachung
Das Kern-Einsatzgebiet: Switches, Router und Firewalls melden Auslastung, Fehler und Verfügbarkeit ihrer Anschlüsse. Beispiel: Eine Überwachungssoftware erkennt, dass ein Netzwerk-Port zu 95 Prozent ausgelastet ist, und warnt, bevor es zu Störungen kommt.
Server- und Hardware-Überwachung
Server melden CPU-Last, freien Speicher und Temperatur. Beispiel: Fällt bei einem Server ein Lüfter aus und die Temperatur steigt, sieht das Monitoring den Wert steigen und löst Alarm aus, bevor Hardware Schaden nimmt.
Unterbrechungsfreie Stromversorgung (USV)
USV-Geräte melden Netzausfall, Akku-Ladestand und Restlaufzeit. Beispiel: Bei einem Stromausfall meldet die USV per SNMP «Betrieb auf Akku», worauf die Überwachung angeschlossene Server geordnet herunterfährt, bevor der Akku leer ist.
Drucker und Multifunktionsgeräte
Drucker melden Tonerstand, Papiervorrat und Fehler. Beispiel: Ein Netzwerkdrucker meldet «Toner fast leer», und die IT bestellt Nachschub, bevor der Drucker stehen bleibt.
Klima- und Umgebungsüberwachung im Rechenzentrum
Sensoren für Temperatur, Luftfeuchte und Klimageräte melden ihre Messwerte. Beispiel: Steigt die Temperatur im Serverraum über einen Schwellwert, alarmiert das System per SNMP-Meldung das Betriebsteam.
OT- und Industrie-Infrastruktur
Auch in der Betriebstechnik (OT, Operational Technology) überwachen viele Industrie-Switches, Gateways und Netzwerkkomponenten ihren Zustand per SNMP. Beispiel: Ein gehärteter Industrie-Switch in einer Fertigungslinie meldet einen ausgefallenen Ring-Port, damit die Redundanz geprüft wird.
Gut geeignet für
- Für die Überwachung gemischter Geräteparks, weil praktisch jeder Hersteller SNMP unterstützt und so Geräte verschiedener Marken mit einem Werkzeug erfasst werden.
- Für den regelmässigen Soll-Zustand-Abgleich, weil der Manager Werte in festen Abständen abfragen und Trends über die Zeit auswerten kann.
- Für schnelle Alarmierung bei Ereignissen, weil Geräte per Trap (spontane Alarmmeldung) von sich aus melden, statt dass der Manager warten muss.
- Für schlanke Umgebungen, weil das Protokoll sparsam ist und selbst kleine Geräte wie Drucker oder USV einen Agenten mitbringen, ohne zusätzliche Software.
- Für die Integration in bestehende Monitoring-Systeme, weil Nagios, Zabbix, PRTG und andere SNMP von Haus aus sprechen.
Weniger geeignet für
- Für das Übertragen grosser Datenmengen oder ganzer Dateien, weil SNMP nur für kleine Zustandswerte gedacht ist; dafür sind Protokolle wie HTTP oder SFTP passender.
- Für hochfrequente Echtzeit-Telemetrie in sehr grossen Umgebungen, weil das ständige Einzel-Abfragen an Grenzen stösst; besser passen hier moderne Streaming-Telemetrie oder gNMI.
- Für unverschlüsselte Übertragung sensibler Zugangsdaten, weil die alten Versionen v1 und v2c alles im Klartext senden; dafür zwingend SNMPv3 mit Verschlüsselung nutzen.
- Für garantierte Zustellung von Alarmen, weil einfache Traps über UDP verschickt werden und verloren gehen können; besser passt hier der bestätigte INFORM-Mechanismus.
Fakten
- Simple Network Management Protocol
- IETF-Standard, definiert in mehreren RFCs (u. a. RFC 1157 für v1, RFC 3411–3418 für v3)
- UDP – Port 161 (Agent-Abfragen), Port 162 (Traps/Informs)
- MIB (Management Information Base), baumartiger Katalog; Werte per OID (Object Identifier) adressiert
- 1.3.6.1.2.1.1.3.0 = sysUpTime (Betriebszeit des Geräts)
- GET, GETNEXT, GETBULK, SET sowie TRAP und INFORM (Geräte-Meldungen)
- v1, v2c (nur Community-String, Klartext), v3 (Authentifizierung + Verschlüsselung via USM)
- v1/v2c unsicher (Community meist «public»); erst v3 bietet Anmeldung und Verschlüsselung
Im Detail
Manager und Agent
SNMP folgt einem einfachen Rollenmodell. Auf der einen Seite steht der Manager, eine zentrale Überwachungssoftware, oft NMS (Network Management System) genannt. Auf der anderen Seite läuft auf jedem überwachten Gerät ein Agent – ein kleines Programm, das die aktuellen Zustandswerte des Geräts bereithält. Der Manager fragt die Agenten ab, sammelt die Antworten und stellt sie dar. Ein Gerät muss also nichts «wissen», es muss nur auf Fragen antworten können.
MIB und OID – der Adressbaum der Werte
Damit Manager und Agent dieselbe Sprache sprechen, gibt es die MIB (Management Information Base): einen baumartig geordneten Katalog aller abfragbaren Werte. Jeder Wert hat eine eindeutige Adresse, die OID (Object Identifier), geschrieben als Zahlenkette mit Punkten. Die OID 1.3.6.1.2.1.1.3.0 steht zum Beispiel überall für sysUpTime, also die Betriebszeit seit dem letzten Neustart. Weil diese Adressen standardisiert sind, versteht der Manager dieselbe Angabe bei Geräten ganz unterschiedlicher Hersteller.
Abfragen und Meldungen
Für den Zugriff gibt es wenige, klar umrissene Operationen. Mit GET holt der Manager einen einzelnen Wert, mit GETNEXT und einem sogenannten «Walk» arbeitet er den Baum systematisch ab, und GETBULK holt in grossen Beständen viele Werte auf einmal effizient ab. Mit SET kann er – sofern erlaubt – auch etwas verändern, etwa eine Einstellung setzen.
Neben dem Abfragen kann das Gerät auch selbst aktiv werden: Mit einem TRAP schickt ein Agent von sich aus eine Alarmmeldung an den Manager, sobald ein Ereignis eintritt – ohne auf die nächste Abfrage zu warten. Der einfache Trap wird ungesichert verschickt und kann verloren gehen. Der neuere INFORM ist ähnlich, wird aber vom Manager bestätigt, sodass der Absender weiss, dass die Meldung angekommen ist.
Warum über UDP
SNMP nutzt UDP statt TCP. UDP verzichtet auf Verbindungsaufbau und Bestätigungen und ist dadurch sparsam und schnell – ideal, um viele Geräte in kurzer Zeit abzufragen. Der Preis dafür: Es gibt keine Garantie, dass jedes Paket ankommt. Für regelmässige Abfragen ist das unkritisch, weil die nächste Runde bald folgt. Bei wichtigen Alarmen ist es der Grund, weshalb man den bestätigten INFORM dem einfachen Trap vorzieht.
Sicherheit – der wunde Punkt
Historisch war SNMP nicht auf Sicherheit ausgelegt. In den Versionen v1 und v2c genügt ein sogenannter Community-String – im Grunde ein gemeinsames Passwort – zur Authentifizierung, und dieser wird unverschlüsselt im Klartext übertragen. In der Praxis ist er oft auf dem Standardwert «public» belassen. Wer den Netzwerkverkehr mitlesen kann, kennt damit das «Passwort». In OT- und IoT-Umgebungen, in denen viele Geräte lange laufen und selten aktualisiert werden, ist das ein reales Risiko: offene SNMP-Dienste mit «public» sind ein beliebtes Ziel für Angreifer, um ein Netz auszukundschaften. Abhilfe schafft SNMPv3 mit dem USM (User-based Security Model), das echte Anmeldung, Manipulationsschutz und Verschlüsselung mitbringt. Wo v3 nicht möglich ist, sollte SNMP mindestens auf vertrauenswürdige Netze und Absender eingeschränkt werden.
Grenzen und Alternativen
SNMP ist stark im Abfragen kleiner Zustandswerte, aber kein Protokoll für Massendaten oder kontinuierliche Datenströme. In sehr grossen Netzen stösst das ständige Einzel-Abfragen an Grenzen, und die Latenz ist für Sekunden-genaue Einblicke oft zu hoch. Hier setzt sich zunehmend Streaming-Telemetrie durch, bei der Geräte ihre Messwerte laufend von sich aus senden – etwa über gNMI (gRPC Network Management Interface). Für die klassische Überwachung eines gemischten Geräteparks bleibt SNMP jedoch bis heute der pragmatische Standard, den nahezu jedes Monitoring-Werkzeug wie Nagios, Zabbix oder PRTG unterstützt.
