SNMP — Gerenciamento de Redes com Simple Network Management Protocol
O que é
SNMP, ou Simple Network Management Protocol, é um protocolo de gerenciamento de redes amplamente adotado que permite monitorar e controlar dispositivos de rede a partir de um ponto centralizado. Roteadores, switches, firewalls, servidores e até impressoras de rede podem ser gerenciados via SNMP — tudo isso sem precisar acessar cada dispositivo individualmente.
O protocolo opera sobre UDP: agentes escutam na porta 161 para receber consultas do gerente, e o gerente escuta na porta 162 para receber notificações dos agentes.
Existem três versões consolidadas:
| Versão | Segurança | Destaque |
|---|---|---|
| SNMPv1 | Nenhuma (texto claro) | Primeira versão; community string simples |
| SNMPv2c | Nenhuma (texto claro) | Adiciona GetBulk; melhor eficiência |
| SNMPv3 | Autenticação + criptografia | Versão recomendada para produção |
O "c" no SNMPv2c significa community-based — as community strings foram removidas na especificação original do v2 e reintroduzidas nessa variante por questões de compatibilidade.
Como funciona
Os três componentes principais
NMS — Network Management Station É o servidor de gerenciamento, o "cérebro" do sistema. Roda o software SNMP manager e uma aplicação que exibe alertas, gráficos e estatísticas para o administrador. Ferramentas como Zabbix, PRTG, LibreNMS e SolarWinds atuam como NMS.
Agente SNMP Software que roda nos dispositivos gerenciados (roteadores, switches etc.). Responde às consultas do NMS e envia notificações quando algo relevante acontece.
MIB — Management Information Base Banco de dados hierárquico que vive no dispositivo gerenciado e define todas as variáveis que podem ser consultadas ou modificadas via SNMP. Cada variável tem um identificador único chamado OID.
OIDs — Object Identifiers
Cada variável na MIB é endereçada por um OID, que é uma sequência de números separados por pontos representando uma árvore hierárquica. Por exemplo:
.1.3.6.1.2.1.1.5.0Esse OID representa o sysName — o hostname do dispositivo. Quando o NMS envia um Get com esse OID, o agente retorna o nome configurado no equipamento.
Tipos de mensagens SNMP
| Classe | Mensagem | Direção | Função |
|---|---|---|---|
| Leitura | Get | NMS → Agente | Consulta o valor de um ou mais OIDs |
| Leitura | GetNext | NMS → Agente | Descobre o próximo OID disponível na MIB |
| Leitura | GetBulk | NMS → Agente | Recupera grandes blocos de dados (v2c/v3) |
| Escrita | Set | NMS → Agente | Altera o valor de uma variável no dispositivo |
| Notificação | Trap | Agente → NMS | Alerta sobre evento; sem confirmação (não confiável) |
| Notificação | Inform | Agente → NMS | Alerta com confirmação (confiável) |
| Resposta | Response | Agente → NMS | Resposta a Get, Set ou Inform |
Trap vs. Inform: A diferença prática é a confiabilidade. O Trap é disparado e esquecido — se o pacote UDP se perder, ninguém sabe. O Inform aguarda um Response do NMS; se não chegar, reenvia. Para ambientes críticos, prefira Inform.
Community Strings (SNMPv1 e v2c)
Community strings funcionam como senhas compartilhadas entre o agente e o NMS. Existem dois níveis:
- RO (Read-Only): o NMS só pode consultar dados com Get.
- RW (Read-Write): o NMS pode consultar e alterar dados com Set.
As strings padrão public (RO) e private (RW) são conhecidas por qualquer atacante — nunca as use em produção.
Problema crítico: tanto a community string quanto o conteúdo das mensagens trafegam em texto claro no SNMPv1 e SNMPv2c. Qualquer captura de pacotes na rede expõe as credenciais.
SNMPv3 — Segurança real
O SNMPv3 elimina os problemas de segurança das versões anteriores com três modos de operação:
- noAuthNoPriv: sem autenticação, sem criptografia (não recomendado).
- authNoPriv: autenticação com MD5 ou SHA, sem criptografia.
- authPriv: autenticação SHA + criptografia AES ou DES. Único modo adequado para produção.
Em vez de community strings, o SNMPv3 usa usuários com senhas de autenticação e de privacidade separadas.
Na prática
Imagine uma provedora de internet em Belo Horizonte com 200 roteadores de borda distribuídos pela região metropolitana. Monitorar cada equipamento individualmente seria inviável. Com SNMP:
- Cada roteador tem o agente SNMP ativado e aponta para o IP do servidor de gerência (NMS).
- O NMS — rodando LibreNMS ou Zabbix — consulta a cada 5 minutos o estado das interfaces, uso de CPU e tráfego.
- Quando um link de fibra cai em Contagem às 3h da manhã, o agente do roteador envia um Trap (ou Inform) para o NMS instantaneamente.
- O NMS dispara um alerta no WhatsApp do plantão de NOC.
- O técnico acessa o NMS, vê o gráfico de tráfego da interface afetada e abre o chamado.
Isso é SNMP no cotidiano das redes brasileiras.
Configuração básica em Cisco IOS
! Informações opcionais (boas práticas de documentação)
snmp-server contact [email protected]
snmp-server location "Datacenter SP - Rack 12"
! Community strings (SNMPv2c)
snmp-server community Empresa2024RO RO
snmp-server community Empresa2024RW RW
! Definir o NMS que receberá as notificações
snmp-server host 10.0.0.50 version 2c Empresa2024RO
! Quais eventos geram Traps
snmp-server enable traps snmp linkdown linkup
snmp-server enable traps config
! Verificar configuração
show snmp
show snmp communityO NMS configurado em snmp-server host é o destino dos Traps e Informs. A community string usada nesse comando define quais permissões o NMS terá ao receber as notificações.
Por que cai no exame
O CCNA 200-301 cobre SNMP no tópico 4.4 — Explain the function of SNMP in network operations. O foco é conceitual, não de configuração aprofundada. Questões típicas exploram:
- Portas UDP: agente na 161, gerente na 162 — erro clássico inverter.
- Trap vs. Inform: Trap não tem confirmação; Inform tem. A pergunta pode perguntar qual é "confiável" ou qual exige Response.
- SNMPv3 vs. v2c: a diferença de segurança é sempre explorada. v2c = texto claro; v3 = autenticação e criptografia.
- RO vs. RW: quem usa Get obrigatoriamente usa community RO ou RW? (ambas funcionam, mas RO é a mínima necessária para leitura).
- GetBulk: foi introduzido no SNMPv2, não no v1.
- MIB e OID: perguntas sobre a estrutura hierárquica e o que cada componente armazena.
O erro mais comum é confundir quem envia Trap/Inform (o agente, não o NMS) e para qual porta (162, onde o NMS escuta).
Resumo em uma linha
SNMP é o protocolo que permite ao administrador monitorar e controlar dispositivos de rede a partir de um servidor centralizado (NMS), usando mensagens Get/Set para leitura e escrita e Traps/Informs para notificações de eventos — com SNMPv3 sendo a versão segura obrigatória em ambientes de produção.