Если сетевой элемент, на котором расположен агент SNMP для указанной группы, не является тем, к которому относится представление MIB для заданного профиля, политика доступа называется «политикой опосредованного доступа» (SNMP proxy access policy). Агент SNMP, связанный с политикой опосредованного доступа, называется агентом-посредником SNMP (SNMP proxy agent). Неаккуратное определение политики опосредованного доступа может приводить к возникновению петель в системе управления, а при корректном определении политика опосредованного доступа может быть весьма полезна:
Такая политика позволяет вести мониторинг и контроль для сетевых элементов, которые недоступны (не адресуются) при обычном использовании протокола управления и транспортного протокола. Таким образом, proxy-агент может обеспечивать функции преобразования протокола, позволяющие станции управления использовать согласованную модель управления для всех элементов сети, включая такие устройства, как модемы, мультиплексоры и т.п., которые предназначены для управления с использованием иных моделей.
Обеспечивается возможность экранирования сетевых элементов с помощью продуманной политики доступа. Например, агент-посредник может реализовать изощренные механизмы контроля доступа, существенно расширяющие подмножества переменных MIB, которые можно сделать доступными для различных станций управления без усложнения самого сетевого элемента.
В качестве примера на рисунке 1 показаны отношения между станциями управления, proxy-агентами и агентами управления. В этой схеме агент-посредник представлен в виде обычного центра INOC (Internet Network Operations Center — центр управления работой сети) некого административного домена, использующего стандартные отношения со множеством агентов управления.
+------------------+ +----------------+ +----------------+ | Region #1 INOC | |Region #2 INOC | |PC in Region #3 | | | | | | | |Domain=Region #1 | |Domain=Region #2| |Domain=Region #3| |CPU=super-mini-1 | |CPU=super-mini-1| |CPU=Clone-1 | |PCommunity=pub | |PCommunity=pub | |PCommunity=slate| | | | | | | +------------------+ +----------------+ +----------------+ /|\ /|\ /|\ | | | | | | | \|/ | | +-----------------+ | +-------------->| Region #3 INOC |<-------------+ | | |Domain=Region #3 | |CPU=super-mini-2 | |PCommunity=pub, | | slate | |DCommunity=secret| +-------------->| |<-------------+ | +-----------------+ | | /|\ | | | | | | | \|/ \|/ \|/ +-----------------+ +-----------------+ +-----------------+ |Domain=Region#3 | |Domain=Region#3 | |Domain=Region#3 | |CPU=router-1 | |CPU=mainframe-1 | |CPU=modem-1 | |DCommunity=secret| |DCommunity=secret| |DCommunity=secret| +-----------------+ +-----------------+ +-----------------+ Domain: the administrative domain of the element PCommunity: the name of a community utilizing a proxy agent DCommunity: the name of a direct community Рисунок 1: Пример конфигурации сетевого управления