4.8. Протокол SNMP
Протокол сетевого управления (Simple Network Management Protocol — SNMP, RFC 1157) функционирует на основе UDP-протокола. Поле полезной нагрузки IP-пакета с SNMP-сообщением может содержать IP-адреса или может ссылаться на IP-адреса, используя для этого индекс из MIB-таблицы (Management Information Base). Следовательно, когда сетевые элементы, расположенные внутри корпоративного сегмента, управляются IP-узлом, расположенном в сети общего пользования, то тогда IP(SNMP)-пакеты, передаваемые через NAT-модуль, могут содержать информацию, которая не имеет отношения ко внешней сети. В таких случаях, может быть использован SNMP-ALG-субмодуль (RFC 2962), который будет прозрачно преобразовывать корпоративные IP-адреса в глобальные зарегистрированные IP-адреса. Такой SNMP-ALG-субмодуль предполагает применение статического отображения адресов и двунаправленного NAT-модуля. Такая схема может функционировать только при определенном наборе типов данных, «понимаемых» SNMP-ALG-субмодулем, и с конкретным набором MIB-модулей. Более того, замена IP-адресов в поле полезной нагрузки IP-пакета с SNMP-сообщением может повлечь сбои при функционировании виртуального соединения, так как может измениться размер сообщения или его лексикографический порядок.
Попытка создания SNMP-ALG-субмодуля, который был бы полностью прозрачен для всех прикладных управляющих систем, является не выполнимой задачей. SNMP-ALG-субмодуль функционирующий совместно с SNMPv3 будет создавать множество проблем, связанных с обеспечением безопасности, особенно когда используется процедура аутентификации (и может быть дополнительно процедура обеспечения конфиденциальности), при чем до тех пор, пока он не будет иметь доступ к криптоключам.
В противном случае, необходимо использование уполномоченных SNMP-серверов (proxy SNMP-server), которые будут функционировать совместно с NAT-модулями для отправки SNMP-сообщений SNMP-объектам, расположенным в сети общего пользования (и наоборот). Уполномоченные SNMP-серверы специально приспособлены к условиям корпоративного сетевого сегмента и, следовательно, способны функционировать не зависимо от специфики управляемых сетевых объектов, к которым обеспечивают доступ. Такая схема (с применением SNMP-уполномоченных) требует использования внешнего управляющего модуля, который был бы «проинформирован» о наличии уполномоченного SNMP-сервера, а управляемые SNMP-объекты должны быть настроены так, чтобы они направляли свой SNMP-трафик (запросы и ответы) на этот уполномоченный SNMP-сервер.