به نقل از شبکه

مدیریت شبکه‌های کامپیوتری یک فرآیند زمان‌بر و گاهی اوقات مشکل است، با این‌حال اگر بدانید که باید چه کاری انجام دهید و ابزارهای مربوطه را داشته باشید به راحتی قادر به مدیریت شبکه‌های مختلف هستید. البته داشتن تجربه، پیاده‌سازی درست شبکه‌ها و آشنایی با محیط عملیاتی کمک زیادی در این فرآیند می‌کنند، اما در بیشتر موارد لازم است با یکسری ابزارها و مفاهیم مرتبط با مدیریت شبکه‌ها آشنایی داشته باشید.

1. سامانه تشخیص نفوذ AIDE
نرم‌افزارAIDE یک سامانه پیشرفته تشخیص رخنه Host است که در حقیقت می‌تواند سیستم ما را اسکن نموده و هر تغییری که روی فایل‌ها و دایرکتوری‌ها که به دلایل مختلف از جمله نفوذ، تغییر با روت‌کیت‌ها و…. وجود آمده باشد را گزارش دهد. این نرم‌افزار به عنوان جایگزینی Free در سال ۲۰۱۰ برای نرم‌افزار Tripwire ارائه شد. نحوه عملکرد AIDE به این صورت است که یک snapshot از وضعیت سیستم بر اساس المان‌هایی چون الگوریتم‌های message digest و خصایص فایل‌ها تهیه می‌کند و در بانک اطلاعاتی خود ذخیره می‌نماید که معمولاً فایل snapshot به منظور امنیت بیشتر در یک External Device نگهداری می‌شود. هنگامی که مدیر سیستم می‌خواهد صحت و سلامت سیستم را آزمایش کند با دستور aide سیستم را دوباره اسکن می‌نماید و خروجی تست با فایل snapshot مقایسه می‌گردد. نرم‌افزار AIDE تمامی تغییرات به وجود آمده را می‌یابد و برای مدیر سیستم گزارش تغییرات ارسال می‌گردد. این نرم‌افزار فوق قابل حمل است و می‌توان از آن طوری استفاده کرد که شخص مهاجم به هیچ وجه از وجود آن در سیستم ما مطلع نشود. به مدیران سیستم‌های لینوکس پیشنهاد می‌شود که این نرم‌افزار را بر روی سرورهای عملیاتی خود نصب نمایند. برای اطلاعات بیشتر در خصوص این ابزار به آدرس https://aide.github.io/ مراجعه کنید.

2. Suricata
سوریکاتا (Suricata) یک سامانه تشخیص نفوذ (IDS) و سامانه جلوگیری از نفوذ (IPS) منبع باز است که توسط بنیاد امنیت اطلاعات باز OISF توسعه داده شده ‌است. نسخه بتا آن در دسامبر ۲۰۰۹ و نسخه اول آن در ژوئیه ۲۰۱۰ منتشر شده‌است. ابزارهای شخص ثالث موجود برای اسنورت با سوریکاتا نیز سازگارند که از آن جمله می‌توان به Snorby، BASE، Sguil (رایگان)، Aanval (تجاری) و Telesoft CERNE Open IDS Platform (تجاری) اشاره کرد.

3. سامانه تشخیص نفوذ مبتنی بر شبکه
سیستم تشخیص نفوذ مبتنی بر شبکه (Network Intrusion Detection System) شناسایی و تشخیص نفوذهای غیرمجاز قبل از رسیدن به سیستم‌های بحرانی، به عهده سامانه تشخیص نفوذ مبتنی بر شبکه‌است. NIDS، به عنوان دومین نوع IDSها، در بسیاری از موارد عملاً یک Sniffer هستند که با بررسی بسته‌ها و پروتکل‌های ارتباطات فعال، به جستجوی تلاش‌هایی که برای حمله صورت می‌گیرد می‌پردازند. به عبارت دیگر معیار NIDS، تنها بسته‌هایی است که بر روی شبکه‌ها رد و بدل می‌گردد. از آن جایی که NIDS تشخیص را به یک سیستم منفرد محدود نمی‌کنند، عملاً گستردگی بیشتری داشته و فرایند تشخیص را به صورت توزیع شده انجام می‌دهند. با این وجود این سیستم‌ها در رویایی با بسته‌های رمزشده یا شبکه‌هایی با سرعت و ترافیک بالاکارایی خود را از دست می‌دهند. سیستم تشخیص نفوذ شبکه ترافیک یک شبکه را برای پیدا کردن فعالیت‌های مشکوک مثل یک حمله یا فعالیت‌های غیر مجاز مانیتور می‌کند. سرورهای بزرگ NIDS می‌تواند روی یک ستون فقرات (back bone) بارگذاری شود تا همه ترافیک‌ها را مانیتور کند یا یک سیستم کوچکتر می‌تواند کارگزاری شود تا ترافیک یک بخشی از سرور را مانیتور کند، مثل سوئیچ و روتر. به علاوه برای مانیتور کردن ترافیک ورودی و خروجی شبکه، سرور NIDS می‌تواند فایل‌های سیستم را اسکن کند تا فعالیت‌های غیر مجاز را پیدا کندو جامعیت داده‌ها و فایل‌ها را حفظ کند. سرور NIDS می‌تواند تغییراتی را که در اجزای هسته سرور ایجاد می‌شود را شناسایی کند. علاوه بر مانیتور کردن ترافیک، سرور NIDS می‌تواند فایل‌های لاگ سرور را اسکن کند و ترافیک‌های مشکوک را پیدا کند. سرور NIDS به عنوان امنیت اولیه مانند دیوار آتش و رمزنگاری و روش‌های احراز هویت قرار داده نمی‌شود سرور NIDS یک پشتیبان از تمام وسایل شبکه است که باید با اقدامات احتیاطی رایج مانند ایجاد امنیت فیزیکی، قانون‌های امنیتی به ثبت رسیده و غیره کارگزاری شود.

4. توان عملیاتی
توان عملیاتی (Throughput) یک شبکه را می‌توان با استفاده از ابزارهای مختلف موجود روی سیستم‌عامل‌های مختلف اندازه‌گیری کرد. دلیل اندازه‌گیری توان عملیاتی در شبکه‌ها این است که متخصصان شبکه تمایل دارند از حداکثر توان عملیاتی داده‌ها در یک لینک ارتباطی یا دسترسی به شبکه در واحد بیت (bit) بر ثانیه، اطلاع داشته باشند. روش رایج برای اندازه‌گیری این کمیت این است که یک فایل بزرگ را از یک سیستم به سیستم دیگر انتقال می‌دهند و زمان مورد نیاز برای تکمیل انتقال یا کپی فایل را محاسبه می‌کنند. سپس توان عملیاتی با تقسیم اندازه فایل در آن زمان، در واحد مگابیت (megabit) بر ثانیه، کیلوبیت (kilobit) بر ثانیه یا بیت در ثانیه به‌دست می‌آید. متأسفانه، نتایج حاصل از چنین آزمایشی در محدوده توان عملیاتی عادی است که کمتر از حداکثر توان عملیاتی داده‌ها است. به همین دلیل برخی کارشناسان شبکه تصور می‌کنند لینک ارتباطاتشان به درستی عمل نمی‌کند. در واقع، علاوه بر سربارهای انتقال، رکود، اندازه فیلد Windows دریافت شده از TCP و محدودیت‌های سیستم در بیشتر آزمایش‌ها لحاظ می‌شود که در مجموع اجازه نمی‌دهد حداکثر توان عملیاتی به درستی نشان داده شود.

5. چگونه حداکثر پهنای باند را محاسبه کنیم؟
حداکثر پهنای باند از فرمول زیر به‌دست می‌آید:

در فرمول فوق که به‌نام RWIN نامیده می‌شود فیلد Window دریافت شده از TCP و RTT زمان رفت و برگشت (round-trip time) در مسیر است. حداکثر اندازه فیلد Window در پروتکلTCP، در صورت عدم وجود گزینه فیلد Window مقیاس، ۶۵۵۳۵ بایت است. مثال زیر نحوه استفاده از فرمول فوق را نشان می‌دهد.

حداکثر پهنای باند = 0.220 ثانیه/۶۵۵۳۵بایت = 297886.36 بایت / ثانیه * ۸ = 2.383 مگابیت / ثانیه

برای دریافت نرخ بیت در واحد ثانیه، تعداد بایت در هر ثانیه را در ۸ ضرب می‌کنیم. روی یک اتصال TCP بین دو نقطه نهایی، پهنای باند آزمایش شده به ۲٫۳۷۶ مگابیت بر ثانیه محدود می‌شود، حتا اگر پهنای باند مقدار بیشتری باشد.

6. نرم‌افزار‌های مورد استفاده در آزمایش پهنای باند
نرم‌افزار آزمایش پهنای باند (Bandwidth) برای تعیین حداکثر پهنای باند شبکه یا اتصال اینترنت استفاده می‌شود. این کار معمولاً از طریق دانلود یا آپلود حداکثر مقدار داده در یک دوره معینی از زمان، یا مقدار معینی از داده در حداقل زمان، انجام می‌شود. به همین دلیل، تست‌های پهنای باند می‌توانند باعث تأخیر در انتقال داده روی اتصالات اینترنتی که تست‌ها روی آن انجام می‌شوند، همچنین باعث تراکم بار داده شوند. روش دقیق‌تر، استفاده از نرم‌افزارهای اختصاصی مثل Netcps، JDSU QT600، Spirent Test Center، IxChariot، Iperf، Ttcp، netperf یا bwping برای اندازه‌گیری حداکثر توان عملیاتی یک لینک دسترسی به شبکه است. به‌طور معمول افراد از اختصار عباراتی که کاربرد زیادی دارند، استفاده می‌کنند. هنگامی که در مورد نرخ بیت مدار صحبت می‌کنیم از اصطلاحات توان عملیاتی، پهنای باند و سرعت استفاده کرده و سرعت مدار را به صورت 64k یا 2meg به معنی مداری با سرعت ۶۴ کیلوبیت بر ثانیه یا ۲ مگابیت بر ثانیه، نشان می‌دهند. با این حال یک مدار با سرعت 64k، فایلی با حجم 64k را نمی‌تواند در یک ثانیه منتقل کند. این مسئله ممکن است برای افرادی که با امور مخابراتی و محاسباتی ناآشنا هستند واضح و روشن نباشد، به‌طوری‌که گاهی دچار اشتباه می‌شوند. در حقیقت یک فایل با حجم ۶۴ کیلوبایت، 8 * 1024 * 64 بیت حجم دارد و یک مدار با سرعت 64k، با سرعت 1000 * 64 بیت در هر ثانیه عمل انتقال را انجام می‌دهد، بنابراین زمان لازم برای انتقال این فایل از طریق مدار 64k حداقل (8 * 1024 *64) / (1000*64) ثانیه معادل ۸٫۱۹۲ ثانیه است.

7. فشرده‌سازی
برخی از تجهیزات با فشرده‌سازی داده‌هایی که باید ارسال شوند کیفیت کانال را بهبود می‌بخشند. اکثر مودم‌های آنالوگ و چند سیستم‌عامل مدرن از این ویژگی استفاده می‌کنند. اگر حجم یک فایل (۶۴کیلوبایتی) را بتوان با فشرده‌سازی کاهش داد، زمان مورد نیاز برای انتقال آن کم می‌شود. این‌کار می‌تواند از دید کاربر پنهان باشد، در نتیجه انتقال یک فایل فشرده شده می‌تواند به‌طور قابل ملاحظه‌ای سریعتر از حد انتظار انجام شود. از آن‌جایی که این فشرده‌سازی پنهان را به راحتی نمی‌توان غیرفعال کرد، بنابراین برای اندازه‌گیری توان عملیاتی با استفاده از انتقال فایل‌ها و زمان‌بندی زمان انتقال، باید از فایلی استفاده کرد که امکان فشرده‌سازی نداشته باشد. اغلب برای این منظور از فایل‌های فایل‌های زیپ (zip) استفاده می‌کنند. با فرض این‌که امکان فشرده کردن داده‌ها وجود نداشته باشد، برای انتقال یک فایل ۶۴ کیلوبایتی بر روی یک کانال انتقال ۶۴ کیلوبیت بر ثانیه، زمانی‌که در حالت تئوری به‌دست می‌آید ۸٫۱۹۲ ثانیه است که حداقل زمان انتقال است و در عمل زمان بیشتری لازم است. این به علت وجود اثر سربار که برای قالب‌بندی داده در حالت توافق شده ‌استفاده می‌شود، به وجود می‌آید. بنابراین هر دو سمت ارتباط یک دید مداوم و ثابت از داده دارند. اترنت یکی از فناوری‌های شبکه محلی (LAN) است که از روش قاب‌بندی استفاده می‌کند. روش‌های تعریف قاب به عنوان یک جریان الکتریکی در اتصال بین دو سیستم یک شبکه گسترده که از روش‌های HDLC یا PPP استفاده می‌کنند متفاوت است، اما این جزییات برای محاسبه توان عملیاتی اهمیتی ندارند. اترنت یک رسانه مشترک است، به‌طوری‌که هیچ تضمینی وجود ندارد که اتصال شبکه منحصراً در اختیار دو سیستمی باشد که در حال تبادل داده هستند. اگر چندین سیستم به‌طور هم‌زمان برای برقراری ارتباط تلاش کنند، توان عملیاتی بین هر جفت از سیستم‌ها به‌طور قابل ملاحظه‌ای پایین‌تر از مقداری خواهد شد که به صورت تئوری محاسبه می‌شود. سیستم‌های کمی هستند که فایل‌ها و داده‌ها را به سادگی با کپی کردن محتوای فایل در بخش رشته داده(data field) از قاب HDLC یا PPP انتقال می‌دهند. پروتکل دیگری وجود دارد که برای قالب‌بندی داده درون بخش رشته داده از قاب HDLC یا PPP استفاده می‌کند. رایج‌ترین پروتکل مورد استفاده برای این‌کار IP است که توسط RFC 791 تعریف شده‌ و سربار خاص خود را دارد. البته این امکان وجود دارد که از روش ساده کپی محتوای فایل درون بسته IP استفاده شود، اما در عین حال از پروتکل دیگری برای مدیریت اتصال میان دو سیستم نیز بهره می‌برند که همان پروتکل TCP (پروتکل کنترل انتقال) است و توسط RFC 1812 تعریف شده‌ است. این پروتکل نیز سربار مخصوص خود را دارد. در نهایت یک پروتکل نیز فرایند واقعی انتقال داده را مدیریت می‌کند. رایج‌ترین پروتکل برای این کار پروتکل انتقال فایل (FTP) است.

8. اکتیو دایرکتوری
اکتیو دایرکتوری (Active Directory) از سرویس‌های شرکت مایکروسافت برای مدیریت منابع شبکه است که به وسیله کنترل کننده دامنه (دامین کنترلر) مدیریت می‌شود و در اساس یک کنترل‌کننده متمرکز شبکه است که برای سرویس‌دهنده‌های بر مبنای ویندوز سرور تهیه گردیده‌است. بدون اکتیو دایرکتوری مدیریت منابع نیازمند مدیریت تک‌به‌تک آن‌ها به صورت منفرد است، در حالی که توسط اکتیو دایرکتوری مدیریت منابع شبکه به صورت مجتمع صورت می‌گیرد. این فناوری طوری طراحی شده‌است که مسئولیت رسیدگی به تعداد زیادی عملیات خواندن و جستجو و همچنین تعداد قابل توجهی تغییرات و بروزرسانی‌های کوچک را به عهده دارد. اطلاعات اکتیو دایرکتوری سلسله مراتبی، برگردان و قابل تمدید هستند. به دلیل برگردان بودن کاربر نیازی به ذخیره‌سازی اطلاعات پویا، همانند قیمت سهام یک شرکت بزرگ یا عملکرد واحد پردازش مرکزی ندارد. به‌عنوان مثال برای به‌اشتراک‌گذاری چند پوشه روی شبکه در حالتی که اکتیو دایرکتوری موجود نباشد نیازمند تعیین دسترسی هر کاربر در هر پوشه به صورت مجزا می‌باشیم و با بروز تغییرات در کاربران و پوشه‌ها بایستی این تغییرات به صورت مجزا اعمال گردد در حالی که در حالت اکتیو دایرکتوری با اعمال قوانین گروهی (group policy) می‌توان این اعمال را به صورت متمرکز انجام داد. مثال دوم به‌کارگیری اکتیو دایرکتوری زمانی است که کاربر تصمیم به تعویض گذرواژه خود می‌گیرد تمامی سیستم‌های کاربری که با اکتیو دایرکتوری مجتمع شده‌اند به صورت خودکار با گذرواژه جدید شما هماهنگ می‌گردند و نیازی به تغییر تک تک آن‌ها نمی‌باشد. سروری که سرویس اکتیودایرکتوری را ارائه می‌کند، دامین کنترولر (DC) نام دارد. این سیستم وظیفه احراز هویت و تعیین سطح دسترسی برای تمامی کاربران و کامپیوترهای متصل به دامین را بر عهده دارد. به‌طور مثال وقتی یک کاربر به یک کامپیوتر متصل به دامین لاگین می‌کند، اکتیو دایرکتوری صحت گذرواژه را بررسی می‌کند و مشخص می‌کند آن کاربر چه سطح دسترسی را دارا می‌باشد. اکتیو دایرکتوری از پروتکل‌های LDAP نسخه ۲ و ۳، کربرس و DNS استفاده می‌کند.

9. LDAP
قرارداد دسترسی سبک‌وزن راهنما (Lightweight Directory Access Protocol) قراردادی در شبکه‌های رایانه‌ای و در لایه کاربرد است که برای ارتباط با سرویس دایرکتوری استفاده می‌شود. این قرار داد در RFC 2251 و RFC 3377 مستندسازی شده‌است. ال‌دپ امکان مدیریت و ارتباط با دایرکتوری‌های مختلف روی شبکه که هر یک ممکن است سکوی سیستم‌عاملی و ساختار متفاوتی داشته باشند را فراهم می‌آورد. این سرویس در لینوکس توسط ابزار اوپن‌ال‌دپ قابل اجرا است. سرویس‌های ایمیل و سایر برنامه‌ها می‌توانند با استفاده از این قرارداد اطلاعات روی کارساز را بیابند. کارسازهای ال‌دپ اطلاعات مدخل‌های خود را فهرست می‌کنند و برای دسترسی به اطلاعات مورد نظر، می‌توان از پالایه‌های مختلف استفاده کرد. از ال‌دپ می‌توان برای جستجوی اطلاعات تماس افراد، گواهینامه‌های رمزنگاری و دیگر سرویس‌های شبکه استفاده کرد و در جایی که یک گذرواژه کاربر در سرویس‌های مختلف یکسان باشد می‌توان با یک ثبت ورود به همگی آن‌ها وارد شد. ال‌دپ برای هر نوع اطلاعات دایرکتوری‌مانندی که به‌روزرسانی‌هایش بسامد کمی داشته باشد و یافتن سریع مد نظر باشد مناسب خواهد بود. مانند دیگر قراردادهای شبکه این قرارداد شیوه عملکرد برنامه‌ها را تعیین نمی‌کند، بلکه زبان مورد استفاده برای ارتباط را مشخص می‌کند. در ال‌دپ شیوه رمزنگاری اطلاعات تعریف نشده است، برای رمزنگاری باید از روش‌های حفاظتی دیگری مانند استفاده از اس‌اس‌ال بهره جست. سرپرستان شبکه می‌توانند دسترسی به کارساز ال‌دپ را برای گروه خاصی از کاربران محدود کنند و برخی اطلاعات را خصوصی نگاه دارند.

10. Firewall
دیوار آتش (Firewall) نام عمومی برنامه‌هایی است که از دستیابی غیرمجاز به یک سیستم رایانه جلوگیری می‌کنند. در برخی از این نرم‌افزارها، برنامه‌ها بدون اخذ مجوز قادر نخواهند بود از یک رایانه برای سایر رایانه‌ها، داده ارسال کنند. به این گونه نرم‌افزارها، تارباروی دو طرفه گویند، زیرا علاوه بر درگاه ورودی (Incoming)، درگاه‌های خروجی (Outing) هم کنترل می‌شوند. بسته‌های اطلاعاتی که حاوی اطلاعات بدون مجوز هستند، به وسیله تاربارو متوقف می‌شوند. نوع دیگری از فایروال نیز وجود دارد که به آن فایروال معکوس می‌گویند. فایروال معکوس ترافیک خروجی شبکه را فیلتر می‌کند، برخلاف فایروال معمولی که ترافیک ورودی را فیلتر می‌کند. در عمل، فیلتر کردن برای هر دوی این مسیرهای ورودی و خروجی، احتمالاً توسط دستگاه یا نرم‌افزار یکسانی انجام می‌شود. فایروال‌ها صرفاً پورت‌های ضروری برای کاربران یا سایر برنامه‌های موجود در خارج از شبکه را در دسترس و قابل استفاده می‌کنند. برای افزایش ایمنی، سایر پورت‌ها غیرفعال می‌گردد تا امکان استفاده از آنان توسط هکرها وجود نداشته باشد. در برخی موارد و با توجه به نیاز یک برنامه می‌توان موقتاً تعدادی از پورت‌ها را فعال و پس از اتمام کار مجدداً آنان را غیرفعال نمود. اگر برای اتصال به اینترنت از وسیله‌ای مانند روتر بیسیم، دستگاهی که به شما امکان می‌دهد تا از اینترنت بیسیم استفاده کنید، داشته باشید احتمالاً هم‌اکنون نیز دیوار آتش دارید و نیازی به نصب جداگانه آن بر روی سیستم در بسیاری از مواقع وجود ندارد. سیستم‌های فایروال معمولاً به سه دسته عمومی تقسیم‌بندی می‌شوند. البته یک سیستم ممکن است ترکیبی از گونه‌های مختلف فایروال را هم‌زمان استفاده کند.

11. پالایش‌کننده بسته‌های اطلاعاتی (Packets)
در این‌گونه سیستم‌ها بسته‌ها بر اساس قانون خاصی متوقف می‌شوند. این قانون می‌تواند بستگی به جهت حرکت بسته، پروتکل خاص استفاده شده، آدرس فرستنده، شماره پرت پرتکل (مثلاً در TCP/IP)، واسطه فیزیکی و غیره طراحی شده باشد. این‌گونه فایروال معمولاً در روتر(Router) انجام می‌شود. به عنوان مثالی معروف از Configurable access control lists یا ACLs در روترهای Cisco می‌توان نام برد.

12. بازرسی‌کننده سطوح بالاتر شبکه
این‌گونه سیستم‌ها مانند تصفیه‌کننده بسته‌های اطلاعاتی بوده با این تفاوت که به دلیل آگاهی از تمامی لایه‌ها و سطوح مختلف در stack پروتکل هوشمندتر عمل می‌کنند. این‌گونه سیستم‌ها معمولاً حافظه دار بوده اجازه آن را می‌دهد که به یک بسته اطلاعاتی نه به صورت مجزا بلکه به عنوان بخشی از جریان داده‌ها نگاه کند.

13. سرویس دهنده پروکسی
یک یا چند سیستم که به نظر می‌آید که خدماتی را به خارج می‌دهند، اما به‌طور معمول به عنوان پروکسی برای سیستم اصلی عمل می‌کنند؛ بنابراین سیستم خارجی مستقیماً به سیستم درونی وصل نشده و پروکسی بین آن‌ها قرار می‌گیرد. پیاده‌سازی آن‌ها می‌توانند در سطح مدار(سخت‌افزار) یا در سطح برنامه رایانه‌ای (نرم‌افزار) باشد.

14. SNMP
پروتکل مدیریت آسان شبکه (Simple Network Management Protocol‎) قراردادی جهت نقل و انتقال بسته‌های داده که در لایۀ کاربرد روی TCP/IP یا قرارداد داده‌نگار کاربر پیاده‌سازی می‌شود. این پروتکل که برای ساده‌کردن نقل و انتقالات بسته‌های مدیریت سیستم‌ها طراحی شده‌است، فقط پنج فرمان دارد که ساختار همه آن‌ها کاملاً مشخص و معلوم است. با استفاده از همین پنج فرمان می‌توان کل نیارمندی‌های مدیریت یک وسیله از روی شبکه را مدیریت کرد. این پروتکل داده‌های وابسته با جابجایی مدیریت بین سرورهای شبکه را پشتیبانی می‌کند. SNMP در لایۀ Application از مدل OSI رفتار می‌نماید؛ به این گونه که برای جلوگیری از پیدایش ناهماهنگی در کارکرد پروتکل TCP/IP، پروتکل SNMP تبادل داده را بدون برگزاری پیوند انجام می‌دهد، یعنی داده فرستاده شده با این پروتکل از لایۀ Session که لایۀ برگزارکنندۀ اتصال میان فرستنده و گیرنده است نمی‌گذرد و در نتیجه برای ارسال داده خط اشغال نشده و اختلالی در کارکرد پروتکل اصلی شبکه (TCP/IP) پدید نمی‌آید. در واقع پروتکل SNMP راهی را در شبکه برای ارسال داد پدید نمی‌آورد، بلکه داده را از یک میانگاه به میانگاه دیگر راهبری می‌کند تا به مقصد برسد. از همین رو، قابلیت اطمینان پروتکل SNMP که حاوی لایۀ Session نمی‌باشد، کمتر از پروتکل TCP/IP است.کاربرد این پروتکل در شبکه‌های با بیش از یک سرور ( مانند سیستم‌های اتوماسیون پست‌‌ها که دارای دو سرور روشن و سرورذخیره روشن هستند) می‌باشد که با از دست رفتن سرور روشن، پیام راه‌اندازی سرور ذخیره از سوی این پروتکل به آن داده شده و روشن می‌گردد و مدیریت شبکه را به جای سرور از دست رفته به عهده می‌گیرد.