Plan wykładu. Zarządzanie

Plan wykładu Zarządzanie Sieciami Komputerowymi Bartosz Brodecki email: Bartosz.Brodecki@cs.put.poznan.pl Instytut Informatyki Politechnika Poznańska 16 listopada 2011 1 Wstęp Zarządzanie Systemy zarządzania siecią Monitorowanie sieci 2 Bazy MIB Struktura Informacji Zarządzania SMI Bazy MIB 3 SNMP Standardy Zarządzania Historia SNMP SNMPv1 SNMPv2 SNMPv3 Zdalne Monitorowania RMON Rozszerzalny Agent AgentX 4 Podsumowanie Bartosz Brodecki 2008 Zarządzanie Sieciami Komputerowymi [1/72] Wstęp Definicja Zarządzanie Siecią Komputerową obejmuje wdrażanie, integrację i koordynację sprzętu, oprogramowania i ludzi do monitorowania, testowania, odpytywania, konfigurowania, analizy, oceny i sterowania siecią komputerową i jej zasobami, w celu spełnienia przez sieć komputerową wymagań czasu rzeczywistego, efektywności działania i jakości usług za rozsądną cenę [Kurose2003]p677 za [Saydam1996] Zarządzanie Zarządzanie dzielimy na: zarządzanie w sytuacjach awaryjnych zarządzanie wykorzystania zasobów zarządzanie konfiguracją i nazwami zarządzanie wydajnością zarządzanie bezpieczeństwem Wymagania dotyczące zarządzania powinny być określane w zależności od branży i wymagań firmy. Bartosz Brodecki 2008 Zarządzanie Sieciami Komputerowymi [3/72] Bartosz Brodecki 2008 Zarządzanie Sieciami Komputerowymi [4/72]

Zarządzanie w sytuacjach awaryjnych Sprawne działanie złożonej sieci zależy od działania poszczególnych składników oraz sieci jako całości. Dlatego każde uszkodzenie należy: dokładnie zlokalizować odizolować uszkodzoną część brak zakłóceń ze strony uszkodzonej części zmodyfikować sieć zmniejszyć wpływ uszkodzonej części naprawić uszkodzone składniki przywrócić sieć do pierwotnego stanu Każdy oczekuje sprawnego postępowania i szybkiego usuwania awarii, jednak do tego potrzebne są sprawne procedury szybkiego wykrywania problemów Zarządzanie wykorzystaniem zasobów Należy nadzorować, czy: użytkownik nie nadużywa praw do zasobów użytkownik nie obciąża nadmiernie sieci blokując dostęp innym sieć jest wykorzystywana efektywnie przez użytkowników Wiedza o wykorzystaniu zasobów ułatwia planowanie ewentualnej rozbudowy istniejącej sieci pod kątem wymagań oraz działalności poszczególnych użytkowników sieci Bartosz Brodecki 2008 Zarządzanie Sieciami Komputerowymi [5/72] Zarządzanie konfiguracją i nazwami Bartosz Brodecki 2008 Zarządzanie Sieciami Komputerowymi [6/72] Zarządzanie wydajnością Użytkowników należy informować z wyprzedzeniem o planowanych wyłączeniach urządzeń. Ważne zagadnienia z punktu widzenia zarządzania wydajnością: stopień wykorzystania przepustowości nadmiarowość ruchu w sieci spadek przepustowości do nieakceptowalnego poziomu sieciowe wąskie gardła zwiększający się czas odpowiedzi Kopie konfiguracji wszystkich urządzeń sieciowych powinny być przechowywane w bezpieczny sposób. Na zarządzanie wydajnością składa się monitorowanie i sterowanie Bartosz Brodecki 2008 Zarządzanie Sieciami Komputerowymi [7/72] Bartosz Brodecki 2008 Zarządzanie Sieciami Komputerowymi [8/72]

Zarządzanie bezpieczeństwem Każda informacje zebrana we poprzednich fazach musi być chroniona. Ochronę należałoby zapewnić już na etapie transmisji. Fakt Zarządzanie bezpieczeństwem to także ochrona i uwierzytelnianie dostępu do usług systemu informatycznego. Bardzo ważnym narzędziem kontroli bezpieczeństwa są wszelkie dzienniki zdarzeń, które należy gromadzić i analizować. Systemy zarządzania siecią System zarządzania siecią jest zbiorem narzędzi przeznaczonych do monitorowania oraz sterowania pracą sieci, zintegrowanych tak, aby stanowiły całość w następujących znaczeniach: stanowią interfejs przeznaczony dla jednego operatora, z bogatym i przyjaznym zestawem poleceń, umożliwiających wykonanie większości zadań zarządzania siecią wymagają minimalnej ilości dodatkowego wyposażenia większość wymaganego sprzętu i oprogramowania jest wbudowana w istniejące wyposażenie użytkownika Bartosz Brodecki 2008 Zarządzanie Sieciami Komputerowymi [9/72] Konfiguracja zarządzania siecią Bartosz Brodecki 2008 Zarządzanie Sieciami Komputerowymi [10/72] Monitorowanie sieci każdy węzeł zawiera część oprogramowania zarządzania siecią, zwaną jednostką zarządzania siecią (ang. NME Network Management Entity) lub agentem. Zadaniami agenta są: gromadzenie danych statystycznych o aktywności komunikacyjnej i innej związanej z działaniem sieci przechowywanie lokalnie gromadzonych danych statystycznych odpowiadanie na polecenia z centrum zarządzania siecią (CZS) wygenerowanie sztucznego ruchu w celu przeprowadzenia testów przesyłanie wiadomości do CZS po zmianie lokalnych warunków Monitorowanie to obserwacja i analizowanie sieci jako całości, poszczególnych węzłów oraz systemów końcowych. Główne obszary monitorowania to: dostęp do monitorowanej informacji projektowanie mechanizmów monitorowania zastosowanie monitorowanych informacji Rodzaje pozyskiwanych informacji: statyczne dynamiczne statystyczne Bartosz Brodecki 2008 Zarządzanie Sieciami Komputerowymi [11/72] Bartosz Brodecki 2008 Zarządzanie Sieciami Komputerowymi [12/72]

Elementy systemu monitorowania Podstawowe elementy systemu monitorowania sieci: aplikacja monitoringu do przyjaznego monitorowania sieci funkcja zarządcy odbiera dane ze wszystkich elementów sieci agent monitorujący tworzy analizy i podsumowania statystyczne informacji (może być zintegrowany z zarządcą) funkcja agenta (zwany agentem) zbiera informacje z jednego lub wielu elementów i przekazuje do zarządcy zarządzane obiekty - informacje zarządzania, które reprezentują zasoby sieciowe i wykonane zdarzenia Monitorowanie wydajności Monitorowanie wydajności sieci komputerowej jest warunkiem wstępnym dobrego zarządzania siecią Bardzo ważnym elementem jest wybór właściwych wskaźników mierzących wydajność sieci. Wskaźniki zorientowane na usługi dostępność czas odpowiedzi dokładność Wskaźniki zorientowane na wydajność przepustowość wykorzystanie Bartosz Brodecki 2008 Zarządzanie Sieciami Komputerowymi [13/72] Dostępność Definicja Jest to procent czasu, przez który sieć, komponent lub aplikacja są dostępne Dostępność wiąże się z: nadmiarowością niezawodnością (dokładność, stopy błędów, stabilność, czas między awariami) zdolnością do powrotu do normalnego stanu - regeneracji (jak łatwo i w jakim czasie sieć wydobywa się z problemów) elastycznością (odpornością na błędy) akcją ratunkową na wypadek katastrofy (plan ratunkowy) Bartosz Brodecki 2008 Zarządzanie Sieciami Komputerowymi [14/72] Wymagania - dostępność Inwestor powinien określić precyzyjnie wymagania odnośnie dostępności: dostępność 99.70% - nieakceptowalna (sieć niedostępna 30 minut na tydzień) dostępność 99.95% - akceptowalna (sieć niedostępna 5 minut na tydzień) nieakceptowalna dostępność 99.70% (30 minut na tydzień) może być akceptowalna przy innej jednostce czasu (10,7s na godzinę) nieakceptowalna dostępność 99.70% (30 minut na tydzień w środku dnia roboczego) może być akceptowalna w innym czasie, n.p. w sobotę wieczorem Bartosz Brodecki 2008 Zarządzanie Sieciami Komputerowymi [15/72] Bartosz Brodecki 2008 Zarządzanie Sieciami Komputerowymi [16/72]

Dostępność II Dostępność oparta jest na niezawodności poszczególnych składników sieci: niezawodność to prawdopodobieństwo, że składnik będzie wykonywał swoją funkcję w danym czasie w określonych warunkach awaryjność składnika wyrażana jest za pomocą MTBF Czas odpowiedzi Czas od momentu wydania polecenia do chwili pojawienia się odpowiedzi na terminalu: > 15s nie do przyjęcia > 4s tolerowane po długim czasie nieaktywności > 2s < 4s utrudniają skomplikowane operacje < 2s złożone operacje wymagające dokładności < 1s dla operacji graficznych < 0,1 s np. reakcja na kliknięcie myszką dostępność systemu zależy od dostępności jego składników składniki nadmiarowe Bartosz Brodecki 2008 Zarządzanie Sieciami Komputerowymi [17/72] Dokładność Bartosz Brodecki 2008 Zarządzanie Sieciami Komputerowymi [18/72] Przepustowość wierność danych przenoszonych między dwoma komputerami (aplikacjami) korekcja błędów, wbudowana w protokoły łącza danych i protokoły transportowe nie jest to zazwyczaj sprawa użytkownika ilości błędów ilość danych przesłanych bez błędu na jednostkę czasu, dotyczy połączenia, sesji czasami podaje się całkowitą przepustowość sieci w idealnym przypadku, przepustowość = pojemność pojemność zależy od technologii w warstwie fizycznej pojemność sieci powinna obsługiwać obciążenie sieci, nawet gdy pojawią się piki w ruchu teoretycznie, gdy rośnie obciążenie sieci, wzrasta przepustowość, aż do maksimum pełnej pojemności sieci przepustowość sieci zależy od metody dostępu, aktualnego obciążenia sieci i stopy błędów Bartosz Brodecki 2008 Zarządzanie Sieciami Komputerowymi [19/72] Bartosz Brodecki 2008 Zarządzanie Sieciami Komputerowymi [20/72]

Przepustowość II Pomiar dotyczący aplikacji ady: liczba transakcji danego typu w określonym przedziale czasu liczba sesji klienta z daną aplikacją w określonym przedziale czasu Wykorzystanie pomiar dokładniejszy niż przepustowość określa procent czasu, w jakim zasób jest wykorzystywany w określonym przedziale czasu najważniejszym zastosowaniem wykorzystania jest poszukiwanie potencjalnych zatorów i obszarów przeciążenia obliczanie pojemności łączy komunikacyjnych, na postawie obserwacji różnic między spodziewanym a rzeczywistym obciążeniem spodziewane obciążenie wyrażane przez pojemność rzeczywiste obciążenie to zmierzone średnie natężenie ruchu Bartosz Brodecki 2008 Zarządzanie Sieciami Komputerowymi [21/72] Struktura Informacji Zarządzania SMI Bartosz Brodecki 2008 Zarządzanie Sieciami Komputerowymi [22/72] SMI Standardy: RFC 1155 SMI v1 RFC 1212 zwięzły sposób definiowania baz MIB RFC 2578 SMI v2 RFC 2579 tekstowa konwencja zapisu Informacje wymieniane pomiędzy agentem a zarządcą muszą być w formie: skalarów tablic 2-wymiarowych tablic skalarów Protokół SNMP umożliwia przesyłanie skalarów w zapisie zgodnym z ASN.1 Standardy te pozwalają na prosty zapis nowych baz MIB Skalar to format zapisu liter, cyfr, znaków specjalnych Bartosz Brodecki 2008 Zarządzanie Sieciami Komputerowymi [24/72] Bartosz Brodecki 2008 Zarządzanie Sieciami Komputerowymi [25/72]

Typy skalarów typy SMI v1 SMI v2 proste INTEGER INTEGER(-2147483648..2147483647 OCTET STRING OCTET STRING (SIZE (0..65535)) OBJECT IDENTIFIER OBJECT IDENTIFIER Integer32 aplika- Unsigned32 cyjne Gauge Gauge32 Counter Counter32 Counter64 TimeTicks TimeTicks IpAddress IpAddress Opaque Opaque NetworkAddress RowStatus pseudo BITS Bartosz Brodecki 2008 Zarządzanie Sieciami Komputerowymi [26/72] Nazewnictwo obiektów II Nazewnictwo obiektów Liście w powyższym drzewie reprezentują zarządzane obiekty. Nazewnictwo węzłów zostało wprowadzone, aby uprościć zrozumienie poszczególnych obiektów. aktywny identyfikator obiektu = 111.1 instancja obiektu = 111.1.0 wartość instancji = 1 Bartosz Brodecki 2008 Zarządzanie Sieciami Komputerowymi [27/72] Nazewnictwo obiektów III MIBs nazwisko imię identyfikator obiektu = 111.2 instancja obiektu = 111.2.0 wartość instancji = Kowalski identyfikator obiektu = 111.3 instancja obiektu = 111.3.0 wartość instancji = Jan nazwa-uczelni identyfikator obiektu = 111.4 instancja obiektu = 111.4.0 wartość instancji = PP Bartosz Brodecki 2008 Zarządzanie Sieciami Komputerowymi [28/72] Bartosz Brodecki 2008 Zarządzanie Sieciami Komputerowymi [29/72]

Porządek leksykograficzny Słowa kluczowe i ich opcje Bartosz Brodecki 2008 Zarządzanie Sieciami Komputerowymi [30/72] Struktura bazy NAZWA-MIB DEFINITIONS ::= BEGIN importowanie obiektów definiowanie identyfikacji obiektu definiowanie wszystkich węzłów i liści (obiektów) definiowanie wymaganych implementacji END SMI v1 SMI v2 opis SYNTAX SYNTAX typ skalaru ACCESS MAX-ACCESS dostęp do obiektu read-only read-only read-write read-write write-only read-create not-accessible not-accessible accessible-for-notify STATUS STATUS poziom implementacji obiektu mandatory optional current obsolete obsolete deprecated deprecated DESCRIPTION DESCRIPTION opis obiektu INDEX INDEX definiuje indeks w tablicy AUGMENTS Bartosz Brodecki 2008 Zarządzanie Sieciami Komputerowymi [31/72] Definiowanie identyfikacji obiektu przykład Sposób pierwszy: i n d e k s MODULE IDENTITY LAST UPDATED " 200810220000Z" ORGANIZATION "PUT" CONTACT INFO " B a r t o s z B r o d e c k i " DESCRIPTION "MIB i n d e k s u s t u d e n t a " ::= { mib 2 111 } Sposób drugi: i n d e k s OBJECT IDENTIFIER ::= {mib 2 111} Bartosz Brodecki 2008 Zarządzanie Sieciami Komputerowymi [32/72] Bartosz Brodecki 2008 Zarządzanie Sieciami Komputerowymi [33/72]

przykład I przykład II 1 INDEKS MIB DEFINITIONS ::= BEGIN 2 IMPORTS 3 OBJECT TYPE FROM RFC 1212 4 MODULE IDENTITY, mib 2 FROM SNMPv2 SMI ; 5 6 i n d e k s MODULE IDENTITY 7 LAST UPDATED "200810220000Z" 8 ORGANIZATION "PUT" 9 CONTACT INFO " Bartosz Brodecki " 10 DESCRIPTION "MIB indeksu studenta " 11 ::= { mib 2 111 } 12 13 i n d e k s OBJECT IDENTIFIER ::= {mib 2 111} 14 15 aktywny OBJECT TYPE 16 SYNTAX INTEGER ( 0.. 1 ) 17 MAX ACCESS read write 18 STATUS c u r r e n t 19 DESCRIPTION " aktywny i n d e k s " 20 ::= { i n d e k s 1 } 21 22 n a z w i s k o OBJECT TYPE 23 SYNTAX OCTET STRING 24 MAX ACCESS read write 25 STATUS c u r r e n t 26 DESCRIPTION " nazwisko studenta " 27 ::= { i n d e k s 2 } 28 i m i e OBJECT TYPE 29 SYNTAX OCTET STRING 30 MAX ACCESS read write Bartosz Brodecki 2008 Zarządzanie Sieciami Komputerowymi [34/72] przykład III Bartosz Brodecki 2008 Zarządzanie Sieciami Komputerowymi [35/72] przykład IV 31 STATUS c u r r e n t 32 DESCRIPTION " imie studenta " 33 ::= { i n d e k s 3 } 34 nazwa uczelni OBJECT TYPE 35 SYNTAX OCTET STRING 36 MAX ACCESS read only 37 STATUS c u r r e n t 38 DESCRIPTION " nazwa u c z e l n i " 39 ::= { i n d e k s 4 } 40 p r z e d m i o t T a b l e OBJECT TYPE 41 SYNTAX SEQUENCE OF PRZEDMIOT 42 MAX ACCESS n o t a c c e s s i b l e 43 STATUS c u r r e n t 44 DESCRIPTION " t a b l i c a z p r z e d m i o t a m i " 45 ::= { i n d e k s 5 } 46 PRZEDMIOT ::= SEQUENCE { nazwa OCTET STRING, 47 prowadzacy OCTET STRING, 48 ocena INTEGER ( 2 0.. 5 0 ), 49 s e m e s t r INTEGER ( 1.. 1 0 ) } 50 p r z e d m i o t E n t r y OBJECT TYPE 51 SYNTAX PRZEDMIOT 52 MAX ACCESS n o t a c c e s s i b l e 53 STATUS c u r r e n t 54 DESCRIPTION " o p i s p r z e d m i o t u " 55 INDEX { nazwa } 56 ::= { p r z e d m i o t T a b l e 1 } 57 nazwa OBJECT TYPE 58 SYNTAX OCTET STRING ( SIZE ( 1 0 ) ) 59 MAX ACCESS read write 60 STATUS c u r r e n t 61 DESCRIPTION " nazwa przedmiotu " 62 ::= { p r z e d m i o t E n t r y 1 } 63 prowadzacy OBJECT TYPE 64 SYNTAX OCTET STRING 65 MAX ACCESS read write 66 STATUS c u r r e n t 67 DESCRIPTION " nazwisko prowadzacego przedmiot " 68 ::= { p r z e d m i o t E n t r y 2 } 69 ocena OBJECT TYPE 70 SYNTAX INTEGER 71 MAX ACCESS read write 72 STATUS c u r r e n t 73 DESCRIPTION " ocena koncowa z przedmiotu " 74 ::= { p r z e d m i o t E n t r y 3 } 75 s e m e s t r OBJECT TYPE 76 SYNTAX INTEGER ( 1.. 1 0 ) 77 MAX ACCESS read write 78 STATUS c u r r e n t 79 DESCRIPTION " numer semestru na ktorym j e s t dany przedmiot " 80 ::= { p r z e d m i o t E n t r y 4 } 81 END Przykład 1: INDEKS MIB Bartosz Brodecki 2008 Zarządzanie Sieciami Komputerowymi [36/72] Bartosz Brodecki 2008 Zarządzanie Sieciami Komputerowymi [37/72]

Przykładowe operacje Tablica Pobranie zawartości tablicy powinno być: GET(111.5.1.1. i co dalej??) Ogólny schemat pobierania wartości z tablicy wygląda następująco: GET(X.C.I) X Identyfikator tablicy C Numer kolumny I Wartość indeksu Odwołanie się do obiektu wymaga sporządzenia żądania, np. GET(111.2.0) => Response(111.2.0, Kowalski ) Bartosz Brodecki 2008 Zarządzanie Sieciami Komputerowymi [38/72] Tworzenie Tablicy Przykład Identyfikator tablicy = 111.5.1 GET(111.5.1.1.123.113) => Response(111.5.1.1.123.113, SK ) GET(111.5.1.2.123.113) => Response(111.5.1.2.123.113, Brodecki ) GET(111.5.1.1.102.123.111) => Response(111.5.1.1.102.123.111, BSI ) Bartosz Brodecki 2008 Zarządzanie Sieciami Komputerowymi [39/72] GET(111.5.1.1.1) => Reponse(111.5.1.1.1, obiekt nie istnieje) Bazy MIB 1 p r z e d m i o t T a b l e OBJECT TYPE 2 SYNTAX SEQUENCE OF PRZEDMIOT 3 MAX ACCESS n o t a c c e s s i b l e 4 STATUS c u r r e n t 5 DESCRIPTION " t a b l i c a z p r z e d m i o t a m i " 6 ::= { i n d e k s 5 } 7 PRZEDMIOT ::= SEQUENCE { nazwa OCTET STRING, 8 prowadzacy OCTET STRING, 9 ocena INTEGER ( 2 0.. 5 0 ), 10 s e m e s t r INTEGER ( 1.. 1 0 ) } 11 p r z e d m i o t E n t r y OBJECT TYPE 12 SYNTAX PRZEDMIOT 13 MAX ACCESS n o t a c c e s s i b l e 14 STATUS c u r r e n t 15 DESCRIPTION " o p i s p r z e d m i o t u " 16 INDEX { nazwa } 17 ::= { p r z e d m i o t T a b l e 1 } 18 nazwa OBJECT TYPE 19 SYNTAX OCTET STRING ( SIZE ( 1 0 ) ) 20 MAX ACCESS read write 21 STATUS c u r r e n t 22 DESCRIPTION " nazwa przedmiotu " 23 ::= { p r z e d m i o t E n t r y 1 } Bazy Informacji Zarządzania: zawierają zarządzane obiekty reprezentują zasoby systemu mogą być monitorowane i modyfikowane przez (zdalnego) zarządcę umożliwiają kontrolę zachowania systemu Bartosz Brodecki 2008 Zarządzanie Sieciami Komputerowymi [40/72] Bartosz Brodecki 2008 Zarządzanie Sieciami Komputerowymi [41/72]

Agent Agent to implementacja protokołu SNMP po stronie zarządzanego urządzenia, zawiera on: zaimplementowane biblioteki MIB agenci implementują różne biblioteki MIB w zależności od potrzeb urządzenia lub systemu operacyjnego duża liczba bibliotek MIB jest opisana w dokumentach RFC (Request For Comments) Dokument RFC 3418 opisuje rozszerzoną wersję opisu baz MIB i nazywany SNMPv2 MIB lub MIB v2 Bartosz Brodecki 2008 Zarządzanie Sieciami Komputerowymi [42/72] Struktura MIB-2 MIB-2 MIB-2 Biblioteka MIB, która zawiera podstawowe informacje o zarządzaniu urządzeniami sieciowymi, w szczególności stosem protokołu TCP/IP zawiera ponad 170 obiektów opisany w RFC 1213 wg. SMI v1 Zaprojektowano tak, aby spełniał następujące właściwości: odporny na awarie i błędy konfiguracji mała kontrola nad obiektami mała liczba obiektów unikanie powtórzeń dowody użyteczności nie zakłóca normalnej pracy urządzenia prosta implementacja Bartosz Brodecki 2008 Zarządzanie Sieciami Komputerowymi [43/72] MIB-2 unowocześnienia podstawowa wersja unowocześniona SYSTEM GROUP SNMPv2 MIB (RFC 3418) INTERFACES (IF) GROUP IF-MIB (RFC 2863) ADDRESS TRANSLATION (AT) GROUP DEPRECATED IP & ICMP GROUPS IP-MIB (RFC 2011) TCP GROUP TCP-MIB (RFC 2012) UDP GROUP UDP-MIB (RFC 2013) EGP GROUP OUTDATED (BGP) TRANSMISSION GROUP IP PLACEHOLDER SNMP GROUP SNMPv2 MIB (RFC 3418 Bartosz Brodecki 2008 Zarządzanie Sieciami Komputerowymi [44/72] Bartosz Brodecki 2008 Zarządzanie Sieciami Komputerowymi [45/72]

Standardy Charakterystyka Rys.: Rozwój standardów IETF rozwija SNMP: zarządzanie musi być proste podejście zorientowane na zmienne wymiana informacji zarządzających poprzez protokół UDP ISO rozwija CMIP: zarządzanie musi być potężne podejście zorientowane na obiekty wymiana informacji zarządzających poprzez protokół TCP TNM: definiuje jedynie architekturę zarządzania protokoły wzorowane na ISO zarządzanie typu out-of-band Bartosz Brodecki 2008 Zarządzanie Sieciami Komputerowymi [47/72] Historia SNMP Bartosz Brodecki 2008 Zarządzanie Sieciami Komputerowymi [48/72] SNMP v1 Propozycja standardu powstała już w 1989 roku. Już 1990 ustalono standard SNMPv1. Prace nad wersją 2 rozpoczęto w 1993 roku, natomiast nad wersją 3 w 1998 roku. Obie wersje zostały przyjęte jako standard dopiero w 2003 roku. SNMPv1 RFC 1157 SNMPv2 RFC 3416, 3417 SNMPv3 RFC 3411-3416 Cechy: Wady: proste uwierzytelnianie polega na podaniu nazwy społeczności (ang. community name) kolejność obiektów zgodna z porządkiem leksykograficznym wyróżniamy 4 podstawowe operacje: Get pobranie wartości obiektu GetN ext pobranie wartości następnego obiektu Set ustalenie wartości obiektu T rap wysłanie wartości obiektu do stacji zarządzającej brak szyfrowania brak bezpiecznego uwierzytelniania mała liczba komunikatów błędów Bartosz Brodecki 2008 Zarządzanie Sieciami Komputerowymi [49/72] Bartosz Brodecki 2008 Zarządzanie Sieciami Komputerowymi [50/72]

Operacje i błędy Możliwe żadanie jednego lub więcej obiektów Możliwe błędy: nosuchn ame obiekt nie istnieje lub nie jest liściem (dla operacji Set obiekt tylko do odczytu) toobig wynik nie mieści się w pakiecie PDU generr wszystkie pozostałe błędy Dodatkowo operacja Set może zgłosić jeszcze jeden błąd: badv alue przy tworzeniu nowego wiersza tablicy ze względu na błąd składniowy jednego z obiektów Bartosz Brodecki 2008 Zarządzanie Sieciami Komputerowymi [51/72] SNMPv2 Nowe możliwości: możliwość współpracy między zarządcami, w celu wprowadzenia hierarchii zarządzania nowa wersja struktury informacji zarządczej (SMIv2) poprawiono możliwość modyfikacji tablic nowe operacje protokołu: GetBulk GetNextBulk Inform Bartosz Brodecki 2008 Zarządzanie Sieciami Komputerowymi [53/72] Pułapka (ang. Trap) P u lapkajest wysyłana przez agenta do stacji zarządzającej, służy ona do informowania stacji zarządzającej o zmianie wartości jakiegoś obiektu. Odebranie pułapki nie jest potwierdzane. Rodzaje: coldstart(0) ponowny start agenta po niespodziewanym zatrzymaniu warmstart(1) normalne ponowne uruchomienie urządzenia i agenta linkdown(2) informuje o uszkodzeniu jednego z łączy linku p(3) informuje o uruchomieniu łącza authenticationf ailure(4) otrzymano komunikat, który nie przeszedł poprawnie uwierzytelnienia egpn eighborloss(5) sąsiad EGP został wyłączony enterprisespecif ic(6) wystąpiło niestandardowe zdarzenie, określone lokalnie Bartosz Brodecki 2008 Zarządzanie Sieciami Komputerowymi [52/72] Nowe możliwości pracy z tablicami Usuwanie oraz tworzenie nowych wierszy zostało dokładnie ustandaryzowane. Tabela musi zawierać obiekt typu RowStatus o dostępie read create. Wyróżniamy dwie metody tworzenia nowego wiersza: createandw ait żądanie utworzenia wiersza z określoną wartością indeksową, agent przypisuje wszystkim polom o dostępie read create wartości domyślne. Jeśli wszystkie pola są wypełnione to wiersz określany będzie notinservice, jeśli nie wszystkie pola są wypełnione wówczas notready. Następnie należy wypełnić wszystkie pola wartościami, na końcu zmienia wartość kolumny statusowej na active. createandgo żądanie utworzenia wiersza poprzez ustawienie wszystkich pól o dostępie read create i automatycznym uaktywnieniu wiersza. Ograniczenia: obiety tabeli muszą zmieścić się w pojedynczej jednostce PDU zarządca nie poznaje wartości domyślnych w sposób Bartosz Brodecki 2008 Zarządzanie Sieciami Komputerowymi [54/72] automatyczny

Nowe polecenia Nowe komunikaty błędów GetBulk, GetNextBulk służą do odczytu wartości wielu obiektów od podanego w żądaniu. Inform początkowo miał służyć do przesyłania informacji zarządczych pomiędzy stacjami zarządzania i może być do tego wykorzystywany Druga funkcja to potwierdzane pułapki SNMPv1 badvalue badvalue badvalue badvalue badvalue nosuchname nosuchname nosuchname nosuchname generr generr generr generr SNMPv2 wrongvalue wrongencoding wrongtype wronglength inconsistentvalue noaccess notwritable nocreation inconsistentname resourceunavailable generr CommitFailed undofailed Bartosz Brodecki 2008 Zarządzanie Sieciami Komputerowymi [55/72] SNMPv3 Nowe możliwości: zwiększenie bezpieczeństwa: U ser basedsecuritym odel(u SM) zapewnia uwierzytelnianie i szyfrowanie wiadomości V iew basedaccesscontrolm odel(v ACM) ustala dosteþ do baz MIB dla danego zarządcy, działa na poziomie jednostek PDU. Bartosz Brodecki 2008 Zarządzanie Sieciami Komputerowymi [57/72] Bartosz Brodecki 2008 Zarządzanie Sieciami Komputerowymi [56/72] USM uwierzytelnianie kod uwierzytelniający wykorzystuje fukncję HMAC, funkcja kodująca MD5 lub SHA-1 poprawność czasowa chroni przed opóźnieniem i powielaniem komunikatów prywatność algorytm DES, 3DES lub AES do szyfrowania zasadniczej części komunikatu format komunikatu definicja pola msgsecurityp arameters, która obejmuje trzy powyższe informacje wykrywanie umożliwia otrzymywanie informacji na temat komunikatu poprzez inny komunikat SNMP zarządzanie kluczami zawiera procedury tworzenia, modyfikowania i używania kluczy Uwierzytelnienie poprzez 96-bitowy kod, który jest tworzony z: 128-bitów klucza HMAC-MD5-96 160-bitów klucza HMAC-SHA-96 Bartosz Brodecki 2008 Zarządzanie Sieciami Komputerowymi [58/72]

USM II Protokół SNMPv3 umożliwia zdalnie zmienić hasło. Można to zrobić na 2 sposoby: VACM Wyróżniamy 5 elementów odpowiedzialnych za tworzenie widoków: grupy uprawnienia całej grupy zaszyfrować nowy klucz starym kluczem poziomy bezpieczeństwa uprawnienia grupy do obiektów (tylko do odczytu, do zapisu) wykorzystując funkcję jednokierunkową i operację XOR: dow yslanie = random (hash(keyold random))xorkeyn ew wartość random jest przesyłana jawnie. konteksty podgrupa obiektów widoki MIB podzbiór dostępnych obiektów MIB zasady dostępu zasady dostępu do widoków dla konkretnych grup Bartosz Brodecki 2008 Zarządzanie Sieciami Komputerowymi [59/72] Zdalne monitorowanie RMON Bartosz Brodecki 2008 Zarządzanie Sieciami Komputerowymi [60/72] Grupy RMON RMON1 RFC 1757 draft TOKEN RING EXTENSIONS TO RMON RFC 1513 proposed RMON2 RFC 2021 proposed RMON1 statistics history host hosttopn matrix alarms filters capture events tokenring RMON2 protocoldir protocoldist addressmap nlhost nlmatrix alhost almatrix usrhistory probeconfig Bartosz Brodecki 2008 Zarządzanie Sieciami Komputerowymi [61/72] Bartosz Brodecki 2008 Zarządzanie Sieciami Komputerowymi [62/72]

Opis grup RMON 1 statistics statystyki niskopoziomowego wykorzystania i błędów w każdej podsieci nadzorowanej history próbki informacji statystycznych, zapisywane okresowo alarm moźna zdefiniować poziomy alarmowe dla każdej zmiennej liczbowej host liczniki różnego typu ruchu z i do konkretnego adresu warstwy 2 modelu OSI hostt opn posortowane statystyki hostów matrix dwuwymiarowa tablica zawierająca informacje na temat błędów i wykorzystania pomiędzy dwoma hostami f ilter można zdefiniować jakie pakiety będą przechwytywane i zliczane capture aby przechowywać określone pakiety event zdarzenia wygenerowane przez sondę RMON Bartosz Brodecki 2008 Zarządzanie Sieciami Komputerowymi [63/72] AgentX Motywacja: oddzielenie silnika protokołu SNMP od baz MIB dopuszczenie modyfikacji baz MIB dynamicznie rozszerzalny agent powinien być przeźroczysty Opis grup RMON 2 protocoldir katalog protokołów, które sonda potrafi interpretować protocoldist statystyki ilości ruchu generowane przez poszczególne protokoły addressm ap przypisanie adresu sieciowego do adresu MAC nlhost statystyki ruchu do i z hostów - po adresach sieciowych nlm atrix jak M atrix, ale po adresach sieciowych alhost statystyki ruchu do i z hostów - na podstawie adresów warstwy aplikacyjnej alm atrix jak nlm atrix, ale dla adresów warstwy aplikacyjnej usrhistowy historia zdefiniowane przez użytkownika probeconf ig standardowa konfiguracja sondy RMON Bartosz Brodecki 2008 Zarządzanie Sieciami Komputerowymi [64/72] Agent nadrzędny Funkcje Agenta nadrzędnego: zawiera silnik protokołu SNMP nie musi zawierać bazy MIB zawiera silnik protokołu AgentX - w celu komunikacji z agentami podrzędnymi Struktura: Agent nadrzędny Agenci podrzędni jeden lub wielu Funkcje Agenta podrzędnego nie zawiera silnika protokołu SNMP zawiera silnik protokołu AgentX - w celu komunikacji z agentem nadrzędnym zawiera bazy MIB Bartosz Brodecki 2008 Zarządzanie Sieciami Komputerowymi [65/72] Bartosz Brodecki 2008 Zarządzanie Sieciami Komputerowymi [66/72]

AgentX problemy AgentX ad problemu bazy MIB mogą zawierać takie same obiekty wpisy tablic mogą być zawarte na kilku agentach podrzędnych wpisy tablic mogą być tworzone lub usuwane w trakcie uruchamiania puste przestrzenie między bazami MIB polecenie set Co się stanie jeśli wydamy odpowiednie zapytania GET-NEXT lub GETBULK sysupt ime Bartosz Brodecki 2008 Zarządzanie Sieciami Komputerowymi [67/72] Podsumowanie Bartosz Brodecki 2008 Zarządzanie Sieciami Komputerowymi [68/72] Pytania? Na wykładzie zostały przedstawione aktualnie istniejące możliwości zarządzania sieciami komputerowymi: SNMP szczegółowo CMIP informacyjnie TNM informacyjnie Bazy MIB Struktura SMI Pytania? Bardziej szczegółowe informacje można znaleźć w literaturze Bartosz Brodecki 2008 Zarządzanie Sieciami Komputerowymi [70/72] Bartosz Brodecki 2008 Zarządzanie Sieciami Komputerowymi [71/72]

Literatura Literatura podstawowa William Stallings Protokoły SNMP i RMON. Vademecum profesjonalisty. Wydawnictwo Helion, Gliwice 2003. uzupełniająca: Simple Web: http://www.simpleweb.org/ R. Jain: http://www.cis.ohio-state.edu/~jain/ J.F. Kurose & K.W. Ross, Computer Networking. A Top-Down Approach Featuring the Internet, 2nd ed, Addison Wesley, 2003, chapter 8. Bartosz Brodecki 2008 Zarządzanie Sieciami Komputerowymi [72/72]