Management IP sítí. Simple Network Management Protocol (SNMP). Netconf. Petr Grygárek 1
Management, konfigurace a sledování síťových prvků Telnet/SSH (Command Line Interface) WWW (+Java, ActiveX, ) Management protokol (SNMP) Sjednocení pro různé výrobce Výrobci síťových prvků Výrobci management a návazných systémů Netconf 2
Protokoly pro management ISO: sítí CMIS: Common Management Information Service CMIP: Common Management Information Protocol TCP/IP: SNMP CMOT: CMIP Over TCP/IP Na aplikační vrstvě 3
Požadavky na management system Vzdálený management Pro transport management zpráv používá síťový protokol IP/UDP, základní funkčnost sítě je proto podmínkou funkce managementu Autentizace, autorizace 4
Komponenty management systému Spravované síťové elementy cokoli, co rozumí manažovacímu protokolu routery, switche, stanice, průmyslová zařízení, (ledničky, toastery :-)) Provozují SW agenta pro vzdálenou správu Stanice pro správu management station, SNMP konzola, NMS obvykle běžná pracovní stanice (NetView, HPView, textové utility, ) 5
Agent pro vzdálenou správu software běžící na manažovaném síťovém elementu zná manageovatelnou informaci o síťovém elementu, překládá ji do formy management databáze a zpřístupňuje pomocí SNMP Výhodné je oddělení struktury manageovatelné informace od protokolu 6
Operace managementu čtení stavových proměnných agentů (atomické čtení seznamu proměnných) nastavování stavových proměnných agentů (atomický zápis seznamu proměnných) + + postupné čtení po sobě následujících proměnných vhodné např. pro procházení tabulek možnost zachytávání asynchronních hlášení agentů (trap) o významných událostech (překročení mezních hodnot, výpadky,...) 7
Management Information Base (MIB) Hierarchicky organizovaná definice manageovatelných objektů na síťových elementech ( MIB objektů ) Každý objekt na síťovém elementu udržován v jedné či více instancích ( proměnných ) Objekty identifikovány v rámci MIB jednoznačným číselným identifikátorem Object ID (OID) Skalární a tabulkové objekty Definice MIB specifikuje, jaké informace musí jednotlivé typy síťových prvků udržovat a zpřístupňovat management stanici Rozšíření této definice v MIB II (RFC 1213) Možnost proprietárních rozšíření specifických pro výrobce podstromy MIB iso.org.dod.internet.private.enterprises (1.3.5.1.4.1) Výhodou rozšiřitelnost 8
Strom MIB Podstrom obecnějšího stromu pro přidělování globálně jednoznačných číselných identifikátorů (administruje CCITT + ISO) Kořen nepojmenován Větev pro MIB začíná 1.3.6.1.2 9
Structure of Management Information (SMI) Množina pravidel pro definici objektů MIB Definuje podmnožinu ASN.1 použitelnou pro popis MIB Z Z ASN.1 přebírá určení jména objektu syntaxe objektu (datový typ) kódování objektu (formou série datových typů) Určuje pravidla pro pojmenovávání objektů, pravidla pro definici datových typů Definice způsobu reprezentace tabulek 10
Datové typy a jejich reprezentace Popis datových typů: podmnožina ASN.1 Abstract Syntax Notation Explicitně určuje datový typ binární hodnoty Binární reprezentace podle BER Basic Encoding Rules Zprávy nejsou bez dalšího dekódování čitelné pro člověka (binární formát) 11
Jednoduché Datové typy v MIB INTEGER (znaménkové, 2,147,483,648-2,147,483,647) OCTET STRING (do 64kB) OBJECT IDENTIFIER Složené: SEQUENCE Aplikační definováno omezení hodnot + příp. chování DisplayString (NVT ASCII) Síťové adresy různých rodin (SNMPv1: IpAddress) PhysAddress Counter (kladné, s max. hodnotou, po přetečení návrat k 0) Gauge (kladné, udržují maximální dosaženou hodnotu) TimeTicks (setiny sekundy od určité události) Opaque (volně kódóvaná neinterpretovaná data) Unsigned integer 12
Object Identifier identifikátor určitého objektu MIB objekty spravovány globálně, identifikátor je sekvencí dekadických číslic např. všechny proměnné MIB začínají 1.3.6.1.2.1. každý takovýto identifikátor má i čitelné textové vyjádření např. 1.3.6.1.2.1 = iso.org.dod.intenet.mgmt.mib. ve zprávách protokolu SNMP se používají číselné identifikátory Numerické hodnoty přiřazeny objektům v jejich definicích v ASN.1 13
Tabulky Proměnné lze uspořádat do tabulek Přistupovat lze současně vždy jen k jedné buňce Jednoznačné ObjectID mají sloupce tabulky, za ně se připojuje index (různého typu konvertovatelné na číslo) Definován mechanismus pro procházení tabulky Řádky indexovány různým datovým typem v indexu Použití get-next-request pro procházení 14
Větve MIB I System (informace o OS síťového prvku/stanice) Interfaces informace o rozhraních Address translation např. ARP tabulky IP informace o protokolu IP ICMP informace o protokolu ICMP EGP informace o směrovacím protokolu EGP 15
SNMP protokol pro komunikaci mezi management station a síťovými elementy (RFC 1157) nad UDP žádosti a odpovědi na ně na portu 161, trap na port 162 oddělení umožňuje na jednom systému současně provozovat management stanici i agenta. požadavky a odpovědi spárovány pomocí request ID Hodnoty proměnných kódovány podle ASN.1 (explicit typing) 16
Základní zprávy SNMP get-request - přečtení hodnoty proměnné (resp. atomické čtení skupiny hodnot) get-next-request - postupné čtení všech proměnných procházení stromu v lexikografickém uspořádání podle OID get-response - zpráva nesoucí výsledek výše uvedených operací set-request - zapsání hodnoty proměnné (resp. atomický zápis skupiny hodnot) trap - notifikace od agenta na SNMP konzoli 17
SNMP v.1 formát zpráv (1) Hlavička: číslo verze SNMP, jméno komunity PDU (proměnná délka) 18
SNMP v.1 formát zpráv (2) Get, GetNext,Response,Set: PDU type Request ID párování požadavků a odpovědí Error status (použito jen ve zprávě Response) Error Index (v Response, určuje, kterého objektu se týká chyba) Variable bindings asociuje OIDs s hodnotami Trap: Enterprise typ manageovaného objektu který trap způsobil Agent address Generic + Specific trap type Timestamp Variable bindings 19
Bezpečnost SNMP SNMP v.1 postrádá zabezpečení (hlavně autentizaci) Pouze slabý zabezpečovací mechanismus: Komunita RO Komunita RW někdy neimplementováno z důvodu bezpečnosti Hodnota řetězce komunity může určovat i úroveň oprávnění Někdy možnost konfigurovat adresu povolené management stanice 20
Remote Monitoring - RMON Pro centrální management několika vzdálených LAN Distribuce systému managementu Vzdálené síťové sondy pro shromažďování lokálních statistik a uchovávání jejich trendů, matic komunikace, zachytávání paketů,... Orientováno na Ethernet a Token Ring (broadcast sítě) Shromažďované informace definovány v RMON MIB (rozšíření MIB) mohou být dotazovány SNMP konzolí, ta nemusí provádět periodické dotazování stavu jednotlivých proměnných umí např. i packet capture 21
Skupiny RMON statistik (RFC 1757) Ethernet Statistics pro jednotlivá rozhraní History Control řízení periodického snímání hodnot Ethernet History zaznamenává periodicky snímané hodnoty Alarm sledování překročení prahových hodnot (podpora hystereze), generování trapů Host statistiky o stanicích na síti (podle procházejících MAC adres) HostTopN tabulka statistik komunikačně nejaktivnějších stanic Matrix matice komunikace mezi stanicemi Filter specifikace filtru pro zachytávání paketů nebo generování trapů. Packet Capture buffer pro zachytávání paketů (podle nastavení filtru) Event nastavení generování trapů + jejich logování 22
RMON 2 RFC 2021, 2034 rozšíření pro vzdálené monitorování i na vyšších vrstvách OSI RM Podobné skupiny jako RMON, ale i pro L3 a L4 protokoly 23
Nové zprávy GetBulk SNMP verze 2 přenos velkých bloků binárních dat možnost přečtení většího množství objektů současně (kolik se vejde do zprávy s odpovědí) pro efektivní čtení tabulek pokud nelze poskytnou hodnoty všech požadovaných proměnných, agent poskytne alespoň částečné výsledky Inform pro zasílání zpráv mezi NMS Modifikovaný formát Trap Definice kontextu objektů + přístupových politik Autentizace entit komunikujících přes SNMP Příliš se nerozšířil 24
SNMP verze 3 Autentizace a ochrana integrity zpráv jméno+heslo, MD5/SHA1 otisk Možnost šifrování zpráv Modifikovaný formát zpráv Bezpečnostní model orientovaný na uživatele a uživatelské skupiny Autorizace přístupu k MIB objektům (čtení, zápis, vytvoření) MIB pohledy (views) autorizující skupiny uživatelů k přístupu k jednotlivým MIB objektům Přístupové politiky přiděleny skupinám uživatelů Notifikace (TRAPs) přiřazeny ke skupinám uživatelů 25
Pohledy v SNMPv3 Seznamy přístupných OID Přiřazovány skupinám read view, write view notify view 26
Vztah MIB a nových verzí SNMP MIB je na protokolu nezávislá Nezávisle na SNMP se postupně dodefinovávají další rozšíření MIB Standardní i proprietární 27
NetConf (RFC 4741) NetConf Jednotný mechanismus pro manipulaci s konfigurací síťových zařízení i i funkce pro monitoring - notifikace Založen na XML/RPC Nezávislé na transportním protokolu Autentizaci a šifrování obstarává transportní protokol Možnost dohody volitelných capabilities zjišťování definice podporovaného XML schematu Možnost flexibilního nastavení filtrování odpovědi 28
Základní operace NetConf <get-config> <edit-config> <copy-config>, <delete-config> <lock>, <unlock> <close-session>, <kill-session> 29
Výhody NetConf Reprezentace konfigurace hierarchickým způsobem (XML) Možnost transformací mezi konfiguracemi prostředky XML (XSLT) Možnost centralizované správy prvků s odlišnými konfiguračními soubory pomocí proxy agenta Transformuje konfiguraci pro Netconf agenty v jednotlivých spravovaných zařízeních Možnost práce s částmi konfigurace Podpora verzování konfigurace 30