Post on 18-Jul-2016
description
Ph. Tourron 1
Administration de réseau avec SNMP (Licence Réseau)
Actions de gestion
Objectifs
Pourquoi ?
Modélisation ISO
Protocoles d’administration
Positionnement de snmp
Fonctionnement / principe
Modélisation/ description données SMI, ASN1
MIB
Les échanges snmp
RMON
Les outils
Exemple de plateformes
Epicenter (extreme Networks, HPov, …)
PLAN
Ph. Tourron 2
Actions de gestion
Au-delà du réseau, toutes les ressources
informatiques (du câble aux applications
avec tous les « objets » intelligents
communicants : caméra, alarmes, onduleur,
serveur, assistant personnels, téléphones,
…) ont un état et une « vie » qui ont une
influence sur leur environnement et
peuvent être pilotés de manière organisée
Ph. Tourron 3
Actions de gestion Ainsi gérer ces ressources et les réseaux qui les
interconnectent va conduire à opérer des actions :
Sur le systèmes d’information (quels services aux utilisateurs avec quelle qualité de service)
Sur la sécurité (avec quelle qualité de service)
Sur l’exploitation (pour exploiter : quelles alarmes, quelles actions)
Sur la planification (quelles évolutions : statistiques d’utilisation de pb, …)
Ph. Tourron 4
Administrer un réseau : Objectifs
Objectifs :
Configurer
Maintenir « en bon état de
fonctionnement »
Analyser
Prévoir les évolutions
Ph. Tourron 5
Pourquoi administrer ? Passage d’une informatique centralisée à une
informatique répartie, architectures client-serveur d’où
Les réseaux informatiques prennent de l’ampleur et de la criticité (lan, man, wan et les mêmes en version Wifi)
Le nombre de fabricants augmente
Le type de matériel fournit se diversifie et se complexifie
Une exigence de temps de réponse accrue jusqu’à l’utilisateur
Une utilisation par tous les acteurs internes et externe à l’entreprise (de la création de l’information jusqu’aux prises de décisions): augmentation de la densité : utilisateur/service
Ph. Tourron 6
Pourquoi administrer ? Une importance stratégique
financière (commandes en ligne)
de sécurité (transferts bancaires, données clients)
de service (distributeurs de billets)
de compétitivité (gestion de stocks)
Des obligations de service/résultat continuité de service
qualité de service
adaptation à la demande
maîtrise des coûts
Ph. Tourron 7
Pourquoi administrer ?
Mais aussi :
Raisons économiques
coût global excessif (> 1% de CA)
croissance du budget réseau (20% par an)
tarification difficile à maîtriser
(multiplicité des services et évolution)
Ph. Tourron 8
Modélisation OSI
Ph. Tourron 9
Architecture OSI
d’administration réseaux
2 types d’application
managers sur les systèmes d ’administration
agents sur les systèmes administrés
Dialogue manager-agent utilise un
ensemble de protocoles
Ph. Tourron 10
Architecture OSI
d’administration réseaux (2) Un agent contrôle des managed objects
Un modem
Une table de routage IP
Une connexion TCP
Le manager
Envoie des ordres aux agents
Reçoit des informations des agents (lit une
variable)
Fixe des valeurs (écrit une variable)
Ph. Tourron 12
Modèle d’administration
L’administration peut être vue au travers de
3 modèles
Modèle organisationnel
Modèle fonctionnel
Modèle d’information
Ph. Tourron 13
Modèle organisationnel
Notion de domaine d’administration
Utilité
Mise à l’échelle
Sécurité
Autonomie d'administration
Ph. Tourron 14
Modèle organisationnel (2)
Répartition des agents/managers
Un domaine peut comporter plusieurs
agents/managers
1 agent/manager peut être partagé entre
plusieurs domaines
Système d’administration coopératif et
distribué
Ph. Tourron 15
Modèle fonctionnel
5 Specific Management Functionnal Areas (SMFA) Domaines ou aires fonctionnelles
Gestion des incidents (erreurs, anomalies, fautes)
Détecter, isoler, corriger les erreurs du réseau
Gestion de la configuration
Configuration distante d'éléments du réseau
Gestion des performances
Evaluation des performances pour qualité de service
Ph. Tourron 16
Modèle fonctionnel (2)
Gestion comptable (de comptes utilisateurs)
Faire payer l’utilisation du réseau en fonction
de son utilisation
Limiter l’utilisation des ressources
Gestion de la sécurité
Contrôle d’accès
Authentification
Cryptage
Ph. Tourron 17
Modèle d’information
Structure of Management Information
(SMI)
Ensemble de conventions pour la description et
l’identification des données
Permet à n’importe quel type de protocole de
manipuler les données (CMIP ou SNMP)
Ph. Tourron 18
Modèle d’information (2)
Management Information Base (MIB)
Dépôt conceptuel d’information de gestion
Ensemble des informations nécessaires à
l'administration
Ne se préoccupe pas de l’aspect stockage des
informations
Ph. Tourron 19
Détail du modèle OSI
d’administration de réseau
Ph. Tourron 20
Gestion de la configuration
Gestion de la base d'information réseau (MIB)
Inventaire des éléments de réseau
Gestion des noms des éléments gérés
Ajout, retrait, modification d'éléments de réseau
Initialisation et modification de paramètres, d'états
Modification, création, suppression des relations entre éléments
gérés
Visualisation du réseau
Visualisation globale
Zooms géographiques
Visualisation de sous-réseaux
Affichage à la demande des caractéristiques des éléments gérés
Ph. Tourron 21
Gestion de la configuration (suite)
Reconfiguration
Activation des configurations de secours
Réaffectation des ressources
Téléchargement de logiciels
Edition des changements d'état opérationnels
Historiques des reconfigurations
Elaboration des annuaires
Annuaire des services offerts
Annuaire des utilisateurs
Annuaire des fournisseurs
Ph. Tourron 22
Gestion des anomalies
Détection des anomalies
Génération de rapports d'incidents de fonctionnement
Gestion de compteurs et de seuils d'alarmes
Filtrage d'événements (élimination des informations redondantes)
Affichage des dysfonctionnements
Localisation des anomalies
Analyse des rapports d'alarmes
Lancement de mesures et de tests ==> Systèmes d'aide au diagnostic
Initialisation d'actions correctives
Réaffectation de ressources
Reroutages ==> Systèmes d'aide à la
Limitations du trafic décision
Appel à la maintenance }
Ph. Tourron 23
Gestion des anomalies (suite)
Remise en service des équipements
Lancement de tests de fonctionnement
Gestion de systèmes de backup
Enregistrement d'historiques d'incidents
("trouble tickets")
Etablissement de statistiques
Probabilités de pannes
Durée des incidents
Durées de réparation
Interface avec les usagers
signalisation d'incidents par les usagers
informations aux usagers de problèmes réseau
Ph. Tourron 24
Gestion comptable
Gestion des mesures de l'utilisation des ressources
Enregistrement
Création et gestion des fichiers d'enregistrement
Contrôle des quotas par utilisateur
mise à jour de la consommation courante
Vérification des autorisations de consommation
Suivi et contrôle des dépenses
Stockage et mise à jour des tarifs opérateurs
Gestion des tickets de taxation
Evaluation temps réel de la consommation courante
Contrôle des factures
Suivi des coûts de matériels
(investissements, amortissements, maintenances)
Suivi du coût d'exploitation
Ph. Tourron 25
Gestion comptable (suite)
Gestion financière
Ventilation des coûts (par service, par utilisateur, par application)
Analyse et prévision des dépenses
Etudes de scénarios pour minimiser les coûts
Facturation interne
Gestion des clients
Gestion des tarifs
Génération de tickets de taxation et de factures
Contrôle de la facturation
Stockage des historiques
Ph. Tourron 26
Gestion de la sécurité
Sécurité de l'administration de réseaux
Gestion des droits d'accès aux postes de travail et des "vues"
Autorisation d'accès aux informations d'administration
Sécurité d'accès dans le réseau géré
Fonctions liées aux mécanismes à mettre en oeuvre
définition des conditions d'utilisation, activation/désactivation
paramètrage, listes d'autorisation (machines, services, ...)
Trace des accès (identités, horaires, destinations)
Détection des tentatives d'accès frauduleuses
Sécurité de l'information
Gestion des mécanismes de protection
Gestion des clefs d'encryptage et de décryptage
Détection des incidents
Détection des tentatives de fraude
Ph. Tourron 27
Gestion des performances (Temps réel)
Enregistrement des mesures de performances
Mise à jour des critères et des conditions de mesure
Gestion de la collecte d'information, filtrage
Etablissement de statistiques
Lancement de mesures à la demande
Gestion des fichiers de collecte
Surveillance de l'activité du réseau
Visualisation de l'utilisation des ressources
Signalement des dépassements de seuils
Analyse des résultats de performances
Fonctionnement du réseau
(répartition de la charge, débits, temps de réponse, disponibilité)
Analyse des causes probables de dépassement de seuils
corrélation avec les fautes d'équipements système
comparaison, corrélations d'indicateurs d'aide au diagnostic }
Ph. Tourron 28
Gestion des performances (Temps réel suite)
Actions correctives et préventives
Réaffectation des ressources
modification des paramètres de configuration
redistribution du trafic
Limitation du trafic (filtrage, priorités)
Choix du mode d'action
==> système d'aide à la décision
Suivi de l'impact des actions
Stockage des historiques
Analyse de l'efficacité des actions, définition des règles
Ph. Tourron 29
Gestion des performances (Temps différé) Analyse des informations
Etablissement de statistiques et d'historiques
Etablissement d'indicateurs de qualité de service
Edition de rapports (périodiques ou à la demande)
Edition de tableaux de bord
Analyse prévisionnelle
Constitution de matrices de traffic
Evaluation des performances
détection des risques de saturation , simulation de scénarios
==> amélioration de la QS
équilibrage de l'utilisation des ressources
Planification et dimensionnement du réseau
Suivi de la gestion corrective
Ph. Tourron 30
Autres domaines de gestion connexes
Planification des actions et évolutions
Gestion de parcs (inventaires, catalogue, installations, ...)
Gestion du câblage
Gestion des licences
Gestion système (utilisateurs, disques, versions, ...)
Ph. Tourron 31
Les protocoles d’administration CMIP
Common Management Information Protocol
Fonctionne avec la pile de communication OSI
SNMP Simple Network Management Protocol
Fonctionne sous TCP/IP
Aujourd’hui snmp reste le standard (le plus présent sur les équipements)
Des travaux de l’UIT-T pour une gestion intégrée de réseaux et de services, vision telecom (TMN Telecommunication Management Network) pour les réseaux opérateurs
Ph. Tourron 32
Positionnement de snmp
Utilise en partie la modélisation OSI (définition
SMI des objets de gestion contenu dans des MIB)
Propose une gestion des objets, un protocole de
transfert des informations (une structure de trame,
échange en datagram UDP sur les ports 161 pour
les messages et 162 pour les trap)
L’échange d’information est de type caractère ou
compteur que l’on regroupe sous le terme
d’objet-snmp
Ph. Tourron 33
Positionnement de snmp
Snmp travaille au niveau application du
modèle OSI
Snmp gère des objets (RFC1157), SMI
définit des objets à gérer (RFC 1155), MIB
contient des objets de gestion (RCF 1213)
Ph. Tourron 34
Fonctionnement / Principes
Ph. Tourron 35
ASN1:
Abstract Syntax Notation 1: un langage formel de
description.
le SMI :
Structure of Management Information). Le RFC 1155
définit à partir d’une partie de ASN-1, des structures de
bases, adaptées pour être utilisées dans des descriptions
de MIB.
Les MIBs :
Les objets sont accédés au travers d ’une collection
virtuelle d ’information appelée Management
Information Database. Les objets y sont définis en
utilisant ASN1 et le SMI
Quelques Définitions
Ph. Tourron 36
Les RFC associées
SMI rfc 1155
MIB1 rfc 1156
MIB2 rfc 1213
SNMP rfc 1157 (CMOT rfc 1095)
Concise MIB definition
rfc 1212
Ph. Tourron 37
Administrer un réseau
Comment ?
« Ecouter » les organes de réseau (nœuds ou
Eléments Actifs)
Modifier la configuration des EA
Être alerté en cas de problème
Et cela à distance
Ph. Tourron 38
Administrer un réseau
Moyens : Il faut un moyen de communication et d’action avec les
éléments de réseaux remplissant les fonctions suivantes :
Mémoriser des informations dans les EA
Les interroger
Les acheminer sur le réseau vers un gestionnaire
Les modifier
Ph. Tourron 39
Administrer un réseau
Contraintes :
La gestion doit fonctionner même quand le
réseau « va mal »
Les EA ont des capacités limitées
Ph. Tourron 40
Administrer un réseau
Moyens : SNMP (Simple Network Management Protocol)
Un modèle d’organisation des données (MIB :
Management Information Base): décrit les variables que
l’on va gérer dans les EA
Un protocole de communication entre l’agent
SNMP (le géré) et la station de management (le
gérant) aussi appelé NMS (Network Management Station)
Ph. Tourron 41
Administrer un réseau
Echanges en mode requête/réponse
Ph. Tourron 42
Administrer un réseau
fonctionnement : les données
Chaque EA gère des variables décrivant
son état (état d’un port, nb de collisions sur
un port, …)
Une variable est un objet référencé dans
une MIB
Ph. Tourron 43
Administrer un réseau Exemple de données (extrait de MIB)
Ph. Tourron 44
Administrer un réseau
Dénomination de variables
Les données sont organisées selon un
modèle hiérarchique (arbre), chaque nœud
à un nom et un label numérique
La désignation d’une variable se fait en
suivant l’arbre depuis la racine jusqu’au
nœud
Ph. Tourron 45
Informations de Gestion
La description des informations de gestion
recouvre 2 aspects
Structure of Management Information (SMI)
Structure logique des informations de gestion
Identification et Description de ces informations
Management Information Base (MIB)
Objets réellement gérés
Ph. Tourron 46
Modèlisation SMI, ASN1
Ph. Tourron 47
SMI
Utilise un sous-ensemble de ASN.1
Objets administrables
Hiérarchie des informations de gestion
Registration Hierarchy
Containment Hierarchy
Inheritance Hierarchy
Ph. Tourron 48
Objets administrables
Repose sur les concepts « objet »
Une entité administrable du réseau est vue
comme un objet
On a des classes qui correspondent à un type
d’entité
On a des instances qui correspondent aux
entités vivant sur le réseau
la classe « transport connection » est instanciée à
chaque nouvelle connexion
Ph. Tourron 49
Les Hiérarchies
Registration Hierarchy
Utilise l’arbre de nommage de ASN.1
Containment Hierarchy
une classe peut en contenir d’autres
Identification unique
Relation de persistance
Inheritance Hierarchy
Liée à la notion d’héritage
Ph. Tourron 50
MIB
Dépôt conceptuel d’information de gestion
Ne se préoccupe pas du stockage physique
Ensemble des instances à un instant donné
RFC 1156
Définit 8 groupes d’objets de base
RFC 1213
MIB-II
Ph. Tourron 51
Exemple de MIB
Ph. Tourron 52
Exemple de MIB
Ph. Tourron 53
Exemple MIB
MIB
1.3.6.1.2.1
TCP
1.3.6.1.2.1.6
tcpConnTable
1.3.6.1.2.1.6.13
tcpConnEntry
1.3.6.1.2.1.6.13.1
Ph. Tourron 54
Chaque objet dispose selon SMI: d ’un nom
d ’un identifieur unique (OBJECT IDENTIFIEUR)
d ’une « syntaxe »
d ’un codage
La « syntaxe »: C ’est le type de l ’objet
Les types primitifs: INTEGER (sans restriction, entiers
énuméré ou intervalle) , OCTET STRING ( chaîne de mots
de 8 bits), OBJECT IDENTIFIEUR, et NULL
pour les entiers énumérés la valeur 0 n ’est pas autorisée
Les constructeurs (type constructor): listes: SEQUENCE {<type1>, . . . , <typeN>}ou chaque type
est un type simple (pas de clause DEFAULT ou OPTIONAL)
tables: SEQUENCE OF <entry>
Ph. Tourron 55
Quelques types prédéfinis (:dérivés ou applicatifs RFC 1155) DisplayString chaîne de mot de 8 bits (longueur maxi 255) en
ASCII NVT(rfc854)
IpAddress chaine de 4 octets
PhysAddress chaine d ’octets
Counter jusqu ’à 2^32 - 1; croissant et cyclique
Gauge jusqu ’à 2^32 - 1; non monotone et non cyclique
TimeTicks temps écoulé en 100èmes de secondes
on peut ensuite définir des types en fonction des besoins
Description d ’un modèle de donnée: On ne décrit pas en ASN1 les traitements qui sont fait dessus.
On ne décrit le comportement que par le commentaire qu ’on met dans le texte ASN1
Ph. Tourron 56
L ’ensemble des textes ASN.1 (standards ou privés) définissent un arbre.
L ’identification d ’un répertoire ou d ’une variable dans cet arbre est faite par une suite de nombres:
c ’est l ’OID (Object Identifieur)
La lecture du fichier ASN1 permet de définir pour une variable, son OID et ses autres caractéristiques.
L ’OID dispose aussi d ’une forme alphabétique, par exemple:
iso(1).org(3).dod(6).internet(1).private(4).entreprise(1)
Ph. Tourron 57
Exemples de
définition des objets
Définition de variable:
compteur INTEGER ::= 100
Définition d’objet:
internet OBJECT IDENTIFIER
::= { iso org(3) dod(6) 1 }
Ph. Tourron 58
Exemples de définition de type
Définition de sous-types:
Status ::= INTEGER { haut(1), bas(2) }
TaillePaquet ::= INTEGER(0..1023)
Définition d’un nouveau type:
AtEntry ::= SEQUENCE {
atIndex INTEGER,
atPhysAddress OCTET STRING,
atNetAddress NetworkAddress
}
Ph. Tourron 59
Les échanges snmp
En v1 peu de sécurité (pass en clair)
Notion de communauté read et write par
defaut à public
Importance d’une architecture « réfléchie
pour adressage, acl, station mgmt, …
Ph. Tourron 60
Administrer un réseau
fonctionnement : les actions de base
La station de management demande une
variable à un agent (GET)
La station de management modifie une
variable sur un agent (SET)
Un agent envoie une alarme (TRAP)
Ph. Tourron 61
Opérations SNMP : Le protocole SNMP
v1 définit 5 opérations entre le manager et
l’agent
Get-request
Get-next-request
Set-request
Get-response
Trap
Manager Agent
UDP 162
UDP 161
UDP 161
UDP 161
Get-response
Get-response
Ph. Tourron 62
En-tête IP En-tête UDP
Version(Vsnmp-1) Communauté
PDU type (0 à 3)
En-tête commun
Ident de
requette
Status d ’erreur
(0-5) . . . . . Index
d ’erreur nom valeur nom valeur
En-tête get/set variables get/set
Format des paquets de requête/réponse
Ph. Tourron 63
Exemple d’échanges SNMP: len: 38 version: int(1) 0x00 comm: string(6)
«public» type: GET-NEXT
req-id: int(2) 0x5e31 error: int(1) 0x00 error-index: int(1) 0x00
var: obj(8) 1 3 6 1 2 1 2 1 val: empty(0)
Réponse transmise par l'agent
SNMP: len: 40 version: int(1) 0x00 comm: string(6) «public» type: RESPONSE
req-id: int(2) 0x5e31 error: int(1) 0x00 error-index: int(1) 0x00
var: obj(7) 1 3 6 1 2 1 2 1 0 val: 0x06
Ph. Tourron 64
SNMP: len: 178 version: int(1) 0x00 comm: string(6) «public» type: GET-NEXT
req-id: int(2) 0x00a2a2 error: int(1) 0x00 error-index: int(1) 0x00
var: obj(9) 1 3 6 1 2 1 2 2 1 1 val: empty(0)
var: obj(9) 1 3 6 1 2 1 2 2 1 2 val: empty(0)
var: obj(9) 1 3 6 1 2 1 2 2 1 3 val: empty(0)
var: obj(9) 1 3 6 1 2 1 2 2 1 4 val: empty(0)
var: obj(9) 1 3 6 1 2 1 2 2 1 5 val: empty(0)
var: obj(9) 1 3 6 1 2 1 2 2 1 6 val: empty(0)
var: obj(9) 1 3 6 1 2 1 2 2 1 7 val: empty(0)
var: obj(9) 1 3 6 1 2 1 2 2 1 8 val: empty(0)
var: obj(9) 1 3 6 1 2 1 2 2 1 9 val: empty(0)
var: obj(9) 1 3 6 1 2 1 2 2 1 10 val: empty(0)
Réponse
SNMP: len: 219 version: int(1) 0x00 comm: string(6) «public» type: RESPONSE
req-id: int(2) 0x00a2a2 error: int(1) 0x00 error-index: int(1) 0x00
var: obj(10) 1 3 6 1 2 1 2 2 1 1 1 val: int(1) 0x01
var: obj(10) 1 3 6 1 2 1 2 2 1 2 1 val: string(9) «Ethernet0»
var: obj(10) 1 3 6 1 2 1 2 2 1 3 1 val: int(1) 0x06
var: obj(10) 1 3 6 1 2 1 2 2 1 4 1 val: int(2) 0x05dc
var: obj(10) 1 3 6 1 2 1 2 2 1 5 1 val: gauge(4) 0x00989680
var: obj(10) 1 3 6 1 2 1 2 2 1 6 1 val: string(6) ******
var: obj(10) 1 3 6 1 2 1 2 2 1 7 1 val: int(1) 0x01
var: obj(10) 1 3 6 1 2 1 2 2 1 8 1 val: int(1) 0x01
var: obj(10) 1 3 6 1 2 1 2 2 1 9 1 val: time(2) 0x0420
var: obj(10) 1 3 6 1 2 1 2 2 1 10 1 val: counter(4) 0x6b055aa0
Ph. Tourron 65
En-tête IP En-tête UDP
Version(Vsnmp-1) Communauté
PDU type (4)
En-tête commun
Entreprise Adresse
Agent . . . . . Type de
trap (0-7)
Code
spécifique
Estampille
horaire nom valeur
En-tête trap variables
Format des paquets trap
Ph. Tourron 66
Les formats requête et réponse sont identiques
type de pdu (Paket Data Unit):
0 get-request
1 get-next-request
2 set-request
3 get-response
4 trap
Code d ’erreur
0 noError
1 tooBig
2 noSuchName
3 badValue
4 readOnly
5 genErr
Quelques codifications
Ph. Tourron 67
Opérations supplémentaires en V2 et
V3
Getbulk (grde table)
Notification
Inform (desc mib locale)
Report
Ph. Tourron 68
Les alarmes (Trap) Type de trap generic
0 coldstart
1 warmstart
2 linkdown
3 linkup
4 authenticationFailure
5 egpneigborLoss
6 entreprisSpecifique
Trap specific seront définies selon matériel (température, état des ventilateurs, …)
Ph. Tourron 69
La syntaxe ASN.1 permet de décrire les objets. Il faut ensuite régler le transfert de ces objets entre machines (quelque soit leur architecture)
Le codageBER(Basic Encoding Rules)
règles de codages définies pour ASN1: Elles définissent le codage qui est appliqué pour coder les informations dans le paquet SNMP
Tout type ASN.1 est codé en
Type (classe : 2 bit, forme : 1 bit, identifieur : 5 bit)
Longueur
valeur
Fonction de transfert (codage)
Ph. Tourron 70
Lecture d ’un fichier de description iso(1).org(3).dod(6).internet(1).
mgmt(2).mib(1).
system(1)
sysDescr(1)
sysObjectID(2)
sysUpTime(3)….
interface(2)
ifNumber(1)
ifTable(2)
ifEntry(1)
ifIndex(1)
ifDescr(2)….
at(3)...
ip(4)...
icmp(5)...
tcp(6)...
private(4).entreprise(1) ….
hp(11)
Ph. Tourron 71
Sous-arbre MIB II (sous mgmt.) Comporte 171 objets
System
Interfaces (les interfaces réseaux)
At (quiv table arp)
Ip
Icmp (26 compteurs stat sur les types de paquets icmp)
Tcp (connexions en cours et param)
Udp
Egp (info sur les échanges d’info de routage)
Transmission (+) (type et support de trans)
Snmp (+) (répartition des échanges snmp)
Ph. Tourron 72
Lecture d ’une variable depuis combien de temps « cette » machine est elle sous
tension : variable sysUptime
oid:1.3.6.1.2.1.1.3.0
Lecture d ’une table dans une table les éléments sont indexés par le contenu des
variable qui servent d ’index, on ne connais donc pas l ’oid
à l ’avance: en théorie, on lit la table case après case avec
getnext, on découvre de la sorte les index qui permettent
ensuite, un accès plus direct (mais attention : évolution
dans le temps).
Attention à l ’ordre lexicographique sur les OID numériques
Ph. Tourron 73
Exemple de table Exemple de table ifTable (1.3.6.1.2.1.2.2),
chaque ligne est une ifEntry(1)
ifIndex(1) ifDescr(2) ifType(3) ….
1 ni0 1 ….
2 ni1 1 ….
3 lo0 24 ….
4 lan0 6 ….
L ’oid de l ’élément « lan0 » est :
1.3.6.1.2.1.2.2.1.2.4
Ph. Tourron 74
La sonde Rmon (remote monitoring) est un outil de gestion pour collecter des données dans un segment de réseau (Rmon est une norme de l’IETF)
Rmon est une extension de mgmt en .16 elle est liée au type de réseau analysé (ethernet, token ring)
Groupe host (table par adr mac avec tte stat de trafic)
Groupe hostTopN (pour étude de trafic classement)
…
2 groupes seront très utiles pour la définition de trap : Alarm .3(définition d’une alarme sur compteur MIBII et RMON) et event .9 (type d’action associé au déclenchement de l’alarme)
2 ensembles de groupes Rmon1 (niveau 1 et 2)et Rmon2 (niveau 3 à 7 du modèle OSI)
RMON
Ph. Tourron 75
Nouveautés de SNMPv3
Sécurité
Authentification (pour l’ensemble du message)
et cryptage (pour context et PDU)
Autorisation et contrôle d’accès
Administration
Nommage des entités
Gestion de la comptabilité
Destinations des notifications
Configuration à distance
Ph. Tourron 76
Les Outils
Plate-formes de management : HPOV
Epicenter, Optivity NMS (nortel),
CiscoWorks, Solstice (sun)
Des outils moins complets parfois gratuits :
snmpc, getif, netsnmp
Ph. Tourron 77
Exemple HPOV
Ph. Tourron 78
Administrer un réseau
Outil de management (HPOV/Controlpoint)
Ph. Tourron 79
Administrer un réseau
Créer des requêtes
Ph. Tourron 80
Administrer un réseau
Créer des alertes
Ph. Tourron 81
Administrer un réseau Visualiser
l’état du
réseau
Ph. Tourron 82
Administrer un réseau Modifier
l’état des EA (changer l’affectation d’un port à un réseau)
Ph. Tourron 83
Epicenter (extreme networks)
Ph. Tourron 84
Snmpc
Ph. Tourron 85
Getif
Ph. Tourron 86
Compléments
Ph. Tourron 87
Agent mandataire /Proxy
Cas où un nœud n’est pas capable
d’exécuter un agent
Agent mandataire (proxy agent):
Situé sur un autre nœud
Communique avec l’entité à administrer dans
un protocole non standard
Communique avec la station d’administration
en utilisant SNMP
Ph. Tourron 88
Format des PDU (1)
Get, Get-next, Inform, Response, Set et
Trap:
PDU
Type
Request
ID
Error
status
Error index
Variable bindings
PDU Type: Identification du message
Request ID: Correspondance requête/réponse
Error status: Type d’erreur (réponse)
Error index: Correspondance erreur/variable (réponse)
Variable bindings: Correspondance variable/valeur
Ph. Tourron 89
Format des PDU (2)
Get-bulk:
PDU
Type
Request
ID
Non-
repeaters
Max-
repetitions
Variable
bindings
PDU Type, Request ID et Variable bindings: Mêmes fonctions
Non-repeaters: Nombre de variables demandées au travers de
Variable bindings devant être retournées sans
répétition
Max-repetitions: Nombre de répétitions des variables restantes dans
Variable bindings
Ph. Tourron 90
Requête:
Réponse:
Get-bulk Request ID 3 4 A, B, C, D, E
Response Request ID 0 0 A, B, C, D0, D1, D2, D3, E0, E1, E2, E3
Requête Get-bulk
Ph. Tourron 91
Format des messages (1)
Non sécurisé
Authentifié mais non privé
Privé et authentifié
Destination Unused Destination Source Context PDU
Destination
Digest
Destination
timestamp
Source
timestamp
Destination
Source
Context
PDU
Destination
Digest
Destination
timestamp
Source
timestamp
Destination
Source
Context
PDU
Crypté
Ph. Tourron 92
Exemples de codage ASN.1
Ph. Tourron 93
Activation du protocole SNMP sur le routeur CISCO :
nom>enable
Password: cisco
nom#conf t
Enter configuration commands, one per line. End with CNTL/Z.
nom(config)#snmp-server enable traps snmp
nom(config)#snmp-server community public RO
nom(config)#end
Ph. Tourron 94
Dans la conf
snmp-server community public RO
snmp-server enable traps snmp authentication
linkdown linkup coldstart warmstart
snmp-server host 192.168.1.201 version
snmp
Ph. Tourron 95
Exemples de configuration snmp V3
extreme networks
Ph. Tourron 96
SNMP V3 le paramètrage
# SNMPV3
enable snmp access ## active toutes les versions de snmp
disable snmp access snmp-v1v2c ### Pour supprimer snmp v1/v2
configure snmpv3 add user admin authentication md5 hex ae:xxxxxxxxxxxxxxxxxxxxxxxxd6 privacy hex ae:xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxd6
Yes
configure snmpv3 add user initial authentication md5 hex a8:xxxxxxxxxxxxxxxxxxxxxxxxxx:5c
Yes
configure snmpv3 add user initialmd5 authentication md5 hex a8:xxxxxxxxxxxxxxxxxxxxxxxxxxx9:5c
Yes
configure snmpv3 add user initialmd5Priv authentication md5 hex a8:4xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxprivacy hex a8:xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx5c
Yes
configure snmpv3 add user initialsha authentication sha hex a5:69:xxxxxxxxxxxxxxx9:e9:df
Yes
configure snmpv3 add user initialshaPriv authentication sha hex a5:xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx6:5e:d9:e9:df privacy hex
a5:6xxxxxxxxxxxxxxxxxxxxxxxxx:df
Yes
Ph. Tourron 97
Les niveaux de gestion (sécurité) SNMPv3 supporte 3 modèles de sécurité :
● SNMPv1—aucune securité
● SNMPv2c— sécurité par communauté
● SNMPv3— sécurité USM
Les 3 niveaux de sécurité supportés par USM sont :
● noAuthnoPriv— pas d’authentication, pas de privacy. C’est le cas sur les agents SNMPv1/v2c.
● AuthnoPriv— authentication, pas de privacy. Contrôle d’authentification.
● AuthPriv—Authentication, privacy. Le plus haut niveau de sécurité en V3 : Contrôle d’authentification et encryption des échanges.
Ph. Tourron 98
Les comptes Par défaut, 6 comptes sont créés, et non-supprimables :
admin, initial, initialmd5, initialsha, initialmd5Priv, initialshaPriv
Par défaut, 4 groupes sont créés : v1v2c_ro (pour accès ro en smnmpv2), v1v2c_rw (pour accès rw en snmpv2), admin (pour les droits d’admin), initial (pour les droits de lecture)
-pour l’accès RW : nous utilisons le user admin avec un mot de passe d’authentication et un mot de passe de privacy
-pour l’accès RO : nous utilisons le user initialmd5Priv avec un mot de passe d’authentication et un mot de passe de privacy
- on modifie le mot de passe des 4 autres comptes snmp pour qu’il soit différents du standard
On peut restreindre chaque utilisateur à accéder à une partie seulement de la MIB, avec un masque : exemple 1.3.6.1.2.1.1/1.1.1.1.1.1.1.0
Ne pas oublier d’enregistrer la configuration en mémoire (Avec save conf).
Ph. Tourron 99
Références Ouvrages:
Pratique de la gestion de réseau (Agoulmine, Cherkaoui) Eyrolles
Essential SNMP(Douglad R. Mauro & Kevin J. Schmidt) O’Reilly
RFC: http://www.rfc-editor.org
RFC 1095 : CMOT
RFC 1213 : MIB-II
RFC 1212 : MIB
RFC 1189 : CMOT AND CMIP
RFC 1155,1157 : SNMPv1
RFC 1905 : SNMPv2
RFC 2570 : SNMPv3