snmp tuto debutant

23
Administration du réseau ____ Bernard Cousin - © IFSIC - Université Rennes I 1 (/home/kouna/d01/adp/bcousin/Fute/Cours/Internet-2/14-SNMP.fm- 10 Octobre 1998 13:23) PLAN Introduction Présentation générale Le protocole SNMP La base de donnés - MIB La représentation des données Les messages SNMP Conclusion Administration du réseau

Upload: faniry-rkotomalala

Post on 26-Nov-2015

66 views

Category:

Documents


1 download

DESCRIPTION

Buts de l'administration de réseau :. configuration (configuration management). sécurité (security management). panne (fault management). audit (performance management).

TRANSCRIPT

  • n Administration du rseau n

    1

    ute/Cours/Internet-2/14-SNMP.fm- 10 Octobre 1998 13:23)____

    Bernard Cousin - IFSIC - Universit Rennes I

    (/home/kouna/d01/adp/bcousin/F

    PLAN Introduction Prsentation gnrale Le protocole SNMP La base de donns - MIB La reprsentation des donnes Les messages SNMP Conclusion

    Administrationdu rseau

  • n Administration du rseau n

    2

    ministration (SNMP)

    es____

    Bernard Cousin - IFSIC - Universit Rennes I

    1. Introduction

    Buts de l'administration de rseau :. configuration (configuration management). scurit (security management). panne (fault management). audit (performance management)

    Le rseau est htrogne :. un seul ensemble doprations et un protocole d'ad

    Indpendance vis--vis des applications et des interfac

    Le rseau est rparti :. administration distance. s'appuie sur le rseau lui-mme (IP + UDP)

    . comptabilit (accounting management)

    . une seule base dinformation rpartie (MIB)

  • n Administration du rseau n

    3

    ____

    Bernard Cousin - IFSIC - Universit Rennes I

    2. Prsentation

    2.1. Gestion de la configuration

    Principaux rles :- inventaire des ressources- initialisation des quipements- gestions des noms et des adresses- mise jour des paramtres des ressources

    Procdures :- collecter les informations- contrler ltat du systme- sauvegarder lhistorique (log)- prsenter ltat du systme + synoptique

  • n Administration du rseau n

    4

    es pour assurer la scurit

    les

    eau (inter/intranet)

    ____

    Bernard Cousin - IFSIC - Universit Rennes I

    2.2. Gestion de la scurit

    Ncessaire pour protger le rseau contre :- un dysfonctionnement, une inadvertance, une malveillance

    Une base de donnes spcifique :- Security MIB : rassemble (protge) les informations utilis

    Attaque passive :- coute de messages, observation du trafic

    Attaque active :- mascarade,- duplication de message, modification de message,- perturbation dun service, modification dun service.

    Enregistrement de lactivit des utilisateurs :- les vnements significatifs, les actions interdites ou sensib

    Filtrage (firewall)- trie des flux de donnes circulant entre deux parties du rs

  • n Administration du rseau n

    5

    cole, le numro de port,

    message (signature)

    ue)____

    Bernard Cousin - IFSIC - Universit Rennes I

    - sur les adresses IP, le sens dentre/sortie, le type du proto- les applications accessibles doivent tre protges

    Authentification :- de lutilisateur de service (mot de passe), de lmetteur de - notaire (tierce partie certifiante)

    Intgrit du message :- sceau (fonction de hachage)

    Cryptage des messages :- systme clef secrte (symtrique) ou publique (asymtriq- cryptage la source ou par un serveur

  • n Administration du rseau n

    6

    ion, etc.

    dvnements)____

    Bernard Cousin - IFSIC - Universit Rennes I

    2.3. Gestion des pannes

    Dfauts :- systmatique : panne dun quipement, rupture dun lien- dpendant : fonction de ltat de lenvironnement, congest

    Phase de traitement dun dfaut :- dtection dun fonctionnement anormal- localisation/diagnostic- rparation- vrification

    Dtection :- messages derreur (quoi, qui(o), quand)- tests (de contrle routinier, de diagnostic)- seuils (dnombrement des vnements)

    Diagnostic :- exploitation de lhistorique (suite dvnements, ensemble- tests de diagnostic

  • n Administration du rseau n

    7

    ____

    Bernard Cousin - IFSIC - Universit Rennes I

    Rparation :- reconfiguration- remplacement

  • n Administration du rseau n

    8

    tiques :____

    Bernard Cousin - IFSIC - Universit Rennes I

    2.4. Audit des performances

    Performances des ressources du rseau :- dlai, dbit, taux derreur, disponibilit

    Evaluation des performances effectue partir de mesures statis- Collecte,- Contrle,- Stockage,- Prsentation

    Analyse :- Dtection de comportements symptomatiques- Prvision

  • n Administration du rseau n

    9

    ____

    Bernard Cousin - IFSIC - Universit Rennes I

    2.5. Gestion de la comptabilit

    Informations permettant dvaluer le cot des communications.- En fonction de la dure, du volume- Au niveau du rseau ou de lapplication

    Exemple :- nombre doctets transmis, dure de connexion

  • n Administration du rseau n

    10

    157 (1990)

    ocol

    me)s 1493, DEC : rfc 1289)____

    Bernard Cousin - IFSIC - Universit Rennes I

    3. SNMP

    3.1. Introduction

    SNMP (Simple Network Management Protocol): rfc 1- utilise UDP : transmission simple !

    Norme OSI d'administration de rseau (ISO 7498) :- CMIS/CMIP (ISO 9595 et 9596) : Common Management Information Service/Prot

    + CMOP (CMIP over TCP) : rfc1189.

    MIB (Management Information Base) : rfc 1156+ Base de donnes rpartie. indpendance vis--vis des protocoles (unifor. uniformit adaptabilit aux diffrents besoin

    (Ethernet : rfc 1398, FDDI : rfc 1512, pont : rfc+ MIB-II : rfc 1213 (1993)

  • n Administration du rseau n

    11

    MS

    MS

    Hubcentrateur

    telligent)

    ment Client (administrateur SNMP)ment Server (agent SNMP)

    ne certaine vue. l'intermdiaire des agents. (d'quipement ou____

    Bernard Cousin - IFSIC - Universit Rennes I

    3.2. Architecture gnrale

    MS

    MS

    MS

    MS

    MCMS

    MC

    (conin

    Stations

    Routeurs

    : Manage: Manage

    MC

    MS

    SNMPSNMP

    demande(request)notificationd'vnement (trap)rponse(response)

    L'agent est charg de grer les quipements : il en propose uL'administrateur peut interroger/piloter les quipements parDes proxys peuvent tre utiliss pour raliser une adaptationprotocolaire)

  • n Administration du rseau n

    12

    :ar les administrateurs

    , contrleur, )

    ission____

    Bernard Cousin - IFSIC - Universit Rennes I

    4. La base de donnes

    4.1. Introduction

    Dfinit les informations gres par la base de donnes Ces informations pourront tre interroges/modifies p

    Catgories d'information d'administration : - system : systme et informations gnrales - interfaces : interface d'accs au rseau (coupleur - addr.trans. : adressage (ARP...) - ip : protocole IP - tcp : protocole TCP - udp : protocole UDP - egp : protocole EGP - trans : informations sur les lignes de transm - snmp : protocole SNMP

    Management Information Base

  • n Administration du rseau n

    13

    d'une interface d'accs

    ment reus

    eur de retransmission____

    Bernard Cousin - IFSIC - Universit Rennes I

    4.2. Les variables de la MIB

    Exemples de variables : Nom Catgorie SmantiquesysUpTime system dure depuis le dmarrageifNumber interfaces nombre d'interfaces d'accsifMtu interfaces MTU(maximum transfer unit)ipInReceives ip nombre de datagrammes reusipFragsOKs ip nombre de fragments correcteipRouteTable ip table de routagetcpRtoMin tcp dure minimale du temporisatudpInDatagrams udp nombre de paquets UDP reus

  • n Administration du rseau n

    14

    tion (codage)

    spondante

    ngueur max. du datag.

    ions existantes sontr exemple les entiers :-1, complment--2,

    u plusieurs, sur un mot, ou variable, ____

    Bernard Cousin - IFSIC - Universit Rennes I

    5. Reprsentation des donnes

    5.1. Introduction

    Les informations de la MIB peuvent tre :- simple : ipInReceives = [0 232-1]- complexe : ipRouteTable !!!- type : ipAdresss (4 octets)

    + ASN-1 (Abstract Syntax Notation : X409) dfinit le nom, le type des variables et leur reprsenta

    Exemple : (information sur les interfaces dune station)ipAddrTable ::= SEQUENCE OF IpAddrEntryIpAddrEntry ::= SEQUENCE {

    ipAdEntAddr IpAddress, -- @IP de linterface ipAdEntIfIndex INTEGER, -- numro de linterface corre ipAdEntNetmask IpAddress, -- netmask associ ipAdEntBcastAddr IpAddress, -- @IP de diffusion ipAdEntReasmMaxSize INTEGER(0...65535) -- lo

    }

    Les reprsentatnombreuses. Pa- complment-- sur un octet o- longueur fixe

  • n Administration du rseau n

    15

    vnements, paramtres

    hrenceement Information Tree)

    les diffrentes catgories____

    Bernard Cousin - IFSIC - Universit Rennes I

    5.2. Dnomination des variables

    Pour toutes les variables actuelles et futures,Pour tous les objets (normes de protocole, compteurs d'de configuration, ) Dlgation d'attribution (efficacit) et maintien de la co

    + un espace global, arborescent : MIT (Manag

    iso1

    org3

    dod6

    internet1

    ccitt2

    joint-iso-ccitt

    3

    directory1

    mgmt2

    experimental3

    private4

    racine mgmt2

    mib1

    interf.2

    ip4

    udp7

    system1

    addr.3

    icmp5

    tcp6

    egp8

    ipInReceives3

    ipAddrTable20

    iso.org.dod.internet.mgmt.mib.ip.ipAddrTable+ 1.3.6.1.2.1.4.20.0

    ...

    ipAddrEntry1

    ipAddrEntIfIndex2

    ipAddrEntAddr1

    LOID (Object identifier) :

  • n Administration du rseau n

    16

    ni dans le rfc 1155

    is value should include the fullware type, software ____

    Bernard Cousin - IFSIC - Universit Rennes I

    5.3. Dfinition des variables

    Son type :- en syntaxe ASN-1 : soit un type universel, soit un type dfi

    Le type daccs autoris :- 4 types : read-only, read-write, write-only, non-accessible.

    Son status dexistence :- mandatory, optionnal, deprecated, obsolete

    La description textuelle de la variable.

    Sa dnomination.

    o Exemple :sysDescr OBJECT-TYPE. SYNTAX DisplayString (SIZE (0..255)). ACCESS read-only. STATUS mandatory. DESCRIPTION a textual description of the entity. Th

    name and version identification of the systems hard::= {system 1}

  • n Administration du rseau n

    17

    l

    ne variableante (non-explicitement nomme)

    ans une variable

    ort 162 (trap) et 161 (autres)____

    Bernard Cousin - IFSIC - Universit Rennes I

    6. Le protocole SNMP

    Le protocole SNMP : Simple network management protoco

    Oprations sans mmoire (selfcontent message) :+ - stabilit, simplicit, flexibilit

    Oprations atomiques :+ - cohrence,

    SNMP operations : - get.Request : demande d'obtention de la valeur d'u - get-next.Request : demande de la valeur de la variable suiv - get.Response : rponse une demande - set.Request : demande de stockage d'une valeur d - trap : notification d'vnement

    Les messages SNMP utilise le protocole UDP, numros de p

    Echange dinformations sur les variables de la BdD

  • n Administration du rseau n

    18

    trateurs ayant accs l'agent____

    Bernard Cousin - IFSIC - Universit Rennes I

    6.1. Le format gnral des messages SNMP

    SNMP-message ::= SEQUENCE { version INTEGER { version-1 (0)},community OCTET STRING, -- lensemble des adminisdata ANY -- le PDU

    }

    SNMP-PDUs ::= CHOICE{get-request GetRequest-PDU, get-next-request GetNextRequest-PDU, get-response GetResponse-PDU, set-request SetRequest-PDU, trap Trap-PDU

    }

    + en ASN-1 !

  • n Administration du rseau n

    19

    tet,

    qute)____

    Bernard Cousin - IFSIC - Universit Rennes I

    GetRequest-PDU ::= [0] IMPLICIT SEQUENCE {request-id RequestID,error-status ErrorStatus,error-index ErrorIndex,variable-bindings VarBindList

    }avec RequestID : un type entier sur 4 octets,

    ErrorStatus et ErrorIndex : deux types d'entiers sur un seul oc- initialiss zro lors d'une requte,

    VarBindList : le type liste de noms de variable,- couple nom et valeur de la variable (null pour une re

    Le format des messages SNMP (suite)

    + association entre demande et rponse

    + informe sur le droulement de la demande

    + liste des variables dont on veut obtenir la valeur

  • n Administration du rseau n

    20

    le nom correspond au prfixe.

    (type, longueur, valeur)

    tier)

    e spcifiqueP

    -- Les deux 1er labels -- sont encods ensemble____

    Bernard Cousin - IFSIC - Universit Rennes I

    6.2. Exemple dencodage dune variable

    + encodage de GetReq() !nota : le suffixe .0 rfrence l'instance de la variable dont

    Rgle dencodage BER (Basic Encoding Rules) de type TLV SEQUENCE len=41 30 29 INTEGER len=1 value -- version (type prdfini : en 02 1 00 STRING len=6 value -- community : public 04 6 public GetReq_PDU len=28 -- type dpendant du context A0 1C -- de l'application, ici : SNM INTEGER len=4 value_request_id 02 4 05 AE 56 02 INTEGER len=1 value_errror_status 02 1 00 INTEGER len=1 value_error_index 02 1 00 SEQUENCE len=14 -- une liste 30 0E SEQUENCE len=12 -- . de couples 30 0C Object_id len=8 value_object=1.3.6.1.2.1.1.1.0 06 8 2B 06 01 02 01 01 01 00 NULL len=0 05 0

  • n Administration du rseau n

    21

    ____

    Bernard Cousin - IFSIC - Universit Rennes I

    La structure de donnes correspondante :

    0

    4

    1

    1

    1

    30

    30

    02

    04

    02

    02

    02

    8

    30

    06

    30

    102

    6 p u b l i c

    05 AE 56 02

    2B 06 01 02 01 01 01 00

    0

    0

    0

  • n Administration du rseau n

    22

    ods par BER (cf. XDR)ide dune arborescence____

    Bernard Cousin - IFSIC - Universit Rennes I

    7. Conclusion

    7.1. Gnralits

    SNMP

    MIB

    Les objets sont reprsents laide dASN-1 et enc

    Protocole simple, minimal et sans mmoire

    Base de donnes gnrale identifiant les objets la

    3 oprations :- obtenir une valeur- modifier la valeur dune variable- notifier lapparition dun vnement

  • n Administration du rseau n

    23

    ____

    Bernard Cousin - IFSIC - Universit Rennes I

    7.2. Amliorations

    Amlioration de la scurit :. authentification. protection

    Communication entre administrateurs SNMP. opration : InformRequest

    Accs simultane plusieurs variables de la MIB. opration : GetBulkRequest+ optimisation, structure de taille inconnue

    + SNMP v2

    (/home/kouna/d01/adp/bcousin/Fute/Cours/Internet-2...PLAN Introduction Prsentation gnrale Le protocole SNMP La base de donns - MIB La reprsentation des donnes Les messages SNMP Conclusion

    1. Introduction2. Prsentation2.1. Gestion de la configurationPrincipaux rles :- inventaire des ressources- initialisation des quipements- gestions des noms et des adresses- mise jour des paramtres des ressources

    Procdures :- collecter les informations- contrler ltat du systme- sauvegarder lhistorique (log)- prsenter ltat du systme + synoptique

    2.2. Gestion de la scuritNcessaire pour protger le rseau contre :- un dysfonctionnement, une inadvertance, une malv...

    Une base de donnes spcifique :- Security MIB : rassemble (protge) les informati...

    Attaque passive :- coute de messages, observation du trafic

    Attaque active :- mascarade,- duplication de message, modification de message,...- perturbation dun service, modification dun ser...

    Enregistrement de lactivit des utilisateurs :- les vnements significatifs, les actions interd...

    Filtrage (firewall)- trie des flux de donnes circulant entre deux pa...- sur les adresses IP, le sens dentre/sortie, le...- les applications accessibles doivent tre protg...

    Authentification :- de lutilisateur de service (mot de passe), de l...- notaire (tierce partie certifiante)

    Intgrit du message :- sceau (fonction de hachage)

    Cryptage des messages :- systme clef secrte (symtrique) ou publique ...- cryptage la source ou par un serveur

    2.3. Gestion des pannesDfauts :- systmatique : panne dun quipement, rupture d...- dpendant : fonction de ltat de lenvironnemen...

    Phase de traitement dun dfaut :- dtection dun fonctionnement anormal- localisation/diagnostic- rparation- vrification

    Dtection :- messages derreur (quoi, qui(o), quand)- tests (de contrle routinier, de diagnostic)- seuils (dnombrement des vnements)

    Diagnostic :- exploitation de lhistorique (suite dvnements...- tests de diagnostic

    Rparation :- reconfiguration- remplacement

    2.4. Audit des performancesPerformances des ressources du rseau :- dlai, dbit, taux derreur, disponibilit

    Evaluation des performances effectue partir de ...- Collecte,- Contrle,- Stockage,- Prsentation

    Analyse :- Dtection de comportements symptomatiques- Prvision

    2.5. Gestion de la comptabilitInformations permettant dvaluer le cot des comm...- En fonction de la dure, du volume- Au niveau du rseau ou de lapplication

    Exemple :- nombre doctets transmis, dure de connexion

    3. SNMP3.1. Introduction3.2. Architecture gnrale

    4. La base de donnes4.1. Introduction4.2. Les variables de la MIB

    5. Reprsentation des donnes5.1. Introduction5.2. Dnomination des variables5.3. Dfinition des variablesSon type :- en syntaxe ASN-1 : soit un type universel, soit ...

    Le type daccs autoris :- 4 types : read-only, read-write, write-only, non...

    Son status dexistence :- mandatory, optionnal, deprecated, obsolete

    La description textuelle de la variable.Sa dnomination.o Exemple :sysDescr OBJECT-TYPE. SYNTAX DisplayString (SIZE (0..255)). ACCESS read-only. STATUS mandatory. DESCRIPTION a textual description of the entity...

    ::= {system 1}

    6. Le protocole SNMP6.1. Le format gnral des messages SNMP6.2. Exemple dencodage dune variable+ encodage de GetReq() !nota : le suffixe .0 rfrence l'instance de la va...

    Rgle dencodage BER (Basic Encoding Rules) de t...La structure de donnes correspondante :

    7. Conclusion7.1. Gnralits7.2. Amliorations