Administration Des Réseaux - SNMP

8/14/2019 Administration Des Rseaux - SNMP

1/77

Complment Rseaux de Transport et Applications Anne 95/96

L.Duchien -1- L'Administration de l'Internet : SNMP

Thme n5 : L'Administration desRseaux

L'administration del'Internet:

SNMP

(Simple Network Management Protocol)

UV B : Complment Rseaux de Transport et Applications

Anne 95/96

Laurence DuchienCNAM-Cedric, 292, rue st Martin

75141 Paris Cedex 03tel : 40 27 25 83

e_mail : [email protected]://tulipe.cnam.fr/personne/duchien/poly.html
http://tulipe.cnam.fr/personne/duchien/poly.htmlhttp://tulipe.cnam.fr/personne/duchien/poly.htmlhttp://tulipe.cnam.fr/personne/duchien/poly.html


2/77



Introduction.............................................................................................3Les standards ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .5Les attendus d'une administration de rseau...............................................6L'organisation d'une administration ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ..7

Les systmes de gestion de rseau ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... .8L'architecture d'un logiciel d'administration de rseau...................................9La gestion distribue d'un rseau... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .10

1. Les concepts de SNMP.... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1

1Le Modle... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .12Le Modle (2)... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .13Le Modle (3)... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .14

2. La MIB (Management Information Base)... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1

5SMI (Structure of de spcification des informations d'administration)... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .16La spcification de l'arbre des MIB accessibles... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1

7Les types... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .18Mise jour de la structure... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .21Les MIBs.... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .22

3. Le Protocole SNMP.... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .2

7 Quelques rgles :. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .28Communauts et Nom de communauts... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .29

Dfinition de la communaut... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .30Les concepts d'administration... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .32


3/77



L'identification d'instance... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .33

L'accs direct dans une table... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .34L'ordre lexicographique... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .36

La spcification du protocole... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .38

Echange sur le rseau au niveau du service... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .41Exemple... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .42

Suite de l'exemple... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .44

Conclusion provisoire... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .48

4. SNMP v2.... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .4

9SMI : Structure de l'information d'administration... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .50

1. Dfinition des objets... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .502. Les tables... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .51Cration et destruction d'un rang dans un tableau... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .52Cration et destruction d'un rang dans un tableau... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .53Exemple de cration de ligne d'une table... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .54

Le protocole... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .55

Possibilit de station d'administration station d'administration... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .59

La MIB.... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .60La compatibilit entre SNMP et SNMPv2

.... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .62


4/77



La scurit dans SNMP 2.... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .65

Format des messages scuriss... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .67mission d'une requte scurise... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .68Exemples d'agents... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .69Algorithme de synchronisation des horloges... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .70Algorithme de synchronisation des horloges(2)... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .71

5. Conclusion... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .726. Bibliographie... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .7

3


5/77



Introduction

Le rseau est devenu une ressource indispensable (voir vitale) aubon fonctionnement d'une organisation, une entreprise, ...

L'administration du rseau met en oeuvre un ensemble de moyenspour :

- offrir aux utilisateurs un service de qualit,- permettre l'volution du systme en incluant des nouvelles

fonctionnalits

- optimiser les performances des services pour les utilisateurs

- permettre une utilisation maximale des ressources pour uncot minimal.


6/77



Administration= partie oprationnelled'un rseau

Les fonctions d'administration doivent permettre

- l'extraction des informations des lments du rseau aumoyen d'outils

=> rcolte un grand nombre d'information,

- la rduction du volume d'information au moyen de filtres=> slection d'information significatives,

- le stockage des informations retenues dans une base dedonnes d'administration,

- des traitements sur ces informations,

- offrir des interfaces (utilisateur d'administrationadministration, oprateur rseau).


7/77



Les standards

Pour tre utiliser par une large gamme de produits (systmesterminaux, ponts, routeurs, quipement de tlcommunicationquelconque) et dans un environnement multi-constructeurs,

On trouve deux grandes familles de standards :

- SNMP :

- regroupe un ensemble de standards incluant unprotocole, une spcification de la structure de la base de donneset un ensemble d'objets.

- C'est le standard pour TCP/IP.

- L'administration de systmes OSI :

- regroupe un grand ensemble de standards qui dcrivent

une architecture gnrale d'administration, un service et unprotocole de gestion (CMISE/CMIP), la spcification de lastructure de la base de donnes et un ensemble d'objets.


8/77



Les attendus d'une administration derseau

Les cinq domaines fonctionnels de l'administration tel que dfinisdans l'OSI:

- La gestion des pannes : permet la dtection, lalocalisation, la rparation de pannes et le retour une situationnormale dans l'environnement.

- La comptabilit : permet de connatre les charges desobjets grs, les cots de communication, ...

Cette valuation est tablie en fonction du volume et de ladure de la transmission. Ces relevs s'effectuent deux niveaux :Rseau et Application.

- La gestion des configurations : permet d'identifier, deparamtrer les diffrents objets.

Les procdures requises pour grer une configuration sont lacollecte d'information, le contrle de l'tat du systme, lasauvegarde de l'tat dans un historique

- L'audit des performances : permet d'valuer lesperformances des ressources du systme et leur efficacit. Lesperformances d'un rseau sont values partir de quatre

paramtres : le temps de rponse, le dbit, le taux d'erreur par bitet la disponibilit.

- La gestion de la scurit : une des fonctions de gestionconcerne le contrle et la distribution des informations utilisespour la scurit. Un sous-ensemble de la MIB concerne lesinformations de scurit (SMIB). Il renferme le cryptage et laliste des droits d'accs.


9/77



L'organisation d'une administration

Qui a besoin d'administration et pour quoi faire ?

Il existe diffrents types de dcision d'administration :

- dcisions oprationnelles : dcision court terme,concernant l'administration au jour le jour et oprations temps relsur le systme

- dcisions tactiques : dcision moyen terme concernantl'volution du rseau et l'application des politiques de long terme

- dcisions stratgiques : dcision de long termeconcernant les stratgies pour le futur en exprimant les nouveauxbesoins et dsirs des utilisateurs.

Ces niveaux dterminent diffrents niveaux d'administration:

- le contrle oprationnel rseau pour les dcisionsoprationnelles

- la gestion rseau pour les dcision tactiques

- l'analyse de rseau pour les dcision tactiques etstratgiques

- la planification pour les dcisions stratgiques


10/77



Les systmes de gestion de rseau

Un systme de gestion rseau est une collection d'outils pourcontrler et grer le rseau qui comprend:

- une interface pour oprateur avec un ensemble decommandes pour excuter la plupart des tches d'administrationde rseaux.

- un minimum d'quipements supplmentaire intgr au

systme existant.

La configuration d'un environnement de rseau gr

NMA

NME APPL.

Comm

OS

NME APPL.

Comm

OS

NME APPL.

Comm

OSOS

CommComm

NME

OS

Comm

NME

OS

Comm

NME

Rseau

hte de contrlede rseau

moniteur decontrle

FrontalHte

NME : Entit de gestion rseauNMA : Application de gestion rseau

Appl : ApplicationOS : Operating SystemComm : Logiciel de communication

cluster

Hte

(agent)

(agent)

(agent)(agent)


11/77



L'architecture d'un logicield'administration de rseau

L'architecture de l'application dans un gestionnaire ou dans unagent va varier en fonction des fonctionnalits de la plate-forme.

Une vue gnrique d'une plate-forme divis en trois grandes catgories :- le logiciel utilisateur- le logiciel de gestion rseau- le logiciel de communication et de support des donnes

Interface utilisateur

Prsentation des informations de gestion rseau aux utilisateurs

Elementd'Application

Elementd'Application

Elementd'Application.......

Application degestion rseau

Application degestion rseau

Service de transport de donnes de gestion de rseau

Module d'accs la MIB

Pile de protocolede communication

MIB Rseau gr


12/77


13/77



1. Les concepts de SNMP

- Protocole d'administration de machine supportant TCP/IP

- Conu en 87-88 par des administrateurs de rseau- Rponse un appel d'offre de l'OSF selon le modle DCE- RMON MIB1-91, Secure SNMP-92, SNMPv2 - 93.

- Permet de rpondre un grand nombre de besoins :

- disposer d'une cartographie du rseau- fournir un inventaire prcis de chaque machine- mesurer la consommation d'une application- signaler les dysfonctionnements-

Avantages :

- protocole trs simple, facile d'utilisation- permet une gestion distance des diffrentes machines- le modle fonctionnel pour la surveillance et pour la

gestion est extensible- indpendant de l'architecture des machines

administres


14/77



Le Modle

Une administration SNMP est compose de trois typesd'lments:

- des agents chargs de superviser un quipement. On parled'agent SNMP install sur tout type d'quipement.

- une ou plusieurs stations de gestion capable d'interprterles donnes

- une MIB (Management Information Base) dcrivant lesinformations gres.

Un protocole activ par une API permet la supervision, lecontrle et la modification des paramtres des lments durseau.

Les fonctionnalits :

- get : permet la station d'interroger un agent,- get_next : permet la lecture de l'objet suivant d'un agent

sans en connaitre le nom- set : permet de modifier les donnes d'un agent

- trap : permet de transmettre une alarme


15/77



Le Modle (2)

protocoles dpendantdu rseau

IP

TCP

Gestionnaire SNMP

Applicationde gestion

GetRequest

GetNextReques

t

SetRequest

GetResponse

Trap

Station de gestion SNMP


IP

TCP

Agent SNMP

GetRequest

GetNextRequest

SetRequest

GetResponse

Trap

Objet gr par SNMP

Ressources gres

L'application gre des objets

Rseau ou Internet

Messages SNMP

Agent SNMP

Architecture de SNMP


16/77



Le Modle (3)

L'utilisation de SNMP suppose que tous les agents et les stationsd'administration supportent IP et UDP.

Ceci limite l'administration de certains priphriques qui nesupportent pas la pile TCP/IP.

De plus, certaines machines (ordinateur personnel, station detravail, contrleur programmable, ... qui implantent TCP/IP pour

supporter leurs applications, mais qui ne souhaitent pas ajouter unagent SNMP.

=> utilisation de la gestion mandataire (les proxies)

Un agent SNMP agit alors comme mandataire pour un ouplusieurs priphriques:


IP

UDP

SNMP

Processusd'administration


IP

UDP

SNMP

Processusde l'agent


Fonction de mise en correspondance

architecturede protocole

utilise par unpriphrique

mandat


architecturede protocole

utilise par unpriphrique

mandat

Processusd'administration

priphriquemandat

Stationd'administration

Rseau Rseau

Agent mandataire


17/77



2. La MIB (Management InformationBase)

=> Modle de donnes associ SNMP:

. SMI (Structure of Management information) - mta modle

. MIB = liste des variables reconnues par les agents

=> Base de donnes contenant les informations sur les lmentsdu rseau grer

=> 1 ressource grer = 1 objet

MIB = Collection structure d'objets chaque noeud dans le systme doit maintenir une MIB qui

reflte l'tat des ressources gres une entit d'administration peut accder aux ressources du

noeud en lisant les valeurs de l'objet et en les modifiant.

=> 2 objectifs

Un schma commun : SMI (Structure of ManagementInformation)

Une dfinition commune des objets et de leur structure


18/77



SMI (Structure of de spcification desinformations d'administration)

=> donne les rgles de dfinition, d'accs et d'ajout des objetsdans la MIB (mta-modle)

Objectif: encourager la simplicit et l'extension de la MIB

rendre un objet accessible de la mme manire sur chaqueentit du rseau

possder une reprsentation identique des objets

La MIB contient des lments simples (scalaire et tableaux deux dimensions de scalaires)

SNMP ne permet que des interrogations de scalaires

OSI permet des structures et des modes de recherchecomplexes


19/77



La spcification de l'arbre des MIBaccessibles.

Root

ISO(1)CCITT(0) Joint ISO-CCITT(2)

Org(3)

dod(6)

Internet(1)

directory(1) mgmt(2) experimental(3) private(4)

MIB(1) Enterprise(1)

On utilise la syntaxe ASN.1 pour dcrire les donnes.Chaque objet est reprsent par un "object identifier"

Exemple : Internet Object Identifier ::= {ISO org(3) dod(6) 1}soit en notation pointe 1.3.6.1 pour le noeud Internet.

Exemple : directory Object Identifier ::= {internet 1}


20/77



mgmtObject Identifier ::= {internet 2}


21/77


22/77



Les objets dcrits utilisent la macro suivante :

OBJECT-TYPE MACRO ::=BEGIN

TYPE NOTATION ::="SYNTAX" type (TYPE ObjectSyntax)"ACCESS" Access"STATUS" Status

VALUE NOTATION ::= value (VALUE ObjectName)Access ::= "read-only"

|"read-write"|"write-only"|"not-accessible"

Status ::= "mandatory"

|"optional"|"obsolete"|"deprecated"

END

Exemple d'objets dfini par le SMI du RFC1155

OBJECT------------

atIndex {atEntry 1}Syntax : INTEGERDefinition : The interface number for the physical addressAccess : read-writeStatus : mandatory

OBJECT------------atPhysAddress {atEntry 2}Syntax : OCTET STRING

Definition : The media-dependant physical addressAccess : read-writeStatus : mandatory


23/77



OBJECT------------atEntry {atTable 1}Syntax :

AtEntry::= SEQUENCE {atIndex INTEGER,atPhysAddress OCTET STRING,atNetAddress NetworkAddress,}

Definition : an entry in the translation tableAccess : read-writeStatus : mandatory

OBJECT

------------atTable{at 1}Syntax : SEQUENCE OF AtEntryDefinition : The address translation tableAccess : read-writeStatus : mandatory

Autres objets intressants :

atIndex OBJECT-TYPE

SYNTAX INTEGERACCESS read-writeSTATUS mandatory::= {atEntry 1}

atPhysAddress OBJECT-TYPESYNTAX OCTET STRINGACCESS read-writeSTATUS mandatory::= {atEntry 2}

atNetAddress OBJECT-TYPESYNTAX NetWorkAddressACCESS read-writeSTATUS mandatory::= {atEntry 3}

atEntry OBJECT-TYPESYNTAX AtEntryACCESS read-write

STATUS mandatory ::= {atTable 1}


24/77



Mise jour de la structure

- le nom de la MIB concerne ne change pas mais son no deversion volue (exemple mgmt version-number)

- les anciens objets sont dclars comme obsoltes s'il y abesoin mais sont prservs

- augmentation de la dfinition d'un objet en ajoutant denouveaux objets dans la structure

- ou cration complte d'un objet

=> volution : pas de modification des objets existants dans lesnouvelles versions


25/77



Les MIBs

Version 2 de la MIB

mib-2 Object Identifier ::= {mgmt 1}

=> groupe de travail "SNMP Working Group"

MIB II : 10 sous ensembles qui sont :

- system- interfaces- at- ip- icmp- tcp

- udp- udp- egp- transmission- snmp


26/77



system : correspond au nom de l'agent, no de version, type de lamachine, nom du systme d'exploitation, type de logiciel rseauen ASCII imprimable

system (mib-2 1)

sysDescr (1)

sysObjectID(2)

sysUpTime(3)sysUpTime(3)

syContact(4)

sysName(5)

sysLocation(6)

sysServices(7)

exemple d'interrogation : Accs des variables d'administration

sur une passerelle appletalk-internet% echo "internet[]" | snmp-table verne.cnam.fr |moresysDescr[0]="Beholder running on Ultrix"sysObjectID[0]=1.3.6.1.4.1.464.1sysUpTime[0]=449144sysContact[0]="Stephane Bortzmeyer"sysName[0]="verne.cnam.fr"sysLocation[0]="My office"sysServices[0]=127


27/77



interface : interfaces rseau d'une machine (nombred'interface, type des interfaces et nom du fabricant, vitesse desinterfaces, nombre de paquets entrants, sortants, en erreur,...)

ifEntry (mib-2 1)

ifIndex (1)

ifDescr(2)

ifType(3)

ifMtu(4)

ifSpeed(5)

ifPhyAddress(6)

ifAdminStatus(7)

interface (mib-2 2)

ifNumber(2)

ifTable(3)

........

at : conserv pour des raisons de compatibilit avec MIB-I. greune table de translation entre des adresses rseau de niveaulogique (IP) et adresses spcifiques ( Ethernet). quivalent la

table ARP.


28/77



ip : paramtres (dure de vie par dfaut des paquets IP, nb depaquets reus ou envoys, nb de paquets rassembls avec succsainsi que le nb de fragments cres, la table de routage si elle

existe, le masque sous-rseau, l'adresse physique, etc.(la partie de la MIB la plus importante)ip (mib-2 4)

.ipInHdrErrors(4).....

ipForwarding (1)

ipDefaultTTL(2)

ipInReceives(3)

ipInAddrErrors(5)

ipForwDatetgrams(6)

ipFragFails(16)

ipFragCreates(19)

ipAddrTable(20)

ipAddrEntry(1)

ipAdEntAddre(1)

ipAdEntIfIndex(2)

ipAdEntNetMask(3)

ipAdEntBcastAddr(4)

ipAdEntReasmMaxsize(5)

ipRouteTable(21)


29/77



icmp : 26 compteurs- pour chaque message icmp, 2 compteurs pour compter les

messages reus et mis

- 4 compteurs pour compter le nombre total de messagesicmp reus, reus par erreur ou non envoys,

tcp : rend compte des connexions TCP en cours et des paramtresde type nombre max de connexions simultanes permises,nombre d'ouverture active,...et l'tat de chaque connexion(coute, time-wait,...).

udp :- 4 compteurs renseignent sur le nombre de datagramme

UDP envoys, reus, en erreur, ...- la table gre la liste des applications utilisant UDP ainsi

que le pour correspondant

- egp : gre le protocole egp (External gateway protocol)(routagedes paquets entre routeurs). on a le nbre de paquets entrants,sortants, en erreur, la table des routeurs adjacents, des infos sur

les routeurs...

- transmission : ne contient quetype Object Identifier ::={transmission number}

qui permet d'identifier le type de media utilis pour latransmission.

- snmp : requis pour chaque entit mettant en oeuvre le protocole

SNMP. contient le nombre de message SNMP entrants etsortants, le nombre de mauvaises versions reues ou de nom decommunaut invalide, la rpartition du type de requtes reues etenvoyes (get, get_next, set et trap)


30/77



3. Le Protocole SNMP

L'architecture du rseau utilis :

UDP

IP

SNMP ASN.1

Format d'un message SNMP :

- un identificateur de version : no de version SNMP- un nom de communaut- une PDU

version communaut SNMP PDU

Les oprations de SNMP :

- get : une station d'administration lit la valeur d'uncompteur, d'une variable d'un agent gr

- set : mise jour d'une variable sur un agent- trap : un agent envoie une valeur d'une variable de manire

implicite vers la station d'administration.


31/77



Quelques rgles :

il n'est pas possible de changer la structure de la MIB par ajoutou retrait d'instances.

L'accs aux objets est possible uniquement sur les objets-feuilles de l'arbre des identificateurs d'objets.

Par convention, il est possible d'excuter des oprations sur destables deux dimensions.

=>D'un ct ces restrictions simplifient l'implantation de SNMP

=> De l'autre ct ils limitent la capacit du systmed'administration.


32/77



Communauts et Nom de communauts



Agent MIB

Agent MIB

Agent MIB

Agent MIB

Agent MIB

Le contrle d'accs par les diffrentes stations d'administration

la MIB de chaque agent comporte trois aspects :- un service d'authentification : un agent peut souhaiter

limiter les accs la MIB aux stations d'administrationsautorises

- une politique d'accs : un agent peut donner desprivilges diffrents aux diffrentes stations d'administration

- un service de mandataire (proxy) : un agent peut agircomme un proxy pour d'autres stations gres

=> Concerne la scurit=> d'o la cration de communaut SNMP


33/77



Dfinition de la communaut

La communaut SNMP est une relation entre un agent et lesstations d'administration qui dfinit l'authentification, lecontrle d'accs et les caractristiques des proxys

Le concept est local un agent

Un agent tablit une communaut pour chaque combinaisond'authentification, de contrle d'accs et de caractristiques deproxys.

Chaque communaut dfinie entre un agent et ses stationsd'administration a un nom unique (pour l'agent) employ lorsdes oprations get et set.

Une station d'administration garde la liste des noms de

communaut donns par les diffrents agents.


34/77



L'authentification :

=> doit assurer l'agent que le message vient bien de la source

cite dans le message.=> SNMP fournit un schma d'authentification simple:chaque message d'une station d'administration comporte le

nom de la communaut=> ce nom fonctionne comme un mot de passe, et le messageest dit authentifi si l'metteur connat le mot de passe.=> lger ! ce qui fait que les oprations set et trap sont misdans des communauts part avec utilisation de cryptage etdcryptage.

La politique d'accs :

=> Un agent limite l'accs sa MIB une slection de stationsd'administration=> Il peut fournir plusieurs types d'accs en dfinissantplusieurs communauts=> Ce contrle d'accs a deux aspects :

- une vue de la MIB : un sous-ensemble des objets de laMIB. Diffrentes vues de la MIB peuvent tre dfinies pourchaque communaut

- un mode d'accs SNMP : un lment de l'ensemble {read-only, read-write}. Il est dfini pour chaque communaut.

La vue de la MIB et le mode d'accs forment ce que l'onappelle le profil de la communaut SNMP.

Le service de proxy

=> c'est un agent SNMP qui agit pour d'autres priphriques(qui ne supportent pas par exemple TCP/IP)=> Pour chaque priphrique reprsent par le systme deproxy, celui-ci doit maintenir une politique d'accs=> le proxy connat quels sont les objets MIB utiliss pour

grer le systme mandat (la vue de la MIB et les droitsd'accs)


35/77



Les concepts d'administration

Agent SNMPEnsemble degestionnaires SNMP

Vue de la MIB SNMP

Communaut SNMP

nom de communaut

Politiqued'accsSNMP

Profil de communautSNMP

mode d'accsSNMP


36/77



L'identification d'instance

Nous avons vu que chaque objet de la MIB a un uniqueidentificateur qui est dfini par sa position dans la structure enarbre de la MIB

Quand un accs est fait une MIB, via SNMP, on veut accder une instance spcifique d'un objet et non un type d'objet.

SNMP offre deux moyens pour identifier une instance d'objetspcifique dans une table :

- une technique d'accs par srie :on utilise l'ordre lexicographique des objets de la

structure de la MIB.

- une technique d'accs direct


37/77



L'accs direct dans une table

Dfinition de table

Une table a la syntaxe suivante :

SEQUENCE OF

Un rang a la syntaxe suivante :

SEQUENCE {,...}

les types dfinissent chaque colonne d'objet et chaque type ala forme suivante:

: nom de la colonne

: valeur de la syntaxe

Chaque colonne d'objet est dfinie de la manire habituelleavec une macro OBJECT-TYPE. Chaque lment a unidentificateur unique

Exemple d'instance d'une table de connexion TCP

Les trois instances de tcpConnState ont le mme identificateur : 1.3.6.1.2.1.6.13.1.1

tcpConnState tcpConnLocalAddress

tcpConnLocalPort

tcpConnRemAddress

tcpConnRemPort

(1.3.6.1.2.1.6

.13.1.1)

(1.3.6.1.2.1.6

.13.1.2)

(1.3.6.1.2.1.6

.13.1.3)

(1.3.6.1.2.1.6

.13.1.4)

(1.3.6.1.2.1.6

.13.1.5)5 10.0.0.99 12 9.1.2.3 15 tcpConnEntry(1.3.6.1.2.1.6

.13.1)2 0.0.0.0 99 0 0 tcpConnEntry

(1.3.6.1.2.1.6.13.1)

3 10.0.0.99 14 89.1.1.42 84 tcpConnEntry(1.3.6.1.2.1.6

.13.1)INDEX INDEX INDEX INDEX


38/77



L'index de table

La clause INDEX dfinit un rang. Il dtermine sans

ambigut la valeur de l'objetLa rgle de construction de l'identificateur de l'instance

d'une instance de colonne d'objet est la suivante :

Soit un objet dont l'identificateur d'objet est y, dans unetable avec des objets INDEX i1, i2,..., iN, alors l'identificateurd'instance pour une instance d'objet y dans un rang particulier est

y.(i1).(i2)...(iN)

On distingue par les index les diffrentes colonnes.On combine l'identificateur de l'objet pour une colonne et un ensemble de valeur del'Index pour obtenir le rang.

Identificateurs d'instance pour les objets de la table prcdente

x=1.3.6.1.2.1.6.13.1 = identificateur de l'objet tcpConnEntry qui estl'identificateur de tcpConnTablei = le dernier sous-identificateur de la colonne (sa position dans la table)(name) = valeur du nom de l'objet

Toutes les identificateurs d'instances de tcpConnTable ont la forme :x.i.(tcpConnLocalAddress).(tcpConnLocalPort).(tcpConnRemAddress).(tcpConnRemAddress)

tcpConnState tcpConnLocalAddress

tcpConnLocalPort

tcpConnRemAddress

tcpConnRemPort

(1.3.6.1.2.1.6.

13.1.1)

(1.3.6.1.2.1.6.

13.1.2)

(1.3.6.1.2.1.6.

13.1.3)

(1.3.6.1.2.1.6.

13.1.4)

(1.3.6.1.2.1.6.

13.1.5)x.1.10.0.0.99.12.9.1.2.3.15

x.2.10.0.0.99.12.9.1.2.3.15

x.3.10.0.0.99.12.9.1.2.3.15

x.4.10.0.0.99.12.9.1.2.3.15

x.5.10.0.0.99.12.9.1.2.3.15

x.1.0.0.0.0.99.0.0

x.2.0.0.0.0.99.0.0

x.3.0.0.0.0.99.0.0

x.4.0.0.0.0.99.0.0

x.5.0.0.0.0.99.0.0

x.1.10.0.0.99.14.89.1.1.42.84

x.2.10.0.0.99.14.89.1.1.42.84

x.3.10.0.0.99.14.89.1.1.42.84

x.4.10.0.0.99.14.89.1.1.42.84

x.5.10.0.0.99.14.89.1.1.42.84


39/77



L'ordre lexicographique

L'identificateur d'objet est une squence d'entiers qui reflte unestructure hirarchique des objets de la MIB.

=> un identificateur d'objet pour un objet donn peut tre drivpar la trace du chemin de la racine l'objet.

=> L'utilisation d'entiers apporte un ordre lexicographique

=> La rgle : les noeuds "fils" sont dfinis en ajoutant un entier l'identificateur du pre et en visitant l'arbre de bas en haut et degauche droite.

=> Cela permet d'accder aux diffrents objets de la MIB sansvraiment en connatre le nom spcifique de l'objet

=> la station d'administration peut donner un identificateur d'objet

ou un identificateur d'instance d'objet et demander l'instance del'objet qui est le suivant dans l'ordre.


40/77



exemple :

ipRouteTable1.3.6.1.2.1.4.21

ipRouteEntry1.3.6.1.2.1.4.21.1=x

ipRouteDestx.1

ipRouteMetric1x.3

ipRouteNextHopx.7

ipRouteDest.9.1.2.3x.1.9.1.2.3

ipRouteDest.10.0.0.51x.1.10.0.0.51

ipRouteDest.10.0.0.99x.1.10.0.0.99

ipMetric1.9.1.2.3x.3.9.1.2.3

ipMetric1.10.0.0.51x.3.10.0.0.51

ipMetric1.10.0.0.99x.3.10.0.0.99

ipRouteNextHop.9.1.2.3x.7.9.1.2.3



Object Identificateur d'objet prochaine instance d'objetdans l'ordrelexicographique

ipRouteTable 1.3.6.1.2.1.4.21 1.3.6.1.2.1.4.21.1.1.9.1.2.3

ipRouteEntry 1.3.6.1.2.1.4.21.1 1.3.6.1.2.1.4.21.1.1.9.1.2.3

ipRouteDest 1.3.6.1.2.1.4.21.1.1 1.3.6.1.2.1.4.21.1.1.9.1.2.3

ipRouteDest.9.1.2.3 1.3.6.1.2.1.4.21.1.1.9.1.2.

3

1.3.6.1.2.1.4.21.1.1.10.0.0

.51ipRouteDest.10.0.0.51 1.3.6.1.2.1.4.21.1.1.10.0.0

.511.3.6.1.2.1.4.21.1.1.10.0.0.99

ipRouteDest.10.0.0.99 1.3.6.1.2.1.4.21.1.1.10.0.0.99

1.3.6.1.2.1.4.21.1.3.9.1.2.3


41/77



La spcification du protocole

Les formats SNMP :

version communaut SNMP PDU

Message SNMP

type PDU id-request 0 0 variable

GetRequestPDU, GetNextRequestPDU, SetRequestPDU

type PDU id-request etat erreur index erreur variable

GetResponse PDU

type PDU enterprise addr.gen trap gnr trap specif time-stamp variable

Trap PDU

nom1 valeur1 nom2 valeur2 nomn valeurn

la partie variable


42/77



mission d'un message :

- construction de la PDU via ASN.1,

- ajout d'un nom de communaut, adresse source, adressedestination, numro de version,

- envoi de datagramme contenant l'objet ASN.1 spcifi

Rception d'un message :

- rception du message

- analyse du message

- message ASN.1 correct ?=> non => fin

- version OK ? => non => fin- Examen de la communaut et des donnes contenues dans

le message

- OK ?oui :- examen de la PDU reue (analyse syntaxique)- OK ?

oui :- construction d'une nouvelle PDUcorrespondant la requte reue.- construction du message et envoi

non :Signale l'erreur d'authentificationArchive l'erreur et trap ventuel


43/77



RFC1157-SNMP DEFINITIONS ::= BEGINIMPORTS

ObjectName, ObjectSyntax, NetworkAddress, IpAddress, TimeTicksFROM RFC1155-SMI;

Message ::= SEQUENCE {version INTEGER {version-1 (0)},-- Version 1 for this RFCcommunity OCTET STRING, -- Community namedata ANY -- e.g. PDUs

}-- Protocol data unitsPDUs ::= CHOICE {

get-request GetRequest-PDU,get-next-request GetNextRequest-PDU,get-response GetResponse-PDU,set-request SetRequest-PDU,trap Trap-PDU}

GetRequest-PDU ::= [0] IMPLICIT PDUGetNextRequest-PDU::=[1] IMPLICIT PDUGetResponse-PDU ::= [2] IMPLICIT PDUSetRequest-PDU ::= [3] IMPLICIT PDUPDU ::= SEQUENCE {

request-id INTEGER, -- Request identifiererror-status INTEGER { -- Sometimes ignored

noError (0),toobig (1),noSuchName (2),badValue (3),readOnly (4),

genError (5)},error-index INTEGER, -- Sometimes ignoredvariable-binding VarBindList }-- Values are sometimes ignored

Trap-PDU ::= [4] IMPLICIT SEQUENCE {enterprise OBJECT IDENTIFIER,--Type of object generating trapagent-addr NetworkAddress-- Only one type of network adresses

-- IP adress of object generating trapgeneric-trap INTEGER {-- Generic trap type

coldStart (0),warmStart ( 1),linkDown ( 2),linkUp (3),authenticationFailure (4)egpNeighborLoss ( 5),enterpriseSpecific (6)} ,

specific-trap INTEGER, -- Specific codetime-stamp TimeTicks, -- Elapse time since the last reinitialization of the entivariable-binding VarBindList -- "Interesting" information}

-- Variable bindingVarBind ::= SEQUENCE

{name ObjectName,value ObjectSyntax}

VarBindList ::= SEQUENCE OF VarBindEND


44/77



Echange sur le rseau au niveau duservice Get

GetRequest-PDU

GetResponse-PDU


Agent

GetRequest-PDU ::= [0]IMPLICIT SEQUENCE {request-id RequestID,error-status ErrorStatus, -- 0error-index ErrorStatus, -- 0

Variable_Binding VarBindList}- Rception d'une GetRequest-PDU,

- Si pour chaque objet de la VarBindList, l'objet ne correspond pas alors envoid'un GetResponse-PDU avec : ErrorStatus


45/77



Exemple

iso (1)

org (3)

dod (6)

internet (1)

mgmt (2)

mib-2 (1)

system(1) interfaces (2) at (3) ip (4) snmp (11)...

ipRouteTable (21)

ipRouteEntry (1)

ipRoutedest (1) ipRouteMetric1 (3) ipRouteNextHop(7)

8.6.7.4 5 80.3.76.522.6.8.0 2 80.3.76.53.67.8.9 6 73.7.8.4

ipInDelivers (9)

22763

La dsignation absolue de l'objet ipInDelivers est:iso.org.dod.internet.mgmt.mib-2.ip.ipInDelivers soit 1.3.6.1.2.1.4.9

La valeur de la variable ipInDelivers est obtenue par la commande:

GetRequest (1.3.6.1.2.1.4.9)

qui produit la rponse GetResponse ((ipInDelivers = 22763))


46/77



Get-Next

GetNextRequest-PDU

GetResponse-PDU


Agent

GetNextRequest-PDU

GetNextRequest-PDU::=[1] IMPLICIT SEQUENCE {

request-id RequestId,error-status ErrorStatus,error-index ErrorIndex,Variable_Bindings VarBindList}

- Rception d'un GetNextRequest-PDU

- Si, pour un objet de la varBindList, le nom ne prcde pas(lexicographiquement) le nom d'un objet accessible par un get,alors un GetResponse-PDU est renvoy avec le mme contenu et : ErrorStatus


47/77



Suite de l'exemple

On consulte la table de routage par la commande GetNextRequest:

GetNextRequest (ipRoutedest, ipRouteMetric1,ipRouteNextHop)

On obtient alors la rponse suivante :

GetResponse ( ( ipRoutedest.22.6.8.0="22.6.8.0" ),(ipRouteMetric1.22.6.8.0="2")(ipRouteNextHop 22.6.8.0="80.3.76.5"))

On continue la consultation de la table par :

GetNextRequest (ipRoutedest.22.6.8.0, ipRouteMetric1.22.6.8.ipRouteNextHop.22.6.8.0 )

On obtient la rponse suivante :

GetResponse ( ( ipRoutedest.3.67.8.9="3.67.8.9" ),(ipRouteMetric1.3.67.8.9="6")(ipRouteNextHop.3.67.8.9="73.7.8.9"))

Enfin, par la dernire requte de la consultation de la table :

GetNextRequest (ipRoutedest.3.67.8.9, ipRouteMetric1.3.67.8.ipRouteNextHop.3.67.8.9 )

on obtient la rponse suivante :

GetResponse ( ( ipRoutedest.8.6.7.4=".8.6.7.4" ),(ipRouteMetric1..8.6.7.4="5")(ipRouteNextHop..8.6.7.4="80.3.76.5"))


48/77



Set

SetRequest-PDU

GetResponse-PDU


Agent

SetRequest-PDU ::=[3] IMPLICIT SEQUENCE {request-id RequestId,error-status ErrorStatus, -- 0error-index ErrorIndex, -- 0variable_bindings VarBindList}

- rception d'un message SetRequest-PDU

- Si, pour chaque objet du champ Variable-Bindings, l'objet n'est pas accessiblepour l'opration demande alors la PDU GetResponse-PDU (de forme identique)est envoye avecErrorStatus


49/77



Trap

Trap-PDU


Agent

Trap-PDU

Trap-PDU::=[4] IMPLICIT SEQUENCE {

enterprise Object Identifier,agent-addr NetworkAddress, -addr gnrateur trapgeneric-trap INTEGER {

coldstart (0),warmstart (1),

linkdown (2),linkup(3),authentificationfailure(4),egpneigborloss(5),enterprisespecific(6)}

specific-trap INTEGER,time-stamp TimeTicks -- temps depuis reboot

variable-bindings VarBindList}


50/77



=> valeurs utilises dans le "generic_trap"

coldstart : l'agent envoyant le trap se rinitialise suite unincident (crash, erreur majeure, ...). Le redmarrage n'tait pasprvu

warmstart : l'agent envoyant le trap se rinitialise suite unealtration de ses donnes

linkdown: signale l'erreur sur une voie de communication del'agent. le premier lment de la VarBindList prcise l'interfaceen erreur

linkup : signale qu'une voie de communication de l'agent estmise en service. Le premier lment de la VarBindList prcisel'interface active

authentificationfailure : signale que l'agent a reu unmessage non authentifi

egpneihborloss : le routeur voisin de l'agent quicommuniquait avec lui via EGP vient d'tre stopp

enterprisespecific: indique qu'un vnement spcifique vientde se produire. Le specific trap indique le numro de trapconcern.


51/77



Conclusion provisoire

- modlisation par groupe d'objets ou variables- scrutation des agents- mode non connect- 5 oprations : GetRequest, GetNextRequest, GetResponse,SetRequest, Trap- Oprations atomiques

Avantages :

- simple

Faiblesses :

- interrogation priodique : polling --> limite le nombred'agents pouvant tre superviss

- pas d'initiatives des agents sauf exceptions

- mode non connect : scurit des messages mal assure- comptabilit entre MIB propritaires- pas ou peu de scurit : nom de communaut


52/77



4. SNMP v2

Historique de SNMPv2

SGMP

SNMP

RMON MIB

SNMPv2Workin Group

Secure SNMP

SNMPv2Working Group

SNMPv2

SGMP : Simple Gateway-Monitoring ProtocolRMON : Remote Network MonitoringCMOT : CMIP au dessus de TCP/IP

Ce qui change par rapport SNMP :

- SNMPv2 est capable de grer de manire distribue unrseau: oprations entre stations d'administration

- scurit renforce- nouvelles oprations


53/77



SMI : Structure de l'informationd'administration

1. Dfinition des objets

Quelques changements mineurs :

- redfiniton de certains types

Counter devient Counter32 ou Counter64

- La clause ACCESS devient MAX-ACCESS:

- permet d'indiquer que c'est un niveau maximumd'accs

- Quatre possibilits : pas d'accs, lecteur seule, lecture-criture, lecture-cration.

- Introduction de nouveaux mots-cls (Unit)

- La clause STATUS n'inclut plus les catgories optionnel etobligatoire


54/77



2. Les tables

Les droits de cration, de destruction et d'accs :

- Les tables protges :

Elles ne peuvent tre ni cres ni dtruites par une station degestion. Ces tables sont contrles par l'agent.

Le maximum d'un type d'accs allou pour cette table etRead-write.

Ces tables sont pratiques lorsqu'elles correspondent unnombre fixe d'attributs comme le nombre d'interfaces physiquespar exemple.

- Les tables non protges :Certaines tables peuvent tre cres ou dtruites. Elles

peuvent tre initialises avec un nombre de rangs gal 0.

snmpORTable OBJECT_TYPESYNTAX SEQUENCE OF SnmpOREntryMAX_ACCESS not-accessibleSTATUS currentDESCRIPTION

"the conceptual table listing the dynamically-configurable objetresources in a SNMPv2 entity acting in an agent role. SNMPv2 entities which do notsupport dynamically-configurable objetc resources will never have any instances ofthe columnar objetc in this table"

::= {snmpOR 2}

snmpOREntry OBJECT-TYPESYNTAX SnmpOREntryMAX-ACCESS not-accessibleSTATUS currentDESCRIPTION

"An entry (conceptual row) in the snmpORTable"INDEX {snmpORIndex}::= {snmpORTable 1}


55/77



Cration et destruction d'un rang dans untableau

- La mthode createAndWait :

- La station de gestion commence ordonner l'agent decrer un nouveau rand dans la table avec une instanced'identification ("index value")

- Si l'agent accepte, il cre le rang et assigne des valeurs pardfaut aux objets du rang,

- Si tous les objets de type read-write possdent des valeurspar dfaut, le rang est plac dans l'tat notInservice

- si il existe des objet de type read-write qui n'ont pas desvaleurs par dfaut, le rang est plac dans l'tat notready

- Le gestionnaire envoie une requte de type "Get" pourdterminer l'tat de chaque objet dont le type d'accs est read-create dans le rang.

- L'agent envoie chaque valeur de chaque objet. Si l'objet nepossde pas de valeur, il envoie NoSuchInstance.

- La station d'administration doit alors envoyer unSetRequest pour assigner des valeurs aux objets. Elle peut ensuiteenvoyer une requte de type "Set" pour activer les objets nonactifs.


56/77



Cration et destruction d'un rang dans untableau

- La mthode createAndGo :

Plus simple, mais plus restrictive car elle permet de travaillersur des tables dont les objets sont contenus dans une seule PDU.

De plus la station d'administration ne connat pas les valeurspar dfaut attribues aux diffrentes colonnes.

La station d'administration envoie un Get-PDU pourdterminer les objets de type "read-create" possdant le typenoSuchInstance.

Elle envoie ensuite un Set-PDU pour crer un nouveau ranget assigner des valeurs aux objets ayant le type d'accs "read-create" dans ce rang.

Si le Set russit, l'agent active ces objets.


57/77



Exemple de cration de ligne d'une table

La commande "ping" qui fournit un echo distantLes messages utiliss dans ICMP sont echo et echo_reply

=> La station d'administration peut mettre jour un rang pour dire l'agent defaire un ping sur un autre systme intervalle rgulier:

L'agent possde initialement la table :Index IpAddress Delai Remanient Total Received Rtt Status1 128.2.13.211000 0 10 9 3 active

La station d'administration souhaite ajouter un nouveau rang en utilisant la mthodecreateAndWait.

Elle dtermine que le prochain index est 2 et souhaite que le nouveaurang ait les valeurs suivantes :Index IpAddress Delai Remanient Total Received Rtt Status1 128.2.13.991000 20 20 0 active

Pour ajouter cette dernire entre, la station de gestion commence par

envoyer une commande Set l'agent :SetRequest(pingStatus.2=createAndWait)

En cas d'acceptation, l'agent rpond :

Response(pingStatus.2,=notInService)

La station de gestion envoie un Get pour lire le nouveau rang :

GetRequest(pingIpAdress.2, pingDelay.2, ping.Remaining.2, pingStatus.2,pingSize.2)

L'agent rpond :

Response ((pingIpAdress.2=noSuchInstance), (pingDelay.2=1000),(ping.Remaining.2=5), (pingStatus.2=UnderModification),(pingSize.2=noSuchObject))

Certaines valeurs ont t affectes par dfaut. Il faut alors

complter....par un SetRequest((pingIpAddress.2=128.2.13.99),....)


58/77



Le protocole

Quelques modifications :

PDU Type Request_id 0 0 Partie variable

GetRequest, GetNextRequest, SetRequest, Trap, InformRequet PDU

PDU Type Request-id error_status error_index Partie VariableResponse PDU

PDU Type Request-id non repeaters max repetitions partie variable

GetBulkRequest


59/77



GetBulkRequest :

But : minimiser le nombre d'change travers le rseau

Permet une station d'administration de solliciter de la partd'un agent une rponse contenant le maximum d'informationpouvant tre contenu dans un message (limitation par la tailledu message)

Possibilit de spcifier des successeurs multipleslexicographiques.

Fonctionnement :

GetBulkRequest inclut une liste de (N+R) variables dans lechamp "partie variable".

Pour les N noms, la rcupration est faite comme dansGetNextRequest

Pour chaque variable de la liste, la variable suivante dansl'ordre lexicographique ainsi que sa valeur sont retournes.

Si il n'y a pas de suivant lexicographique, la variable nommeet la valeur "endOfMibView sont retournes.

les champs "non-repeaters" et "max-repetition" indiquent lenombre de variables contenu dans la liste "partie variable" et le

nombre de successeurs dans tre retournes pour les variablesrestantes.


60/77



Soient

L: nombre de variables dans partie variable

N : nombre de variables dans partie variable avecdemande(variable)=un seul successeurR : nombre de variables, succdant les N premires variables

pour lesquelles de multiples successeurs lexicographiques sontdemandes

M : nombre de successeurs lexicographiques sollicits pourchacune des dernires R variables

N=MAX(MIN(non-repeaters,L),0)M=MAX(max_repeatetions,0)R=L-N

Si N> 0 , alors les N premires variables son traites commepour un GetNextRequest

Si R>0 et M>0 alors pour chacun des R dernires variables, cesM successeurs lexicographiques sont renseignes.

Pour chaque variable, cela signifie :

- obtenir la valeur du successeur lexicographique de la variableconsidre

- obtenir la valeur du successeur lexicographique de l'instanceobjet obtenu l'tape prcdente

- ainsi de suite, jusqu' ce que M instances objets soientextraites


61/77



Exemple

Nom 1Nom 2

.

.

.Nom NNom N+1...Nom N+R..Nom N+1.

.

.

.Nom N+R.

1er successeurlexicographique

2er successeurlexicographique

Mer successeurlexicographique

Ordonnancement des variables-bindings dans la rponse GetBulkrequest

Soit la table suivante :Interface-NumberNetwork-Address Physical-Address Type

1 10.0.0.51 00.00.10.01.23.45static1 9.2.3.4 00.00.10.54.32.10dynamic

2 10.0.0.15 00.00.10.98.76.54dynamicLa station de gestion envoie:GetBulkRequest [non-repeaters=1, max-repetitions=2]

(sysUpTime, ipNetToMediaPhysAddress, ipNetToMediaType)

L'agent rpond :Response((sysUpTime.0="123456"),(ipNetToMediaPhysAddress.1.9.2.3.4="000010543210"),(ipNetToMediaType.1.9.2.3.4="dynamic",(ipNetToMediaPhysAddress.1.10.0.0.51="00001012345"),(ipNetToMediaType.1.10.0.0.51="static"))

La station de gestion envoie:GetBulkRequest [non-repeaters=1, max-repetitions=2]

(sysUpTime, ipNetToMediaPhysAddress.1.10.0.0.51,ipNetToMediaType.1.10.0.0.51)

L'agent rpond :Response((sysUpTime.0="123466"),(ipNetToMediaPhysAddress.2.10.0.0.51="0000109887654"),(ipNetToMediaType.2.10.0.0.51="dynamic",(ipNetToMediaNetAddress.1.9.2.3.4="9.2.3.4"),(ipRoutingDiscards.0="2"))


62/77



Possibilit de station d'administration station d'administration

InformRequest-PDU

But : permet une station de gestion d'envoyer des informationsvers une station d'administration qui centralise des informationscontenues dans la MIB "manager-to-manager"

Le message a le mme format que Get, Set,...La MIB permet de spcifier des paramtres tels que :

- l'intervalle de temps devant sparer 2 "InformRequest_PDU"

- le nombre d'"InformRequest-PDU" voulues

- description de l'vnement rapporter

- la date de l'vnement

- ...

Cette PDU tend le mcanisme de Trap de SNMP1.


63/77



La MIB

2 nouvelles MIB sont dfinies :

- SNMPv2 Management Information Base

- Manager-To-Manager

SNMPv2 Management Information Base : permet dedcrire le comportement des agents SNMP du rseau. compos

de 5 groupes :

1. SNMPv2 Statistics group : contient des informationsrelatives au protocole SNMPv2 comme le nombre total depaquets reus au niveau transport, le nombre de paquets malcods, le nombre de requtes PDU GetRequest,GetNextRequest,....

2. SNMPv1 Statistics group : informations relatives auprotocole SNMPv1 . Par exemple, le nombre de messagesayant un mauvais nom de communaut, nombre de messagedemandant une opration non autorise,...

3. Object resource group : utilis par l'agent SNMPv2 pourdcrire les objets susceptibles d'tre configurs par une stationd'administration. on y trouve le nom de l'objet, sa

description,...4. Traps group : gre les "traps" gnrs par un agent

5. Set group : se compose d'un seul objet qui permet dersoudre 2 problmes : la srialisation des oprations de typeSet mises par une station de gestion et la gestion de laconcurrence d'accs par de multiples stations de gestion


64/77



Manager-To-Manager MIB

- Alarm group : permet de spcifier les paramtres de

configuration des alarmes : intervalles entre les alarmes,instances ou objet ayant provoqu l'alarme,...

- Event group : permet de renseigner une station de gestion surun ensemble d'vnements choisis, sur l'instant o ils seproduisent,...


65/77



La compatibilit entre SNMP et SNMPv2

La coexistence des 2 versions est facilite par le fait que SNMPv2est un sur ensemble de SNMPv1.

=> La manire la plus simple de grer le passage de V1 V2 estde passer la station d'administration la version 2, qui peut ainsigrer la fois des stations en V2 (en cas de gestion rpartie) etdes agents en V1 et V2.

Il est ncessaire des quivalences dans :

- la manire dont sont gres les informations (SMI)- le protocole

Le SMI :

Pour assurer la compatibilit, les correspondances suivantessont ncessaires :

- INTEGER dfini sans restriction devient Integer32- Counter devient Counter32- Gauge devient Gauge32- ACCESS devient MAX-ACCESS

- ....


66/77



Le protocole :

SNMPv2 gre des PDU supplmentaires

On prvoit l'utilisation d'un agent proxy qui assure la traductiondes PDU entre les 2 versions.

Environnement SNMPv2 Environnement SNMPv1

GetRequest

GetNextRequest

SetRequest

GetBulkRequest

GetRequest

GetNextRequest

SetRequest

GetNextRequest

AdministrateurSNMPv2

Agent SNMPv2et

Proxy

AgentSNMPv1

Response

SNMPv2Trap

GetResponse

Trap

noSuchName, readOnly et badValue ne sont pas utilisables parun agent en version 2 mais interprtable par une station

d'administration l'agent proxy assure la gestion des messages ne pouvant pastre contenues dans une seule PDU.


67/77



Possibilit de faire cohabiter 2 versions SNMP- le gestionnaireutilise au choix le protocole 1 ou 2 :

AdministrationSNMPv2

Administrationbilingue

AgentSNMPv2

AgentSNMP

InformRequest

InformRequest

SNMPv2 Trap, Response

GetRequest, GetNextRequest, SetRequestGetBulkRequest

GetRequest, GetNextRequet,

SetRequest

GetResponse, Trap


68/77



La scurit dans SNMP 2

Dans la version 1 => utilisation de la notion de communaut pourdfinir la visibilit accorde une station par un agent.

Dans la version 2 => notion de groupe :

SnmpParty ::= SEQUENCE {partyIdentify OBJECT IDENTIFIER, -- identifiant du groupepartyDomain OBJECT IDENTIFIER, -- type de couche transportpartyAddress OCTET STRING, -- adresse de niveau transportpartyMaxMessageSize INTEGER, -- taille max des messagespartyAuthProtocol OBJECT IDENTIFIER, -- nomme le protocole

d'authentification utilispartyAuthClock INTEGER, -- priode valide pour le groupepartyAuthPrivate OCTET STRING, -- cl prive d'authentificationpartyAuthPublic OCTET STRING, -- cl publique d'authentificationpartyAuthLifeTime INTEGER, -- dure de vie des messagespartyPrivProtocol OBJECT IDENTIFIER, --identification du protocole

utilis (PGP par exemple)

partyPrivPrivate OCTET STRING, -- cl privepartyPrivPublic OCTET STRING, -- cl publique}

Un lment actif sur le rseau agit de la manire suivante :

- excute uniquement les oprations permises par le groupe,- maintient une petite base de donnes qui contient tous les

groupes reconnus par l'entit, les oprations pouvant s'effectuer

directement et celles qui font appel un agent de proxy, lesressources accessibles (notion de contexte)

=> Chaque entit maintient donc l'ensemble des donnesdfinissant le concept de "politique d'accs"


69/77



Le Contexte :

se dfinit comme tant l'ensemble des ressources accessibles(objets) par une entit SNMPv2

Il existe deux types de contexte :

local :Le gestionnaire accde directement aux informations

dans l'agent

Le gestionnaire envoie une opration de gestion quicontient :- un groupe source (srcParty) (le gestionnaire)- un groupe destination (dstParty) (agent)- un contexte- PDU (Get, Set,...)

l'agent consulte l'entit ACL (Access Control List) et

dtermine si les oprations sont permises. distant :

L'agent intervient comme mdiateur entre une stationd'administration et une entit distante.

L'agent agit comme un proxy qui gre les droits d'accs.


70/77



Format des messages scuriss

privDest authInfo dstParty srcParty contexte PDU

Format gnral

privDest octet string dstParty srcParty contexte PDU

Message non scuris

privDest digest dst timestamp src timestamp dstParty srcParty contexte PDU

Authentifi mais non priv

privDest octet string dstParty srcParty contexte PDU

crypt

Priv mais pas authentifi

privDest digest dst timestamp src timestamp dstParty srcParty contexte PDU

crypt

Priv et authentifi

privDst : dsigne le groupe pour lequel le message est destinauthInfo: protocole d'authentification utilis


71/77



mission d'une requte scurise

- construction d'un message:srcParty


72/77



Exemples d'agents

configuration d'un agent non scuris

Identity gracie george(agent) (manager)

Domain snmpUDPDomainsnmpUDPDomainAddress 1.2.3.4, 161 1.2.3.5, 2001Auth Prot noAuth noAuthAuth Priv Key "" ""Auth Pub Key "" ""

Auth clock 0 0Auth lifetime 0 0PrivProt noPriv noPrivPrivPrivKey "" ""PrivPubKey "" ""

Base de donnes de l'agent

Target Subject Context Privilegesgracie george local 35 (Get,GetNext &GetBulk)

george gracie local 132(Response et SNMPv2-Trap)

configuration d'un agent scuris

Identity ollie stan(agent) (manager)

Domain snmpUDPDomainsnmpUDPDomainAddress 1.2.3.4, 161 1.2.3.5, 2001Auth Prot v2md5AuthProtocol v2md5AuthProtocolAuth Priv Key "0123456789AZ" "GHIJKLM45"

Auth Pub Key "" ""Auth clock 0 0Auth lifetime 300 300PrivProt desPrivProtocol desPrivProtocolPrivPrivKey "MNOPIU89" "BNJIUY78"PrivPubKey "" ""

Base de donnes de l'agent

Target Subject Context Privileges

ollie stan local 35 (Get,GetNext &GetBulk)


73/77



stan ollie local 132(Response et SNMPv2-Trap)


74/77



Algorithme de synchronisation deshorloges

Pour cet algo on utilise un nouvel objet :

AuthInformation ::= [2] IMPLICIT SEQUENCE {authDigest OCTET STRING,authDstTimestamp UInteger32,

authSrcTimestamp UInteger32}

Lorsqu'un message est transmis, il inclut les valeurs d'horloges del'metteur et du rcepteur.

Ces horloges sont synchronyses de telle manire que l'horloge laplus lente soit gale l'horloge la plus rapide.

Considrons deux groupes : "AgentParty" et "MgrParty"contenant respectivement un agent et une station de gestion.

4 cas de figure sont envisageables :

- l'estimation de l'horloge "AgentParty" qu'a la station degestion dpasse la valeur qu'en a l'agent

- l'estimation de l'horloge "MgrParty" qu'a la station degestion dpasse la valeur qu'en a l'agent

- l'estimation de l'horloge "AgentParty" qu'a l'agent dpassela valeur qu'en a la station de gestion

- l'estimation de l'horloge "MgrParty" qu'a l'agent dpasse lavaleur qu'en a la station de gestion


75/77



Algorithme de synchronisation deshorloges(2)

Groupe A Groupe B

partAuthClock.a partAuthClock.b partAuthClock.a partAuthClock.b

authDstTimestamp:=partAuthClock.bauthSrcTimestamp:=partAuthClock.a

message(authDstTimestamp,authSrcTimestamp)

ifauthSrcTimestamp+partyAuthLifetime.apartyAuthClock.bthenpartyAuthClock.b:=authDstTimeStampif authSrcTimestamp>partyAuthClock.athenpartyAuthClock.a:=authSrcTimeStamp


76/77



5. Conclusion

- Snmpv2 : plus efficace, plus scuris que SNMPmais pas encore de migrations compltesde tous les sites

- Approche OSI marginale, non cause des concepts, maisdu fait des investissements dj raliss par les administrateurs

sur SNMP-> recherche d'un protocole compatible avec la V1 de SNMP

- Quelques inconnues :- le devenir du modle OSI (CMISE/CMIP)- la forte volution des rseaux et l'mergence de

nouveaux protocoles- problmes lgislatifs concernant le cryptage

- 2 phnomnes qui devraient aussi influencerl'administration de rseau:

- la technologie oriente objetla notion d'agent intelligent (sachant prendre des

dcisions sans en rfrer la station de gestion)


77/77


6. Bibliographie

Les divers RFC sur SNMP accessibles sur le serveur web de l'Urec ou Pasteur(www.urec.fr, www.pasteur.fr)

SNMPv1 : RFCs 1089,1140, 1147, 1155, 1156, 1157, 1158, 1161, 1212, 1213,1215, 1298

SNMPv2 : RFCs 1441, 1442, 1443, 1444, 1445, 1446, 1447, 1448, 1449, 1450,1451, 1452

Les Bouquins :

The Simple Book : An Introduction to management of TCP/IP-based Internetsby Marshall Rose, Prentice Hall, 2nd edition, 1994

SNMP, SNMPv2, CMIP, The pratical Guide to Network-Management Standards,William Stallings, Addison Wesley, 1995

Rapport de valeur C 94-95 "SNMP", O. Porte, M. Izadpahan

Mmoire d'ingnieur "Mise en oeuvre du protocole SNMP pour un outil de gestionhtrogne", G. Ndjeudji, 1992

Les sites qui offrent des logiciels SNMP :

lancaster.andrew.cmu.edu:/pub/snmp-dist/*snmp2.1.2.tarCMU SNMPv2 source library agent, mid-level agent, net management

routines)ftp.ics.uci.edu:mrose/isode-snmpv2/isode-snmpv2.tar.Z

4BSD/ISODE 8.0 SNMPv2 package

Administration Des Réseaux - SNMP

Documents

Transcript of Administration Des Réseaux - SNMP