Administration Des Réseaux - SNMP
Transcript of Administration Des Réseaux - SNMP
-
8/14/2019 Administration Des Rseaux - SNMP
1/77
Complment Rseaux de Transport et Applications Anne 95/96
L.Duchien -1- L'Administration de l'Internet : SNMP
Thme n5 : L'Administration desRseaux
L'administration del'Internet:
SNMP
(Simple Network Management Protocol)
UV B : Complment Rseaux de Transport et Applications
Anne 95/96
Laurence DuchienCNAM-Cedric, 292, rue st Martin
75141 Paris Cedex 03tel : 40 27 25 83
e_mail : [email protected]://tulipe.cnam.fr/personne/duchien/poly.html
http://tulipe.cnam.fr/personne/duchien/poly.htmlhttp://tulipe.cnam.fr/personne/duchien/poly.htmlhttp://tulipe.cnam.fr/personne/duchien/poly.html -
8/14/2019 Administration Des Rseaux - SNMP
2/77
Complment Rseaux de Transport et Applications Anne 95/96
L.Duchien -2- L'Administration de l'Internet : SNMP
Introduction.............................................................................................3Les standards ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .5Les attendus d'une administration de rseau...............................................6L'organisation d'une administration ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ..7
Les systmes de gestion de rseau ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... .8L'architecture d'un logiciel d'administration de rseau...................................9La gestion distribue d'un rseau... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .10
1. Les concepts de SNMP.... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1
1Le Modle... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .12Le Modle (2)... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .13Le Modle (3)... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .14
2. La MIB (Management Information Base)... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1
5SMI (Structure of de spcification des informations d'administration)... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .16La spcification de l'arbre des MIB accessibles... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1
7Les types... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .18Mise jour de la structure... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .21Les MIBs.... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .22
3. Le Protocole SNMP.... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .2
7 Quelques rgles :. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .28Communauts et Nom de communauts... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .29
Dfinition de la communaut... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .30Les concepts d'administration... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .32
-
8/14/2019 Administration Des Rseaux - SNMP
3/77
Complment Rseaux de Transport et Applications Anne 95/96
L.Duchien -3- L'Administration de l'Internet : SNMP
L'identification d'instance... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .33
L'accs direct dans une table... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .34L'ordre lexicographique... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .36
La spcification du protocole... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .38
Echange sur le rseau au niveau du service... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .41Exemple... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .42
Suite de l'exemple... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .44
Conclusion provisoire... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .48
4. SNMP v2.... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .4
9SMI : Structure de l'information d'administration... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .50
1. Dfinition des objets... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .502. Les tables... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .51Cration et destruction d'un rang dans un tableau... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .52Cration et destruction d'un rang dans un tableau... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .53Exemple de cration de ligne d'une table... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .54
Le protocole... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .55
Possibilit de station d'administration station d'administration... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .59
La MIB.... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .60La compatibilit entre SNMP et SNMPv2
.... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .62
-
8/14/2019 Administration Des Rseaux - SNMP
4/77
Complment Rseaux de Transport et Applications Anne 95/96
L.Duchien -4- L'Administration de l'Internet : SNMP
La scurit dans SNMP 2.... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .65
Format des messages scuriss... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .67mission d'une requte scurise... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .68Exemples d'agents... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .69Algorithme de synchronisation des horloges... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .70Algorithme de synchronisation des horloges(2)... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .71
5. Conclusion... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .726. Bibliographie... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .7
3
-
8/14/2019 Administration Des Rseaux - SNMP
5/77
Complment Rseaux de Transport et Applications Anne 95/96
L.Duchien -5- L'Administration de l'Internet : SNMP
Introduction
Le rseau est devenu une ressource indispensable (voir vitale) aubon fonctionnement d'une organisation, une entreprise, ...
L'administration du rseau met en oeuvre un ensemble de moyenspour :
- offrir aux utilisateurs un service de qualit,- permettre l'volution du systme en incluant des nouvelles
fonctionnalits
- optimiser les performances des services pour les utilisateurs
- permettre une utilisation maximale des ressources pour uncot minimal.
-
8/14/2019 Administration Des Rseaux - SNMP
6/77
Complment Rseaux de Transport et Applications Anne 95/96
L.Duchien -6- L'Administration de l'Internet : SNMP
Administration= partie oprationnelled'un rseau
Les fonctions d'administration doivent permettre
- l'extraction des informations des lments du rseau aumoyen d'outils
=> rcolte un grand nombre d'information,
- la rduction du volume d'information au moyen de filtres=> slection d'information significatives,
- le stockage des informations retenues dans une base dedonnes d'administration,
- des traitements sur ces informations,
- offrir des interfaces (utilisateur d'administrationadministration, oprateur rseau).
-
8/14/2019 Administration Des Rseaux - SNMP
7/77
Complment Rseaux de Transport et Applications Anne 95/96
L.Duchien -7- L'Administration de l'Internet : SNMP
Les standards
Pour tre utiliser par une large gamme de produits (systmesterminaux, ponts, routeurs, quipement de tlcommunicationquelconque) et dans un environnement multi-constructeurs,
On trouve deux grandes familles de standards :
- SNMP :
- regroupe un ensemble de standards incluant unprotocole, une spcification de la structure de la base de donneset un ensemble d'objets.
- C'est le standard pour TCP/IP.
- L'administration de systmes OSI :
- regroupe un grand ensemble de standards qui dcrivent
une architecture gnrale d'administration, un service et unprotocole de gestion (CMISE/CMIP), la spcification de lastructure de la base de donnes et un ensemble d'objets.
-
8/14/2019 Administration Des Rseaux - SNMP
8/77
Complment Rseaux de Transport et Applications Anne 95/96
L.Duchien -8- L'Administration de l'Internet : SNMP
Les attendus d'une administration derseau
Les cinq domaines fonctionnels de l'administration tel que dfinisdans l'OSI:
- La gestion des pannes : permet la dtection, lalocalisation, la rparation de pannes et le retour une situationnormale dans l'environnement.
- La comptabilit : permet de connatre les charges desobjets grs, les cots de communication, ...
Cette valuation est tablie en fonction du volume et de ladure de la transmission. Ces relevs s'effectuent deux niveaux :Rseau et Application.
- La gestion des configurations : permet d'identifier, deparamtrer les diffrents objets.
Les procdures requises pour grer une configuration sont lacollecte d'information, le contrle de l'tat du systme, lasauvegarde de l'tat dans un historique
- L'audit des performances : permet d'valuer lesperformances des ressources du systme et leur efficacit. Lesperformances d'un rseau sont values partir de quatre
paramtres : le temps de rponse, le dbit, le taux d'erreur par bitet la disponibilit.
- La gestion de la scurit : une des fonctions de gestionconcerne le contrle et la distribution des informations utilisespour la scurit. Un sous-ensemble de la MIB concerne lesinformations de scurit (SMIB). Il renferme le cryptage et laliste des droits d'accs.
-
8/14/2019 Administration Des Rseaux - SNMP
9/77
Complment Rseaux de Transport et Applications Anne 95/96
L.Duchien -9- L'Administration de l'Internet : SNMP
L'organisation d'une administration
Qui a besoin d'administration et pour quoi faire ?
Il existe diffrents types de dcision d'administration :
- dcisions oprationnelles : dcision court terme,concernant l'administration au jour le jour et oprations temps relsur le systme
- dcisions tactiques : dcision moyen terme concernantl'volution du rseau et l'application des politiques de long terme
- dcisions stratgiques : dcision de long termeconcernant les stratgies pour le futur en exprimant les nouveauxbesoins et dsirs des utilisateurs.
Ces niveaux dterminent diffrents niveaux d'administration:
- le contrle oprationnel rseau pour les dcisionsoprationnelles
- la gestion rseau pour les dcision tactiques
- l'analyse de rseau pour les dcision tactiques etstratgiques
- la planification pour les dcisions stratgiques
-
8/14/2019 Administration Des Rseaux - SNMP
10/77
Complment Rseaux de Transport et Applications Anne 95/96
L.Duchien -10- L'Administration de l'Internet : SNMP
Les systmes de gestion de rseau
Un systme de gestion rseau est une collection d'outils pourcontrler et grer le rseau qui comprend:
- une interface pour oprateur avec un ensemble decommandes pour excuter la plupart des tches d'administrationde rseaux.
- un minimum d'quipements supplmentaire intgr au
systme existant.
La configuration d'un environnement de rseau gr
NMA
NME APPL.
Comm
OS
NME APPL.
Comm
OS
NME APPL.
Comm
OSOS
CommComm
NME
OS
Comm
NME
OS
Comm
NME
Rseau
hte de contrlede rseau
moniteur decontrle
FrontalHte
NME : Entit de gestion rseauNMA : Application de gestion rseau
Appl : ApplicationOS : Operating SystemComm : Logiciel de communication
cluster
Hte
(agent)
(agent)
(agent)(agent)
-
8/14/2019 Administration Des Rseaux - SNMP
11/77
Complment Rseaux de Transport et Applications Anne 95/96
L.Duchien -11- L'Administration de l'Internet : SNMP
L'architecture d'un logicield'administration de rseau
L'architecture de l'application dans un gestionnaire ou dans unagent va varier en fonction des fonctionnalits de la plate-forme.
Une vue gnrique d'une plate-forme divis en trois grandes catgories :- le logiciel utilisateur- le logiciel de gestion rseau- le logiciel de communication et de support des donnes
Interface utilisateur
Prsentation des informations de gestion rseau aux utilisateurs
Elementd'Application
Elementd'Application
Elementd'Application.......
Application degestion rseau
Application degestion rseau
Service de transport de donnes de gestion de rseau
Module d'accs la MIB
Pile de protocolede communication
MIB Rseau gr
-
8/14/2019 Administration Des Rseaux - SNMP
12/77
-
8/14/2019 Administration Des Rseaux - SNMP
13/77
Complment Rseaux de Transport et Applications Anne 95/96
L.Duchien -13- L'Administration de l'Internet : SNMP
1. Les concepts de SNMP
- Protocole d'administration de machine supportant TCP/IP
- Conu en 87-88 par des administrateurs de rseau- Rponse un appel d'offre de l'OSF selon le modle DCE- RMON MIB1-91, Secure SNMP-92, SNMPv2 - 93.
- Permet de rpondre un grand nombre de besoins :
- disposer d'une cartographie du rseau- fournir un inventaire prcis de chaque machine- mesurer la consommation d'une application- signaler les dysfonctionnements-
Avantages :
- protocole trs simple, facile d'utilisation- permet une gestion distance des diffrentes machines- le modle fonctionnel pour la surveillance et pour la
gestion est extensible- indpendant de l'architecture des machines
administres
-
8/14/2019 Administration Des Rseaux - SNMP
14/77
Complment Rseaux de Transport et Applications Anne 95/96
L.Duchien -14- L'Administration de l'Internet : SNMP
Le Modle
Une administration SNMP est compose de trois typesd'lments:
- des agents chargs de superviser un quipement. On parled'agent SNMP install sur tout type d'quipement.
- une ou plusieurs stations de gestion capable d'interprterles donnes
- une MIB (Management Information Base) dcrivant lesinformations gres.
Un protocole activ par une API permet la supervision, lecontrle et la modification des paramtres des lments durseau.
Les fonctionnalits :
- get : permet la station d'interroger un agent,- get_next : permet la lecture de l'objet suivant d'un agent
sans en connaitre le nom- set : permet de modifier les donnes d'un agent
- trap : permet de transmettre une alarme
-
8/14/2019 Administration Des Rseaux - SNMP
15/77
Complment Rseaux de Transport et Applications Anne 95/96
L.Duchien -15- L'Administration de l'Internet : SNMP
Le Modle (2)
protocoles dpendantdu rseau
IP
TCP
Gestionnaire SNMP
Applicationde gestion
GetRequest
GetNextReques
t
SetRequest
GetResponse
Trap
Station de gestion SNMP
protocoles dpendantdu rseau
IP
TCP
Agent SNMP
GetRequest
GetNextRequest
SetRequest
GetResponse
Trap
Objet gr par SNMP
Ressources gres
L'application gre des objets
Rseau ou Internet
Messages SNMP
Agent SNMP
Architecture de SNMP
-
8/14/2019 Administration Des Rseaux - SNMP
16/77
Complment Rseaux de Transport et Applications Anne 95/96
L.Duchien -16- L'Administration de l'Internet : SNMP
Le Modle (3)
L'utilisation de SNMP suppose que tous les agents et les stationsd'administration supportent IP et UDP.
Ceci limite l'administration de certains priphriques qui nesupportent pas la pile TCP/IP.
De plus, certaines machines (ordinateur personnel, station detravail, contrleur programmable, ... qui implantent TCP/IP pour
supporter leurs applications, mais qui ne souhaitent pas ajouter unagent SNMP.
=> utilisation de la gestion mandataire (les proxies)
Un agent SNMP agit alors comme mandataire pour un ouplusieurs priphriques:
protocoles dpendantdu rseau
IP
UDP
SNMP
Processusd'administration
protocoles dpendantdu rseau
IP
UDP
SNMP
Processusde l'agent
protocoles dpendantdu rseau
Fonction de mise en correspondance
architecturede protocole
utilise par unpriphrique
mandat
protocoles dpendantdu rseau
architecturede protocole
utilise par unpriphrique
mandat
Processusd'administration
priphriquemandat
Stationd'administration
Rseau Rseau
Agent mandataire
-
8/14/2019 Administration Des Rseaux - SNMP
17/77
Complment Rseaux de Transport et Applications Anne 95/96
L.Duchien -17- L'Administration de l'Internet : SNMP
2. La MIB (Management InformationBase)
=> Modle de donnes associ SNMP:
. SMI (Structure of Management information) - mta modle
. MIB = liste des variables reconnues par les agents
=> Base de donnes contenant les informations sur les lmentsdu rseau grer
=> 1 ressource grer = 1 objet
MIB = Collection structure d'objets chaque noeud dans le systme doit maintenir une MIB qui
reflte l'tat des ressources gres une entit d'administration peut accder aux ressources du
noeud en lisant les valeurs de l'objet et en les modifiant.
=> 2 objectifs
Un schma commun : SMI (Structure of ManagementInformation)
Une dfinition commune des objets et de leur structure
-
8/14/2019 Administration Des Rseaux - SNMP
18/77
Complment Rseaux de Transport et Applications Anne 95/96
L.Duchien -18- L'Administration de l'Internet : SNMP
SMI (Structure of de spcification desinformations d'administration)
=> donne les rgles de dfinition, d'accs et d'ajout des objetsdans la MIB (mta-modle)
Objectif: encourager la simplicit et l'extension de la MIB
rendre un objet accessible de la mme manire sur chaqueentit du rseau
possder une reprsentation identique des objets
La MIB contient des lments simples (scalaire et tableaux deux dimensions de scalaires)
SNMP ne permet que des interrogations de scalaires
OSI permet des structures et des modes de recherchecomplexes
-
8/14/2019 Administration Des Rseaux - SNMP
19/77
Complment Rseaux de Transport et Applications Anne 95/96
L.Duchien -19- L'Administration de l'Internet : SNMP
La spcification de l'arbre des MIBaccessibles.
Root
ISO(1)CCITT(0) Joint ISO-CCITT(2)
Org(3)
dod(6)
Internet(1)
directory(1) mgmt(2) experimental(3) private(4)
MIB(1) Enterprise(1)
On utilise la syntaxe ASN.1 pour dcrire les donnes.Chaque objet est reprsent par un "object identifier"
Exemple : Internet Object Identifier ::= {ISO org(3) dod(6) 1}soit en notation pointe 1.3.6.1 pour le noeud Internet.
Exemple : directory Object Identifier ::= {internet 1}
-
8/14/2019 Administration Des Rseaux - SNMP
20/77
Complment Rseaux de Transport et Applications Anne 95/96
L.Duchien -20- L'Administration de l'Internet : SNMP
mgmtObject Identifier ::= {internet 2}
-
8/14/2019 Administration Des Rseaux - SNMP
21/77
-
8/14/2019 Administration Des Rseaux - SNMP
22/77
Complment Rseaux de Transport et Applications Anne 95/96
L.Duchien -22- L'Administration de l'Internet : SNMP
Les objets dcrits utilisent la macro suivante :
OBJECT-TYPE MACRO ::=BEGIN
TYPE NOTATION ::="SYNTAX" type (TYPE ObjectSyntax)"ACCESS" Access"STATUS" Status
VALUE NOTATION ::= value (VALUE ObjectName)Access ::= "read-only"
|"read-write"|"write-only"|"not-accessible"
Status ::= "mandatory"
|"optional"|"obsolete"|"deprecated"
END
Exemple d'objets dfini par le SMI du RFC1155
OBJECT------------
atIndex {atEntry 1}Syntax : INTEGERDefinition : The interface number for the physical addressAccess : read-writeStatus : mandatory
OBJECT------------atPhysAddress {atEntry 2}Syntax : OCTET STRING
Definition : The media-dependant physical addressAccess : read-writeStatus : mandatory
-
8/14/2019 Administration Des Rseaux - SNMP
23/77
Complment Rseaux de Transport et Applications Anne 95/96
L.Duchien -23- L'Administration de l'Internet : SNMP
OBJECT------------atEntry {atTable 1}Syntax :
AtEntry::= SEQUENCE {atIndex INTEGER,atPhysAddress OCTET STRING,atNetAddress NetworkAddress,}
Definition : an entry in the translation tableAccess : read-writeStatus : mandatory
OBJECT
------------atTable{at 1}Syntax : SEQUENCE OF AtEntryDefinition : The address translation tableAccess : read-writeStatus : mandatory
Autres objets intressants :
atIndex OBJECT-TYPE
SYNTAX INTEGERACCESS read-writeSTATUS mandatory::= {atEntry 1}
atPhysAddress OBJECT-TYPESYNTAX OCTET STRINGACCESS read-writeSTATUS mandatory::= {atEntry 2}
atNetAddress OBJECT-TYPESYNTAX NetWorkAddressACCESS read-writeSTATUS mandatory::= {atEntry 3}
atEntry OBJECT-TYPESYNTAX AtEntryACCESS read-write
STATUS mandatory ::= {atTable 1}
-
8/14/2019 Administration Des Rseaux - SNMP
24/77
Complment Rseaux de Transport et Applications Anne 95/96
L.Duchien -24- L'Administration de l'Internet : SNMP
Mise jour de la structure
- le nom de la MIB concerne ne change pas mais son no deversion volue (exemple mgmt version-number)
- les anciens objets sont dclars comme obsoltes s'il y abesoin mais sont prservs
- augmentation de la dfinition d'un objet en ajoutant denouveaux objets dans la structure
- ou cration complte d'un objet
=> volution : pas de modification des objets existants dans lesnouvelles versions
-
8/14/2019 Administration Des Rseaux - SNMP
25/77
Complment Rseaux de Transport et Applications Anne 95/96
L.Duchien -25- L'Administration de l'Internet : SNMP
Les MIBs
Version 2 de la MIB
mib-2 Object Identifier ::= {mgmt 1}
=> groupe de travail "SNMP Working Group"
MIB II : 10 sous ensembles qui sont :
- system- interfaces- at- ip- icmp- tcp
- udp- udp- egp- transmission- snmp
-
8/14/2019 Administration Des Rseaux - SNMP
26/77
Complment Rseaux de Transport et Applications Anne 95/96
L.Duchien -26- L'Administration de l'Internet : SNMP
system : correspond au nom de l'agent, no de version, type de lamachine, nom du systme d'exploitation, type de logiciel rseauen ASCII imprimable
system (mib-2 1)
sysDescr (1)
sysObjectID(2)
sysUpTime(3)sysUpTime(3)
syContact(4)
sysName(5)
sysLocation(6)
sysServices(7)
exemple d'interrogation : Accs des variables d'administration
sur une passerelle appletalk-internet% echo "internet[]" | snmp-table verne.cnam.fr |moresysDescr[0]="Beholder running on Ultrix"sysObjectID[0]=1.3.6.1.4.1.464.1sysUpTime[0]=449144sysContact[0]="Stephane Bortzmeyer"sysName[0]="verne.cnam.fr"sysLocation[0]="My office"sysServices[0]=127
-
8/14/2019 Administration Des Rseaux - SNMP
27/77
Complment Rseaux de Transport et Applications Anne 95/96
L.Duchien -27- L'Administration de l'Internet : SNMP
interface : interfaces rseau d'une machine (nombred'interface, type des interfaces et nom du fabricant, vitesse desinterfaces, nombre de paquets entrants, sortants, en erreur,...)
ifEntry (mib-2 1)
ifIndex (1)
ifDescr(2)
ifType(3)
ifMtu(4)
ifSpeed(5)
ifPhyAddress(6)
ifAdminStatus(7)
interface (mib-2 2)
ifNumber(2)
ifTable(3)
........
at : conserv pour des raisons de compatibilit avec MIB-I. greune table de translation entre des adresses rseau de niveaulogique (IP) et adresses spcifiques ( Ethernet). quivalent la
table ARP.
-
8/14/2019 Administration Des Rseaux - SNMP
28/77
Complment Rseaux de Transport et Applications Anne 95/96
L.Duchien -28- L'Administration de l'Internet : SNMP
ip : paramtres (dure de vie par dfaut des paquets IP, nb depaquets reus ou envoys, nb de paquets rassembls avec succsainsi que le nb de fragments cres, la table de routage si elle
existe, le masque sous-rseau, l'adresse physique, etc.(la partie de la MIB la plus importante)ip (mib-2 4)
.ipInHdrErrors(4).....
ipForwarding (1)
ipDefaultTTL(2)
ipInReceives(3)
ipInAddrErrors(5)
ipForwDatetgrams(6)
ipFragFails(16)
ipFragCreates(19)
ipAddrTable(20)
ipAddrEntry(1)
ipAdEntAddre(1)
ipAdEntIfIndex(2)
ipAdEntNetMask(3)
ipAdEntBcastAddr(4)
ipAdEntReasmMaxsize(5)
ipRouteTable(21)
-
8/14/2019 Administration Des Rseaux - SNMP
29/77
Complment Rseaux de Transport et Applications Anne 95/96
L.Duchien -29- L'Administration de l'Internet : SNMP
icmp : 26 compteurs- pour chaque message icmp, 2 compteurs pour compter les
messages reus et mis
- 4 compteurs pour compter le nombre total de messagesicmp reus, reus par erreur ou non envoys,
tcp : rend compte des connexions TCP en cours et des paramtresde type nombre max de connexions simultanes permises,nombre d'ouverture active,...et l'tat de chaque connexion(coute, time-wait,...).
udp :- 4 compteurs renseignent sur le nombre de datagramme
UDP envoys, reus, en erreur, ...- la table gre la liste des applications utilisant UDP ainsi
que le pour correspondant
- egp : gre le protocole egp (External gateway protocol)(routagedes paquets entre routeurs). on a le nbre de paquets entrants,sortants, en erreur, la table des routeurs adjacents, des infos sur
les routeurs...
- transmission : ne contient quetype Object Identifier ::={transmission number}
qui permet d'identifier le type de media utilis pour latransmission.
- snmp : requis pour chaque entit mettant en oeuvre le protocole
SNMP. contient le nombre de message SNMP entrants etsortants, le nombre de mauvaises versions reues ou de nom decommunaut invalide, la rpartition du type de requtes reues etenvoyes (get, get_next, set et trap)
-
8/14/2019 Administration Des Rseaux - SNMP
30/77
Complment Rseaux de Transport et Applications Anne 95/96
L.Duchien -30- L'Administration de l'Internet : SNMP
3. Le Protocole SNMP
L'architecture du rseau utilis :
UDP
IP
SNMP ASN.1
Format d'un message SNMP :
- un identificateur de version : no de version SNMP- un nom de communaut- une PDU
version communaut SNMP PDU
Les oprations de SNMP :
- get : une station d'administration lit la valeur d'uncompteur, d'une variable d'un agent gr
- set : mise jour d'une variable sur un agent- trap : un agent envoie une valeur d'une variable de manire
implicite vers la station d'administration.
-
8/14/2019 Administration Des Rseaux - SNMP
31/77
Complment Rseaux de Transport et Applications Anne 95/96
L.Duchien -31- L'Administration de l'Internet : SNMP
Quelques rgles :
il n'est pas possible de changer la structure de la MIB par ajoutou retrait d'instances.
L'accs aux objets est possible uniquement sur les objets-feuilles de l'arbre des identificateurs d'objets.
Par convention, il est possible d'excuter des oprations sur destables deux dimensions.
=>D'un ct ces restrictions simplifient l'implantation de SNMP
=> De l'autre ct ils limitent la capacit du systmed'administration.
-
8/14/2019 Administration Des Rseaux - SNMP
32/77
Complment Rseaux de Transport et Applications Anne 95/96
L.Duchien -32- L'Administration de l'Internet : SNMP
Communauts et Nom de communauts
Stationd'administration
Stationd'administration
Agent MIB
Agent MIB
Agent MIB
Agent MIB
Agent MIB
Le contrle d'accs par les diffrentes stations d'administration
la MIB de chaque agent comporte trois aspects :- un service d'authentification : un agent peut souhaiter
limiter les accs la MIB aux stations d'administrationsautorises
- une politique d'accs : un agent peut donner desprivilges diffrents aux diffrentes stations d'administration
- un service de mandataire (proxy) : un agent peut agircomme un proxy pour d'autres stations gres
=> Concerne la scurit=> d'o la cration de communaut SNMP
-
8/14/2019 Administration Des Rseaux - SNMP
33/77
Complment Rseaux de Transport et Applications Anne 95/96
L.Duchien -33- L'Administration de l'Internet : SNMP
Dfinition de la communaut
La communaut SNMP est une relation entre un agent et lesstations d'administration qui dfinit l'authentification, lecontrle d'accs et les caractristiques des proxys
Le concept est local un agent
Un agent tablit une communaut pour chaque combinaisond'authentification, de contrle d'accs et de caractristiques deproxys.
Chaque communaut dfinie entre un agent et ses stationsd'administration a un nom unique (pour l'agent) employ lorsdes oprations get et set.
Une station d'administration garde la liste des noms de
communaut donns par les diffrents agents.
-
8/14/2019 Administration Des Rseaux - SNMP
34/77
Complment Rseaux de Transport et Applications Anne 95/96
L.Duchien -34- L'Administration de l'Internet : SNMP
L'authentification :
=> doit assurer l'agent que le message vient bien de la source
cite dans le message.=> SNMP fournit un schma d'authentification simple:chaque message d'une station d'administration comporte le
nom de la communaut=> ce nom fonctionne comme un mot de passe, et le messageest dit authentifi si l'metteur connat le mot de passe.=> lger ! ce qui fait que les oprations set et trap sont misdans des communauts part avec utilisation de cryptage etdcryptage.
La politique d'accs :
=> Un agent limite l'accs sa MIB une slection de stationsd'administration=> Il peut fournir plusieurs types d'accs en dfinissantplusieurs communauts=> Ce contrle d'accs a deux aspects :
- une vue de la MIB : un sous-ensemble des objets de laMIB. Diffrentes vues de la MIB peuvent tre dfinies pourchaque communaut
- un mode d'accs SNMP : un lment de l'ensemble {read-only, read-write}. Il est dfini pour chaque communaut.
La vue de la MIB et le mode d'accs forment ce que l'onappelle le profil de la communaut SNMP.
Le service de proxy
=> c'est un agent SNMP qui agit pour d'autres priphriques(qui ne supportent pas par exemple TCP/IP)=> Pour chaque priphrique reprsent par le systme deproxy, celui-ci doit maintenir une politique d'accs=> le proxy connat quels sont les objets MIB utiliss pour
grer le systme mandat (la vue de la MIB et les droitsd'accs)
-
8/14/2019 Administration Des Rseaux - SNMP
35/77
Complment Rseaux de Transport et Applications Anne 95/96
L.Duchien -35- L'Administration de l'Internet : SNMP
Les concepts d'administration
Agent SNMPEnsemble degestionnaires SNMP
Vue de la MIB SNMP
Communaut SNMP
nom de communaut
Politiqued'accsSNMP
Profil de communautSNMP
mode d'accsSNMP
-
8/14/2019 Administration Des Rseaux - SNMP
36/77
Complment Rseaux de Transport et Applications Anne 95/96
L.Duchien -36- L'Administration de l'Internet : SNMP
L'identification d'instance
Nous avons vu que chaque objet de la MIB a un uniqueidentificateur qui est dfini par sa position dans la structure enarbre de la MIB
Quand un accs est fait une MIB, via SNMP, on veut accder une instance spcifique d'un objet et non un type d'objet.
SNMP offre deux moyens pour identifier une instance d'objetspcifique dans une table :
- une technique d'accs par srie :on utilise l'ordre lexicographique des objets de la
structure de la MIB.
- une technique d'accs direct
-
8/14/2019 Administration Des Rseaux - SNMP
37/77
Complment Rseaux de Transport et Applications Anne 95/96
L.Duchien -37- L'Administration de l'Internet : SNMP
L'accs direct dans une table
Dfinition de table
Une table a la syntaxe suivante :
SEQUENCE OF
Un rang a la syntaxe suivante :
SEQUENCE {,...}
les types dfinissent chaque colonne d'objet et chaque type ala forme suivante:
: nom de la colonne
: valeur de la syntaxe
Chaque colonne d'objet est dfinie de la manire habituelleavec une macro OBJECT-TYPE. Chaque lment a unidentificateur unique
Exemple d'instance d'une table de connexion TCP
Les trois instances de tcpConnState ont le mme identificateur : 1.3.6.1.2.1.6.13.1.1
tcpConnState tcpConnLocalAddress
tcpConnLocalPort
tcpConnRemAddress
tcpConnRemPort
(1.3.6.1.2.1.6
.13.1.1)
(1.3.6.1.2.1.6
.13.1.2)
(1.3.6.1.2.1.6
.13.1.3)
(1.3.6.1.2.1.6
.13.1.4)
(1.3.6.1.2.1.6
.13.1.5)5 10.0.0.99 12 9.1.2.3 15 tcpConnEntry(1.3.6.1.2.1.6
.13.1)2 0.0.0.0 99 0 0 tcpConnEntry
(1.3.6.1.2.1.6.13.1)
3 10.0.0.99 14 89.1.1.42 84 tcpConnEntry(1.3.6.1.2.1.6
.13.1)INDEX INDEX INDEX INDEX
-
8/14/2019 Administration Des Rseaux - SNMP
38/77
Complment Rseaux de Transport et Applications Anne 95/96
L.Duchien -38- L'Administration de l'Internet : SNMP
L'index de table
La clause INDEX dfinit un rang. Il dtermine sans
ambigut la valeur de l'objetLa rgle de construction de l'identificateur de l'instance
d'une instance de colonne d'objet est la suivante :
Soit un objet dont l'identificateur d'objet est y, dans unetable avec des objets INDEX i1, i2,..., iN, alors l'identificateurd'instance pour une instance d'objet y dans un rang particulier est
y.(i1).(i2)...(iN)
On distingue par les index les diffrentes colonnes.On combine l'identificateur de l'objet pour une colonne et un ensemble de valeur del'Index pour obtenir le rang.
Identificateurs d'instance pour les objets de la table prcdente
x=1.3.6.1.2.1.6.13.1 = identificateur de l'objet tcpConnEntry qui estl'identificateur de tcpConnTablei = le dernier sous-identificateur de la colonne (sa position dans la table)(name) = valeur du nom de l'objet
Toutes les identificateurs d'instances de tcpConnTable ont la forme :x.i.(tcpConnLocalAddress).(tcpConnLocalPort).(tcpConnRemAddress).(tcpConnRemAddress)
tcpConnState tcpConnLocalAddress
tcpConnLocalPort
tcpConnRemAddress
tcpConnRemPort
(1.3.6.1.2.1.6.
13.1.1)
(1.3.6.1.2.1.6.
13.1.2)
(1.3.6.1.2.1.6.
13.1.3)
(1.3.6.1.2.1.6.
13.1.4)
(1.3.6.1.2.1.6.
13.1.5)x.1.10.0.0.99.12.9.1.2.3.15
x.2.10.0.0.99.12.9.1.2.3.15
x.3.10.0.0.99.12.9.1.2.3.15
x.4.10.0.0.99.12.9.1.2.3.15
x.5.10.0.0.99.12.9.1.2.3.15
x.1.0.0.0.0.99.0.0
x.2.0.0.0.0.99.0.0
x.3.0.0.0.0.99.0.0
x.4.0.0.0.0.99.0.0
x.5.0.0.0.0.99.0.0
x.1.10.0.0.99.14.89.1.1.42.84
x.2.10.0.0.99.14.89.1.1.42.84
x.3.10.0.0.99.14.89.1.1.42.84
x.4.10.0.0.99.14.89.1.1.42.84
x.5.10.0.0.99.14.89.1.1.42.84
-
8/14/2019 Administration Des Rseaux - SNMP
39/77
Complment Rseaux de Transport et Applications Anne 95/96
L.Duchien -39- L'Administration de l'Internet : SNMP
L'ordre lexicographique
L'identificateur d'objet est une squence d'entiers qui reflte unestructure hirarchique des objets de la MIB.
=> un identificateur d'objet pour un objet donn peut tre drivpar la trace du chemin de la racine l'objet.
=> L'utilisation d'entiers apporte un ordre lexicographique
=> La rgle : les noeuds "fils" sont dfinis en ajoutant un entier l'identificateur du pre et en visitant l'arbre de bas en haut et degauche droite.
=> Cela permet d'accder aux diffrents objets de la MIB sansvraiment en connatre le nom spcifique de l'objet
=> la station d'administration peut donner un identificateur d'objet
ou un identificateur d'instance d'objet et demander l'instance del'objet qui est le suivant dans l'ordre.
-
8/14/2019 Administration Des Rseaux - SNMP
40/77
Complment Rseaux de Transport et Applications Anne 95/96
L.Duchien -40- L'Administration de l'Internet : SNMP
exemple :
ipRouteTable1.3.6.1.2.1.4.21
ipRouteEntry1.3.6.1.2.1.4.21.1=x
ipRouteDestx.1
ipRouteMetric1x.3
ipRouteNextHopx.7
ipRouteDest.9.1.2.3x.1.9.1.2.3
ipRouteDest.10.0.0.51x.1.10.0.0.51
ipRouteDest.10.0.0.99x.1.10.0.0.99
ipMetric1.9.1.2.3x.3.9.1.2.3
ipMetric1.10.0.0.51x.3.10.0.0.51
ipMetric1.10.0.0.99x.3.10.0.0.99
ipRouteNextHop.9.1.2.3x.7.9.1.2.3
ipRouteNextHop.10.0.0.51x.7.10.0.0.51
ipRouteNextHop.10.0.0.99x.7.10.0.0.99
Object Identificateur d'objet prochaine instance d'objetdans l'ordrelexicographique
ipRouteTable 1.3.6.1.2.1.4.21 1.3.6.1.2.1.4.21.1.1.9.1.2.3
ipRouteEntry 1.3.6.1.2.1.4.21.1 1.3.6.1.2.1.4.21.1.1.9.1.2.3
ipRouteDest 1.3.6.1.2.1.4.21.1.1 1.3.6.1.2.1.4.21.1.1.9.1.2.3
ipRouteDest.9.1.2.3 1.3.6.1.2.1.4.21.1.1.9.1.2.
3
1.3.6.1.2.1.4.21.1.1.10.0.0
.51ipRouteDest.10.0.0.51 1.3.6.1.2.1.4.21.1.1.10.0.0
.511.3.6.1.2.1.4.21.1.1.10.0.0.99
ipRouteDest.10.0.0.99 1.3.6.1.2.1.4.21.1.1.10.0.0.99
1.3.6.1.2.1.4.21.1.3.9.1.2.3
-
8/14/2019 Administration Des Rseaux - SNMP
41/77
Complment Rseaux de Transport et Applications Anne 95/96
L.Duchien -41- L'Administration de l'Internet : SNMP
La spcification du protocole
Les formats SNMP :
version communaut SNMP PDU
Message SNMP
type PDU id-request 0 0 variable
GetRequestPDU, GetNextRequestPDU, SetRequestPDU
type PDU id-request etat erreur index erreur variable
GetResponse PDU
type PDU enterprise addr.gen trap gnr trap specif time-stamp variable
Trap PDU
nom1 valeur1 nom2 valeur2 nomn valeurn
la partie variable
-
8/14/2019 Administration Des Rseaux - SNMP
42/77
Complment Rseaux de Transport et Applications Anne 95/96
L.Duchien -42- L'Administration de l'Internet : SNMP
mission d'un message :
- construction de la PDU via ASN.1,
- ajout d'un nom de communaut, adresse source, adressedestination, numro de version,
- envoi de datagramme contenant l'objet ASN.1 spcifi
Rception d'un message :
- rception du message
- analyse du message
- message ASN.1 correct ?=> non => fin
- version OK ? => non => fin- Examen de la communaut et des donnes contenues dans
le message
- OK ?oui :- examen de la PDU reue (analyse syntaxique)- OK ?
oui :- construction d'une nouvelle PDUcorrespondant la requte reue.- construction du message et envoi
non :Signale l'erreur d'authentificationArchive l'erreur et trap ventuel
-
8/14/2019 Administration Des Rseaux - SNMP
43/77
Complment Rseaux de Transport et Applications Anne 95/96
L.Duchien -43- L'Administration de l'Internet : SNMP
RFC1157-SNMP DEFINITIONS ::= BEGINIMPORTS
ObjectName, ObjectSyntax, NetworkAddress, IpAddress, TimeTicksFROM RFC1155-SMI;
Message ::= SEQUENCE {version INTEGER {version-1 (0)},-- Version 1 for this RFCcommunity OCTET STRING, -- Community namedata ANY -- e.g. PDUs
}-- Protocol data unitsPDUs ::= CHOICE {
get-request GetRequest-PDU,get-next-request GetNextRequest-PDU,get-response GetResponse-PDU,set-request SetRequest-PDU,trap Trap-PDU}
GetRequest-PDU ::= [0] IMPLICIT PDUGetNextRequest-PDU::=[1] IMPLICIT PDUGetResponse-PDU ::= [2] IMPLICIT PDUSetRequest-PDU ::= [3] IMPLICIT PDUPDU ::= SEQUENCE {
request-id INTEGER, -- Request identifiererror-status INTEGER { -- Sometimes ignored
noError (0),toobig (1),noSuchName (2),badValue (3),readOnly (4),
genError (5)},error-index INTEGER, -- Sometimes ignoredvariable-binding VarBindList }-- Values are sometimes ignored
Trap-PDU ::= [4] IMPLICIT SEQUENCE {enterprise OBJECT IDENTIFIER,--Type of object generating trapagent-addr NetworkAddress-- Only one type of network adresses
-- IP adress of object generating trapgeneric-trap INTEGER {-- Generic trap type
coldStart (0),warmStart ( 1),linkDown ( 2),linkUp (3),authenticationFailure (4)egpNeighborLoss ( 5),enterpriseSpecific (6)} ,
specific-trap INTEGER, -- Specific codetime-stamp TimeTicks, -- Elapse time since the last reinitialization of the entivariable-binding VarBindList -- "Interesting" information}
-- Variable bindingVarBind ::= SEQUENCE
{name ObjectName,value ObjectSyntax}
VarBindList ::= SEQUENCE OF VarBindEND
-
8/14/2019 Administration Des Rseaux - SNMP
44/77
Complment Rseaux de Transport et Applications Anne 95/96
L.Duchien -44- L'Administration de l'Internet : SNMP
Echange sur le rseau au niveau duservice Get
GetRequest-PDU
GetResponse-PDU
Stationd'administration
Agent
GetRequest-PDU ::= [0]IMPLICIT SEQUENCE {request-id RequestID,error-status ErrorStatus, -- 0error-index ErrorStatus, -- 0
Variable_Binding VarBindList}- Rception d'une GetRequest-PDU,
- Si pour chaque objet de la VarBindList, l'objet ne correspond pas alors envoid'un GetResponse-PDU avec : ErrorStatus
-
8/14/2019 Administration Des Rseaux - SNMP
45/77
Complment Rseaux de Transport et Applications Anne 95/96
L.Duchien -45- L'Administration de l'Internet : SNMP
Exemple
iso (1)
org (3)
dod (6)
internet (1)
mgmt (2)
mib-2 (1)
system(1) interfaces (2) at (3) ip (4) snmp (11)...
ipRouteTable (21)
ipRouteEntry (1)
ipRoutedest (1) ipRouteMetric1 (3) ipRouteNextHop(7)
8.6.7.4 5 80.3.76.522.6.8.0 2 80.3.76.53.67.8.9 6 73.7.8.4
ipInDelivers (9)
22763
La dsignation absolue de l'objet ipInDelivers est:iso.org.dod.internet.mgmt.mib-2.ip.ipInDelivers soit 1.3.6.1.2.1.4.9
La valeur de la variable ipInDelivers est obtenue par la commande:
GetRequest (1.3.6.1.2.1.4.9)
qui produit la rponse GetResponse ((ipInDelivers = 22763))
-
8/14/2019 Administration Des Rseaux - SNMP
46/77
Complment Rseaux de Transport et Applications Anne 95/96
L.Duchien -46- L'Administration de l'Internet : SNMP
Get-Next
GetNextRequest-PDU
GetResponse-PDU
Stationd'administration
Agent
GetNextRequest-PDU
GetNextRequest-PDU::=[1] IMPLICIT SEQUENCE {
request-id RequestId,error-status ErrorStatus,error-index ErrorIndex,Variable_Bindings VarBindList}
- Rception d'un GetNextRequest-PDU
- Si, pour un objet de la varBindList, le nom ne prcde pas(lexicographiquement) le nom d'un objet accessible par un get,alors un GetResponse-PDU est renvoy avec le mme contenu et : ErrorStatus
-
8/14/2019 Administration Des Rseaux - SNMP
47/77
Complment Rseaux de Transport et Applications Anne 95/96
L.Duchien -47- L'Administration de l'Internet : SNMP
Suite de l'exemple
On consulte la table de routage par la commande GetNextRequest:
GetNextRequest (ipRoutedest, ipRouteMetric1,ipRouteNextHop)
On obtient alors la rponse suivante :
GetResponse ( ( ipRoutedest.22.6.8.0="22.6.8.0" ),(ipRouteMetric1.22.6.8.0="2")(ipRouteNextHop 22.6.8.0="80.3.76.5"))
On continue la consultation de la table par :
GetNextRequest (ipRoutedest.22.6.8.0, ipRouteMetric1.22.6.8.ipRouteNextHop.22.6.8.0 )
On obtient la rponse suivante :
GetResponse ( ( ipRoutedest.3.67.8.9="3.67.8.9" ),(ipRouteMetric1.3.67.8.9="6")(ipRouteNextHop.3.67.8.9="73.7.8.9"))
Enfin, par la dernire requte de la consultation de la table :
GetNextRequest (ipRoutedest.3.67.8.9, ipRouteMetric1.3.67.8.ipRouteNextHop.3.67.8.9 )
on obtient la rponse suivante :
GetResponse ( ( ipRoutedest.8.6.7.4=".8.6.7.4" ),(ipRouteMetric1..8.6.7.4="5")(ipRouteNextHop..8.6.7.4="80.3.76.5"))
-
8/14/2019 Administration Des Rseaux - SNMP
48/77
Complment Rseaux de Transport et Applications Anne 95/96
L.Duchien -48- L'Administration de l'Internet : SNMP
Set
SetRequest-PDU
GetResponse-PDU
Stationd'administration
Agent
SetRequest-PDU ::=[3] IMPLICIT SEQUENCE {request-id RequestId,error-status ErrorStatus, -- 0error-index ErrorIndex, -- 0variable_bindings VarBindList}
- rception d'un message SetRequest-PDU
- Si, pour chaque objet du champ Variable-Bindings, l'objet n'est pas accessiblepour l'opration demande alors la PDU GetResponse-PDU (de forme identique)est envoye avecErrorStatus
-
8/14/2019 Administration Des Rseaux - SNMP
49/77
Complment Rseaux de Transport et Applications Anne 95/96
L.Duchien -49- L'Administration de l'Internet : SNMP
Trap
Trap-PDU
Stationd'administration
Agent
Trap-PDU
Trap-PDU::=[4] IMPLICIT SEQUENCE {
enterprise Object Identifier,agent-addr NetworkAddress, -addr gnrateur trapgeneric-trap INTEGER {
coldstart (0),warmstart (1),
linkdown (2),linkup(3),authentificationfailure(4),egpneigborloss(5),enterprisespecific(6)}
specific-trap INTEGER,time-stamp TimeTicks -- temps depuis reboot
variable-bindings VarBindList}
-
8/14/2019 Administration Des Rseaux - SNMP
50/77
Complment Rseaux de Transport et Applications Anne 95/96
L.Duchien -50- L'Administration de l'Internet : SNMP
=> valeurs utilises dans le "generic_trap"
coldstart : l'agent envoyant le trap se rinitialise suite unincident (crash, erreur majeure, ...). Le redmarrage n'tait pasprvu
warmstart : l'agent envoyant le trap se rinitialise suite unealtration de ses donnes
linkdown: signale l'erreur sur une voie de communication del'agent. le premier lment de la VarBindList prcise l'interfaceen erreur
linkup : signale qu'une voie de communication de l'agent estmise en service. Le premier lment de la VarBindList prcisel'interface active
authentificationfailure : signale que l'agent a reu unmessage non authentifi
egpneihborloss : le routeur voisin de l'agent quicommuniquait avec lui via EGP vient d'tre stopp
enterprisespecific: indique qu'un vnement spcifique vientde se produire. Le specific trap indique le numro de trapconcern.
-
8/14/2019 Administration Des Rseaux - SNMP
51/77
Complment Rseaux de Transport et Applications Anne 95/96
L.Duchien -51- L'Administration de l'Internet : SNMP
Conclusion provisoire
- modlisation par groupe d'objets ou variables- scrutation des agents- mode non connect- 5 oprations : GetRequest, GetNextRequest, GetResponse,SetRequest, Trap- Oprations atomiques
Avantages :
- simple
Faiblesses :
- interrogation priodique : polling --> limite le nombred'agents pouvant tre superviss
- pas d'initiatives des agents sauf exceptions
- mode non connect : scurit des messages mal assure- comptabilit entre MIB propritaires- pas ou peu de scurit : nom de communaut
-
8/14/2019 Administration Des Rseaux - SNMP
52/77
Complment Rseaux de Transport et Applications Anne 95/96
L.Duchien -52- L'Administration de l'Internet : SNMP
4. SNMP v2
Historique de SNMPv2
SGMP
SNMP
RMON MIB
SNMPv2Workin Group
Secure SNMP
SNMPv2Working Group
SNMPv2
SGMP : Simple Gateway-Monitoring ProtocolRMON : Remote Network MonitoringCMOT : CMIP au dessus de TCP/IP
Ce qui change par rapport SNMP :
- SNMPv2 est capable de grer de manire distribue unrseau: oprations entre stations d'administration
- scurit renforce- nouvelles oprations
-
8/14/2019 Administration Des Rseaux - SNMP
53/77
Complment Rseaux de Transport et Applications Anne 95/96
L.Duchien -53- L'Administration de l'Internet : SNMP
SMI : Structure de l'informationd'administration
1. Dfinition des objets
Quelques changements mineurs :
- redfiniton de certains types
Counter devient Counter32 ou Counter64
- La clause ACCESS devient MAX-ACCESS:
- permet d'indiquer que c'est un niveau maximumd'accs
- Quatre possibilits : pas d'accs, lecteur seule, lecture-criture, lecture-cration.
- Introduction de nouveaux mots-cls (Unit)
- La clause STATUS n'inclut plus les catgories optionnel etobligatoire
-
8/14/2019 Administration Des Rseaux - SNMP
54/77
Complment Rseaux de Transport et Applications Anne 95/96
L.Duchien -54- L'Administration de l'Internet : SNMP
2. Les tables
Les droits de cration, de destruction et d'accs :
- Les tables protges :
Elles ne peuvent tre ni cres ni dtruites par une station degestion. Ces tables sont contrles par l'agent.
Le maximum d'un type d'accs allou pour cette table etRead-write.
Ces tables sont pratiques lorsqu'elles correspondent unnombre fixe d'attributs comme le nombre d'interfaces physiquespar exemple.
- Les tables non protges :Certaines tables peuvent tre cres ou dtruites. Elles
peuvent tre initialises avec un nombre de rangs gal 0.
snmpORTable OBJECT_TYPESYNTAX SEQUENCE OF SnmpOREntryMAX_ACCESS not-accessibleSTATUS currentDESCRIPTION
"the conceptual table listing the dynamically-configurable objetresources in a SNMPv2 entity acting in an agent role. SNMPv2 entities which do notsupport dynamically-configurable objetc resources will never have any instances ofthe columnar objetc in this table"
::= {snmpOR 2}
snmpOREntry OBJECT-TYPESYNTAX SnmpOREntryMAX-ACCESS not-accessibleSTATUS currentDESCRIPTION
"An entry (conceptual row) in the snmpORTable"INDEX {snmpORIndex}::= {snmpORTable 1}
-
8/14/2019 Administration Des Rseaux - SNMP
55/77
Complment Rseaux de Transport et Applications Anne 95/96
L.Duchien -55- L'Administration de l'Internet : SNMP
Cration et destruction d'un rang dans untableau
- La mthode createAndWait :
- La station de gestion commence ordonner l'agent decrer un nouveau rand dans la table avec une instanced'identification ("index value")
- Si l'agent accepte, il cre le rang et assigne des valeurs pardfaut aux objets du rang,
- Si tous les objets de type read-write possdent des valeurspar dfaut, le rang est plac dans l'tat notInservice
- si il existe des objet de type read-write qui n'ont pas desvaleurs par dfaut, le rang est plac dans l'tat notready
- Le gestionnaire envoie une requte de type "Get" pourdterminer l'tat de chaque objet dont le type d'accs est read-create dans le rang.
- L'agent envoie chaque valeur de chaque objet. Si l'objet nepossde pas de valeur, il envoie NoSuchInstance.
- La station d'administration doit alors envoyer unSetRequest pour assigner des valeurs aux objets. Elle peut ensuiteenvoyer une requte de type "Set" pour activer les objets nonactifs.
-
8/14/2019 Administration Des Rseaux - SNMP
56/77
Complment Rseaux de Transport et Applications Anne 95/96
L.Duchien -56- L'Administration de l'Internet : SNMP
Cration et destruction d'un rang dans untableau
- La mthode createAndGo :
Plus simple, mais plus restrictive car elle permet de travaillersur des tables dont les objets sont contenus dans une seule PDU.
De plus la station d'administration ne connat pas les valeurspar dfaut attribues aux diffrentes colonnes.
La station d'administration envoie un Get-PDU pourdterminer les objets de type "read-create" possdant le typenoSuchInstance.
Elle envoie ensuite un Set-PDU pour crer un nouveau ranget assigner des valeurs aux objets ayant le type d'accs "read-create" dans ce rang.
Si le Set russit, l'agent active ces objets.
-
8/14/2019 Administration Des Rseaux - SNMP
57/77
Complment Rseaux de Transport et Applications Anne 95/96
L.Duchien -57- L'Administration de l'Internet : SNMP
Exemple de cration de ligne d'une table
La commande "ping" qui fournit un echo distantLes messages utiliss dans ICMP sont echo et echo_reply
=> La station d'administration peut mettre jour un rang pour dire l'agent defaire un ping sur un autre systme intervalle rgulier:
L'agent possde initialement la table :Index IpAddress Delai Remanient Total Received Rtt Status1 128.2.13.211000 0 10 9 3 active
La station d'administration souhaite ajouter un nouveau rang en utilisant la mthodecreateAndWait.
Elle dtermine que le prochain index est 2 et souhaite que le nouveaurang ait les valeurs suivantes :Index IpAddress Delai Remanient Total Received Rtt Status1 128.2.13.991000 20 20 0 active
Pour ajouter cette dernire entre, la station de gestion commence par
envoyer une commande Set l'agent :SetRequest(pingStatus.2=createAndWait)
En cas d'acceptation, l'agent rpond :
Response(pingStatus.2,=notInService)
La station de gestion envoie un Get pour lire le nouveau rang :
GetRequest(pingIpAdress.2, pingDelay.2, ping.Remaining.2, pingStatus.2,pingSize.2)
L'agent rpond :
Response ((pingIpAdress.2=noSuchInstance), (pingDelay.2=1000),(ping.Remaining.2=5), (pingStatus.2=UnderModification),(pingSize.2=noSuchObject))
Certaines valeurs ont t affectes par dfaut. Il faut alors
complter....par un SetRequest((pingIpAddress.2=128.2.13.99),....)
-
8/14/2019 Administration Des Rseaux - SNMP
58/77
Complment Rseaux de Transport et Applications Anne 95/96
L.Duchien -58- L'Administration de l'Internet : SNMP
Le protocole
Quelques modifications :
PDU Type Request_id 0 0 Partie variable
GetRequest, GetNextRequest, SetRequest, Trap, InformRequet PDU
PDU Type Request-id error_status error_index Partie VariableResponse PDU
PDU Type Request-id non repeaters max repetitions partie variable
GetBulkRequest
-
8/14/2019 Administration Des Rseaux - SNMP
59/77
Complment Rseaux de Transport et Applications Anne 95/96
L.Duchien -59- L'Administration de l'Internet : SNMP
GetBulkRequest :
But : minimiser le nombre d'change travers le rseau
Permet une station d'administration de solliciter de la partd'un agent une rponse contenant le maximum d'informationpouvant tre contenu dans un message (limitation par la tailledu message)
Possibilit de spcifier des successeurs multipleslexicographiques.
Fonctionnement :
GetBulkRequest inclut une liste de (N+R) variables dans lechamp "partie variable".
Pour les N noms, la rcupration est faite comme dansGetNextRequest
Pour chaque variable de la liste, la variable suivante dansl'ordre lexicographique ainsi que sa valeur sont retournes.
Si il n'y a pas de suivant lexicographique, la variable nommeet la valeur "endOfMibView sont retournes.
les champs "non-repeaters" et "max-repetition" indiquent lenombre de variables contenu dans la liste "partie variable" et le
nombre de successeurs dans tre retournes pour les variablesrestantes.
-
8/14/2019 Administration Des Rseaux - SNMP
60/77
Complment Rseaux de Transport et Applications Anne 95/96
L.Duchien -60- L'Administration de l'Internet : SNMP
Soient
L: nombre de variables dans partie variable
N : nombre de variables dans partie variable avecdemande(variable)=un seul successeurR : nombre de variables, succdant les N premires variables
pour lesquelles de multiples successeurs lexicographiques sontdemandes
M : nombre de successeurs lexicographiques sollicits pourchacune des dernires R variables
N=MAX(MIN(non-repeaters,L),0)M=MAX(max_repeatetions,0)R=L-N
Si N> 0 , alors les N premires variables son traites commepour un GetNextRequest
Si R>0 et M>0 alors pour chacun des R dernires variables, cesM successeurs lexicographiques sont renseignes.
Pour chaque variable, cela signifie :
- obtenir la valeur du successeur lexicographique de la variableconsidre
- obtenir la valeur du successeur lexicographique de l'instanceobjet obtenu l'tape prcdente
- ainsi de suite, jusqu' ce que M instances objets soientextraites
-
8/14/2019 Administration Des Rseaux - SNMP
61/77
Complment Rseaux de Transport et Applications Anne 95/96
L.Duchien -61- L'Administration de l'Internet : SNMP
Exemple
Nom 1Nom 2
.
.
.Nom NNom N+1...Nom N+R..Nom N+1.
.
.
.Nom N+R.
1er successeurlexicographique
2er successeurlexicographique
Mer successeurlexicographique
Ordonnancement des variables-bindings dans la rponse GetBulkrequest
Soit la table suivante :Interface-NumberNetwork-Address Physical-Address Type
1 10.0.0.51 00.00.10.01.23.45static1 9.2.3.4 00.00.10.54.32.10dynamic
2 10.0.0.15 00.00.10.98.76.54dynamicLa station de gestion envoie:GetBulkRequest [non-repeaters=1, max-repetitions=2]
(sysUpTime, ipNetToMediaPhysAddress, ipNetToMediaType)
L'agent rpond :Response((sysUpTime.0="123456"),(ipNetToMediaPhysAddress.1.9.2.3.4="000010543210"),(ipNetToMediaType.1.9.2.3.4="dynamic",(ipNetToMediaPhysAddress.1.10.0.0.51="00001012345"),(ipNetToMediaType.1.10.0.0.51="static"))
La station de gestion envoie:GetBulkRequest [non-repeaters=1, max-repetitions=2]
(sysUpTime, ipNetToMediaPhysAddress.1.10.0.0.51,ipNetToMediaType.1.10.0.0.51)
L'agent rpond :Response((sysUpTime.0="123466"),(ipNetToMediaPhysAddress.2.10.0.0.51="0000109887654"),(ipNetToMediaType.2.10.0.0.51="dynamic",(ipNetToMediaNetAddress.1.9.2.3.4="9.2.3.4"),(ipRoutingDiscards.0="2"))
-
8/14/2019 Administration Des Rseaux - SNMP
62/77
Complment Rseaux de Transport et Applications Anne 95/96
L.Duchien -62- L'Administration de l'Internet : SNMP
Possibilit de station d'administration station d'administration
InformRequest-PDU
But : permet une station de gestion d'envoyer des informationsvers une station d'administration qui centralise des informationscontenues dans la MIB "manager-to-manager"
Le message a le mme format que Get, Set,...La MIB permet de spcifier des paramtres tels que :
- l'intervalle de temps devant sparer 2 "InformRequest_PDU"
- le nombre d'"InformRequest-PDU" voulues
- description de l'vnement rapporter
- la date de l'vnement
- ...
Cette PDU tend le mcanisme de Trap de SNMP1.
-
8/14/2019 Administration Des Rseaux - SNMP
63/77
Complment Rseaux de Transport et Applications Anne 95/96
L.Duchien -63- L'Administration de l'Internet : SNMP
La MIB
2 nouvelles MIB sont dfinies :
- SNMPv2 Management Information Base
- Manager-To-Manager
SNMPv2 Management Information Base : permet dedcrire le comportement des agents SNMP du rseau. compos
de 5 groupes :
1. SNMPv2 Statistics group : contient des informationsrelatives au protocole SNMPv2 comme le nombre total depaquets reus au niveau transport, le nombre de paquets malcods, le nombre de requtes PDU GetRequest,GetNextRequest,....
2. SNMPv1 Statistics group : informations relatives auprotocole SNMPv1 . Par exemple, le nombre de messagesayant un mauvais nom de communaut, nombre de messagedemandant une opration non autorise,...
3. Object resource group : utilis par l'agent SNMPv2 pourdcrire les objets susceptibles d'tre configurs par une stationd'administration. on y trouve le nom de l'objet, sa
description,...4. Traps group : gre les "traps" gnrs par un agent
5. Set group : se compose d'un seul objet qui permet dersoudre 2 problmes : la srialisation des oprations de typeSet mises par une station de gestion et la gestion de laconcurrence d'accs par de multiples stations de gestion
-
8/14/2019 Administration Des Rseaux - SNMP
64/77
Complment Rseaux de Transport et Applications Anne 95/96
L.Duchien -64- L'Administration de l'Internet : SNMP
Manager-To-Manager MIB
- Alarm group : permet de spcifier les paramtres de
configuration des alarmes : intervalles entre les alarmes,instances ou objet ayant provoqu l'alarme,...
- Event group : permet de renseigner une station de gestion surun ensemble d'vnements choisis, sur l'instant o ils seproduisent,...
-
8/14/2019 Administration Des Rseaux - SNMP
65/77
Complment Rseaux de Transport et Applications Anne 95/96
L.Duchien -65- L'Administration de l'Internet : SNMP
La compatibilit entre SNMP et SNMPv2
La coexistence des 2 versions est facilite par le fait que SNMPv2est un sur ensemble de SNMPv1.
=> La manire la plus simple de grer le passage de V1 V2 estde passer la station d'administration la version 2, qui peut ainsigrer la fois des stations en V2 (en cas de gestion rpartie) etdes agents en V1 et V2.
Il est ncessaire des quivalences dans :
- la manire dont sont gres les informations (SMI)- le protocole
Le SMI :
Pour assurer la compatibilit, les correspondances suivantessont ncessaires :
- INTEGER dfini sans restriction devient Integer32- Counter devient Counter32- Gauge devient Gauge32- ACCESS devient MAX-ACCESS
- ....
-
8/14/2019 Administration Des Rseaux - SNMP
66/77
Complment Rseaux de Transport et Applications Anne 95/96
L.Duchien -66- L'Administration de l'Internet : SNMP
Le protocole :
SNMPv2 gre des PDU supplmentaires
On prvoit l'utilisation d'un agent proxy qui assure la traductiondes PDU entre les 2 versions.
Environnement SNMPv2 Environnement SNMPv1
GetRequest
GetNextRequest
SetRequest
GetBulkRequest
GetRequest
GetNextRequest
SetRequest
GetNextRequest
AdministrateurSNMPv2
Agent SNMPv2et
Proxy
AgentSNMPv1
Response
SNMPv2Trap
GetResponse
Trap
noSuchName, readOnly et badValue ne sont pas utilisables parun agent en version 2 mais interprtable par une station
d'administration l'agent proxy assure la gestion des messages ne pouvant pastre contenues dans une seule PDU.
-
8/14/2019 Administration Des Rseaux - SNMP
67/77
Complment Rseaux de Transport et Applications Anne 95/96
L.Duchien -67- L'Administration de l'Internet : SNMP
Possibilit de faire cohabiter 2 versions SNMP- le gestionnaireutilise au choix le protocole 1 ou 2 :
AdministrationSNMPv2
Administrationbilingue
AgentSNMPv2
AgentSNMP
InformRequest
InformRequest
SNMPv2 Trap, Response
GetRequest, GetNextRequest, SetRequestGetBulkRequest
GetRequest, GetNextRequet,
SetRequest
GetResponse, Trap
-
8/14/2019 Administration Des Rseaux - SNMP
68/77
Complment Rseaux de Transport et Applications Anne 95/96
L.Duchien -68- L'Administration de l'Internet : SNMP
La scurit dans SNMP 2
Dans la version 1 => utilisation de la notion de communaut pourdfinir la visibilit accorde une station par un agent.
Dans la version 2 => notion de groupe :
SnmpParty ::= SEQUENCE {partyIdentify OBJECT IDENTIFIER, -- identifiant du groupepartyDomain OBJECT IDENTIFIER, -- type de couche transportpartyAddress OCTET STRING, -- adresse de niveau transportpartyMaxMessageSize INTEGER, -- taille max des messagespartyAuthProtocol OBJECT IDENTIFIER, -- nomme le protocole
d'authentification utilispartyAuthClock INTEGER, -- priode valide pour le groupepartyAuthPrivate OCTET STRING, -- cl prive d'authentificationpartyAuthPublic OCTET STRING, -- cl publique d'authentificationpartyAuthLifeTime INTEGER, -- dure de vie des messagespartyPrivProtocol OBJECT IDENTIFIER, --identification du protocole
utilis (PGP par exemple)
partyPrivPrivate OCTET STRING, -- cl privepartyPrivPublic OCTET STRING, -- cl publique}
Un lment actif sur le rseau agit de la manire suivante :
- excute uniquement les oprations permises par le groupe,- maintient une petite base de donnes qui contient tous les
groupes reconnus par l'entit, les oprations pouvant s'effectuer
directement et celles qui font appel un agent de proxy, lesressources accessibles (notion de contexte)
=> Chaque entit maintient donc l'ensemble des donnesdfinissant le concept de "politique d'accs"
-
8/14/2019 Administration Des Rseaux - SNMP
69/77
Complment Rseaux de Transport et Applications Anne 95/96
L.Duchien -69- L'Administration de l'Internet : SNMP
Le Contexte :
se dfinit comme tant l'ensemble des ressources accessibles(objets) par une entit SNMPv2
Il existe deux types de contexte :
local :Le gestionnaire accde directement aux informations
dans l'agent
Le gestionnaire envoie une opration de gestion quicontient :- un groupe source (srcParty) (le gestionnaire)- un groupe destination (dstParty) (agent)- un contexte- PDU (Get, Set,...)
l'agent consulte l'entit ACL (Access Control List) et
dtermine si les oprations sont permises. distant :
L'agent intervient comme mdiateur entre une stationd'administration et une entit distante.
L'agent agit comme un proxy qui gre les droits d'accs.
-
8/14/2019 Administration Des Rseaux - SNMP
70/77
Complment Rseaux de Transport et Applications Anne 95/96
L.Duchien -70- L'Administration de l'Internet : SNMP
Format des messages scuriss
privDest authInfo dstParty srcParty contexte PDU
Format gnral
privDest octet string dstParty srcParty contexte PDU
Message non scuris
privDest digest dst timestamp src timestamp dstParty srcParty contexte PDU
Authentifi mais non priv
privDest octet string dstParty srcParty contexte PDU
crypt
Priv mais pas authentifi
privDest digest dst timestamp src timestamp dstParty srcParty contexte PDU
crypt
Priv et authentifi
privDst : dsigne le groupe pour lequel le message est destinauthInfo: protocole d'authentification utilis
-
8/14/2019 Administration Des Rseaux - SNMP
71/77
Complment Rseaux de Transport et Applications Anne 95/96
L.Duchien -71- L'Administration de l'Internet : SNMP
mission d'une requte scurise
- construction d'un message:srcParty
-
8/14/2019 Administration Des Rseaux - SNMP
72/77
Complment Rseaux de Transport et Applications Anne 95/96
L.Duchien -72- L'Administration de l'Internet : SNMP
Exemples d'agents
configuration d'un agent non scuris
Identity gracie george(agent) (manager)
Domain snmpUDPDomainsnmpUDPDomainAddress 1.2.3.4, 161 1.2.3.5, 2001Auth Prot noAuth noAuthAuth Priv Key "" ""Auth Pub Key "" ""
Auth clock 0 0Auth lifetime 0 0PrivProt noPriv noPrivPrivPrivKey "" ""PrivPubKey "" ""
Base de donnes de l'agent
Target Subject Context Privilegesgracie george local 35 (Get,GetNext &GetBulk)
george gracie local 132(Response et SNMPv2-Trap)
configuration d'un agent scuris
Identity ollie stan(agent) (manager)
Domain snmpUDPDomainsnmpUDPDomainAddress 1.2.3.4, 161 1.2.3.5, 2001Auth Prot v2md5AuthProtocol v2md5AuthProtocolAuth Priv Key "0123456789AZ" "GHIJKLM45"
Auth Pub Key "" ""Auth clock 0 0Auth lifetime 300 300PrivProt desPrivProtocol desPrivProtocolPrivPrivKey "MNOPIU89" "BNJIUY78"PrivPubKey "" ""
Base de donnes de l'agent
Target Subject Context Privileges
ollie stan local 35 (Get,GetNext &GetBulk)
-
8/14/2019 Administration Des Rseaux - SNMP
73/77
Complment Rseaux de Transport et Applications Anne 95/96
L.Duchien -73- L'Administration de l'Internet : SNMP
stan ollie local 132(Response et SNMPv2-Trap)
-
8/14/2019 Administration Des Rseaux - SNMP
74/77
Complment Rseaux de Transport et Applications Anne 95/96
L.Duchien -74- L'Administration de l'Internet : SNMP
Algorithme de synchronisation deshorloges
Pour cet algo on utilise un nouvel objet :
AuthInformation ::= [2] IMPLICIT SEQUENCE {authDigest OCTET STRING,authDstTimestamp UInteger32,
authSrcTimestamp UInteger32}
Lorsqu'un message est transmis, il inclut les valeurs d'horloges del'metteur et du rcepteur.
Ces horloges sont synchronyses de telle manire que l'horloge laplus lente soit gale l'horloge la plus rapide.
Considrons deux groupes : "AgentParty" et "MgrParty"contenant respectivement un agent et une station de gestion.
4 cas de figure sont envisageables :
- l'estimation de l'horloge "AgentParty" qu'a la station degestion dpasse la valeur qu'en a l'agent
- l'estimation de l'horloge "MgrParty" qu'a la station degestion dpasse la valeur qu'en a l'agent
- l'estimation de l'horloge "AgentParty" qu'a l'agent dpassela valeur qu'en a la station de gestion
- l'estimation de l'horloge "MgrParty" qu'a l'agent dpasse lavaleur qu'en a la station de gestion
-
8/14/2019 Administration Des Rseaux - SNMP
75/77
Complment Rseaux de Transport et Applications Anne 95/96
L.Duchien -75- L'Administration de l'Internet : SNMP
Algorithme de synchronisation deshorloges(2)
Groupe A Groupe B
partAuthClock.a partAuthClock.b partAuthClock.a partAuthClock.b
authDstTimestamp:=partAuthClock.bauthSrcTimestamp:=partAuthClock.a
message(authDstTimestamp,authSrcTimestamp)
ifauthSrcTimestamp+partyAuthLifetime.apartyAuthClock.bthenpartyAuthClock.b:=authDstTimeStampif authSrcTimestamp>partyAuthClock.athenpartyAuthClock.a:=authSrcTimeStamp
-
8/14/2019 Administration Des Rseaux - SNMP
76/77
Complment Rseaux de Transport et Applications Anne 95/96
L.Duchien -76- L'Administration de l'Internet : SNMP
5. Conclusion
- Snmpv2 : plus efficace, plus scuris que SNMPmais pas encore de migrations compltesde tous les sites
- Approche OSI marginale, non cause des concepts, maisdu fait des investissements dj raliss par les administrateurs
sur SNMP-> recherche d'un protocole compatible avec la V1 de SNMP
- Quelques inconnues :- le devenir du modle OSI (CMISE/CMIP)- la forte volution des rseaux et l'mergence de
nouveaux protocoles- problmes lgislatifs concernant le cryptage
- 2 phnomnes qui devraient aussi influencerl'administration de rseau:
- la technologie oriente objet- la notion d'agent intelligent (sachant prendre des
dcisions sans en rfrer la station de gestion)
-
8/14/2019 Administration Des Rseaux - SNMP
77/77
Complment Rseaux de Transport et Applications Anne 95/96
6. Bibliographie
Les divers RFC sur SNMP accessibles sur le serveur web de l'Urec ou Pasteur(www.urec.fr, www.pasteur.fr)
SNMPv1 : RFCs 1089,1140, 1147, 1155, 1156, 1157, 1158, 1161, 1212, 1213,1215, 1298
SNMPv2 : RFCs 1441, 1442, 1443, 1444, 1445, 1446, 1447, 1448, 1449, 1450,1451, 1452
Les Bouquins :
The Simple Book : An Introduction to management of TCP/IP-based Internetsby Marshall Rose, Prentice Hall, 2nd edition, 1994
SNMP, SNMPv2, CMIP, The pratical Guide to Network-Management Standards,William Stallings, Addison Wesley, 1995
Rapport de valeur C 94-95 "SNMP", O. Porte, M. Izadpahan
Mmoire d'ingnieur "Mise en oeuvre du protocole SNMP pour un outil de gestionhtrogne", G. Ndjeudji, 1992
Les sites qui offrent des logiciels SNMP :
lancaster.andrew.cmu.edu:/pub/snmp-dist/*snmp2.1.2.tarCMU SNMPv2 source library agent, mid-level agent, net management
routines)ftp.ics.uci.edu:mrose/isode-snmpv2/isode-snmpv2.tar.Z
4BSD/ISODE 8.0 SNMPv2 package