Ph. Tourron 1

Administration de réseau avec SNMP (Licence Réseau)

Actions de gestion

Objectifs

Pourquoi ?

Modélisation ISO

Protocoles d’administration

Positionnement de snmp

Fonctionnement / principe

Modélisation/ description données SMI, ASN1

MIB

Les échanges snmp

RMON

Les outils

Exemple de plateformes

Epicenter (extreme Networks, HPov, …)

PLAN

Ph. Tourron 2

Actions de gestion

Au-delà du réseau, toutes les ressources

informatiques (du câble aux applications

avec tous les « objets » intelligents

communicants : caméra, alarmes, onduleur,

serveur, assistant personnels, téléphones,

…) ont un état et une « vie » qui ont une

influence sur leur environnement et

peuvent être pilotés de manière organisée

Ph. Tourron 3

Actions de gestion Ainsi gérer ces ressources et les réseaux qui les

interconnectent va conduire à opérer des actions :

Sur le systèmes d’information (quels services aux utilisateurs avec quelle qualité de service)

Sur la sécurité (avec quelle qualité de service)

Sur l’exploitation (pour exploiter : quelles alarmes, quelles actions)

Sur la planification (quelles évolutions : statistiques d’utilisation de pb, …)

Ph. Tourron 4

Administrer un réseau : Objectifs

Objectifs :

Configurer

Maintenir « en bon état de

fonctionnement »

Analyser

Prévoir les évolutions

Ph. Tourron 5

Pourquoi administrer ? Passage d’une informatique centralisée à une

informatique répartie, architectures client-serveur d’où

Les réseaux informatiques prennent de l’ampleur et de la criticité (lan, man, wan et les mêmes en version Wifi)

Le nombre de fabricants augmente

Le type de matériel fournit se diversifie et se complexifie

Une exigence de temps de réponse accrue jusqu’à l’utilisateur

Une utilisation par tous les acteurs internes et externe à l’entreprise (de la création de l’information jusqu’aux prises de décisions): augmentation de la densité : utilisateur/service

Ph. Tourron 6

Pourquoi administrer ? Une importance stratégique

financière (commandes en ligne)

de sécurité (transferts bancaires, données clients)

de service (distributeurs de billets)

de compétitivité (gestion de stocks)

Des obligations de service/résultat continuité de service

qualité de service

adaptation à la demande

maîtrise des coûts

Ph. Tourron 7

Pourquoi administrer ?

Mais aussi :

Raisons économiques

coût global excessif (> 1% de CA)

croissance du budget réseau (20% par an)

tarification difficile à maîtriser

(multiplicité des services et évolution)

Ph. Tourron 8

Modélisation OSI

Ph. Tourron 9

Architecture OSI

d’administration réseaux

2 types d’application

managers sur les systèmes d ’administration

agents sur les systèmes administrés

Dialogue manager-agent utilise un

ensemble de protocoles

Ph. Tourron 10

Architecture OSI

d’administration réseaux (2) Un agent contrôle des managed objects

Un modem

Une table de routage IP

Une connexion TCP

Le manager

Envoie des ordres aux agents

Reçoit des informations des agents (lit une

variable)

Fixe des valeurs (écrit une variable)

Ph. Tourron 12

Modèle d’administration

L’administration peut être vue au travers de

3 modèles

Modèle organisationnel

Modèle fonctionnel

Modèle d’information

Ph. Tourron 13

Modèle organisationnel

Notion de domaine d’administration

Utilité

Mise à l’échelle

Sécurité

Autonomie d'administration

Ph. Tourron 14

Modèle organisationnel (2)

Répartition des agents/managers

Un domaine peut comporter plusieurs

agents/managers

1 agent/manager peut être partagé entre

plusieurs domaines

Système d’administration coopératif et

distribué

Ph. Tourron 15

Modèle fonctionnel

5 Specific Management Functionnal Areas (SMFA) Domaines ou aires fonctionnelles

Gestion des incidents (erreurs, anomalies, fautes)

Détecter, isoler, corriger les erreurs du réseau

Gestion de la configuration

Configuration distante d'éléments du réseau

Gestion des performances

Evaluation des performances pour qualité de service

Ph. Tourron 16

Modèle fonctionnel (2)

Gestion comptable (de comptes utilisateurs)

Faire payer l’utilisation du réseau en fonction

de son utilisation

Limiter l’utilisation des ressources

Gestion de la sécurité

Contrôle d’accès

Authentification

Cryptage

Ph. Tourron 17

Modèle d’information

Structure of Management Information

(SMI)

Ensemble de conventions pour la description et

l’identification des données

Permet à n’importe quel type de protocole de

manipuler les données (CMIP ou SNMP)

Ph. Tourron 18

Modèle d’information (2)

Management Information Base (MIB)

Dépôt conceptuel d’information de gestion

Ensemble des informations nécessaires à

l'administration

Ne se préoccupe pas de l’aspect stockage des

informations

Ph. Tourron 19

Détail du modèle OSI

d’administration de réseau

Ph. Tourron 20

Gestion de la configuration

Gestion de la base d'information réseau (MIB)

Inventaire des éléments de réseau

Gestion des noms des éléments gérés

Ajout, retrait, modification d'éléments de réseau

Initialisation et modification de paramètres, d'états

Modification, création, suppression des relations entre éléments

gérés

Visualisation du réseau

Visualisation globale

Zooms géographiques

Visualisation de sous-réseaux

Affichage à la demande des caractéristiques des éléments gérés

Ph. Tourron 21

Gestion de la configuration (suite)

Reconfiguration

Activation des configurations de secours

Réaffectation des ressources

Téléchargement de logiciels

Edition des changements d'état opérationnels

Historiques des reconfigurations

Elaboration des annuaires

Annuaire des services offerts

Annuaire des utilisateurs

Annuaire des fournisseurs

Ph. Tourron 22

Gestion des anomalies

Détection des anomalies

Génération de rapports d'incidents de fonctionnement

Gestion de compteurs et de seuils d'alarmes

Filtrage d'événements (élimination des informations redondantes)

Affichage des dysfonctionnements

Localisation des anomalies

Analyse des rapports d'alarmes

Lancement de mesures et de tests ==> Systèmes d'aide au diagnostic

Initialisation d'actions correctives

Réaffectation de ressources

Reroutages ==> Systèmes d'aide à la

Limitations du trafic décision

Appel à la maintenance }

Ph. Tourron 23

Gestion des anomalies (suite)

Remise en service des équipements

Lancement de tests de fonctionnement

Gestion de systèmes de backup

Enregistrement d'historiques d'incidents

("trouble tickets")

Etablissement de statistiques

Probabilités de pannes

Durée des incidents

Durées de réparation

Interface avec les usagers

signalisation d'incidents par les usagers

informations aux usagers de problèmes réseau

Ph. Tourron 24

Gestion comptable

Gestion des mesures de l'utilisation des ressources

Enregistrement

Création et gestion des fichiers d'enregistrement

Contrôle des quotas par utilisateur

mise à jour de la consommation courante

Vérification des autorisations de consommation

Suivi et contrôle des dépenses

Stockage et mise à jour des tarifs opérateurs

Gestion des tickets de taxation

Evaluation temps réel de la consommation courante

Contrôle des factures

Suivi des coûts de matériels

(investissements, amortissements, maintenances)

Suivi du coût d'exploitation

Ph. Tourron 25

Gestion comptable (suite)

Gestion financière

Ventilation des coûts (par service, par utilisateur, par application)

Analyse et prévision des dépenses

Etudes de scénarios pour minimiser les coûts

Facturation interne

Gestion des clients

Gestion des tarifs

Génération de tickets de taxation et de factures

Contrôle de la facturation

Stockage des historiques

Ph. Tourron 26

Gestion de la sécurité

Sécurité de l'administration de réseaux

Gestion des droits d'accès aux postes de travail et des "vues"

Autorisation d'accès aux informations d'administration

Sécurité d'accès dans le réseau géré

Fonctions liées aux mécanismes à mettre en oeuvre

définition des conditions d'utilisation, activation/désactivation

paramètrage, listes d'autorisation (machines, services, ...)

Trace des accès (identités, horaires, destinations)

Détection des tentatives d'accès frauduleuses

Sécurité de l'information

Gestion des mécanismes de protection

Gestion des clefs d'encryptage et de décryptage

Détection des incidents

Détection des tentatives de fraude

Ph. Tourron 27

Gestion des performances (Temps réel)

Enregistrement des mesures de performances

Mise à jour des critères et des conditions de mesure

Gestion de la collecte d'information, filtrage

Etablissement de statistiques

Lancement de mesures à la demande

Gestion des fichiers de collecte

Surveillance de l'activité du réseau

Visualisation de l'utilisation des ressources

Signalement des dépassements de seuils

Analyse des résultats de performances

Fonctionnement du réseau

(répartition de la charge, débits, temps de réponse, disponibilité)

Analyse des causes probables de dépassement de seuils

corrélation avec les fautes d'équipements système

comparaison, corrélations d'indicateurs d'aide au diagnostic }

Ph. Tourron 28

Gestion des performances (Temps réel suite)

Actions correctives et préventives

Réaffectation des ressources

modification des paramètres de configuration

redistribution du trafic

Limitation du trafic (filtrage, priorités)

Choix du mode d'action

==> système d'aide à la décision

Suivi de l'impact des actions

Stockage des historiques

Analyse de l'efficacité des actions, définition des règles

Ph. Tourron 29

Gestion des performances (Temps différé) Analyse des informations

Etablissement de statistiques et d'historiques

Etablissement d'indicateurs de qualité de service

Edition de rapports (périodiques ou à la demande)

Edition de tableaux de bord

Analyse prévisionnelle

Constitution de matrices de traffic

Evaluation des performances

détection des risques de saturation , simulation de scénarios

==> amélioration de la QS

équilibrage de l'utilisation des ressources

Planification et dimensionnement du réseau

Suivi de la gestion corrective

Ph. Tourron 30

Autres domaines de gestion connexes

Planification des actions et évolutions

Gestion de parcs (inventaires, catalogue, installations, ...)

Gestion du câblage

Gestion des licences

Gestion système (utilisateurs, disques, versions, ...)

Ph. Tourron 31

Les protocoles d’administration CMIP

Common Management Information Protocol

Fonctionne avec la pile de communication OSI

SNMP Simple Network Management Protocol

Fonctionne sous TCP/IP

Aujourd’hui snmp reste le standard (le plus présent sur les équipements)

Des travaux de l’UIT-T pour une gestion intégrée de réseaux et de services, vision telecom (TMN Telecommunication Management Network) pour les réseaux opérateurs

Ph. Tourron 32

Positionnement de snmp

Utilise en partie la modélisation OSI (définition

SMI des objets de gestion contenu dans des MIB)

Propose une gestion des objets, un protocole de

transfert des informations (une structure de trame,

échange en datagram UDP sur les ports 161 pour

les messages et 162 pour les trap)

L’échange d’information est de type caractère ou

compteur que l’on regroupe sous le terme

d’objet-snmp

Ph. Tourron 33

Positionnement de snmp

Snmp travaille au niveau application du

modèle OSI

Snmp gère des objets (RFC1157), SMI

définit des objets à gérer (RFC 1155), MIB

contient des objets de gestion (RCF 1213)

Ph. Tourron 34

Fonctionnement / Principes

Ph. Tourron 35

ASN1:

Abstract Syntax Notation 1: un langage formel de

description.

le SMI :

Structure of Management Information). Le RFC 1155

définit à partir d’une partie de ASN-1, des structures de

bases, adaptées pour être utilisées dans des descriptions

de MIB.

Les MIBs :

Les objets sont accédés au travers d ’une collection

virtuelle d ’information appelée Management

Information Database. Les objets y sont définis en

utilisant ASN1 et le SMI

Quelques Définitions

Ph. Tourron 36

Les RFC associées

SMI rfc 1155

MIB1 rfc 1156

MIB2 rfc 1213

SNMP rfc 1157 (CMOT rfc 1095)

Concise MIB definition

rfc 1212

Ph. Tourron 37

Administrer un réseau

Comment ?

« Ecouter » les organes de réseau (nœuds ou

Eléments Actifs)

Modifier la configuration des EA

Être alerté en cas de problème

Et cela à distance

Ph. Tourron 38

Administrer un réseau

Moyens : Il faut un moyen de communication et d’action avec les

éléments de réseaux remplissant les fonctions suivantes :

Mémoriser des informations dans les EA

Les interroger

Les acheminer sur le réseau vers un gestionnaire

Les modifier

Ph. Tourron 39

Administrer un réseau

Contraintes :

La gestion doit fonctionner même quand le

réseau « va mal »

Les EA ont des capacités limitées

Ph. Tourron 40

Administrer un réseau

Moyens : SNMP (Simple Network Management Protocol)

Un modèle d’organisation des données (MIB :

Management Information Base): décrit les variables que

l’on va gérer dans les EA

Un protocole de communication entre l’agent

SNMP (le géré) et la station de management (le

gérant) aussi appelé NMS (Network Management Station)

Ph. Tourron 41

Administrer un réseau

Echanges en mode requête/réponse

Ph. Tourron 42

Administrer un réseau

fonctionnement : les données

Chaque EA gère des variables décrivant

son état (état d’un port, nb de collisions sur

un port, …)

Une variable est un objet référencé dans

une MIB

Ph. Tourron 43

Administrer un réseau Exemple de données (extrait de MIB)

Ph. Tourron 44

Administrer un réseau

Dénomination de variables

Les données sont organisées selon un

modèle hiérarchique (arbre), chaque nœud

à un nom et un label numérique

La désignation d’une variable se fait en

suivant l’arbre depuis la racine jusqu’au

nœud

Ph. Tourron 45

Informations de Gestion

La description des informations de gestion

recouvre 2 aspects

Structure of Management Information (SMI)

Structure logique des informations de gestion

Identification et Description de ces informations

Management Information Base (MIB)

Objets réellement gérés

Ph. Tourron 46

Modèlisation SMI, ASN1

Ph. Tourron 47

SMI

Utilise un sous-ensemble de ASN.1

Objets administrables

Hiérarchie des informations de gestion

Registration Hierarchy

Containment Hierarchy

Inheritance Hierarchy

Ph. Tourron 48

Objets administrables

Repose sur les concepts « objet »

Une entité administrable du réseau est vue

comme un objet

On a des classes qui correspondent à un type

d’entité

On a des instances qui correspondent aux

entités vivant sur le réseau

la classe « transport connection » est instanciée à

chaque nouvelle connexion

Ph. Tourron 49

Les Hiérarchies

Registration Hierarchy

Utilise l’arbre de nommage de ASN.1

Containment Hierarchy

une classe peut en contenir d’autres

Identification unique

Relation de persistance

Inheritance Hierarchy

Liée à la notion d’héritage

Ph. Tourron 50

MIB

Dépôt conceptuel d’information de gestion

Ne se préoccupe pas du stockage physique

Ensemble des instances à un instant donné

RFC 1156

Définit 8 groupes d’objets de base

RFC 1213

MIB-II

Ph. Tourron 51

Exemple de MIB

Ph. Tourron 52

Exemple de MIB

Ph. Tourron 53

Exemple MIB

MIB

1.3.6.1.2.1

TCP

1.3.6.1.2.1.6

tcpConnTable

1.3.6.1.2.1.6.13

tcpConnEntry

1.3.6.1.2.1.6.13.1

Ph. Tourron 54

Chaque objet dispose selon SMI: d ’un nom

d ’un identifieur unique (OBJECT IDENTIFIEUR)

d ’une « syntaxe »

d ’un codage

La « syntaxe »: C ’est le type de l ’objet

Les types primitifs: INTEGER (sans restriction, entiers

énuméré ou intervalle) , OCTET STRING ( chaîne de mots

de 8 bits), OBJECT IDENTIFIEUR, et NULL

pour les entiers énumérés la valeur 0 n ’est pas autorisée

Les constructeurs (type constructor): listes: SEQUENCE {<type1>, . . . , <typeN>}ou chaque type

est un type simple (pas de clause DEFAULT ou OPTIONAL)

tables: SEQUENCE OF <entry>

Ph. Tourron 55

Quelques types prédéfinis (:dérivés ou applicatifs RFC 1155) DisplayString chaîne de mot de 8 bits (longueur maxi 255) en

ASCII NVT(rfc854)

IpAddress chaine de 4 octets

PhysAddress chaine d ’octets

Counter jusqu ’à 2^32 - 1; croissant et cyclique

Gauge jusqu ’à 2^32 - 1; non monotone et non cyclique

TimeTicks temps écoulé en 100èmes de secondes

on peut ensuite définir des types en fonction des besoins

Description d ’un modèle de donnée: On ne décrit pas en ASN1 les traitements qui sont fait dessus.

On ne décrit le comportement que par le commentaire qu ’on met dans le texte ASN1

Ph. Tourron 56

L ’ensemble des textes ASN.1 (standards ou privés) définissent un arbre.

L ’identification d ’un répertoire ou d ’une variable dans cet arbre est faite par une suite de nombres:

c ’est l ’OID (Object Identifieur)

La lecture du fichier ASN1 permet de définir pour une variable, son OID et ses autres caractéristiques.

L ’OID dispose aussi d ’une forme alphabétique, par exemple:

iso(1).org(3).dod(6).internet(1).private(4).entreprise(1)

Ph. Tourron 57

Exemples de

définition des objets

Définition de variable:

compteur INTEGER ::= 100

Définition d’objet:

internet OBJECT IDENTIFIER

::= { iso org(3) dod(6) 1 }

Ph. Tourron 58

Exemples de définition de type

Définition de sous-types:

Status ::= INTEGER { haut(1), bas(2) }

TaillePaquet ::= INTEGER(0..1023)

Définition d’un nouveau type:

AtEntry ::= SEQUENCE {

atIndex INTEGER,

atPhysAddress OCTET STRING,

atNetAddress NetworkAddress

}

Ph. Tourron 59

Les échanges snmp

En v1 peu de sécurité (pass en clair)

Notion de communauté read et write par

defaut à public

Importance d’une architecture « réfléchie

pour adressage, acl, station mgmt, …

Ph. Tourron 60

Administrer un réseau

fonctionnement : les actions de base

La station de management demande une

variable à un agent (GET)

La station de management modifie une

variable sur un agent (SET)

Un agent envoie une alarme (TRAP)

Ph. Tourron 61

Opérations SNMP : Le protocole SNMP

v1 définit 5 opérations entre le manager et

l’agent

Get-request

Get-next-request

Set-request

Get-response

Trap

Manager Agent

UDP 162

UDP 161

UDP 161

UDP 161

Get-response

Get-response

Ph. Tourron 62

En-tête IP En-tête UDP

Version(Vsnmp-1) Communauté

PDU type (0 à 3)

En-tête commun

Ident de

requette

Status d ’erreur

(0-5) . . . . . Index

d ’erreur nom valeur nom valeur

En-tête get/set variables get/set

Format des paquets de requête/réponse

Ph. Tourron 63

Exemple d’échanges SNMP: len: 38 version: int(1) 0x00 comm: string(6)

«public» type: GET-NEXT

req-id: int(2) 0x5e31 error: int(1) 0x00 error-index: int(1) 0x00

var: obj(8) 1 3 6 1 2 1 2 1 val: empty(0)

Réponse transmise par l'agent

SNMP: len: 40 version: int(1) 0x00 comm: string(6) «public» type: RESPONSE

req-id: int(2) 0x5e31 error: int(1) 0x00 error-index: int(1) 0x00

var: obj(7) 1 3 6 1 2 1 2 1 0 val: 0x06

Ph. Tourron 64

SNMP: len: 178 version: int(1) 0x00 comm: string(6) «public» type: GET-NEXT

req-id: int(2) 0x00a2a2 error: int(1) 0x00 error-index: int(1) 0x00

var: obj(9) 1 3 6 1 2 1 2 2 1 1 val: empty(0)

var: obj(9) 1 3 6 1 2 1 2 2 1 2 val: empty(0)

var: obj(9) 1 3 6 1 2 1 2 2 1 3 val: empty(0)

var: obj(9) 1 3 6 1 2 1 2 2 1 4 val: empty(0)

var: obj(9) 1 3 6 1 2 1 2 2 1 5 val: empty(0)

var: obj(9) 1 3 6 1 2 1 2 2 1 6 val: empty(0)

var: obj(9) 1 3 6 1 2 1 2 2 1 7 val: empty(0)

var: obj(9) 1 3 6 1 2 1 2 2 1 8 val: empty(0)

var: obj(9) 1 3 6 1 2 1 2 2 1 9 val: empty(0)

var: obj(9) 1 3 6 1 2 1 2 2 1 10 val: empty(0)

Réponse

SNMP: len: 219 version: int(1) 0x00 comm: string(6) «public» type: RESPONSE

req-id: int(2) 0x00a2a2 error: int(1) 0x00 error-index: int(1) 0x00

var: obj(10) 1 3 6 1 2 1 2 2 1 1 1 val: int(1) 0x01

var: obj(10) 1 3 6 1 2 1 2 2 1 2 1 val: string(9) «Ethernet0»

var: obj(10) 1 3 6 1 2 1 2 2 1 3 1 val: int(1) 0x06

var: obj(10) 1 3 6 1 2 1 2 2 1 4 1 val: int(2) 0x05dc

var: obj(10) 1 3 6 1 2 1 2 2 1 5 1 val: gauge(4) 0x00989680

var: obj(10) 1 3 6 1 2 1 2 2 1 6 1 val: string(6) ******

var: obj(10) 1 3 6 1 2 1 2 2 1 7 1 val: int(1) 0x01

var: obj(10) 1 3 6 1 2 1 2 2 1 8 1 val: int(1) 0x01

var: obj(10) 1 3 6 1 2 1 2 2 1 9 1 val: time(2) 0x0420

var: obj(10) 1 3 6 1 2 1 2 2 1 10 1 val: counter(4) 0x6b055aa0

Ph. Tourron 65

En-tête IP En-tête UDP

Version(Vsnmp-1) Communauté

PDU type (4)

En-tête commun

Entreprise Adresse

Agent . . . . . Type de

trap (0-7)

Code

spécifique

Estampille

horaire nom valeur

En-tête trap variables

Format des paquets trap

Ph. Tourron 66

Les formats requête et réponse sont identiques

type de pdu (Paket Data Unit):

0 get-request

1 get-next-request

2 set-request

3 get-response

4 trap

Code d ’erreur

0 noError

1 tooBig

2 noSuchName

3 badValue

4 readOnly

5 genErr

Quelques codifications

Ph. Tourron 67

Opérations supplémentaires en V2 et

V3

Getbulk (grde table)

Notification

Inform (desc mib locale)

Report

Ph. Tourron 68

Les alarmes (Trap) Type de trap generic

0 coldstart

1 warmstart

2 linkdown

3 linkup

4 authenticationFailure

5 egpneigborLoss

6 entreprisSpecifique

Trap specific seront définies selon matériel (température, état des ventilateurs, …)

Ph. Tourron 69

La syntaxe ASN.1 permet de décrire les objets. Il faut ensuite régler le transfert de ces objets entre machines (quelque soit leur architecture)

Le codageBER(Basic Encoding Rules)

règles de codages définies pour ASN1: Elles définissent le codage qui est appliqué pour coder les informations dans le paquet SNMP

Tout type ASN.1 est codé en

Type (classe : 2 bit, forme : 1 bit, identifieur : 5 bit)

Longueur

valeur

Fonction de transfert (codage)

Ph. Tourron 70

Lecture d ’un fichier de description iso(1).org(3).dod(6).internet(1).

mgmt(2).mib(1).

system(1)

sysDescr(1)

sysObjectID(2)

sysUpTime(3)….

interface(2)

ifNumber(1)

ifTable(2)

ifEntry(1)

ifIndex(1)

ifDescr(2)….

at(3)...

ip(4)...

icmp(5)...

tcp(6)...

private(4).entreprise(1) ….

hp(11)

Ph. Tourron 71

Sous-arbre MIB II (sous mgmt.) Comporte 171 objets

System

Interfaces (les interfaces réseaux)

At (quiv table arp)

Ip

Icmp (26 compteurs stat sur les types de paquets icmp)

Tcp (connexions en cours et param)

Udp

Egp (info sur les échanges d’info de routage)

Transmission (+) (type et support de trans)

Snmp (+) (répartition des échanges snmp)

Ph. Tourron 72

Lecture d ’une variable depuis combien de temps « cette » machine est elle sous

tension : variable sysUptime

oid:1.3.6.1.2.1.1.3.0

Lecture d ’une table dans une table les éléments sont indexés par le contenu des

variable qui servent d ’index, on ne connais donc pas l ’oid

à l ’avance: en théorie, on lit la table case après case avec

getnext, on découvre de la sorte les index qui permettent

ensuite, un accès plus direct (mais attention : évolution

dans le temps).

Attention à l ’ordre lexicographique sur les OID numériques

Ph. Tourron 73

Exemple de table Exemple de table ifTable (1.3.6.1.2.1.2.2),

chaque ligne est une ifEntry(1)

ifIndex(1) ifDescr(2) ifType(3) ….

1 ni0 1 ….

2 ni1 1 ….

3 lo0 24 ….

4 lan0 6 ….

L ’oid de l ’élément « lan0 » est :

1.3.6.1.2.1.2.2.1.2.4

Ph. Tourron 74

La sonde Rmon (remote monitoring) est un outil de gestion pour collecter des données dans un segment de réseau (Rmon est une norme de l’IETF)

Rmon est une extension de mgmt en .16 elle est liée au type de réseau analysé (ethernet, token ring)

Groupe host (table par adr mac avec tte stat de trafic)

Groupe hostTopN (pour étude de trafic classement)

…

2 groupes seront très utiles pour la définition de trap : Alarm .3(définition d’une alarme sur compteur MIBII et RMON) et event .9 (type d’action associé au déclenchement de l’alarme)

2 ensembles de groupes Rmon1 (niveau 1 et 2)et Rmon2 (niveau 3 à 7 du modèle OSI)

RMON

Ph. Tourron 75

Nouveautés de SNMPv3

Sécurité

Authentification (pour l’ensemble du message)

et cryptage (pour context et PDU)

Autorisation et contrôle d’accès

Administration

Nommage des entités

Gestion de la comptabilité

Destinations des notifications

Configuration à distance

Ph. Tourron 76

Les Outils

Plate-formes de management : HPOV

Epicenter, Optivity NMS (nortel),

CiscoWorks, Solstice (sun)

Des outils moins complets parfois gratuits :

snmpc, getif, netsnmp

Ph. Tourron 77

Exemple HPOV

Ph. Tourron 78

Administrer un réseau

Outil de management (HPOV/Controlpoint)

Ph. Tourron 79

Administrer un réseau

Créer des requêtes

Ph. Tourron 80

Administrer un réseau

Créer des alertes

Ph. Tourron 81

Administrer un réseau Visualiser

l’état du

réseau

Ph. Tourron 82

Administrer un réseau Modifier

l’état des EA (changer l’affectation d’un port à un réseau)

Ph. Tourron 83

Epicenter (extreme networks)

Ph. Tourron 84

Snmpc

Ph. Tourron 85

Getif

Ph. Tourron 86

Compléments

Ph. Tourron 87

Agent mandataire /Proxy

Cas où un nœud n’est pas capable

d’exécuter un agent

Agent mandataire (proxy agent):

Situé sur un autre nœud

Communique avec l’entité à administrer dans

un protocole non standard

Communique avec la station d’administration

en utilisant SNMP

Ph. Tourron 88

Format des PDU (1)

Get, Get-next, Inform, Response, Set et

Trap:

PDU

Type

Request

ID

Error

status

Error index

Variable bindings

PDU Type: Identification du message

Request ID: Correspondance requête/réponse

Error status: Type d’erreur (réponse)

Error index: Correspondance erreur/variable (réponse)

Variable bindings: Correspondance variable/valeur

Ph. Tourron 89

Format des PDU (2)

Get-bulk:

PDU

Type

Request

ID

Non-

repeaters

Max-

repetitions

Variable

bindings

PDU Type, Request ID et Variable bindings: Mêmes fonctions

Non-repeaters: Nombre de variables demandées au travers de

Variable bindings devant être retournées sans

répétition

Max-repetitions: Nombre de répétitions des variables restantes dans

Variable bindings

Ph. Tourron 90

Requête:

Réponse:

Get-bulk Request ID 3 4 A, B, C, D, E

Response Request ID 0 0 A, B, C, D0, D1, D2, D3, E0, E1, E2, E3

Requête Get-bulk

Ph. Tourron 91

Format des messages (1)

Non sécurisé

Authentifié mais non privé

Privé et authentifié

Destination Unused Destination Source Context PDU

Destination

Digest

Destination

timestamp

Source

timestamp

Destination

Source

Context

PDU

Destination

Digest

Destination

timestamp

Source

timestamp

Destination

Source

Context

PDU

Crypté

Ph. Tourron 92

Exemples de codage ASN.1

Ph. Tourron 93

Activation du protocole SNMP sur le routeur CISCO :

nom>enable

Password: cisco

nom#conf t

Enter configuration commands, one per line. End with CNTL/Z.

nom(config)#snmp-server enable traps snmp

nom(config)#snmp-server community public RO

nom(config)#end

Ph. Tourron 94

Dans la conf

snmp-server community public RO

snmp-server enable traps snmp authentication

linkdown linkup coldstart warmstart

snmp-server host 192.168.1.201 version

snmp

Ph. Tourron 95

Exemples de configuration snmp V3

extreme networks

Ph. Tourron 96

SNMP V3 le paramètrage

# SNMPV3

enable snmp access ## active toutes les versions de snmp

disable snmp access snmp-v1v2c ### Pour supprimer snmp v1/v2

configure snmpv3 add user admin authentication md5 hex ae:xxxxxxxxxxxxxxxxxxxxxxxxd6 privacy hex ae:xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxd6

Yes

configure snmpv3 add user initial authentication md5 hex a8:xxxxxxxxxxxxxxxxxxxxxxxxxx:5c

Yes

configure snmpv3 add user initialmd5 authentication md5 hex a8:xxxxxxxxxxxxxxxxxxxxxxxxxxx9:5c

Yes

configure snmpv3 add user initialmd5Priv authentication md5 hex a8:4xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxprivacy hex a8:xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx5c

Yes

configure snmpv3 add user initialsha authentication sha hex a5:69:xxxxxxxxxxxxxxx9:e9:df

Yes

configure snmpv3 add user initialshaPriv authentication sha hex a5:xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx6:5e:d9:e9:df privacy hex

a5:6xxxxxxxxxxxxxxxxxxxxxxxxx:df

Yes

Ph. Tourron 97

Les niveaux de gestion (sécurité) SNMPv3 supporte 3 modèles de sécurité :

● SNMPv1—aucune securité

● SNMPv2c— sécurité par communauté

● SNMPv3— sécurité USM

Les 3 niveaux de sécurité supportés par USM sont :

● noAuthnoPriv— pas d’authentication, pas de privacy. C’est le cas sur les agents SNMPv1/v2c.

● AuthnoPriv— authentication, pas de privacy. Contrôle d’authentification.

● AuthPriv—Authentication, privacy. Le plus haut niveau de sécurité en V3 : Contrôle d’authentification et encryption des échanges.

Ph. Tourron 98

Les comptes Par défaut, 6 comptes sont créés, et non-supprimables :

admin, initial, initialmd5, initialsha, initialmd5Priv, initialshaPriv

Par défaut, 4 groupes sont créés : v1v2c_ro (pour accès ro en smnmpv2), v1v2c_rw (pour accès rw en snmpv2), admin (pour les droits d’admin), initial (pour les droits de lecture)

-pour l’accès RW : nous utilisons le user admin avec un mot de passe d’authentication et un mot de passe de privacy

-pour l’accès RO : nous utilisons le user initialmd5Priv avec un mot de passe d’authentication et un mot de passe de privacy

- on modifie le mot de passe des 4 autres comptes snmp pour qu’il soit différents du standard

On peut restreindre chaque utilisateur à accéder à une partie seulement de la MIB, avec un masque : exemple 1.3.6.1.2.1.1/1.1.1.1.1.1.1.0

Ne pas oublier d’enregistrer la configuration en mémoire (Avec save conf).

Ph. Tourron 99

Références Ouvrages:

Pratique de la gestion de réseau (Agoulmine, Cherkaoui) Eyrolles

Essential SNMP(Douglad R. Mauro & Kevin J. Schmidt) O’Reilly

RFC: http://www.rfc-editor.org

RFC 1095 : CMOT

RFC 1213 : MIB-II

RFC 1212 : MIB

RFC 1189 : CMOT AND CMIP

RFC 1155,1157 : SNMPv1

RFC 1905 : SNMPv2

RFC 2570 : SNMPv3