Administrer Un Reseau Snmp 2011
date post
18-Jul-2016Category
Documents
view
70download
3
Embed Size (px)
description
SnMP
Transcript of Administrer Un Reseau Snmp 2011
Ph. Tourron 1
Administration de rseau avec SNMP (Licence Rseau)
Actions de gestion
Objectifs
Pourquoi ?
Modlisation ISO
Protocoles dadministration
Positionnement de snmp
Fonctionnement / principe
Modlisation/ description donnes SMI, ASN1
MIB
Les changes snmp
RMON
Les outils
Exemple de plateformes
Epicenter (extreme Networks, HPov, )
PLAN
Ph. Tourron 2
Actions de gestion
Au-del du rseau, toutes les ressources
informatiques (du cble aux applications
avec tous les objets intelligents
communicants : camra, alarmes, onduleur,
serveur, assistant personnels, tlphones,
) ont un tat et une vie qui ont une
influence sur leur environnement et
peuvent tre pilots de manire organise
Ph. Tourron 3
Actions de gestion Ainsi grer ces ressources et les rseaux qui les
interconnectent va conduire oprer des actions :
Sur le systmes dinformation (quels services aux utilisateurs avec quelle qualit de service)
Sur la scurit (avec quelle qualit de service)
Sur lexploitation (pour exploiter : quelles alarmes, quelles actions)
Sur la planification (quelles volutions : statistiques dutilisation de pb, )
Ph. Tourron 4
Administrer un rseau : Objectifs
Objectifs :
Configurer
Maintenir en bon tat de
fonctionnement
Analyser
Prvoir les volutions
Ph. Tourron 5
Pourquoi administrer ? Passage dune informatique centralise une
informatique rpartie, architectures client-serveur do
Les rseaux informatiques prennent de lampleur et de la criticit (lan, man, wan et les mmes en version Wifi)
Le nombre de fabricants augmente
Le type de matriel fournit se diversifie et se complexifie
Une exigence de temps de rponse accrue jusqu lutilisateur
Une utilisation par tous les acteurs internes et externe lentreprise (de la cration de linformation jusquaux prises de dcisions): augmentation de la densit : utilisateur/service
Ph. Tourron 6
Pourquoi administrer ? Une importance stratgique
financire (commandes en ligne)
de scurit (transferts bancaires, donnes clients)
de service (distributeurs de billets)
de comptitivit (gestion de stocks)
Des obligations de service/rsultat continuit de service
qualit de service
adaptation la demande
matrise des cots
Ph. Tourron 7
Pourquoi administrer ?
Mais aussi :
Raisons conomiques
cot global excessif (> 1% de CA)
croissance du budget rseau (20% par an)
tarification difficile matriser
(multiplicit des services et volution)
Ph. Tourron 8
Modlisation OSI
Ph. Tourron 9
Architecture OSI
dadministration rseaux
2 types dapplication
managers sur les systmes d administration
agents sur les systmes administrs
Dialogue manager-agent utilise un
ensemble de protocoles
Ph. Tourron 10
Architecture OSI
dadministration rseaux (2) Un agent contrle des managed objects
Un modem
Une table de routage IP
Une connexion TCP
Le manager
Envoie des ordres aux agents
Reoit des informations des agents (lit une
variable)
Fixe des valeurs (crit une variable)
Ph. Tourron 12
Modle dadministration
Ladministration peut tre vue au travers de
3 modles
Modle organisationnel
Modle fonctionnel
Modle dinformation
Ph. Tourron 13
Modle organisationnel
Notion de domaine dadministration
Utilit
Mise lchelle
Scurit
Autonomie d'administration
Ph. Tourron 14
Modle organisationnel (2)
Rpartition des agents/managers
Un domaine peut comporter plusieurs
agents/managers
1 agent/manager peut tre partag entre
plusieurs domaines
Systme dadministration coopratif et
distribu
Ph. Tourron 15
Modle fonctionnel
5 Specific Management Functionnal Areas (SMFA) Domaines ou aires fonctionnelles
Gestion des incidents (erreurs, anomalies, fautes)
Dtecter, isoler, corriger les erreurs du rseau
Gestion de la configuration
Configuration distante d'lments du rseau
Gestion des performances
Evaluation des performances pour qualit de service
Ph. Tourron 16
Modle fonctionnel (2)
Gestion comptable (de comptes utilisateurs)
Faire payer lutilisation du rseau en fonction
de son utilisation
Limiter lutilisation des ressources
Gestion de la scurit
Contrle daccs
Authentification
Cryptage
Ph. Tourron 17
Modle dinformation
Structure of Management Information
(SMI)
Ensemble de conventions pour la description et
lidentification des donnes
Permet nimporte quel type de protocole de
manipuler les donnes (CMIP ou SNMP)
Ph. Tourron 18
Modle dinformation (2)
Management Information Base (MIB)
Dpt conceptuel dinformation de gestion
Ensemble des informations ncessaires
l'administration
Ne se proccupe pas de laspect stockage des
informations
Ph. Tourron 19
Dtail du modle OSI
dadministration de rseau
Ph. Tourron 20
Gestion de la configuration
Gestion de la base d'information rseau (MIB)
Inventaire des lments de rseau
Gestion des noms des lments grs
Ajout, retrait, modification d'lments de rseau
Initialisation et modification de paramtres, d'tats
Modification, cration, suppression des relations entre lments
grs
Visualisation du rseau
Visualisation globale
Zooms gographiques
Visualisation de sous-rseaux
Affichage la demande des caractristiques des lments grs
Ph. Tourron 21
Gestion de la configuration (suite)
Reconfiguration
Activation des configurations de secours
Raffectation des ressources
Tlchargement de logiciels
Edition des changements d'tat oprationnels
Historiques des reconfigurations
Elaboration des annuaires
Annuaire des services offerts
Annuaire des utilisateurs
Annuaire des fournisseurs
Ph. Tourron 22
Gestion des anomalies
Dtection des anomalies
Gnration de rapports d'incidents de fonctionnement
Gestion de compteurs et de seuils d'alarmes
Filtrage d'vnements (limination des informations redondantes)
Affichage des dysfonctionnements
Localisation des anomalies
Analyse des rapports d'alarmes
Lancement de mesures et de tests ==> Systmes d'aide au diagnostic
Initialisation d'actions correctives
Raffectation de ressources
Reroutages ==> Systmes d'aide la
Limitations du trafic dcision
Appel la maintenance }
Ph. Tourron 23
Gestion des anomalies (suite)
Remise en service des quipements
Lancement de tests de fonctionnement
Gestion de systmes de backup
Enregistrement d'historiques d'incidents
("trouble tickets")
Etablissement de statistiques
Probabilits de pannes
Dure des incidents
Dures de rparation
Interface avec les usagers
signalisation d'incidents par les usagers
informations aux usagers de problmes rseau
Ph. Tourron 24
Gestion comptable
Gestion des mesures de l'utilisation des ressources
Enregistrement
Cration et gestion des fichiers d'enregistrement
Contrle des quotas par utilisateur
mise jour de la consommation courante
Vrification des autorisations de consommation
Suivi et contrle des dpenses
Stockage et mise jour des tarifs oprateurs
Gestion des tickets de taxation
Evaluation temps rel de la consommation courante
Contrle des factures
Suivi des cots de matriels
(investissements, amortissements, maintenances)
Suivi du cot d'exploitation
Ph. Tourron 25
Gestion comptable (suite)
Gestion financire
Ventilation des cots (par service, par utilisateur, par application)
Analyse et prvision des dpenses
Etudes de scnarios pour minimiser les cots
Facturation interne
Gestion des clients
Gestion des tarifs
Gnration de tickets de taxation et de factures
Contrle de la facturation
Stockage des historiques
Ph. Tourron 26
Gestion de la scurit
Scurit de l'administration de rseaux
Gestion des droits d'accs aux postes de travail et des "vues"
Autorisation d'accs aux informations d'administration
Scurit d'accs dans le rseau gr
Fonctions lies aux mcanismes mettre en oeuvre
dfinition des conditions d'utilisation, activation/dsactivation
paramtrage, listes d'autorisation (machines, services, ...)
Trace des accs (identits, horaires, destinations)
Dtection des tentatives d'accs frauduleuses
Scurit de l'information
Gestion des mcanismes de protection
Gestion des clefs d'encryptage et de dcryptage
Dtection des incidents
Dtection des tentatives de fraude
Ph. Tourron 27
Gestion des performances (Temps rel)
Enregistrement des mesures de performances
Mise jour des critres et des conditions de mesure
Gestion de la collecte d'information, filtrage
Etablissement de statistiques
Lancement de mesures la demande
Gestion des fichiers de collecte
Surveillance de l'activit du rseau
Visualisation de l'utilisation des ressources
Signalement des dpassements de seuils
Analyse des rsultats de performances
Fonctionnement du rseau
(rpartition de la charge, dbits, temps de rponse, disponibilit)
Analyse des causes probables de dpassement de seuils
corrlation avec les fautes d'quipements systme
comparaison, corrlations d'indicateurs d'aide au diagnostic }
Ph. Tourron 28
Gestion des performances (Temps rel suite)
Actions correctives et prventives
Raffectation des ressources
modification des paramtres de configuration
redistribution du trafic
Limitation du trafic (filtrage, priorits)
Choix du mode d'action
==> systme d'aide la dcision
Suivi de l'impact des actions
Stockage des historiques
Analyse de l'efficacit des actions, dfinition des rgles
Ph. Tourron 29
Gestion des performances (Temps diffr) Analyse des informations
Etablissement de statistiques et d'historiques
Etablissement d'indicateurs de qualit de service
Edition de rapports (priodiques ou la demande)
Edition de tableaux de bord
Analyse prvisionnelle
Constitution de matrices de traffic
Evaluation des performances
dtection des risques de saturation , simulation de scnarios
==> amlioration de la QS
quilibrage de l'utilisation des ressources
Planification et dimensionnement du rseau
Suivi de la gestion corrective
Ph. Tourron 30
Autres domaines de gestion connexes
Planification des actions et volutions
Gestion de parcs (inventaires, catalogue, installations, ...)
Gestion du cblage
Gestion des licences
Gestion systme (utilisateurs, disques, versions, ...)
Ph. Tourron 31
Les protocoles dadministration CMIP
Common Management Information Protocol
Fonctionne avec la pile de communication OSI
SNMP Simple Network Management Protocol
Fonctionne sous TCP/IP
Aujourdhui snmp reste le standard (le plus prsent sur les quipements)
Des travaux de lUIT-T pour une gestion intgre de rseaux et de services, vision telecom (TMN Telecommunication Management Network) pour les rseaux oprateurs
Ph. Tourron 32
Positionnement de snmp
Utilise en partie la modlisation OSI (dfinition
SMI des objets de gestion contenu dans des MIB)
Propose une gestion des objets, un protocole de
transfert des informations (une structure de trame,
change en datagram UDP sur les ports 161 pour
les messages et 162 pour les trap)
Lchange dinformation est de type caractre ou
compteur que lon regroupe sous le terme
dobjet-snmp
Ph. Tourron 33
Positionnement de snmp
Snmp travaille au niveau application du
modle OSI
Snmp gre des objets (RFC1157), SMI
dfinit des objets grer (RFC 1155), MIB
contient des objets de gestion (RCF 1213)
Ph. Tourron 34
Fonctionnement / Principes
Ph. Tourron 35
ASN1:
Abstract Syntax Notation 1: un langage formel de
description.
le SMI :
Structure of Management Information). Le RFC 1155
dfinit partir dune partie de ASN-1, des structures de
bases, adaptes pour tre utilises dans des descriptions
de MIB.
Les MIBs :
Les objets sont accds au travers d une collection
virtuelle d information appele Management
Information Database. Les objets y sont dfinis en
utilisant ASN1 et le SMI
Quelques Dfinitions
Ph. Tourron 36
Les RFC associes
SMI rfc 1155
MIB1 rfc 1156
MIB2 rfc 1213
SNMP rfc 1157 (CMOT rfc 1095)
Concise MIB definition
rfc 1212
Ph. Tourron 37
Administrer un rseau
Comment ?
Ecouter les organes de rseau (nuds ou
Elments Actifs)
Modifier la configuration des EA
tre alert en cas de problme
Et cela distance
Ph. Tourron 38
Administrer un rseau
Moyens : Il faut un moyen de communication et daction avec les
lments de rseaux remplissant les fonctions suivantes :
Mmoriser des informations dans les EA
Les interroger
Les acheminer sur le rseau vers un gestionnaire
Les modifier
Ph. Tourron 39
Administrer un rseau
Contraintes :
La gestion doit fonctionner mme quand le
rseau va mal
Les EA ont des capacits limites
Ph. Tourron 40
Administrer un rseau
Moyens : SNMP (Simple Network Management Protocol)
Un modle dorganisation des donnes (MIB :
Management Information Base): dcrit les variables que
lon va grer dans les EA
Un protocole de communication entre lagent
SNMP (le gr) et la station de management (le
grant) aussi appel NMS (Network Management Station)
Ph. Tourron 41
Administrer un rseau
Echanges en mode requte/rponse
Ph. Tourron 42
Administrer un rseau
fonctionnement : les donnes
Chaque EA gre des variables dcrivant
son tat (tat dun port, nb de collisions sur
un port, )
Une variable est un objet rfrenc dans
une MIB
Ph. Tourron 43
Administrer un rseau Exemple de donnes (extrait de MIB)
Ph. Tourron 44
Administrer un rseau
Dnomination de variables
Les donnes sont organises selon un
modle hirarchique (arbre), chaque nud
un nom et un label numrique
La dsignation dune variable se fait en
suivant larbre depuis la racine jusquau
nud
Ph. Tourron 45
Informations de Gestion
La description des informations de gestion
recouvre 2 aspects
Structure of Management Information (SMI)
Structure logique des informations de gestion
Identification et Description de ces informations
Management Information Base (MIB)
Objets rellement grs
Ph. Tourron 46
Modlisation SMI, ASN1
Ph. Tourron 47
SMI
Utilise un sous-ensemble de ASN.1
Objets administrables
Hirarchie des informations de gestion
Registration Hierarchy
Containment Hierarchy
Inheritance Hierarchy
Ph. Tourron 48
Objets administrables
Repose sur les concepts objet
Une entit administrable du rseau est vue
comme un objet
On a des classes qui correspondent un type
dentit
On a des instances qui correspondent aux
entits vivant sur le rseau
la classe transport connection est instancie
chaque nouvelle connexion
Ph. Tourron 49
Les Hirarchies
Registration Hierarchy
Utilise larbre de nommage de ASN.1
Containment Hierarchy
une classe peut en contenir dautres
Identification unique
Relation de persistance
Inheritance Hierarchy
Lie la notion dhritage
Ph. Tourron 50
MIB
Dpt conceptuel dinformation de gestion
Ne se proccupe pas du stockage physique
Ensemble des instances un instant donn
RFC 1156
Dfinit 8 groupes dobjets de base
RFC 1213
MIB-II
Ph. Tourron 51
Exemple de MIB
Ph. Tourron 52
Exemple de MIB
Ph. Tourron 53
Exemple MIB
MIB
1.3.6.1.2.1
TCP
1.3.6.1.2.1.6
tcpConnTable
1.3.6.1.2.1.6.13
tcpConnEntry
1.3.6.1.2.1.6.13.1
Ph. Tourron 54
Chaque objet dispose selon SMI: d un nom
d un identifieur unique (OBJECT IDENTIFIEUR)
d une syntaxe
d un codage
La syntaxe : C est le type de l objet Les types primitifs: INTEGER (sans restriction, entiers
numr ou intervalle) , OCTET STRING ( chane de mots
de 8 bits), OBJECT IDENTIFIEUR, et NULL
pour les entiers numrs la valeur 0 n est pas autorise
Les constructeurs (type constructor): listes: SEQUENCE {, . . . , }ou chaque type
est un type simple (pas de clause DEFAULT ou OPTIONAL)
tables: SEQUENCE OF
Ph. Tourron 55
Quelques types prdfinis (:drivs ou applicatifs RFC 1155) DisplayString chane de mot de 8 bits (longueur maxi 255) en
ASCII NVT(rfc854)
IpAddress chaine de 4 octets
PhysAddress chaine d octets
Counter jusqu 2^32 - 1; croissant et cyclique
Gauge jusqu 2^32 - 1; non monotone et non cyclique
TimeTicks temps coul en 100mes de secondes
on peut ensuite dfinir des types en fonction des besoins
Description d un modle de donne: On ne dcrit pas en ASN1 les traitements qui sont fait dessus.
On ne dcrit le comportement que par le commentaire qu on met dans le texte ASN1
Ph. Tourron 56
L ensemble des textes ASN.1 (standards ou privs) dfinissent un arbre.
L identification d un rpertoire ou d une variable dans cet arbre est faite par une suite de nombres:
c est l OID (Object Identifieur)
La lecture du fichier ASN1 permet de dfinir pour une variable, son OID et ses autres caractristiques.
L OID dispose aussi d une forme alphabtique, par exemple:
iso(1).org(3).dod(6).internet(1).private(4).entreprise(1)
Ph. Tourron 57
Exemples de
dfinition des objets
Dfinition de variable:
compteur INTEGER ::= 100
Dfinition dobjet:
internet OBJECT IDENTIFIER
::= { iso org(3) dod(6) 1 }
Ph. Tourron 58
Exemples de dfinition de type
Dfinition de sous-types:
Status ::= INTEGER { haut(1), bas(2) }
TaillePaquet ::= INTEGER(0..1023)
Dfinition dun nouveau type:
AtEntry ::= SEQUENCE {
atIndex INTEGER,
atPhysAddress OCTET STRING,
atNetAddress NetworkAddress
}
Ph. Tourron 59
Les changes snmp
En v1 peu de scurit (pass en clair)
Notion de communaut read et write par
defaut public
Importance dune architecture rflchie
pour adressage, acl, station mgmt,
Ph. Tourron 60
Administrer un rseau
fonctionnement : les actions de base
La station de management demande une
variable un agent (GET)
La station de management modifie une
variable sur un agent (SET)
Un agent envoie une alarme (TRAP)
Ph. Tourron 61
Oprations SNMP : Le protocole SNMP
v1 dfinit 5 oprations entre le manager et
lagent
Get-request
Get-next-request
Set-request
Get-response
Trap
Manager Agent
UDP 162
UDP 161
UDP 161
UDP 161
Get-response
Get-response
Ph. Tourron 62
En-tte IP En-tte UDP
Version(Vsnmp-1) Communaut
PDU type (0 3)
En-tte commun
Ident de
requette
Status d erreur
(0-5) . . . . . Index
d erreur nom valeur nom valeur
En-tte get/set variables get/set
Format des paquets de requte/rponse
Ph. Tourron 63
Exemple dchanges SNMP: len: 38 version: int(1) 0x00 comm: string(6)
public type: GET-NEXT
req-id: int(2) 0x5e31 error: int(1) 0x00 error-index: int(1) 0x00
var: obj(8) 1 3 6 1 2 1 2 1 val: empty(0)
Rponse transmise par l'agent
SNMP: len: 40 version: int(1) 0x00 comm: string(6) public type: RESPONSE
req-id: int(2) 0x5e31 error: int(1) 0x00 error-index: int(1) 0x00
var: obj(7) 1 3 6 1 2 1 2 1 0 val: 0x06
Ph. Tourron 64
SNMP: len: 178 version: int(1) 0x00 comm: string(6) public type: GET-NEXT
req-id: int(2) 0x00a2a2 error: int(1) 0x00 error-index: int(1) 0x00
var: obj(9) 1 3 6 1 2 1 2 2 1 1 val: empty(0)
var: obj(9) 1 3 6 1 2 1 2 2 1 2 val: empty(0)
var: obj(9) 1 3 6 1 2 1 2 2 1 3 val: empty(0)
var: obj(9) 1 3 6 1 2 1 2 2 1 4 val: empty(0)
var: obj(9) 1 3 6 1 2 1 2 2 1 5 val: empty(0)
var: obj(9) 1 3 6 1 2 1 2 2 1 6 val: empty(0)
var: obj(9) 1 3 6 1 2 1 2 2 1 7 val: empty(0)
var: obj(9) 1 3 6 1 2 1 2 2 1 8 val: empty(0)
var: obj(9) 1 3 6 1 2 1 2 2 1 9 val: empty(0)
var: obj(9) 1 3 6 1 2 1 2 2 1 10 val: empty(0)
Rponse
SNMP: len: 219 version: int(1) 0x00 comm: string(6) public type: RESPONSE
req-id: int(2) 0x00a2a2 error: int(1) 0x00 error-index: int(1) 0x00
var: obj(10) 1 3 6 1 2 1 2 2 1 1 1 val: int(1) 0x01
var: obj(10) 1 3 6 1 2 1 2 2 1 2 1 val: string(9) Ethernet0
var: obj(10) 1 3 6 1 2 1 2 2 1 3 1 val: int(1) 0x06
var: obj(10) 1 3 6 1 2 1 2 2 1 4 1 val: int(2) 0x05dc
var: obj(10) 1 3 6 1 2 1 2 2 1 5 1 val: gauge(4) 0x00989680
var: obj(10) 1 3 6 1 2 1 2 2 1 6 1 val: string(6) ******
var: obj(10) 1 3 6 1 2 1 2 2 1 7 1 val: int(1) 0x01
var: obj(10) 1 3 6 1 2 1 2 2 1 8 1 val: int(1) 0x01
var: obj(10) 1 3 6 1 2 1 2 2 1 9 1 val: time(2) 0x0420
var: obj(10) 1 3 6 1 2 1 2 2 1 10 1 val: counter(4) 0x6b055aa0
Ph. Tourron 65
En-tte IP En-tte UDP
Version(Vsnmp-1) Communaut
PDU type (4)
En-tte commun
Entreprise Adresse
Agent . . . . . Type de
trap (0-7)
Code
spcifique
Estampille
horaire nom valeur
En-tte trap variables
Format des paquets trap
Ph. Tourron 66
Les formats requte et rponse sont identiques
type de pdu (Paket Data Unit):
0 get-request
1 get-next-request
2 set-request
3 get-response
4 trap
Code d erreur 0 noError
1 tooBig
2 noSuchName
3 badValue
4 readOnly
5 genErr
Quelques codifications
Ph. Tourron 67
Oprations supplmentaires en V2 et
V3
Getbulk (grde table)
Notification
Inform (desc mib locale)
Report
Ph. Tourron 68
Les alarmes (Trap) Type de trap generic
0 coldstart
1 warmstart
2 linkdown
3 linkup
4 authenticationFailure
5 egpneigborLoss
6 entreprisSpecifique
Trap specific seront dfinies selon matriel (temprature, tat des ventilateurs, )
Ph. Tourron 69
La syntaxe ASN.1 permet de dcrire les objets. Il faut ensuite rgler le transfert de ces objets entre machines (quelque soit leur architecture)
Le codageBER(Basic Encoding Rules)
rgles de codages dfinies pour ASN1: Elles dfinissent le codage qui est appliqu pour coder les informations dans le paquet SNMP
Tout type ASN.1 est cod en
Type (classe : 2 bit, forme : 1 bit, identifieur : 5 bit)
Longueur
valeur
Fonction de transfert (codage)
Ph. Tourron 70
Lecture d un fichier de description iso(1).org(3).dod(6).internet(1).
mgmt(2).mib(1).
system(1)
sysDescr(1)
sysObjectID(2)
sysUpTime(3).
interface(2)
ifNumber(1)
ifTable(2)
ifEntry(1)
ifIndex(1)
ifDescr(2).
at(3)...
ip(4)...
icmp(5)...
tcp(6)...
private(4).entreprise(1) .
hp(11)
Ph. Tourron 71
Sous-arbre MIB II (sous mgmt.) Comporte 171 objets
System
Interfaces (les interfaces rseaux)
At (quiv table arp)
Ip
Icmp (26 compteurs stat sur les types de paquets icmp)
Tcp (connexions en cours et param)
Udp
Egp (info sur les changes dinfo de routage)
Transmission (+) (type et support de trans)
Snmp (+) (rpartition des changes snmp)
Ph. Tourron 72
Lecture d une variable depuis combien de temps cette machine est elle sous
tension : variable sysUptime
oid:1.3.6.1.2.1.1.3.0
Lecture d une table dans une table les lments sont indexs par le contenu des
variable qui servent d index, on ne connais donc pas l oid
l avance: en thorie, on lit la table case aprs case avec
getnext, on dcouvre de la sorte les index qui permettent
ensuite, un accs plus direct (mais attention : volution
dans le temps).
Attention l ordre lexicographique sur les OID numriques
Ph. Tourron 73
Exemple de table Exemple de table ifTable (1.3.6.1.2.1.2.2),
chaque ligne est une ifEntry(1)
ifIndex(1) ifDescr(2) ifType(3) .
1 ni0 1 .
2 ni1 1 .
3 lo0 24 .
4 lan0 6 .
L oid de l lment lan0 est :
1.3.6.1.2.1.2.2.1.2.4
Ph. Tourron 74
La sonde Rmon (remote monitoring) est un outil de gestion pour collecter des donnes dans un segment de rseau (Rmon est une norme de lIETF)
Rmon est une extension de mgmt en .16 elle est lie au type de rseau analys (ethernet, token ring)
Groupe host (table par adr mac avec tte stat de trafic)
Groupe hostTopN (pour tude de trafic classement)
2 groupes seront trs utiles pour la dfinition de trap : Alarm .3(dfinition dune alarme sur compteur MIBII et RMON) et event .9 (type daction associ au dclenchement de lalarme)
2 ensembles de groupes Rmon1 (niveau 1 et 2)et Rmon2 (niveau 3 7 du modle OSI)
RMON
Ph. Tourron 75
Nouveauts de SNMPv3
Scurit
Authentification (pour lensemble du message)
et cryptage (pour context et PDU)
Autorisation et contrle daccs
Administration
Nommage des entits
Gestion de la comptabilit
Destinations des notifications
Configuration distance
Ph. Tourron 76
Les Outils
Plate-formes de management : HPOV
Epicenter, Optivity NMS (nortel),
CiscoWorks, Solstice (sun)
Des outils moins complets parfois gratuits :
snmpc, getif, netsnmp
Ph. Tourron 77
Exemple HPOV
Ph. Tourron 78
Administrer un rseau
Outil de management (HPOV/Controlpoint)
Ph. Tourron 79
Administrer un rseau
Crer des requtes
Ph. Tourron 80
Administrer un rseau
Crer des alertes
Ph. Tourron 81
Administrer un rseau Visualiser
ltat du
rseau
Ph. Tourron 82
Administrer un rseau Modifier
ltat des EA (changer laffectation dun port un rseau)
Ph. Tourron 83
Epicenter (extreme networks)
Ph. Tourron 84
Snmpc
Ph. Tourron 85
Getif
Ph. Tourron 86
Complments
Ph. Tourron 87
Agent mandataire /Proxy
Cas o un nud nest pas capable
dexcuter un agent
Agent mandataire (proxy agent):
Situ sur un autre nud
Communique avec lentit administrer dans
un protocole non standard
Communique avec la station dadministration
en utilisant SNMP
Ph. Tourron 88
Format des PDU (1)
Get, Get-next, Inform, Response, Set et
Trap:
PDU
Type
Request
ID
Error
status
Error index
Variable bindings
PDU Type: Identification du message
Request ID: Correspondance requte/rponse
Error status: Type derreur (rponse)
Error index: Correspondance erreur/variable (rponse)
Variable bindings: Correspondance variable/valeur
Ph. Tourron 89
Format des PDU (2)
Get-bulk:
PDU
Type
Request
ID
Non-
repeaters
Max-
repetitions
Variable
bindings
PDU Type, Request ID et Variable bindings: Mmes fonctions
Non-repeaters: Nombre de variables demandes au travers de
Variable bindings devant tre retournes sans
rptition
Max-repetitions: Nombre de rptitions des variables restantes dans
Variable bindings
Ph. Tourron 90
Requte:
Rponse:
Get-bulk Request ID 3 4 A, B, C, D, E
Response Request ID 0 0 A, B, C, D0, D1, D2, D3, E0, E1, E2, E3
Requte Get-bulk
Ph. Tourron 91
Format des messages (1)
Non scuris
Authentifi mais non priv
Priv et authentifi
Destination Unused Destination Source Context PDU
Destination
Digest
Destination
timestamp
Source
timestamp
Destination
Source
Context
PDU
Destination
Digest
Destination
timestamp
Source
timestamp
Destination
Source
Context
PDU
Crypt
Ph. Tourron 92
Exemples de codage ASN.1
Ph. Tourron 93
Activation du protocole SNMP sur le routeur CISCO :
nom>enable
Password: cisco
nom#conf t
Enter configuration commands, one per line. End with CNTL/Z.
nom(config)#snmp-server enable traps snmp
nom(config)#snmp-server community public RO
nom(config)#end
Ph. Tourron 94
Dans la conf
snmp-server community public RO
snmp-server enable traps snmp authentication
linkdown linkup coldstart warmstart
snmp-server host 192.168.1.201 version
snmp
Ph. Tourron 95
Exemples de configuration snmp V3
extreme networks
Ph. Tourron 96
SNMP V3 le paramtrage
# SNMPV3 enable snmp access ## active toutes les versions de snmp
disable snmp access snmp-v1v2c ### Pour supprimer snmp v1/v2
configure snmpv3 add user admin authentication md5 hex ae:xxxxxxxxxxxxxxxxxxxxxxxxd6 privacy hex ae:xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxd6
Yes
configure snmpv3 add user initial authentication md5 hex a8:xxxxxxxxxxxxxxxxxxxxxxxxxx:5c
Yes
configure snmpv3 add user initialmd5 authentication md5 hex a8:xxxxxxxxxxxxxxxxxxxxxxxxxxx9:5c
Yes
configure snmpv3 add user initialmd5Priv authentication md5 hex a8:4xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxprivacy hex a8:xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx5c
Yes
configure snmpv3 add user initialsha authentication sha hex a5:69:xxxxxxxxxxxxxxx9:e9:df
Yes
configure snmpv3 add user initialshaPriv authentication sha hex a5:xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx6:5e:d9:e9:df privacy hex
a5:6xxxxxxxxxxxxxxxxxxxxxxxxx:df
Yes
Ph. Tourron 97
Les niveaux de gestion (scurit) SNMPv3 supporte 3 modles de scurit :
SNMPv1aucune securit
SNMPv2c scurit par communaut
SNMPv3 scurit USM
Les 3 niveaux de scurit supports par USM sont :
noAuthnoPriv pas dauthentication, pas de privacy. Cest le cas sur les agents SNMPv1/v2c.
AuthnoPriv authentication, pas de privacy. Contrle dauthentification.
AuthPrivAuthentication, privacy. Le plus haut niveau de scurit en V3 : Contrle dauthentification et encryption des changes.
Ph. Tourron 98
Les comptes Par dfaut, 6 comptes sont crs, et non-supprimables :
admin, initial, initialmd5, initialsha, initialmd5Priv, initialshaPriv
Par dfaut, 4 groupes sont crs : v1v2c_ro (pour accs ro en smnmpv2), v1v2c_rw (pour accs rw en snmpv2), admin (pour les droits dadmin), initial (pour les droits de lecture)
-pour laccs RW : nous utilisons le user admin avec un mot de passe dauthentication et un mot de passe de privacy
-pour laccs RO : nous utilisons le user initialmd5Priv avec un mot de passe dauthentication et un mot de passe de privacy
- on modifie le mot de passe des 4 autres comptes snmp pour quil soit diffrents du standard
On peut restreindre chaque utilisateur accder une partie seulement de la MIB, avec un masque : exemple 1.3.6.1.2.1.1/1.1.1.1.1.1.1.0
Ne pas oublier denregistrer la configuration en mmoire (Avec save conf).
Ph. Tourron 99
Rfrences Ouvrages:
Pratique de la gestion de rseau (Agoulmine, Cherkaoui) Eyrolles
Essential SNMP(Douglad R. Mauro & Kevin J. Schmidt) OReilly
RFC: http://www.rfc-editor.org
RFC 1095 : CMOT
RFC 1213 : MIB-II
RFC 1212 : MIB
RFC 1189 : CMOT AND CMIP
RFC 1155,1157 : SNMPv1
RFC 1905 : SNMPv2
RFC 2570 : SNMPv3
