PA159-Správa sítě
9. 11. 2007
Správa sítě (Network Management)
* Obecné principy
* Sledování (monitoring) jednotlivých prvků a případně jejich kombinací
Analýza získaných výsledků (průběžná, periodická, na vyžádání)
* Reaktivní řízení (správa)
* Proaktivní řízení (správa)
PA159 2 Podzim 2007
Počátky
* 27. 10. 1980: První skutečné zhroucení sítě
* Popsáno v RFC 789
* Včetně popisu kroků pro nápravu
* Další zkušenosti získávány na podobných případech
Např. ,,červ" z roku 1988
* Závěr: jsou nezbytné procesy a nástroje sledování a správy sítě
(anglicky Monitoring a Management)
PA159 3 Podzim 2007
Co sledovat
* Základní prvky infrastruktury
* sítová rozhraní
* aktivní i pasivní prvky (servery, směrovače, ...)
* fyzické spoje (linky)
* Provoz: detekce slabých (přetížených) míst
* Směrovací informace
* Dodržení SLA (Service Level Agreement)
* Podezřelé chování (vzory, detekce útoku)
PA159 4 Podzim 2007
ISO model správy sítě
Správa výkonu (performance management)
Správa chyb
Správa konfigurací
Správa účetnictví (bookkeeping)
Správa bezpečnosti
PA159 5 Podzim 2007
Správa výkonu
* Výkon sítě v nejširším slova smyslu
* Sleduje jak jednotlivé komponenty, tak i komplexní objekty (např.
end to end cesta)
* Základ v SNMP (Simple Network Monitoring Protocol,
RFC 2570)
PA159 6 Podzim 2007
Správa chyb
* Záznam, detekce a náprava chybových stavů
* Oproti správě výkonu spíše zaměřen na okamžité problémy
* Rovněž postaven na SN M P
PA159 7 Podzim 2007
Správa konfigurací
* Co je na sítí, resp. z čeho se sít skládá (co mám sledovat)
* Údržba konkrétních konfigurací
* Snadná distribuce změn konfigurací (konfigurace z minulého
pátku)
PA159 8 Podzim 2007
Správa účetnictví (Accounting management)
* Detekce, záznam a správa uživatelů (uživatelů monitoringu,
nikoliv obecně sítě)
* Přístup k zařízením
* Správa jednotlivých uživatelských účtů (zřízení, modifikace, ...)
* Přirozenou součástí jsou i procesy spojené se skutečným
účtováním za služby
PA159 9 Podzim 2007
Bezpečnostní správa
* Zajištění nebo odmítnutí prístupu dle definovaných vlastností
* Autorizace
* Ochrana prvků
* Distribuce klíčů
* Firewally
PA159 10 Podzim 2007
Ne-stručná definice
Správa sítě zahrnuje zavádění, integraci a koordinaci technických,
programových a lidských zdrojů, zajištujících sledování, testy,
dotazování, konfiguraci, analýzu, vyhodnocování a řízení sítě
a jejích prvků s cílem zajistit požadavky real-time, provozního
výkonu a kvality služeb za uspokojivou cenu.
PA159 11 Podzim 2007
Základní architektura
* Správce (řídící entita)
* Typicky aplikace + člověk
* Centralizovaná (interface pro správce/člověka)
* Spravované (řízené) zařízení
* Protokol správy sítě
PA159 12 Podzim 2007
Spravované zařízení
* Příklad: směrovač, hub, přepínač, modem, tiskárna
* Může být tvořeno více objekty
* Směrovač: Sítové karty
Konkrétní konfigurace směrovacího protokolu
* MIB (Management Information Base)
* Identifikace zařízení
* Informace o stavu zařízení
* Agent správy sítě (network management agent)
* Lokální proces s lokální působností (čte data, modifikuje konfiguraci, ...)
PA159 13 Podzim 2007
Protokol správy sítě
* Zajištuje komunikaci mezi správcem a spravovanými
zařízeními/objekty
* Zajištuje oboustrannou komunikaci
* Příkazy agentům
* Předávání monitorovacích dat
* Předávání událostí
PA159 14
Standardy
* OSI CMISE/CMIP (the Common Management Service
Element/Common Management Information Protocol)
* SNMP (Simple Network Management Protocol)
* Oba navrženy jako nezávislé na zařízení/výrobci
* SNMP dnes nejrozšířenější protokol správy sítě
PA159 15 Podzim 2007
SNMP
* Původně: Simple Gateway Monitoring Protocol, SGMP
(RFC 1028)
* SNMPvl v roce 1993
* aktuální SNMPv3 (1999)
PA159 16 Podzim 2007
SNMP - základy
* Definice objektů (MIB objektu)
* Příklady
* Čitač počtu datagramů
* Verze použitého směrovacího protokolu
* Stavová informace
* Společné informace sdruženy do MIB modulů
PA159 17
SNMP - Jazyk
* Jazyk pro definici dat: Structure of Management Information,
SMI
* Datové typy
* Objektový model
* Pravidla pro práci s informacemi (nezbytnými pro správu sítě)
* Specifikace MIB používá tento jazyk
PA159 18 Podzim 2007
SNMP - protokol a bezpečnost
* Vlastní monitorovací protokol (the SNMP)
* Doprava informací
* Administrace a zajištění (bezpečnost)
* Hlavní rozdíl mezi verzí 2 a 3
PA159 19 Podzim 2007
SMI
* Structure of management information
* Definice v RFC 2578, 2579, 2580
* Vychází z ASN.1 (ISO 1987, ISO X.680, 1998)
* 11 základních datových typů
* Možno konstruovat ,,tabulky" užitím konstruktoru
SEQUENCE OF
PA159 20 Podzim 2007
SMI - základní typy
Integer Counter32
Integer32 Counter64
Unsigned32 Gauge32
OCTET STRING TimeTicks (1/100s)
OBJECT IDENTIFIEROpague
IPaddress
* Octet string je max 65KB dlouhý, ASN.1 řetězec
* Opaque je neinterpretovaný objekt, pro zpětnou kompatibilitu
PA159 21 Podzim 2007
SMI - identifikace objektu
* U spravovaného objektu definuje
-Typ
* Status
* Sémantiku
* Cca 10 000 objektů popsáno v různých RFC
PA159 22 Podzim 2007
Příklad objektu
iplnDelivers OBJECT-TYPE
SYNTAX Counter32
MAX-ACCESS read-only
STATUS current
DESCRIPTION
,,The total number of input datagrams successfully delivered to IP
user-protocols (including ICMP)"
::= { ip 9 }
PA159 23 Podzim 2007
MODULE-IDENTITY
* Speciální objekt
* Sdružuje konkrétní spravované objekty
* Základní pole
- DESCRIPTION
- REVISION
- NOTIFICATION-TYPE
- MODULE-COMPLIANCE
- AGENT-CAPABILITIES
PA159 24 Podzim 2007
MIB
* Management Information Base
* Aktivita ISO (International Standards Organization)
* Syntax: A.B.C.D....
* Hierarchická struktura popisu
* 1. Nejvyšší úroveň, odpovídá ISO
* 1.2.840 USE
* 1.2.840.113556.4.2 Microsoft
* 1.3 Sítě
PA159 25 Podzim 2007
Ml B - struktura
* Hierarchie sítí:
* 1.3.1.6.1 Internet
* 1.3.1.6.1.4 private: jména registrovaných organizací (přiděluje IANA)
* 1.3.1.6.1.2 management
* 1.3.1.6.1.2.1 MIB ve verzi 2 (MIB-2)
* Prefix standardních modulů
PA159 26 Podzim 2007
MIB - standardní moduly
* RFC 2400
* Prefix vždy 1.3.1.6.1.2.1
* Příklady:
* (1.3.1.6.1.2.1.)1 system
2 interface
4 ip
7 udp
* 11 snmp
PA159 27 Podzim 2007
MlB - příklady objektů
1.3.1.6.1.2.1.1 sysDescr jména a verze OS, ...
1.3.1.6.1.2.1.2 sysObjetID ID objektu (určí výrobce)
1.3.1.6.1.2.1.3 syslIpTime doba (v 1/100 s)
1.3.1.6.1.2.1.5 sysName administrativní jméno
1.3.1.6.1.2.1.6 sysLocation Fyzické umístění
1.3.1.6.1.2.1.7 sysServices definuje služby (int32)
PA159 28 Podzim 2007
MIB - UDP objekty
* 1.3.1.6.1.2.1.7.1 udpInDatagrams
* 1.3.1.6.1.2.1.7.2 udpNoPorts počet datagramů, kterým chyběla
aplikace (nebyl aktivní port)
* 1.3.1.6.1.2.1.7.3 udplnErrors
* 1.3.1.6.1.2.1.7.4 udpOutDatagrams
PA159 29 Podzim 2007
Role protokolu SNMPv2
* Přenos MIB informací mezi řídícími agenty a řízenými objekty
* Módy
* Požadavek - odpověď
* Událost (trap)
PA159 30 Podzim 2007
Požadavek a odpoved
* Řídící entita vydá požadavek
* ten je přenesen k agentovi dotazované (řízené) entity
* Řízená entita požadavek splní a pošle odpověď
* Pošli hodnotu konkrétního objektu: odpovědí hodnota
* Nastav hodnotu: odpovědí úspěch a/nebo cílový stav
PA159 31 Podzim 2007
Směrování dat
* Zpravidla komunikuje řízená a řídící entita přímo
* agent2manager nebo manager2agent
* SNMP podporuje i postupné předávání informací
* Např. přes několik administrativních domén
* V případě přímé nedostupnosti
* Mezistupeň přes druhého managera (možné řetězení): manager2manager
PA159 32 Podzim 2007
GetRequest
GetNextRequest
GetBulkRequest
InformRequest
SetRequest
Response
SNMPv2-Trap
PA159
Typy událostí
manager2agent
manager2agent
manager2agent
manager2manager
manager2agent
manager2manager
agent2manager
33
Formát PDU
PDU = Protocol Data Unit
* Protokolem přenášená ,,skutečná" data (payload)
Typ 0-3:
Type Request Error Error Name Value Name Value
ID status index
Typ 4 (trap)
Type Enterprise Aenl[Trap Spec. Time Name Value
Add Type Code stamp
PA159 34 Podzim 2007
SNMP architektura
* SNMP aplikace (řídící entita)
* Generátor příkazu (command generator)
* Příjemce upozornění (notification receiver)
* ,,Směrovač" (proxy forwarder)
* Agent
* Systém odpovídání na dotazy (command responder)
* Generátor upozornění (notification responder)
PA159 35 Podzim 2007
SNMPv3 a bezpečnost
* Starší verze v podstatě bezpečnost ignorovaly
* Heslo se volně šířilo sítí, nebylo jak tento fakt ovlivnit
* SNMPv3 - user based security (RFC 2574)
* Uživatelské jméno
* s ním spojené heslo, hodnota klíče, přístupová práva
Použitelné v ,,běžné" síti, s rizikem odposlechu
PA159 36 Podzim 2007
SNMPv3 - základní rysy
* Šifrování zpráv
- DES CBC
* Autentizace
* HMAC (Hashed Message Authentication Codes)
* RFC 2104
* Spočte Message Integrity Code MIC(m,k), kde m je zpráva a k je sdílený
klíč
* Pošle zprávu a MIC(m,k)
* Používá MD5 pro MIC
PA159 37 Podzim 2007
ASN.1
* Abstract Syntax Notation One
* Data Description Language
* Transfer dat mezi různými architekturami
* Basic Encoding Rules (BER), v poslední době jako Packet
Encoding Rules (PER)
* Zasílání dat přes sít (jak přenášené informace kódovat)
* TLV (Type, Lenght, Value)
* Široce rozšířené (dostupné pro většinu OS a jazyků)
* Další informace: http://asnl.elibel.tm.fr/,
http://www.obj-sys.com/asnltutorial
PA159 38 Podzim 2007
ASN.1 - přiřazení typu
InventoryList 1 2 0 0 6 1 DEFINITIONS ::=
BEGIN {
Itemld ::= SEQUENCE {
partnumber IAřString,
quantity INTEGER,
wholesaleprice REAL,
saleprice REAL }
StoreLocation ::= ENUMERATED {
Baltimore (0),
Philadelphia (1),
Washington (2) }
PA159 J E'NU 39 Podzim 2007
ASN.1 - prirazení hodnot
gadget Itemld ::=
{
partnumber ,,7685B2r c
,
quantity 73,
wholesaleprice 13.50,
saleprice 24.95
}
PA159 40 Podzim 2007