Administration des réseaux Principes - Modèle ISO - SNMP. François-Xavier Marseille Nicolas Peret Philippe Sidler

Transcription

1 Administration des réseaux Principes - Modèle ISO - SNMP François-Xavier Marseille Nicolas Peret Philippe Sidler

2 «Administration?» Petit Larousse illustré : Action de gérer Un double point de vue : Organisation Ensemble des services offerts par cette organisation

3 Administration des réseaux 3 points de vue Utilisateurs => Qualité de services Entités à gérer Outils de gestion

4 Obligation d un gérant local RFC 1173 : Obligation d un gérant local vis-à-vis de l extérieur Être connu et accessible de l extérieur Avoir un droit d intervention sur les entités du réseau Ne pas offrir d accès anonyme à Internet

5 Organisation de l administration Gestion du réseau réel Gestion du réseau logique Gestion des performances Gestion de la planification

6 Stratégie d administration (1/2) «Plug and Play/Pray» on branche et ça marche aucun paramètre à définir Configuration «à la main» ex : à chaque ajout de terminal, lui affecter statiquement une adresse IP

7 Stratégie d administration (2/2) But de l administrateur : tirer le meilleur profit du matériel présent Nécessité de trouver un compromis entre les deux approches précédentes Une stratégie est propre à chaque entité gérante (entreprise, laboratoire, etc.)

8 Architecture classique d administration Notification Arrêt du système Tentative de réparation

9 La gestion ISO 5 critères de gestion gestion des configurations gestion des performances gestion des anomalies gestion de la sécurité gestion des informations comptables

10 CMIP Les protocoles d administration Common Management Information Protocol Fonctionne avec la pile de communication OSI SNMP Simple Network Management Protocol Fonctionne sous TCP/IP

11 Les informations disponibles via les protocoles Stockées dans un MIB (Management( Information Base) MIB structure un arbre définie par l ISO plus on va vers les feuilles, plus les infos sont spécifiques.

12 Architecture de l ISO

13 Architecture OSI d administration réseaux 2 types d application processes managers sur les systèmes d administration agents sur les systèmes administrés Dialogue manager-agent utilise un ensemble de protocoles

14 Architecture OSI d administration réseaux (2) Un agent contrôle des managed objects Un modem Une table de routage IP Une connexion TCP Le manager Envoie des ordres aux agents (self-test) Reçoit des informations des agents (lit une variable) Fixe des valeurs (écrit une variable)

15 Architecture OSI d administration réseaux (3)

16 Modèle d administration L administration peut être vue au travers de 3 modèles Modèle organisationnel Modèle fonctionnel Modèle d information

17 Modèle organisationnel Notion de domaine d administration Utilité Mise à l échelle Sécurité Autonomie d'administration

18 Modèle organisationnel (2) Répartition des agents/managers Un domaine peut comporter plusieurs agents/managers 1 agent/manager peut être partagé entre plusieurs domaines Système d administration coopératif et distribué

19 Modèle fonctionnel 5 Specific Management Functionnal Areas (SMFA) Gestion des erreurs Détecter, isoler, corriger les erreurs du réseau Gestion de la configuration Configuration distante d'éléments du réseau Gestion des performances Evaluation des performances

20 Modèle fonctionnel (2) Gestion de comptes utilisateurs Faire payer l utilisation du réseau en fonction de son utilisation Limiter l utilisation des ressources Gestion de la sécurité Contrôle d accès Authentification Cryptage

21 Modèle d information Structure of Management Information (SMI) Ensemble de conventions pour la description et l identification des données Permet à n importe quel type de protocole de manipuler les données (CMIP ou SNMP)

22 Modèle d information (2) Management Information Base (MIB) Dépôt conceptuel d information de gestion Ensemble des informations nécessaires à l'administration Ne se préoccupe pas de l aspect stockage des informations

23 Protocole ISO couche 7

24 Protocoles ISO de la couche application Managers et agents doivent pouvoir communiquer Application Entity (AE) la partie d un Application Process dévolue à la communication Ensemble de capacités de communication Application Association connexion de niveau 7 nécessaire pour que deux AE puissent communiquer

25 Protocoles ISO de la couche application (2) AE repose sur les Applications Service Elements (ASE) CASE (Common Application Service Element) ACSE ROSE SASE (Specific Application Service Element) CMISE

26 ASCE Association Control Service Element Sert à établir et à fermer une connexion entre AE Identifie les AE (identifiant unique) Définit un contexte de travail (variables partagées) Définit les autres protocoles utilisable au- dessus Nécessaire pour l utilisation de CMIP

27 ROSE Remote Operation Service Element Equivalent ISO des RPC de Sun Invocation d une opération à distance Nécessite une association pour fonctionner Utilisé par CMIP pour l envoie de requêtes, et la gestion des erreurs

28 CMISE Common Management Information Service Element Fournit les service CMIS (Common Management Information Service) Services de base pour l administration Nécessite l utilisation de ROSE et ACSE Offre des services acquîtés ou non pour: Rapporter des événements Manipuler les données d administration

29 CMISE (2) On définit 2 types d entités CMISE CMISE-Service-Provider fournit le service CMIS CMISE-Service-User Invoking-CMISE-SU : invoque un service CMIS Performing-CMISE-SU : exécute le service CMIS

30 CMIS : Gestion des associations Ce sont des appels à ACSE M-INITIALISE établit une association entre 2 CMISE-SU dans le but d échanger des informations de gestion M-TERMINATE pour fermer une association (procédure normale) invoquée par un CMISE-SU M-ABORT pour fermer de façon autoritaire une association invoquée par un CMISE-SU ou un CMISE-SP

31 CMIS : gestion des notifications M-EVENT-REPORT invoqué par un CMISE-SU pour notifier un événement issue d un objet administré à un CMISE-SU

32 CMIS : gestion des opérations M-GET pour obtenir la valeur M-SET pour mettre à jour une information de gestion M-ACTION pour faire exécuter une action M-CREATE pour créer une nouvelle instance d un objet M-DELETE pour supprimer une instance d un objet

33 CMIP Protocol Suite

34 CMOT Protocol Suite

35 CMOT CMIP Over TCP/IP Montrer que le modèle OSI peut être appliqué sur TCP/IP Migrer TCP/IP vers les protocoles de l ISO Architecture basée sur CMISE, ROSE, ACSE Utilise SMI, MIB Définit un protocole et une architecture pour l administration de réseaux Le développement des applications est laissé à des tiers

36 CMOT : Modèle de gestion Modèle organisationnel Se limite à un seul domaine Modèle fonctionnel Prévoit de répondre au 5 SMFA au travers de CMISE Modèle d information Internet SMI : ISO SMI modifié par l IETF

37 CMOT : architecture du protocole Pouvoir mapper l architecture OSI dans le monde TCP/IP Couche d adaptation utilisant LPP Lightweigth Presentation Protocol Vraie couche de niveau 6 Passer à ISO en remplaçant TCP, UDP, IP La couche 7 restera inchangée

38 ASN.1 Notation de Syntaxe Abstraite 1

39 Description de données Déclarations ASN.1 similaires aux déclarations en C Types de données: Existence de types prédéfinis Possibilité de sous-typage Possibilité de créer de nouveaux types

40 Quelques types de données ASN.1 Type INTEGER BIT STRING OCTET STRING NULL Signification Entier Chaîne de bits Chaîne d'octets Aucun type OBJECT IDENTIFIER Type de données officiellement défini

41 Identification des objets Utilisation d un arbre de nommage Chaque objet normalisé doit se trouver à un emplacement unique de l arbre Nœuds identifiés par un couple étiquette (nombre) ou par le nombre seul Identification des objets par la liste des nœuds Exemple: { iso(1) organisation identifiée(3) dod(6) internet(1) admin(2) }

42 Arbre de nommage des objets ASN.1

43 Définition de type Mot clé SEQUENCE SEQUENCE OF CHOICE Signification Equivalent à une structure C Tableau monodimensionnel Union d une certaine liste de types

44 Exemples de définition des objets Définition de variable: compteur INTEGER ::= 100 Définition d objet: internet OBJECT IDENTIFIER ::= { iso org(3) dod(6) 1 }

45 Exemples de définition de type Définition de sous-types: Status ::= INTEGER { haut(1), bas(2) } TaillePaquet ::= INTEGER( ) Définition d un nouveau type: AtEntry ::= SEQUENCE { atindex INTEGER, atphysaddress OCTET STRING, atnetaddress NetworkAddress }

46 Syntaxe de transfert ASN.1 Définit la façon dont les valeurs des types ASN.1 sont converties sans ambiguïté possible en une suite d octets SNMP utilise BER (Basic Encoding Rules)

47 Codage Maximum quatre champs: Identificateur (type ou étiquette) Longueur du champ de données Champ de données Drapeau de fin de données si la longueur des données est inconnue (interdit par SNMP)

48 Codage de l identificateur (1) 2 bits: étiquette 00 Universel 01 Application 10 Spécifique du contexte 11 Privé 1 bit: 0 Type primitif 1 Type construit

49 Codage de l identificateur (2) 5 bits: valeur de l étiquette si elle est comprise entre 0 et sinon (valeur dans l octet suivant) Valeur de l étiquette: Code associé au type de base (2 pour INTEGER, 4 pour OCTET STRING...) 16 pour SEQUENCE et SEQUENCE OF

50 Codage de la longueur Longueur < 128: Codage immédiat (bit de poids fort à 0) Longueur >= 128: Premier octet: bit de poids fort à 1 et longueur du champ dans les 7 bits de poids faibles Octets suivants: la longueur

51 Codage des données Dépend du type de données Exemple: entier Codé en complément à 2 Entier positif < 128 codé sur 1 octet Entier positif < codé sur 2 octets

52 Exemples de codage ASN.1

53 Informations de Gestion

54 Informations de Gestion La description des informations de gestion recouvre 2 aspects Structure of Management Information (SMI) Structure logique des informations de gestion Identification et Description de ces informations Management Information Base (MIB) Objets réellement gérés

55 SMI Utilise un sous-ensemble de ASN.1 Objets administrables Hiérarchie des informations de gestion Registration Hierarchy Containment Hierarchy Inheritance Hierarchy

56 Objets administrables Repose sur les concepts «objet» Une entité administrable du réseau est vue comme un objet On a des classes qui correspondent à un type d entité On a des instances qui correspondent aux entités vivant sur le réseau la classe «transport connection» est instanciée à chaque nouvelle connexion

57 Les Hiérarchies Registration Hierarchy Utilise l arbre de nommage de ASN.1 Containment Hierarchy une classe peut en contenir d autres Identification unique Relation de persistance Inheritance Hierarchy Liée à la notion d héritage

58 MIB Dépôt conceptuel d information de gestion Ne se préoccupe pas du stockage physique Ensemble des instances à un instant donné RFC 1156 Définit 8 groupes d objets de base RFC 1213 MIB-II

59 Exemple de MIB (1)

60 Exemple de MIB (2)

61 MIB Exemple MIB (2) TCP tcpconntable tcpconnentry

62 Retour sur CMIS Précisions Un Exemple

63 Retour sur CMIS Opérations sur des ensembles d objets Scoping Lié à la Containment Hierarchy, on sélectionne: Filtering Objet de base seul Descendant de N ème niveau Objet + descendant (jusqu au N ème niveau) Applique un test à l ensemble des objets pour en extraire un sous-ensemble

64 Retour sur CMIS (2) Synchronisation Best Effort l échec d une MAJ n entraîne pas l arrêt des autres MAJ Atomic tout ou rien Linked Replies Chaînage des trames CMIP

65 Un exemple : M-GET

66 Réponse au M-GET

67

68 Conception d applications d administration

69 Systems management functions Documents de l ISO qui normalisent les échanges entre managers et agents Sur la couche CMIP Gestion des objets ( ) Gestion des états ( ) en/hors service, inactif, actif Gestion des relations ( )

70 Systems management functions (2) Gestion des alarmes ( ) Gestion des événements ( ) Gestion des journaux ( ) Gestion de la sécurité ( ) + 6 autres extensions

71 SNMP Simple Network Management Protocol

72 ARPANET: Introduction Analyse des problèmes avec ping Internet: Méthode ping non viable SNMP v1 en 1990 (RFC 1157) Définition de l information nécessaire à l administration (RFC 1155) SNMP est désormais un standard

73 Le modèle SNMP

74 Composants d un réseau Nœuds administrés Stations d administration Information d administration Protocole d administration

75 Nœud administré Entité capable de communiquer des informations d état Hôtes, routeurs, ponts, imprimantes Exécute un agent SNMP Processus d administration SNMP gérant une base de données locale de variables donnant l état et l historique

76 Station d administration Ordinateur exécutant un logiciel particulier Communique avec les agents Envoi de commandes/réception de réponses Avantage: Agents très simples

77 Composants d un réseau

78 Information d administration Chaque entité gère des variables décrivant son état Une variable est appelée objet L ensemble des objets d un réseau se trouve dans la MIB (Management Information Base)

79 Protocole d administration La station d administration interagit avec les agents: Communication type question/réponse Interrogation de l état des objets locaux d un agent Changement de l état d un objet

80 Protocole d administration: Déroutement Cas d événement non planifié: Plantage, démarrage, rupture de liaison L agent signale l événement à la station d administration

81 Agent mandataire Cas où un nœud n est pas capable d exécuter un agent Agent mandataire (proxy agent): Situé sur un autre nœud Communique avec l entité à administrer dans un protocole non standard Communique avec la station d administration en utilisant SNMP

82 Sécurité dans SNMP Capacités de la station d administration: Connaître des informations sur les nœuds Isoler un nœud du réseau SNMP v1: mot de passe (en clair!) dans chaque message SNMP v2: techniques cryptographiques mais non utilisées car trop lourdes

83 Le protocole SNMP

84 Introduction Modèle SNMP: communication entre agents et station d administration hétérogènes Problèmes: Définition des objets standard et indépendante des constructeurs Technique standard de codage des objets Utilisation d ASN.1

85 Messages SNMP Message Get Get-next Get-bulk Set Inform Trap Response Signification Demande de la valeur d une ou plusieurs variables Demande de la variable suivante Chargement d une grande table (SNMPv2) Mise à jour d une ou plusieurs variables Message de description d une MIB locale (SNMPv2) Indication de déroutement provenant d un agent Réponse

86 Format des PDU (1) Get, Get-next, Inform, Response, Set et Trap: PDU Type Request ID Error status Error index Variable bindings PDU Type: Request ID: Error status: Error index: Variable bindings: Identification du message Correspondance requête/réponse Type d erreur (réponse) Correspondance erreur/variable (réponse) Correspondance variable/valeur

87 Format des PDU (2) Get-bulk: PDU Type Request ID Nonrepeaters Maxrepetitions Variable bindings PDU Type, Request ID et Variable bindings: Mêmes fonctions Non-repeaters: Nombre de variables demandées au travers de Variable bindings devant être retournées sans répétition Max-repetitions: Nombre de répétitions des variables restantes dans Variable bindings

88 Requête Get-bulk Requête: Get-bulk Request ID 3 4 A, B, C, D, E Réponse: Response Request ID 0 0 A, B, C, D 0, D 1, D 2, D 3, E 0, E 1, E 2, E 3

89 Format des messages (1) Non sécurisé Destination Unused Destination Source Context PDU Authentifié mais non privé Destination Digest Destination timestamp Source timestamp Destination Source Context PDU Privé et authentifié Destination Digest Destination timestamp Source timestamp Destination Source Context PDU Crypté

90 Format des messages (2) Context: Collection de ressources accessibles par une entité SNMPv2 Digest: Résultat de l algorithme de hachage Destination timestamp: Dernière horloge du récepteur connue de l émetteur Source timestamp: Horloge de l émetteur

91 SNMP v3

92 Nouveautés de SNMPv3 Sécurité Authentification et cryptage Autorisation et contrôle d accès Administration Nommage des entités Gestion de la comptabilité Destinations des notifications Configuration à distance

93 Avant de partir manger La structure ISO n est utilisée que par les grandes compagnies (de façon propriétaire) Une très large utilisation de SNMP Un protocole effectivement Simple S appuie sur le protocole TCP/IP Et le rôle de l administrateur dans tout ça?

94 Références Réseaux, Andrew Tanenbaum, InterEditions Simple Network Management Protocol Technology Overview, Cisco, oc/cisintwk/ito_doc/55029.htm

95 Références RFC: RFC 1095 : CMOT RFC 1213 : MIB-II RFC 1212 : MIB RFC 1189 : CMOT AND CMIP RFC 1155,1157 : SNMPv1 RFC 1905 : SNMPv2