L ADMINISTRATION Les concepts Complexité des réseaux et systèmes besoins d outils d aide à la gestion Objectifs Superviser le fonctionnement du S.I. et des réseaux Optimiser l utilisation des ressources Détecter voir prévenir les erreurs Signaler les pannes Disposer de données statistiques Disposer de données de facturation Autre objectif : le support utilisateur (help desk) Problèmes Quels mécanismes de gestion? Quels sont les objets manipulés par ces mécanismes? Les approches OSI : CMIP/CMIS TCP/IP : SNMP Support de cours 1/
L APPROCHE OSI Ambition de couvrir tous les domaines de l administration Extrêmement complexe Interrogation sur les activités de l administration Ensemble d activités liées à l administration Objectif : intégrer ces activités décisions tactiques et stratégiques, planification Les activités de maintenance (préventive ou curative) d exploitation de supervision de planification de sécurité Définit 5 modèles Le modèle informationnel : quoi gérer? Quels objets? Le modèle organisationnel : qui? Le modèle fonctionnel : Pourquoi gérer? Quels domaines gérer? Le modèle de communication : comment gérer? Le modèle architectural : comment gérer? Support de cours 2/
OSI : LE MODELE INFORMATIONNEL Management Information Model ISO 10165-1 Identification et représentation du QUOI! Modèle informationnel définit et normalise : les objets administrés leur nom leur fonction leurs relations leurs attributs les actions qui leurs sont applicables Approche objet Classes d objets de gestion Position dans un arbre d héritage Ensemble de paquetages (obligatoires ou optionnel) Contenu du paquetage Attributs (ASN.1) Notification émise par l objet (service CMIS) Opérations affectant les attributs ou l objet (service CMIS) Le comportement de l objet (GDMO ou Guidelines for description of Managed Object) Application concrète Base de données MIB Organisation arborescente hiérarchique MIT Support de cours 3/
LE MODELE ORGANISATIONNEL ISO 10040 Identifie les acteurs de l administration : qui? Processus de coopération entre systèmes ouverts Systèmes sont des gestionnaires ou des agents Le gestionnaire Assure la responsabilité d une ou plusieurs activités de gestion Envoie des requêtes aux agents Reçoit des réponses ou notifications des agents Les informations échangées affèrent à la MIB de l agent Dispose de sa propre MIB qui est la «copie» des MIB des agents Le gestionnaire pilote les agents L agent reçoit et exécute les requêtes du gestionnaire Envoie des notifications au gestionnaire manipule les informations locales de l objet administré au travers de la MIB FONCTIONNEMENT GENERAL GESTIONNAIRE Opérations AGENT Notification COMMUNICATION NORMALISEE COMMUNICATION LOCALE NON NORMALISEE MIB Support de cours 4/
LE MODELE FONCTIONNEL ISO 10164-XX Quelles fonctions doit couvrir l administration : pourquoi gérer? Le modèle OSI répartit les fonctions en 5 modèles La gestion des configurations La gestion des fautes La gestion des performances La gestion de la sécurité La gestion de la comptabilité La gestion de la configuration Démarrer, initialiser, arrêter le système Modifier la configuration Recueillir des données sur le système et agir sur celui-ci La gestion des fautes Détecter les fautes Localiser les fautes Corriger les fautes La gestion des performances : Evaluation permanente du réseau ou du SI Collecte de données statistiques Production de tableau de bord La gestion de la comptabilité : analyser la répartition des ressources et facturer La gestion de la sécurité Gestion des accès ou des clés de cryptage Compte-rendu des événements relatifs à la sécurité Support de cours 5/
LE MODELE DE COMMUNICATION CMIS ISO 9595 / CMIP ISO 9596 Définit les échanges entre les composants architecturaux Communication locale entre systèmes adjacents : CMIS SMAP Gestionnaire ou agent SMA SE CMIS MIB LOCALE ACSE ROSE Jeu de primitives M-CREATE M-DELETE M-GET M-CANCEL-GET M-ACTION M-SET M-EVENT-REPORT Communication distante entre système homologue : CMIP Codage des primitives en ASN1 Support de cours 6/
LE MODELE ARCHITECTURAL ISO 7498-4 Fournit un cadre général et répond en partie à la question comment? Définit 3 niveaux de gestion 3 sortes d échanges administratifs Opération de couche N Gestion de couche N Gestion Système Opération de couche N Eléments d administration véhiculé dans les NPDU Ex : élément de facturation X.25 Offre des mécanismes de contrôle et surveillance d une communication Gestion de la couche N Supervise le fonctionnement d une couche N Communication entre entités de gestion de couches (LME) Ex : Network Connection Management Subprotocol (NCMS) Support de cours 7/
LE MODELE DU MONDE TCP/IP : SNMP ARCHITECTURE GENERALE L administration repose sur une relation agent / gestionnaire de type client/serveur Chaque équipement administré est vu comme un agent. Sur chaque équipement administré est implanté un agent (programme) L agent contrôle et fournit une représentation au travers d un ensemble de variables La plate-forme d administration interroge ses variables pour connaître l état des l équipements. L agent organise l ensemble de ces variables au sein d un base de données standard appelée MIB (Management Information Base). Le Manager contrôle le fonctionnement de l équipement au travers de cette base. Envoi du contenu des variables gérées par l agent à son initiative ou en réponse à une requête du manager Plate-forme d administration AGENT Equipement administré ex : Routeur Interrogation des variables de l agent Base de données locale Support de cours 8/
Le protocole SNMP SNMP Simple Network Management Protocol Le standard du monde TCP/IP. Parfaitement incompatible avec son homologue OSI CMIP Protocole le plus répandu pour au moins deux raisons : sa simplicité par rapport à CMIP l occupation mémoire qu il exige pour s exécuter. Les interactions entre les deux entités se font : Sur l'initiative de l agent. Il s agit alors de trap SNMP ou alerte Sur l'initiative du manager qui interroge l agent pour lui demander le contenu d une variable particulière ou pour lui envoyer une commande. MANAGER Alerte Commandes Réponses AGENT L administration d un équipement nécessite, outre l activation d un agent SNMP de déclarer une communauté à laquelle il appartient. Support de cours 9/
SNMP : modèle de communication SNMP V1 RFC 1157 Repose sur 5 primitives capables de couvrir l ensemble des besoins nécessaires à cette communication : GET-REQUEST primitive de lecture d'un paramètre dans la base de donnée de l agent. GET-NEXT-REQUEST primitive de lecture du paramètre suivant. SET-REQUEST GET-RESPONSE TRAP primitive de modification de la valeur d un paramètre. primitive utilisé par l agent pour répondre à une requête. primitive utilisé par l agent pour émettre de sa propre initiative une alerte vers l e gestionnaire. Structure du message SNMP Numéro de version Community la PDU parmi les requêtes La seule notion de sécurité réside dans le champ community Identifie l émetteur Correspond à un MDP qui circule en clair sur le réseau Support de cours 10/
SNMP : modèle de communication SNMP V2 (RFC 1448) Prend en compte les limites de SNMP Absence de sécurité Gestion des erreurs Transfert de données importantes Communication inter manager Jeu de sept primitives GetRequest GetNextRequest SetRequest Response SNMPv2-trap GetBulkRequest : transfert en une seule fois d une importante quantité de données InformRequest : communication entre gestionnaires Niveau de sécurité aucun authentification cryptage Support de cours 11/
Le MIT SNMP : LE MODELE INFORMATIONNEL SMI Structure of Management Information ISO (1) ITU (2) ITU (3) Member body (2) Org(3) DOD (6) Internet (1) Directory (1) Management (2) Experimental (3) Private (4) MIB-2 (1) Entreprises (1) System (1) Interface (2) ICMP (5) SysDescr (1) SysObjectId (2) Chaque branche est identifiée de façon unique et non ambiguë Les feuilles constituent les variables consultables ou modifiables. Ex : SysObjectId est identifiée par l arborescence ISO.Org.DOD.Internet.Management.MIB-2.System.SysObjectId ou encore sous sa forme numérique 1.3.6.1.2.1.1.2. Support de cours 12/
SNMP Les extensions de la MIB Extension de la MIB La MIB-2 Les Mibs privées définies par les constructeurs Les MIB-RMON. La MIB-2 Commune à tous les équipements SNMP Un dénominateur commun de variables interrogeables. Contient des variables simples comme le nom du système, son adresse IP, etc. Les MIBS constructeurs La plupart des constructeurs ont défini pour leurs équipements des arborescences de MIB spécifiques. rangées sous la branche Entreprises permettent au constructeur de permet de définir des MIB qui collent au plus près des fonctionnalités de l équipement. Support de cours 13/
Exemples de requêtes routeur R1 avec deux interfaces Détermination du type d interface GetRequest R1 iso.org.dod.internet.mgmt.mib- 2.interfaces.iftable.ifEntry.iftype.1 renvoie la valeur Ethernet-CSMACD GetNextRequest R1 iso.org.dod.internet.mgmt.mib- 2.interfaces.iftable.ifEntry.iftype.1 renvoie la valeur de la deuxième interface Les traps six événements générés par la generic trap de la "trap PDU" cold start warm start link down link up Authentication failure EgpNeihborloss Evénements additionnels (specific enterprise) ex : CISCO reload : réinitialisation de l agent par lui-même TcpConnectionClose Support de cours 14/
LA GESTION DES FAUTES Le gestion de fautes (gestion des alarmes) est une des principales fonctionnalités attendues d'une solution d'administration Il existe deux grandes stratégies de gestion des fautes Le contournement des fautes La résolution des fautes Le contournement des fautes reposent sur : La définition de procédures de secours (automatique ou manuelle) qui permettent d exploiter le réseau en mode dégradé La répartition du risque (ex : on évite de concentrer plusieurs applications sensibles sur un seul serveur) Traitements similaires sur plusieurs équipements (équilibrage de charge). Redondance des équipements (ex : failover cisco) Une limite : elles masquent le problème mais ne le résolvent en aucun cas. La résolution de la faute Les stratégies présentent un coût financier ou en terme de qualité de service Le temps de vie d un problème sur le réseau doit donc être aussi court que possible. Support de cours 15/
Cycle de vie d une faute LA GESTION DES FAUTES Apparition Détection Localisation Diagnostic Résolution Processus de résolution Temps de résolution est toujours optimum et ne peut donc être réduit Etapes sur lesquelles ont peu agir : détection, la localisation et le diagnostic. Sans solution d administration, deux critiques L administrateur ne dispose ni du temps, ni des moyens de surveiller constamment l état du réseau. Comme corollaire, la détection de l erreur est généralement faite par l utilisateur avant l administrateur ou l opérateur. Les moyens d investigation reposent essentiellement sur des outils classiques tels que ping, traceroute, netstat, telnet. impact négatif sur la qualité de service Administration = amélioration de la qualité de service L Administration c est : l automatisation du processus de surveillance des outils d aide à la localisation des erreurs aide au diagnostic avec la corrélation d événements Support de cours 16/
LA GESTION DES FAUTES Localisation des fautes Nécessite de connaître et d administrer les chaînes de liaisons Nécessite de pouvoir corréler certains événements Anticipation sur fautes Certaines erreurs sont dues à des dépassements de seuils par exemple et peuvent donc être largement anticipées. La connaissance de l état des équipements ainsi que des statistiques globales ou détaillées sur le trafic peuvent aider à atteindre cet objectif. Gestion des performances liées à la gestion des fautes nécessité d intégrer les activités d administration Plate-forme d administration Support de cours 17/
Fonctionnalités classiques d une PFA Le monitoring : cartographie du réseau d associer à chaque équipement du réseau une représentation graphique sous forme d icône de relier ces icônes pour fournir la cartographie du réseau d interroger la MIB du manager afin d afficher les attributs des objets gérés d animer les objets en fonction d événements. Chaque changement d état se traduisant au niveau de l objet géré par un changement de couleur indiquant un niveau de gravité La gestion des événements Gestion et affichage des informations concernant les alarmes remontées par les objets gérés. Repose sur une base mise à jour par un service de journalisation des alarmes Les alarmes sont affichées dans une fenêtre sous forme de matrice qui récapitule les alarmes reçues. Comptabilisation des occurrences Gestion de la notification de terminaison d alarmes acquittement manuel d alarmes Sur elle repose le monitoring, la gestion des performances, l animation, le traitement automatique d alarmes Support de cours 18/
La gestion des performances Production de tableau de bord opérationnel Production de tableau de bord décisionnel La gestion des alarmes L animation permet d associer aux représentations graphiques des objets gérés, des couleurs (vert,orange,rouge) en fonction de la gravité des alarmes générées sur ces objets. Le traitement automatique d événements Support de cours 19/