Université Paris-Est Créteil Val de Marne Faculté Administration et échanges internationaux Licence 3 AEI - Parcours professionnel "Administration et Gestion des Entreprises» Commerce Electronique Développement de réseaux Polycopie 2013/2014 Page 1
Contenu du chapitre La gestion des réseaux Architecture SNMP Page 2
La gestion des réseaux Introduction» La gestion des réseaux se définit comme l'ensemble des activités liées au contrôle, à la coordination et la surveillance des ressources qui participent à la mise en place de communications.» Gérer un réseau revient A observer son activité (ex. Collecte de statistiques sur le débit réel, calcul de taux d'erreurs), A contrôler les opérations en cours (ex. Contrôle des accès, statut des connections), A agir sur l'ensemble de ses ressources de communication (ex. Activer, initialiser une station ou un routeur).» Différents protocoles permettent la remontée d'informations des équipements vers le gestionnaire.» Cela permet d'identifier les éléments raccordés au réseau et de connaître leur état. Page 3
La gestion des réseaux Problématique» Fiabilité du réseau de communication qualité de services (dimensions fonctionnelles, organisationnelles et technico-économiques).» Dimension organisationnelle : Niveau opérationnel : activité de «routine» des opérateurs pour la surveillance des alarmes, configuration des routeurs, information des utilisateurs, rétablissement de liaisons, sauvegardes de la comptabilité. Taches quotidiennes et répétitives. Niveau tactique : activités liées à l évolution du réseau à moyen terme. Achats de matériel, mesures de saturations. Niveau stratégique : schéma directeur (objectifs à long terme).» Dimension technico-économique : Sous traitance ou non. Fournisseur unique ou non. Politique de sécurité du réseau, interconnexion, modèle d architecture. Page 4
La gestion des réseaux La gestion vue par l iso Les 5 domaines fonctionnels : 1) gestion de la configuration : Gestion des noms des ressources (ex : url, noms des machines), Gestion des paramètres des matériels, Collecte des matériels du réseau, Collecte des informations sur la topologie et les changements d état des composants, routage, reconfigurer les ressources... 2) gestion des performances : «évaluer en permanence» Evaluer les performances pour agir sur la qualité de service (QoS), Collecte des indicateurs de mesure et des performances, Gestion des journaux d historique (aide au dimensionnement), Surveillance des latences temps de transit, débit réel... 3) gestion des fautes : SNMP Gestion des pannes, Détection des pannes, Actions manuelles ou automatiques, maintenir la qualité de service offerte, Collecte des anomalies (alarmes) Journalisation, activation de tests pour localiser l origine des pannes. Page 5
La gestion des réseaux 4) gestion des coûts : Compatibilité des flux dans le but de les facturer à leur utilisateur ou bien pour faire des statistique (ex : octets d entrées limités). 5) gestion de la sécurité : Sécurité d intégrité des informations qui circulent sur le réseau Fiabilité des informations, Confidentialité, Authentification, Non répudiation. Attention a la compatibilité CNIL!! Page 6
Introduction» Le protocole SNMP est le langage que les agents et les stations de gestion (managers) utilisent pour communiquer.» Très simple à assimiler et à mettre en œuvre (voir simpliste), c'est un protocole de type question/réponse asynchrone.» Ce protocole est situé au niveau application du modèle OSI, c'est lui qui définit la structure formelle des communications.» SNMP est encapsulé dans des trames UDP.» SNMP est fourni avec tous les équipements à l heure actuelle. Créé en 1989, bien après TCP/IP (1982 sous UNIX).» SNMP s inscrit dans la continuité de ICMP (Internet Control Management Protocol).» L IAB (Internet Activity Board) coordonne les travaux de normalisation de SNMP.» La faiblesse de SNMP est la gestion de la sécurité (absence) pour la version 1. La sécurité est gérée dans la version 2. Page 7
Nomenclature» L'approche SNMP a retenu le modèle gestionnaire/agent qui se compose : De noeuds administres (MN = Managed Node) chacun contenant un agent. Les agents SNMP sont placés dans les équipements compatibles SNMP. Ils fournissent des informations à partir de la MIB (Management Information Base) dont les éléments reflètent à tout moment l'état de l'objet qu'ils représentent. D'au moins une station d'administration. (NMS = Network Management Station). Cette station d'administration est un applicatif pour la surveillance et le contrôle du réseau. D'un protocole réseau utilise par la NMS et les agents pour échanger des informations d'administration.» Le noeud (MN) sur lequel s'exécute l'agent est appelé client.» Les agents possèdent des paramètres et des compteurs qui sont appelés objets ou attributs.» Deux agents particuliers existent : L'agent RMON (Ressource Network Monitoring) qui est situé dans une sonde et se comporte comme un analyseur de protocole local et peut déclencher des alertes de performances. Page 8
Le proxy-agent qui sert d'intermédiaire entre un ou plusieurs autres agents et le manager. Il est utilise soit pour une conversion de protocole (SNMP <=> protocole propriétaire), Soit pour regrouper les informations provenant d'un réseau local distant. Il ne fait remonter vers le manager que les conditions anormales et permet ainsi de limiter le trafic du réseau d'interconnexion, souvent à bas débit.» Les différents noeuds administrables (MN) sur le réseau se décomposent en trois catégories: Les hosts (station de travail, serveur de terminaux, imprimantes réseau, etc...), Les passerelles (gateway), Les équipements d interconnexion (bridge, Hub, multiplexeur, etc...).» SNMP utilise le protocole UDP pour transporter les données entre les agents et le manager.» Il travaille donc en mode non connecté, ce qui peut poser des problèmes de sécurité des échanges (aucune garantie que les paquets arrivent à bon port). Page 9
station de gestion onduleur application station station MIB manager MIB gérée MIB gérée Messages Messages en broadcast:» Get: récupération d une info» Set : programmer à distance» Getnext: récupération d une suite de valeur» Trap : avertisseur. Page 10
Principes» SNMP utilise les SMIs (Structure of Management Information) pour donner l'ensemble des règles de définition des objets à gérer.» SNMP utilise aussi les MIBs représentant la base de données de l'ensemble des objets pour un agent donné.» SNMP agit sur la MIB d'un agent donné afin de pouvoir l'administrer.» Grâce à la MIB, la station d'administration peut lire les informations de l'agent et agir sur lui en modifiant la valeur de certains objets.» Deux stratégies de collecte d'information de gestion existent entre le gestionnaire et l'agent. La première est basée sur un mécanisme de scrutation (polling) à un rythme d'interrogation paramétrable. Elle consiste pour le gestionnaire à demander à l'ensemble des agents du réseau, des informations sur l'état de leurs ressources. La deuxième méthode est basée sur un mécanisme d'événement : L'agent prend l'initiative d'avertir le gestionnaire d'un événement exceptionnel. Page 11
Intégration dans le modèle OSI» SNMP s'occupe des couches application (7), présentation (6) et session (5).» Il est basé sur une architecture TCP/IP en mode non connecté (utilisation d UDP en couche transport). Ethernet IP UDP SNMP Page 12
Représentation des objets» Dans SNMP, on a repris la structure d'informations de gestion SMI (Structured Management Information).» Une norme ISO prévoit l'existence de SMI, mais il est en fait défini par le RFC 1155 de Internet.» Le SMI permet d'identifier chaque variable de la MIB suivant un " object-type " (macro asn.1) qui lui est propre.» Cette macro aura les termes suivants : Objectname : nom de l'objet a definir, qui sera unique, Syntax : definissant le type d'objet ( compteur, entier..) Access : precisant read-only, read-write... Status : information obligatoire, optionnelle, obsolete Page 13
Les MIBs» La désignation d'un objet se fait par son nom textuel correspondant a un objectname qui est unique et par sa position dans la base de données correspondant à un object identitifier lui aussi unique.» La classification des objets est arborescente : Par exemple, pour accéder à un objet d'administration, son identificateur (chemin qui conduit a l'objet) Commencera par : ( iso-identified-org-dod-internetmgt ). Ou 1.3.6.1.2» L'extension et l'enrichissement de la MIB est faite par l IAB (internet activities board), organisme gérant les RFC (request for comment) avec comme règle que tout nouvel objet doit être défini avec un nouveau nom» Les noms déjà utilisés ne peuvent resservir à une nouvelle définition» Ils peuvent devenir "obsolètes", c'est-a-dire inutilisés mais existant toujours dans la base.» La MIB est, en quelque sorte, une grille de repérage pour savoir de quel objet/variable l'on parle. Page 14
» La MIB est une base de données faisant référence a des objets clairement définis, mais ne se trouvant pas stockés dans une base de données réelle gérée par SNMP.» La MIB peut être considérée comme une base de données virtuelle.» La valeur des objets est stockée quelque part et c'est au programme serveur (daemon SNMP) de les retrouver lorsqu'ils sont réclamés par le gestionnaire.» Une MIB est une collection de tous les objets que maintient un agent donne.» Pour qu'un client accède à ces objets, il faut qu'il soit au courant de leur existence.» Une MIB contient un certain nombre d'informations standards : c'est la MIB standard.» Or pour la plupart des éléments réseau, on rajoute un certain nombre d'objets propres à un agent pour en exploiter les possibilités : c'est la MIB privée.» Par exemple, dans la MIB standard il y a des compteurs qui gèrent les paquets émis ou reçus sur chaque interface de l'appareil. Page 15
» Parce que n'importe quel client est capable de lire ces compteurs, des constructeurs differents sont capables de retrouver ces informations.» Une centaine de MIBs privées ont été créé.» Par ce biais, le vendeur enrichit les fonctionnalités de ses agents SNMP d'une panoplie d'objets propriétaire tout en démarquant son marketing produit.» Aussi ces MIBs privées deviennent-elles vite indispensables pour affiner la gestion d'un équipement spécifique.» Par exemple, les sociétés suivantes ont des MIB prives d'entreprise : IBM 1.3.6.1.4.1.2, Dec 1.3.6.1.4.1.36, Sun 1.3.6.1.4.1.42, Chipcom 1.3.6.1.4.1.49 Page 16
NUMERO OBJET NOMBRE DE SOUS-OBJETS 1 SYSTEM 3 2 INTERFACES 23 3 AT 3 4 IP 33 5 ICMP 26 6 TCP 17 7 UDP 4 8 EGP 6» Fin 1989, le MIB 2 apparaît par le RFC 1158.» Elle comporte 171 objets ce qui fait qu'elle a 57 objets de plus que la MIB1, qui n'en avait que 114.» Les deux MIB peuvent cohabiter ensemble, la MIB 2 est un sur-ensemble de la MIB 1.» La MIB 2 définit de nouveaux objets qui permettront de décrire de façon plus fine les fonctionnalités d'un équipement.» Par exemple, dans le sous groupe " système " nous pouvons trouver le nom de la personne à contacter en cas de défaut sur un équipement.» La définition de la MIB 2 est la suivante : Page 17
NUMERO OBJET NOMBRE DE SOUS-OBJETS 1 SYSTEM 7 2 INTERFACES 23 3 AT 3 4 IP 38 5 ICMP 26 6 TCP 19 7 UDP 7 8 EGP 18 9 CMOT 0 10 TRANSMISSION 0 11 SNMP 30» Ces objets référencent: NOM DES GROUPES SYSTEM INTERFACES AT IP ICMP TCP UDP EGP CMOT SNMP DESCRIPTION INFORMATION GENERALES CONCERNANT L'AGENT A TRAVERS LE SYSTEME INFORMATIONS CONCERNANT CHAQUE INTERFACE IP DE L'AGENT LA TABLE DE TRANSLATION D'ADRESSES QUI REALISE LA CORRESPONDANCE ENTRE L'ADRESSE MAC ET L'ADRESSE IP COMPTEURS IP COMPTEURS ICMP COMPTEURS TCP COMPTEURS UDP COMPTEURS EGP COMPTEURS POUR CMOT (PROTOCOLE OSI EQUIVALENT A SNMP) STATISTIQUES DU TRAFIC SNMP Page 18
Méthodologie pour définir des objets SNMP» La définition se fait par un langage de macros. RFC 1155» Chaque objet de la MIB SNMP est identifié de manière unique par un objet identifier. ROOT ISO CCITT JOINT ISO-CCIT (1) (2) (3) ORG(3) DOD(6) INTERNET(1) DIRECTORY(3) PRIVATE(4) MANAGEMENT(2) MIBII(2) Page 19
Communautés SNMP» SNMP définit une communauté comme étant une relation entre un agent SNMP et une ou plusieurs stations d'administration SNMP.» Une communauté SNMP est caractérisée par son nom qui est une simple chaîne de caractères.» Cette chaîne de caractères est appelée le nom de la communauté SNMP.» Lorsque des messages SNMP sont échangés, ils sont composés de deux parties: Le nom de la communauté SNMP et d'autres informations nécessaires pour valider que l'entité SNMP émise fait bien partie de la communauté spécifiée, Les données, contenant une opération SNMP et les opérandes associes.» En résumé, les noms de communautés sont utilisés pour offrir un mécanisme très simple de sécurité entre les agents et la station d'administration. Page 20
Authentification» L'authentification se fait de façon très simple.» Le nom de la communauté est placé en clair dans le message SNMP.» Si le nom de la communauté correspond à une communauté définie au niveau de l'objet, l'entité SNMP émise est considérée comme étant authentifiée comme un membre de la communauté Autorisation» Une fois que l'entité SNMP émise est authentifiée comme un membre de la communauté, le client (noeud sur lequel se trouve l'agent) doit déterminer à quel niveau d'accès peut se placer la requête SNMP.» Pour chaque objet, la communauté définit un mode d'accès qui peut être l'un des suivants: Lecture seulement, Lecture/écriture. Page 21
» En faisant des intersections entre la vue des différentes communautés vis a vis des modes d'accès, on définit pour chaque objet le profil de communauté (Comunity profile).» Ainsi, pour chaque objet, le profil de communauté définit les opérations qui sont autorisées sur cet objet. Accès de l'objet selon la MIB MODE D'ACCES LECTURE SEULE LECTURE/ ECRITURE LECTURE SEULE LECTURE/ ECRITURE ECRITURE SEULE NON ACCESSIBLE 3 3 1 1 3 2 4 1 CLASSE OPERATIONS AUTORISEES 1 AUCUNE 2 GET-REQUEST, GET-NEXT- REQUEST, SET-REQUEST, TRAP 3 GET-REQUEST, GET-NEXT- REQUEST, TRAP 4 GET-REQUEST, GET-NEXT- REQUEST, SET-REQUEST, TRAP Page 22
» Une façon plus intuitive pour comprendre le phénomène est de supposer que chaque objet connu et administrable d'un agent donné réside dans un tableau à deux dimensions divisé en quatre quadrant: LECTURE SEULE NON ACCESSIBLE LECTURE/ ECRITURE ECRITURE SEULE» En utilisant les communautés, on translate les axes pour changer le mode d'accès sur les objets, sachant qu'un agent peut être configure pour répondre à la station d'administration avec certains noms de communautés (le nom de communauté étant inclus, comme on l'a vu, dans chaque message) Page 23
Commandes SNMP» SNMP est un protocole asynchrone de requêtes/réponses. Par conséquent, une entité SNMP n'a pas besoin d'attendre une réponse après avoir envoyé un message.» La station d'administration interroge une table de l'agent Get : Set : Get_request : lecture d une variable (demande) Get_next_request : lecture variable suivante Get_response : réponse a une opération get Set_request : écriture de la valeur d un objet Set_response : réponse a un set Trap : message spontané de l agent vers le messager + suite d objets gérés.» Il est a relever le principe de get-next, qui permet de parcourir l'arborescence de la MIB sans se soucier de l'adresse exacte de l'objet» Ce qui règle un problème potentiel des objets à plusieurs instances dont on ne connaît pas le nombre et qui peuvent varier durant la gestion du réseau. Page 24
» Le get-next permet de visualiser les objets les uns après les auteurs suivant les branches parcourues» SNMP n'a pas à gérer les adresses et les emplacements de ces objets. Set-request/get-response : Trap: la station d'administration enregistre des données au niveau d'un agent L'agent envoie un événement "extraordinaire" vers la ou les stations d'administration.» Bien sur, chacune de ces opérations respecte les communautés SNMP.» Les fonctions sont acheminées par UDP par le port 161 pour les Get/Set et le port 162 pour les traps. Traps SNMP» Le mécanisme des traps SNMP permet à l'agent d'envoyer à tout moment un message exceptionnel (une interface qui tombe en panne, etc...)» Ce trap se configure au niveau de l'agent et est envoyé sur le port de SNMP (cf. Fichier etc/services ou MAP services» La structure d'un trap est la suivante: Page 25
NOM ENTREPRISE AGENT-ADDR GENERIC-TRAP SPECIFIC-TRAP TIME-STAMP SIGNIFICATION VALEUR DE L'OBJET SYSOBJECTID DE LA MIB DE L'AGENT (NOTATION ASN.1) VALEUR DE L'OBJET NETWORK ADDRESS DE L'AGENT VOIR TABLEAU DES TRAPS SNMP IDENTIFIE L'ENTREPRISESPECIFIC TRAP (TRAP SPECIFIQUE A L'AGENT DONC NON STANDARDISEE) VALEUR DE L'OBJET SYSUPTIME DE LA MIB DE L'AGENT LORSQUE L'EVENEMENT S'EST PRODUIT VARIABLE-BINDINGS LISTE DE VARIABLES CONTENANT DES INFORMATIONS SUR LE TRAP. Generic-trap définit un certain nombre de traps standardisés. Page 26
» Ces traps sont : NOM N SIGNIFICATION SNMP COLDSTART 0 L'AGENT SE REINITIALISE ET LES OBJETS PEUVENT CHANGER (CHANGEMENT DE CONFIGURATION) WARMSTART 1 L'AGENT SE REINITIALISE MAIS LES OBJETS NE SONT PAS MODIFIES (PAS DE CHANGEMENT DE CONFIGURATION) LINKDOWN 2 UNE DES INTERFACES DE L'AGENT EST TOMBEE (LA PREMIERE VARIABLE DANS LA LISTE VARIABLE-BINDINGS IDENTIFIE L'INTERFACE) LINKUP 3 UNE DES INTERFACES DE L'AGENT EST A NOUVEAU OPERATIONNELLE (LA PREMIERE VARIABLE DANS LA LISTE AUTHENTICA TIONFAILURE EGPNEIGHBO RLOSS ENTREPRISES PECIFIC VARIABLE-BINDINGS IDENTIFIE 4 UN MESSAGE SNMP A ETE REÇU D'UNE ENTITE SNMP ET IL Y A EU UN PROBLEME D'AUTHENTIFICATION EN FONCTION DU NOM DE COMMUNAUTE ET DES DROITS D'ACCES QUI LUI SONT ACCORDES 5 UN EGP PEER (EGP = EXTERIOR GATEWAY PROTOCOL) EST TOMBE (LA PREMIERE VARIABLE DANS LA LISTE VARIABLE-BINDINGS CONTIENT L'ADRESSE IP). 6 CERTAINS EVENEMENTS DEPENDENT DE L'AGENT ET NE SONT DONC PAS STANDARDISES, DANS CE CAS LE NUMERO DU TRAP EST DONNE DANS LE CHAMP SPECIFIC-TRAP Page 27