Διαχείριση IP Δικτύων Ο διαχειριστής (NMS) παρακολουθεί και ελέγχει τα στοιχεία του δικτύου μέσω των εφαρμογών λογισμικού που τα αντιπροσωπεύουν (agents) Κάθε διαχειριζόμενο στοιχείο αντιπροσωπεύεται από ομάδες αντικειμένων, τα οποία αποθηκεύονται στην Management Information Base (MIB) Η περιγραφή των αντικειμένων της MIB βασίζεται στην Structure and Identification of Management Information (SMI) προδιαγραφή NMS MIB Specification Manager SNMP SNMP Agent MIB Agent MIB Network Element Network Element 2

Διαχείριση IP Δικτύων Ο διαχειριστής επικοινωνεί με τους αντιπροσώπους (agents) για να εκτελέσουν Set και Get λειτουργίες στις παραμέτρους των αντικειμένων Για τη μεταφορά της πληροφορίας των αντικειμένων μεταξύ του NMS και των αντιπροσώπων χρησιμοποιείται το πρωτόκολλο SNMP Σε ειδικές περιπτώσεις ο αντιπρόσωπος μπορεί να ειδοποιήσει τον διαχειριστή για την εμφάνιση προβλημάτων στο δίκτυο NMS MIB Specification Manager SNMP SNMP Agent MIB Agent MIB Network Element Network Element 2

SNMP Χαρακτηριστικά Το Simple Network Management Protocol (SNMP) αποτελεί το πρωτόκολλο διαχείρισης IP δικτύων, μέσω του οποίου παρακολουθούνται και τροποποιούνται κατάλληλα οι παράμετροι λειτουργίας των στοιχείων του δικτύου Χρησιμοποιείται για τη μεταφορά της πληροφορίας διαχείρισης μεταξύ του NMS και των εφαρμογών λογισμικού (agents), που αντιπροσωπεύουν τα στοιχεία του δικτύου Το ισχυρό σημείο του SNMP είναι η απλότητα του στην υλοποίηση και λειτουργία του Αποτελεί ένα πρωτόκολλο τύπου αίτησης/απάντησης 3

SNMP Χαρακτηριστικά Το SNMP ελαχιστοποιεί τον αριθμό και την πολυπλοκότητα των συναρτήσεων διαχείρισης που πρέπει να υποστηρίζει ο αντιπρόσωπος Η πολυπλοκότητα της επεξεργασίας των στατιστικών μετρήσεων και της λήψης αποφάσεων αφήνεται στον NMS Το SNMP είναι ανεξάρτητο από την αρχιτεκτονική των μηχανημάτων που διαχειρίζεται Το SNMP απαιτεί κάθε διαχειριζόμενο αντικείμενο να έχει μία συγκεκριμένη τιμή στη ΜΙΒ δομή Το SNMPv1 έγινε επίσημο Internet standard το 1990 στην προδιαγραφή RFC 1157. Οι εξελιγμένες εκδόσεις του είναι οι SNMPv2 και SNMPv3 4

SNMP Λειτουργία

SNMP Λειτουργία Τα SNMP μηνύματα μεταφέρονται μέσω του πρωτοκόλλου UDP και είναι κωδικοποιημένα με τη γλώσσα ASN.1 Ο NMS συλλέγει την απαραίτητη SNMP πληροφορία από όλους τους αντιπροσώπους των στοιχείων του δικτύου Η επόπτευση της κατάστασης των στοιχείων του δικτύου από τον NMS βασίζεται σε μία κυκλική παρακολούθηση (polling) αυτών Τα SNMP μηνύματα συλλέγονται σε μία λίστα για επεξεργασία από τον NMS και παρουσιάζονται σε αύξουσα χρονική σειρά στην οθόνη του Το κάθε SNMP μήνυμα έχει έναν αύξοντα αριθμό, ο οποίος καθορίζει και τη θέση του στη λίστα γεγονότων που αποθηκεύει ο NMS

request/response mode SNMP Λειτουργία agent data Managed device managing entity response trap msg request request/response mode trap mode

SNMP Λειτουργία Η κύρια λειτουργία του SNMP είναι ο έλεγχος και αλλαγή στις τιμές των παραμέτρων των διαχειριζομένων αντικειμένων α. GET λειτουργία. Διαβάζει τιμές παραμέτρων β. SET λειτουργία. Θέτει τιμές παραμέτρων γ. TRAP λειτουργία. Ειδοποιεί τον NMS για διάφορα γεγονότα που συμβαίνουν στο δίκτυο Με το SNMP δεν υπάρχει δυνατότητα τροποποίησης της MIB δομής, δηλαδή να αφαιρέσει ή να προσθέσει αντικείμενα σε αυτήν Με το SNMP υπάρχει δυνατότητα πρόσβασης μόνο στα ‘φύλλα’ της MIB δομής Ο αντιπρόσωπος μπορεί να καθορίσει ποιοι διαχειριστές θα έχουν πρόσβαση στα αντικείμενα της MIB και με ποια δικαιώματα 4

SNMPv1 Υπάρχουν 3 τύποι SNMP μηνυμάτων που αποστέλλονται από τον NMS. Αυτά είναι τα GetRequest, GetNextRequest και SetRequest Στα μηνύματα αυτά ο αντιπρόσωπος αποκρίνεται με το SNMP μήνυμα GetResponse Ο αντιπρόσωπος μπορεί να αποστείλει το Trap μήνυμα για να ειδοποιήσει τον NMS για κάποιο γεγονός

SNMPv1 Λειτουργία SNMP manager SNMP agent get-request get-response UDP port 161 set-request get-next-request trap UDP port 162

SNMPv1 Μορφή Μηνυμάτων IP header UDP version (0) PDU type (0- 3) (4) community PDU type (0- 3) request ID error status (0 - 5) index name value ... (4) enterprise agent addr trap (0 - 6) specific code time stamp trap header variable bindings IP datagram UDP datagram SNMP message common SNMP header get / set header variable bindings PDU type Name 0 get-request 1 get-next-request 2 get-response 3 set-response 4 trap error status Name Description 0 noError all is OK 1 toBig agent could not fit reply into a single SNMP message 2 noSuchName operation specified a nonexistent variable 3 badValue a set operation specified an invalid value or syntax 4 readOnly manager tried to modify a read-only variable 5 genErr some other error

SNMPv1 Πεδία Community. α. Είναι μια μορφή password που καθορίζει τις δυνατότητες πρόσβασης του NMS στο στοιχείο του δικτύου (δηλ. τα αντικείμενα) που διαχειρίζεται ο αντιπρόσωπος Ανάγνωση μόνον Ανάγνωση και γράψιμο Λήψη ασύγχρονων ειδοποιήσεων (traps) β. Καθορίζεται από τον αντιπρόσωπο (agent) γ. Κάθε αντιπρόσωπος μπορεί να καθορίσει πολλές communities, όπου κάθε μία έχει το δικό της όνομα δ. Καθορίζει την ομάδα SNMP στην οποία ανήκει ο NMS που αποστέλλει το SNMP μήνυμα ε. Ο αντιπρόσωπος θα εκτελέσει την εντολή του NMS (π.χ. GetRequest) μόνο εάν το πεδίο Community έχει σωστή τιμή στ. Είναι τύπου OCTET STRING σύμφωνα με την ASN.1

SNMPv1 Πεδία Version. Δηλώνει την έκδοση του SNMP πρωτοκόλλου PDU Type. Καθορίζει τον τύπο του SNMP μηνύματος RequestId. Χρησιμοποιείται από τον NMS για να ξεχωρίζουν οι αιτήσεις μεταξύ των. Ο αντιπρόσωπος αντιγράφει το RequestId της αίτησης στην αντίστοιχη θέση της απάντησης που στέλνει VariableBindings. Λίστα αναγνωριστών αντικειμένων (ΟΙD) με τις αντίστοιχες τιμές τους Error-Status. Δηλώνει τον τύπο του λάθους σε περίπτωση που η αίτηση δεν μπορεί να εκτελεστεί από τον αντιπρόσωπο (π.χ. noSuchName) Error-Index. Σε περίπτωση λάθους δηλώνει ποια μεταβλητή στο μήνυμα της αίτησης δημιούργησε το λάθος

SNMPv1 GetRequest-PDU Το αποστέλλει ο NMS και περιλαμβάνει μία λίστα από ένα ή περισσότερα ονόματα αντικειμένων για τα οποία ζητούνται τιμές Το κάθε πεδίο name περιέχει το όνομα του αντικειμένου, ενώ το αντίστοιχο πεδίο value είναι κενό Σε περίπτωση που ο αντιπρόσωπος βρει το αντικείμενο αντιγράφει την τιμή του στο πεδίο value, δημιουργεί το GetResponse μήνυμα και το αποστέλλει στον NMS Αν δεν το βρει, αποστέλλει ένα GetResponse μήνυμα που περιέχει τον κωδικό λάθους στο πεδίο error_status (π.χ. noSuchName)

SNMPv1 GetNextRequest-PDU Το αποστέλλει ο NMS και περιλαμβάνει μία λίστα από ένα ή περισσότερα ονόματα αντικειμένων Για κάθε ένα αντικείμενο αυτής της λίστας ζητείται η τιμή του αντικειμένου που βρίσκεται στην επόμενη ιεραρχική θέση στη ΜΙΒ δομή Για κάθε επόμενο αντικείμενο που βρίσκει ο αντιπρόσωπος αντιγράφει το όνομα του και την τιμή του στο πεδίο variable-bindings, δημιουργεί ένα GetResponse μήνυμα και το αποστέλλει στον NMS Αν δεν υπάρχει επόμενο αντικείμενο, αποστέλλει ένα GetResponse μήνυμα που περιέχει τον κωδικό λάθους στο πεδίο error_status (π.χ. noSuchName) Η εντολή αυτή χρησιμοποιείται για να βρεθεί η ιεραρχική δομή της MIB με δυναμικό τρόπο

SNMPv1 SetRequest-PDU Το αποστέλλει ο NMS για να ζητήσει την αλλαγή των τιμών ενός ή περισσοτέρων αντικειμένων στην MIB Το κάθε πεδίο name περιέχει το όνομα του αντικειμένου, ενώ το αντίστοιχο πεδίο value περιέχει τη νέα τιμή Η λειτουργία SetRequest είναι ατομική. Ενημερώνονται με τις νέες τιμές είτε όλα τα αντικείμενα είτε κανένα Σε περίπτωση που ο αντιπρόσωπος βρει το αντικείμενο και η νέα τιμή είναι αποδεκτή, τότε την αντιγράφει σε αυτό και αποστέλλει στον NMS ένα GetResponse μήνυμα Αν κάποια νέα τιμή δεν μπορεί να καταχωρηθεί, αποστέλλει ένα GetResponse μήνυμα που περιέχει τον κωδικό λάθους στο πεδίο error_status (π.χ. badValue). Σε αυτήν την περίπτωση δεν αποθηκεύεται καμία νέα τιμή και σταματάει η εκτέλεση της εντολής

SNMPv1 Trap-PDU Το αποστέλλει ο αντιπρόσωπος κάποιου στοιχείου του δικτύου, για να ειδοποιήσει τον NMS για κάποιο σημαντικό γεγονός Το πεδίο enterprise δηλώνει το στοιχείο του δικτύου που δημιούργησε το Trap μήνυμα Το πεδίο agent-addr περιέχει την ΙΡ διεύθυνση του αντιπροσώπου που δημιούργησε το Trap μήνυμα Το πεδίο trap-type περιέχει τον κωδικό του Trap μηνύματος Το πεδίο time-stamp περιέχει τον χρόνο από την αρχικοποίηση του συστήματος μέχρι τη δημιουργία του Trap μηνύματος O NMS δεν επιβεβαιώνει τη λήψη ενός Trap μηνύματος

Trap-PDU (Trap κωδικοί) SNMPv1 Trap-PDU (Trap κωδικοί) coldStart. Δηλώνει την αρχικοποίηση του συστήματος μετά από κάποια προβληματική κατάσταση (π.χ. crash). Υπάρχει ενδεχόμενο η έκδοση του αντιπροσώπου ή του πρωτοκόλλου διαχείρισης να έχει αλλάξει warmStart. Δηλώνει την αρχικοποίηση του συστήματος και ότι η έκδοση του αντιπροσώπου ή του πρωτοκόλλου διαχείρισης δεν έχει αλλάξει linkDown. Δηλώνει την ύπαρξη προβλήματος σε κάποια φυσική διασύνδεση. Το πεδίο value περιέχει την τιμή του αντικειμένου ifIndex που δηλώνει την προβληματική διασύνδεση

Trap-PDU (Trap κωδικοί) SNMPv1 Trap-PDU (Trap κωδικοί) linkUp. Δηλώνει την ενεργοποίηση κάποιας φυσικής διασύνδεσης. Το πεδίο value περιέχει την τιμή του αντικειμένου ifIndex που δηλώνει την ενεργοποιημένη διασύνδεση authenticationFailure. Δηλώνει την ύπαρξη προβλήματος κατά την διαδικασία αυθεντικότητας του μηνύματος egpNeighborLoss. Δηλώνει την απενεργοποίηση ενός γειτονικού EGP κόμβου enterpriseSpecific. Δηλώνει την εμφάνιση ενός συγκεκριμένου γεγονότος όπως καθορίζεται από τον κατασκευαστή. Το γεγονός δηλώνεται στο πεδίο specific-trap

SNMPv1 Ανταλλαγή Μηνυμάτων Manager Agent GetNextRequest PDU GetRequest PDU GetResponse PDU SetRequest PDU GetNextRequest PDU Trap PDU (a) Get values (b) Get next values (c) Set values (d) Send trap 4

SNMPv1 Μετάδοση Πληροφορίας Κάθε SNMP μήνυμα περιγράφεται σαν αντικείμενο σύμφωνα με την ASN.1 προδιαγραφή Κωδικοποιείται σύμφωνα με τις Basic Encoding Rules (BER) της ASN.1 προδιαγραφής Αντιγράφεται στο πεδίο πληροφορίας ενός UDP πακέτου Μεταφέρεται μέσω του IP δικτύου Ο παραλήπτης ελέγχει το πεδίο version και απορρίπτει το SNMP μήνυμα σε περίπτωση που δεν την υποστηρίζει Ο παραλήπτης ενεργοποιεί την διαδικασία αυθεντικότητας του SNMP μηνύματος ελέγχοντας τις τιμές των πεδίων community και των IP διευθύνσεων αποστολέα και προορισμού Αν η διαδικασία είναι επιτυχής ακολουθεί η ανάλυση του SNMP μηνύματος σύμφωνα με την ASN.1 προδιαγραφή 4

SNMPv1 Περιγραφή Μηνύματος Message ::= SEQUENCE { version INTEGER, community OCTET STRING, data PDUs } PDUs ::= CHOICE { get-request GetRequest-PDU, get-next-request GetNextRequest-PDU, get-response GetResponse-PDU, set-request SetRequest-PDU, trap Trap-PDU }

SNMPv1 Περιγραφή Μηνύματος GetRequest-PDU ::= [0] IMPLICIT SEQUENCE { request-id RequestID, error-status ErrorStatus, error-index ErrorIndex, variable-bindings VarBindList } GetNextRequest-PDU ::= [1] IMPLICIT SEQUENCE { … } GetResponse-PDU ::= [2] IMPLICIT SEQUENCE { … } SetRequest-PDU ::= [3] IMPLICIT SEQUENCE { … }

SNMPv1 Περιγραφή Μηνύματος RequestID ::= INTEGER ErrorStatus ::= INTEGER { noError(0), tooBig(1), noSuchName(2), badValue(3), readOnly(4) genErr(5) } ErrorIndex ::= INTEGER VarBind ::= SEQUENCE { name ObjectName, value ObjectSyntax } VarBindList ::= SEQUENCE OF VarBind

Παράδειγμα Κωδικοποίησης (BER) SNMPv1 Παράδειγμα Κωδικοποίησης (BER) Κωδικοποίηση με ΒER (hex μορφή): [5] IMPLICIT SEQUENCE a5 82 00 39 INTEGER 02 04 54 52 5d 76 INTEGER 02 01 01 INTEGER 02 01 02 SEQUENCE 30 2b SEQUENCE 30 0b OBJECT IDENTIFIER 06 07 2b 06 01 02 01 01 03 NULL 05 00 SEQUENCE 30 0d OBJECT IDENTIFIER 06 09 2b 06 01 02 01 04 16 01 02 NULL 05 00 SEQUENCE 30 0d OBJECT IDENTIFIER 06 09 2b 06 01 02 01 04 16 01 04 NULL 05 00 Σημ. (Η πρώτη οκτάδα του μήκους,δηλ.82, συμβολίζει ότι το μήκος της πληροφορίας δηλώνεται στις επόμενες δύο) GetBulkRequest-PDU [5] IMPLICIT SEQUENCE { request-id 1414684022, non-repeaters 1, max-repetitions 2, variable-bindings { { name sysUpTime, value {unspecified NULL } }, { name ipNetToMediaPhysAddr, value { unspecified NULL } }, { name ipNetToMediaType, value { unspecified NULL } } }}

SNMPv1 Αδυναμίες Η μεταφορά των SNMP μηνυμάτων γίνεται με το UDP, το οποίο δεν υποστηρίζει αξιόπιστη μεταφορά δεδομένων Δεν καθορίζονται μηνύματα για NMS-to-NMS επικοινωνία Δεν υπάρχει κάποιο μήνυμα που να υποστηρίζει τη μεταφορά μεγάλου όγκου δεδομένων με μία αίτηση (π.χ. τα περιεχόμενα ενός πίνακα) Δεν υπάρχει κάποιο μήνυμα επιβεβαίωσης της λήψης των Trap μηνυμάτων από τον NMS 4

SNMPv1 Αδυναμίες Η διαδικασία αυθεντικότητας του αποστολέα των SNMP μηνυμάτων είναι υπερ-απλουστευμένη, οπότε με μία υποκλοπή του community πεδίου ο εισβολέας αποκτάει πρόσβαση στη ΜΙΒ του διαχειριζόμενου στοιχείου Δεν καθορίζονται μηχανισμοί ασφάλειας (π.χ. κρυπτογράφηση) για τη μεταφορά των SNMP μηνυμάτων Κάποιες από αυτές τις αδυναμίες διορθώνονται στις επόμενες SNMP εκδόσεις 4