Számítógép- és hálózatfelügyelet

Számítógép- és hálózatfelügyelet Wagner György Általános Informatikai Tanszék

A számítógép hasznos de hálózatba kötve sokkal hasznosabb. A hálózatokat hálózati eszközök segítségével alakítjuk ki (repeater, bridge, router, gateway, switch). A hálózaton vannak kliensek, szerverek, és hálózatot működtető eszközök. Ha ezek valamelyike elromlik, vagy működését vezérlő paraméterei elállítódnak, akkor a hálózat, vagy annak egy része elérhetetlenné válik. Mikor javítják ki? Válasz: mikor veszik észre? Megoldás: folyamatosan figyelni kell a hálózati eszközök működőképességét.

Felügyeleti lehetőségek a gyakorlatban Ping parancs segítségével Look@LAN segítségével Look@Host segítségével

Mi a kliens, mi a szerver? Próbáljuk meg közösen tisztázni Nevezhetjük a rajta futó OS miatt annak Nevezhetjük szerepe miatt annak Nevezhetjük az architektúrája miatt annak Nevezhetjük a rajta futó alkalmazás miatt annak Nevezhetjük a hálózatban betöltött szerepe miatt annak Stb

Hardver felügyeleti megoldások Persze, persze, fontos a kliens, de arról gondoskodjon mindenki saját maga. (Igaz, nagyobb cégeknél erre azért ott a help desk, és az informatikai csoport)

Hardver felügyeleti megoldások Vegyük most a szervereket. A legtöbb nagyobb gyártó ad szoftvert az alaplap figyeléséhez (pl. Intel)

Intel Active Monitor

Az Intel Desktop Utility jellemzői Azt a gépet felügyeli, amelyiken fut. Ha ez elromlik, nincs felügyelet, nincs hibajelentés. Persze ha azon dolgozik a rendszergazda, akkor észreveszi, hogy tönkrement. Na de szerveren dolgozni???

Más gyártók Ahány gyártó, annyiféle szoftver. A rendszergazdának (rendszerfelügyelőnek) mindegyiket ismernie kellene. Rohangálhat minden szerverhez, rendben van-e. Megoldás: 1. A rendszergazda üljön a saját gépe előtt. 2. Minden gépen fusson rendszerfigyelő szoftver. 3. Az folyamatosan figyelje a felügyelt gép állapotát. 4. Folyamatosan jelentsen a rendszergazda gépén futó programnak.

Más gyártók Ha már van saját fejlesztésű szoftverük abbahagyják azt egy másik cég szoftvere miatt??? Megoldás: legyen gyártótól független, egységes, és ne kötődjön senkihez. Néhány nagyobb gyártó összefog legyen hát IPMI Intelligent Platform Management Interface Igaz, ez önmagában kevés, kellenek más komponensek is:

Hardver felügyeleti megoldások Szükséges komponensek: BMC (Baseboard Management Controller), más néven: Service Processor. A szerverhez kapcsolt / integrált diagnosztikai számítógép. Saját firmware-e, tápellátása és hálózati kapcsolata van. IPMI (Intelligent Platform Management Interface). Szabványosított kommunikációs interfész a BMC felé. Soros, LAN, Serial over LAN (SOL) protokoll RMCP (Remote Management Control Protocol) UDP, 623 port

IPMI Nyílt OS független Fejlesztői: a Dell, a HP, az IBM és az Intel Szolgáltatásai: A készülékház érzékelés (kinyitották-e) Távoli ki/bekapcsolás, reboot Hozzáférés a különböző szenzorokhoz: hőmérséklet, feszültség, stb. System naplófájl (SEL - System Event Log). A BMC saját memóriájában kerül eltárolásra. Felügyelt eszközön életjelek (heartbeat). Ha egymás után több életjel kimarad, figyelmeztet (azonnali üzenetküldéssel, vagy SMS-sel, vagy e-mail-en)

Példa BMC-re: Supermicro SMC-001

A Supermicro IPMIView szoftvere

IPMI Unix alatt parancssoros felülettel Kell hozzá az ipmitool ipmitool I lan H 192.168.10.15 U admin a chassis power status Ahol: I: a BMC LAN interfacével kommunikálunk H: a host IP címe, vagy neve U: bejelentkezéshez felhasználó neve a BMC-n a: a jelszóra kérdezzen rá, nem most akarjuk megadni chassis power status: működik-e a tápegység Lehetséges válasz: Chassis Power is on

Néhány parancs (ipmitool ) chassis power off chassis power on chassis power reboot chassis power reset chassis status lan set 1 Pl: lan set 1 netmask 255.255.255.0

IPMI v1.0 Képességei: be lehet jelentkezni. Ehhez nevet és jelszót fog kérni Lehet parancsokat kiadni A parancsokkal módosítani is lehet a szerver állapotát Tudja kezelni a szenzorokat Van eseményfigyelője, és ahhoz naplófájlja A szerver rendszer buszán keresztül lehet elérni (pl.: soros port)

IPMI v1.5 Képességei: Minden, amit a v1.0 már tud, kiegészül: A BMC már LAN-on keresztül is elérhető Riasztás is kérhető LAN-on keresztül Használja az egyelőre nem szabványos SOL-t (Serial Over LAN)

IPMI v2.0 Képességei: Minden, amit a v1.5 már tud, kiegészül: Már a szabványos SOL-t használja, emiatt: A konzol átirányítható. Jogosultságok oszthatók ki a felhasználók között. Kibővített felhasználó azonosítás. A csomagokat az RCMP helyett már RCMP+ segítségével továbbítja, és az már támogatja a titkosítást.

Rendszerfelügyelet másképpen 1996: Microsoft, Compaq, Cisco, Intel, BMC software: WBEM: Web Based Enterprise Management (nagy kiterjedésű rendszerek Web alapú felügyelete) Célja: olyan nyílt felügyeleti környezet kialakítása, melyben a lehető legtöbb meglévő technológia és szabvány felhasználásával az összes felügyeleti rendszer és alkalmazás elérheti és szabályozhatja a felügyeleti információkat. Bekapcsolódik a fejlesztésbe a DMTF (Distributed Management Task Force), majd 1998-tól már ez a központ.

A WBEM architektúra

Microsoft A Microsoft WBEM megvalósítása a WMI (Windows Management Instrumentation). Például: CallWMI "Win32_NetworkAdapter", OutputString Válasz: AdapterType : Ethernet 802.3; Description : Intel 21041 Based PCI Ethernet Adapter; MACAddress : 00:80:48:EA:75:8A; Manufacturer : Intel; PNPDeviceID : PCI\VEN_1011&DEV_0014&SUBSYS_00000000&REV_11\3& 61AAA01&0&58; PowerManagementSupported : False;

Definíciók Helyi állomás: az a számítógép, amelyiken a felhasználó éppen dolgozik. Távoli állomás: a felhasználó által a helyi állomásról elért másik számítógép. Kiszolgáló: egy vagy több ügyfélnek hálózaton keresztül szolgáltatásokat biztosító számítógép. Ügyfél: hálózaton keresztül egy vagy több kiszolgáló szolgáltatásait igénybevevő számítógép.

Elvárások a hálózat felügyelettől A hálózat elérhetőségének figyelése Az automatizálás fokozása A válaszidők figyelése Biztonsági funkciók nyújtása A forgalom irányítása Helyreállítási lehetőségek Felhasználók regisztrálása

A megvalósítások A hálózatmenedzsment területén kidolgozott fontosabb szabványok: CMIP (Common Management Information Protocol) CMOT (Common Management over TCP/IP) TMN (Telecommunications Management Network) SNMP (Simple Network Management Protocol)

CMIP Kidolgozója az ISO. Része az OSI-nak. Fejlettebb, mint az SNMP. Itt definiálták a hálózat menedzsment 5 funkcióját. Hátránya: Komplex (bonyolult) A szabványosítási folyamat túl sokáig tartott Előnye: Objektum orientált

CMOT A CMIP TCP/IP feletti megvalósítása. Nem készültek el időben sem a specifikációk, sem az implementáció, így a fejlesztés leállt.

TMN A CCITT (új neve ITU) ajánlása. Távközlési hálózatok menedzselését írja le. Felhasználási területei: Távbeszélő hálózatok LAN és WAN adatátviteli hálózatok ISDN hálózatok Mobil hálózatok Intelligens hálózati szolgáltatások

SNMP Az IETF (Internet Engineering Task Force) által szabványosított protokoll. A TCP/IP menedzsment de-facto szabványa. Az előzők közül csak ezzel fogunk foglalkozni.

A hálózat menedzsment funkciói Konfiguráció menedzsment (Configuration Management) Hiba menedzsment (Fault Management) Teljesítmény menedzsment (Performance Management) Biztonság menedzsment (Security Management) Elszámolás menedzsment (Accounting Management)

1. Konfiguráció menedzsment Ez a központi elem. Adatokat szolgáltat az aktuális konfigurációs részletekről Nyilvántartja a konfiguráció változásait A következő információkat használja: Menedzselt objektumok Azok állapotai A hálózati összekötésekre vonatkozó adatok

A konfiguráció menedzsment funkciói Készletnyilvántartás és topológia szolgáltatás (az adatokat nem egyszerű fájlokban tárolja, hanem a MIB-ben) Változások, változtatások nyilvántartása Kábelezési rendszer nyilvántartása (CMS Cabel Management System). Fontos, mert a hálózati hibák jelentős része a fizikai rétegből származik!!

A konfigurációs információs adatbázis tartalmazza: a kapcsolóelemek adatait, A router-ek konfigurációs adatbázisát, A hozzáférési jogosultságokra vonatkozó információkat, A menedzselt objektumok állapotát, A statisztikai és teljesítmény adatokat, A hálózati eseményeket.

2. A hiba menedzsment Célja a hálózatban fellépő hibák érzékelése, a hiba izolálása, és naplózása, az érintett személyek (rendszergazdák, felhasználók) értesítése, esetlegesen a hibák automatikus javítása. Ennek alapvető feltétele a hálózat dokumentálása (konfiguráció menedzsment).

Hiba megoldásához kell: a hálózat topológiája a használt protokollok és átviteli közegek a korábban mért sávszélességi mutatók a használt alkalmazások. Javasolt a már korábban előfordult hibák és azok megoldásának dokumentálása.

A hiba menedzsment feladatai Állapot felügyelet: LAN monitorok és LAN analizátorok segítségével figyelemmel kísérni a legfontosabb állapotjelzőket Hiba detektálás és riasztás: Bizonyos események hatására automatikus üzenetek generálódjanak. A lényeges eseményekhez prioritást és határértéket kell beállítani. Problémák meghatározása, elszigetelése. Jellemző hibaesetek: Nem technikai, hanem a felhasználók hiányos ismereteiből adódóak (80-85%) Bizonyos technikai hibák (hibás szerverműködés (5-10%) Kritikus és komplex technikai hibák (3-5%) Hálózati alkalmazásokkal összefüggő hibák (programlefagyás) (1-5%) Csak a gyártó által orvosolható problémák (pl.: firmware hiba)

Hálózatokban előforduló leggyakoribb hibaforrások Helytelen huzalozás, rossz kötés, szakadt kábel, kontakthiba Hibás interfészkártya, rossz driver, hibás órajel, nem megfelelő sebesség detektálás Sérült hálózati kapcsolóeszköz, vagy rossz paraméterezésű eszköz (dupla IP cím, stb.) Hibás hálózati operációs rendszer komponens Bekövetkezett adatvesztés (áramkimaradás, lemez sérülés). Védekezés: rendszeres mentéssel

Archiválás Kérdések: Mit mentsünk? Mikor mentsünk? Hogyan mentsünk? Beszéljük meg a válaszokat:

Archiválási módok Előtte beszéljünk az archiv attributumról (marker): Mi a szerepe, mikor módosul Mentés típusok: Normal Incremental Differential (Copy) Nézzük meg egy példán keresztül (mentés és helyreállítás folyamata)

Archiválás Többszörös helyi mentés? Vagy file-szerverre kihelyezett felhasználói fájlok központi mentése? Fontos: az archiválás a nyitott file-okkal általában nem boldogul! Több generációs mentések. A mentések dokumentálása.

3. Teljesítmény menedzsment Célja: - a hálózat kihasználtságának és terhelésének mérése, - a mért adatok különböző szempontok szerinti megjelenítése - a hálózat teljesítményének optimális szinten tartása érdekében.

A teljesítmény menedzsment feladatai A hálózat teljesítményére vonatkozó adatok meghatározása, teljesítménymutatók definiálása, a hálózat teljesítményének figyelése. A mért adatok analizálása, értelmezése. Küszöbértékek meghatározása, melyeknek átlépése riasztást, vagy valamilyen műveletet vált ki. A hálózat modellezése. A hálózat optimalizálása, hangolása.

Teljesítménymutatók típusai Lehet: statikus, dinamikus, és teljesítménymérési. Statikus mutatók: Átviteli kapacitás Jelterjedési késleltetés Topológia Keretméret Dinamikus mutatók: Teljesítménymérési mutatók: Hozzáférési protokoll Erőforrás használat Felhasználói forgalom Átviteli- és válaszidő Pufferek mérete Hozzáférhetőség Adatütközés és újratovábbítás Mérési adatok megbízhatósága

Teljesítménymérés (monitoring) A hálózat szűk keresztmetszetének felderítése. Ehhez LAN analizátorokat lehet használni. Keret forgalom Keret eloszlás Munkaállomások száma Használt protokollok

Hálózatok hangolása 1. Teljesítménymutatók meghatározása 2. Megfigyelés, információk begyűjtése 3. Megoldási tervek készítése 4. Alternatívák megbeszélése 5. Fontossági sorrend kialakítása 6. Ellenőrzés mérésekkel

4. Biztonság menedzsment Célja a hálózati hozzáférés szabályozása a helyi szabályok alapján. Feladata a hálózat elleni támadások, szándékos vagy véletlen működésképtelenné tételének, bizalmas információk felhatalmazás nélküli elérésének megakadályozása.

Veszélyek Illetéktelen hozzáférés Felhasználói hibák Alkalmazotti szabotázs Természeti katasztrófa Vírusfertőzés Ipari kémkedés

Védekezés illetéktelen hozzáférés ellen Munkaállomásokhoz való szabad fizikai hozzáférés korlátozása Fájlszerverek, hálózati kapcsolóelemek, központi és közbülső kábelrendezők elzárása Új csomópontok beiktatása (sniffer-lehallgatás) Vezeték nélküli csatlakozás korlátozása a vételi körzeten belül

Titkosítások A titkosításhoz, illetve a megfejtéshez szükséges kulcsok száma szerint lehet: Szimmetrikus (1 kulcsos) Aszimmetrikus (2 kulcsos) Alkalmazások: Titkosítás Digitális aláírás

5. Elszámolás menedzsment Feladata a költségek és számlák ellenőrzése, a költségösszetevők meghatározása. Költségösszetevők: Hardvereszközök (szerverek, perifériák, csatolóelemek, munkaállomások) kábelek (kábelek és csatolóelemek beszerzési és fenntartási költségei) szoftverek (operációs rendszerek, alkalmazói szoftverek) LAN menedzsment rendszerek (alkalmazások, adatbázisok, teszt berendezések) Infrastruktúra (bérelt vonal, előfizetői díjak, LAN szegmensek összekapcsolása) Személyi költségek Épületek, bérleti díjak, karbantartási díjak Energia, fűtés, hűtés

Az SNMP Előzménye az SGMP (Simple Gateway Monitoring Protocol) (1987) Első verziója (SNMP v1) 1990-ben jelent meg egy RFCben (mi az az RFC?) UDP alapú, a 161-es és a 162-es port-okat használja. Többször továbbfejlesztették (SNMP v2 > 1993-ban, SNMP v3 > 2000-ben) Majd kibővítették (RMON v1, RMON v2)

SNMP v1 RFC 1155: A menedzsment információk struktúráját írja le RFC 1157: Az SNMP definíciója RFC 1212: A MIB definíciója RFC 1213: A TCP/IP hálózatok menedzsmentjéhez szükséges MIB

SNMP v2 (v2c) és v3 v2: (64 bites számlálók bevezetése) RFC 1901: Az SNMP v2 bemutatása RFC 2578: Az SNMP v2 definiálása v3: (titkosítás, és jobb azonosítási procedura név és jelszó bekérése) RFC 1906: Az SNMP v3 definiálása

RMON (RMON 1, RMON 2) Az SNMP MIB kibővítése RFC 1757, RFC 2021

RMON 1 10 MIB csoportot definiál az alap hálózati monitorozáshoz A legtöbb új hálózati eszköz ezt már támogatja Csak a két alsó OSI rétegbeli monitorozást támogatja

RMON2 Az RMON 1-re épül (fizikai és adatkapcsolati réteg) Kiegészül: a hálózati -, a szállítási -, a kapcsolattartási -, és a megjelenítési réteggel

Az SNMP összetevői 4 komponensből áll: Felügyelt csomópont(ok) (ND Network Device) Felügyeleti állomás(ok) (NMS Network Management Station Az NMS összetevői: NMA Network Management Applications NE Network Elements, MA Management Agents) Felügyeleti információ(k) Felügyeleti protokoll

Az SNMP felépítése

Felügyelt csomópont Bármely eszköz, amely képes állapot információt küldeni magáról. Pl.: router, host, switch, bridge, printer, stb. Ahhoz, hogy egy eszköz SNMP menedzselhető legyen, képesnek kell lennie egy SNMP ügynök futtatására. Az ügynök egy változókból álló adatbázist tart fenn (MIB), hogy leírja az eszköz állapotát, és információkat tároljon a korábbi eseményekről.

Az ügynök Az ügynök feladata kettős: A felügyeleti állomás kéréseit szolgálja ki (válaszolja meg) Figyeli a felügyelt csomópontot, illetve vezérli azt. Ha a felügyeleti állomás lekérdez egy információt, akkor: vagy a már begyűjtött adatokat adja vissza, vagy a kérdés hatására szerzi be az eszköztől a kért információt.

Proxy Lehetnek olyan eszközök a hálózaton, amelyek nem képesek ügynök futtatására. Ezek az eszközök csak valamilyen gyártó specifikus módon képesek kommunikálni. Kell egy proxy ügynök, amely képes kommunikálni a felügyeleti állomással és a nem SNMP képes eszközzel is. Egy proxy több nem SNMP eszközzel is tarthat fent kapcsolatot.

Felügyeleti állomás Egy menedzsment szoftvert futtató számítógép, amely hálózaton keresztül kéréseket küld az ügynököknek, és fogadja azok válaszait. Ezek a szoftverek tárolják, feldolgozzák, megjelenítik és archiválják a begyűjtött információkat.

Felügyeleti információ Azok az adatok, amelyek leírnak egy SNMPvel menedzselhető eszközt. A felügyeleti információs adatbázis minden felügyelt készüléken megtalálható egy adatbázis struktúra formájában. Mivel az eszközök több gyártótól is származhatnak, a tárolt információ formáját pontosan kell definiálni.

Felügyeleti információ Az SNMP minden egyes ügynök számára előírja, hogy milyen információkat kell tartalmaznia, és milyen formátumban kell azt rendelkezésre bocsátania. A felügyelt csomópontok állapotuk információit változókban tárolják. Az SNMP ezeket a változókat objektumoknak nevezi. Ezeket írni, és olvasni lehet.

Felügyeleti protokoll Maga az SNMP. Az SNMP egy alkalmazási rétegbeli protokoll.

polling A felügyeleti állomás bizonyos időközönként lekérdezi az eszközöket. Ezt polling-nak nevezik. trap Az ügynök a felügyeleti állomás kérése nélkül egy esemény bekövetkezésekor automatikusan küld üzenetet a felügyelőnek. Ezt trap-nek nevezik.

Trap események Beállított határértékek átlépése esetén Cold start: az eszköz hideg újraindulása esetén Warm start: az eszköz meleg újraindulása esetén Off: az eszköz leállása esetén Authentication failure: illegális bejelentkezési kísérlet esetén. Link Down: egy kommunikációs kapcsolat megszakadása esetén Link Up: a kapcsolat helyreállása esetén EGP Loss: forgalomirányító hibajelzése esetén

Trap Az előző események bármelyike esetén az ügynök üzenetet küld a felügyelő állomásnak. Az üzenet csak annyi tartalmaz, hogy esemény következett be. A felügyeleti állomás dolga kideríteni, hogy milyen esemény volt az.

MIB (csak röviden) Management Information Base (Felügyeleti Adatbázis) Az összes lehetséges objektumokat (változó = objektum) a MIB adatstruktúrában adják meg.

RMON1 MIB csoportok Statistics: az ügynök által megfigyelt interfész általános számlálói. History: a statistics csoport értékei hosszútávon. Alarm: küszöbértékek az egyes statisztikákhoz, riasztásokhoz.

RMON 1 MIB csoportok Host: statisztikai adatokat tárol a hálózaton felfedezett minden egyes host-ról. HostTopN: az előző statisztikák, de csak kiválasztott host-okra.. Matrix: két eszköz közti kommunikáció statisztikai adatait tárolja, illetve adja vissza. Filters: szűrés, hogy mi alapján történjen a csomagszűrés.

RMON1 MIB csoportok PacketCapture: a csomagok gyűjtése. Events: SNMP trap-ek az alarm csoport küszöbértékei alapján. TokenRing: Token Ring támogatásához használható. (további alszámos csoportjai vannak: 1a, 1b, 2a, 2b, 10)

RMON2 MIB csoportok Protocol Directory: mely protokollokról gyűjt az ügynök információt. Protocol Distribution: az adatok protokollonkénti eloszlása.

RMON2 MIB csoportok Address Mapping: az ügynök által feltérképezett MAC és a hálózati réteg cím összerendelés. Network Layer Host: a hálózati eszköz (IP) statisztikája. Network Layer Matrix: két eszköz közti hálózati rétegbeli kommunikáció statisztikáját tárolja és szolgáltatja. Application Layer Host: Alkalmazási rétegbeli statisztika.

RMON2 MIB csoportok Application Layer Matrix: két eszköz közti alkalmazási rétegbeli kommunikáció statisztikáját tárolja és szolgáltatja. User History: a hálózat felügyelő számára biztosít konfigurációs lehetőséget, hogy megadja, milyen kommunikációra kíván számlálókat beállítani. Probe Configuration: csak egy, de tetszőleges gyártó ügynöke távolról képes legyen konfigurálni egy másik gyártó ügynökét.

Az SNMP protokoll

PDU típusok GetRequest GetResponse GetNextRequest SetRequest Trap GetBulkRequest InformRequest

GetRequest A menedzser (felügyelő) állomás a PDU-ban felsorolja azoknak a változóknak (objektumoknak) a neveit, amelyek értékeit meg szeretné kapni az ügynöktől. Az ügynök a válaszában jelzi, hogy sikeres vagy sikertelen volt-e a kérés. Ha sikeres, akkor a válasz üzenetben elküldi a kért objektumok értékeit.

GetResponse Az SNMP ügynök válasza a kért objektumok értékeiről. Ebben jelzi azt is, hogy sikeres, vagy sikertelen volt-e a kérés. Hibaüzenetet ad vissza, ha nem létező objektum értékét kérték, vagy érvénytelen azonosító lett megadva. A PDU felépítése pont ugyanaz, mint a GetRequest esetén!

GetNextRequest Az objektumok jellemzői (attributumai) lexikografikus sorrendben vannak letárolva. Az ügynök olyan objektumok azonosítóival és értékeivel válaszol, amelyek közvetlen leszármazottjai a korábban lekérdezett objektumoknak. Segítségével a MIB gráfot balról jobbra lehet bejárni. Ha nincs leszármazott, hibaüzenetet küld vissza.

SetRequest A menedzser ezzel a PDU-val tudja megváltoztatni egyes objektumok értékeit. A PDU tartalmazza az objektum nevét és értékét. Az ügynök megpróbálja megváltoztatni a megadott objektum értékét Ha nem sikerül neki, hibaüzenetet küld.

Hibaüzenet oka lehet: Az objektum csak olvasható Az objektum írható ugyan, de a menedzsernek nincs rá írási joga A megadott érték helytelen vagy illegális A válasz túl hosszú A kért objektumok között volt legalább egy érvénytelen (a többi értékét sem adja meg)

Trap Az SNMP ügynök mindig csak kérésre válaszol. Ez alól 1 kivétel van, a TRAP. Az ügynök bizonyos események bekövetkezésekor kérés nélkül küld üzenetet a menedzsernek. A PDU tartalmazza az időpontot és a kiváltó esemény azonosítóját. Az eseményeket korábban felsoroltuk.

GetBulkRequest Azonos típusú objektumokból egyszerre több is lekérhető, amennyiben egy üzenetbe belefér. Az SNMPv2-ben jött ki.

InformRequest Segítségével a menedzserek tudják egymással közölni, hogy milyen objektumokat tartanak nyilván. Az SNMPv2-ben jött ki. Most nézzük az egyes PDU-k felépítését részletesebben

SNMPv1 PDU

GetRequest PDU SNMPv1 PDU PDU type = 0, Error status = 0, Error Index = 0 GetNextRequest PDU PDU type = 1, Error status = 0, Error Index = 0 GetResponse PDU PDU type = 2, Error status = 0 vagy hibakód, Error Index = 0 vagy hibás objektum sorszáma a csomagban Lehetséges hibakódok: noerror(0), toobig(1), nosuchname(2), badvalue(3), readonly(4), generr(5) SetRequest PDU PDU type = 3, Error status = 0 vagy hibakód

SNMPv1 Trap PDU

SNMPv1 Trap PDU PDU type = 4 Enterprise: OID formátum, Generic trap: coldstart(0), warmstart(1), linkdown(2), linkup(3), authenticationfailure(4), egpneighborloss(5), enterprisespecific(6) Specific trap: akkor is szerepel a csomagban, ha a Generic trap nem enterprisespecific(6) Time Stamp: az agent indítás óta eltelt idő

SNMPv2 BulkRequest PDU GetBulkRequest PDU PDU type = 5 a változópárok száma és pozíciója független lesz a kéréstől a válaszban

SNMPv2 PDU

InformRequest PDU PDU type = 6 SNMPv2 PDU Az első két változópár kötelezően: sysuptime.0 és snmptrapoid.0 SNMPv2-Trap PDU PDU type = 7 Az első két változópár kötelezően: sysuptime.0 és snmptrapoid.0 Report PDU PDU type = 8 Részletesebben az RFC nem definiálja

Az SNMP alapműveletei: Get

Az SNMP alapműveletei: Set

Az SNMP alapműveletei: Get-Next

Az SNMP alapműveletei: Trap

MIB részletesen Struktúrált információs adatbázis, amely fizikailag a menedzselt hálózati eszközön található. Struktúráját az SMI (Structure of Management Information) ben írják le. (RFC 1155) A MIB objektumainak leírásához az ASN.1-et használják (ASN.1 Abstract Syntax Notation One) Az ASN egy szabványos objektum definiáló nyelv (ISO 8824). Az SNMP MIB-nél az ASN.1-nek csak egy részét használják.

MIB A MIB-eknek 3 csoportja van: Standard MIB Extended MIB Private MIB A standard és az extended a hálózat menedzselésére szolgálnak. A private gyártó specifikus MIB. Csak az adott gyártóhálózati eszközeinek menedzselésére használható.

MIB-I (MIB-1), MIB-II (MIB-2) A MIB első verziója (MIB-I) nagyon keveset tudott, ezért tovább bővítették. Ez a MIB-II, amelyet már az SNMP-hez terveztek. A MIB-II-t az RFC 1213-ban definiálták. Az RFC 1213 a menedzselhető objektumokat csoportokba sorolta. Minden csoportnak van egy objektum előtagja (prefix). Ez adja meg, hogy a csoport mely másik csoport alá tartozik.

MIB-I MIB-II pl. a system csoport Egyik legfontosabb a system (rendszer) csoport. Minden tagjának a sys prefix-e van. Tagjai: sysdescr (az eszköz szöveges leírása) sysobjectid (gyártóspecifikus azonosító) sysuptime (az eszköz boot-olása eltelt idő századmp-ben) syscontact (az eszközért felelős személy neve) sysname (az eszköz neve) syslocation (az eszköz fizikai helye) sysservices (egy egész szám, amely megadja, hogy az eszköz mely OSI rétegeket támogatja)

sysservices 1: fizikai 2: adatkapcsolati 3: hálózati 4: szállítási 5: alkalmazási (!) Képlet: érték = 2 L-1, ahol L a fenti számok valamelyike. Ha az eszköz több réteget is támogat, akkor az értéket összeadással kell képezni: 2 2-1 + 2 3-1 = 2 + 4 = 6

Objektum azonosító névtér MIB-II system csoport

A névtér Felügyelője az ISO és az ITU Az ISO az iso részt felügyeli Az ITU a ccitt részt felügyeli A kettő kombinációja a joint-iso-ccitt A nevekhez számokat is rendelnek (0,1,2)

Az ISO névtere 4 él tartozik hozzá: standard(0), registration-authority(1), member-body(2) és org(3) (identified-organisation) Ebben található a dod(6) (Department of Defense) aminek egyik éle az internet(1) Az internet 6 cimkét tartalmaz: directory(1) jelenleg nem használt management(2) az RFC-ben szabványosított alapvető MIB-ek experimental(3) kísérletezésre, átmeneti jelleggel. Szabad. private(4) ebből nyílik az enterprises, ebből a gyártók pl.cisco(9) security(5) snmpv2(6)

Ebből nyílik a mib(1) A mib részei: A management(2) ág system(1) a felügyelt csomópont általános információi interfaces(2) a felügyelt csomópont interface-ei (sebesség, típus,stb) at(3) címfordítás (Address Translation) elavult, nem használják MIB-I ip(4) hálózati rétegbe tartozó eszközök menedzselési információi icmp(5) icmp figyelésére. Pl: ip datagram hibák jelzésére tcp(6) tcp menedzseléshez szükséges információk pl: kapcsolat állapota udp(7) udp menedzseléséhez szükséges információk pl. adatszámlálók egp(8) Exterior Gateway Protocol Külső forgalomirányítási protokoll cmot(9) Common Management over TCP/IP információk MIB-II transmission(10) a csomópont helye a MIB fán belül snmp(11) az SNMP üzenetek száma

Példa a private(4) csoport részfára

Hivatkozás objektumra Hivatkozni mindig a gyökértől kell. Pl: sysuptime: iso.org.dod.internet.mgmt.mib.system.sysuptime Ugyanez számokkal: 1.3.6.1.2.1.1.3 A mib-ben levő objektumok mindig így kezdődnek: iso.org.dod.internet.mgmt.mib. 1.3.6.1.2.1

sysuptime ASN.1 definícióval vagy sysuptime OBJECT-TYPE SYNTAX ACCESS STATUS DESCRIPTION ::={ system 3 } TimeTicks read-only mandatory The time OBJECT sysuptime { system 3 } Syntax: TimeTicks Definition: The time in hundreth of seconds Access: read-only Status: mandatory

Részletesen Az első sor magát az objektumot definiálja A második sor az objektum típusát adja meg A harmadik sor az objektum hozzáférhetőségét A negyedik az objektum megvalósítására vonatkozik Az ötödik egy szöveges leírás, mire való az objektum A hatodik beilleszti az objektumot a MIB fába. (a system csoport harmadik tagja legyen)

Objektum típusok Az ASN.1-ből örökölt típusok: INTEGER: tetszőleges hosszúságú egész BIT STRING: 0 vagy egész hosszúságú szöveg OCTET STRING: 0 vagy több előjel nélküli byte-ból álló szöveg NULL: helyfoglalásra OBJECT IDENTIFIER: meglévő objektumokra lehet hivatkozni Sequence: meglévő típusokból egy új összetett típus (struct) Sequence Of: meglevő egyszerű típusból egy tömb

Az SNMP saját típusai: Objektum típusok Counter32: előjel nélküli 32 bites számláló Gauge32: előjel nélküli nem körbeforgó érték. A max. érték elérése után nem nullázódik le, hanem megtartja azt. Integer32: 32 bites előjeles érték UInteger32: 32 bites előjel nélküli érték Counter64. előjel nélküli 64 bites számláló TimeTicks: egy adott idő óta eltelt idő századmásodpercekben Opaque: elavult, csak a kompatibilitás miatt van IpAddress: IP címek tárolására, 32 bites

Hozzáférési módok (Access) read-only: csak olvasható read-write: olvasható, írható write-only: csak írható (pl. jelszónál) not-accessible: kívülről nem érhető el

Status értékei mandatory: kötelező. Ha az eszköz támogatja azt a csoportot,amelyiknek ez az objektum a tagja, akkor ezt az objektumot kötelező megvalósítania. optional: választható. Nem kötelező az eszköznek támogatnia. obsolete: elavult. Egy korábbi SNMP változat támogatta, de a jelenlegi már nem támogatja. deprecated: csökkenő fontosságú, várhatóan hamarosan elavulttá válik.

Összetettebb objektum definiálása OBJECT ipaddrentry { IpAddrsTable 1 } Syntax: ipaddrentry::=sequence { ipadentaddr IpAddress, ipadentifindex INTEGER, ipadentnetmask IpAddress, IpAdEntBcastAddr INTEGER } Definition: The addressing information for one of this Access read-only Status mandatory

Az SNMP funkciói Monitor group: Megjeleníti a csomagok számát, típusát, a hibák számát és típusát. Basic group: Portok tiltása, engedélyezése, állapot megjelenítése Address Tacking group: Fizikai címek keresése és hozzárendelése a logikai címekhez Specific group: Gyártó specifikus elemek csoportja Az első három csoport megvalósítása kötelező!

Az SNMP előnyei A hálózat menedzsment de-facto szabványa Jól alkalmazható, igen elterjedt Kis erőforrás igényű, könnyen megvalósítható Nem SNMP eszközök is menedzselhetők Sok SNMP termék létezik A fejlesztő programcsomagok ingyenesek

Az SNMP hátrányai Biztonsági lehetőségei korlátozottak ( SNMPv2) Nagy tömegű adatlekérdezés nehézkes Felügyeleti állomások közti kommunikációra csak az InformRequest van UDP-t használ, még a TRAP is. Kevés művelet van Komplex feladat megoldás nehézkes