Protokoły zarządzania
sieciami
telekomunikacyjnymi
TMN, SNMPv 1÷3
Protokoły zarządzania
sieciami
telekomunikacyjnymi
TMN, SNMPv 1÷3
Definicja zarządzania wg
TMN:
Sieć zarządzania telekomunikacją TMN
Zarządzanie siecią
telekomunikacyjną (ang. Telecommunications Management
Network, TMN) jest zestawem funkcji i protokołów do ich
realizacji, zdefiniowanych przez
ITU-T
, w celu zarządzania sieciami
telekomunikacyjnymi i usługami świadczonymi przez nie. TMN
zakłada współpracę różnych systemów operacyjnych i różnych
sieci telekomunikacyjnych.
• ITU-T
- Sektor Normalizacji Telekomunikacji ITU (ang.: International
Telecommunication Union - Telecommunication Standardization
Sector)
• ITU-T zajmuje się tworzeniem wysokiej jakości standardów
obejmujących wszystkie dziedziny telekomunikacji, powstał 1
marca 1993 roku i zastąpił istniejący wówczas KomitetCCITT.
Podmioty którymi zarządzamy
Podział na dwa środowiska:
Teleinformatyczne:
– Sieci komputerowe
LAN/WAN
– Aplikacje,
– Backupy,
– Zdalne instalacje
oprogram.
– Zarządzanie
problemami.
Telekomunikacyjne:
– PDH, SDH, WDM, ATM,
– Centrale telefoniczne,
– Sieci dostępowe,
– Systemy radiowe,
– Systemy komórkowe.
Cele zarządzania
Standardy zarządzania
sieciami
Podstawowym standardem dla zarządzania
sieciami jest standard ISO 7498-4, przyjęty przez
ITU-T jako zalecenie X.700. Wyodrębniono w nim
pięć funkcjonalnych obszarów zarządzania — MFA
(ang. management functional areas):
– zarządzanie uszkodzeniami
– zarządzanie konfiguracją
– zarządzanie rozliczeniami
– zarządzanie wydajnością
– zarządzanie bezpieczeństwem
Zarządzanie uszkodzeniami
Zarządzanie uszkodzeniami (ang.
fault management) — polega na
wykrywaniu, izolowaniu i naprawie
nieprawidłowo funkcjonujących
(uszkodzonych) zasobów. W swoich
działaniach obejmuje również
uruchamianie testów oraz
prowadzenie dzienników błędów
(ang. error logs), w których
przechowywane są meldunki i
informacje o błędach.
Zarządzanie konfiguracją
Zarządzanie konfiguracją (ang.
configuration management) —
polega na identyfikowaniu
(definiowaniu) zarządzanych
zasobów i ich wzajemnych powiązań
oraz sterowaniu tymi zasobami.
Obejmuje również przyłączanie i
odłączanie nowych zasobów
sieciowych oraz przechwytywanie
informacji o ich konfiguracji.
Zarządzanie rozliczeniami
• Zarządzanie rozliczeniami (ang.
accounting management) — polega
na określaniu kosztów korzystania z
zasobów na podstawie ustalonych
taryf, jak i prowadzenie kont
użytkowników
Zarządzanie wydajnością
• Zarządzanie wydajnością (ang.
performance management) — polega
na przeprowadzaniu oceny
funkcjonowania zasobów z punktu
widzenia efektywności ich
wykorzystania (pomiar wydajności i
analiza danych statystycznych).
Zarządzanie
bezpieczeństwem
Zarządzanie bezpieczeństwem
(ang. security management) —
polega na zapewnianiu ochrony
zarządzanych zasobów i danych
przesyłanych przez te zasoby (np.
autentyfikacja użytkowników,
szyfrowanie danych). Obejmuje
również prowadzenie dzienników
bezpieczeństwa (ang. security logs),
w których przechowywane są
meldunki i informacje dotyczące
bezpieczeństwa.
Architektura zarządzania
• Model architektury zarządzania sieciami opiera się
na modelu klient-serwer, który nazywany jest
modelem wymiany informacji typu zarządca-
agent
(ang. manager-agent model).
• Zarządzanie sieciami systemów zgodnych z
modelem OSI oraz sieciami TMN jest
zarządzaniem opartym na zgłaszaniu zdarzeń
(ang. event-driven management), w którym cała
odpowiedzialność za zawiadomienie zarządcy o
zdarzeniu spoczywa na agencie.
• W przeciwieństwie do powyższego, zarządzanie
siecią TCP/IP (ang. Transmission Control
Protocol/Internet Protocol) jest
zarządzaniem
opartym na przepytywaniu
(ang. polling based
management), gdzie zarządca jest odpowiedzialny
za monitorowanie agenta i wykrywanie zdarzeń.
Modele zarządzania sieciami
• SNMP (Simple Network Management
Protocol)
• CMIP (Common Management Information
Protocol)
• RMON (Remote monitoring )
• WBEM (Web-Based Enterprise Management )
SNMP (Simple Network
Management Protocol)
Simple Network Management Protocol — rodzina
protokołów sieciowych wykorzystywanych do
zarządzania urządzeniami takimi jak routery,
przełączniki, komputery czy centrale telefoniczne
za pośrednictwem sieci IP. Do transmisji wiadomości
SNMP wykorzystywany jest głównie protokół UDP:
standardowo port 161 wykorzystywany jest do
wysyłania i odbierania żądań, natomiast port 162
wykorzystywany jest do przechwytywania sygnałów
trap od urządzeń. Możliwe jest także wykorzystanie
innych protokołów do przekazywania żądań, na
przykład TCP.
Elementy składowe SNMP
• Protokół zarządzania sieciowego (Network
management protocol)
• Baza danych informacji zarządzania
(Management Information Base - MIB)
• SMI (Structure of Management Information) -
typy danych i ich reprezentacja;
jednoznaczna identyfikacja zmiennych w
ramach MIB
• Stacja zarządzająca (Management station)
• Agent zarządzania (Management agent)
Stacja zarządzająca
Stacja zarządzająca pełni funkcję interfejsu pomiędzy
operatorem i systemem zarządzania zasobami
systemowymi. Powinna zawierać następujące elementy:
•
Zestaw aplikacji zarządzania umożliwiających
analizowanie danych, likwidację zagrożeń i uszkodzeń itp.;
• Interfejs pozwalający na monitorowanie i sterowanie
funkcjonowaniem sieci;
• Funkcje translacji poleceń i komend operatora na akcje
nadzorowania oddalonych elementów systemu;
• Bazę danych pozwalającą przechować informacje
pozyskane z baz MIB wszystkich zarządzanych elementów
nadzorowanej sieci.
Agent zarządzania (Management agent)
Innym aktywnym składnikiem systemu
zarządzania jest
aplikacja agenta
, która
uruchomiona w
kluczowych elementach sieciowych typu
hosty, routery, mostki i inne, odpowiada na
żądania
kierowane do nich ze stacji zarządzającej. W
niektórych przypadkach możliwe jest również
powiadamianie realizowane wyłącznie z
inicjatywy agenta.
Management Information Base
MIB (ang. Management Information Base) – rodzaj
bazy danych wykorzystywanej do zarządzania
sprzętem w sieci komunikacyjnej. Składa się z
obiektów zapisanych w (wirtualnej) bazie danych,
które wykorzystywane są do zarządzania
podmiotami (takimi jak routery czy przełączniki).
Baza danych informacji zarządzania (MIB) jest
zbiorem opisanych formalnie obiektów, z których
każdy reprezentuje konkretny rodzaj informacji.
Obiektami MIB można zarządzać za pomocą
protokołu SNMP poprzez system zarządzania
siecią. Obiekty zawierają informacje potrzebne
systemowi zarządzania i są przechowywane jako
zbiór zmiennych MIB.
Przykładowa sieć zarządzana
(SNMP)
PDU (Protocol Data Units)
Komunikacja między dwoma stacjami odbywa się za pomocą specjalnie
zdefiniowanych poleceń protokołu SNMP zwanych PDU (Protocol Data Units).
• GetRequest – Zarządca żąda odczytania wartości określonego obiektu w
bazie MIB Agenta,
• GetNextRequest – Zarządca wymaga podania wartości obiektów, które są
powiązane
z innymi obiektami, co powoduje sekwencyjne przeszukanie bazy MIB,
• GetBulkRequest – zapytanie Zarządcy o blok informacji (wiele rekordów
bazy) – SNMPv2 i nowsze,
• GetResponse – odpowiedź Agenta zawierająca rekordy z bazy odczytane na
żądanie Zarządcy,
• SetRequest – polecenie wprowadzenia zmiany do bazy MIB Agenta,
• Trap – komunikat Agenta o pojawieniu się sytuacji nadzwyczajnej lub jakiegoś
zdarzenia,
• InformRequest – pakiet typu Trap przesyłany między różnymi stacjami
Zarządzania
służący do wymiany informacji – SNMPv2 i nowsze.
Simple Network Management Protocol
Istnieją trzy wersje protokołu:
• SNMPv1 - pierwsza wersja, która została
opublikowana w 1988 roku; opisany w RFC 1157. W
tej wersji protokołu bezpieczeństwo oparte jest na
tak zwanych communities, które są pewnego
rodzaju nieszyfrowanymi hasłami umożliwiającymi
zarządzanie urządzeniem.
• SNMPv2 - eksperymentalna wersja protokołu,
określana także SNMPv2c, opisana w dokumencie
RFC 1901.
• SNMPv3 - wspierająca uwierzytelnianie oraz
szyfrowaną komunikację.
Funkcjonowanie SNMP
• Protokół SNMP zakłada istnienie w
zarządzanej sieci dwóch rodzajów
urządzeń: zarządzających i
zarządzanych. Urządzenie
(komputer) jest zarządzającym (tzw.
NMS, ang. Network Management
Station), gdy jest na nim
uruchomiony odpowiedni program,
manager SNMP (zarządca SNMP).
Urządzenie jest zarządzane, jeśli
działa na nim program agent SNMP.
Funkcjonowanie SNMP
• W procesie zarządzania używane są bazy MIB
(ang. Management Information Base - baza
informacji zarządzania), czyli zbiory zmiennych,
które manager SNMP w zależności od
uprawnień może odczytać lub zmienić. W tym
celu manager SNMP kontaktuje się z
agentem na danym zarządzanym urządzeniu
wykorzystując jedno z dwóch wcześniej
skonfigurowanych haseł:
• hasło odczytu, tzw. public_community,
• hasło zapisu, tzw. private_community.
Funkcjonowanie SNMP
• Odczytanie wybranej zmiennej daje managerowi
określoną informację o stanie danego elementu sieci,
podczas gdy zapis do danej zmiennej pozwala mu na
sterowanie zachowaniem się urządzenia w sieci.
• Oprócz operacji odczytu i zapisu zmiennych w
agencie przez managera istnieje również możliwość
takiego skonfigurowania agenta, aby sam
poinformował danego managera o zmianie swojego
stanu w przypadku zajścia określonego zdarzenia.
Odbywa się to przy pomocy wysyłanego przez
agenta komunikatu Trap lub (od wersji drugiej
protokołu SNMP) przy pomocy komunikatu Inform.
Jak powstało SNMPv2
Główna wada protokołu SNMP polega na tym, że
nie gwarantuje on danym odpowiedniego
poziomu bezpieczeństwa. Nie ma tu np.
możliwości weryfikacji czy szyfrowania
poleceń PDU. Aby usprawnić pracę aplikacji
zarządzających sieciami, zaproponowano
najpierw protokół S-SNMP (Secure SNMP),
który oferował wiele rozwiązań nieobecnych w
protokole SNMP. Jednak protokół ten nie był w
pełni kompatybilny z SNMP, więc nie zyskał
większej popularności.
Jak powstało SNMPv2
Następnie zaproponowano SNMPv2. Największa zmiana w
stosunku do SNMP polega na wprowadzeniu dwóch nowych
jednostek PDU:
• GetBulkRequest (możliwość odczytywania całego bloku
informacji po wygenerowaniu jednego zapytania).
• InformRequest (możliwość wymiany informacji między
różnymi stacjami zarządzania).
• Wydawałoby się, że protokół SNMPv2 powinien odnieść
sukces. Niestety, nic takiego się nie stało. Aplikacji
zarządzania opartych na tym standardzie jest bardzo mało.
Niektórzy twierdzą, że SNMPv1 jest tak dobry, że nowe opcje
wprowadzone do SNMPv2 są za mało atrakcyjne, aby
zachęcić producentów systemów zarządzania do
implementowania tego protokołu.
Bezpieczeństwo
• Kwestie bezpieczeństwa są największym
problemem użytkowników protokołu SNMP w
wersji pierwszej i drugiej. Jedyne zabezpieczenie
w tym protokole, tzw. community string będący
de facto hasłem, jest wysyłany poprzez sieć w
postaci niezaszyfrowanej (Pozwala to na jego
podsłuchanie przy użyciu programów typu
sniffer).
• SNMPv3 znacząco poprawia bezpieczeństwo
protokołu poprzez wprowadzenie bardziej
zaawansowanych metod uwierzytelniania.
Wady i zalety
SNMP to obecnie najpopularniejszy protokół służący do
zarządzania sieciami. Swoją popularność zawdzięcza
następującym zaletom:
• Stosunkowo małe dodatkowe obciążenie sieci
generowane przez sam protokół.
• Niewielka ilość poleceń własnych obniża koszty
urządzeń go obsługujących.
• Niskie koszty wdrożenia do eksploatacji.
Główne wady SNMP:
• Brak zapewnienia bezpieczeństwa przesyłanym
danym (SNMP w wersji pierwszej i drugiej).
• Skomplikowana praca samego agenta.
• Ograniczanie przepustowości sieci.
Simple Network Management
Protocol
(ang. Prosty Protokół Zarządzania
Siecią) — standard protokołu
używanego do nadzoru i zarządzania
różnymi elementami sieci
telekomunikacyjnych, takimi jak
routery, przełączniki, komputery czy
centrale telefoniczne.
SNMP
•Istnieją obecnie trzy wersje protokołu
SNMP:
•pierwsza (SNMPv1),
•druga (SNMPv2),
•trzecia (SNMPv3).
•Przy tym wersja druga ma kilka odmian w
zależności od zastosowanych usprawnień
związanych z bezpieczeństwem:
•SNMPv2p (ang. party-based),
•SNMPv2c (ang. community-based),
•SNMPv2u (ang. user-based).
•Spośród tych odmian najpopularniejsza
jest najprostsza, tj. SNMPv2c stosująca
ten sam rodzaj zabezpieczeń (mianowicie
community-string) co wersja SNMPv1.
•Wersja pierwsza protokołu opisana jest w następujących
dokumentach RFC:
•RFC 1065
- "Structure and identification of management
information for TCP/IP-based internets",
•RFC 1066
- "Management information base for network
management of TCP/IP-based internets",
•RFC 1067
- "A simple network management protocol".
•
Poszczególne odmiany wersji drugiej protokołu opisane są
w następujących dokumentach RFC:
•SNMPv2p
:
– RFC 1441
"Introduction to version 2 of the Internet-standard Network
Management Framework",
– RFC 1452
"Coexistence between version 1 and version 2 of the Internet-
standard Network Management Framework",
•SNMPv2c
:
– RFC 1901
"Introduction to Community-based SNMPv2",
– RFC 1908
"Coexistence between Version 1 and Version 2 of the Internet-
standard Network Management Framework",
•SNMPv2u
:
– RFC 1909
"An Administrative Infrastructure for SNMPv2",
– RFC 1910
"User-based Security Model for SNMPv2".
•
Wersja trzecia protokołu SNMP opisana jest w
dokumentach:
•RFC 3411
"An Architecture for Describing Simple
Network Management Protocol (SNMP)
Management Frameworks"
•RFC 3418
"Management Information Base (MIB)
for the Simple Network Management Protocol
(SNMP)"
•RFC 3584
"Coexistence between Version 1,
Version 2, and Version 3 of the Internet-standard
Network Management Framework"
•
Każdy komunikat dotyczy określonej zmiennej,
tzw. OID (ang. Object IDentifier). Dla przykładu
zmienna OID o nazwie sysUpTime (czas pracy
urządzenia od ostatniego włączenia) ma postać
1.3.6.1.2.1.1.3.0, co odpowiada jej adresowi w
drzewie MIB.
Funkcjonowanie
•Protokół SNMP zakłada istnienie w zarządzanej sieci
dwóch rodzajów urządzeń: zarządzających i
zarządzanych. Urządzenie (komputer) jest
zarządzającym (tzw. NMS, ang. Network Management
Station), gdy jest na nim uruchomiony odpowiedni
program, manager SNMP (zarządca SNMP).
Urządzenie jest zarządzane, jeśli działa na nim
program agent SNMP.
•W procesie zarządzania używane są bazy MIB (ang.
Management Information Base - baza informacji
zarządzania), czyli zbiory zmiennych, które manager
SNMP w zależności od uprawnień może odczytać lub
zmienić. W tym celu manager SNMP kontaktuje się z
agentem na danym zarządzanym urządzeniu
wykorzystując jedno z dwóch wcześniej
skonfigurowanych haseł:
•hasło odczytu, tzw. public_community,
•hasło zapisu, tzw. private_community.
•Odczytanie wybranej zmiennej daje managerowi
określoną informację o stanie danego elementu
sieci, podczas gdy zapis do danej zmiennej
pozwala mu na sterowanie zachowaniem się
urządzenia w sieci.
•Oprócz operacji odczytu i zapisu zmiennych w
agencie przez managera istnieje również
możliwość takiego skonfigurowania agenta, aby
sam poinformował danego managera o zmianie
swojego stanu w przypadku zajścia określonego
zdarzenia. Odbywa się to przy pomocy
wysyłanego przez agenta komunikatu Trap lub
(od wersji drugiej protokołu SNMP) przy pomocy
komunikatu Inform.
•SNMP domyślnie działa na porcie 161 TCP oraz
UDP.
•Komunikaty Trap są domyślnie wysyłane do portu
162 TCP lub UDP.
Budowa komunikatów
Budowa komunikatów protokołu
SNMP zdefiniowana jest przy pomocy
notacji zwanej Abstract Syntax
Notation One (oznaczanej ASN.1).
Sposobem kodowania struktur
danych komunikatów SNMP jest
uproszczony BER.
Wady i zalety
•SNMP to obecnie najpopularniejszy protokół
służący do zarządzania sieciami. Swoją
popularność zawdzięcza następującym zaletom:
•Stosunkowo małe dodatkowe obciążenie sieci
generowane przez sam protokół.
•Niewielka ilość poleceń własnych obniża koszty
urządzeń go obsługujących.
•Niskie koszty wdrożenia do eksploatacji.
•Główne wady SNMP
•Brak zapewnienia bezpieczeństwa przesyłanym
danym (SNMP w wersji pierwszej i drugiej).
Bezpieczeństwo
•Kwestie bezpieczeństwa są największym
problemem użytkowników protokołu SNMP
w wersji pierwszej i drugiej. Jedyne
zabezpieczenie w tym protokole, tzw.
community string będący de facto hasłem,
jest wysyłany poprzez sieć w postaci
niezaszyfrowanej. SNMPv3 znacząco
poprawia bezpieczeństwo protokołu
poprzez wprowadzenie bardziej
zaawansowanych metod uwierzytelniania
Bibliografia:
• Materiały wykładowe
•
•
•
Przygotowali: