Вы находитесь на странице: 1из 33

Pr B.

REGRAGUI
Pr. Pr. Boubker REGRAGUI Le : 16/11/2009 N : 1

SOMMAIRE
Introduction Architecture du protocole SNMP M.I.B. (Management Information Base) changes de donnes Avantages / Inconvnients

Pr. Pr. Boubker REGRAGUI

Le : 16/11/2009

N : 2

REGRAGUI Boubker

Introduction

SNMP
En 1988, lIAB (Internet Activities Board) approuva le dveloppement du protocole SNMP (Simple Network Management Protocol). LIAB imposa que SNMP utilise une base dobjets grables. Donc une SMI (Structure of Management Information) et une MIB (Management Information Base) communes devaient tre dfinies et utiliss. En 1989, SNMP a t adopt par de nombreux constructeurs et est devenu ce jour un standard trs rpandu de gestion rseau.
Pr. Pr. Boubker REGRAGUI Le : 16/11/2009 N : 3

Architecture du protocole SNMP


Modle OSI
Le modle OSI dcompose le rseau en sept niveaux couches .

Les couches qui se rapportent au matriel ont pour rle de faire suivre physiquement les donnes et den assurer la scurisation et la synchronisation au sein du rseau. Les couches orients transport rgissent le transport et la distribution des donnes (routage et commutation). Les couches qui se rapportent aux applications ont pour rle dtablir la session et dy mettre fin, dassurer le transfert des donnes et de prsenter les donnes lutilisateur.
Pr. Pr. Boubker REGRAGUI

Le : 16/11/2009

N : 4

REGRAGUI Boubker

Architecture du protocole SNMP

Modle OSI

Modle TCP/IP

7 6 5 4 3 2 1

Application Prsentation Session Transport Rseau Liaison Interface Rseau Physique UDP IP SNMP

Le protocole SNMP sappuie sur larchitecture rseau de la norme OSI.


Pr. Pr. Boubker REGRAGUI Le : 16/11/2009 N : 5

Architecture du protocole SNMP


Un modle Client-Serveur
SNMP est un protocole de gestion de rseau. Il part du principe qu'un systme d'administration rseau se compose :

de nuds administrs (MN = Managed Node) chacun contenant un agent. Les agents sont les serveurs. d'au moins une station d'administration. (NMS = Network Management Station). Cette station d'administration est le Client d'un protocole rseau utilis par la NMS et les agents pour changer des informations d'administration.(ici SNMP).
Pr. Pr. Boubker REGRAGUI Le : 16/11/2009 N : 6

REGRAGUI Boubker

Architecture du protocole SNMP


NMS SNMP Agent Protocol Engine MIB Agent SNMP

Rseau

SNMP Agent Protocol Engine

MIB

Agent SNMP

NMS

SNMP Agent Protocol Engine

MIB

Agent SNMP

Pr. Pr. Boubker REGRAGUI

Le : 16/11/2009

N : 7

Architecture du protocole SNMP


Administrateur
La station d'administration doit possder des ressources importantes.
Il existe plusieurs logiciels superviseurs de rseau interface graphique. TIVOLI (IBM), SNMPc (PC), XSNMP (UNIX), HP-OpenView (PC et UNIX).

Agent
Les nuds administrables (MN) se dcomposent en trois catgories: les hosts (station de travail, serveur de terminaux, imprimantes rseau, ...), les quipements de raccordement (commutateurs, rpteurs, ponts, HUB, routeurs, passerelles) les mdia (coaxiaux, paire torsade, fibre optique, liaison spcialise,).
Pr. Pr. Boubker REGRAGUI Le : 16/11/2009 N : 8

REGRAGUI Boubker

M.I.B. (Management Information Base)


Reprsentation des donnes dans SNMP
Pour la gestion de la commut Internet, lIETF (Internet Engineering Task Force) a dfinit 3 RFCs (Requests For Comment)

Documents dfinissant le standard: RFC 1155: dcrit la structure et le nommage de linformation de gestion RFC 1157: dfinit le protocole SNMPv1utilis pour accd via le
rseau aux objets grs

RFC 1213: dcrit la base dinformation de gestion MIB

Pr. Pr. Boubker REGRAGUI

Le : 16/11/2009

N : 9

M.I.B. (Management Information Base)


Reprsentation des donnes dans SNMP
SMI (Structure of Management Information) dfinit comment chacun des lments dinformation, qui concerne les quipement grs, est reprsent dans la MIB (Management Information Base)

Les objets dans la MIB sont dfinis en utilisant le langage ASN.1 (Abstract Syntax Notation One)

Chaque type dobjet a son nom, sa syntaxe et son encodage

Pr. Pr. Boubker REGRAGUI

Le : 16/11/2009

N : 10

REGRAGUI Boubker

M.I.B. (Management Information Base)


Reprsentation des donnes dans SNMP

Chaque groupe dobjet a un nom, une syntaxe et un codage Nom est reprsent comme Identificateur dobjet qui est un nom administratif Un identificateur dobjet est une suite de valeurs entires, positives ou nulles, qui parcourt une arborescence.

Pr. Pr. Boubker REGRAGUI

Le : 16/11/2009

N : 11

M.I.B. (Management Information Base)


Reprsentation des donnes dans SNMP Chaque groupe dobjet a un nom, une syntaxe et un codage Syntaxe utilise ASN.1 (Abstract Syntaxe Notation 1)
LASN1 est un langage formel, dfini sous forme de grammaire. Il permet de dfinir les structures de donnes indpendamment de la reprsentation et de la limitation interne des machines. Dans lenvironnement de gestion, lASN1 est utilis pour dfinir Les structures des PDU changes par le protocole de gestion Les objets grs Quelques types Integer : valeurs entires Octet String : entre 0 et 255 Object Identifier : type de donne de type ASN.1 Null
Pr. Pr. Boubker REGRAGUI Le : 16/11/2009 N : 12

REGRAGUI Boubker

M.I.B. (Management Information Base)


Reprsentation des donnes dans SNMP

Chaque groupe dobjet a un nom, une syntaxe et un codage Le codage des structures de donnes, reprsentes en ASN1, est ralis par une notation de syntaxe de transfert appele BER (Basic Encoding Rules).

Pr. Pr. Boubker REGRAGUI

Le : 16/11/2009

N : 13

M.I.B. (Management Information Base)


Reprsentation des donnes dans SNMP

SNMP procde de deux faons pour nommer les objets dune MIB:

la premire est un nom unique par objet (ex: sysUpTime) la seconde utilise les notations d'ASN.1 (Abstract Syntax Notation)

Pr. Pr. Boubker REGRAGUI

Le : 16/11/2009

N : 14

REGRAGUI Boubker

M.I.B. (Management Information Base)

ccitt(0)

iso(1)

jonction-iso-ccitt(3)

standard(0)

registration authority(1)

member(2)

identified organisation(3)

dod(6)

internet(1)

directory(1)

mgnt(2)

experimental((3)

private(4)

M I B 2 (1)
Pr. Pr. Boubker REGRAGUI Le : 16/11/2009

entreprises (1)

N : 15

M.I.B. (Management Information Base)

La classification des objets est arborescente. L'identificateur d'un objet est dfini, en ASN.1 par le chemin qui conduit l'objet. Par exemple, pour accder un objet d'administration, son identificateur autrement appel OID commencera par 1.3.6.1.2 (iso.org.dod.internet.mgmt). Une MIB est donc simplement une collection de tous les objets que maintient un agent donn. Le premier standard utilis pour la dfinition des objets d'administration de la MIB standard fut la MIB-I.
Pr. Pr. Boubker REGRAGUI Le : 16/11/2009 N : 16

REGRAGUI Boubker

M.I.B. (Management Information Base)


LOID de la MIB I est : 1.3.6.1.2.1 et sa dfinition est la suivante:
Numro 1 2 3 4 5 6 7 8 Objet
system

Nombre de sous-objets
3

interfaces at ip icmp tcp udp

23 3 33 26 17 4

Contient une centaine egp dobjets rangs par groupes fonctionnels 6 qui permettent de grer uniquement un rseau TCP/IP; Les 5 premiers groupes sont obligatoires, les autres en fonction du protocole utilis.

Pr. Pr. Boubker REGRAGUI

Le : 16/11/2009

N : 17

M.I.B. (Management Information Base)


La MIB II

Un second standard fut dfini pour rajouter des objets dans quelques unes des catgories de la MIB standard.

La MIB-II fort de ses 172 lments, a remplac actuellement la MIB I. Son OID est donc aussi : 1.3.6.1.2. 1

Pr. Pr. Boubker REGRAGUI

Le : 16/11/2009

N : 18

REGRAGUI Boubker

M.I.B. (Management Information Base)


is o ( 1 )

id e n t if ie d - o r g a n is a t io n ( 3 ) d o d (6 )

in t e r n e t ( 1 ) p r iv a te ( 4 ) m g m n t (2 )

M IB 2 ( 1 ) s y s te m (1 ) a d d r e s s t r a n s la t io n ( 3 ) b r id g e ( 1 7 ) in t e r f a c e s ( 2 ) R M O N (1 6 ) ip ( 4 ) ic m p ( 5 ) tc p (6 ) u d p (7 ) g e n e r ic IF ( 1 2 ) s n m p (1 1 ) e g p (8 ) o im ( 9 ) t r a n s m is s io n ( 1 0 ) b g p (1 5 ) o sp f (1 4 ) a p p l e ta l k ( 1 3 ) e n te r p r is e ( 1 ) d e c n e t P 4 (1 8 )

Pr. Pr. Boubker REGRAGUI

Le : 16/11/2009

N : 19

M.I.B. (Management Information Base)


Ajout de sysContact et sysLocation
Numro 1 2 3 4 5 6 7 8 9 10 11
Pr. Pr. Boubker REGRAGUI

Objet System Interfaces Address Translation IP ICMP TCP UDP EGP CMOT Transmission SNMP
Le : 16/11/2009

Nombre de sous-objets 7 23 3 38 26 19 7 18 0 0 30

Description Informations gnrales concernants lobjet travers le systme. Informations concernant chaque interface IP de lagent La table de translation d'adresses qui ralise la correspondance entre l'adresse MAC et l'adresse IP Compteurs IP Compteurs ICMP Compteurs TCP Compteurs UDP Compteurs EGP Compteurs pour CMOT (protocole OSI quivalent SNMP) Modes de transmission et protocoles d'accs de chaque interface. Remplacera at Statistiques du trafic SNMP.
N : 20

REGRAGUI Boubker

10

M.I.B. (Management Information Base)


Les objets du groupe interface de la MIB II: ifDescr: Description de linterface ifType: Identification du type dinterface. ifMtu: Taille maximale en octets des datagrammes IP qui peuvent tre mis ou reus sur linterface. ifSpeed: Largeur de bande de la ligne en bits par seconde. ifPhysAddress: Adresse physique de linterface si elle existe (internet) ifAdminStatus: Etat administratif de linterface. ifOperStatus: Etat oprationnel de linterface ifLastChange: Date du dernier passage de linterface ltat oprationnel ifInOctets: Nombre doctets reu sur linterface. ifInUcastPkts: Nombre de paquets unicast de sous rseau transmis au protocole de niveau suprieur. ifInNUcast ifInDiscards: Nombre de paquets reu et volontairement dtruits ifInError: Nombre de paquets reus contenant des erreurs. ifInUnknownProtos: Nombre de paquets reus et dtruits car contenant un type de protocole de niveau suprieur non identifi
Pr. Pr. Boubker REGRAGUI

Le : 16/11/2009

N : 21

M.I.B. (Management Information Base)


La MIB RMON

La MIB RMON est une extension de la MIBII, on lui a attribu le subtree identifier 16, c'est dire que la MIB RMON a comme OID 1.3.6.1.2.1.16.

Pr. Pr. Boubker REGRAGUI

Le : 16/11/2009

N : 22

REGRAGUI Boubker

11

M.I.B. (Management Information Base)


iso (1) org (3) Statistics (1) History (2) dod (6) MIB (1) internet (1) Alarm (3) Hosts (4) HostTopN (5) mgmt (2) RMON (16) Matrix (6) Filter (7) Capture (8) Event (9) Token-Ring (10)
Pr. Pr. Boubker REGRAGUI Le : 16/11/2009 N : 23

M.I.B. (Management Information Base)

La gestion des performances


La gestion des performances ncessite la mesure permanente de l'ensemble des indicateurs de sant du rseau considr. Pour cela, la MIB RMON possde tous ces indicateurs sous forme d'objets de type counter. Ces objets sont contenus dans le groupe Statistics pour l'aspect temps rel. Pour l'aspect temps diffr ces mmes objets sont repris dans le groupe History qui permet de dfinir des collectes sur des priodes plus longues

Pr. Pr. Boubker REGRAGUI

Le : 16/11/2009

N : 24

REGRAGUI Boubker

12

M.I.B. (Management Information Base)

La gestion des anomalies


La gestion des anomalies utilise la notion d'alarme (traps) qui doit tre mise pour avertir le superviseur d'une situation anormale ncessitant une action plus ou moins rapide et corrective. Pour mettre en place ce type de fonctionnalit, la MIB RMON possde un groupe Alarm qui permet de dfinir une alarme sur n'importe quel compteur de la MIB II et de la MIB RMON. Associ ce groupe Alarm, on trouve le groupe Event qui permet de dfinir le type d'action que l'on associe au dclenchement de l'alarme.
Pr. Pr. Boubker REGRAGUI Le : 16/11/2009 N : 25

Architecture du protocole SNMP

La gestion des stations


Lorsqu'un dysfonctionnement se produit (augmentation de l'activit, avalanche de broadcasts,...), il est ncessaire pour localiser et corrige le problme et de connatre le ou les quipements responsables. Pour cela, la MIB RMON possde 3 groupes qui sont : Host, HostTopN, Matrix

Pr. Pr. Boubker REGRAGUI

Le : 16/11/2009

N : 26

REGRAGUI Boubker

13

Architecture du protocole SNMP

Le groupe Host
Ce groupe contient une table o chaque ligne correspond une adresse MAC avec toutes les statistiques de trafic associes (octets mis, reus, paquets mis, reus, erreurs mises, broadcasts mis, multicasts mis).

Pr. Pr. Boubker REGRAGUI

Le : 16/11/2009

N : 27

Architecture du protocole SNMP

Le groupe HostTopN
Ce groupe ncessite la dfinition d'une tude pour fonctionner. Il permet de dfinir des tudes en classant un certain nombre d'quipements suivant des indicateurs d'activit choisis.
Une tude ncessite :

Le type dindicateurs; Le nombre dquipements La dure de la priode de mesure


Les indicateurs sont :

Le nombre doctets mis Le nombre doctets reus Le nombre de paquets mis Le nombre de paquets reus Le nombre de broadcasts mis Le nombre de multicasts reus
Pr. Pr. Boubker REGRAGUI Le : 16/11/2009 N : 28

REGRAGUI Boubker

14

Architecture du protocole SNMP

Le groupe Matrix
Ce groupe contient une table o chaque ligne correspond un couple d'adresses MAC qui ont au moins chang un paquet. Les objets associs chaque couple sont le nombre d'octets, le nombre de paquets et le nombre d'erreurs.

L'entre dans la table se fait par les adresses MAC et le type d'objet dsir.

Pr. Pr. Boubker REGRAGUI

Le : 16/11/2009

N : 29

Architecture du protocole SNMP Analyse du trafic :


Lorsque le problme est dtect et les quipements en cause identifis, il est souvent intressant de connatre le type d'application utilise par ces quipements.

Les groupes Packet Capture et Filter permettent de dfinir les captures de trafic dsires.

La MIB RMON permet aussi un dclenchement automatique de capture de trafic lorsqu'une alarme programme dans le groupe Alarm est valide.
Pr. Pr. Boubker REGRAGUI Le : 16/11/2009 N : 30

REGRAGUI Boubker

15

Architecture du protocole SNMP


Groupe Statistics
Contient toutes les informations associes au fonctionnement d'un rseau local Ethernet. (performances temps rel) - Nombre d'octets sur le rseau - Nombre de paquets - Rpartition par taille de paquets - Multicasts - Broadcasts - CRC/Align - Jabbers - Fragments (Runts) - OversizePackets - UndersizePackets - Collisions

Groupe History
Dfinition de campagnes de collectes permettant d'avoir des informations sur des indicateurs rseau. (performances temps diffr) - Nombre d'octets - Nombre de paquets - Broadcasts - Multicasts - CRC/AllignErrors - UndersizePackets - OversizePackets - Fragments (Runts) - Jabbers - Collisions - Estimation de l'utilisation en % du rseau pendant la collecte

Groupe Alarm
Dfinition des alarmes ex: Activit rseau > 40% pendant 1 minute. - Objet concern - Variation ou valeur absolue - Intervalle de mesure - mode de dclenchement (seuil en monte, descente) - Valeur du seuil en monte - Valeur du seuil en descente - Pointeur vers la table d'actions (Groupe EVENT)

Pr. Pr. Boubker REGRAGUI

Le : 16/11/2009

N : 31

Architecture du protocole SNMP


Groupe Host
Contient les informations de trafics associes chaque nud Ethernet dcouvert.

Groupe HostTopN
Dfinition d'tudes permettant d'avoir une liste d'quipements classe suivant un indicateur de trafic.

Groupe Matrix
Confient les Informations de trafic entre deux quipements Ethernet

- paquets mis - paquets reus ex : Les 5 quipements qui - Flux chang en - octets mis ont mis le plus de paquets octets - octets reus broadcasts pendant 1 min. - Flux chang en - paquets erreurs mis paquets - Flux d'erreurs - paquets broadcasts mis - Paquets reus - paquets Multicasts mis - Paquets mis - Octets reus - Octets mis - Paquets erreur mis - Broadcasts mis - Multicasts mis - Nombre d'quipements dsirs - dure de la mesure
Pr. Pr. Boubker REGRAGUI Le : 16/11/2009 N : 32

REGRAGUI Boubker

16

Architecture du protocole SNMP


Groupe Filter
Dfinition des filtres sur les captures de paquets ex : filtrage du trafic SNMP - Position du filtre dans le paquet - Valeur du filtre - Masque associ au filtre - Masque complmentaire - Masque associ l'tat du paquet - Masque complmentaire - Mode de capture (paquets correspondant au filtre ou paquets complmentaires) - Evnement dclenchant l'ouverture du canal - Evnement dclenchant la fermeture du canal - Nombre de paquets capturs - Evnement gnr quand un paquet est captur
Pr. Pr. Boubker REGRAGUI Le : 16/11/2009

Groupe Packet Capture

Groupe Event

Dfinition des actions associes aux Gestion de l'enregistrement alarmes gnres. des paquets capturs par le Groupe Filter - communaut des Traps SNMP - No de canal utilis - Aucune action - Etat du Buffer (disponible - Emission d'un Trap ou plein) SNMP - Action quand le Buffer est - Enregistrement plein dans la table Log - Nombre d'octets - Table Log + enregistrs pour chaque Emission d'un Trap paquet - Nombre d'octets remonts par SNMPGET - Offset sur les paquets remonts - Taille dsire pour le Buffer - Nombre de Paquets capturs

N : 33

Architecture du protocole SNMP

La MIB RMON 2
La MIB RMON ne s'adresse qu'aux deux premires couches du modle ISO (Physique et Ligne), ce qui a pour consquence qu'une RMON 1 n'analysera que le segment o il se trouve, et cette analyse se fera au niveau MAC (Ligne). La reconnaissance des protocoles et de son adressage ne pourra se faire dans RMON que si nous lui adjoignons des groupes de MIB qui s'adressent aux couches suprieures du modle ISO.

Pr. Pr. Boubker REGRAGUI

Le : 16/11/2009

N : 34

REGRAGUI Boubker

17

Architecture du protocole SNMP

7 : Application 6 : Prsentation 5 : Session 4 : Transport 3 :Rseau 2 : Liaison - MAC 1 : Physique RMON RMON 2

Pr. Pr. Boubker REGRAGUI

Le : 16/11/2009

N : 35

Architecture du protocole SNMP


Cration de neuf nouveaux groupes pour dpasser la couche MAC : Protocol Directory dfinit les protocoles que la sonde peut analyser.

Protocol Distribution prend les statistiques suivant le protocole. Address Mapping fait la relation entre l'adresse MAC et l'adresse
du protocole (ex: MAC IP).

Network layer Host mesure globale des trames suivant le protocole (on n'est plus cantonn au segment). Network layer Matrix mesure entre deux hosts (pas forcment dans le
mme segment).

Application layer Host nous montons vers les couches hautes de l'OSI pour faire notre analyse. Application layer Matrix mesure entre deux hosts (suivant le
protocole applicatif).

History mmorise les statistiques de niveau 3 en local. Probe Configuration normalisation de la configuration d'une sonde
partir du Manager.
Pr. Pr. Boubker REGRAGUI Le : 16/11/2009 N : 36

REGRAGUI Boubker

18

Architecture du protocole SNMP

Les PROXIES
Le principe important retenir de cet Agent RMON volutif est que l'on donne de l'intelligence un agent SNMP rput instrumental la base. Mais dsormais cet agent peut agir ventuellement sans l'aide de son manager et faire une collecte d'informations et une raction sur cette collecte d'une manire autonome. Cette solution a donn naissance au principe de proxy-agent ou sous-agent SNMP qui travaillera dans une station de travail sous l'agent SNMP. En fait cela permet de faire de la dlgation d'administration L'agent proxy sert galement de passerelle entre une station d'administration SNMP et un agent non-SNMP qui utilise un protocole propritaire. Il occupe alors un rle de traducteur.
Pr. Pr. Boubker REGRAGUI Le : 16/11/2009 N : 37

Architecture du protocole SNMP


Messages de protocole SNMP SNMP Agent Protocol Engine

Rseau NMS

MIB

Proxy-Agent SNMP

Messages Propritaires Noeud de rseau non grable par SNMP (gr par proxy)

"Real" agent

Proxy Management of Agent


Pr. Pr. Boubker REGRAGUI Le : 16/11/2009 N : 38

REGRAGUI Boubker

19

Architecture du protocole SNMP

Private MIB
iso (1) identified-organisation (3)

dod (6)

Les MIBs prives des socits trouvent leur place sous le nud Enterprises dans l'arbre de nommage :

internet (1) private (4)

mgmt (2)

mib2 (1)

enterprise (1)

system (1)

Proteon (1) IBM (2) UNIX (4)


adress translation (3) ....

.... SynOptics (45)

interfaces (2)

HP (11) CISCO (9) ....

Pr. Pr. Boubker REGRAGUI

Le : 16/11/2009

N : 39

Echanges de donnes Introduction (change de donnes)


SNMP est un protocole asynchrone de requtes / rponses. Par consquent, une entit SNMP n'a pas besoin d'attendre une rponse aprs avoir envoy un message. On distingue quatre types d'oprations au niveau SNMP:

Pr. Pr. Boubker REGRAGUI

Le : 16/11/2009

N : 40

REGRAGUI Boubker

20

Echanges de donnes
get-request/get-response
La station d'administration interroge l'agent

station d'administration

rseau

agent

get-request temps get-response

Pr. Pr. Boubker REGRAGUI

Le : 16/11/2009

N : 41

Echanges de donnes
get-next-request/get-response
La station d'administration interroge une table de l'agent
station d'administration rseau agent

get-next-request temps get-response

Remarque : Cette commande est trs lourde car elle implique l'change de plusieurs get-request/get-response successifs.
Pr. Pr. Boubker REGRAGUI Le : 16/11/2009 N : 42

REGRAGUI Boubker

21

Echanges de donnes
set-request/get-response
La station d'administration enregistre des donnes au niveau d'un agent.

station d'administration

rseau

agent

sett-request temps get-response

Pr. Pr. Boubker REGRAGUI

Le : 16/11/2009

N : 43

Echanges de donnes
trap
L'agent envoie un vnement "extraordinaire" vers la station d'administration.

station d'administration

rseau

agent

trap temps

Pr. Pr. Boubker REGRAGUI

Le : 16/11/2009

N : 44

REGRAGUI Boubker

22

Echanges de donnes
Ports
SNMP est un service qui fonctionne au-dessus du protocole de transport UDP, il a donc besoin d'un numro de port pour communiquer. En fait, on constate que 2 ports lui sont rservs : 161 et 162.

La station d'administration met (set, get, getnext) par le port 161 en direction de l'agent qui reoit aussi par le port 161.

L'agent rpond (response) par le port 161 la station d'administration qui reoit cette rponse galement par le port 161.

Pr. Pr. Boubker REGRAGUI

Le : 16/11/2009

N : 45

Echanges de donnes
U D P T ransport No rm al S end - Response E xchange
La N MS en voie un m essage par le port 161 L'agent reoit le m essage par le port U D P 16 1

Rs ea u

SN M P Agent Protocol Engine

MIB

Agent

N MS
tram e SN MP encapsule dans un da tagram m e U D P

La N MS envoie un m essa ge par le port 161

L'agent e nvoie la rponse par le po rt U D P 161

R sea u

S NM P A gent P rotocol E ngine

MIB

Agent

NMS
tram e SN MP en cap sule da ns un d atagram m e U D P

Pr. Pr. Boubker REGRAGUI

Le : 16/11/2009

N : 46

REGRAGUI Boubker

23

Echanges de donnes
Lorsqu'il s'agit d'une alarme (trap), l'agent l'met par le port 161 mais la station le reoit par le port 162 :

UDP Tranport
La NMS reoit le message d'alarme par le port 162 L'agent met un message d'alarme par le port 161

Rseaux

SNMP Agent Protocol Engine

MIB

Agent

NMS
trame SNMP encapsule dans un datagramme UDP

Pr. Pr. Boubker REGRAGUI

Le : 16/11/2009

N : 47

Echanges de donnes
Commandes
La syntaxe abstraite ASN.1 permet de dcrire les objets manipuls. Pour transfrer l'information entre deux machines et ce indpendamment de l'architecture des machines, on utilise actuellement un codage : le BER (Basic Encoding Rules).

Le BER poursuit le mme objectif que le protocole XDR de Sun (eXternal Data Representation), mais il est plus complexe, donc plus gourmand en CPU et n'offre pas de fonction de compactage de l'information. Pr. Pr. Boubker REGRAGUI Le : 16/11/2009 N : 48

REGRAGUI Boubker

24

Echanges de donnes
Trame La trame SNMP suit le modle suivant

Message Tag

Message Length

SNMP Message Value

Version

Community Name

PDU

Pr. Pr. Boubker REGRAGUI

Le : 16/11/2009

N : 49

Echanges de donnes
Format dse messages SNMP

Le concept Community Name est un concept local dfinit dans chaque Agent. SNMP community = ensemble de gestionnaires SNMP autoriss accder lagent Chaque communaut dispose dun nom unique Chaque gestionnaire doit indiquer la communaut laquelle il appartient
Pr. Pr. Boubker REGRAGUI Le : 16/11/2009 N : 50

REGRAGUI Boubker

25

Echanges de donnes
Dfinition de messages ASN.1

Pr. Pr. Boubker REGRAGUI

Le : 16/11/2009

N : 51

Echanges de donnes
Le PDU se dcompose comme suit :

PDU Tag

PDU Length

PDU Field Value

Request ID

Error Status

Error Index

VarBindList

Pr. Pr. Boubker REGRAGUI

Le : 16/11/2009

N : 52

REGRAGUI Boubker

26

Echanges de donnes
Description des champs : Version indique la version de SNMP utilise. 0 correspond SNMPv1. Community Name sert faire de l'authentification. En fait on peut dfinir
plusieurs groupes qui auront des droits diffrents sur les objets de la MIB (lecture seule, lecture/criture). Cette authentification est la seule option de scurit observe dans SNMPv1. Malheureusement la chane de caractre correspondante transite en clair sur le rseau !!!

PDU Tag Type du PDU Request ID Identit du message Error Status Indication d'erreur Error Index Pointeur sur l'erreur
Pr. Pr. Boubker REGRAGUI Le : 16/11/2009 N : 53

Echanges de donnes
Formats des primitives Get, Get-Next et Set.

Pr. Pr. Boubker REGRAGUI

Le : 16/11/2009

N : 54

REGRAGUI Boubker

27

Echanges de donnes
Dfinitions des primitives Get, Get-Next et Set.

Lobjectif de la variable Binding List est


Grouper plusieurs oprations de mme type Rduction le flux dinformation de gestion entre Gestionnaire-Agent
Pr. Pr. Boubker REGRAGUI Le : 16/11/2009 N : 55

Echanges de donnes
Format de la variable Binding List

Pr. Pr. Boubker REGRAGUI

Le : 16/11/2009

N : 56

REGRAGUI Boubker

28

Echanges de donnes
Format de la rponse

Pr. Pr. Boubker REGRAGUI

Le : 16/11/2009

N : 57

Command

Error Status

Error Index

Meaning Command successfully processed Object does exist is aggregate type Wrong access code Response PDU too large Agent instrumentation routine failed Command successfully processed Next object does not exist Wrong access code Response PDU too large Agent instrumentation routine failed Command successfully processed Object does not exist Is aggregate type Wrong access code Incorrect ASN.1 type, length or value Agent instrumentation routine failed Response PDU too large

Action

Echanges de donnes

GetRequest

noError

noSuchName tooBig

Offset of first variable in error 0 Offset of first variable in error

Verify object name and type Verify object is readable Shorten VarBindList Eliminate variable from VarBindList None

genErr

GetNextRequest

noError

0 Offset of first variable in error 0 Offset of first variable in error

noSuchName tooBig

Verify object name Verify object is readable Shorten VarBindList Eliminate variable from VarBindList

genErr

SetRequest

noError

None Verify object name and type Verify object is readable Correct ASN.1 encoding of variable Eliminate variable from VarBindList Shorten VarBindList

noSuchName

Offset of first variable in error Offset of first variable in error Offset of first variable in error 0

badValue genErr tooBig

0 : noError, 1 : tooBig, 2 : noSuchName, 3 : badValue, 4 : readOnly, 5 : genError.


N : 58

Pr. Pr. Boubker REGRAGUI

Le : 16/11/2009

REGRAGUI Boubker

29

Echanges de donnes
Trap

Le mcanisme des traps SNMP permet l'agent d'envoyer tout moment un message exceptionnel (une interface qui tombe en panne, etc...) La trame d'un trap utilise la structure suivante :

Pr. Pr. Boubker REGRAGUI

Le : 16/11/2009

N : 59

Echanges de donnes
Format de la Trap

Pr. Pr. Boubker REGRAGUI

Le : 16/11/2009

N : 60

REGRAGUI Boubker

30

Echanges de donnes
Dfinitions dune Trap ASN.1

Pr. Pr. Boubker REGRAGUI

Le : 16/11/2009

N : 61

Entreprise

Agent Addr Generic Trap

Specific Trap

Time Stamp

VarBindList
Pr. Pr. Boubker REGRAGUI Le : 16/11/2009

valeur de l'objet sysObjectId de la MIB de l'agent (notation ASN.1) valeur de l'objet Network Address de l'agent (adresse IP) cf. tableau des traps SNMP (ci-dessous) identifie l'entreprise Specific trap (trap spcifique l'agent donc non standardis) valeur de l'objet sysUpTime de la MIB de l'agent lorsque l'vnement s'est produit liste de variables contenant des informations sur le trap

Echanges de donnes

Les deux premiers champs identifient le matriel qui envoie le message, tandis que les trois suivants procurent des informations quant la nature du problme et l'heure laquelle il s'est produit ...

N : 62

REGRAGUI Boubker

31

Echanges de donnes
Les valeurs du Generic Trap:
Nom coldStart warmStart linkDown linkUp Numros SNMP 0 1 2 3 Signification l'agent se rinitialise et les objets peuvent changer (changement de configuration) l'agent se rinitialise mais les objets ne sont pas modifis (pas de changement de configuration) une des interfaces de l'agent est tombe (la premire variable dans la liste variable-bindings identifie l'interface) une des interfaces de l'agent est nouveau oprationnelle (la premire variable dans la liste variable-bindings identifie l'interface) un message SNMP a t reu d'une entit SNMP et il y a eu un problme d'authentification en fonction du nom de communaut et des droits d'accs qui lui sont accords. un EGP peer (EGP = Exterior Gateway Protocol) est tomb (la premire variable dans la liste variable-bindings contient l'adresse IP). certains vnements dpendent de l'agent et ne sont donc pas standardiss, dans ce cas le numro du trap est donn dans le champ specific-trap.
N : 63

authenticationFailure

egpNeighborLoss

entrepriseSpecific
Pr. Pr. Boubker REGRAGUI

6
Le : 16/11/2009

Avantages
Avantages
L'avantage majeur dans le fait d'utiliser SNMP est qu'il est de conception simple. Le rsultat flagrant de cette simplicit est une administration de rseau simple implmenter et rapide. Un autre avantage de SNMP est qu'il est vraiment trs rpandu aujourd'hui. L'expansion est un autre avantage de SNMP. De par sa simplicit de conception, il est facile de mettre jour le protocole pour qu'il rponde aux besoins des utilisateurs futurs. Il est galement modulable : on n'a pas besoin d'installer les commandes qui nous semblent trop coteuses. Enfin, SNMP est bas sur le protocole de transport UDP ce qui ncessite moins de ressources et de connexions simultanes qu'avec TCP. Et enfin, c'est une solution peu chre.

Pr. Pr. Boubker REGRAGUI

Le : 16/11/2009

N : 64

REGRAGUI Boubker

32

Inconvnients
Inconvnients
Le premier dfaut de SNMP est qu'il contient quelques gros trous de scurit travers lesquels des intrus peuvent accder aux informations transitant sur le rseau. (implmenter des mcanismes de scurit en ce qui concerne le caractre priv des donnes, l'authentification et le contrle d'accs). Puisque SNMP se trouve au dessus de UDP, il n'y a pas de reprise sur erreur, ni de contrle de flux. La requte ou la rponse peut tre gare. SNMP est un protocole bavard. Cette surcharge de trafic n'est pas trop gnante sur un rseau local mais devient embarrassante via le rseau public. (Ce qui rend CMIP plus adapt aux grands rseaux).

Pr. Pr. Boubker REGRAGUI

Le : 16/11/2009

N : 65

REGRAGUI Boubker

33