Escolar Documentos
Profissional Documentos
Cultura Documentos
SNMP
CAPITULO IV
SNMP
SNMP es un protocolo de nivel de aplicacin para consultar a los diferentes elementos que forma una red (routers, switches, hubs, hosts, modems, impresoras, etc).
Cada equipo conectado a la red ejecuta procesos (agentes), para que se pueda realizar una administracin tanto remota como local de la red. Dichos procesos van actualizando variables (manteniendo histricos) en una base de datos, que pueden ser consultadas remotamente.
SNMP: protocolos
SNMP es independiente del protocolo (IPX de SPX/IPX de Novell, IP con UDP) SNMP se puede implementar usando comunicaciones UDP o TCP, pero por norma general, se suelen usar comunicaciones UDP en la mayora de los casos. Con UDP, el protocolo SNMP se implementa utilizando los puertos 161 y 162. puerto 161 se utiliza para las transmisiones normales de comando SNMP puerto 162 se utiliza para los mensajes de tipo trap o interrupcin. La forma normal de uso del SNMP es el sondeo (o pooling)
Formatos SNMP
En SNMP la informacin se intercambia entre la estacin de gestin y el agente en forma de mensajes SNMP. Cada mensaje incluye un campo Version con el nmero de versin de SNMP (version = 0, para SNMPv1), un campo Community con el nombre de comunidad, y uno de los cinco tipos de unidades de datos de protocolo (PDU).
SNMP: arquitectura
El modelo de gestin utilizado en redes TCP/IP incluye los siguientes elementos principales: estacin (o consola) de administracin agente de administracin base de informacin de administracin protocolo de administracin
SNMP facilita la comunicacin entre la estacin administradora y el agente de un dispositivo de red, permitiendo que los agentes transmitan datos estadsticos (variables) a travs de la red a la estacin de administracin.
Agentes SNMP
MIB
Todos los objetos gestionados en el ambiente de SNMP estn ordenados en una estructura de rbol. Las hojas del rbol son los verdaderos objetos gestionados, cada uno de los cuales representa algn recurso, actividad, o informacin relacionada que ser gestionada. Asociado con cada tipo de objeto dentro de una MIB hay un identificador de objeto (OID) del tipo OBJECT IDENTIFIER de ASN.1. El OID es nico para cada tipo de objeto, Notacin de sintaxis Abstracta Nmero 1.y sirve para identificar al objeto.
SNMP 12
MIB
Su valor consiste en una secuencia de enteros denominados subidentificadores, que tambin sirven tambin para identificar la estructura del rbol. Comenzando por la raz (sin nombre) del rbol, cada subidentificador del OID identifica un nodo en el rbol.
SNMP 13
Hay tres nodos en el primer nivel: ccitt (0), iso (1), jointiso-ccitt (2). Bajo el nodo iso, un subrbol es para uso de otras organizaciones, una de las cuales es el U.S. Departament of Defense (dod). La RFC 1155 asume que un subrbol bajo el nodo dod ser ubicado por el Internet Activities Board (IAB)
SNMP
14
Entonces, el nodo internet(1) tiene un valor de OID de 1.3.6.1. El documento SMI define cuatro nodos bajo el nodo internet: directory(1): reservado para uso futuro con el OSI directory (X.500) mgmt(2): usado para objetos definidos en documentos aprobados por el IAB. experimental(3): usado para identificar objetos utilizados en experimentos de Internet. private(4): usados para identificar objetos definidos unilateralmente por los fabricantes SNMP 16
El subrbol mgmt contiene las definiciones de las MIBs que han sido aprobadas por el IAB. Actualmente, dos versiones de la MIB han sido desarrolladas, mib-1 y mib-2. La segunda es una extensin de la primera. Ambas fueron provistas con el mismo OID en el subrbol de modo que slo puede haber una de las MIBs presentes en cualquier configuracin.
SNMP 17
La MIB est organizada en niveles, que a su vez lo hace en mdulos que contienen grupos de variables interrelacin
Ejemplo de GRUPOS de variables en MIB-2 en la SMI: System (identifica el hw y sw) AT (traduccin de direccin de Ethernet a IP) IP (contador de paquetes, fragmentacin) ICMP (contador de cada tipo de mensaje ICMP) TCP y UDP (conexiones abiertas TCP) EGP (estadstica de protocolo externo)
SNMP 18
Standard (0) ... (0) ... (0) Directory (1) ... (0) System (1)
Org (3)
...
Internet (1) Mgmt (2)
...
private (4)
Experimental (3)
...
...
Addr-translation (3)
...
19
Subrboles de la MIB-2
SNMP
20
RED INTERNA
SNMP
22
RED INTERNA
SNMP
23
UDP 161
UDP 161
AGENTE
Consulta/Solicitud de variable:
Software: NetFlow CiscoWorks HP OpenView
?
GET REQUEST GET NEXT REQUEST GET NEXT BULK (SNMP v.2)
Respuesta a solicitud:
GET RESPONSE
SNMP 24
Modificacin de informacin
ESTACIN ADMINISTRADORA NODO ADMINISTRADO ! AGENTE MIB
UDP 161
UDP 161
UDP 162
AGENTE
SNMP
26
MENSAJES SNMP
SNMP proporciona un mecanismo para acceder a los objetos de MIB de modo que puedan serconsultados y modificados, adems de permitir que los dispositivos conectados a la red enven mensajes no solicitados a una estacin de gestin SNMP para indicar que se ha producido una cierta condicin. El SNMP define ocho mensajes que pueden enviarse: 1. GET REQUEST 2. GET NEXT REQUEST 3. GET BULK REQUEST (en SNMP v2) 4. SET REQUEST 5. SET NEXT REQUEST 6. GET RESPONSE 7. TRAP 8. INFORM REQUEST (en SNMP v2)
SNMP
27
1. Get-request. Utilizado por la estacin de gestin para obtener el valor de una o ms variables MIB del agente SNMP de la estacin remota. 2. Get-next-request. Es similar a la anterior, con la diferencia que se obtiene el valor de una variable sin definir sta explcitamente. 3. Response. Es la respuesta del agente a una peticin del gestor devolviendo el valor de una o ms variables.
28
4. Set-request. Constituye el mecanismo para que el gestor modifique los valores de las variables MIB de la estacin remota.
5. Trap. Cuando se produce un determinado evento o condicin en la estacin remota, el agente enva un trap para notificarlo al gestor. Dado que el mensaje se enva de forma sncrona y en cualquier momento, la estacin de gestin debe monitorizar la red en todo instante.
SNMP 29
COMUNIDADES
SNMP involucra, adems de las relaciones uno-amuchos entre una estacin de gestin y las estaciones gestionadas, relaciones uno-a-muchos entre una estacin gestionada y las estaciones de gestin. Cada estacin gestionada controla su propia MIB local y debe ser capaz de controlar la forma en que es usada esta MIB por otras estaciones de gestin.
SNMP
32
COMUNIDADES
Hay tres aspectos a tener en cuenta.
Servicio de Autenticacin Poltica de Acceso Servicio Proxy
33
Servicio de Autenticacin.
Un servicio de autenticacin es el encargado de asegurar que una comunicacin es autntica. En el caso de un mensaje SNMP, dicho servicio debera asegurarle al receptor que el mensaje proviene de donde dice ser.
SNMP proporciona un esquema de autenticacin trivial, cada mensaje desde una estacin de gestin hacia un agente contiene el nombre de comunidad. Este nombre funciona como contrasea, y el mensaje se asume autntico si el que lo enva conoce la contrasea.
SNMP 34
Poltica de Acceso
Definiendo una comunidad, un agente limita el acceso a su MIB a un grupo seleccionado de estaciones de gestin. Usando ms de una comunidad, el agente puede proporcionar diferentes categoras de acceso a la MIB para las distintas estaciones de gestin. Hay dos aspectos para este control de acceso:
SNMP 35
SNMP MIB view: un subconjunto de objetos dentro de la MIB. Para cada comunidad pueden definirse diferentes vistas de la MIB. El conjunto de objetos en una vista no necesita pertenecer a un nico subrbol de la MIB. SNMP access mode: un elemento del conjunto (read-only, read-write). Para cada comunidad se define un modo de acceso.
SNMP
36
La combinacin de una MIB view y un modo de acceso es mencionada como un perfil de comunidad SNMP (community profile). El modo de acceso se aplica uniformemente a toda la MIB view. Dentro de un perfil de comunidad, dos restricciones de acceso separadas deben conciliar. Una restriccin es el modo de acceso adoptado, la otra est dada por la clusula ACCESS incluida en la definicin de cada objeto de MIB. A cada comunidad definida en el agente se le asocia un perfil de comunidad. A esta combinacin se la conoce como SNMP 37 poltica de acceso SNMP (access policy).
El concepto de comunidad es un concepto local, definido en la estacin gestionada. El sistema gestionado establece una comunidad para cada combinacin deseada de las caractersticas de autenticacin, control de acceso y proxy.
Cada comunidad tiene un nombre de comunidad (dentro del agente), y las estaciones de gestin dentro de esa comunidad estn provistas con el nombre de comunidad y deben utilizarlo en todas las operaciones Get y Set.
SNMP 39
Limitaciones de SNMP
No es adecuado para gestionar redes grandes debido a las limitaciones en la performance del polling. Se debe enviar un paquete de pedido para recibir un paquete de informacin, lo que provoca gran cantidad de mensajes de rutina y produce tiempos de respuesta que pueden ser inaceptables. No se adeca a la recuperacin de gran cantidad de datos, como por ejemplo una tabla de ruteo completa. SNMP
40
Limitaciones de SNMP
Posee traps no confirmados. Si se utiliza un servicio de transporte no confiable como UDP, el agente no tiene seguridad sobre el arribo de un mensaje crtico a la estacin de gestin. Proporciona un servicio de autenticacin trivial, que hace que su uso se limite al SNMP monitoreo.
41
Limitaciones de SNMP
No permite enviar comandos que disparen una accin en el agente. Esto se debe realizar indirectamente modificando el valor de algn objeto. Este esquema es menos flexible y poderoso que uno que permita hacer llamadas a procedimientos remotos. El modelo de la MIB SNMP no permite que una aplicacin efecte pedidos de gestin sofisticados basados en los valores o tipos de los objetos.
SNMP 42
SNMP: Versin 2 y 3
Versin 2: De SNMPv1, para reducir la carga de trfico adicional para la monitorizacin (con los GetBulk e Informs) y solucionar los problemas de monitorizacin remota o distribuida (con las RMON), ha dado paso a una nueva versin v2 en 1993. Las versiones de SNMP son compatibles, en el sentido que SNMPv2 puede leer SNMPv1.
SNMP 43
SNMP: Versin 2 y 3
Versin 3: SNMPv1 utiliza como mecanismo de autenticacin (validacin) un parmetro llamado comunidad, de forma que si agente y estacin administradora lo conocen, pueden interactuar.
Pero esta proteccin es muy debil porque el texto va en claro y adems puede explotarse en fuerza bruta. Por tanto, para evitar la falta de seguridad en las transmisiones (con cifrado y autenticacin), se ha creado una capa o parche complemento a SNMPv1 y v2 llamado versin v3, que aade a los mensajes SNMP (v1 y v2) una cabecera adicional.
SNMP 44
Las extensiones de RMON a SNMP brindan la capacidad para observar la red como un todo, aunque est distribuida, en contraste con el anlisis de dispositivos individuales, declarndose para ello una MIB especial para guardar informacin de monitorizacin de un segmento de red diferente. La MIB asociada es 1.3.6.1.2.1.16
SNMP
46
Las sondas RMON recopilan informacin y tiene la misma funcin que un agente SNMP, transmitiendo la informacin peridicamente. Adems, pueden procesar la informacin a enviar a la estacin de administrador. La RMON est localizada en cada segmento de red y pueden introducirse en un host, en un switch, en un router o en un dispositivo especfico para ello. Adems, permite aadir redundancia a la administracin de la red, ya que RMON permite volcar los datos a varias consolas de administracin. La RMON1 trabaja en informacin de capa 1 y 2. La RMON2 trabaja en informacin de capa 3 y superiores.
47
SNMP
48
Funcionamiento de RMON
RED INTERNA
Gestor RMON
SNMP
49
Monitores de Red
Pemiten conocer en una LAN:
Nivel de utilizacion Nivel de colisiones Nivel de errore
De esta manera de determina si se debe cambiar el equipamiento y mejorar la conectividad, entre otras opciones. SNMP
50
Problema
El problema de los monitores de red es que no se puede acceder remotamente a la informacion sin provocar una excesiva ineficiencia. Solucin:
Monitorizacin REMOTA (RMON)
SNMP 51
Caractersticas RMON
Es una extensin de SNMP Gestiona una subred como un todo. Accede en forma remota a la informacin empleando SNMP. La informacin se almacena en una MIB de gestin llamada MIB RMON. La sonda RMON realiza parte del procesamiento de la informacin de gestin. SNMP
52
SNMP
53
SNMP
54
Ventajas
Permite: Monitorizacin configurable de la sonda RMON Deteccin local de fallos e informe al gestor principal de los mismos. Recoleccin de informacin para mltiples gestores (almacena la configuracin que recibe en tablas). Disminucin del consumo de recursos en la red y en la estacin central de gestin.
SNMP 55
Versiones RMON
RMON v1
Definida en la RFC 1757 Proporciona informacin de gestin del nivel fsico y de nivel de Control de Acceso al Medio (MAC). La RMON MIB v1 es incorporada en la MIB-II de SNMP como el subgrupo 16 con 9 subgrupos para Ethernet y uno para Token Ring.
SNMP 56
RMON v2
Se encuentra recogida en la RFC 2021. Hace nfasis en el trfico IP y en el trfico del nivel de aplicaciones. Proporcionar informacin de gestin de los niveles de red y de aplicacin permitiendo analizar el flujo entre subredes. La RMON MIB v2 aade 10 subgrupos a la RMON MIB v1 .
SNMP 57
SNMP
58
MIB RMON
SNMP
59
SNMP
60
EJEMPLOS
Problema: El personal de la divisin de ingeniera de un fabricante de computadoras corre simulaciones sobre la Intranet lo que tpicamente dura das y requiere la mxima velocidad de la red. Las simulaciones comenzaron a estar muy lentas y la divisin de ingeniera le echo la culpa a la falta de ancho de banda de la red exigiendo que la tecnologa de su LAN fuera reemplazada con otra de ms velocidad.
SNMP 61
Metodologa de Solucin: El administrador de red: Analiz el historial de trfico de las sondas RMON en las LAN criticas de ingeniera. Elabor grficos que mostraban la utilizacin y la mxima utilizacin de las mquinas de la red.
Resultado: La utilizacin del ancho de banda de las LAN nunca alcanzo el 10 %. La mquina de ms trfico en la red de ingeniera era una xterminal corriendo un sofisticado protector de pantalla desde el servidor.
SNMP
62
EJEMPLO
Problema:
La Internet de una ciudad presenta baja respuesta. Los usuarios reportan problemas en el acceso a los servidores va TCP/IP. Eventualmente, los problemas se resuelven reseteando los servidores pero es una solucin temporal pues los problemas se vuelven a presentar.
SNMP
63
Metodologa de Solucin: El administrador de red coloca: Varias sondas RMON en la red y detecta que el trfico de broadcast es el 40% del trafico de la red. Filtros en las sondas para capturar slo el trafico de broadcast, resultando que varios de los servidores estaban enviando solicitudes ARP en proporcin anormal. Filtros para capturar una conversacin cliente /servidor observndose que todas las solicitudes al servidor estaban siendo respondidas, no con una respuesta, sino con una solicitud ARP.
SNMP 64
Metodologa de Solucin
Se evidencia que el servidor pierde informacin de las direcciones fsicas de los clientes tan pronto como la obtiene, o sea, su cache ARP se limpia constantemente. Al revisar la configuracin del servidor se encontr que valor de time out de la cache estaba fijada en milisegundos en vez de en minutos.
El problema de la red se resolvi completamente cambiando el valor de time out de la cache.
SNMP 65
GRACIAS!!!