Simple Network Management Protocol

SNMP

Escuela Ingeniera de Electrnica en telecomunicacion es y redes

CAPITULO IV

SNMP
SNMP es un protocolo de nivel de aplicacin para consultar a los diferentes elementos que forma una red (routers, switches, hubs, hosts, modems, impresoras, etc).
Cada equipo conectado a la red ejecuta procesos (agentes), para que se pueda realizar una administracin tanto remota como local de la red. Dichos procesos van actualizando variables (manteniendo histricos) en una base de datos, que pueden ser consultadas remotamente.

SNMP: protocolos
SNMP es independiente del protocolo (IPX de SPX/IPX de Novell, IP con UDP) SNMP se puede implementar usando comunicaciones UDP o TCP, pero por norma general, se suelen usar comunicaciones UDP en la mayora de los casos. Con UDP, el protocolo SNMP se implementa utilizando los puertos 161 y 162. puerto 161 se utiliza para las transmisiones normales de comando SNMP puerto 162 se utiliza para los mensajes de tipo trap o interrupcin. La forma normal de uso del SNMP es el sondeo (o pooling)

Formatos SNMP
En SNMP la informacin se intercambia entre la estacin de gestin y el agente en forma de mensajes SNMP. Cada mensaje incluye un campo Version con el nmero de versin de SNMP (version = 0, para SNMPv1), un campo Community con el nombre de comunidad, y uno de los cinco tipos de unidades de datos de protocolo (PDU).

Comunicacin entre estacin gestora y agente

SNMP: arquitectura
El modelo de gestin utilizado en redes TCP/IP incluye los siguientes elementos principales: estacin (o consola) de administracin agente de administracin base de informacin de administracin protocolo de administracin

SNMP facilita la comunicacin entre la estacin administradora y el agente de un dispositivo de red, permitiendo que los agentes transmitan datos estadsticos (variables) a travs de la red a la estacin de administracin.

Elementos de la arquitectura SNMP

- Nodos administrados que ejecutan agentes SNMP y estacin administradora o consola de administracin - mantienen una base de datos MIB con formato SMI
- Estructura e identificacin de la informacin sobre la administracin (Structrure of Management Information SMI) : Una especificacin que permite definir las entradas en una MIB.

Elementos de la arquitectura SNMP

- Base de informacin de la administracin (MIB) : Una base de datos relacional, organizada por objetos o variables y sus atributos o valores, que contiene informacin del estado y es actualizada por los agentes. Un subconjunto es el MIB-2. Informacin comn soportado por todos los dispositivos - SNMP: El mtodo de comunicacin entre los dispositivos administrados y los servidores.

Agentes SNMP

Componentes de la arquitectura SNMP

SMI: Structure of Management Information

La SMI, que se especifica en la RFC 1155, define el marco general dentro del cual una MIB se puede definir y construir. La SMI identifica los tipos de datos que pueden usarse en la MIB y especifica como se representan y denominan los recursos dentro de la MIB. SMI presenta una estructura en forma de rbol global para la informacin de administracin, convenciones, sintaxis y las reglas para la construccin de MIBs.
SNMP 11

MIB
Todos los objetos gestionados en el ambiente de SNMP estn ordenados en una estructura de rbol. Las hojas del rbol son los verdaderos objetos gestionados, cada uno de los cuales representa algn recurso, actividad, o informacin relacionada que ser gestionada. Asociado con cada tipo de objeto dentro de una MIB hay un identificador de objeto (OID) del tipo OBJECT IDENTIFIER de ASN.1. El OID es nico para cada tipo de objeto, Notacin de sintaxis Abstracta Nmero 1.y sirve para identificar al objeto.
SNMP 12

MIB
Su valor consiste en una secuencia de enteros denominados subidentificadores, que tambin sirven tambin para identificar la estructura del rbol. Comenzando por la raz (sin nombre) del rbol, cada subidentificador del OID identifica un nodo en el rbol.
SNMP 13

 Hay tres nodos en el primer nivel: ccitt (0), iso (1), jointiso-ccitt (2). Bajo el nodo iso, un subrbol es para uso de otras organizaciones, una de las cuales es el U.S. Departament of Defense (dod). La RFC 1155 asume que un subrbol bajo el nodo dod ser ubicado por el Internet Activities Board (IAB)

SNMP

14

 Entonces, el nodo internet(1) tiene un valor de OID de 1.3.6.1. El documento SMI define cuatro nodos bajo el nodo internet: directory(1): reservado para uso futuro con el OSI directory (X.500) mgmt(2): usado para objetos definidos en documentos aprobados por el IAB. experimental(3): usado para identificar objetos utilizados en experimentos de Internet. private(4): usados para identificar objetos definidos unilateralmente por los fabricantes SNMP 16

 El subrbol mgmt contiene las definiciones de las MIBs que han sido aprobadas por el IAB. Actualmente, dos versiones de la MIB han sido desarrolladas, mib-1 y mib-2. La segunda es una extensin de la primera. Ambas fueron provistas con el mismo OID en el subrbol de modo que slo puede haber una de las MIBs presentes en cualquier configuracin.
SNMP 17

La MIB est organizada en niveles, que a su vez lo hace en mdulos que contienen grupos de variables interrelacin

Ejemplo de GRUPOS de variables en MIB-2 en la SMI: System (identifica el hw y sw) AT (traduccin de direccin de Ethernet a IP) IP (contador de paquetes, fragmentacin) ICMP (contador de cada tipo de mensaje ICMP) TCP y UDP (conexiones abiertas TCP) EGP (estadstica de protocolo externo)
SNMP 18

Ejemplo de SMI para acceder a Mib_2.Interfaces

ccitt (0) iso (1) itu (2) Joing-iso-ccitt (3)

Standard (0) ... (0) ... (0) Directory (1) ... (0) System (1)

Registration -auth (1) Member-body (2) DoD (6)

Org (3)

...
Internet (1) Mgmt (2)

...
private (4)

Experimental (3)

...

Mib_2 (1) Interfaces (2)

SNMP

...
Addr-translation (3)

...
19

Subrboles de la MIB-2

SNMP

20

Consola (o estacin) de administracin

SNMP es un protocolo de capa de aplicacin diseado para comunicar datos entre la consola de administracin y el agente de administracin. Los comandos bsicos que ejecuta son: OBTENER (GET), que implica que la consola de administracin recupera datos del agente COLOCAR (PUT), que implica que la consola de administracin establece los valores de los objetos en el agente CAPTURAR (TRAP), que implica que el agente notifica a la consola de administracin acerca de los sucesos de importancia por interrupcin
SNMP 21

Ejemplo funcionamiento protocolo SNMP

RED INTERNA

SNMP

22

Ejemplo funcionamiento protocolo SNMP

RED INTERNA

SNMP

23

Obtencin de informacin MIB

ESTACIN ADMINISTRADORA NODO ADMINISTRADO

UDP 161

UDP 161

AGENTE

Consulta/Solicitud de variable:
Software: NetFlow CiscoWorks HP OpenView
?

GET REQUEST GET NEXT REQUEST GET NEXT BULK (SNMP v.2)

Respuesta a solicitud:
GET RESPONSE
SNMP 24

Modificacin de informacin
ESTACIN ADMINISTRADORA NODO ADMINISTRADO ! AGENTE MIB

UDP 161

UDP 161

Modificacin de valor de variable:

Software: NetFlow CiscoWorks HP OpenView
!

SET REQUEST SET NEXT REQUEST

EJEMPLO: Se puede usar para resetear

el valor de los contadores, como el nmero de paquetes procesados.
SNMP 25

Generacin de interrupciones MIB

ESTACIN ADMINISTRADORA NODO ADMINISTRADO

UDP 162

AGENTE

Un Agente informa de un evento:

TRAP

Software: NetFlow CiscoWorks HP OpenView

EJEMPLO: El Agente de un router informa de que un enlace ha cado.

SNMP

26

MENSAJES SNMP
SNMP proporciona un mecanismo para acceder a los objetos de MIB de modo que puedan serconsultados y modificados, adems de permitir que los dispositivos conectados a la red enven mensajes no solicitados a una estacin de gestin SNMP para indicar que se ha producido una cierta condicin. El SNMP define ocho mensajes que pueden enviarse: 1. GET REQUEST 2. GET NEXT REQUEST 3. GET BULK REQUEST (en SNMP v2) 4. SET REQUEST 5. SET NEXT REQUEST 6. GET RESPONSE 7. TRAP 8. INFORM REQUEST (en SNMP v2)

SNMP

27

1. Get-request. Utilizado por la estacin de gestin para obtener el valor de una o ms variables MIB del agente SNMP de la estacin remota. 2. Get-next-request. Es similar a la anterior, con la diferencia que se obtiene el valor de una variable sin definir sta explcitamente. 3. Response. Es la respuesta del agente a una peticin del gestor devolviendo el valor de una o ms variables.
28

4. Set-request. Constituye el mecanismo para que el gestor modifique los valores de las variables MIB de la estacin remota.

5. Trap. Cuando se produce un determinado evento o condicin en la estacin remota, el agente enva un trap para notificarlo al gestor. Dado que el mensaje se enva de forma sncrona y en cualquier momento, la estacin de gestin debe monitorizar la red en todo instante.
SNMP 29

Problema: SNMP y congestin

La monitorizacin se realiza por la propia red, por tanto si la red est congestionada, puede conllevar ms problemas.
Si existe una fallo general en cualquier parte de la red (p.ej fallo de la corriente elctrica), cada dispositivo administrado por SNMP tratar de enviar al mismo tiempo, mensajes controlados por interrupcin hacia el servidor, para reportar el problema. Esto puede congestionar la red y producir una informacin errnea en el servidor.
SNMP 31

COMUNIDADES
SNMP involucra, adems de las relaciones uno-amuchos entre una estacin de gestin y las estaciones gestionadas, relaciones uno-a-muchos entre una estacin gestionada y las estaciones de gestin. Cada estacin gestionada controla su propia MIB local y debe ser capaz de controlar la forma en que es usada esta MIB por otras estaciones de gestin.

SNMP

32

COMUNIDADES
Hay tres aspectos a tener en cuenta.
Servicio de Autenticacin Poltica de Acceso Servicio Proxy

33

Servicio de Autenticacin.
Un servicio de autenticacin es el encargado de asegurar que una comunicacin es autntica. En el caso de un mensaje SNMP, dicho servicio debera asegurarle al receptor que el mensaje proviene de donde dice ser.

SNMP proporciona un esquema de autenticacin trivial, cada mensaje desde una estacin de gestin hacia un agente contiene el nombre de comunidad. Este nombre funciona como contrasea, y el mensaje se asume autntico si el que lo enva conoce la contrasea.
SNMP 34

Poltica de Acceso
Definiendo una comunidad, un agente limita el acceso a su MIB a un grupo seleccionado de estaciones de gestin. Usando ms de una comunidad, el agente puede proporcionar diferentes categoras de acceso a la MIB para las distintas estaciones de gestin. Hay dos aspectos para este control de acceso:
SNMP 35

 SNMP MIB view: un subconjunto de objetos dentro de la MIB. Para cada comunidad pueden definirse diferentes vistas de la MIB. El conjunto de objetos en una vista no necesita pertenecer a un nico subrbol de la MIB. SNMP access mode: un elemento del conjunto (read-only, read-write). Para cada comunidad se define un modo de acceso.

SNMP

36

 La combinacin de una MIB view y un modo de acceso es mencionada como un perfil de comunidad SNMP (community profile). El modo de acceso se aplica uniformemente a toda la MIB view. Dentro de un perfil de comunidad, dos restricciones de acceso separadas deben conciliar. Una restriccin es el modo de acceso adoptado, la otra est dada por la clusula ACCESS incluida en la definicin de cada objeto de MIB. A cada comunidad definida en el agente se le asocia un perfil de comunidad. A esta combinacin se la conoce como SNMP 37 poltica de acceso SNMP (access policy).

 El concepto de comunidad es un concepto local, definido en la estacin gestionada. El sistema gestionado establece una comunidad para cada combinacin deseada de las caractersticas de autenticacin, control de acceso y proxy.

Cada comunidad tiene un nombre de comunidad (dentro del agente), y las estaciones de gestin dentro de esa comunidad estn provistas con el nombre de comunidad y deben utilizarlo en todas las operaciones Get y Set.
SNMP 39

Limitaciones de SNMP
No es adecuado para gestionar redes grandes debido a las limitaciones en la performance del polling. Se debe enviar un paquete de pedido para recibir un paquete de informacin, lo que provoca gran cantidad de mensajes de rutina y produce tiempos de respuesta que pueden ser inaceptables. No se adeca a la recuperacin de gran cantidad de datos, como por ejemplo una tabla de ruteo completa. SNMP

40

Limitaciones de SNMP
Posee traps no confirmados. Si se utiliza un servicio de transporte no confiable como UDP, el agente no tiene seguridad sobre el arribo de un mensaje crtico a la estacin de gestin. Proporciona un servicio de autenticacin trivial, que hace que su uso se limite al SNMP monitoreo.

41

Limitaciones de SNMP
No permite enviar comandos que disparen una accin en el agente. Esto se debe realizar indirectamente modificando el valor de algn objeto. Este esquema es menos flexible y poderoso que uno que permita hacer llamadas a procedimientos remotos. El modelo de la MIB SNMP no permite que una aplicacin efecte pedidos de gestin sofisticados basados en los valores o tipos de los objetos.
SNMP 42

SNMP: Versin 2 y 3
Versin 2: De SNMPv1, para reducir la carga de trfico adicional para la monitorizacin (con los GetBulk e Informs) y solucionar los problemas de monitorizacin remota o distribuida (con las RMON), ha dado paso a una nueva versin v2 en 1993. Las versiones de SNMP son compatibles, en el sentido que SNMPv2 puede leer SNMPv1.
SNMP 43

SNMP: Versin 2 y 3
Versin 3: SNMPv1 utiliza como mecanismo de autenticacin (validacin) un parmetro llamado comunidad, de forma que si agente y estacin administradora lo conocen, pueden interactuar.

Pero esta proteccin es muy debil porque el texto va en claro y adems puede explotarse en fuerza bruta. Por tanto, para evitar la falta de seguridad en las transmisiones (con cifrado y autenticacin), se ha creado una capa o parche complemento a SNMPv1 y v2 llamado versin v3, que aade a los mensajes SNMP (v1 y v2) una cabecera adicional.
SNMP 44

Otras redes, otros segmentos. Comentario a la monitorizacin

SNMP gestiona dispositivos individuales, pero no permite diagnosticar fallos en un red remota u otro segmento de red. Para ello, el software de monitorizacin debe trasladarse a cada segmento de red. Esto se puede resolver mediante el uso de agentes en los segmentos remotos de red, utilizando equipos especiales o bien ordenadores de propsito general, llamados sondas RMON (Remote MONitor)
SNMP 45

RMON Remote Monitor

Una de las mejoras principales de SNMP se denomina Monitoreo Remoto (RMON).

Las extensiones de RMON a SNMP brindan la capacidad para observar la red como un todo, aunque est distribuida, en contraste con el anlisis de dispositivos individuales, declarndose para ello una MIB especial para guardar informacin de monitorizacin de un segmento de red diferente. La MIB asociada es 1.3.6.1.2.1.16

SNMP

46

Las sondas RMON recopilan informacin y tiene la misma funcin que un agente SNMP, transmitiendo la informacin peridicamente. Adems, pueden procesar la informacin a enviar a la estacin de administrador. La RMON est localizada en cada segmento de red y pueden introducirse en un host, en un switch, en un router o en un dispositivo especfico para ello. Adems, permite aadir redundancia a la administracin de la red, ya que RMON permite volcar los datos a varias consolas de administracin. La RMON1 trabaja en informacin de capa 1 y 2. La RMON2 trabaja en informacin de capa 3 y superiores.
47

SNMP

48

Funcionamiento de RMON
RED INTERNA

Inform Request Response

Gestor RMON

Gestor RMON central

SNMP

49

Monitores de Red
Pemiten conocer en una LAN:
Nivel de utilizacion Nivel de colisiones Nivel de errore
De esta manera de determina si se debe cambiar el equipamiento y mejorar la conectividad, entre otras opciones. SNMP

50

Problema
El problema de los monitores de red es que no se puede acceder remotamente a la informacion sin provocar una excesiva ineficiencia. Solucin:
Monitorizacin REMOTA (RMON)
SNMP 51

Caractersticas RMON
Es una extensin de SNMP Gestiona una subred como un todo. Accede en forma remota a la informacin empleando SNMP. La informacin se almacena en una MIB de gestin llamada MIB RMON. La sonda RMON realiza parte del procesamiento de la informacin de gestin. SNMP

52

Gestin de la red sin RMON

SNMP

53

Gestin de la red con RMON

SNMP

54

Ventajas
Permite: Monitorizacin configurable de la sonda RMON Deteccin local de fallos e informe al gestor principal de los mismos. Recoleccin de informacin para mltiples gestores (almacena la configuracin que recibe en tablas). Disminucin del consumo de recursos en la red y en la estacin central de gestin.
SNMP 55

Versiones RMON
RMON v1
Definida en la RFC 1757 Proporciona informacin de gestin del nivel fsico y de nivel de Control de Acceso al Medio (MAC). La RMON MIB v1 es incorporada en la MIB-II de SNMP como el subgrupo 16 con 9 subgrupos para Ethernet y uno para Token Ring.
SNMP 56

RMON v2
Se encuentra recogida en la RFC 2021. Hace nfasis en el trfico IP y en el trfico del nivel de aplicaciones. Proporcionar informacin de gestin de los niveles de red y de aplicacin permitiendo analizar el flujo entre subredes. La RMON MIB v2 aade 10 subgrupos a la RMON MIB v1 .
SNMP 57

Capas del Modelo TCP/IP y las versiones de RMON

SNMP

58

MIB RMON

SNMP

59

SNMP

60

EJEMPLOS
Problema: El personal de la divisin de ingeniera de un fabricante de computadoras corre simulaciones sobre la Intranet lo que tpicamente dura das y requiere la mxima velocidad de la red. Las simulaciones comenzaron a estar muy lentas y la divisin de ingeniera le echo la culpa a la falta de ancho de banda de la red exigiendo que la tecnologa de su LAN fuera reemplazada con otra de ms velocidad.
SNMP 61

Metodologa de Solucin: El administrador de red: Analiz el historial de trfico de las sondas RMON en las LAN criticas de ingeniera. Elabor grficos que mostraban la utilizacin y la mxima utilizacin de las mquinas de la red.
Resultado: La utilizacin del ancho de banda de las LAN nunca alcanzo el 10 %. La mquina de ms trfico en la red de ingeniera era una xterminal corriendo un sofisticado protector de pantalla desde el servidor.

SNMP

62

EJEMPLO
Problema:

La Internet de una ciudad presenta baja respuesta. Los usuarios reportan problemas en el acceso a los servidores va TCP/IP. Eventualmente, los problemas se resuelven reseteando los servidores pero es una solucin temporal pues los problemas se vuelven a presentar.

SNMP

63

 Metodologa de Solucin: El administrador de red coloca: Varias sondas RMON en la red y detecta que el trfico de broadcast es el 40% del trafico de la red. Filtros en las sondas para capturar slo el trafico de broadcast, resultando que varios de los servidores estaban enviando solicitudes ARP en proporcin anormal. Filtros para capturar una conversacin cliente /servidor observndose que todas las solicitudes al servidor estaban siendo respondidas, no con una respuesta, sino con una solicitud ARP.
SNMP 64

 Metodologa de Solucin

Se evidencia que el servidor pierde informacin de las direcciones fsicas de los clientes tan pronto como la obtiene, o sea, su cache ARP se limpia constantemente. Al revisar la configuracin del servidor se encontr que valor de time out de la cache estaba fijada en milisegundos en vez de en minutos.
El problema de la red se resolvi completamente cambiando el valor de time out de la cache.
SNMP 65

GRACIAS!!!