Você está na página 1de 105

Gerenciamento de Redes de

Computadores

Jos Maurcio dos Santos Pinheiro


Verso 2.0 Agosto 2002

NDICE
Introduo ...................................................................................................................................... 4
Captulo 1 - Gerenciamento em Redes de Computadores ............................................................. 6
1.0 Gerncia de Redes ............................................................................................................... 6
1.1 Informao Gerencial ....................................................................................................... 7
1.2 Arquitetura em rvore da MIB.......................................................................................... 7
1.3 Objeto gerenciado, Gerente e Agente ............................................................................... 8
1.4 - Definio do gerenciamento.............................................................................................. 9
1.5 - O que gerenciar.................................................................................................................. 9
1.6 - A rede do ponto de vista do usurio ................................................................................ 10
Captulo 2 - Protocolos de gerenciamento ................................................................................... 11
2.1 Protocolo CMIP .............................................................................................................. 11
2.2 Protocolo CMOT ............................................................................................................ 12
2.3 Protocolo SNMP ............................................................................................................. 12
2.4 Protocolo RMON............................................................................................................ 15
2.4.1 RMON1 ................................................................................................................... 15
2.4.2 RMON2 ................................................................................................................... 15
Captulo 3 Modelos de Gerenciamento .................................................................................... 17
3.1 Modelo Internet............................................................................................................... 17
3.1.1 Estrutura e identificao da informao .................................................................. 17
3.1.2 - Sintaxe ...................................................................................................................... 22
3.1.3 Codificaes............................................................................................................. 23
3.2 Modelo OSI..................................................................................................................... 23
3.2.1 Requisitos de gerenciamento ................................................................................... 23
Captulo 4 - Objetos Gerenciveis ............................................................................................... 25
4.1 Definio de tipo de objeto ............................................................................................. 25
4.2 - Base de Informao Gerencial (MIB) ............................................................................. 26
4.2.1 - A MIB da Internet (TCP/IP)..................................................................................... 26
4.2.2 - A MIB no modelo OSI ............................................................................................. 27
4.3 - Operaes de Gerenciamento .......................................................................................... 30
4.3.1 - Operaes Orientadas a Atributos ............................................................................ 30
4.3.2 - Operaes sobre Objetos Gerenciados como um todo ............................................. 32
4.4 - Compiladores de MIBs .................................................................................................. 35
4.5 - Interface com o Usurio .................................................................................................. 36
4.5.1 - Divulgando as informaes da Interface com o usurio........................................... 37
Captulo 5 - O protocolo SNMP .................................................................................................. 39
5.1 Descrio do protocolo ................................................................................................... 39
5.2 - Operaes disponveis no protocolo SNMP.................................................................... 41
5.3 - Mensagens no protocolo SNMP ...................................................................................... 42
5.4 - Servidores e Clientes SNMP ........................................................................................... 44
5.5 SNMPv2.......................................................................................................................... 45
Captulo 6 - Gerenciamento no modelo OSI ............................................................................... 47
6.1 O protocolo CMIP e os servios do CMIS ..................................................................... 47
6.2 - Conceitos bsicos ............................................................................................................ 49
6.2.1 - Gerentes, agentes e objetos gerenciados .................................................................. 49
6.2.2 - Modelo de Gerenciamento OSI ................................................................................ 51

6.3 - Componentes do Modelo de Gerenciamento OSI ........................................................... 52


6.4 - Aspectos das Comunicaes............................................................................................ 53
6.4.2 - Domnios Gerenciais ................................................................................................ 55
6.5 - reas Funcionais no Gerenciamento OSI ....................................................................... 55
6.5.1 - Gerncia de Configurao ........................................................................................ 61
6.5.2 - Gerncia de Desempenho ......................................................................................... 61
6.5.3 - Gerncia de Falhas ................................................................................................... 62
6.5.4 - Gerncia de Contabilidade ....................................................................................... 62
6.5.5 - Gerncia de Segurana ............................................................................................. 64
6.6 - A Plataforma OSIMIS ..................................................................................................... 65
6.6.1 A plataforma OSIMIS e os protocolos CMIP e SNMP ........................................... 68
6.6.2 - Plataforma OSIMIS e orientao a eventos.............................................................. 69
6.6.3 - Sistema Genrico para gerenciamento ..................................................................... 69
6.6.4 - Interfaces para construo de processos gerentes..................................................... 70
Captulo 7 - Distribuio da Gerncia na Rede ........................................................................... 71
7.1 Centros de operao de rede ........................................................................................... 71
7.2 - Modelo Internet ............................................................................................................... 71
7.3 - Modelo OSI ..................................................................................................................... 73
7.4 - Gerncia via Servidores Elsticos ................................................................................... 74
Captulo 8 - Arquitetura de Segurana para Gerncia de Redes.................................................. 76
8.1 - Segurana em Redes de Computadores........................................................................... 76
8.1.1 - Agresses e Falhas ................................................................................................... 77
8.1.2 - Acesso Informao e Capacidade de Processamento ......................................... 77
8.2 Gerncia de Redes e Segurana ......................................................................................... 79
8.2.1 Ameaas sobre Sistemas de Gerncia......................................................................... 80
8.2.2 Requisitos de Proteo................................................................................................ 81
8.3 Arquitetura de Segurana para Gerncia de Redes............................................................ 82
8.3.1 - Algoritmos ................................................................................................................ 85
Captulo 9 - Ferramentas de Gerenciamento de Redes................................................................ 87
9.1 - AT&T - UNMA............................................................................................................... 87
9.2 - DEC - EMA ..................................................................................................................... 87
9.3 - HP Open View................................................................................................................. 88
9.4 SunNet Manager (Sun Microsystems) ............................................................................ 88
9.4.1 - Ferramentas .............................................................................................................. 89
9.5 - Tivoli ............................................................................................................................... 90
9.6 Unicenter TNG ............................................................................................................... 92
Captulo 10 Novos conceitos e abordagens .............................................................................. 94
10.1 - Meta Variveis............................................................................................................... 94
10.2 - Scripting MIB's.............................................................................................................. 95
10.3 - Gerenciamento por Delegao ou Gerentes por rea Semi-Autnomos ...................... 96
10.4 - Vermes - Agentes Migratrios ...................................................................................... 96
10.5 - MTODOS DE ACESSO - PROTOCOLOS................................................................ 97
10.5.1 - Associaes de Longa Durao.............................................................................. 97
10.5.2 - Uso de HTTP como Mtodo de Acesso ................................................................. 97
10.6 - APLICAES DE GERENCIAMENTO..................................................................... 98
Captulo 11 Gerncia Integrada de Redes e Servios ............................................................... 99
11.1 - Conceito de GIRS........................................................................................................ 100
2

11.2 - Requisitos bsicos de gerncia .................................................................................... 100


11.3 - Objetivos Bsicos ........................................................................................................ 101
Referncias Bibliogrficas .................................................................................................. 102

Introduo
As redes de computadores foram concebidas, inicialmente, como um meio de
compartilhar dispositivos perifricos tais como impressoras, modems de alta
velocidade, dentre outros, existindo apenas em ambientes acadmicos,
governamentais e em empresas de grande porte. Entretanto, a rpida evoluo das
tecnologias de redes aliada grande reduo de custos dos recursos computacionais,
motivou a proliferao das redes de computadores por todos os segmentos da
sociedade.
medida que essas redes foram crescendo e tornaram-se integradas s
organizaes, o compartilhamento dos dispositivos tomou aspecto secundrio em
comparao s outras vantagens oferecidas. As redes passaram ento a fazer parte
do cotidiano das pessoas como uma ferramenta que oferece recursos e servios que
permitem uma maior interao e um conseqente aumento de produtividade.
Alm disso, ocorreu uma grande mudana nos servios oferecidos, pois alm
do compartilhamento de recursos, novos servios, tais como correio eletrnico,
transferncia de arquivos, Internet, aplicaes multimdia, dentre outras, foram
acrescentadas, aumentando a complexidade das redes. No bastassem esses fatos, o
mundo da interconexo de sistemas de computadores ainda tem que conviver com a
grande heterogeneidade dos padres de redes, sistemas operacionais, equipamentos,
etc.
Considerando este quadro, torna-se cada vez mais necessrio o gerenciamento
do ambiente de redes de computadores para mant-lo funcionando corretamente.
Surge a necessidade de buscar uma maneira consistente de realizar o gerenciamento
de redes para, com isso, manter toda a estrutura da rede funcionando de forma a
atender as necessidades de seus usurios e s expectativas de seus administradores.
O contnuo crescimento em nmero e diversidade de componentes das redes
de computadores tambm tem contribudo para que a atividade de gerenciamento de
rede se torne vez mais imprescindvel. Os benefcios da integrao dos sistemas
computacionais de uma empresa, de natureza e portes diferentes, como forma de
distribuir as tarefas e compartilhar os recursos disponveis, so hoje uma realidade. As
grandes redes corporativas, que so inter-redes formadas pela interconexo de
pequenas redes locais, assumiram um papel fundamental para os negcios das
empresas que delas se utilizam. Por este motivo, estas redes requerem um sistema de
gerenciamento eficiente para que as informaes da corporao estejam sempre
disponveis no local e no momento onde forem requisitadas.
Desde a dcada de 80 vrios grupos tm trabalhado para definir arquiteturas
padronizadas (e abertas) para o gerenciamento de redes heterogneas, ou seja, redes
compostas por equipamentos de diferentes fabricantes. As principais arquiteturas
abertas de gerenciamento de redes so relacionadas s tecnologias TCP/IP e OSI da
ISO e estas so conhecidas mais facilmente pelos nomes dos protocolos de
gerenciamento utilizados: Simple Network Management Protocol - SNMP do TCP/IP e
o Common Management Information Protocol - CMIP de OSI.
Muitos produtos de gerenciamento j foram desenvolvidos obedecendo estes
padres. Por razes histricas, os primeiros produtos seguiram o padro SNMP e at

hoje este o protocolo que possui o maior nmero de implementaes. Embora


atualmente existam algumas aplicaes de gerenciamento muito sofisticadas, a
maioria destas aplicaes possibilita apenas o monitoramento dos ns de uma rede e
no possui inteligncia para auxiliar os administradores de rede na execuo de sua
tarefa.
A arquitetura de gerenciamento SNMP, adotada na tecnologia TCP/IP, supe a
existncia de estaes de gerenciamento, onde so executadas as aplicaes de
gerenciamento e os ns gerenciados, que so os elementos da rede (estaes,
roteadores e outros equipamentos de comunicao), que desempenham funes de
comunicao na operao normal da rede, atravs dos chamados protocolos teis.
Estes protocolos so instrumentados para permitir o monitoramento e controle do seu
funcionamento.
Uma parte significativa do processo de gerenciamento baseia-se na aquisio
de informaes sobre a rede, sendo as mais importantes quelas relativas a erros,
falhas e outras condies excepcionais. Tais dados devem ser armazenados em forma
bruta, sendo importante definir os valores aceitveis como limiares de tolerncia que,
quando ultrapassados, determinam uma sinalizao para pedir interveno de um
operador, ou o incio de uma operao corretiva. Tais limites no so necessariamente
absolutos, tais como a taxa de erros num enlace de dados, sendo necessrio dispor
de estatsticas de erros em funo do trfego existente. Um determinado limiar pode
ser aceitvel numa situao de carga leve na rede, mas intolervel numa outra
situao, de carga mais intensa, no qual o nmero de retransmisses faria com que o
trfego total excedesse a capacidade do enlace, afetando seriamente o tempo de
resposta.

Captulo 1 - Gerenciamento em Redes de Computadores


1.0 Gerncia de Redes
A gerncia em redes de computadores torna-se tarefa complexa em boa parte
por conseqncia do crescimento acelerado das mesmas tanto em desempenho
quanto em suporte a um grande conjunto de servios. Alm disso, os sistemas de
telecomunicaes, parte importante e componente das redes, tambm adicionam
maior complexidade, estando cada vez mais presentes, mesmo em pequenas
instalaes.
Admitindo-se que as ferramentas para gerncia de redes no abrangem toda a
gama de problemas de uma rede e que estas nem sempre so usadas nas
organizaes que possuem redes, se faz necessrio que outros mecanismos de
gerncia sejam utilizados para suprir suas carncias mais evidentes.
As informaes que circulam em uma rede de computadores devem ser
transportadas de modo confivel e rpido. Para que isso acontea importante que os
dados sejam monitorados de maneira que os problemas que porventura possam existir
sejam detectados rapidamente e sejam solucionados eficientemente. Uma rede sem
mecanismos de gerncia pode apresentar problemas que iro afetar o trfego dos
dados, bem como sua integridade, como problemas de congestionamento do trfego,
recursos mal utilizados, recursos sobrecarregados, problemas com segurana entre
outros.
O gerenciamento est associado ao controle de atividades e ao monitoramento
do uso dos recursos da rede. A tarefa bsica que uma gerncia de rede deve executar
envolve a obteno de informaes da rede, tratar estas informaes possibilitando
um diagnstico seguro e encaminhar as solues dos problemas. Para cumprir estes
objetivos, funes de gerncia devem ser embutidas nos diversos componentes da
rede, possibilitando descobrir, prever e reagir a problemas.
Para resolver os problemas associados gerncia em redes a ISO atravs do
OSI/MN props trs modelos:
O Modelo Organizacional que estabelece a hierarquia entre sistemas de gerncia
em um domnio de gerncia, dividindo o ambiente a ser gerenciado em vrios
domnios.
O Modelo Informacional que define os objetos de gerncia, as relaes e as
operaes sobre esses objetos. Uma MIB necessria para armazenar os objetos
gerenciados.
O Modelo Funcional que descreve as funcionalidades de gerncia: gerncia de
falhas, gerncia de configurao, gerncia de desempenho, gerncia de contabilidade
e gerncia de segurana.

1.1 Informao Gerencial


A base da informao gerencial (MIB - Management Information Base) um
banco de dados que armazena informaes referentes a todos os objetos gerenciados
(incluindo seus atributos, operaes e notificaes). Os objetos gerenciados dentro da
MIB so definidos em termos de:
Atributos - Propriedades dos objetos gerenciados.
Operaes - So as aes que os Agentes podem submeter ao Gerente para
informar sobre a ocorrncia de eventos nos objetos gerenciados;
Notificaes - So informaes que os Agentes podem emitir ao Gerente para
informar sobre a ocorrncia de eventos nos objetos gerenciados;
Relaes - as formas de comunicao entre os objetos.
As definies dos objetos gerenciados na MIB dependem do padro usado no
sistema de gerncia. No caso do modelo OSI, os objetos so definidos de acordo com
os atributos, operaes, notificaes e relaes:
Os atributos so as propriedades dos objetos que podem ter valores simples ou
complexos.
As operaes dizem respeito s operaes a que esto submetidos os objetos.
As notificaes so informaes que os agentes enviam ao gerente para informar
sobre eventos nos objetos de sua base de informaes local.
A relao diz respeito relao de um objeto com outros.
A MIB segue uma arquitetura do tipo rvore, onde as informaes referentes a
objetos da rvore esto nas suas folhas.

1.2 Arquitetura em rvore da MIB


Basicamente so definidos quatro tipos de MIBs: MIBI, MIBII, MIB experimental
e MIB privada. As MIBs do tipo I e II fornecem informaes gerais sobre o
equipamento gerenciado, sem levar em conta as caractersticas especficas deste
equipamento. A MIBII, em verdade, uma evoluo da MIBI, que introduziu novas
informaes alm daquelas encontradas na MIBI. Portanto, atravs das MIBs do tipo I
e II possvel obter informaes como tipo e status de interface (Ethernet, FDDI,
Token-Ring), nmero de pacotes transmitidos, nmero de pacotes com erro,
informaes de protocolos de transmisso etc.
As MIBs experimentais so aquelas que esto em fase de testes, com a
perspectiva de serem adicionadas ao padro e que, em geral, fornecem caractersticas
mais especficas sobre a tecnologia dos meios de transmisso e equipamentos
empregados.
As MIBs privadas so especficas dos equipamentos gerenciados,
possibilitando que detalhes peculiares a um determinado equipamento possam ser
obtidos. desta forma que possvel se obter informao sobre colises,
configurao, swap de portas, e muitas outras, de um hub. Tambm possvel fazer
um teste, reinicializao ou desabilitar uma ou mais portas do hub atravs de MIBs
proprietrias.
7

Um objeto da MIB obtm seu nome da posio em uma estrutura hierrquica na


forma de uma estrutura de dados do tipo rvore. Nesta estrutura as informaes
referentes a objetos da rvore esto nas suas folhas. A principal questo : como
identificar uma folha na rvore da MIB?
Deve-se observar que a estrutura da rvore contm um tronco principal e um
conjunto de galhos. Dessa forma, para chegar a informao referente a um objeto
folha, basta usar pontos para separar cada galho da rvore. Observar tambm que o
n principal da rvore (o tronco) identificado por um ponto (.).
Assim para chegarmos acessar o objeto referente Folha02 da figura seguinte, temse:
.Galho_T1_03.Galho_T2_02.Galho_T3_03.Folha02

Figura 1 - Arquitetura rvore da MIB

1.3 Objeto gerenciado, Gerente e Agente


Um objeto gerenciado um termo que pode ser definido como uma
representao abstrata das caractersticas relativas ao gerenciamento de um recurso
real da rede. O termo objeto tem sido utilizado devido tcnica de orientao a
objetos que tem se estabelecido como um paradigma muito utilizado na modelagem
de sistemas. Os processos de gerenciamento usados em atividades de gerenciamento
podem ser classificados como processo gerente ou processo agente.
Um processo gerente parte de uma aplicao distribuda que tem a
responsabilidade de uma ou mais atividades de gerenciamento, ou seja, ele transmite
operaes de gerenciamento (actions) aos agentes e recebe notificaes (events)
destes.

Um processo dito agente quando parte de uma aplicao distribuda ir executar


as diretivas enviadas pelo processo gerente. Assim, ele passar para o Gerente uma
viso dos objetos sendo gerenciados e refletir o comportamento desses objetos,
emitindo notificaes sobre os mesmos.
O cdigo de um agente constitudo por uma funo de gerenciamento contadores, rotinas de teste, temporizadores, etc, que permite o controle e
gerenciamento do objeto gerenciado. J a instrumentao de gerenciamento est
tipicamente associada a uma estrutura particular de gerenciamento, que especifica as
regras empregadas para definir a informao referente a um objeto referenciado,
permitindo, assim, que este possa ser monitorado e gerenciado.
A SMI (Structure Management Information), como chamada esta
instrumentao, anloga linguagem de programao usada para construir
estruturas de dados e permitir operaes que possam ser executadas sobre essas
estruturas. A combinao de uma SMI com um protocolo particular denominada
framework.

1.4 - Definio do gerenciamento


O gerenciamento de redes de computadores pode ser definido como a
coordenao (controle de atividades e monitorao de uso) de recursos materiais
(modems, roteadores, etc.) e ou lgicos (protocolos), fisicamente distribudos na rede,
assegurando, na medida do possvel, confiabilidade, tempos de resposta aceitveis e
segurana das informaes. O modelo clssico de gerenciamento pode ser
sumarizado em trs etapas:
Coleta de dados: um processo, em geral automtico, que consiste de monitorao
sobre os recursos gerenciados.
Diagnstico: esta etapa consiste no tratamento e anlise realizados a partir dos
dados coletados. O computador de gerenciamento executa uma srie de
procedimentos (por intermdio de um operador ou no) com o intuito de determinar a
causa do problema representado no recurso gerenciado.
Ao ou controle: Uma vez diagnosticado o problema, cabe uma ao, ou
controle, sobre o recurso, caso o evento no tenha sido passageiro (incidente
operacional).

1.5 - O que gerenciar


Dependendo da nfase atribuda aos investimentos realizados no ambiente de
processamento de dados, as funes de gerncia de rede podem ser centralizadas no
processador central ou distribudas em diversos ambientes locais. O gerenciamento de
rede implica na utilizao de vrias ferramentas inseridas em uma estrutura, de certa
forma complexa, com os limites de atuao definidos, se possvel padronizado, entre
os componentes envolvidos. Esta estrutura pode definir aspectos como: a estratgia
empregada no atendimento/chamadas dos usurios, atuao do pessoal envolvido
nas tarefas de gerenciamento de rede, supridores de servios, etc.

O foco para as atividades de gerenciamento de rede a organizao e,


aspectos como o atendimento do usurio, se caracterizam como primordial para o
sucesso da estrutura. desejvel que o usurio dos servios de rede tenha um nico
ponto de contato para reportar problemas e mudanas.
Os limites de atuao desta gerncia devem levar em conta a amplitude
desejada pelo modelo implantado na instalao que, alm de operar a rede, deve
envolver tarefas como:
Controle de acesso rede;
Disponibilidade e desempenho;
Documentao de configurao;
Gerncia de mudanas;
Planejamento de capacidade
Auxlio ao usurio;
Gerncia de problemas;
Controle de inventrio.
A nfase relativa atribuda em cada uma dessas categorias por uma instalao
depende do tamanho e complexidade da rede.

1.6 - A rede do ponto de vista do usurio


De um ponto de vista tcnico, observa-se que as redes de computadores esto
em constante expanso, tanto fisicamente como em de complexidade. Entretanto,
para o usurio final a rede vista como algo muito simples, ou seja, apenas um
recurso que oferece ferramentas que facilitam suas atividades cotidianas. Desta forma,
para o usurio, os sistemas de computao devem estar disponveis o tempo todo
para auxili-lo a atingir objetivos como vendas, qualidade, rapidez, eficincia etc.
Ento, deve-se considerar qual seria o verdadeiro impacto de uma eventual
parada nos servidores de redes, em uma paralisao parcial, em apenas uma linha ou
estao de trabalho. Situaes como estas devem ser levadas em conta antes da
elaborao de qualquer modelo de gerncia de redes, pois a partir de respostas a
questes como estas que se pode elaborar uma estrutura mnima.
Qualquer que seja a estrutura implantada, para se obter resultado dentro de
padres aceitveis de servios e informaes, para o usurio final, alm de
ferramentas, fundamental o bom nvel tcnico do pessoal envolvido com as
atividades administrativas e de gerncia da rede.

10

Captulo 2 - Protocolos de gerenciamento


Os protocolos de gerenciamento tm a funo de garantir a comunicao entre
os recursos de redes homogneas ou no. Com esse requisito satisfeito, operaes
de gerenciamento podem ser realizadas. Vrios produtos tm surgido com a finalidade
de gerenciar a rede, quase que em sua totalidade baseados no padro SNMP e CMIP.
Geralmente estes produtos de gerenciamento de redes incorporam funes grficas
para o operador de centro de controle.
Porm os dois protocolos que mais se desenvolveram foram o CMIP (Common
Management Information Protocol) e o SNMP(Simple Network Management Protocol),
respectivamente, protocolos do modelo OSI (Open System Interconnection) e da
arquitetura TCP/IP.

2.1 Protocolo CMIP


O protocolo CMIP o protocolo OSI do Nvel de Aplicao, orientado a conexo
e utiliza os servios providos pelo ASCE (Association Control Service Element), ROSE
(Remote Operations Service Element) e pelo servio de apresentao. O CMIP
trabalha em conjunto com o CMIS (Common Management Information Service), uma
interface de servio que descreve os servios de gerenciamento OSI oferecidos s
aplicaes de gerenciamento. A utilizao dos padres da ISO para gerenciamento
tm sido sustentadas pela OSF, que est comprometida, atravs do OSF/DME (Open
Software Foundation/Distributed Management Environment), em suportar os padres
OSI de gerenciamento. A funo do DME fornecer facilidades que permitam integrar
o gerenciamento de sistemas em ambientes heterogneos, satisfazendo trs
requisitos bsicos: interoperabilidade, consistncia e flexibilidade.
A interface CMIS define as seguintes primitivas de gerenciamento para o
modelo OSI:
M-EVENT-REPORT utilizada para envio de notificaes a um gerente.
M-GET utilizada pelo gerente para requisitar informaes de gerenciamento ao
agente.
M-SET utilizada pelo gerente para requisitar modificaes de informaes de
gerenciamento ao agente.
M-ACTION utilizada para invocar um procedimento pr-definido, especificado
como parte de um objeto gerenciado.
M-CREATE utilizada para solicitar a criao de uma nova instncia de uma
classe de objetos.
M-DELETE utilizada para remover uma ou mais instncias de objetos.
M-CANCEL-GET utilizada para terminar uma operao de GET muito demorada.

11

2.2 Protocolo CMOT


Com o aparecimento da Internet e da arquitetura TCP/IP, surgiu a necessidade
de desenvolver um protocolo de gerenciamento que interligasse essa arquitetura ao
modelo de gerenciamento OSI, mas especificamente que a estrutura de
gerenciamento OSI pudesse ser aplicada sobre os objetos gerenciados de uma rede
TCP/IP. O CMOT (CMIP sobre TCP/IP) baseia-se na estrutura de gerenciamento do
OSI e nos modelos, servios e protocolos desenvolvidos pela ISO.

2.3 Protocolo SNMP


A necessidade de mecanismos de gerenciamento nas redes baseadas em
TCP/IP atendida pelo SNMP em associao com o esquema de MIB, que tambm
suportado pelo padro OSF/DME. Uma das vantagens do SNMP a simplicidade e
facilidade de implementao. Assim, isso a grande maioria dos problemas de
gerenciamento podem ser contornados com o TCP/IP.
O SNMP (Simple Network Management Protocol) um protocolo de
gerenciamento da camada de aplicao da arquitetura TCP/IP sendo o mais utilizado
por ser simples e fcil de implementar. Esse protocolo foi projetado nos anos 80 com
um intuito de provisoriamente solucionar os problemas de comunicaes entre redes
heterogneas.
O sucesso do SNMP reside no fato de ter sido ele o primeiro protocolo de
gerenciamento no proprietrio, pblico, fcil de ser implementado e que possibilita o
gerenciamento efetivo de ambientes heterogneos. Existem trs verses desse
protocolo. A segunda verso tenta dar suporte para a transferncia eficiente de
grandes blocos de dados e dar estratgias de gerenciamento de rede centralizado,
problemas que no foram abordados na primeira verso. Outra questo que no foi
implementada na verso SNMP1 foi a segurana, que a principal meta da verso
SNMP3.
No gerenciamento SNMP adicionado um componente ao hardware (ou
software) que estar sendo controlado recebendo o nome de agente. Este agente
encarregado de coletar os dados dos dispositivos e armazen-los em uma estrutura
MIB - Management Information Base. Alm desta base de dados, normalmente
desenvolvido um software aplicativo com a habilidade de sumarizar estas informaes
e exibi-las nas estaes encarregadas das tarefas de monitorar a rede. Estas estaes
so chamadas de n gerente e onde processos gerentes so executados.
Os pioneiros na implantao dos protocolos SNMP foram os fornecedores de
gateways, bridges e roteadores. Normalmente, o fornecedor desenvolve o agente
SNMP e posteriormente desenvolve uma interface para a estao gerente da rede. Em
geral, estes produtos funcionam para vrios sistemas operacionais, como VMS, SUNOS, DOS, AIX e outros, sendo muito comum que estes fornecedores incluam
bibliotecas e utilitrios que permitam a criao de aplicaes de gerenciamento com
caractersticas especficas para alguns componentes da rede. As implementaes
bsicas do SNMP permitem monitorar e isolar falhas, j as aplicaes mais
sofisticadas permitem gerenciar o desempenho e a configurao da rede. Estas

12

aplicaes, em geral, incorporam menus e alarmes para facilitar a interao com o


profissional que est gerenciando a rede.
A utilizao do SNMP para gerenciamento de rede na Internet produto de
vrios mitos. Os dois mais crticos e de maior relevncia so: o mito do colapso de
rede e o mito do agente bobo.
A escolha da utilizao de UDP como protocolo de transporte para o SNMP,
aconteceu devido ao fato deste tipo de protocolo no orientado a conexo ter a
habilidade de continuar funcionando quando a rede falha. O mito diz que se fosse
utilizada uma conexo TCP, esta seria desfeita enquanto que o UDP continuaria
funcionando para salvar o dia. S que existe uma diferena bsica entre
gerenciamento de redes em termos de monitorao e gerenciamento de redes em
termos de resoluo de problemas. Hoje em dia, a totalidade do gerenciamento de
redes que vem sendo feito quando a rede no est falhando, e at porque hoje
quando h uma pane de rede devido a problemas fsicos e assim nem o TCP nem
to pouco o UDP iro funcionar. Com este ponto de vista, ns podemos dizer que as
vantagens da utilizao do UDP como protocolo de transporte realmente apenas um
mito, e que o TCP pode ser utilizado como protocolo de transporte para o SNMP e
com vantagens quando se est fazendo monitorao.
Outro ponto importante que os algoritmos criados para prevenir
congestionamento de TCP fizeram com que o uso de mensagens TCP se
comportasse bem melhor para aliviar congestionamentos que mensagens UDP. Alm
disso, esperado que se possa requisitar prioridade ao trfego de gerenciamento de
redes. Com isso, tendo um caminho j estabelecido, pode-se monitorar e controlar a
rede, no importando quo congestionada ela esteja.
Para se fazer resoluo de problema num caso de falha na rede, necessrio
que sejam desenvolvidas ferramentas e tcnicas diferentes das utilizadas hoje para
monitorao e controle. At porque o uso de SNMP para este tipo de tarefa bem
menos eficiente que utilizar ferramentas como ping, nslookup, traceroute e mtrace.
Um outro grande mito criado o do agente bobo. Sempre se ouviu falar que
alguns dispositivos de rede s possuem capacidade de processamento suficiente
apenas para suportar um agente SNMP. Por este motivo, foi criado o conceito de
agente proxy para que dispositivos com pouca capacidade de processamento
pudessem ser gerenciados. Hoje os dispositivos de rede possuem mais capacidade de
processamento e memria que as prprias estaes de gerenciamento de antes. Com
esta evoluo nos dispositivos, alguns deles hoje so capazes de gerenciar a si
prprios se assim se desejar. Com isso, derruba-se este mito de que os agentes tm
que ser simples e bobos, e que s uma estao com maior capacidade de
processamento teria a capacidade de ser gerente.
O esquema dos produtos desenvolvido com o protocolo SNMP um pouco
diferente dos produtos que utilizam o protocolo CMIP. Os fornecedores de produtos
que utilizam o protocolo CMIP pressupem que os fabricantes possuam algum tipo de
gerenciamento em seus equipamentos, portanto estas informaes podem ser
disponibilizadas para um integrador via protocolo CMIP. O conceito de integrador foi
definido em trs nveis: o mais baixo, que contm os agentes e os elementos
gerenciadores, o intermedirio, que consiste em elementos do sistema de
gerenciamento, e finalmente o nvel mais alto, que consiste no integrador dos sistemas
de gerenciamento. Produtos como o NetView da IBM, Accumaster da AT& T, Allink da
13

Nynex e o SunNet Manager da Sun Microsiytems, dentre outros, so exemplos deste


tipo de implementao.
A dificuldade maior para uma aplicao integradora que os fornecedores no
tm as mesmas variveis de gerenciamento e tampouco as mesmas operaes em
seus servidores de objetos. A escolha entre um ou outro protocolo de gerenciamento
deve recair sobre o tipo de rede e dos produtos a ela agregados, sendo que podem
ser mesclados os dois protocolos.
O SNMP e seu Internet Standard Network Management Framework so
adequados a agentes simples e fceis de implementar, enquanto o CMIP e o seu
framework Network Management Forum Release 1.0 so adequados para agentes
com um ou mais servidores de objetos dentro da modalidade cliente-servidor orientado
para objeto, dentre os quais inclui-se o RPC.
O protocolo SNMP define tambm algumas primitivas de gerenciamento:
Primitiva Get - O Get uma primitiva usada pelo gerente para ler algum valor na
MIB. O gerente inicialmente envia uma mensagem de get-request ao agente, tendo
como parmetro a identificao do objeto cujo valor requerido. Essa identificao
pode ser uma seqncia de nomes separados por pontos ou uma seqncia de
nmeros tambm separados por pontos. Essa seqncia de nmeros ou nomes um
espelho da organizao hierrquica da MIB. Em seguida, o agente consulta a MIB e
responde requisio do gerente com a primitiva get-response, levando o valor do
objeto.
Primitiva Set - O Set uma primitiva usada pelo gerente para escrever algum
valor na MIB. Inicialmente, o gerente envia a primitiva de requisio set-request ao
agente, passando como parmetros o identificador do objeto cujo valor ser alterado e
o novo valor que o objeto receber. O identificador dos objetos tem as caractersticas
especificadas na primitiva get. Em seguida, o agente modifica o valor do objeto na MIB
e envia uma mensagem de resposta ao gerente, get-response.
Primitiva Get Next Request - Esta primitiva tem as mesmas caractersticas e faz
as mesmas funes da primitiva get, porm quando o gerente faz uma requisio ao
agente passando como parmetro o identificador de um determinado objeto, ele ir
receber como resposta o valor do objeto sucessor a este. Essa leitura sucessiva segue
o percurso da rvore de identificao da MIB.
Primitiva Trap - Essa primitiva, ao contrrio das anteriores, utilizada pelo agente
para informar ao gerente que algum evento anormal aconteceu. Essa primitiva pode
ser usada a qualquer momento, no precisando de uma requisio do gerente pra ser
usada. Outra diferena com relao as demais primitivas que ela no necessita de
uma resposta.

14

2.4 Protocolo RMON


Enquanto o SNMP trabalha limitadamente, onde o gerente obtm apenas
informaes de um determinado equipamento, os monitores do RMON (Remote
MONitoring), tambm chamados de probes, trabalham em modo promscuo,
capturando as informaes do trfego da rede como um todo. O RMON a
capacidade de gerenciamento remoto do SNMP, porm, tenta diminuir a quantidade
de informaes trocadas entre a rede local gerenciada e a estao gerente. Os
agentes que implementam a RMON MIB possuem cinco funes:
1. Operaes Off-line: operaes que permitem ao agente continuar executando
suas tarefas mesmo que a comunicao com a estao de gerenciamento no seja
possvel ou esteja com problemas.
2. Monitorao pr-ativa: permite executar continuamente diagnsticos e manter
logs do desempenho das redes a fim de desenvolver a funo de baseline, isto ,
manter histricos das operaes normais por um tempo estendido e em seguida
fazer uma anlise para identificar problemas potenciais na rede.
3. Deteco e registro de problemas: o monitor RMON pode reconhecer
determinadas condies das redes fazendo constantes averiguaes com o
objetivo de informar ao gerente sobre eventos e situaes de erros significativos
para a rede.
4. Valorizao dos dados coletados: o monitor RMON pode realizar anlises
especficas sobre os dados coletados em suas sub-redes.
5. Mltiplos Gerentes: oferece maior nvel de disponibilidade, pois o diagnstico
poder ser feito a partir de mais de uma estao gerente. O uso de mltiplos
gerentes tambm permite a execuo de diferentes funes ou o gerenciamento de
diferentes departamentos em uma empresa.
Dois padres do protocolo RMON so implementados:

2.4.1 RMON1
Monitora em nvel de camada MAC (Media Access Control) o trfego e coleta
informaes e estatsticas do segmento de rede local. Faz ainda um diagnstico
remoto de erros e falhas contidas no segmento com a ajuda de um analisador de
protocolos.

2.4.2 RMON2
Com a utilizao do padro RMON original, um monitor RMON pode monitorar
o trfego de rede ao qual est conectado, mas no pode saber de onde est provindo
originalmente este trfego, nem to pouco o destino final. Para tentar solucionar esta
deficincia, foi criado um grupo de trabalho para desenvolver o padro RMON2,
15

gerando dois internet drafts: Remote Network Monitoring MIB Version 2 e Remote
Network Monitoring MIB Protocol Identifiers.
Um monitor RMON2 no est limitado a monitorar e decodificar o trfego da
camada de rede. Ele tambm pode ver os protocolos de alto nvel rodando acima da
camada de rede, determinando, assim, que protocolos da camada de aplicao esto
gerando este trfego.
Um gerente necessita, periodicamente, consultar os monitores para obter
informaes. Seria interessante, para efeitos de eficincia, que apenas os dados que
foram alterados desde a ltima consulta fossem retornados. Para possibilitar tal
facilidade, o RMON2 criou o conceito de filtragem de tempo (time filtering),
introduzindo um time stamp em cada linha, que armazena a ltima vez em que esta foi
alterada.
O RMON2 opera no nvel da camada de rede e camadas superiores,
complementando o RMON1, possibilitando coletar informaes estatsticas e monitorar
a comunicao fim-a-fim e o trfego gerado por diferentes tipos de aplicao.
A configurao do gerenciamento RMON2 composta por uma probe que
gerencia o trfego da rede incluindo suas sub-redes. Em cada sub-rede existe uma
mquina que gerencia localmente o trfego desta, tambm funcionando do mesmo
modo que a probe e independente de sua arquitetura. A figura seguinte mostra esta
configurao.

Figura 2 - Exemplo de configurao de uma rede utilizando o RMON

16

Captulo 3 Modelos de Gerenciamento


Os modelos de gerenciamento diferenciam-se nos aspectos organizacionais no
que se refere disposio dos gerentes na rede, bem como no grau da distribuio
das funes de gerncia. Existem dois modelos adotados para gerncia de redes: o
Modelo Internet e o Modelo OSI.

3.1 Modelo Internet


O modelo de gerenciamento Internet adota uma abordagem gerente/agente
onde os agentes mantm informaes sobre recursos e os gerentes requisitam essas
informaes aos agentes. O padro Internet SMI (Structure of Management
Information) especifica uma metodologia para definio da informao de
gerenciamento contida na MIB. A MIB define os elementos de gerenciamento de
informao como variveis e tabelas de variveis.
A RFC (Request for Comments) 1066 apresentou a primeira verso da MIB
para uso com o protocolo TCP/IP, a MIB-I. Este padro explicou e definiu a base de
informao necessria para monitorar e controlar redes baseadas no protocolo
TCP/IP. O RFC 1066 foi aceito pela IAB (Internet Activities Board) como padro no
RFC 1156. O RFC 1158 props uma segunda MIB, a MIB-II, para uso com o protocolo
TCP/IP, sendo aceita e formalizada como padro no RFC 1213. A MIB-II expandiu a
base de informaes definidas na MIB-I.

3.1.1 Estrutura e identificao da informao


Um dos componentes conceituais de importncia nos sistemas de
gerenciamento a forma com que as informaes sobre os elementos bsicos que se
quer monitorar/gerenciar/administrar so armazenados. Estas informaes precisam
estar disponveis de forma padronizada, de forma que qualquer aplicao de
gerenciamento possa resgat-las e torn-las teis de alguma forma.
Objetos gerenciados so acessados via uma informao virtual armazenada,
denominada Base de Informao Gerencial ou MIB. Objetos de uma MIB so
especificados usando a Notao Sinttica Abstrata (Abstract Syntax Notation One ASN.1). Cada tipo de objeto (denominado Object Type) tem um nome, uma sintaxe e
uma codificao.
O nome representado unicamente como um IDENTIFICADOR de OBJETO
(Object Identifier). Um IDENTIFICADOR de OBJETO um nome administrativo
determinado. A sintaxe para um tipo de objeto define uma estrutura abstrata de dados
correspondente para este tipo de objeto. Por exemplo, a estrutura de um dado tipo de
objeto pode ser um Inteiro (INTEGER) ou uma String de Octetos (OCTET STRING) ou
ainda qualquer construo ASN.1 a ser avaliada para uso na definio da sintaxe de
um tipo de objeto.

17

Uma codificao de um tipo de objeto simplesmente como instncias daquele


tipo de objeto e so representados usando a sintaxe deste tipo de objeto.
Implicitamente ligado a notao de uma sintaxe de objeto e codificao como o
objeto est representado quando estamos transmitindo em uma rede. Nomes so
usados para identificar objetos gerenciveis e so especificados na sua hierarquia
natural. O conceito de Identificador de Objeto usado para reproduzir esta noo.
Um Identificador de Objeto pode ser usado com outras intenes alm de
nomear tipos de objetos gerenciveis. Por exemplo, cada padro internacional tem um
identificador de objetos designados a eles com a inteno de identificao. Desta
forma, os identificadores de objetos representam um significado para identificar algum
objeto, sem considerar a semntica associada com este objeto (isto , um objeto de
rede, um documento padro, etc).
No padro Internet, os objetos gerenciados so definidos em uma rvore de
registro, equivalente a hierarquia de registro do padro OSI. A MIBII usa o modelo
arquitetura de rvore para organizar todas as suas informaes. Cada parte da
informao da rvore um n rotulado que contm:
Um identificador de objetos (OID): seqncia de nmeros separados por pontos.
Uma descrio textual: descrio o n rotulado.
Um Identificador de Objetos uma seqncia de Inteiros o qual atravessa uma
rvore global. Esta rvore consiste de uma raiz conectada a um nmero de ns
rotulados lado a lado. Cada n pode, deste modo, ter seus prprios filhos os quais so
rotulados. Neste caso, ns podemos assumir este n como uma sub-rvore. Este
processo pode continuar de um nvel arbitrrio ao mais profundo. O Identificador de
Objetos entendido como um controle administrativo de significados designados para
os ns que podem ser delegados quando se atravessa pela rvore. Um rtulo um
par de uma breve descrio textual e um inteiro.
O n raiz no rotulado, mas tem pelo menos trs filhos diretamente abaixo
dele: Um deles administrado pela International Organization for Standardization, cujo
label iso(1); o outro administrado pela International Telegraph and Telephone
Consultative Committee (agora denominado ITU-T), rotulado ccitt(0); e o terceiro
administrado em conjunto pela ISO e CCITT, denominada joint-iso-ccitt(2).
Abaixo do n iso(1), a ISO designou uma sub-rvore para ser usada por outras
organizaes, denominado org(3). Destes ns filhos, dois foram designados para o
National Institutes of Standards and Technology dos EUA. Uma destas sub-rvores foi
transferida pelo NIST para o departamento de defesa dos EUA, denominado dod(6). O
DoD no mostrou como ele gerencia sua prpria sub-rvore de Identificadores de
Objetos. Desta forma, assume-se que o DoD aloca um n para a comunidade Internet,
para ser administrada pela Internet Activities Board (IAB) como se segue:
internet OBJECT IDENTIFIER ::= { iso org(3) dod(6) 1 } - Com isso, a subrvore da Internet de Identificadores de Objetos comea com o prefixo: 1.3.6.1.
Agora, vamos especificar a poltica abaixo o qual esta sub-rvore de
Identificadores de Objetos administrada. Inicialmente, quatro ns so apresentados:
directory OBJECT IDENTIFIER ::= { internet 1 }
mgmt OBJECT IDENTIFIER ::= { internet 2 }
experimental OBJECT IDENTIFIER ::= { internet 3 }
private OBJECT IDENTIFIER ::= { internet 4 }

18

Directory - A sub-rvore Directory(1) reservada para o uso do diretrio OSI na


Internet.
Mgmt - A sub-rvore mgmt(2) usada para identificar objetos que esto definidos
em documentos aprovados pela IAB. A administrao da sub-rvore mgmt(2)
delegado pela IAB para a Internet Assigned Numbers Authority. As RFCs que definem
novas verses de modelos Internet de MIBs aprovadas determinado um
identificador de objetos pela Internet Assigned Numbers Authority para identificar os
objetos definidos por aquela RFC.
Por exemplo, a RFC que define o modelo Internet inicial de MIB pode ser
designado como um documento de gerenciamento de nmero 1. Esta RFC pode usar
o identificador de objetos { mgmt 1 } ou 1.3.6.1.2.1 na definio do modelo Internet da
MIB.
A gerao de novas verses do modelo de Internet da MIB um processo
rigoroso, com regras que so usadas quando uma nova verso definida.
Experimental - A sub-rvore experimental(3) usada para identificar objetos
usados por experincias da Internet. A administrao desta sub-rvore delegada
pela IAB para a Internet Assigned Numbers Authority.
Por exemplo, um experimento pode receber o nmero 17 e ter disponvel o
identificador de objetos { experimental 17 } ou 1.3.6.1.3.17 para uso.
Private - A sub-rvore private(4) usada para identificar objetos definidos
unilateralmente. A administrao desta sub-rvore delegada pela IAB para a Internet
Assigned Numbers Authority. Inicialmente, esta sub-rvore tem, no mnimo, um filho:
enterprises OBJECT IDENTIFIER ::= { private 1 }
A sub-rvore enterprises(1) usada, entre outras coisas, para permitir que
provveis faces de subsistemas de redes registrem modelos de seus produtos.
Recebendo uma sub-rvore, a empresa pode, por exemplo, definir novos objetos MIB
na sua sub-rvore. Com isto, fortemente recomendado que a empresa tambm
registre seus subsistemas de rede abaixo desta sub-rvore, de modo a evitar uma
ambigidade no mecanismo de identificao para serem usados pelos protocolos de
gerncia.
Por exemplo, se a empresa Flintstones, Inc. produz subsistemas de rede,
ento ela pode requisitar um n abaixo da sub-rvore enterprises para a Internet
Assigned Numbers Authority. Com isto, um n pode ser numerado dessa forma:
1.3.6.1.4.1.42. A empresa Flintstones, Inc. pode ento registrar sua Rota Fred com
o nome de: 1.3.6.1.4.1.42.1.1.
A figura seguinte mostra como feita a alocao para redes baseadas nos
protocolos TCP/IP, dentro da hierarquia global de rvore.

19

Figura 3 - rvore de alocao para redes baseadas em TCP-IP

Observar que o n raiz da rvore MIB na figura seguinte no tem nome ou


nmero ( identificado por um ponto (.)), porm tem trs sub-rvores:
1. CCITT(0), administrada pelo CCITT;
2. ISO(1), administrada pela ISO;
3. joint-iso-ccitt(2), administrada pela ISO juntamente com o CCITT.

20

Figura 4 rvore MIB no modelo Internet

Abaixo da sub-rvore MIBII esto os objetos usados para obter informaes


especficas dos dispositivos da rede. Esses objetos so divididos em 11 grupos, que
so apresentados na tabela seguinte.
Grupos
Informaes
system(1)
Sistema referente aos dispositivos da rede
interfaces(2)
Interface da rede com o meio fsico
address translation(3) Mapeamento de endereos IP em endereos fsicos
ip(4)
Referente ao protocolo IP
icmp(5 )
Referente ao protocolo ICMP
tcp(6)
Referente ao protocolo TCP
udp(7)
Referente ao protocolo UDP
egp(8)
Referente ao protocolo EGP
cmot(9)
Referente ao protocolo CMOT
transmission(10)
Trata dos meios de transmisso
snmp(11)
Referente ao protocolo SNMP
Cada objeto contido nos grupos apresentados na tabela anterior descrito no
RFC1213. A descrio dos objetos dividida em cinco partes: o nome do objeto, a
sintaxe abstrata do objeto, a descrio textual do significado do objeto, o tipo de
acesso permitido ao objeto (read-only, read-write, write-only ou not-accessible), e o
estado do objeto (mandatory ou deprecated).

21

3.1.2 - Sintaxe
A Sintaxe usada para definir a estrutura correspondente aos tipos de objetos,
usando as construes da linguagem informal ASN.1. O tipo ObjectSyntax define as
diferentes sintaxes que podem ser usadas na definio de um tipo de objeto.
Apenas os tipos primitivos da ASN.1 como INTEIRO, STRING de OCTETOS,
IDENTIFICADOR de OBJETOS e NULO so permitidos. Estes so algumas vezes
referidos como tipos no agregados.
O tipo construdo SEQUENCE da ASN.1 permitido, podendo este ser usado
para gerar listas ou tabelas. Para listas, a sintaxe da seguinte forma: SEQUENCE { <
type1> ,..., < typeN> }, onde cada < type> est relacionado com algum dos tipos
primitivos da linguagem ASN.1 listadas anteriormente. Para tabelas, a sintaxe da
seguinte forma: SEQUENCE OF < entry>, onde < entry> pode ser uma lista
construda. Listas e tabelas so, algumas vezes, referidas como tipos agregados.
Em geral, novos tipos de aplicao podem ser definidos, sendo assim, podem
estar relacionados dentro de um tipo primitivo, lista, tabela, ou alguma outra aplicao
implicitamente definida pela ASN.1.
A seguir, alguns tipos de aplicao definidos:
NetworkAddress (Endereo de Rede) - Esta escolha representa um endereo
entre as vrias possibilidades de famlias de protocolos. At este exato momento,
apenas uma famlia de protocolos, a famlia Internet, est presente nesta escolha.
IpAddress (Endereo de IP) - Este tipo de aplicao representa um endereo
Internet de 32 bits. Ele representado como uma STRING de 4 OCTETOS de
tamanho, dentro da ordem de bytes da rede.
Counter (Contador) - Este tipo de aplicao representa um inteiro no negativo o
qual aumenta at atingir o valor mximo, quando ento ele encerra e comea de novo
a aumentar a partir do zero. O valor mximo para os contadores de 232-1
(4294967295 em decimal).
Gauge (Medida) - Este tipo de aplicao representa um inteiro no negativo, que
pode aumentar ou decrementar, mas encerra quando atinge o valor mximo. Este
valor de 232-1 (4294967295 em decimal).
Time Ticks (Intervalos de Tempo) - Este tipo de aplicao representa um inteiro
no negativo que conta o tempo em centenas de segundos desde alguma poca.
Quando tipos de objetos esto definidos em uma MIB a qual usa este tipo de ASN.1, a
descrio deste tipo de objeto identifica a poca correspondente.
Opaque (Opaco) - Este tipo de aplicao sustenta a capacidade de passar
arbitrariamente a sintaxe ASN.1. Um valor codificado usando as regras bsicas da
ASN.1 dentro de uma string de octetos. Deste modo, codificada como uma string de
octetos, tendo o efeito de ocultar duplamente o valor ASN.1 original. Notar que esta
implementao necessita apenas de ser capaz de acessar e reconhecer dados
obscuramente codificados. No necessrio ser capaz de desvendar o dado e ento
interpretar o seu contedo.

22

3.1.3 Codificaes
Uma vez que uma instncia de um tipo de objeto tenha sido identificada, seu
valor deve ser transmitido aplicando-se as regras bsicas de codificao da linguagem
ASN.1 na sintaxe deste tipo de objeto.

3.2 Modelo OSI


O padro OSI conforme mencionado anteriormente define trs modelos para
gerncia de redes:
Modelo organizacional - descreve a forma pela qual a gerncia pode ser
distribuda entre domnios e sistemas dentro de um domnio.
Modelo informacional - apresenta as reas funcionais e seus relacionamentos.
Modelo funcional - prov a base para a definio de objetos gerenciados e suas
relaes, classes atributos, aes e nomes.
Para a definio dos objetos gerenciados deve-se considerar trs hierarquias:
1. Hierarquia de Herana - tambm denominada hierarquia de classe - tem como
objetivo facilitar a modelagem dos objetos, atravs da utilizao do paradigma da
orientao a objetos. Assim podem ser definidas classes, superclasses,
subclasses. Trata-se de uma ferramenta para uma melhor definio de classes.
2. Hierarquia de Nomeao - identifica quando um objeto gerenciado faz parte de
um e somente um objeto gerenciado. Um objeto gerenciado existe somente se o
objeto que o contm existir, e dependendo da definio, um objeto s pode ser
removido se aqueles que lhe pertencerem forem removidos primeiro.
3. Hierarquia de Registro - A hierarquia de registro usada para identificar de
maneira universal os objetos, independentemente das hierarquias de heranas e
nomeao. Esta hierarquia especificada segundo regras estabelecidas pela
notao ASN.1 (Abstract Syntax Notation. One).

3.2.1 Requisitos de gerenciamento


No modelo OSI os requisitos de gerenciamento de rede em geral se dividem em
cinco reas funcionais:

Gerenciamento de configurao

As aplicaes de gerenciamento de configurao lidam com a instalao,


inicializao, partida, modificao e registro de parmetros de configurao ou opes
de hardware e software de rede. Alm disso, a gerncia de configurao
responsvel por manter um inventrio atualizado e produzir relatrios baseados nesse
inventrio.
23

Gerenciamento de falhas

Os recursos do gerenciamento de falhas fazem rastreamento para auditoria, ou


seja, mostram caractersticas de erros da rede. Sua responsabilidade detectar, isolar
e corrigir operaes anormais na rede. Requer constante observao do
funcionamento dos dispositivos que a compem de forma que se possa identificar
rapidamente o problema e resolv-lo sem grandes prejuzos.

Gerenciamento de segurana

A gerncia de segurana controla o acesso aos recursos da rede atravs do


uso de tcnicas de autenticao e polticas de autorizao. Necessita do registro dos
atos dos usurios que venham a usufruir os recursos da rede. Identifica pontos crticos
e pontos de acesso para tentar mant-los seguros. Para isso usa-se autenticao,
criptografia e outros recursos.

Gerenciamento de desempenho

Os recursos de gerenciamento de desempenho produzem informaes


estatsticas em tempo real sobre a taxa de utilizao da rede, bem como da taxa de
erros. Envolve a certificao de que a rede permanea descongestionada e acessvel
para que os usurios possam utiliz-la eficientemente. Para isso, feito um
monitoramento dos equipamentos da rede e seus enlaces associados para determinar
sua utilizao, taxas de erros e outros parmetros.

Gerenciamento de contabilizao

A gerncia de contabilizao responsvel pela coleta e processamento dos


dados, implementando mecanismos para que sejam registradas todas as aes de
usurios que resultem em consumo de recursos, envolvendo a medio do uso dos
recursos da rede de maneira a estabelecer mtricas, verificar quotas, determinar
custos e taxar usurios.
No modelo tradicional, as redes so compostas por mltiplos componentes.
Alm das mquinas em que as aplicaes esto efetivamente rodando, roteadores,
bridges, gateways e modems so componentes importantes. No que envolve os
softwares, outros componentes esto envolvidos, especialmente em ambientes
multifornecedores. A tarefa de gerenciamento deve, ento, ser resolvida por uma
combinao entre entidades chamados de gerentes e agentes.

24

Captulo 4 - Objetos Gerenciveis


4.1 Definio de tipo de objeto
Uma definio de tipo de objeto usando TCP/IP possui cinco campos:
1. Objeto - um nome textual para o tipo de objeto denominado DESCRITOR de
OBJETO (Object Descriptor) o qual acompanha o seu correspondente
IDENTIFICADOR de OBJETO.
2. Sintaxe - uma sintaxe abstrata para um tipo de objeto. Ela pode ser uma escolha
entre: uma Sintaxe Simples (SimpleSintax) que pode ser um tipo Inteiro (Integer),
uma String de Octetos (Octet String), um Identificador de Objeto (Object Identifier)
ou Nulo (Null). Pode ser tambm uma Sintaxe de Aplicao (ApplicationSintax)
podendo esta ser um Endereo de Rede (NetworkAdddress), um Contador
(Counter), uma Medida (Gauge), um Intervalo de Tempo (TimeTicks) ou
Incompreensvel (Opaque); e, alm destes tambm pode ser um outro tipo de
aplicao.
3. Definio - uma descrio textual da semntica de um tipo de objeto.
Implementaes devem assegurar que as instncias do objeto cumpram esta
definio desde que esta MIB seja pretendida por uso em ambiente multivendedor. A definio vital para que os objetos tenham significados consistentes
atravs de todas as mquinas.
4. Acesso - Para leitura, leitura e escrita, escrita ou sem acesso.
5. Status - Obrigatrio, opcional ou obsoleto.
O seguinte exemplo mostra a definio de um objeto contido em uma MIB. Seu
nome sysDescr e faz parte do grupo do System:
OBJETO
sysDescr
Sintaxe

{ system 1 }
STRING de OCTETOS

Definio Este valor deve incluir todo o nome e identificao da


verso do tipo de hardware do sistema, software de
sistema operacional e software de rede. obrigatrio
que contenha apenas caracteres ASCII imprimveis.
Acesso
Status

leitura
obrigatrio

Um objeto gerenciador no tem apenas que estar definido, mas identificado


tambm. Isto feito usando o Identificador de Objetos como um nmero de telefone,
25

reservando um grupo de nmeros para diferentes localizaes. No caso do TCP/IP baseado em gerenciamento de rede, o nmero alocado 1.3.6.1.2 e a SMI usa isto
como uma base para definir novos objetos.
Deste modo, definido uma Estrutura de Informao de Gerenciamento (SMI Structure Management Information) que especifica o modelo de informao a ser
adotado. Este modelo deve incluir a definio da estrutura da informao de
gerenciamento armazenada em bases de dados destinadas a esse fim, as operaes
que podem ser realizadas sobre a mesma e as notificaes que podem ser emitidas
em decorrncia de alguma operao ou alterao destas informaes. Assim sendo,
pode-se garantir a interoperabilidade entre diferentes sistemas de gerenciamento de
rede onde tais sistemas conseguem ter uma viso comum da informao de
gerenciamento.

4.2 - Base de Informao Gerencial (MIB)


Todo sistema complexo necessita armazenar as informaes manipuladas em
algum tipo de base de dados. A Base de Informao o nome conceitual para a
informao de gerenciamento, incluindo os objetos gerenciados e seus atributos.
Pode-se considerar as informaes para a configurao do sistema como tambm
pertencentes a MIB.
A SMI descreve o cenrio no qual a Base de Informao Gerencial pode ser
definida. A SMI, baseada na abordagem orientada a objetos, introduz os conceitos de
hierarquia, herana, nomeao e registros usados na caracterizao e identificao de
objetos gerenciados. Alm disso, ela define o conjunto de operaes que pode ser
realizado sobre os objetos gerenciados da MIB e o comportamento desses objetos
mediante a execuo destas operaes.
Dentro deste contexto, a MIB definida como um conjunto de objetos
gerenciados dentro de um Sistema Aberto, na qual um objeto gerenciado a viso
abstrata de um recurso real dentro deste sistema.

4.2.1 - A MIB da Internet (TCP/IP)


A MIB da Internet define os objetos que podem ser gerenciados por cada
camada do protocolo TCP/IP. Estes objetos esto sob a guarda de um agente de
gerenciamento e a comunicao entre este agente e um gerente, localizado na
estao de gerenciamento feita utilizando o protocolo SNMP.
A MIB e o protocolo SNMP utilizam uma restrio do padro ASN.1 do OSI para
a definio dos objetos e dos Protocol Data Units (PDUs). Inicialmente, esta escolha
foi feita para permitir uma compatibilidade com o protocolo CMIP do modelo OSI, mas
este objetivo no existe mais.
Como todos os padres da tecnologia TCP/IP, as definies usadas no
gerenciamento SNMP foram publicadas na srie RFC (Requests For Comments). As
definies originais do protocolo SNMP, bem como dos objetos gerenciados foram
publicados em 1989. Em 1990, foi feita uma reviso da MIB, que passou a se chamar

26

de MIB-II. Em 1993, foi publicado um conjunto de padres novos, chamado SNMPv2,


com alteraes ao protocolo e extenses s definies dos objetos.
A MIB divide os objetos em vrios grupos. A tabela a seguir mostra a MIB-I e os
grupos nela definidos.
Grupo

Objetos para:

System
Interfaces
At
Ip
Icmp
Tcp
Udp
Egp

Informaes bsicas do sistema


Interfaces de rede
Traduo de endereo
Software de protocolo IP
Protocolo de estatstica para controle interno de mensagens
Software do Protocolo TCP
Software do Protocolo UDP
Software do Protocolo EGP

Nmero de
objetos
3
22
3
33
26
17
4
6

A tabela a seguir mostra a MIB-II e os grupos nela definidos.


Grupo

Objetos para:

System
Interfaces
At
Ip
Icmp
Tcp
Udp
Egp
Transmiss
SNMP

Informaes bsicas do sistema


Interfaces de rede
Traduo de endereo
Software de protocolo IP
Protocolo de estatstica para controle interno de mensagens
Software do Protocolo TCP
Software do Protocolo UDP
Software do Protocolo EGP
Transmisso mdia especfica
Aplicaes SNMP

Nmero de
objetos
7
23
3
38
26
19
7
18
0
30

A lista definida de objetos gerenciveis foi derivada daqueles elementos


considerados essenciais. Esta implementao de se pegar apenas objetos essenciais
no restrita, uma vez que a SMI proporciona mecanismos de extenso como uma
nova verso de uma MIB e uma definio de um objeto privado ou que no seja
padro.

4.2.2 - A MIB no modelo OSI


Existem trs tipos de hierarquias de gerenciamento usadas pelos Sistemas de
Gerenciamento OSI: Herana, Nomeao e Registro.

27

Hierarquia de Herana - A hierarquia de herana, tambm denominada de


hierarquia de classe, est relacionada s propriedades associadas aos objetos
descritas atravs de seus atributos, comportamento, pacotes condicionais, operaes
e notificaes. Dentro desta hierarquia, define-se, ento, o conceito de classes de
objeto hierarquizadas s quais pertencem objetos com propriedades similares.
Existem, ento, superclasses s quais esto subordinadas subclasses. Uma subclasse
herda todas propriedades de sua superclasse, de maneira irrestrita,
independentemente da necessidade ou no destas propriedades. A estas subclasses
podem ser aglutinadas propriedades adicionais. A superclasse do topo desta
hierarquia chamada de TOPO (Top), da qual todas as outras classes so derivadas.
Dentro desta organizao, as classes mais gerais so definidas prximas ao TOPO.
A figura abaixo apresenta um exemplo de rvore de Classes de Objetos Gerenciados.

Figura 5 - rvore de classes de objetos

Opcionalmente, utiliza-se o conceito de herana mltipla, ou seja, a habilidade


de uma subclasse ser derivada de mais de uma superclasse, permitindo a maior
reutilizao possvel de definies de classes. Isto tambm permite melhorar a
capacidade de um sistema de gerenciamento reconhecer caractersticas familiares
entre classes de objeto. Este conceito de herana mltipla assegura ainda que,
quando uma classe herda a mesma caracterstica de mltiplas superclasses, ento,
aquela classe definida como se aquela caracterstica fosse herdada de uma nica
superclasse.
Dentro desta hierarquia, conforme mencionado anteriormente, as propriedades
dos objetos de uma classe so descritas atravs dos seus atributos, comportamento,
pacotes condicionais, operaes e notificaes. Um atributo pode determinar ou refletir
o comportamento de um objeto gerenciado. Os atributos de um objeto podem ser
obrigatrios ou contidos em pacotes condicionais. Se um atributo obrigatrio, ele
deve estar presente em todos as instncias dos objetos gerenciados de uma dada
classe. Todo atributo possui um valor ou conjunto de valores (set-valued) do mesmo
tipo. A Assero de Valor de Atributo (AVA - Atribute Value Assertion) uma
declarao de que um atributo particular possui um valor. O valor de um atributo pode
ser lido e/ou modificado atravs de operaes sobre objetos gerenciados.
28

Todos os objetos gerenciados de uma classe devem possuir o mesmo


comportamento, que define: a semntica dos atributos, operaes e notificaes; a
resposta s operaes de gerenciamento; as circunstncias em que as notificaes
devem ser emitidas; as dependncias entre valores de atributos particulares e os
efeitos dos relacionamentos entre objetos gerenciados. Um pacote condicional uma
coleo de atributos, notificaes, operaes e comportamentos opcionais, que est
totalmente presente ou ausente num objeto gerenciado. Apenas uma instncia de um
pacote condicional pode existir em um objeto gerenciado e a mesma somente pode
ser acessada como parte deste objeto. Deve-se ainda ressalvar o conceito de classes
alomrficas. Uma subclasse dita alomrfica de sua superclasse quando apresenta
comportamento semelhante sua superclasse. Para uma subclasse alomrfica, a
faixa de valores de um atributo herdado deve ser a mesma ou um subconjunto da faixa
de valores definida para o mesmo atributo da sua superclasse alomrfica.
Hierarquia de Nomeao - A hierarquia de nomeao, tambm chamada de
hierarquia de containment, descreve as relaes entre instncias de objetos com seus
respectivos nomes. Dentro desta hierarquia, define-se um relacionamento estar
contido em aplicado aos objetos. Objetos de uma classe podem conter objetos da
mesma classe e de classes diferentes. Um objeto gerenciado que contm outro objeto
dito superior; o objeto contido dito subordinado. Um objeto gerenciado est contido
dentro de um e somente um objeto gerenciado superior.
Este relacionamento de containment pode ser usado para modelar hierarquias
de partes do mundo real (por exemplo, mdulos, sub-mdulos e componentes
eletrnicos) ou hierarquias organizacionais (por exemplo, diretrio, arquivos, registros
e campos). Isto implica que o objeto gerenciado existe somente se o seu objeto
superior existir e que todo objeto gerenciado tem um nome que derivado de um
relacionamento de containment.
O nvel mais alto desta hierarquia chamado de RAIZ, que um objeto nulo e
sempre existe. Dentro de uma instncia superior, todos os subordinados so
unicamente identificados por um nome caracterstico relativo (RDN - Relative
Distinguished Name). Um RDN formado por um atributo, chamado de atributo
caracterstico (distinguished attribute) e mais algum valor. A combinao do atributo e
do valor deve ser nica para cada instncia do objeto tendo o mesmo superior. Um
nome completo de uma instncia, chamado de nome caracterstico (DN Distinguished Name), consiste em uma seqncia de RDNs comeando pela RAIZ e
inclui o RDN da prpria instncia. Assim, todos os DNs so nicos e cada instncia de
objeto tem um nico nome.
Para cada classe de objeto, uma ou mais regras devem ser definidas para
identificar a classe superior e o atributo caracterstico. Estas regras so chamadas de
name bindings. Uma vez que um name bindings foi definido para uma classe de
objeto, este name bindings est disponvel para uso em todas as classes derivadas
daquela classe. Novos name bindings podem ser criados como resultado de
especializao, entretanto, para todas as classes de objetos alomrficas, novos name
bindings somente podem ser criados se eles forem tambm definidos para todas suas
superclasses alomrficas.

29

Hierarquia de Registro - A hierarquia de registro, por sua vez, usada para


identificar de maneira universal os objetos, independentemente das hierarquias de
heranas e nomeao. Esta hierarquia especificada segundo as regras
estabelecidas pela notao ASN.1 para rvore de registros usada na atribuio de
identificadores a objetos. Cada n desta rvore est associado a uma autoridade de
registro (por exemplo, ISO - International Organization for Standardization e CCITT Consultative Commitee for International Telegraph and Telephone) que determina
como so atribudos os seus nmeros. Desta maneira, cada objeto identificado por
uma seqncia de nmeros, cada um correspondente a um n.

4.3 - Operaes de Gerenciamento


As operaes de gerenciamento executadas na fronteira do objeto gerenciado
(fronteira entre um recurso e o objeto gerenciado que o representa), so primitivas.
Para que se obtenha sucesso na realizao de uma operao, o sistema de
gerenciamento invocador deve ter os direitos de acesso necessrios e as restries de
consistncia, associadas classe do objeto gerenciado e no devem ser violadas. O
sistema de gerenciamento pode ser requisitado para executar uma operao em
vrios objetos gerenciados com sincronizao atmica, isto , ou esta operao
efetivamente realizada sobre todos os objetos, ou no realizada.
A definio da classe de objetos deve especificar, para cada operao sobre o
objeto gerenciado, o critrio para suportar pedidos de operaes de gerenciamento
com sincronizao atmica com outros objetos gerenciados. A execuo s est
sujeita a restries existentes na definio de classes relevantes.
Existem dois tipos bsicos de operaes de gerenciamento que podem ser
realizados sobre os objetos gerenciados: Operaes orientadas a atributos e
operaes sobre objetos gerenciados como um todo.

4.3.1 - Operaes Orientadas a Atributos


O comportamento descrito a seguir comum a todas as operaes orientadas a
atributos:
Todos os atributos envolvidos como parte de uma nica operao devem estar
disponveis para o objeto gerenciado;
Todas as operaes falham se e somente se o comportamento do objeto
gerenciado tal que a operao no realizada em alguns dos atributos deste objeto;
Quando uma operao de leitura ou modificao sobre uma lista de valores de
atributos solicitada atravs de um nico pedido, a forma em que estas leituras ou
modificaes so sincronizadas entre os atributos depende da definio do
comportamento da classe do objeto gerenciado e da lista de atributos especificados na
operao;
Quando uma sincronizao atmica est em efeito, os estados intermedirios
resultantes da operao no so visveis por outras operaes de gerenciamento. A

30

utilizao de sincronizao atmica pode levar a resultados inesperados, se os


atributos da lista no estiverem sincronizados entre si no objeto.
As seguintes informaes devem estar disponveis para execuo de operaes
orientadas a atributos:
Identificador de atributo;
Filtros;
Listas ordenadas das classes de objetos alomrficas;
Aps a execuo da operao, os seguintes resultados esto disponveis na
fronteira do objeto gerenciado:
Identificador de atributo e valores dos atributos que sofreram operaes;
Indicao de erro para os atributos que no puderam ser submetidos operao.
Os seguintes tipos de erros devem ser identificados:
Identificadores de atributos desconhecidos, isto , no encapsulado dentro do
objeto gerenciado;
Classe de objeto especificada que no parte do conjunto alomrfico do objeto
gerenciado;
Falha geral no processamento da operao.
A operao de gerenciamento sobre um atributo de objeto gerenciado pode
provocar efeitos diretos e/ou indiretos. Os efeitos diretos so definidos pela operao
de gerenciamento Substituio do Valor do Atributo (Replace Attribute Value). Os
efeitos indiretos so resultados de relaes do objeto gerenciado em questo. Como
exemplos de efeitos indiretos pode-se citar:
Modificao de um atributo dentro do mesmo objeto;
Mudana de comportamento do objeto gerenciado;
Alterao de um atributo de um objeto gerenciado relacionado;
Mudana no comportamento de um objeto gerenciado relacionado causado pela
mudana de um ou mais atributos naquele objeto gerenciado.
As operaes orientadas a atributos especificadas nas normas ISO/IEC 101651 so as seguintes:
a) GET ATTRIBUTE VALUE (Obteno de Valor do Atributo) - Esta operao
aplica-se a todos os tipos de atributos, exceto aqueles definidos como no acessveis
para leitura. Sua funo ler a lista de valores de atributos especificada, ou, se
nenhuma lista fornecida, ler todos os valores de atributos a retornar queles que
puderem ser lidos. Para que uma operao de GET ATTRIBUTE VALUE seja
realizada, devem estar disponveis informaes relativas aos identificadores de
atributos ou de grupos de atributos usadas para determinar como ou se a operao
em questo deve ser executada. Se os valores de tais atributos no puderem ser lidos,
h indicao de erro, identificando-se os casos de erro devido restrio de acesso
para leitura.
b) REPLACE ATTRIBUTE VALUE (Substituio do Valor do Atributo) - Esta
operao aplica-se somente a grupos de atributos ou a atributos que so acessveis
para escrita. Sua funo alterar os valores dos atributos especificados com os novos
valores conhecidos. Para que uma operao de REPLACE ATTRIBUTE VALUE seja
efetuada, necessrio que sejam fornecidas informaes referentes aos
31

identificadores dos atributos a serem alterados e seus novos valores. Tais informaes
so usadas para determinar como e se tal operao deve ser executada. H indicao
de erro para os atributos cujos valores no puderem ser substitudos, identificando-se
aqueles no substitudos por no serem acessveis para escrita.
c) SET WITH DEFAULT VALUE (Substituio do Valor do Atributo pelo Valor
Default) - Esta operao aplica-se a todo tipo de atributo, exceto queles definidos
como no acessveis para escrita. Sua funo e fazer com que o objeto gerenciado
substitua o valor de alguns de seus atributos pelo seu valor default, definido como
parte da especificao da classe de objeto em questo. Esta operao no restaura as
condies iniciais do objeto quando de sua criao. Para a realizao de uma
operao de SET WITH DEFAULT VALUE devem ser fornecidas informaes
referentes aos atributos e aos grupos de atributos usados para determinar como e se
os seus valores devem ser substitudos por seus valores default. H indicao de erro
se esta operao no puder ser efetuada, identificando-se as situaes em que os
valores de atributos no so acessveis para escrita em que no existem valores
default definidos.
d) ADD MEMBER (Incluso de Valores) - Esta operao aplica-se a atributos cujos
valores so conjuntos (sets) acessveis para escrita. Para cada conjunto especificado
de valores de atributo, esta operao substitui os valores de atributos existentes pelo
conjunto unio do conjunto existente com o conjunto especificado nesta operao.
Para que a operao ADD MEMBER seja realizada, devem estar disponveis
informaes relativas aos identificadores dos atributos e aos seus valores a serem
adicionados. Estas informaes so utilizadas para determinar como e se esta
operao deve ser executada. H indicao de erro para aqueles atributos cujos
novos valores no puderem ser adicionados, identificando-se os valores no
adicionados por no serem acessveis para escrita.
e) REMOVE MEMBER (Remoo de Valores) - Esta operao aplica-se a atributos
cujos valores so conjuntos (sets) acessveis para escrita. Para cada conjunto
especificado de valores de atributo, esta operao substitui o conjunto existente de
valores de atributo pelo conjunto diferena entre o conjunto j existente e o conjunto
especificado nesta operao. Para determinar se e como esta operao deve ser
executada, devem ser fornecidos informaes referentes aos identificadores de
atributos e seus valores a serem excludos. H indicao de erros para aqueles
atributos dos quais no puderam ser excludos valores, identificando-se aqueles
valores no excludos por no serem acessveis para escrita.

4.3.2 - Operaes sobre Objetos Gerenciados


Estas operaes aplicam-se a objetos gerenciados como um todo e seus efeitos
geralmente no se limitam a modificar os valores dos seus atributos. So definidas as
seguintes operaes: CREATE, DELETE e ACTION. Operaes adicionais podem ser
definidas por meio da operao ACTION. A semntica destas operaes faz parte da

32

definio da classe de objeto gerenciado. Os objetos gerenciados so criados e


removidos por meio de operaes de gerenciamento ou como efeito colateral de uma
outra operao.
a) CREATE (Criao de Objeto) - Esta operao aplica-se a todos os objetos
especificados como passveis de criao pela definio de sua respectiva classe de
objeto. Sua funo requisitar a criao e iniciao de um objeto gerenciado. uma
operao nica, desde que aplicada a um objeto gerenciado que ainda no exista. A
operao CREATE cria um objeto gerenciado de uma classe especfica ou
pertencente a uma subclasse alomrfica, dentro da hierarquia de nomeao. Quando
um objeto gerenciado criado, so designados valores a todos seus atributos,
encapsulados no objeto ou em algum de seus pacotes especficos. Estes valores so
obtidos a partir de informaes fornecidas na prpria operao CREATE e da
definio de sua classe de objeto.
Na operao CREATE podem ser especificados explcita ou implicitamente um
ou mais pacotes condicionais por meio da especificao de um objeto gerenciado ou
por default, como parte da especificao da classe de objeto. Esta operao falha se o
sistema no puder fornecer um objeto gerenciado com pelo menos um dos pacotes
condicionais requeridos. Uma definio de objeto gerenciado deve permitir a um objeto
ser criado sem a especificao do nome de suas instncias e sem a especificao de
sua localizao na hierarquia de nomeao.
A localizao de um objeto gerenciado na hierarquia de nomeao pode ser
especificada explicitamente, atravs da especificao do nome do objeto gerenciado
que vai conter a instncia que est sendo criada, ou implicitamente, atravs do nome
da prpria instncia sendo criada. Quando especificado somente o nome do objeto
gerenciado, que vai conter a instncia criada, o RDN do novo objeto gerenciado
atribudo pelo sistema gerenciado.
Para determinar como e se a operao de criao pode ser executada, devem
ser fornecidas as seguintes informaes:
Identificador da classe de objeto;
Atributo de pacotes;
Identificadores dos atributos para os quais devem ser designados valores
especficos como parte da iniciao da instncia de objeto;
Identificador da referncia do objeto gerenciado, a partir do qual a informao de
iniciao deste objeto est sendo obtida.
Como resultado da operao de criao, devem ser retornadas as informaes
referentes aos identificadores dos atributos para os quais tiverem sido atribudos
valores como parte da iniciao da instncia do objeto. Alm disso, no caso de o
objeto gerenciado no poder ser criado, h indicao de erro, identificando-se as
situaes especficas, tais como: identificadores de atributos desconhecidos,
identificador invlido da referncia do objeto gerenciado e especificao do name
binding invlido.
b) DELETE (Remoo de Objeto) - Esta operao aplica-se a todos os objetos
gerenciados que podem ser removidos remotamente. Ela pode ser efetuada mesmo
sobre objetos gerenciados que tiverem sido criados atravs de uma operao local. A

33

operao DELETE requisita que o objeto gerenciado remova a si mesmo. Esta


operao remove o objeto gerenciado que representa um recurso e implica um efeito
anlogo sobre o prprio recurso.
Quando um objeto gerenciado recebe um pedido de remoo, ele verifica se
outros objetos gerenciados esto contidos nesse objeto. Caso afirmativo, o
comportamento do objeto gerenciado depende da especificao da classe do objeto
gerenciado. O objeto gerenciado pode remover todos os objetos gerenciados nele
contidos para assegurar a integridade do nome, ou pode recusar-se a executar esta
operao de remoo at que todos os objetos gerenciados nele contidos tenham sido
removidos.
Similarmente, quando um objeto gerenciado a ser removido tem relacionamento
com outros objetos gerenciados, as remoes destes objetos podem comprometer a
integridade dos relacionamentos e/ou dos objetos gerenciados relacionados.
Geralmente, objetos gerenciados e seus relacionamentos devem ser removidos de
maneira a assegurar a integridade do sistema gerenciado a cada remoo efetuada.
Se a remoo de um objeto gerenciado resultar na perda da integridade do
relacionamento, ento, o objeto gerenciado pode rejeitar o pedido de remoo ou
iniciar operaes que assegurem que esta integridade seja mantida. A emisso ou no
de uma notificao, como resultado da remoo de um objeto gerenciado, depende da
definio do objeto gerenciado.
Para que seja possvel determinar como e se a operao de DELETE deve ser
executada, devem ser fornecidas informaes referentes lista ordenada das classes
alomrficas e aos filtros associados. No caso de os objetos gerenciados no poderem
ser removidos, retornada uma indicao de erro identificando-se aqueles erros
decorrentes de identificadores de atributos desconhecidos. Como resultado da
operao de remoo de objetos gerenciados, pode ou no ser emitida uma
notificao. Isto depende da definio do objeto gerenciado.
c) ACTION - Essa operao pode ser executada para todas as classes de objetos
gerenciados. A operao ACTION requer que o objeto gerenciado execute a ao
especificada e indique o seu resultado. A ao e a informao opcional associada so
parte da definio de classe do objeto gerenciado.
As seguintes informaes devem estar disponveis para ser possvel determinar
como e se a operao ACTION deve ser executada sobre uma instncia de classe de
objetos gerenciados:
Lista ordenada das classes alomrficas;
Especificao da ao a ser executada;
Identificador da classe de objeto para suportar comportamento alomrfico.
Aps a execuo da ao especificada, so obtidas informaes sobre o seu
resultado e eventuais erros. Neste caso, devem ser identificados erros relativos ao
desconhecida e classe de objeto desconhecida.

34

4.4 - Compiladores de MIBs


Alm da descrio dos objetos gerenciados e suas relaes, uma MIB contm
informaes detalhadas sobre cada objeto, como por exemplo, o tipo de acesso a um
objeto, um valor default razovel para um objeto e um conjunto de valores que um
objeto pode assumir. Estas informaes possuem um valor inestimvel para os
fornecedores de softwares para agentes e gerentes, pois elas permitem que vrios
fornecedores utilizem um mesmo conjunto de informaes de gerenciamento,
obedecendo a um conjunto de caractersticas padro. Alm disso, uma MIB pode ser
compilada por um compilador de MIBs, de forma que as informaes presentes na
MIB estejam disponveis para aplicaes como MIB browsers e graphers. Estas
aplicaes so consideradas aplicaes genricas. So aplicaes simples que obtm
toda a sua capacidade de gerenciamento atravs da anlise de uma MIB, sem
qualquer interveno humana.
Alm de checar a sintaxe de uma MIB, um compilador de MIBs pode gerar
automaticamente as estruturas de dados e o cdigo necessrio para que um agente
implemente uma determinada MIB. Um compilador de MIBs tambm pode fazer com
que as informaes sobre os objetos gerenciados de MIBs proprietrias ou de novas
MIBs que sejam padronizadas estejam disponveis para uma aplicao de
gerenciamento existente.
A entrada para um compilador de MIBs uma coleo de mdulos de MIBs
escritos em um subconjunto de linguagem ASN.1. Estes mdulos contm definies
de objetos gerenciados que correspondem s informaes sobre os dispositivos da
rede que podem ser manipulados atravs do protocolo SNMP. Os compiladores de
MIBs podem gerar vrias representaes das definies dos objetos gerenciados
contidos nas MIBs usadas como entrada. Estas representaes podem ser
processadas mais facilmente pelos agentes e aplicaes de gerenciamento do que a
representao ASN.1. Algumas destas representaes so declaraes de estruturas
de dados em linguagens de programao de alto nvel, como C, que podem ser
compiladas e ligadas em uma aplicao de gerenciamento ou agente. Outras so
arquivos de dados contendo representaes das definies dos objetos gerenciados
que podem ser lidas para a memria por uma aplicao de gerenciamento ou agente
em tempo de execuo. Em alguns casos, o compilador de MIBs gera um cdigo de
sada que auxilia na implementao das MIBs de entrada. Por exemplo, um
compilador de MIBs pode gerar esqueletos de rotinas para a recuperao ou
alterao do valor de um objeto gerenciado, ou rotinas para a gerao de Trap-PDUs
especficas.
A habilidade de reconhecer as descries presentes em uma MIB
mecanicamente muito atraente, principalmente para os fabricantes de aplicaes
genricas, pois estas podem cobrir uma grande variedade de agentes de MIBs. Com
o grande nmero de MIBs padronizadas e MIBs proprietrias disponveis atualmente,
os compiladores de MIBs reduzem o esforo dos fornecedores para manterem suas
aplicaes atualizadas.
Assim, muitos esforos esto concentrados em facilitar a forma pela qual
diversas MIBs possam ser compiladas em cada produto de gerenciamento. Tentativas

35

esto sendo feitas para que mais informaes possam ser reconhecidas
dinamicamente possibilitando que uma aplicao gerencie eficientemente um
dispositivo completamente desconhecido para o fornecedor do produto de
gerenciamento e para o usurio.
Embora os compiladores de MIB j tenham provado sua utilidade, o
gerenciamento de redes inteligente no poder ser alcanado pela simples utilizao
desta tecnologia. Infelizmente, a informao mais importante da MIB, ou seja, o texto
que descreve detalhadamente um objeto, no pode ser compreendido por um
compilador de MIB (com a tecnologia disponvel atualmente). Por exemplo, um
compilador pode ler a descrio de um objeto da MIB-II e aprender que este objeto
um inteiro que pode assumir os valores um e dois, o valor deste objeto pode ser lido e
alterado e a implementao deste objeto obrigatria. Mas somente um ser humano
pode compreender a partir da descrio em linguagem natural do objeto ipForwarding,
que se o valor deste objeto for igual a um ento o sistema descrito por este objeto est
atuando como um gateway, seno o sistema apenas um n da rede. Alm disso,
existem informaes conhecidas por um administrador de rede experiente que no so
descritas em nenhuma MIB, como por exemplo, o fato de que em algumas
circunstncias, pode ser perigoso para um sistema atuar como um gateway.
Para a construo de um sistema de gerenciamento de redes inteligente, as
aplicaes devem conter todo este conhecimento. Como este conhecimento no pode
ser fornecido no formato da MIB, os fornecedores de aplicaes de gerenciamento
devem desenvolver outras formas de incluir estes conhecimentos em suas aplicaes.
Sem esta inteligncia, muitas aplicaes genricas ficam limitadas coleta,
formatao e exibio das informaes de gerenciamento. Estas informaes so
apresentadas para o usurio, que aplica sua inteligncia humana para analis-las.
Esta carga s poder ser retirada das mos do administrador de rede se as aplicaes
se tornarem mais inteligentes.
Sem esta inteligncia ser muito difcil que uma aplicao possa coletar
informaes suficientes de uma MIB desconhecida para gerenciar eficientemente um
dispositivo desconhecido.

4.5 - Interface com o Usurio


A indstria de gerenciamento de redes reconhece que, embora os protocolos e
MIBs de gerenciamento tenham progredido muito, as aplicaes de gerenciamento
ainda deixa muito a desejar. Alguns membros da comunidade de padronizao
acreditam que a soluo a incluso de novos tipos de informao ao formato da MIB
padro. As informaes orientadas para a aplicao deveriam ser adicionadas s
definies dos objetos da MIB. Alm das informaes existentes, como tipo e
descrio, as informaes orientadas para a aplicao consistem de labels para
tabelas ou grficos, informaes para formatao, valores-limiares (thresholds), texto
de ajuda (help), e outras. Estas informaes seriam lidas pela estao de
gerenciamento, que as utilizaria para produzir uma melhor interface com o usurio
para os objetos de gerenciamento SNMP.

36

As informaes orientadas para a aplicao so lidas pela estao de


gerenciamento. Algumas destas informaes podem controlar como a aplicao vai
exibir os dados coletados atravs do protocolo SNMP, enquanto outras informaes
podem ser exibidas para ajudar o usurio a entender o significado destes dados. No
entanto, as aplicaes que utilizam estas novas facilidades no podem ser
consideradas inteligentes, pois no so capazes de fazer recomendaes para o
usurio com base nos dados recebidos atravs do protocolo SNMP. Esta inteligncia,
to desejada pelos gerentes de rede, s poder ser fornecida adequadamente pelas
aplicaes desenvolvidas para uma MIB particular.
Como as MIBs proprietrias multiplicam o nmero de MIBs padro por um fator
de dez, muito difcil para os fabricantes de aplicaes de gerenciamento de rede
suportar todas as MIBs proprietrias. Para estas MIBs, as informaes adicionadas
orientadas para a aplicao so muito importantes.

4.5.1 - Divulgando as informaes


Foi sugerido que as informaes orientadas para a aplicao fossem
adicionadas ao formato padro das MIBs, pela extenso da macro OBJECT-TYPE.
Por vrias razes, este no o lugar ideal para definir estas informaes. Uma MIB
um contrato entre os projetistas de agentes e os projetistas de aplicaes de
gerenciamento, realizado por uma entidade de padronizao ou por um fabricante.
Uma MIB descreve os objetos de gerenciamento para garantir que a
implementao dos agentes e gerentes utilizem as mesmas definies. Os autores de
MIBs em geral e as entidades de padronizao em particular no podem assumir a
responsabilidade adicional de projetar a interface para os usurios. Os grupos que
trabalham na definio de novas MIBs possuem muitos outros detalhes para se
preocupar. Alm disso, os grupos de padronizao so internacionais.
A forma correta de adicionar estas informaes nas aplicaes seria a criao
de uma nova macro, ligada ao objeto da MIB ao qual se refere. Arquivos de macros
APPLICATION-INFO poderiam ser fornecidos pelos vendedores de agentes para
definir partes da interface para o usurio das estaes de gerenciamento. Esta
estratgia seria mais apropriada para MIBs proprietrias, que, de outra forma no
poderia esperar suporte aplicao de todas as estaes de gerenciamento de redes.
importante que as aplicaes de gerenciamento se tornem mais eficientes. Porm, a
adio de novas funes a estas aplicaes deve se concentrar nas reas corretas. As
informaes sobre a interface com o usurio no pertencem as MIBs padro, mas
sero muito teis se estiverem disponveis a partir de outras fontes.
As MIBs da ISO e da Internet so modeladas atravs das tcnicas de
programao por objeto. Dentro deste contexto, os recursos a serem gerenciados so
representados atravs de objetos gerenciados. A grande diferena entre estas MIBs
reside nas hierarquias usadas para representar tais objetos. A hierarquia de registros
usada para identificar de maneira universal os objetos tanto nos casos da ISO como
no caso da Internet. Em ambos, esta hierarquia especificada seguindo as regras
definidas pela notao ASN.1 usada na atribuio de identificadores de objetos.

37

Embora a arquitetura de gerenciamento SNMP tenha possibilitado o


monitoramento dos ns gerenciadores, ela no provocou a produo de aplicaes de
gerenciamento inteligentes. A principal causa desta situao que as informaes
de gerenciamento foram definidas em um nvel muito baixo. Foram produzidas
diversas MIBs contendo vrios objetos gerenciados, mas no foram produzidos
documentos descrevendo como estes objetos podem ser usados no gerenciamento
eficiente de uma rede. O resultado disto que a maioria das aplicaes de
gerenciamento de browsers, que no possuem nenhuma inteligncia. Por outro lado,
alguns dos produtos desenvolvidos nos ltimos anos possuem caractersticas mais
inteligentes e, portanto teis do que estas ferramentas mais simples.

38

Captulo 5 - O protocolo SNMP


O protocolo SNMP (Simple Network Management Protocol) a soluo adotada
na Internet para permitir que gerentes de redes possam localizar e corrigir problemas.
Geralmente, utilizado um processo na mquina do administrador chamado de cliente
(uma workstation ou um gateway, por exemplo) que se conecta a um ou mais
servidores SNMP localizados em mquinas remotas, para executar operaes sobre
os objetos gerenciados (por exemplo, para obter informaes sobre estes objetos).

5.1 Descrio do protocolo


O SNMP utiliza o protocolo UDP na comunicao entre cliente e servidor. Para
o cliente da rede, o SNMP executa as operaes sobre os objetos de forma
transparente, o que permite a interface do software de gerenciamento da rede criar
comandos imperativos para executar operaes sobre os objetos gerenciados. Esta
a grande diferena entre gerenciar uma rede usando o protocolo SNMP e gerenciar a
mesma rede usando outros protocolos.
No protocolo SNMP so definidas tanto a sintaxe (forma e a representao dos
nomes e dos valores) como o significado das mensagens trocadas entre os clientes e
os servidores. O formato das mensagens e dos objetos gerenciados de uma MIB so
especificados com a linguagem ASN.1 e ao contrrio de outros protocolos usados nas
redes TCP/IP, suas mensagens no apresentam campos fixos, e portanto, no podese representar as mensagens simplesmente com o uso de estruturas fixas. O SNMP
tambm define as relaes administrativas entre os vrios gateways que esto sendo
gerenciados, determinando a autenticao necessria para os clientes acessarem os
objetos gerenciados.
Ao contrrio dos outros protocolos de gerenciamento que apresentam muitos
comandos (operaes), o SNMP apresenta somente um conjunto limitado de
comandos, baseado num simples mecanismo de busca/alterao. Portanto, muito
mais simples de ser implementado do que um protocolo com muitas operaes, em
que cada operao sobre um objeto necessita de um comando diferente para
implement-la.
O mecanismo de busca/alterao conceitualmente s apresenta duas
operaes: uma que permite ao cliente alterar atributos de um objeto de uma MIB
(SET), e outra para obter os valores dos atributos de um objeto (GET). Somente esto
disponveis estas operaes (e suas variaes) para o gerenciamento da rede, que
sero aplicadas sobre os objetos de uma MIB. A principal vantagem de um mecanismo
como este a simplicidade e flexibilidade que este mecanismo d ao protocolo, o que
permite ao SNMP ser um protocolo bem estvel porque a sua estrutura bsica
continuar fixa, mesmo que novos objetos sejam adicionados na MIB, ou que novas
operaes sejam definidas sobre estes objetos (elas sero constitudas por estas
operaes bsicas).
A MIB define o conjunto e a semntica dos objetos que os servidores SNMP
devem controlar, ou seja, define o conjunto conceitual de objetos que um servidor
SNMP controla. A MIB usada para armazenar em seus objetos os estados internos
39

das entidades de uma rede. Na maioria dos casos, usamos as variveis convencionais
para o armazenamento dos objetos de uma MIB, mas em alguns casos, em que a
estrutura interna do TCP/IP no exatamente compatvel com a estrutura de um
objeto de uma MIB, necessrio que o SNMP seja capaz de computar os objetos de
uma MIB a partir das estruturas de dados disponveis (simulao deste conjunto
conceitual de objetos).
Ao receber e enviar mensagens no protocolo SNMP, os nomes dos objetos no
devem ser armazenados na forma textual, e sim na forma numrica definida pela
sintaxe ASN.1, que representa o objeto univocamente, com o objetivo de tornar o
pacote SNMP mais compacto. Quando a forma numrica que representa um objeto
terminar com um zero (como em 1.3.6.1.2.1.4.3.0), representa que o objeto a nica
instncia
existente.
Por
exemplo,
o
objeto
gerencivel
iso.org.dod.internet.mgmt.mib.ip.ipInReceives ser representado na mensagem SNMP
como 1.3.6.1.2.1.4.3.
Para minimizar o espao interno necessrio para representar um objeto, e
considerando que todos os objetos em uma MIB apresentam o mesmo prefixo no seu
nome, podemos retirar o prefixo aps a mensagem chegar na mquina, e recoloc-lo
imediatamente antes de enviar a mensagem para outra mquina. Resumidamente os
principais objetivos do protocolo SNMP so:
Reduzir o custo da construo de um agente que suporte o protocolo;
Reduzir o trfego de mensagens de gerenciamento necessrias para gerenciar os
recursos da rede;
Reduzir o nmero de restries impostas as ferramentas de gerenciamento da
rede, devido ao uso de operaes complexas e pouco flexveis;
Apresentar operaes simples de serem entendidas, sendo facilmente usadas
pelos desenvolvedores de ferramentas de gerenciamento;
Permitir facilmente a introduo de novas caractersticas e novos objetos no
previstos ao se definir o protocolo;
Construir uma arquitetura que seja independente de detalhes relevantes somente a
algumas implementaes particulares.
A verso atual do protocolo SNMP a 2.0 (SNMPv2). A principal diferena
entre esta verso e a anterior a existncia de um mecanismo de comunidade
melhorado, que apresenta uma identificao no ambgua tanto da origem, como do
formato da mensagem SNMPv2, permitindo utilizar mtodos de acesso mais
convencionais aos objetos gerenciados, alm de permitir o uso futuro de protocolos
assimtricos de segurana, com o uso de chaves pblicas.
O SNMP tem como base a tcnica fetch-store, ou seja, todas as suas
operaes previstas so derivadas de operaes bsicas de busca e armazenamento.
Estas operaes so:
get-request - leitura de uma varivel
get-next-request - leitura da prxima varivel
get response - resposta a uma operao de leitura
set request - gravao de um campo varivel
trap - notificao da ocorrncia de um evento
Um gerente interage com um agente de acordo com as regras estabelecidas
pelo framework de gerenciamento. Em geral, o gerenciamento da rede impe
40

overheads significativos, pois cada n apenas produz algumas variveis que sero
lidas e usadas para sua monitorao.

5.2 - Operaes disponveis no protocolo SNMP


Aps a definio de como so armazenadas as informaes em uma MIB pelas
entidades do protocolo SNMP, importante saber o que deve ser feito com estas
informaes. O que deve ser feito com os objetos num ambiente de gerenciamento
definido atravs das operaes aplicadas nos objetos, que so enviadas ao servidor
pelo cliente. Duas operaes (comandos) bsicas no protocolo SNMP so:
SET - usada por um cliente para alterar um ou mais atributos de um objeto
gerenciado (set-request);
GET - usada por um cliente para obter o valor(es) de um ou mais atributos de um
objeto gerenciado (get-request para o pedido e get-response para obter o retorno
deste pedido).
Uma operao GET ou SET somente se refere a uma nica instncia de um
objeto representada atravs de seu nome. No protocolo SNMP, as operaes so
atmicas, isto , todas as operaes de um pedido devem ser executadas. No
existem execues parciais de um pedido (no caso, operaes aplicadas a mltiplos
objetos). Se ocorrer algum erro durante a execuo de uma operao, os resultados
produzidos por esta operao devem ser ignorados. Antes de executar um pedido, o
servidor deve mapear apropriadamente os nomes dos objetos codificados em ASN.1
nos objetos internos que armazenam as caractersticas das entidades da rede (atravs
dos atributos do objeto).
Alm das operaes padres, existem mais outras duas operaes:
GET-NEXT - o nome do objeto no s especifica o objeto a acessar (para obter
seus atributos, como na operao GET normal), como tambm usado para descobrir
qual o prximo objeto na seqncia lxica. Como retorno, a operao informa o nome
do prximo objeto na hierarquia da MIB, e os valores dos seus atributos.
TRAP - usada para informar a ocorrncia de eventos, permitindo aos servidores
SNMP enviarem informaes aos clientes sempre que ocorrer algum evento que
informa a ocorrncia de alteraes nos objetos (no protocolo, foram definidas somente
algumas traps).
A operao GET-NEXT til para obter os atributos dos objetos de uma tabela
de tamanho desconhecido, pois um cliente pode enviar continuamente requisies
GET-NEXT a um servidor que se encarregar de enviar os atributos do objeto e o
nome do prximo objeto. Cada novo pedido deve especificar o nome do objeto
retornado pelo pedido anterior, o que permite varrer a tabela sem saber qual o prximo
objeto desta tabela. Este processo chamado de caminhamento na tabela. Devido ao
ASN.1 no apresentar nenhum mecanismo para implementar tabelas ou para indexlas, denotamos os elementos individuais (objetos) de uma tabela atravs de um sufixo.
Para facilitar o uso do comando GET-NEXT em tabelas, alguns nomes de
objetos na MIB correspondem tabelas completas ao invs de objetos individuais, no
podendo ser usados em uma operao GET (pois esta falhar), mas podem ser
usados como parmetro para a operao GET-NEXT, indicando o primeiro objeto da

41

tabela. No ser necessrio conhecer o nome do prximo objeto, pois cada comando
GET-NEXT retornar o nome do prximo item da tabela. Executando este processo
sucessivamente at que todos os itens da tabela tenham sido acessados, teremos
varrido toda a tabela.
A implementao de uma estrutura de dados que suporte o comando GETNEXT pode ser complicada devido a esta operao poder pular o prximo objeto
simples (na ordem lexicogrfica) devido a existncia de objetos vazios. Como
conseqncia, no se pode usar simplesmente a ordem lexicogrfica presente na
rvore para determinar quais objetos satisfazem a um comando GET-NEXT, devendo
tambm existir um programa que examine os objetos, pule aqueles objetos que
estejam vazios e descubra o primeiro objeto simples pertencente a um objeto no
vazio.
Para o suporte das funes GET, SET e GET-NEXT sobre tabelas, ao contrrio
do que acontece com objetos simples mapeados em memria, necessrio um
software adicional para mapear a tabela numa estrutura interna de dados. No caso das
tabelas MIB, o servidor SNMP deve providenciar algum mecanismo que permita a
cada tabela ter trs funes para implementar as operaes GET, SET e GET-NEXT.
Para o servidor descobrir qual funo deve ser usada, o software que
implementa o servidor deve usar a tabela para escolher a funo correta, atravs do
uso de um ponteiro para uma tabela que conter ponteiros para cada uma das
operaes. As entradas em uma tabela apontam para outras tabelas que no contm
o identificador completo do objeto, mas somente o prefixo deste identificador, porque o
identificador completo do objeto para um item da tabela formado pelo prefixo que
identifica a tabela, mais um sufixo que identifica uma entrada particular na tabela em
que o objeto est armazenado. Uma vez determinado o prefixo correspondente ao
objeto e formado o nome do objeto, a funo de acesso correspondente operao
pedida invocada. No caso das tabelas, a funo de acesso obtm o sufixo do
identificador do objeto, e o usa para selecionar uma das entradas da tabela. Para a
maioria das tabelas, usado o endereo IP para selecionar uma entrada. O endereo
IP codificado no identificador do objeto usando-se a representao decimal com
pontos.

5.3 - Mensagens no protocolo SNMP


Ao contrrio de muitos outros protocolos TCP/IP, as mensagens no protocolo
SNMP alm de no apresentarem campos fixos, so codificadas usando a sintaxe
ASN.1 (tanto a mensagem de pedido, como a de resposta) o que dificulta o
entendimento e a decodificao das mensagens.
As partes mais importantes de uma mensagem so: as operaes (GET, SET e
GET-NEXT) e a identificao, no formato ASN.1, dos objetos em que as operaes
devem ser aplicadas.
Deve existir um cabealho que informe o tamanho da mensagem, que s ser
conhecido aps a representao de cada campo ter sido computada. Na verdade, o
tamanho da mensagem depende do tamanho de sua parte remanescente (que contm
os dados), portanto o tamanho s poder ser computado aps a construo da

42

mensagem. Uma maneira de evitar este problema construir a mensagem de trs


para frente.
Uma mensagem SNMP deve definir o servidor do qual obtemos ou alteramos os
atributos dos objetos, e que ser responsvel por converter as operaes requisitadas
em operaes sobre as estruturas de dados locais. Aps verificar os campos de uma
mensagem, o servidor deve usar as estruturas internas disponveis para interpretar a
mensagem e enviar a resposta da operao ao cliente que requisitou o pedido. Uma
mensagem constituda por trs partes principais:
A verso do protocolo;
A identificao da comunidade, usada para permitir que um cliente acesse os
objetos gerenciados atravs de um servidor SNMP;
A rea de dados, que dividida em unidades de dados de protocolo (Protocol Data
Units - PDUs). Cada PDU constituda ou por um pedido do cliente, ou por uma
resposta de um pedido (enviada pelo servidor).
O primeiro campo de uma mensagem SNMP um operador seqencial,
seguido por um campo com o tamanho total da mensagem (se este tamanho no for
igual ao do datagrama, ser retornado um cdigo de erro). O prximo campo um
nmero inteiro que identifica a verso do protocolo SNMP, seguido por um campo
usado para a autenticao, indicando a comunidade que o cliente pertence (a
comunidade public permite a qualquer cliente acessar os objetos, no precisando o
servidor verificar se o cliente pode ou no acessar o objeto). O quarto campo contm a
operao que ser executada, devendo ser um GET, SET ou GET- NEXT pois a
operao de TRAP s gerada pelo servidor. O quinto campo usado para o servidor
ter certeza de que o valor deste campo igual ao tamanho da parte da mensagem que
contm os dados. O sexto campo uma identificao para o pedido, e o stimo e o
oitavo campo so flags que indicam erros quando esto setadas (campos de status e
de ndice de erro).
Na definio de uma mensagem, cada uma das PDUs constituda ou por um
dos cinco tipos de PDUs para as operaes ou por uma PDU para a resposta. Na
definio da mensagem SNMP, deve-se ter uma sintaxe individual para cada um das
cinco operaes da PDU. Alguns termos encontrados nas sintaxes das PDUs das
operaes so:
O campo RequestID um inteiro de 4 bytes (usado para identificar as respostas);
Os campos ErrorStatus e ErrorLevel so inteiros de um byte (sendo nulos em um
pedido de um cliente);
O campo VarBindList uma lista de identificadores de objetos na qual o servidor
procura os nomes dos objetos, sendo definida como uma seqncia de pares
contendo os nomes dos objetos (em ASN.1 este par representado como uma
seqncia de dois itens). Na sua forma mais simples (com um objeto) apresenta dois
itens: o nome do objeto e um ponteiro nulo.

43

5.4 - Servidores e Clientes SNMP


Um servidor SNMP deve ser capaz de aceitar pedidos de operaes sobre os
objetos gerenciados, execut-los e retornar o resultado das operaes aps sua
execuo. A figura seguinte ilustra como uma mensagem percorre um servidor SNMP,
mostrando que primeiramente a mensagem interpretada, indicando qual objeto da
MIB deve ser mapeado num item de dados local sobre o qual a operao ser
aplicada.

Figura 6 - Fluxo de uma mensagem SNMP dentro de um servidor. Os passos 3 e 4 so repetidos para cada
objeto especificado na mensagem (passo com *)

Numa operao de busca, as informaes sobre o(s) objetos(s) so retornadas


na mensagem SNMP de resposta ao pedido, que depois de ser convertida para o
formato de uma mensagem SNMP, ser enviada ao cliente que solicitou a operao.
Se forem solicitadas operaes sobre mltiplos objetos (representados na mensagem
por seus identificadores), a operao ser aplicada a cada um dos objetos presentes
na mensagem (passos 3 e 4 na figura).
Um servidor SNMP deve ter um eficiente mapeamento de nomes, pois quando
um nome de um objeto na sintaxe ASN.1 chegar ao servidor num pedido, o servidor
dever ser capaz de reconhecer o nome, para chamar o procedimento correto para
executar a operao solicitada no pedido. Ao invs de manter todas as informaes
necessrias para atender ao pedido, podemos chamar um procedimento que ir
mapear o nome do objeto para a sua representao interna correspondente. A maioria
destes procedimentos rpida e direta, pois simplesmente convertem o formato de
uma mensagem SNMP (no formato ASN.1) para a representao interna, mas se no
existir uma representao para algum objeto no servidor, os pedidos que executem
operaes sobre este objeto iro requerer mais computao por parte do servidor, e
no somente a computao necessria para uma simples traduo de um nome de
um objeto MIB para a estrutura de dados local usada para armazenar os dados.
Aps a converso dos campos da mensagem para a forma interna usada pelo
servidor, o pedido ser armazenado numa estrutura descritora que contem um

44

ponteiro para uma lista ligada com os nomes de todos os objetos sobre os quais a
operao deve ser aplicada. Aps serem geradas as respostas, estas devem ser
convertidas para que possam ser adicionadas na mensagem de resposta, que ser
enviada ao cliente que solicitou o pedido. As operaes presentes nos pedidos
geralmente so executadas por funes no processo servidor. Na prtica, existem
vrios detalhes que complicam o cdigo do servidor, como o fato de a mensagem
SNMP usar a representao ASN.1 em seus campos. Por isso, o servidor no pode
usar uma estrutura fixa para descrever o formato da mensagem, mas ao invs de usar
uma estrutura no fixa (varivel), o servidor pode percorrer a mensagem, analisar
cada campo como pode, traduzindo cada um dos campos do formato ASN.1 para o
seu formato interno, e traduzindo a resposta para o formato ASN.1 antes de envi-la
ao cliente.
Um cliente SNMP deve construir e enviar o seu pedido ao servidor, esperar pela
resposta de seu pedido, e verificar se a resposta concorda com a resposta do que foi
pedido. Devido ao protocolo UDP no garantir a entrega dos pacotes, o cliente deve
implementar estratgias para time out e retransmisso das mensagens que contm os
pedidos. Um cliente s pode obter ou alterar os atributos de um objeto gerenciado
somente se tiver permisso para acessar o objeto. Esta permisso definida atravs
de uma poltica de acesso. Esta poltica usa o mecanismo de comunidades
(community), em que definimos para cada comunidade, um grupo de objetos e de
operaes que podem ser realizadas sobre estes objetos. Se um cliente no pertencer
a comunidade autorizada para acessar o objeto, ou se no tiver autoridade para
executar a operao sobre o objeto presente em seu pedido, o pedido ser recusado,
e ser retornada uma mensagem de erro ao cliente, informando que ele no tem
direito de acesso ao objeto, ou que ele no pode executar a operao pedida sobre os
atributos do objeto. Este mecanismo permite a definio de relaes administrativas
entre os servidores e os clientes SNMP de uma rede.

5.5 SNMPv2
Apesar do alto ndice de aceitao, a implementao de protocolos e aplicaes
SNMP apresentaram deficincias, principalmente, com relao segurana e a
transferncia eficiente de um grande nmero de informaes do agente para o
gerente. Alm disso, o SNMP no se adequa ao gerenciamento de grandes redes de
computadores, devido ao fato de apresentar limitaes de desempenho para obteno
de requisies explcitas, e no dar suporte comunicao gerente-gerente. Apenas
durante o ano de 1993, foram publicadas 11 RFCs definindo revises para o SNMP e
dando incio ao padro SNMPv2. Esta srie de revises trouxe consigo grandes
avanos que foram incorporados ao protocolo original. Tais avanos podem ser
classificados de acordo com as seguintes categorias:
Estrutura de informao;
Primitivas de comunicao (PDUs);
Comunicao gerente-gerente e gerenciamento hierrquico;
Segurana.

45

A estrutura de informao de gerenciamento (SMIv2) para o SNMPv2 mais


elaborada, e eliminou ambigidades nas definies dos objetos encontrados nas
especificaes anteriores. Em relao s primitivas foram acrescentados dois novos
PDUs:
get-bulk-request-PDU, que permite que uma grande quantidade de informaes
possa ser transferida do agente para o gerente eficientemente;
inform-request-PDU, que permite a um gerente enviar ou eventualmente solicitar
informaes a outro gerente.
As comunicaes gerente-gerente, como tambm o gerenciamento hierrquico,
foram incorporados ao protocolo com a introduo do novo tipo de mensagem, informrequest; e com a SNMPv2-M2M MIB, que constituda por dois grupos: um grupo de
alerta e um grupo de eventos.
No aspecto segurana, o SNMPv2 acrescentou ao protocolo novos conceitos e
servios que trouxeram mais segurana ao protocolo. Os conceitos includos foram: o
conceito de viso de MIB definido em termos de sub-rvores, restringindo o acesso a
pores predefinidas da MIB; e o conceito de contexto, que uma coleo de objetos
e seus respectivos agentes, e a especificao dos privilgios envolvidos. Os servios
includos so de integridade, autenticao e confiabilidade dos dados.

46

Captulo 6 - Gerenciamento no modelo OSI


Assim como o protocolo SNMP, a ISO prope como soluo para
gerenciamento de redes o protocolo CMIP (Common Management Information
Protocol), que tambm define em seu escopo os papis de gerente e agente que
trocam informaes sobre os recursos gerenciados e que so armazenados em MIBs.

6.1 O protocolo CMIP e os servios do CMIS


O protocolo CMIP engloba vrios tipos de PDUs, que so mapeadas em
operaes anlogas ao SNMP. So elas:
M-Action - execuo de alguma ao sobre um objeto gerenciado
M-Create - criao de uma instncia de um objeto gerenciado
M-Delete - remoo de uma instncia de um objeto gerenciado
M-Get - leitura de atributos dos objetos gerenciados
M-Set - modificao de atributos de objetos gerenciados
MEVENT-REPORT - notificao de um evento associado a um objeto gerenciado.
Tambm so definidos recursos adicionais que permitem selecionar o grupo de
objetos sobre os quais se aplica uma determinada operao. O scopping, como
chamado este recurso, permite selecionar um grupo instncia de objeto sobre os quais
se realizar uma nica operao.
Por meio dos recursos de filtro, outra facilidade do CMIP, possvel definir um
conjunto de testes aplicveis a um grupo de instncias de objetos, que fora
anteriormente selecionado atravs do scopping. Assim sendo, possvel reduzir
significativamente a extrao sobre a qual se desenrolar uma operao de
gerenciamento. Alm destes, existe o recurso de sincronizao, que permite
sincronizar diversas operaes de gerenciamento realizadas sobre instncias de
objetos selecionados atravs de recursos de scopping e filtro.
Existe uma terceira proposta chamada de CMOT (CMIP Over TCP/IP) cujo
objetivo permitir o uso do CMIP em redes com o protocolo TCP/IP.
Uma comparao entre o SNMP e o CMIP demonstra que o SNMP
excessivamente simples quando usado em aplicaes que no foram previstas
quando foi definido, e que apresenta deficincias em relao a segurana ao ser
usado em aplicaes mais crticas. J o CMIP um protocolo poderoso e abrangente,
que j foi concebido com o objetivo de adequar-se complexidade das redes. Mas
apesar desta caracterstica, ainda no alcanou um grau de estvel de aceitao pela
comunidade. As projees de mercado demonstram que o SNMP continuar sendo
muito usado em pequenas redes, enquanto que o CMIP deve dominar o mercado
composto pelas grandes redes corporativas e redes pblicas de telecomunicaes.
Os servios do CMIS e o protocolo CMIP so oferecidos na camada de
aplicao, sendo usados para implementar sistemas desenvolvidos para vrios
propsitos, como gerenciamento de desempenho, do nvel de falhas, de segurana, de

47

configurao e de contabilidade, usando os recursos de uma rede baseada no modelo


de comunicao OSI.
CMIS - Common Management Information Service, so os servios
prestados na camada de aplicao. So orientados a conexo, necessitando de um
canal virtual para troca de informaes. Permite definir os objetos atravs da seleo
de sub-rvores (scopping), ou atravs do uso de predicados (filtragem). O CMIS
apresenta os seguintes servios s aplicaes de gerenciamento:
GET - Para obter informaes (atributos) de um objeto gerenciado;
SET - Para alterar os atributos de um objeto gerenciado;
ACTION - Para executar um comando sobre um objeto gerenciado;
CREATE - Para criar uma nova instncia de um objeto;
DELETE - Para descartar uma instncia de um objeto (remov-la);
EVENT-REPORT - Para o relato de ocorrncias excepcionais (notificaes sobre
um evento associado a um objeto gerenciado).
Alem das funes apresentadas no protocolo CMIP, o CMIS apresenta
facilidades adicionais que permitem selecionar um conjunto de objetos sobre o qual
pode-se aplicar a mesma operao, e tambm a existncia de respostas mltiplas
para cada requisio (uma para cada objeto gerenciado). So trs facilidades
adicionais:
1. Scopping - permite selecionar um grupo de instncias de objetos gerenciados
sobre o qual ser aplicada uma nica operao;
2. Filtro - d a possibilidade de definir um conjunto de testes que sero aplicados a
um grupo de instncias de um objeto, selecionado por uma operao de scopping
anterior, permitindo formar um grupo menor a partir deste, sobre o qual as
operaes de gerenciamento devem ser aplicadas;
3. Sincronizao permite sincronizar vrias operaes de gerenciamento a serem
aplicadas a instncias de objetos gerenciados, obtidos atravs do uso das
operaes de scopping e de filtragem.
O CMISE (Common Management Information Service Element) implementa os
servios definidos pelo CMIS, executando o protocolo CMIP. correspondente ao
mecanismo SASE (Special Application Service Element) da camada de aplicao, e
utiliza os elementos ACSE (Association Control Service Element) e ROSE (Remote
Operations Service Element) que juntos correspondem ao mecanismo de CASE
(Common Application Service Element) tambm da camada de aplicao.
O protocolo CMIP apresenta uma forma inteligvel comum utilizada para
transferir as informaes de gerenciamento entre as entidades pares na comunicao
de gerenciamento, sendo que uma destas atua como um gerente, enquanto a outra
atua como agente, sendo que as informaes so armazenadas em MIBs descritas
atravs da linguagem ASN.1.
Um framework que utilize o protocolo CMIP tende a usar a modelagem da
orientao a objetos, que encapsula as operaes associadas a uma estrutura de
dados na prpria estrutura. Aqui um agente tem um servidor de objetos gerenciados
que pode executar operaes de gerenciamento nas variveis relacionadas a um n
gerenciado. Se este agente for executado em outra mquina (separadamente ao resto
do cdigo de gerncia), tem-se ento o gerenciamento distribudo de rede.

48

Os servios oferecidos pelo CMISE ao protocolo CMIP podem ser confirmados


ou no confirmados. Os servios oferecidos pelo CMISE e usados pelas aplicaes de
gerenciamento e para o informe de notificaes, so:
M-EVENT-REPORT - Reporta um evento de um objeto gerenciado;
M-GET - Solicita a busca de informaes de gerenciamento;
M-CANCEL-GET - Solicita o cancelamento de um servio M-GET previamente
requisitado e ainda pendente;
M-SET - Solicita a modificao da informao de gerenciamento;
M-ACTION - Solicita a execuo de uma ou mais aes sobre os objetos
gerenciados;
M-CREATE - Solicita a criao de uma instncia de um objeto gerenciado;
M-DELETE - Solicita a remoo de uma ou mais instncias de objetos gerenciados.

6.2 - Conceitos bsicos


O gerenciamento no modelo OSI da ISO baseia-se na teoria da orientao a
objetos. O sistema representa os recursos gerenciados atravs de entidades lgicas
chamadas de objetos gerenciados. Ao desenvolver uma aplicao de gerenciamento,
usamos processos distribudos conhecidos como gerentes (os quais gerenciam) e
agentes (os que realizam as aes).
Alm de definir um modelo informacional, define-se tambm um modelo
funcional em que para cada rea definido um conjunto de funes, que ao serem
implementadas, sero usadas para gerenciar a rede. Existem cinco reas funcionais
no gerenciamento num ambiente OSI:
Gerncia de configurao (estado da rede);
Gerncia de desempenho (vazo e taxa de erros);
Gerncia de falhas (comportamento anormal);
Gerncia de contabilidade (consumo de recursos);
Gerncia de segurana (acesso).

6.2.1 - Gerentes, agentes e objetos gerenciados


A funo de um processo gerente a da coordenao das atividades a serem
realizadas, atravs do envio de solicitaes aos processos agentes. Cabe aos
processos agentes a execuo das operaes sobre os objetos gerenciados, o envio
das respostas as solicitaes feitas pelos gerentes, e a emisso de notificaes aos
gerentes que relatem qualquer alterao ocorrida no estado dos objetos gerenciados.
Ao estabelecer uma associao com os processos de aplicao, possvel que o
gerente realize operaes sobre o objeto ou sobre seus atributos. Este relacionamento
entre gerente, agente e objeto gerenciado pode ser visto na figura seguinte.

49

Figura 7 - Relacionamento Gerente - Agente

Um objeto gerenciado uma representao lgica de um ou mais recursos de


comunicao ou de processamento de dados. Pode-se ter objetos especficos para
uma camada, chamados de objetos gerenciados da camada N, e objetos usados por
mais de uma camada, chamados de objetos gerenciados do sistema. Uma MIB
composta por um conjunto contendo estes objetos e seus atributos (contendo
informaes de gerncia). Definimos um objeto gerenciado atravs de:
Seus atributos ou propriedades, que contm informaes importantes para
representar o recurso que este se relaciona;
Sua reao s operaes que recebe;
Atravs de uma notificao, que indica a ocorrncia de algum evento;
As aes (operaes) que podemos executar sobre este objeto;
Seu relacionamento com outros objetos gerenciados.
Para se definir um objeto, usada a linguagem ASN.1, que descreve os
princpios necessrios para se especificar os objetos (GDMO - Guidelines for the
Definition of Managed Objects).
Num ambiente de gerenciamento OSI, usa-se o protocolo CMIP para definir as
regras de comunicao entre os processos gerente e agente. O protocolo CMIP
implementa as primitivas oferecidas pelo servio de informao de gerenciamento
CMIS. Este ambiente tambm prope uma estrutura de gerenciamento para permitir a
definio dos conceitos necessrios construo de classes de objetos gerenciados,
os princpios necessrios nomeao dos objetos e dos seus componentes, e como
definido o inter-relacionamento entre os objetos. Para descrever a estrutura, so
usadas a Hierarquia de Herana, a Hierarquia de Nomeao e a Hierarquia de
Registro.
1. Na Hierarquia de Herana a modelagem realizada com base nas classes de
objetos. Para se obter sub-classes com um comportamento mais particular, devese detalhar uma superclasse, gerando a partir destas subclasses para um propsito
mais particular do que esta classe.
2. Na Hierarquia de Nomeao descrita a relao de composio entre os objetos,
ou seja, a relao subordinado-superior entre estes objetos, alm de serem
definidas as regras usadas para nomear os objetos (name binding), de forma que
este seja univocamente determinado.

50

3. Na Hierarquia de Registro so registradas as definies das classes dos objetos,


os atributos dos objetos, as aes que podem ser aplicadas, as notificaes
geradas e os pacotes, seguindo as regras definidas pela notao ASN.1.
Um problema que este modelo apresenta a existncia de mais complexidade
ao se construir os agentes, mas apesar desta desvantagem, e de os agentes
consumirem mais recursos da rede, o uso da rede otimizado, devido a minimizao
dos pedidos de informao (polling) necessrios para obter dados sobre o objeto
gerenciado, alm de deixar que o gerente realize as tarefas mais especficas.
Devido hierarquia introduzida por este modelo, possvel que um mesmo
processo tenha ao mesmo tempo, a funo de gerente e de agente, sendo chamado
de gerente intermedirio. Assim pode-se distribuir as tarefas entre os gerentes
intermedirios, de forma que cada um seja responsvel por gerenciar um certo
domnio da rede.

6.2.2 - Modelo de Gerenciamento OSI


O modelo de gerenciamento OSI definido com base em dois conceitos
principais: Estrutura de gerenciamento e MIBs. Usando-se alem destes, outros
conceitos.
Na estrutura de gerenciamento, temos trs tipos de gerenciamento:
1. Gerenciamento de sistemas: um protocolo executado na camada de aplicao,
que responsvel pelo gerenciamento dos sistemas. Pode-se gerenciar aqui
quaisquer objetos associados a um sistema aberto. Este gerenciamento necessita
do apoio das funes de todas as sete camadas do modelo OSI para poder realizar
o gerenciamento;
2. Gerenciamento de camada: Este gerenciamento realizado sobre os objetos
gerenciados relacionados s atividades de uma camada particular, e usa os
protocolos de gerenciamento especficos para a camada, e as funes de apoio
internas desta camada. Os protocolos de gerenciamento de propsito especial no
prestam servios a camadas superiores, e so independentes dos protocolos de
gerenciamento das outras camadas.
3. Operao de camada: usada no gerenciamento de uma nica instncia de
comunicao em uma camada. um tipo de gerncia que exige menores requisitos
das funes de apoio, por no ser necessrio um protocolo particular para a troca
de informaes de gerenciamento, pois se utiliza o protocolo normal da camada
para trocar estas informaes.
Uma MIB usada para armazenar as informaes transferidas ou modificadas
quando so usados os protocolos de gerenciamento OSI. As informaes podem ou
ser fornecidas ou por agentes administrativos locais ou por sistemas abertos remotos.
disponibilizada uma interface MIB para cada uma das sete camadas, que oferece as
operaes necessrias ao gerenciamento da rede em cada uma das camadas.
Uma interface especfica para cada camada obtida atravs das Entidades de
Gerenciamento de Camadas (LME - Layer Management Entities). Cada LME contm a
funcionalidade da camada a que est relacionada. A integrao destas entidades e a
execuo da funo de interfaceamento com o gerente so executadas pela Entidade

51

de Aplicao de Gerenciamento de Sistema (SMAE - System Management Application


Entity). Esta entidade tambm providencia a interface entre as LMEs de um n da
rede com as suas correspondentes no outro n, usando o Protocolo de Informao de
Gerenciamento (CMIP), como pode ser visto na figura seguinte.

Figura 8 - Modelo de gerenciamento OSI

Os servios fornecidos por alguma funo de gerenciamento de sistema so


agrupados em unidades funcionais. Estas unidades so bsicas para a negociao
entre os Usurios do Servio de Informao de Gerenciamento (MIS-Users Management Information Service-Users), que so aplicaes que utilizam os servios
de gerenciamento, e que podem desempenhar tanto a funo de um agente, como a
de um gerente. Quando tem a funo de agente, o MIS-User parte de alguma
aplicao distribuda que controla os objetos gerenciados no seu domnio (ambiente
local), e realiza operaes sobre os objetos gerenciados em funo dos comandos
enviados pelo gerente, podendo tambm enviar notificaes dos objetos gerenciados
aos gerentes. Os papis designados ao MIS-Users no so permanentes, podendo
este, dependendo do contexto, ter a funo de um agente, de um gerente, ou ambas
(o papel que o processo tem ser definido com base no processo com o qual este
processo interage).

6.3 - Componentes do Modelo de Gerenciamento OSI


Como o ambiente a ser gerenciado distribudo, as atividades de gerncia
tambm devem ser distribudas. Uma instncia de uma aplicao distribuda pode ser
formada por uma associao de duas ou mais aplicaes de gerenciamento do
sistema. As interaes entre os sistemas so feitas atravs das operaes de
52

gerenciamento e das notificaes, sendo que uma entidade tem a funo de um


gerente, solicitando aes de gerenciamento a outra entidade que tem a funo de
agente, executando as operaes e enviando as notificaes emitidas pelos objetos
gerenciados.

Figura 9 - Suporte de comunicao para notificaes e operaes de gerenciamento

Um pedido de operao que chega a um agente rejeitado, a menos que os


mecanismos que controlam os acessos aos objetos gerenciados permitam ao gerente
realizar as operaes solicitadas sobre estes objetos. Sempre que existirem
notificaes enviadas pelos objetos gerenciados, o sistema gerenciado (agente) envia
as notificaes aos gerentes. Para a execuo das atividades acima, dois aspectos
so necessrios na comunicao: Suporte para a transferncia dos pedidos de
operaes de gerenciamento e para o envio de notificaes entre MIS-Users e suporte
para controlar o acesso aos objetos gerenciados para a distribuio das informaes
de notificao.

6.4 - Aspectos das Comunicaes


Os sistemas abertos gerenciados utilizam o protocolo OSI para se
comunicarem. O modelo OSI apresenta servios gerais para gerenciamento chamados
de CMIS Alm disso, os MIS-Users podem utilizar outros servios alm dos fornecidos
pelo modelo OSI. Uma associao entre dois SMAEs realizada atravs de um
contexto de aplicao que define o conhecimento inicial de gerenciamento
compartilhado, e os vrios ASEs (Applicaton Service Elements) que podem ser
usados. Uma SMAE formada por:
Elemento de Servio de Aplicao de Gerenciamento de Sistema (SMASE Systems Management Application Service Element), que especifica a semntica e a
sintaxe abstrata da informao que transferida pelas Unidades de Dados do
Protocolo de Aplicao de Gerenciamento (MAPDUs - Management Application
Protocol Data Units), alm de especificar as informaes de gerenciamento que
devem ser trocadas entre duas SMAEs.
53

Elemento de Servio de Controle de Associao (ACSE - Association Control


Service Element);
Elementos de Servio de Aplicao (ASEs - Application Service Elements).
Os servios de comunicao necessrios a uma SMASE podem ser prestados
por um Elemento de Servio de Informao de Gerenciamento Comum (CMISE) ou
por vrios ASEs, como o de Transferncia, Acesso e Gerenciamento de Arquivos
(FTAM - File Transfer, Access and Management), ou pelo Processamento de
Transaes (TP - Transaction Processing). O CMISE define os servios e
procedimentos necessrios para transferir as Unidades de Dados do Protocolo
Comum de Informao de Gerenciamento (CMIPDUs - Commom Management
Information Protocol Data Units) e fornece um meio para a troca de informaes
usadas pelas operaes de gerenciamento. Para us-lo necessrio um Elemento de
Servio de Operaes Remotas (ROSE - Remote Operations Service Element).
6.4.1 - Conhecimentos de Gerenciamento
As Informaes de gerenciamento que so compartilhadas entre os SMAEs
so chamadas genericamente de conhecimento de gerenciamento compartilhado
(SMK - Shared Management Knowledge). Este conhecimento pode ser estabelecido
em qualquer momento, em especial, antes de se estabelecer uma associao, durante
o seu estabelecimento, ou durante o seu tempo de vida. Pode-se tambm definir ou
alterar o conhecimento de gerenciamento ao se estabelecer a associao. Esta viso
de compartilhamento de informaes pode ser vista na figura seguinte.

Figura 10 - Gerenciamento compartilhado

54

O conhecimento de gerenciamento compartilhado deve conter, dentre outras


coisas, os seguintes elementos:
O protocolo utilizado;
As funes e unidades funcionais suportadas;
As informaes sobre os objetos gerenciados;
As restries nas funes suportadas, e as relaes entre as funes e os objetos
gerenciados.

6.4.2 - Domnios Gerenciais


Um Domnio Gerencial uma forma de organizar o ambiente de gerenciamento
OSI e ocorre quando organizamos os objetos em conjuntos, de forma que o ambiente
seja divido de acordo com regras. Divide-se o ambiente de gerenciamento OSI em
partes que tenham um mesmo propsito funcional (como falha, segurana,
contabilizao, desempenho ou configurao), ou o mesmo propsito de
gerenciamento (estruturas geogrficas, tecnolgicas ou organizacionais). Definir
temporariamente e alterar os papis dos gerentes e agentes para cada um dos
propsitos definidos, dentro de cada um dos conjuntos de objetos gerenciados
definidos e executar as regras de controle de tal forma que estas sejam consistentes
(por exemplo, poltica de segurana).

6.5 - reas Funcionais no Gerenciamento OSI


O objetivo do gerenciamento OSI o de resolver os problemas relativos a
configurao de uma rede, as falhas que possam ocorrer nos componentes, aos nveis
de desempenho que a rede apresenta, a segurana que esta apresenta e a
contabilizao de sua utilizao. Estas diferentes partes que ocorrem num problema
de gerenciamento de redes so chamadas de reas Funcionais de Gerncia.
Estas reas funcionais so constitudas por processos de aplicao de
gerenciamento residentes na camada OSI de aplicao. Os dados necessrios para o
funcionamento das diversas reas funcionais esto em uma MIB que inclui os objetos
gerenciados, seus atributos, as operaes que podem ser executadas e as
notificaes que estes podem enviar.

55

Figura 11 - Domnios gerenciais

A ISO define como deve ser o formato para se representar as informaes de


gerenciamento, e as ferramentas para coletar as informaes e controlar os objetos
gerenciados (que so definidos como estruturas de dados especificadas com a
linguagem ASN.1), mas como os dados so tratados, e como os resultados devem ser
apresentados no so padronizados pela ISO. Para serem atendidos os requisitos
necessrios as reas funcionais, foram definidas as seguintes funes de
gerenciamento:
Funo de Gerenciamento de Objeto (OMF - Object Management Function) ISO10164-1 - Objetivo gerenciar a criao e a remoo de um objeto gerenciado, e o
exame ou alteraes nos atributos de um objeto gerenciado. Apresenta funes para
gerar relatrios de criao/remoo de objetos, e relatrios de mudanas nos nomes e
valores dos atributos dos objetos gerenciados. Aqui descrito como devemos usar o
servio PASS-THROUGH para mapear uma operao de gerenciamento para o
servio correspondente do CMISE.
Funo de Gerenciamento de Estado (STMF - State Management Function) ISO10164-2 - Esta funo usada para representar as condies instantneas que se

56

referem disponibilidade e operacionalidade de um recurso sob a viso do


gerenciamento. Cada classe de objetos gerenciados tem o seu prprio conjunto de
atributos de estado, que so usados para expressar e controlar os aspectos de
operao dos recursos associados a cada classe. A funo de gerenciamento de
estado deve ser padronizada, pois deve ser comum a um grande nmero de recursos
gerenciados, e expressa os aspectos essenciais que se referem a operacionalidade de
um recurso num dado intervalo de tempo. Tem como objetivo o controle da
disponibilidade geral deste recurso, tornando as informaes sobre esta
disponibilidade visveis, e no caso do recurso estar inoperante, a funo define quais
aes devem ser tomadas para coloc-lo operante.
Devem fornecer definies genricas para permitir a obteno de informaes,
a mudana do estado de um dos objetos, e a emisso de notificaes sobre as
mudanas no estado de um objeto, sempre que decorrerem de alguma operao
realizada no sistema aberto. So definidos dentro do escopo de gerenciamento de
estado, trs fatores que afetam o estado de gerenciamento de um objeto em relao a
disponibilidade do recurso associado a este objeto:
Operacionalidade: Se um dado recurso est ou no instalado, e no caso de
estar instalado, se est ou no em operao;
Utilizao: Se um dado recurso est ou no em uso em um dado instante
de tempo, e se este ou no capaz de aceitar mais outros usurios adicionais;
Administrao: Atravs dos servios de gerenciamento, impe-se a
permisso ou proibio do uso de um dado recurso.

Figura 12 - reas funcionais do gerenciamento OSI

57

Atributos para Representao de Relacionamento (ARR - Attributes for


Representing Relationship) - ISO10164-3 - Um relacionamento um conjunto de
regras que so usadas para descrever como uma operao realizada numa parte de
um sistema aberto poder afetar alguma outra parte deste sistema. Um
relacionamento existe entre dois objetos gerenciados quando uma operao
executada em um deles afeta uma operao executada no outro. Para que este
relacionamento seja reconhecido no modelo OSI, devem ser conhecidas informaes
suficientes de gerenciamento, que permitam ao Usurio do Servio de Informao de
Gerenciamento identificar quais so os objetos gerenciados envolvidos, e quais as
regras que governam as suas interaes.
A partir de modelos e conceitos definidos no padro da ISO, foram definidos os
seguintes atributos de relacionamento: objeto provedor, objeto usurio, atributo par,
primrio, secundrio, identificao da instncia de objeto Backup, identificao da
instncia de objeto Backed-up, membro, proprietrio e grupo de atributos de
relacionamento.
Funo de relatrio de alarme (ARF - Alarm Report Function) - ISO10164-4 - Tem
como objetivo fornecer informaes que permitam ao gerente atuar sobre as
condies operacionais e a qualidade do servio de um sistema gerenciado. Devem
ser definidos critrios para identificar um mal funcionamento no sistema gerenciado,
em funo da ocorrncia de falhas, que permitam avaliar qual o grau de mal
funcionamento do recurso. O nvel de severidade do alarme avaliado em funo do
nvel de degradao que este ir provocar na qualidade do servio oferecido ao
usurio deste sistema, ou pelo estado da capacidade de uso de um determinado
objeto gerenciado.
Podemos ter diversos nveis de severidade de alarme, deste um nvel de alerta
que no provoca nenhuma degradao sobre o servio prestado ao usurio, at um
alarme crtico que diz que o servio no pode mais ser fornecido ao usurio.
Funo de Gerenciamento de Relatrio de Evento (ERMF - Event Report
Management Function) - ISO10164-5 - A funo de gerenciamento de Relatrio de
Evento tem como objetivos:
o Definir um servio para o controle de relatrios de eventos que permita
selecionar quais relatrios devem ser enviados para um sistema de
gerenciamento particular;
o Definir quais devem ser os destinos dos relatrios de eventos gerados;
o Definir um mecanismo de transmisso de relatrios que permita o
controle sobre o repasse destes relatrios;
o Possibilitar que um sistema de gerenciamento externo altere as
condies usadas para emitir os relatrios;
o Definir endereos secundrios (usados para back-up) aos quais
enviamos os relatrios de eventos, caso o endereo primrio no esteja
disponvel.
Funo para o controle de Log (LCF - Log Control Function) - ISO10164-6 - O
objetivo de funo de controle de log (um repositrio de dados que contm registros
com informaes que devem ser preservadas) o de permitir as demais funes de
gerenciamento, preservar informaes sobre os eventos que ocorreram, ou sobre as
operaes executadas nos objetos gerenciados. Uma vez que estas informaes

58

podem mudar, a funo de controle de log deve satisfazer as seguintes


caractersticas:
o O Controle de Log deve ser flexvel para permitir a seleo de quais
registros do log devem ser preservados pelo sistema de gerenciamento;
o Deve permitir que um sistema externo altere os critrios usados na
preservao dos registros;
o Deve permitir a um sistema externo saber se foi alterada alguma
caracterstica de preservao, ou se um registro foi perdido;
o Definir mecanismos para controlar o tempo durante o qual devem ser
realizadas as atividades de preservao das informaes;
o Deve permitir que um sistema externo recupere e elimine os registros em
um log, como tambm criar e eliminar logs.
Funo de Relatrio de Alarme de Segurana (SARF - Security Alarm Reporting
Function) - ISO10164-7- a funo de gerenciamento do sistema pela qual um
usurio do gerenciamento de segurana recebe as notificaes sobre os eventos
relacionados a segurana da rede. Este usurio deve saber quais as operaes que
falharam (miss operations) nos servios e mecanismos de segurana, os atentados
(attacks), e as violaes (breaches) a esta segurana, quando estes atentados foram
detectadas pelos mecanismos de segurana, alm de outros processamentos
relacionados com a segurana do sistema. Deve-se tambm notificar ao usurio a
gravidade das operaes erradas, dos atentados e violaes na segurana do
sistema.
Funo de Registro para Auditoria de Segurana (SATF - Security Audit Trail
Function) - ISO10164-8 - O usurio do gerenciamento de segurana usa esta funo
para gravar todos os eventos potenciais relacionados segurana no seu domnio de
gerenciamento. Estas informaes so gravadas num objeto de log de auditoria de
segurana (security audit log). Atravs de uma comparao com utilizao planejada
do sistema de gerenciamento e a utilizao real gravada neste log, o usurio pode
saber qual o grau de atendimento dos requisitos definidos pela poltica de
segurana.
Uma anlise ou auditoria dos relatrios de alarmes de segurana possibilita que
o usurio detecte desvios no uso das normas da poltica de segurana, e correlacione
estes desvios com os alarmes de segurana de menor severidade, ou com qualquer
outro evento normal, para descobrir quais so os pontos vulnerveis ou quais partes
do mecanismo de segurana que esto funcionando precariamente.
Para a execuo desta auditoria, necessrio que estejam no log todos os
eventos relativos segurana como: as conexes, as desconexes, todos os eventos
relativos utilizao dos mecanismos de segurana, as prprias operaes para
gerenciamento da rede, e a contabilizao da utilizao de cada recurso gerenciado.
O log pode ser local, em que os registros podem ser recuperados por um gerente, ou
remoto, em que enviamos os registros ao gerente sempre que eventos relativos
segurana ocorrem.
Resumidamente, o usurio do gerenciamento de segurana, precisa ter a
capacidade de controle dos mecanismos de auditoria de segurana em relao a sua
operao, e na escolha dos eventos de interesse do sistema que devem ser
auditados, para que seja possvel perceber atentados contra a segurana, ou
problemas ao se concretizar qual deve ser a poltica de segurana a ser adotada.
59

Funo de Registro para Controle de Acesso ou Funo de Controle de Acesso


(OAAC - Objects and Attributes for Access Control) - ISO10164-9 - O modelo de
controle de acesso faz parte do gerenciamento dos mecanismos de segurana
descritos na arquitetura de segurana do modelo OSI. Este controle de acesso aos
objetos envolvidos na gerncia da arquitetura OSI, uma interpretao do modelo
bsico usado pelas aplicaes de gerenciamento. No contexto do gerenciamento da
segurana do sistema, pode permitir ao administrador de um domnio prevenir-se de
acessos no autorizados aos recursos. Para isso, so disponibilizados mecanismos
para controle do acesso, para que somente usurios autorizados possam ter acesso a
um recurso de gerenciamento especfico. Deve-se tambm evitar o envio das
notificaes a destinatrios no-autorizados, impedir o acesso s operaes de
gerenciamento por entidades que no sejam autorizadas, e proteger as informaes
de gerenciamento contra sua divulgao indesejvel.
Funo de Medida de Contabilizao (AMF - Accounting Metering Function) ISO10164-10 - Define os mecanismos necessrios para a coleta de informaes sobre
a utilizao dos recursos no ambiente OSIE (Open System Interconnection
Environment), uma representao para que estas informaes sejam armazenadas de
maneira adequada, e associar tarifas as medidas de utilizao de cada um dos
recursos gerenciados. Definem-se objetos de dados e de controle de medida de
contabilizao. Podem-se realizar operaes sobre as instncias destes objetos para
se obter informaes sobre a utilizao de um recurso, iniciar, retomar e suspender as
medidas de contabilizao do uso do recurso, e tambm manter um registro dessa
medida.
Funo de Monitorao de Carga de Trabalho (WMF - Workload Monitoring
Function) - ISO10164-11 - O seu objetivo a avaliao da demanda necessria de um
recurso e a real utilizao de um dado recurso do OSIE, alm da avaliao da
eficincia das atividades de comunicao. Deve incluir as seguintes funes:
o Obteno de informaes estatsticas;
o Manuteno e anlise dos registros do histrico do sistema;
o Determinao do desempenho do sistema sob condies naturais e
artificiais;
o Alterao do modo de operao do sistema, com objetivo de realizar
atividades referentes ao gerenciamento do seu desempenho.
Funo de Gerenciamento de Teste (TMF - Test Management Function) ISO10164-12 - Objetiva satisfazer o controle remoto de testes, alm de estabelecer a
estrutura bsica dos testes a serem realizados sobre os recursos gerenciados. A
necessidade de execuo de operaes de teste pode ser necessria em diferentes
reas funcionais.
Um teste uma operao de monitorao de um sistema aberto (ou parte deste
sistema aberto), num ambiente de gerenciamento que permita obter informaes
sobre a funcionalidade e/ou desempenho dos sistemas que so sujeitos aos testes.
O teste necessita da criao de um ambiente de teste, de uma operao de
teste, e finalmente, o retorno ao ambiente normal aps a execuo do teste.
O objetivo de uma operao de teste o de monitorar e controlar um sistema. O
controle inclui atividades como a suspenso, a reinicializao ou o trmino do teste.
Deve-se identificar cada um dos testes univocamente. Pode-se realizar os testes de

60

acordo com uma programao que pode ter tanto testes peridicos, quanto
espordicos. Podem-se combinar testes simples para criarem-se testes complexos.
Em alguns casos, pode ser necessria a execuo de um conjunto de testes
particulares para alguma necessidade especfica, e logo aps o trmino do teste,
devem-se correlacionar os resultados de cada teste, para a formulao do resultado
final.
Funo de Sumarizao (SF - Summarization Function) - ISO10164-13 - Este
funo usada para obter informaes a partir de observaes relativas a mltiplos
objetos gerenciados. Para isso, deve-se incluir os relatrios de eventos, e o
escalonamento das observaes ao se especificar as funes. So definidos mtodos
para a observao e o relato de valores dos atributos dos objetos gerenciados,
determinados mtodos para o relato de estatsticas com base em diversos valores de
atributos, sendo que cada um destes foi observado em um mesmo instante. Os
valores dos atributos e as estatsticas fornecem uma informao sumarizada do
conjunto de objetos gerenciados e seus atributos, em um ou mais intervalos de tempo
distintos. Como conseqncia, as estatsticas so calculadas em funo do conjunto
de objetos gerenciados e no em relao ao tempo.
Em resumo, ela suporta a habilidade para agregar os valores de atributos
observados e/ou disponibilizar informaes estatsticas sobre estes valores de
atributo.

6.5.1 - Gerncia de Configurao


O objetivo da gerncia de configurao o de permitir a preparao, iniciao,
partida, a operao contnua, e a posterior suspenso dos servios de interconexo
entre os sistemas abertos, tendo ento, a funo de manuteno e monitorao da
estrutura fsica e lgica de uma rede, incluindo a verificao da existncia dos
componentes, e a verificao da interconectividade entre estes componentes.
A gerncia de configurao, portanto, correspondente a um conjunto de
facilidades que permitem controlar os objetos gerenciados, identific-los, coletar e
disponibilizar dados sobre estes objetos para as seguintes funes:
Atribuio de valores iniciais aos parmetros de um sistema aberto;
Incio e encerramento das operaes sobre objetos gerenciados;
Alterao da configurao do sistema aberto;
Associao de nomes a conjuntos de objetos gerenciados.

6.5.2 - Gerncia de Desempenho


Na gerncia de desempenho, temos a possibilidade de avaliar o comportamento
dos recursos num ambiente de gerenciamento OSI para verificar se este
comportamento eficiente, ou seja, preocupa-se com o desempenho corrente da rede,
atravs de parmetros estatsticos como atrasos, vazo, disponibilidade, e o nmero
de retransmisses realizadas.

61

O gerenciamento de desempenho um conjunto de funes responsveis pela


manuteno e exame dos registros que contm o histrico dos estados de um
sistema, com o objetivo de serem usados na anlise das tendncias do uso dos
componentes, e para definir um planejamento do sistema atravs do dimensionamento
dos recursos que devem ser alocados para o sistema, com o objetivo de atender aos
requisitos dos usurios deste sistema, para satisfazer a demanda de seus usurios, ou
seja, garantir que no ocorram insuficincias de recursos quando sua utilizao se
aproximar da capacidade total do sistema.
Para atingir estes objetivos, deve-se monitorar taxa de utilizao dos recursos,
a taxa em que estes recursos so pedidos, e a taxa em que os pedidos a um recurso
so rejeitados. Para cada tipo de monitorao, definimos um valor mximo aceitvel
(threshold), um valor de alerta, e um valor em que se remove a situao de alerta.
Definem-se trs modelos para atender aos requisitos de monitorao do uso dos
recursos do sistema:
Modelo de Utilizao: Prov a monitorao do uso instantneo de um recurso;
Modelo de Taxa de Rejeio: Prov a monitorao da rejeio de um pedido de um
servio;
Modelo de Taxa de Pedido de Recursos: Prov a monitorao dos pedidos do uso
de recursos.

6.5.3 - Gerncia de Falhas


A gerncia de falhas tem a responsabilidade de monitorar os estados dos
recursos, da manuteno de cada um dos objetos gerenciados, e pelas decises que
devem ser tomadas para restabelecer as unidades do sistema que venham a dar
problemas. As informaes que so coletadas sobre os vrios recursos da rede
podem ser usadas em conjunto com um mapa desta rede, para indicar quais
elementos esto funcionando, quais esto em mau funcionamento, e quais no esto
funcionando. Opcionalmente, pode-se aqui gerar um registro das ocorrncias na rede,
um diagnstico das falhas ocorridas, e uma relao dos resultados deste diagnstico
com as aes posteriores a serem tomadas para o reparo dos objetos que geraram as
falhas.
O ideal que as falhas que possam vir a ocorrer em um sistema sejam
detectadas antes que os efeitos significativos decorrentes desta falha sejam
percebidos. Pode-se conseguir este ideal atravs da monitorao das taxas de erro do
sistema, e da evoluo do nvel de severidade gerado pelos alarmes (funo de
relatrio de alarme), que permite emitirmos as notificaes de alarme ao gerente, que
pode definir as aes necessrias para corrigir o problema e evitar as situaes mais
crticas.

6.5.4 - Gerncia de Contabilidade


A gerncia de Contabilidade prov meios para se medir e coletar informaes a
respeito da utilizao dos recursos e servios de uma rede, para podermos saber qual

62

a taxa de uso destes recursos, para garantir que os dados estejam sempre disponveis
quando forem necessrios ao sistema de gerenciamento, ou durante a fase de coleta,
ou em qualquer outra fase posterior a esta. Deve existir um padro para obteno e
para a representao das informaes de contabilizao, e para permitir a
interoperabilidade entre os servios do protocolo OSI.
A funo de contabilizao deve ser genrica para que cada aplicao trate os
dados coerentemente de acordo com as suas necessidades. Estas funes podem ser
usadas para vrias finalidades como tarifas sobre servios prestados, controle de
consumo dos usurios, etc. implementada atravs de objetos gerenciados especiais
associados contabilizao (a utilizao dos recursos ligados a estes objetos que
representam as caractersticas de um dado recurso monitorado) chamados de
Objetos Contabilizados. Existem dois tipos de objetos:
Objetos de Controle de Medida de Contabilizao;
Objetos de Dados de Medida de Contabilizao.
Os Objetos de Controle de Medida de Contabilizao permitem que o
sistema ao coletar as informaes sobre o uso de um determinado recurso, selecione
quais dados so relevantes, alm de permitir que este sistema defina sobre quais
circunstncias deve ser realizada a coleta. Este controle ir definir quais eventos so
gerados ao se atualizar e notificar as informaes sobre o uso de um recurso.
Apresenta uma viso genrica de gerenciamento, para ser particularizada para a
contabilizao de recursos especficos, alm de usar os pacotes especificados num
controle de medida, para incorporar as funcionalidades necessrias a contabilizao.
Alguns tipos de eventos que podem ocorrer so:
Escalonamento por perodos de tempo;
Aes de controle do prprio sistema de gerenciamento;
Estmulos provenientes da mudana de valores dos atributos.
Os Objetos de Dados de Medida de Contabilizao so usados para
representar um recurso usado por um usurio, contendo informaes como: qual o
usurio do recurso, qual a unidade de medida usada na contabilizao, qual a
quantidade consumida, etc. Estas informaes podem ser obtidas atravs de um GET
para a obter os valores dos atributos dos dados de medida, ou atravs do uso de
parmetros nas notificaes enviadas pela gerncia de contabilizao. Novamente so
definidas apenas propriedades genricas que podem ser especializadas conforme a
necessidade.
Os objetos de dados de medida s podem ser criados se existir uma instncia
de um objeto de controle de medida para control-lo. Um objeto de controle de medida
s pode ser destrudo quando todos os objetos de dados de medida controlados por
este objeto forem tambm destrudos. Uma instncia de um objeto de controle de
medida pode controlar vrias instncias de objetos de dados de medida. Deve-se
sempre ter pelo menos uma instncia do objeto de dados na memria que seja
responsvel por monitorar um objeto contabilizado, para que possamos enviar
solicitaes sobre seu uso.

63

Figura 13 - Relacionamento entre objetos gerenciados

A figura anterior mostra o relacionamento entre os objetos de controle de


medida, os objetos de dados de medida e os objetos contabilizados. Nela, pode-se
notar que os objetos de controle de medida (AccMeterControlObj) referenciam os
objetos de dados de medida que controlam (AccMeterDataObj). Cada um dos objetos
de dados de medida contm uma referncia a uma instncia do objeto contabilizado,
em que realizamos as coletas das informaes de contabilizao.
Ao implementar-se a funo de gerncia de contabilizao, devem-se
considerar os seguintes aspectos:
Controlar o registro e a emisso dos dados relacionados a contabilizao atravs
dos objetos de controle de medida de contabilizao;
Coletar os dados de contabilizao, usando os objetos de dados de medida de
contabilizao para representar os recursos contabilizados;
Armazenar os resultados da contabilizao para criar histricos de contabilizao
dos recursos atravs do uso de registros de contabilizao.

6.5.5 - Gerncia de Segurana


O objetivo do gerenciamento de segurana o de dar subsdios aplicao de
polticas de segurana, que so os aspectos essncias para que uma rede baseada
no modelo OSI seja operada corretamente, protegendo os objetos gerenciados e o
sistema de acessos indevidos de intrusos. Deve providenciar um alarme ao gerente da
rede sempre que se detectarem eventos relativos segurana do sistema. So
distinguidos dois conceitos no modelo OSI em relao a segurana: Arquitetura de
Segurana do Modelo OSI e funes de Gerenciamento de Segurana, estas
compondo a rea funcional de gerncia de segurana.
O objetivo da Arquitetura de Segurana do modelo OSI o de dar uma
descrio geral dos servios de segurana e dos mecanismos associados a este, e de
definir em que posio do modelo de referncia situa-se os servios de segurana e
os seus mecanismos associados. A norma de referncia da Arquitetura de Segurana
trata exclusivamente da segurana dos canais de comunicao, atravs de
mecanismos como a criptografia, a assinatura numrica, e a notarizao, que permite
64

aos sistemas que usam este canal se comunicarem de forma segura. Para isso,
definem-se os seguintes servios:
1. Autenticao tanto de entidades pares quanto da origem dos dados
(authentication);
2. Controle de acesso aos recursos da rede (access control);
3. Confidencialidade dos dados (confidenciality);
4. Integridade dos dados (integrity);
5. A no-rejeio ou no-repudiao (non-repudiation);
Os mecanismos a serem adotados dependem do uso de uma poltica de
segurana, que feita pelo uso das Funes de Segurana do Gerenciamento de
Redes OSI. Estas funes tratam do controle dos servios de segurana do modelo
OSI, e dos mecanismos e informaes necessrias para se prestar estes servios.
Ento, os objetivos do gerenciamento de segurana so:
O fornecimento de relatrios de eventos relativos segurana e o fornecimento de
informaes estatsticas;
A manuteno e anlise dos registros de histrico relativos segurana;
A seleo dos parmetros dos servios de segurana;
A alterao, em relao a segurana, do modo de operao do sistema aberto,
pela ativao e desativao dos servios de segurana.
Para que estes objetivos sejam atingidos, devem-se olhar as diferentes polticas
de segurana a serem adotadas no sistema aberto. Todas as entidades que seguem
uma mesma poltica de segurana pertencem ao mesmo domnio de segurana.
Devido ao gerenciamento necessitar distribuir as informaes de gerenciamento de
segurana entre todas as atividades que se relacionam com a segurana, os
protocolos de gerenciamento assim como os canais de comunicao devem ser
protegidos, usando os mecanismos previstos na arquitetura de segurana.
As informaes de gerenciamento de segurana so armazenadas numa MIB
especial que deve dar apoio as trs categorias de atividades de gerenciamento de
segurana existentes. Esta MIB chamada de SMIB (Security Management
Information Base).

6.6 - A Plataforma OSIMIS


OSIMIS uma plataforma de gerncia orientada a objetos e desenvolvida
principalmente na linguagem C++. Atravs do encapsulamento dos detalhes existentes
no acesso aos servios de gerenciamento, ela fornece um ambiente para o
desenvolvimento de aplicaes com uma interface orientada a objetos, o que permite
aos desenvolvedores se preocuparem com a construo da aplicao, ao invs dos
detalhes necessrios para se acessar um servio/protocolo de gerncia. Usa o modelo
OSI gerente-agente e os objetos gerenciados para abstrair os recursos reais. No h
nenhuma restrio para que aplicao desempenhe os dois papis ao mesmo tempo
(de agente e gerente).
A plataforma OSIMIS originou-se dos resultados obtidos das pesquisas voltadas
para a rea de gerenciamento de sistemas de comunicaes e de sistemas
distribudos. Novos recursos vm sendo acrescentados arquitetura, para que seja

65

mais genrica possvel na implementao das facilidades oferecidas pelo modelo OSI
de gerncia. A verso 4.0 permite a fcil integrao entre sistemas (inclusive os
proprietrios) devido aos diferentes modelos e facilidades de gerncia que apresenta.
Nesta verso existe uma aplicao que permite a coexistncia entre os modelos
OSIMIS (CMIS/P) e Internet (SNMPv1). Originalmente, a plataforma foi designada
para usar o ISODE (ISO Development Environment), mas j existem trabalhos para
migr-la para outras interfaces como a XOpen. Os servios e aplicaes que esta
plataforma disponibiliza so:
Implementao completa dos servios CMIS e do protocolo CMIP;
Agente OSI que realiza todas as funes especificadas no modelo de gerncia;
Objetos padres;
Bibliotecas de classes C++ para determinados tipos de atributos, com os
respectivos codificadores e decodificadores para as suas sintaxes;
Uso de um objeto coordenador (coordinator) que gerncia todo o processo de
comunicao do sistema;
Mtodos genricos de interao entre o objeto coordenador e os objetos
gerenciados, atravs dos objetos chamados de fontes de conhecimento (knowledge
sources);
Compilador para a linguagem formal de especificao dos objetos de gerncia OSI
(GDMO - Guidelines for the Definition of Management Objects);
Interface de alto nvel para os desenvolvedores de aplicaes gerentes (RMIB e
SMIB);
Mecanismo de transparncia localizao de agentes, utilizando a implementao
ISODE do servio de diretrio OSI;
Aplicao genrica de passarela (gateways) entre os modelos de gerncia OSI
(CMIS/P) e Internet (SNMPv1).
Este modelo fornece uma implementao completa dos servios e protocolos
comuns do modelo OSI, permitindo ou usar a especificao completa do protocolo, ou
uma verso mais leve deste. Fornece um suporte suplementar para o ISODE, que
permite codificar, decodificar e analisar as cadeias de caracteres na especificao
ASN.1. O OSIMIS oferece uma interface de alto nvel chamada RMIB, que oferece os
seguintes servios aos desenvolvedores:
Estabelecimento e liberao de associaes;
Uso de nomes mais informais ao invs dos identificadores de objetos;
Manipulao transparente de estruturas ASN.1;
Listas de respostas (linked lists);
Interface de alto nvel para os relatrios de eventos;
Tratamento de erros em diferentes nveis.
Na plataforma OSIMIS oferecido suporte para organizar os processos
dirigidos por eventos, para facilitar a integrao com outros mecanismos de
coordenao, como as interfaces grficas dos usurios, que devem tratar dos eventos
que ocorrem. As aplicaes que realizam o papel de gerenciadoras interagem com os
agentes que cuidam de determinados objetos gerenciados, utilizando apenas o ttulo e
as classes dos objetos gerenciados. Isso possvel atravs da transparncia de
localizao que neste caso, tem a funo de identificar para a aplicao, quais so os
agentes que possuem os objetos gerenciados associados a determinados recursos,
66

assim como deve localizar este agente para a aplicao. A transparncia de


localizao realizada atravs do servio de diretrio OSI que armazena as
informaes de forma hierrquica e distribuda, sendo ideal para o armazenamento
das informaes necessrias as aplicaes gerentes, e para a localizao dos
agentes. Para armazenarmos as informaes necessrias as aplicaes gerentes,
usamos o mecanismo DSA/DUA (Directory Service Agent/Directory User Agent) que
permite as aplicaes informarem a sua existncia e os servios que a aplicao
disponibiliza aos seus usurios. Essas aplicaes devem notificar ao DSA/DUA
quando terminarem. Esse mecanismo funciona da seguinte forma: Ao iniciar a
operao, cada agente e cada aplicao gerenciadora se cadastra na rvore de
informao de diretrio (DIT-Directory Information Tree), como mostra o passo S na
figura. Quando a aplicao de gerncia deseja acessar um recurso, ela executa os
seguintes passos: Obter o nome do agente que gerencia a MIB que tem os objetos
que representam o recurso requerido (passo 1); Obter o endereo de apresentao
em que o agente est em execuo (passo 2); Associao com o agente que esta
identificou (passo 3).

Figura 14 - Mecanismo de transparncia de localizao

Alm destas facilidades, a OSIMIS apresenta algumas outras, como um


compilador GDMO para construo de classes de objetos gerenciados, mecanismo de
transparncia na localizao de objetos gerenciados, atravs do uso do servio de
diretrio X.500, implementao do protocolo SNMP ao nvel de aplicao atravs do
uso da coexistncia entre os dois protocolos, conjunto de aplicaes genricas e

67

agentes especficos para a camada de transporte OSI e para a verso OSI da MIB da
camada TCP/IP.

6.6.1 A plataforma OSIMIS e os protocolos CMIP e SNMP


Devido ao protocolo padro de gerncia de rede mais utilizado ser o SNMP, a
plataforma OSIMIS apresenta um modelo de converso entre as duas plataformas,
que deve prover mecanismos capazes de permitir a existncia mtua destas duas
plataformas em um ambiente de gerenciamento de redes. As principais restries
funcionais necessrias a esta coexistncia so:
Traduo da MIB SNMP em GDMO;
Converso das operaes SNMP em operaes CMIP;
Reduo do trfego de informaes de gerncia decorrente do processo de
polling do SNMP atravs do modelo OSI de notificaes.
A coexistncia realizada atravs de uma aplicao de passarela, que tem a
funo de um agente OSI na camada superior e gerente SNMP na camada inferior.
Usa as facilidades apresentadas pelo GMS (Generic Management System) para
suportar todas as funes realizadas por um agente OSI, e usa os objetos
especializados do GMS e os gerentes SNMP para realizarem juntos a converso das
informaes de gerenciamento. A tcnica adotada para a coexistncia nada mais do
que a definio de um conjunto genrico de regras de converso entre os dois
modelos, e o uso de um processo de aplicao capaz de operar sobre qualquer MIB.
Para isso, necessrio um conversor de objetos SMI SNMP para objetos GDMO OSI,
alm de um compilador GDMO para compilar os objetos convertidos.

Figura 15 - Arquitetura de passarela entre protocolos CMIP e SNMPv1

68

6.6.2 - Plataforma OSIMIS e orientao a eventos


Para implementar o mecanismo assncrono da orientao a eventos, a
plataforma OSIMIS apresenta dois objetos especiais: o Coordenador (coordinator) e as
Fontes de Conhecimento (Knowledge Sources), que fornecem abstraes especiais
na implementao deste mecanismo.
O Objeto Coordenador um centralizador dos eventos externos, alm de tratar
das chamadas dos temporizadores. S existe uma instncia deste objeto no sistema.
Tambm usado para implementar os mecanismos de iterao entre os objetos
gerenciados e os recursos que representam, atravs de um comando CMIS GET. So
possveis trs mecanismos:
1. Acesso por demanda de aplicaes gerentes;
2. Acesso por polling;
3. Acesso por eventos assncronos.
Os Objetos Fontes de Conhecimento so usados para ativar, em tempo real, os
objetos gerenciados quando ocorrerem eventos externos. So os pontos de
comunicao externos onde ocorrem os eventos. Nas aplicaes gerentes, obtm-se
com estes as informaes sobre os recursos gerenciados. Tambm podem gerenciar
o polling para acessar os objetos gerenciados. Ao contrrio do objeto anterior,
podemos ter vrias instncias deste objeto.

6.6.3 - Sistema Genrico para gerenciamento


implementado atravs de uma interface para o desenvolvimento de
aplicaes, que oculta totalmente os detalhes necessrios para se usar os servios
oferecidos pelo CMIS para enderear objetos, o escopo dos nveis de hierarquia, a
filtragem dos atributos dos objetos, e as correes de erro. A facilidade para o
desenvolvimento de aplicaes apresentadas pela interface devido ao uso de duas
classes de objetos: MO e MOClassInfo.
A classe MO a classe raiz da hierarquia das classes de objetos gerenciados, e
possui mtodos e atributos que automatizam os acessos as informaes usando o
protocolo CMIP, alm de conter informaes sobre as posies dos objetos
gerenciados na rvore de informao de gerenciamento (MIT).
A classe MOClassInfo apresenta informaes comuns a todos os objetos
pertencentes a uma classe, permitindo criar uma instncia deste objeto atravs da
alocao dinmica, alm de poder definirmos valores default para alguns dos atributos
deste objeto.

69

6.6.4 - Interfaces para construo de processos gerentes


So APIs (Aplication Programs Interfaces), amigveis para o acesso eficiente a
objetos MIB remotos, o que facilita a construo de processos gerentes. So
interfaces implementadas em OSIMIS, portanto orientadas a objetos, para acesso aos
servios CMIS. Usam-se dois enfoques distintos:
Remote MIB (RMIB) apresenta uma abstrao no acesso a MIBs Remotas,
atravs do uso da noo de um objeto de associao, que usado para encapsular
uma operao de gerenciamento com um objeto remoto, obscurecendo ento, os
servios usados do protocolo CMIP assim como o acesso a MIT remota.
Shadow MIB (SMIB) abstrai os objetos gerenciados num espao de
endereamento local, possibilitando a total transparncia do uso do protocolo de
gerenciamento. Parmetros de gerenciamento podem ser substitudos por ponteiros.

70

Captulo 7 - Distribuio da Gerncia na Rede


Com o crescimento das redes de computadores, em tamanho e complexidade,
sistemas de gerncia baseados em um nico gerente responsveis por todas as
funes de gerenciamento so inapropriados, devido ao volume das informaes que
devem ser tratadas e que podem pertencer a localizaes geograficamente distantes
do gerente.
Desta forma, evidencia-se a necessidade da distribuio da gerncia na rede,
atravs da diviso das responsabilidades gerenciais entre gerentes locais que
controlem domnios distintos e da expanso das funcionalidades dos agentes.

7.1 Centros de operao de rede


Cada gerente local de um domnio pode prover acesso a um gerente
responsvel (pessoa que interage com o sistema de gerenciamento) local e/ou ser
automatizado para executar funes delegadas por um gerente de mais alto nvel,
geralmente denominado de Centro de Operaes da Rede (NOC - Network Operation
Center). O NOC responsvel por gerenciar os aspectos interdomnios, tal como um
enlace que envolva vrios domnios, ou aspectos especficos de um domnio, devido
inexistncia de gerente local. Os tipos mais bsicos de tarefas de gerenciamento de
uma rede so as funes de monitoramento e controle.
A monitorao consiste na observao peridica de objetos gerenciados
importantes para a poltica de gerenciamento. A partir da monitorao, o gerente tem
conhecimento do estado da rede e, desta forma, pode efetuar operaes de controle
sobre a mesma. A distribuio das funes de monitorao mais premente em
relao s funes de controle, pois a monitorao consome mais recursos da rede,
bem como a ateno do gerente, pois atravs dela que se obtm o estado da rede
em relao ao tempo, enquanto que as funes de controle so invocadas em menor
nmero, geralmente com objetivos de alterao de configurao e erradicao de
problemas.
Os modelos de gerncia diferenciam-se nos aspectos organizacionais
envolvendo a disposio dos gerentes na rede, bem como no grau da distribuio das
funes de gerncia.

7.2 - Modelo Internet


O modelo inicial de gerncia Internet concentra as funes de controle e
monitorao em um nico gerente responsvel pelo acesso aos diversos agentes da
rede. Os agentes so simples fornecedores das variveis da MIB, enquanto que o
gerente, atravs do mecanismo de polling, monitora a rede, efetuando, quando
necessrio, operaes de controle. No definido nenhum mecanismo para a
comunicao entre gerentes. Tal abordagem objetiva a simplificao dos agentes,
permitindo o rpido desenvolvimento destes e a minimizao dos recursos usados nos
71

elementos de rede. Contudo o gerente sobrecarregado com todas as funes,


gerando grande trfego na rede e degradando o tempo de resposta aos eventos da
rede.
Com intuito de prover a monitorao remota em um ambiente de gerenciamento
Internet, foi definida a MIB RMON (Remote Network Monitoring). Tal MIB permite que
as funes de monitorao sejam realizadas atravs da captura dos pacotes que
transitam por uma sub-rede sem a interferncia constante do gerente. A RMON
composta por nove grupos: Statistics, History, Alarm, Host, HostTopN, Matrix, Filter,
Packet Capture e Event.
1. O grupo Statistics mantm estatsticas das interfaces do agente, por exemplo, o
nmero de colises.
2. History armazena amostras de informaes colhidas no grupo Statistics.
3. O grupo Alarm fornece mecanismos usados para a monitorao de variveis de
gerenciamento do tipo Integer, com valores-limites configurados que podem
disparar eventos ao serem atingidos pelo valor monitorado.
4. O Host contm informaes referentes aos nodos da sub-rede, como o nmero de
pacotes enviados por cada nodo.
5. O grupo HostTopN classifica as informaes obtidas pelo grupo Host, gerando, por
exemplo, os nodos que mais transmitiram pacotes.
6. O Matrix possui informaes referente a comunicao entre dois nodos da subrede.
7. O Filter prov mecanismos de filtros para os pacotes recebidos da sub-rede, que
podem disparar um evento ou um processo de armazenamento de pacotes.
8. Packet Capture armazena informaes dos pacotes recebidos na sub-rede;
9. O Event controla a gerao e notificao dos eventos definidos, por exemplo, um
relativo a um alarme especificado no grupo Alarm.
Com o crescimento da rede Internet, foi proposta uma adaptao do modelo de
gerncia original baseado no protocolo SNMP. Tal proposta, denominada de SNMP
2.0, aumenta as funcionalidades dos agentes, atravs da flexibilizao na gerao de
notificaes assncronas e da capacidade de um processo assumir ambas as
funcionalidades de gerente e agente, permitindo a comunicao entre gerentes de
nveis diferentes. O SNMP 2.0 adiciona dois tipos novos de operaes no protocolo,
GetBulkRequest e InformRequest, que permitem um aumento das funcionalidades dos
agentes e gerentes intermedirios. A GetBulkRequest otimiza a recuperao de um
volume considervel de variveis, principalmente em relao recuperao de
entradas de tabelas. Por exemplo, para a recuperao de 10 entradas de uma tabela
necessrio o envio de 10 operaes GetNextRequest no SNMP original, e com a
verso 2.0, somente um GetBulkRequest suficiente. A InformRequest permite um
gerente enviar de forma assncrona uma notificao de algum evento, sendo anlogo
ao TRAP, contudo um servio confirmado.
Dentro do contexto do SNMP 2.0 foi definida uma MIB, denominada de M2M,
que suporta a distribuio de funes de monitorao entre os gerentes da rede. Tal
monitorao baseada em amostras realizadas em variveis do tipo COUNTER,
GAUGE e TIMETICKS de agentes. Os valores de tais atributos so comparados com
valores-limites configurados, e caso sejam atingidos, um InformRequest ou um TRAP
enviado pelo gerente que implementa a MIB M2M a outro gerente.

72

A MIB especificada a partir dos conceitos de alarme, evento e notificao. O


alarme uma condio configurada que verificada periodicamente. Se um alarme for
detectado, disparado o evento associado, que por sua vez, pode gerar uma
notificao para um gerente especificado. Tal MIB anloga aos grupos Alarm e
Event da RMON.

7.3 - Modelo OSI


O modelo OSI possibilita a delegao das funes de monitorao aos agentes,
atravs da definio de um ambiente orientado a objetos que incorpora tais
procedimentos e da abordagem orientada a notificaes assncronas do modelo.
Contudo as funes de controle ainda ficam relegadas ao gerente, pois o
conhecimento relativo tomada de decises gerenciais no se adapta para ser
codificado em classes de objeto, ao contrrio do conhecimento referente
monitorao, que mais simples, geralmente esttico e peridico.
Tal modelo gera agentes mais complexos de serem desenvolvidos, consumindo
mais recursos dos elementos de rede, enquanto que economiza o uso da rede, devido
a minimizao dos pedidos de informaes (pollings) necessrios para obter dados
sobre os objetos gerenciados, livrando o gerente para tarefas mais inteligentes.
Alm da definio de um agente mais funcional, o modelo OSI introduz o
conceito de hierarquia de gerentes, atravs da possibilidade de um mesmo processo
de aplicao funcionar como gerente e agente, sendo denominado de gerente
intermedirio. Desta forma possvel ao NOC delegar tarefas para gerentes
intermedirios responsveis por certos domnios da rede. A comunicao entre
gerentes realizada pelo acesso a objetos da MIB que possuem as informaes que
devem ser compartilhadas ou funcionalidades que devem ser delegadas entre os
gerentes.
As funcionalidades que podem ser delegadas a um agente ou a um gerente
intermedirio so exemplificadas nas funes de gerenciamento definidas pelo ISO,
que fornecem servios padronizados para as cinco reas funcionais de gerenciamento
OSI: configurao da rede, falhas dos componentes, nveis de desempenho,
segurana de acesso e contabilizao do uso dos recursos. Tais funes so relativas,
principalmente, monitorao remota, como a monitorao de um atributo de um
objeto que representa a utilizao de um recurso, ou ao controle de algum mecanismo
necessrio para o gerenciamento, como o registro de logs. A seguir so
exemplificadas algumas das funes de gerenciamento:
Funo de gerenciamento de objeto: especifica trs tipos de notificaes
relativas criao de objeto, remoo de objeto e mudana de valor de atributo.
Nesse caso o gerente no precisaria ficar realizando polings para a verificao de tais
condies, e sim, o objeto emitiria as notificaes. Para tal, a classe do objeto
monitorado deve importar as definies das notificaes. Em tempo de execuo, se o
gerente quiser receber somente determinados tipos de notificaes, por exemplo,
relativa criao de objetos, pode usar o objeto eventForwardingDiscriminator definido

73

na funo de controle de relatrios, que repassa somente tipos de notificaes


configurados no objeto;
Funo de relatrio de alarmes: define notificaes genricas de alarme
referentes falhas, fornecendo informaes tais como o tipo da falha, causa provvel
e ndice de gravidade. Os tipos de falhas variam desde problemas de comunicao,
como perda de sinal, at alarmes cobrindo problemas ambientais, como umidade alta.
Tal funo possibilita grande autonomia aos elementos gerenciados, que notificaro
de forma assncrona o gerente na ocorrncia de uma falha. Nesse caso, o gerente
somente precisar verificar periodicamente a conectividade com o agente, e iniciar
procedimentos de recuperao de falhas no recebimento de uma notificao. As
classes de objetos que necessitam se autogerenciar devem importar a definio
padro da notificao de alarme. Tambm definida uma estrutura de registro relativo
ao gerenciamento. O mecanismo de registro de informaes em um log definido na
funo de controle de log, que define um objeto que seleciona as notificaes que
devem ser armazenadas localmente sobre forma de um objeto que representa um
registro de log.
Funo de monitorao de carga de trabalho: define objetos mtricos que
realizam a monitorao de atributos de outros objetos dos tipos COUTER e GAUGE,
que podem representar a utilizao de um recurso, a taxa de requisio de um recurso
ou a taxa de rejeio de acesso a um recurso. O objeto mtrico pode enviar
notificaes quando o atributo monitorado atinge valores-limite pr-determinados.
Alm da anlise pura do valor amostrado, so definidos tambm objetos que usam a
mdia e a varincia dos valores do atributo monitorado para a comparao com os
valores-limite. Tal funo permite a anlise de desempenho de recursos gerenciados,
sem a necessidade de consultas peridicas por parte do gerente.

7.4 - Gerncia via Servidores Elsticos


A abordagem de gerncia via servidores elsticos realizada atravs da
distribuio de programas independentes que encapsulam funes de controle e
monitorao de objetos gerenciados. O termo elstico se refere capacidade do
servidor de alterar dinamicamente a sua funcionalidade, atravs da execuo e
remoo dos programas delegados. Um servidor elstico pode atuar como um agente
ou como um gerente intermedirio, sendo que cada programa delegado pode ser
armazenado at que o gerente responsvel invoque um comando de execuo. As
instncias dos programas podem ser suspensas, reiniciadas ou finalizadas. Tais
funes so realizadas atravs do protocolo de delegao.
Uma instncia de um programa de gerenciamento pode se comunicar com o
gerente criador, com outros programas, invocar funes de bibliotecas disponveis no
ambiente e acessar os objetos gerenciados. O acesso aos objetos gerenciados
realizado pelos Pontos de Controle de Observao, que representam uma interface
genrica de acesso, desta forma escondendo os detalhes de implementao. Tal
interface pode acessar diretamente os recursos gerenciados, possibilitar uma

74

converso de protocolo, por exemplo, para o acesso a redes CMIP ou SNMP, e ainda
possibilitar o acesso a outros servidores elsticos, atravs do protocolo de delegao.
No ltimo caso, evidencia-se a capacidade da definio de um gerenciamento
composto por vrios gerentes.
A abordagem via servidor elstico minimiza o trfego na rede, bem como toma
aes de forma mais rpida em relao aos eventos da rede. O servidor elstico
configurado somente para as funes realmente necessrias para cada momento
dentro da poltica de gerenciamento da rede, ao contrrio de agentes OSI ou Internet
que podem permanecer atualizando objetos da MIB que no esto sendo usados.

75

Captulo 8 - Segurana para Gerncia de Redes


Neste captulo apresentado um levantamento dos riscos de segurana
associados a Sistemas de Gerncia de Redes e descreve uma Arquitetura de
Segurana aplicvel a tais sistemas, garantindo a autenticao, integridade e
confiabilidade nas comunicaes entre as entidades de gerncia.
Os Protocolos de Gerncia de Redes e os canais de comunicao que
transportam informao de gerncia so potencialmente vulnerveis a atentados
contra a segurana. Cuidados particulares devem, portanto, ser tomados para
assegurar que tais protocolos e informaes estejam protegidos. A definio de
vulnerabilidade e dos riscos de segurana dos Sistemas de Gerncia e a criao de
ferramentas para tratar estes problemas fazem parte do conjunto de aes
fundamentais para o funcionamento confivel das redes. A especificao de
ferramentas, seu comportamento e seus inter-relacionamentos compem uma
arquitetura de segurana.

8.1 - Segurana em Redes de Computadores


Existem diversos elementos sobre os quais podem incidir ameaas contra a
segurana em um ambiente informatizado e, em especial, em um ambiente interligado
por redes de computadores. Segurana em informtica pode ser compreendido como
a garantia ou confiana que os usurios tem em determinado sistema. Segurana
aplicada no domnio das Redes de Computadores, ento, deve garantir que o sistema
no seja comprometido por ameaas cuja origem no esteja localizada,
necessariamente, no computador local, mas remotamente. Existem muitas formas de
comprometer sistemas porque normalmente existem muitos pontos expostos. Estes
pontos de exposio podem ser classificados conforme estas seis categorias:
hardware, software, informao/dados, pessoal, documentao e suprimentos.
No jargo de segurana, os itens que se enquadram nas categorias acima so
chamados ativos. So os ativos de uma instalao que devem ser protegidos de
ameaas porque o comportamento apropriado destes ativos que vai permitir o
funcionamento dos sistemas. Uma alterao, destruio, erro ou indisponibilidade de
algum destes ativos pode gerar um comprometimento do sistema. Analisando os
ativos apresentados no escopo de segurana em redes de computadores, apenas
Hardware, Software e Informao/Dados so passveis de serem protegidos por meios
do que se convenciona chamar de Segurana Lgica, em contraposio Segurana
Fsica, onde esta ltima a segurana tradicional de informtica, centrada em
restries de acesso fsico s instalaes e equipamentos, preveno de acidentes de
trabalho e planos de recuperao de desastres como incndios e inundaes. J a
Segurana Lgica lana mo de software para garantir quatro princpios bsicos:
autenticao de usurio, disponibilidade de recursos, integridade das informaes e
confidencialidade das informaes.

76

8.1.1 - Agresses e Falhas


Outra forma de analisar os problemas de segurana fazer uma classificao
das ameaas entre agresses e falhas. Falhas so acontecimentos acidentais que, de
uma forma ou de outra, pem em risco a segurana das instalaes e dos sistemas
porque atentam contra a confiabilidade e/ou disponibilidade de um sistema. Exemplos
de falhas so: inundaes, incndios, terremotos, roedores que atacam a fiao e
provocam curtos-circuitos, acidentes ou erros humanos (derramamento de lquidos
sobre equipamento, manipulao incorreta de equipamento, digitao de dados
incorretos, etc) e falhas de hardware, de software e de comunicao. As agresses,
por outro lado, so intencionais e hostis. So exemplos de agresses as ameaas de
bombas, roubo, operao inadequada proposital de equipamentos, software
propositadamente incorreto, vrus, invases atravs de redes, (tentativas de) acesso a
informaes confidencias, etc. No possvel abordar todos os problemas a partir do
enfoque de Segurana Lgica. Os problemas relacionados s falhas dizem respeito a
outros aspectos que no seja Segurana Lgica (manuteno e segurana fsica, por
exemplo). Na lista de agresses tambm se encontram diversas ameaas que no so
tratveis por medidas de Segurana Lgica, como ameaas de bomba e roubo.
Ento, sob esta tica, as ameaas que dizem respeito segurana em redes de
computadores so agresses efetuadas por pessoas no autorizadas (as quais sero
chamadas de invasores) que objetivam obter benefcios indevidos ou prejudicar o
funcionamento dos sistemas.

8.1.2 - Acesso Informao e Capacidade de Processamento


O que est em disputa neste contexto de proteo de Sistemas em Rede pode
ser resumido em dois itens: A informao em si: o acesso, a destruio e a
modificao de informao e o acesso a servios; e o acesso capacidade de
processamento de informao e ao equipamento: roubo de ciclos de mquina, acesso
a servios, redes e software, e uso da capacidade de armazenamento.
Por informao deseja-se representar muitas coisas: dados para
processamento, tecnologia, know-how, conhecimento cientfico, informaes
econmico-financeiras, estratgicas e polticas, projetos, etc. Computadores podem
manter informaes confidenciais sobre pessoas, sobre objetivos militares,
informaes vitais para empresas ou governos, saldos bancrios, e assim por diante.
O valor destas e de outras informaes alto, apesar de ser muito difcil, na maioria
dos casos estabelecer o valor intrnseco de determinada informao.
Desta forma, a capacidade de acesso informao, bem como a capacidade de
alter-la ou destru-la, representa ento poder, que protegido pelos legtimos
detentores da mesma e que buscado (de forma ilegtima) pelos invasores. O acesso
ao hardware e ao software (e o decorrente acesso capacidade de processamento)
tambm representa poder, j que a utilizao dos mesmos permite o processamento
de informaes. O acesso ilegtimo capacidade de processamento pode ser apenas
roubo de tempo de processamento, mas esse tipo de ato pode levar a conseqncias

77

srias, como o aumento de custo para usurios legtimos ou, em caso extremo, a
negao de servio para os usurios legtimos, uma vez que a cpu e/ou memria
esto ocupadas realizando tarefas estranhas instalao. Um exemplo tpico de roubo
de tempo de cpu a utilizao de mquinas para decifrar informaes criptografadas
(como arquivos de senhas) para ter acesso a novas informaes: uma agresso
(roubo de ciclos) que alimentar outra agresso (a invaso de outros sistemas).
As agresses referentes informao e capacidade de processamento
podem ser executadas basicamente de trs formas: por escuta ou monitorao da
rede, por invaso ao sistema e por mascaramento. A escuta/monitorao do canal
tarefa simples e mesmo com recursos pouco sofisticados possvel alcanar tal feito.
Exemplos de formas de se conseguir monitorao de redes vo desde o uso de
analisadores de protocolos (recurso caro) at a modificao do software de um
computador comum para atuar como escuta. Existem ainda equipamentos prprios
para escuta (passiva) que se valem de emanaes eletromagnticas dos cabos e
conectores. O comprometimento da segurana de um n intermedirio em redes storeand-forward ou de gateways e roteadores leva exposio de informaes a terceiros.
Ento, toda informao que circula pelas redes pode ser interceptada e, se medidas
de segurana no tiverem sido adotadas, esta informao se torna no confidencial.
Pouco se pode fazer ao nvel de software para impedir este tipo de agresso. O uso
de criptografia deve ser considerado, pois, apesar de no impedir o ataque, uma
forma de reforar o sigilo das comunicaes.
A invaso de sistemas com o objetivo de ganhar acesso a informaes e a
recursos computacionais uma das agresses mais comuns. As vulnerabilidades
relativas invaso de sistemas podem ser geradas de muitas formas. Por exemplo,
pela no instalao de senhas por parte de usurios ou por falhas de implementao
de softwares. Os riscos associados so os mesmos relacionados para a escuta do
canal e mais a possibilidade de negao de servios para usurios legtimos em
funo dos invasores estarem usufruindo servios de forma no autorizada. Grande
parte desta vulnerabilidade responsabilidade do sistema operacional hospedeiro,
reduzindo a responsabilidade dos mecanismos de segurana das redes. Na verdade,
esta forma de agresso normalmente se transforma ou em escuta ou em
mascaramento depois de concretizada a invaso.
O terceiro item, mascaramento, consiste na tentativa de personificao de uma
terceira entidade em uma comunicao. O objetivo o mesmo que os anteriores:
acesso a informaes ou a recursos computacionais. O mascaramento pode ser
conseguido por invaso simples (como visto acima) ou por meios muito mais
sofisticados como a alterao de pacotes que fluem na rede ou ainda forjando
pacotes. Estando mascarado de uma entidade comunicante legtima da rede, o
software clandestino pode ter acesso s informaes sensveis ou a recursos
importantes e at provocar eventos anonimamente. Fica claro que este tipo de
agresso complexo o que pressupe a necessidade do invasor ser conhecedor
profundo dos protocolos de comunicao utilizados.

78

8.2 Gerncia de Redes e Segurana


Gerncia de Redes uma aplicao distribuda onde processos de gerncia
(agentes e gerentes) trocam informaes com o objetivo de monitorar e controlar a
rede. O processo gerente envia solicitao ao processo agente que por sua vez
responde s solicitaes e tambm transmite notificaes referentes aos objetos
gerenciados que residem em uma base de informao de gerenciamento (MIB).
Toda e qualquer informao produzida pelo Sistema de Gerncia, em um
determinado instante, est ou em uma MIB ou trafegando pela rede (em uma
comunicao tpica entre um agente e um gerente ou entre dois gerentes) ou ainda
poder ser deduzida (reproduzida) com informaes parciais oriundas destas duas
fontes. Toda informao produzida pelo Sistema de gerncia til para a manuteno
da rede em operao com confiabilidade. Sem dvida, os Sistemas de Gerncia
facilitam a administrao das redes seja pela automatizao de algumas atividades,
seja por permitir maior controle sobre os recursos da rede ou ainda por fornecer
informaes (estatsticas, por exemplo) que permitiro ajustes, correes ou
adaptaes s necessidades dos usurios.
Entretanto, neste ponto tambm possvel observar que o prprio Sistema de
Gerncia e as informaes por ele geradas so de extrema valia para indicar pontos
vulnerveis a ataques, ter acesso e controlar indevidamente recursos da rede,
manipular informaes, em suma, realizar atividades prejudiciais rede, aos sistemas
e/ou aos usurios. Sob certa tica, possvel at afirmar que uma rede com Sistema
de Gerncia formal implantado menos segura do que a mesma rede sem o Sistema
de Gerncia. Os exemplos a seguir explicam esta afirmao:
Se um agente emite um alarme acerca de uma falha em um mecanismo de
segurana e este alarme interceptado por um invasor; ento se est fornecendo uma
informao valiosa para que um intruso possa realizar outras agresses.
Uma notificao de alarme forjada por um intruso pode levar a alguma ao (por
parte do gerente iludido) que libera informaes ou servios a usurios que no
teriam autorizao em situaes normais.
Uma entidade infiltrada que se mascara de gerente pode ter acesso a informaes
sensveis mantidas na MIB, inclusive com poder de alterao (como desativao de
servios de segurana ou alterao de registros de contabilizao).
Um agente mascarado pode fornecer acesso a recursos da rede para usurios no
autorizados e/ou indisponibilizar tais recursos para usurios legtimos; ou ainda forjar
informaes com o intuito de forar o gerente para a alocao de mais ou melhores
recursos.
Com estas e muitas outras vulnerabilidades que se pode concluir que um
Sistema de Gerncia de Redes torna a rede mais insegura por um lado, ao mesmo
tempo em que cria mecanismos de controle que sero teis tambm na manuteno
da segurana da rede.

79

8.2.1 Ameaas sobre Sistemas de Gerncia


As ameaas abordadas dizem respeito s agresses que podem ser
executadas por intrusos na rede ou por usurios que tentam obter mais recursos ou
informaes do que so autorizados. Podem ser classificadas em: Mascaramento,
Monitorao ou Escuta Passiva e Escuta Ativa.
Mascaramento - a pretenso de uma entidade de se fazer passar por outra de
modo a ter acesso a informaes, ganhar novos privilgios, afetar os sistemas, etc.
Para criar uma entidade mascarada, o agressor deve ter acesso rede, podendo ser
um acesso autorizado (lcito) ou no. Ento, uma primeira barreira contra este tipo de
agresso um Sistema de Controle de Acesso rede o mais confivel possvel.
Controle de Acesso envolve identificao, autenticao e autorizao, alm de uma
poltica de segurana e conscincia por parte dos usurios da importncia da
segurana para a rede e seus sistemas.
o Por identificao - entende-se uma estrutura de nomes que garanta a
identificao nica para cada entidade da rede. Mas no basta
identificao porque as entidades podem no ser confiveis ao se
identificar, sendo necessrio ento a confirmao da entidade:
Autenticao, ou seja, a validao de que uma entidade quem
ou aquilo que diz ser.
Autorizao permite indicar se determinada entidade (identificada
e autenticada) possui acesso legtimo (autorizado) a determinado
recurso ou operao e deve evitar acesso caso contrrio.
Mas no se pode pensar em Controle de Acesso somente no momento do
primeiro acesso em uma sesso (login) mas tambm em outras atividades durante a
sesso, de forma continuada, sob pena de abordar o problema de maneira muito
pobre. ento importante para a segurana em um Sistema de Gerncia que cada
entidade componente do mesmo esteja devidamente identificada e autenticada e
tenha os direitos de acesso definidos e controlados. Para tanto, faz-se necessria a
especificao e implantao de servios de Identificao/Autenticao especficos
para entidades comunicantes, e de Confidencialidade de Acesso aos recursos (no
caso, o acesso MIB).
Monitorao ou Escuta Passiva - Neste caso, h apenas coleta de informaes
que transitam na rede. Apesar de, em um primeiro momento, os riscos que representa
a escuta passiva parecerem pequenos, possvel recolher muitas informaes teis
para o comprometimento de uma rede. Alguns exemplos so as informaes que
dizem respeito segurana da rede ou sobre falhas, que fluem entre agentes e
gerentes da rede. Estas informaes podem ser senhas de usurios, informaes
trocadas entre entidades para autenticao, informaes sobre configurao,
informaes sobre falha de algum mecanismo de segurana, etc. Quando informaes
sensveis como as citadas devem transitar pela rede, fundamental que sejam
adotadas medidas para evitar que tais informaes sejam acessadas indevidamente.
Para tanto necessrio definir um Servio de Confidencialidade de Comunicao.

80

Escuta Ativa - A escuta ativa difere da escuta passiva por no apenas coletar
informaes que fluem pela rede, mas tambm por alter-las de alguma forma, seja no
contedo, na seqncia, no tempo ou pela destruio ou criao de mensagens; de
forma a realizar ou induzir aes no autorizadas ou criar condies para aes no
autorizadas ou ainda encobrir atos ilcitos praticados. Duas medidas de proteo se
tornam ento necessrias: autenticao da origem das mensagens e garantia da
integridade das mensagens. Sem estes dois servios a rede continuar aberta a
ataques.
Os Sistemas de Gerncia de Redes esto sujeitos a todas estas ameaas
porque esto baseadas na separao das funes de gerncia com distribuio das
informaes, sendo necessria a comunicao entre entidades de gerncia. Deve-se
ento acrescentar ao Servio de Identificao/Autenticao de entidades a tarefa de
autenticar a origem, a forma e o momento do envio das mensagens. Alm disso, um
Servio de Integridade de mensagens deve ser estabelecido e ser o responsvel pela
garantia de que uma mensagem no sofreu alteraes em seu caminho desde a
origem at o destinatrio, envolvendo as tarefas de evitar alterao de informaes,
re-seqenciamento e a simples destruio.
A autenticao, por sua vez, tambm depende da integridade das mensagens
para algumas tarefas. Por exemplo, de nada adianta validar a origem de uma
mensagem que foi alterada por uma escuta ativa ou se durante uma autenticao de
entidade as mensagens podem ser afetadas de modo a validar uma entidade
mascarada.

8.2.2 Requisitos de Proteo


No contexto de um Sistema de Gerncia, as ameaas que cabem ser
analisadas, dentre todas as ameaas segurana em uma rede de computadores,
so as seguintes:
Acesso no autorizado informao de gerncia que flui pela rede;
Acesso no autorizado informao de gerncia mantida na MIB;
Alterao e re-sequenciamento de mensagem de gerenciamento;
Gerao de mensagens de gerenciamento por terceiros (entidades que no fazem
parte da arquitetura de segurana).
Os Servios de Segurana que precisam estar disponveis para contrapor estas
ameaas, conforme visto anteriormente so:
Confidencialidade contra acessos no autorizados informao de gerncia;
Integridade contra alteraes e re-sequenciamento;
Autenticao contra gerao de mensagens por terceiros.
Para suportar o Servio de Confidencialidade (ou privacidade) necessrio o
uso de criptografia. H dois tipos bsicos de criptografia em uso nos dias atuais: por
chave secreta e por chave pblica. A segunda alternativa - chave pblica - a mais
usada devido eficincia do processo da distribuio das chaves. Um sistema de
chaves pblicas prev a existncia de duas chaves simtricas: o que uma chave cifra
e seu par decifra e vice-versa. Uma das chaves mantida em segredo (chave privada)
e a outra divulgada (chave pblica - da o nome do sistema) atravs de um servio
81

de diretrio, por exemplo. O uso de criptografia a nica forma de garantir que uma
mensagem que esteja trafegando pela rede e seja interceptada no fornea
informaes valiosas para o agressor. A mensagem poder ser interceptada, mas
dificilmente ser decodificada.
Da mesma forma o acesso a MIB pode ser aberto, pois, se as informaes l
contidas estiverem cifradas, elas no sero teis para invasores, uma vez que estes
no tero tempo hbil para decifr-las antes que ocorram alteraes nas mesmas.
Assim, um grau de segurana adicional conseguido com o uso de criptografia sobre
a MIB. Empregando o conceito de que a MIB somente poder ser acessada por um
nico agente, toda a informao poder ser guardada criptografada com a chave
pblica deste agente. Desta forma, s o mesmo agente pode ter acesso s
informaes geradas ou manipuladas por ele prprio. Para suportar o Servio de
Integridade, duas providncias se fazem necessrias:
Para evitar que uma mensagem alterada seja considerada vlida, a ao a ser
tomada a cifragem de um campo que contenha o checksum de toda a mensagem. A
chave que deve ser utilizada para isto a chave privada do remetente da mensagem
(a chave privada do esquema de chave pblica). Com isto se garante a integridade da
mensagem, pois um agressor no ter como alterar a mensagem, gerar um novo
checksum e criptograf-lo, pois no possuir a chave correta. J o destinatrio pode
verificar a integridade simplesmente usando a chave pblica do remetente para
conferir o checksum calculado com o decifrado. Qualquer alterao da mensagem
imediatamente detectada.
Para evitar o re-sequenciamento, o que deve ser feito a incluso de um campo
que indicar a ordem da seqncia da mensagem. Este campo dever conter um valor
dentro de uma seqncia determinada a cada comunicao entre cada par de
entidades (ou seja, a cada mensagem, o remetente incluir o valor da seqncia e
indicar qual valor dever ser usado na prxima comunicao entre estas duas
entidades). Estes dois campos tambm devem ser criptografados com a chave privada
do remetente.
O Servio de Autenticao deve garantir que a origem das mensagens de
gerenciamento so entidades legtimas para evitar a execues de aes indevidas ou
o acesso a informaes por terceiros. Uma observao providncia referente
alterao de mensagens citada acima pode levar a concluso de que a prpria
integridade oferece meios de aferir a autenticidade das mensagens, uma vez que
somente o interlocutor autntico conhecer sua chave privada e com isto poder gerar
os campos criptografados de acordo com o esperado. A autenticao, ento, est
automaticamente includa no Servio de Integridade.

8.3 Arquitetura de Segurana para Gerncia de Redes


Cada agente e gerente do Sistema de Gerncia devem possuir uma Interface
de segurana que deve garantir que as mensagens recebidas pelos agentes e
gerentes so realmente internas ao Sistema (autnticas) e que no foram alteradas
(ntegras). Alm disso, pode ser desejvel a confidencialidade da comunicao entre
as entidades do Sistema e esta caracterstica tambm deve ser garantida pela

82

Interface de Segurana. Esta interface atuar como uma clearing house entre cada
par comunicante, impedindo que informaes de gerncia sejam acessadas, alteradas
ao forjadas por entidades no autorizadas.
Os servios diretamente implementados pela Interface de Segurana so:
Servio de Autenticao: garantindo a origem autntica das mensagens;
Servio de Integridade: que impede o processamento de mensagens adulteradas
ou forjadas;
Servio de Confidencialidade de Comunicao: tornando as mensagens no
acessveis por terceiros, enquanto teis;
Servio de Confidencialidade de Acesso: que garante a proteo s
informaes de gerncia mantidas na MIB.
Todos os Servios acima devem estar presentes nas Interfaces de Segurana
dos agentes e dos gerentes componentes do Sistema de Gerncia, exceo do
ltimo, cuja presena somente necessria nas entidades agente, pois diz respeito
apenas a atividades destes. Acessoriamente, so facilmente conseguidos como
efeito-colateral da implantao dos servios acima os seguintes:
Servio de Controle de Acesso: em funo da Confidencialidade de Acesso. Se
apenas o proprietrio da MIB pode compreender os dados l mantidos, o problema
de acesso est resolvido;
Servio de No-Repudio: resultante da implantao do Servio de Autenticao.
Uma vez garantida a origem da mensagem, tambm no h como o remetente negar
a autoria da mesma, pois somente ele poderia gerar uma mensagem com campos
criptografados pela chave privada dele.
Alm dos servios citados, de grande importncia que as Interfaces de
Segurana mantenham registros de ocorrncias em logs para que seja possvel a
realizao de auditorias, como atividade de gerenciamento de segurana.
Interface de Segurana , portanto, uma redoma que encapsula totalmente
cada agente e cada gerente do Sistema de Gerncia, de forma que toda comunicao
entre estas entidades se d somente atravs da Interface. Esta abordagem permite
que a instalao da Interface seja transparente para os agentes e gerentes, ou seja,
nada alterado nos agentes e gerentes para que a Arquitetura de Segurana seja
implantada. As comunicaes entre entidades sempre passaro por filtros (as
Interfaces de Segurana) em cada um dos lados desta comunicao, para verificao
de integridade e autoria e para garantir privacidade. A figura seguinte mostra a
Interface de Segurana.

83

Figura 16 - Interface de Segurana

Somente trafegaro na rede (no escopo de Sistemas de Gerncia) pacotes de


comunicao entre Interfaces de Segurana que encapsulam pacotes de agentes e
gerentes, com todos os mecanismos de segurana para evitar possveis agresses. A
interface de segurana emissora responsvel pela incorporao dos mecanismos no
pacote original e a interface do lado receptor responsvel pelas verificaes e
liberao ou no de pacotes.
O acesso s informaes de gerncia guardadas na MIB tambm deve ser
restrito. Existem duas formas de prover tal restrio: pela instalao de um mecanismo
de controle de acesso prprio ou a criao de um mecanismo de confidencialidade,
onde as informaes armazenadas na MIB estariam cifradas. A estratgia de
estabelecer um Servio de Confidencialidade no acesso a MIB, garantindo que um e
somente um agente (o seu criador e mantenedor) ter acesso direto s informaes l
contidas, se apresenta como a mais interessante. Trs itens motivam esta escolha:
1. O mecanismo de confidencialidade j est disponvel para outros servios de
segurana (Confidencialidade de Comunicao), eliminando a necessidade de
construo de um novo mecanismo de segurana, o controle de acesso;
2. Elimina a necessidade de criao de uma Interface de Segurana tambm para a
MIB, centralizando nos agentes a implementao dos mecanismos de segurana;
3. No possui certas vulnerabilidades presentes nos mecanismos de controle de
acesso, como a abertura para o mascaramento.
A forma de implantar o Servio de Confidencialidade no acesso a MIB o uso
de criptografia em todos os acessos mesma. O agente responsvel pela MIB possui
84

uma chave que utilizada para cifrar todas as informaes antes de armazen-las e
decifrar as informaes quando do acesso. A cifragem das informaes contidas na
MIB pode ser feita com a mesma chave que o agente utiliza para garantir a
privacidade das comunicaes ou com uma chave prpria para a tarefa, podendo ser
inclusive com o uso de uma tcnica de chave secreta, mais eficiente em termos de
tempo para criptografar e decriptografar. Isto porque o acesso a MIB completamente
independente de todo o processo de comunicao entre entidades. Tal mecanismo
permite inclusive que o acesso em si possa ser realizado sem restries, mas uma vez
que as informaes esto criptografadas, no h liberao efetiva das mesmas para
aqueles que no possurem as chaves.

Figura 17 - Integridade e autenticao no agente

8.3.1 - Algoritmos
Os algoritmos utilizados para a implementao das Interfaces de Segurana
so divididos em Algoritmos para Autenticao e Integridade e Algoritmos para
Confidencialidade. Estes dois algoritmos so apresentados a seguir:
Algoritmo para Autenticao e Integridade - Para se conseguir a garantia de
autenticidade e integridade das mensagens que so trocadas entre as entidades
componentes do Sistema de Gerncia, cada Interface de Segurana deve implementar
(indistintamente para agentes e gerentes) os algoritmos para o envio e o recebimento
de mensagens a seguir, alm de uma negociao preliminar para a troca de
informaes que sero necessrias para o desenrolar das comunicaes, como as
chaves pblicas das duas interfaces e a determinao do primeiro valor que ser
utilizado para garantir a ordem das mensagens.
85

Figura 18 - Integridade e autenticao no gerente

Algoritmos para Confidencialidade - Conforme apresentado, h dois momentos


onde necessria a confidencialidade: na comunicao e no acesso MIB.
o Confidencialidade na Comunicao - A confidencialidade na
comunicao deve ser garantida quando requisitada. As atividades
relativas a confidencialidade devem ser realizadas sobre uma mensagem
j preparada pelos mecanismos de integridade e Autenticao, sendo
realizada, portanto, um nvel abaixo.
o Confidencialidade no Acesso MIB - Para a confidencialidade das
informaes contidas na MIB.
Uma Arquitetura de Segurana genrica para aplicao em Sistemas de
Gerncia de Redes extremamente flexvel uma vez que permite sua aplicao em
todos os Sistemas de Gerncia baseados em entidades agentes e gerentes, ao
mesmo tempo, no exige que tais entidades sofram alteraes para suport-la,
tornando transparente a sua instalao.
A ampliao do conceito de assinatura digital permite no s validar a origem,
mas tambm a integridade das mensagens e ao controle de acesso MIB ser feito
atravs do servio de confidencialidade, que no impede o acesso mas no revela as
informaes seno para o legtimo proprietrio.
Embora a Arquitetura de Segurana apresentada seja genrica, ela j
implementada nos sistemas de gerncia que esto baseados no modelo OSI. Isto
ocorre porque a camada de Apresentao deste modelo j implementa servios de
criptografia das mensagens.

86

Captulo 9 - Ferramentas de Gerenciamento de Redes


Muitos fabricantes de produtos de redes oferecem tambm produtos especficos
de gerenciamento de redes que se dirigem a necessidades mais detalhadas. Dentre
estes, vale salientar:

9.1 - AT&T - UNMA


Unified Network Management Architeture (UNMA) um produto desenvolvido
pela AT&T prope um gerenciamento integrado de redes, em ambientes
heterogneos, utilizando as interfaces definidas segundo o padro OSI (Open Systems
Interconnection) . O componente principal desta estratgia o integrador Accumaster,
o qual permite obter uma viso global dos elementos fsicos e lgicos de rede a partir
de uma interface centralizada. A arquitetura UNMA dividida em trs nveis que
seguem as especificaes da ISO/ITU-T:
Nvel 1 - fornece uma viso global do sistema atravs de comunicaes entre os
Element Management System (EMS) e o integrador Accumaster;
Nvel 2 - composto pelos EMS, que so programas que fornecem facilidades locais de
gerenciamento assim como realizam funes que permitem gerenciar um grupo
particular de elementos de rede;
Nvel 3 - composto pelos elementos de rede (modem, multiplexadores, LANs, etc.)

9.2 - DEC - EMA


Enterprise Management Architecture (EMA) o sistema de gerenciamento da
arquitetura de rede DEC chamada DNA (Digital Network Architecture). Define como
ponto de partida a relao gerente-agente, o que a DEC denomina diretor-entidade
(Director-Entity). EMA fornece meios para o gerenciamento de redes de forma
hierrquica centralizada ou distribuda, ou outra forma qualquer de organizao entre
estas duas. Possui tambm uma implementao proprietria do protocolo CMIP
(Common Management Information Protocol) para facilitar comunicaes com outros
sistemas proprietrios.
A funo principal de EMA fornecer um gerenciamento integrado, traduzido
por uma interface usurio coerente, uma base de informaes comum e um acesso
integrado s funes de gerenciamento e s entidades gerenciadas. A EMA suporta
trs tipos de mdulos de gerenciamento: de acesso, que estabelece interface para
sistemas de gerenciamento e elementos de outros fornecedores; de funes, que
implementa as aplicaes de gerenciamento, tais como administrao de configurao
e alarmes; de apresentao, que implementa servio de interface de usurio.
A DEC elaborou seu gerente de rede de maneira flexvel, modular e extensvel
servindo de base para operao em ambientes complexos e heterogneos, criando o
que pode ser chamado de "sistema operacional de gerenciamento de redes".

87

9.3 - HP Open View


A arquitetura Network Management Architecture (NMA) do HP OpenView um
refinamento do modelo de gerenciamento OSI. A infra-estrutura de comunicao
fornece uma interface baseada no Common Management Information Service (CMIS)
e suporta vrias pilhas de protocolos. Os servios de gerenciamento como mtodos de
acesso a objetos so tratados com uma viso orientada a objeto adotado pela
arquitetura NMA. Estes objetos podem ser equipamentos fsicos ou qualquer funo
de gerenciamento no interior dos processos gerentes. A arquitetura NMA refina o
processo gerente em trs possveis componentes: a interface usurio, a aplicao de
gerenciamento e o servio de gerenciamento.

9.4 SunNet Manager (Sun Microsystems)


O SunNet Manager baseia-se no modelo Gerente-Agente, onde o gerente um
processo iniciado pelo usurio e o agente um processo que tem acesso ao objeto
gerenciado e coleta os dados de comportamento do gerente. A figura a seguir ilustra o
seu esquema de funcionamento.

Figura 19 Arquitetura em blocos do SunNet Manager

88

A aplicao de gerenciamento central no pacote SunNet Manager (lugar onde


um usurio inicia tarefas de gerenciamento e informaes de gerenciamento so
retornadas) denominada Console. Esta apresenta uma interface grfica suportada
por X-terminais, que permitem mltiplas instncias do Console executarem em uma
nica mquina ao mesmo tempo. Cada instncia do Console reconhecida pelo nome
do usurio que a invoca. O nome do usurio mostrado entre parnteses numa regio
da Console e das janelas de ferramentas do SunNet Manager. Cada instncia da
Console poder trabalhar somente com outras ferramentas que usa o mesmo nome do
usurio. A Console oferece mecanismos para iniciar pedidos de relatrios de dados e
relatrios de eventos.
Relatrios de Dados permitem direcionar Agentes para enviar relatrios de dados
brutos de gerenciamento em uma base peridica.
Relatrios de Eventos mostram como direcionar Agentes para relatar apenas
quando condies especficas so encontradas (isto , quando um evento ocorre).
No SunNet Manager, os atributos de um objeto gerenciado so descritos em
uma poro da MDB chamada o Esquema-Agente. O Agente capaz de responder
aos pedidos do Gerente porque ambos usam a mesma definio de dados para o
objeto gerenciado. Os dados da MDB e qualquer atualizao realizada usando o editor
grfico possibilita constituir uma base de dados dinmica em tempo de execuo, a
qual pode ser salva para a MDB a qualquer momento.

9.4.1 - Ferramentas
O SunNet Manager inclui vrias ferramentas que podem ser invocadas a partir
da Console:
Discover - realiza a busca de elementos de rede e automaticamente cria uma
representao grfica da rede. medida que os elementos de rede vo sendo
encontrados, eles so adicionados base de dados (run-time database).
Result Browser - permite ao usurio examinar e organizar os arquivos de log;
Result Grapher - permite visualizar relatrios de dados e informaes do arquivo
de log.
Existem dois tipos de Agentes no SunNet Manager: aqueles que tm acesso
aos objetos gerenciados e aqueles que acessam os dados indiretamente. A maioria
dos Agentes acompanha esta verso de gerenciamento de objetos a partir das Sun
Workstations onde esto instalados. O segundo tipo de Agente proporciona a
habilidade para gerenciar objetos que no so diretamente acessados. Tais Agentes
so chamados agentes proxy. Agentes proxy so executados em estaes Sun,
chamadas proxy systems, e utilizam protocolo de traduo de mecanismos
dependendo da necessidade de acesso para os objetos gerenciados. O proxy system
pode ser uma estao de trabalho na qual a console do SunNet est sendo executado
em uma outra estao na rede. Por exemplo: o PING Agente proxy tem a funo de
testar o alcance de dispositivos (IP) Internet Protocol traduzindo os pedidos do
Gerente atravs do Echo Requests Internet Control Message Protocol (ICMP).
Agentes proxy permitem ao SunNet Manager estender-se virtualmente dentro de

89

qualquer domnio. O Agente proxy Simple Network Management Protocol (SNMP)


pode gerenciar qualquer dispositivo que suporta SNMP, o protocolo de gerenciamento
padro para o mundo TCP/IP.
O Gerente e Agente comunicam-se atravs da biblioteca Servios
Gerente/Agente, a qual proporciona a infra-estrutura de gerenciamento e trata dos
servios de comunicao. Os processos Gerente e Agente usam a biblioteca Servios
atravs de Application Programming Interfaces (APIs), a qual por sua vez usa o
Remote Procedure Call/External Data Representation (RPC/XDR) capacidade do
SunOS. O Agente e o Gerente no precisam se preocupar com os nveis mais baixos
da rede envolvidos na comunicao entre eles. O processo Agente precisa preocuparse apenas com a coleta de dados do objeto gerenciado.
A tabela seguinte descreve os tipos de agentes do SunNet Manager.
Agente
Dados
diskinfo
informaes so bre o disco
etherif
estatsticas da interface Ethernet
hostif
estatsticas da interface
hostmem
utilizao do memria.
hostperf
performance do host
ippath
informaes da rota do pacote IP
iproutes
tabela e estatsticas da rota IP.
layers estatsticas da camada de protocolo.
lpstat
status da impressora.
ping
informaes da conexo IP.
rpcnfs
estatsticas RPC e NFS.
snmp
SNMP (proxy)
sync
estatsticas de sincronismo.
traffic
analisador do trfego Ethernet.
X25
informao do circuito virtual X.25
O despachante de eventos um processo que usa os Servios Gerente/Agente
para direcionar relatrios de eventos para o destino apropriado, tal como a Console do
SunNet Manager. Qualquer outra aplicao de gerenciamento pode usar o
despachante de eventos, registrando o recebimento de alguns ou todos os relatrios
de eventos baseado em uma variedade de critrios de seleo.

9.5 - Tivoli
O Tivoli uma plataforma de gerenciamento distribudo desenvolvida pela IBM.
Um sistema que gerencia os nodos e servios da rede, garantindo informaes
atualizadas e com segurana. O seu gerenciamento compreensivo de processos e
tecnologias permite a organizao identificar, medir e administrar todos aspectos de
servios oferecidos para maximizar a produtividade, a efetividade operacional, e
rentabilidade dos negcios.

90

O Tivoli trabalha com o conceito de regies de policiamento (Policy Region) ou


TMR Tivoli Management Region. Uma regio de policiamento abrange um conjunto
de recursos gerenciados, como contas de usurios, estaes de trabalho, roteadores.
Em uma rede podem ser definidas mais de uma regio de policiamento. Cada regio
possui suas prprias polticas de controle de acesso e gerenciamento.
Em uma regio de policiamento existem alguns elementos que ajudam no
gerenciamento como:
TMR server - responsvel por controlar toda regio de policiamento e define as
polticas utilizadas nessa regio;
Managed Node - trabalha como um intermedirio entre as funes do Endpoint e
do Endpoint Gateway. Executa algumas tarefas a pedido do TMR server;
Endpoint Gateway - controla as comunicaes e operaes entre os Endpoints.
Responsvel por enviar aos Endpoints mtodos que permitem aos Endpoints
realizarem as funes de gerenciamento;
Endpoint - agente que executa as operaes de gerenciamento nos recursos
finais.
A figura a seguir mostra a tela principal com os elementos do Tivoli.

Figura 20 - Tela principal do Tivoli

91

O ambiente de gerenciamento do Tivoli ou TME (Tivoli Management


Environment) dividido em vrios mdulos, os principais so:
Framework - Mdulo principal do Tivoli. Tem funes bsicas de administrao e
servios de gerenciamento. Facilita no restante das funes de gerenciamento, como
no gerenciamento de sistemas e em notificaes, e na integrao com os outros
mdulos;
User Administration - Permite o gerenciamento de grupos e contas de usurios
em vrios sistemas operacionais que fazem integrao com a plataforma como
Windows, Netware e Unix;
Distributed Monitoring - monitora o status de vrios recursos da rede como
sistemas, aplicaes e processos. Monitora recursos locais ou remotos, alm de
apresentar eventos e alarmes de rede;
Inventory - Tem as funes de manter e procurar informaes sobre o inventrio
do ambiente e sobre hardware e software; monitorar e registrar mudanas de
configurao; disponibilizar as informaes de inventrio para funes de auditoria na
empresa;
Software Distribution - permite a distribuio e instalao de software em
mquinas de uma rede heterognea;
Enterprise Console - aplicao que gerencia eventos baseados em regras.
Podem-se programar eventos a serem alarmados.
Alm desses mdulos de gerenciamento o Tivoli utiliza-se do Netview,
ferramenta tambm desenvolvida pela IBM, para o diagnstico e controle de redes de
comunicao. Seu objetivo era substituir uma gama variada de produtos similares j
existentes. O mais conhecido desses produtos o Network Communication Control
Facility (NCCF) que funciona como uma aplicao Virtual Telecommunication Access
Method (VTAM), fornecendo uma viso do estado da rede atravs de um monitor de
controle e uma base de dados. Outros produtos de controle so o Network Problem
Determination Application (NPDA), que opera na deteco de problemas e o Network
Logical Data Manager (NLDM), que gerencia dados lgicos.
O principal objetivo do NetView foi ento reunir as funcionalidades destes
produtos em um s, melhorando o desempenho e introduzindo novos conceitos no
gerenciamento de redes. Trs componentes so definidos na arquitetura do NetView:
Pontos Focais (focal points), gerentes que realizam as funes de controle integrado;
Pontos de Entrada (entry points), agentes tratados como recursos gerenciados, que
reportam seus dados de gerenciamento via SNA(System Network Protocol) aos pontos
focais; e pontos de servio (services points), destinados a prover gateways traduzindo
protocolos no padres SNA no protocolo (NMVT), o que permite a integrao de
dispositivos no-SNA ao esquema de gerenciamento NetView.

9.6 Unicenter TNG


Uma plataforma que controla todos os recursos na rede de uma organizao
desde laptops at mainframes e desde Intranet at Extranets. O Unicenter TNG
gerencia cada dispositivo, servidor, estao de trabalho, sistema operacional, banco
de dados e aplicaes que esto sendo executados na rede, proporcionando uma
92

viso nica de todos os ambientes. As funes da plataforma Unicenter TNG so


desenvolvidas em uma arquitetura multilinear e orientada a objetos. Infra-estrutura
com repositrio de objetos, escalvel e com tecnologia gerente/agente, opera em
redes heterogneas e distribudas permitindo a integrao de qualquer tipo de sistema
operacional ou servio a um gerenciamento modular, sem limitaes arbitrrias.
A tecnologia de objetos a base para todos os aspectos do CA-Unicenter TNG.
Os repositrios distribudos de objetos so utilizados por todas as suas funes de
gerenciamento, para armazenar informaes sobre os objetos gerenciados, suas
propriedades e seus relacionamentos. Essa ferramenta possui uma interface,
chamada "Interface de Mundo Real 3-D", que exibe uma situao real dos objetos e
capacita o controle e a gerncia de todos os recursos disponveis na rede. Qualquer
subsistema pode definir classes e objetos no repositrio. E todo objeto criado tambm
gerenciado pelo repositrio de objetos o qual constitui um poderoso mecanismo de
abertura para integrao entre funes de gerenciamento em todos os nveis.

Figura 21 - Arquitetura do Unicenter TNG

O Unicenter TNG baseia-se em uma arquitetura para gerenciamento em


mltiplos nveis gerente/agente. Gerentes e Agentes podem ser explorados em
qualquer configurao, dependendo da necessidade das funes de gerenciamento do
ambiente gerenciado. Os agentes so ativos e inteligentes, capazes de implementar
policiamentos e coordenar juntamente com outros agentes ativos as seguintes
funes:
Monitorar eventos e status;
Executar o gerenciamento da configurao de ambientes distribudos;
Executar o armazenamento atravs de redes heterogneas.
A funo de descobrimento automtico no detecta somente a topologia e
perifricos da rede, mas tambm os computadores, suas configuraes de hardware e
software, bancos de dados, aplicaes e usurios.

93

Captulo 10 Novos conceitos e abordagens


Como tudo evolui, gerenciamento de redes tambm est evoluindo e muitas
coisas que alguns anos atrs eram "verdades" hoje j no so mais. Pontos que eram
considerados importantes e de relevncia j no possuem a mesma importncia de
antes. Assim, antigos conceitos esto sendo revistos, e novos esto surgindo, levando
todos a reavaliar a forma que est sendo feito gerenciamento de redes hoje, e
levantando perspectivas para o futuro.
Durante os anos de vida do SNMP, surgiram vrias e vrias MIB's. Elas formam
uma coleo de dados e valores necessrios para monitorar e controlar dispositivos de
rede que foram levantados por especialistas durante todos estes anos. As MIB's e a
especificao SMI so o mais importante legado do SNMP.
Atravs da utilizao das MIB's, aprendeu-se o valor de definies claras e
concisas, formando o veculo fundamental pelo qual uma estao de gerenciamento
pode aprender sobre os dispositivos que esto sob o seu controle. Apesar desta
importncia, alguns aprimoramentos ainda podem ser feitos s definies das MIB's.
Sero apresentadas duas novas funcionalidades a seguir.

10.1 - Meta Variveis


Meta-variveis so variveis que existem apenas na definio da MIB. Cada
meta-varivel definida em funo de variveis reais da MIB. Alm de ser simples de
se fazer, no requer que nenhuma alterao seja feita nos protocolos existentes ou na
implementao dos agentes. Por exemplo, poderia existir uma meta-varivel chamada
"taxa de erro" que seria calculada utilizando como base variveis reais.
A idia bsica utilizar-se dos conhecimentos dos gerentes de rede espalhados
pelo mundo, para que estes, com a sua experincia, informem que informaes acham
relevantes para se chegar a um consenso de que meta-variveis precisariam ser
definidas. Para obter o valor destas meta-variveis, a estao de gerenciamento tem
que executar a funo ela mesma. Isto implica que esta funo deve ser expressa em
alguns procedimentos que devem ser mapeados em get's e set's. Alguns acham que
estas funes seriam mais bem expressas em forma de simples scripts.
Extenses podem ser feitas ao conceito de meta-variveis. Uma delas seria
incluir dispositivos dedicados para gerar os valores destas meta-variveis e exportlas como variveis reais SNMP atravs de uma MIB prpria deste dispositivo. Uma
outra possvel extenso deste conceito, seria os prprios agentes calcularem os
valores das meta-variveis, tornando-as assim variveis reais.

94

10.2 - Scripting MIB's


Como j foi dito anteriormente, RMON adicionou a facilidade de invocao de
uma ao atravs da utilizao de um objeto para representar um comando. Com esta
facilidade, pode-se inserir um script a um dispositivo, iniciar sua execuo, requisitar
ou esperar que lhe seja informado o resultado. Um script poderia, por exemplo,
monitorar as variveis de um dispositivo observando sinais de erro. Depois ele poderia
reportar o problema, fazer mais testes para se fazer um diagnstico, ou tomar atitudes
com o intuito de se fazer uma correo. Um script completo pode ser expresso como
uma linguagem interpretativa, onde cada linha do mesmo seria uma linha da tabela.
Assim, cada linha seria executada mediante a alterao dos objetos correspondentes.
Uma outra possibilidade seria tratar um script inteiro como uma varivel, e a sua
invocao pelo gerente se daria atravs de uma mensagem get. O agente, mediante o
recebimento desta mensagem, espera que o script termine a execuo e retorna o
resultado para o gerente, como se fosse uma varivel comum. As dificuldades para a
utilizao de scripts no esto neles mesmos ou na linguagem que eles so
implementados. As dificuldades so:
Segurana dos Scripts: esta segurana se refere aos limites que se devem impor
aos scripts, ou seja, fazer com que o mesmo faa apenas o que ele tem que fazer e
que no possa ser usado para causar danos;
Integridade dos Scripts: garantir que o script que est executando realmente
aquele que se espera;
Controle de Scripts: uma estao de gerenciamento deve estar apta a controlar a
execuo do script e at de abort-lo;
Controle de Recursos: como os scripts so programas, limites devem poder ser
impostos em termos de consumo de CPU, de memria e de outros recursos;
Recuperao de um Script: importante que uma estao possa saber da
existncia de scripts que ela criou, no caso, por exemplo, de uma reinicializao aps
uma pane;
Poder Expressivo: existe uma discusso sobre quais as aes que um script pode
invocar. H um consenso de que as primitivas a serem invocadas sejam de alto nvel:
o Ping ICMP;
o Traceroute;
o Descoberta do caminho MTU;
o Ferramentas de consultas a DNS;
o Operaes SNMP, incluindo o acesso s MIB's;
o Ferramentas de consultas s bases de dados locais de redes;
o Ferramenta ou servio que regule intervalos de tempo;
o Ferramentas para enviar mensagens aos usurios em situaes
adversas.
Migrao dos Scripts: este no um problema srio desde que a estao que
criou o script o controle, e desde que o mesmo tenha autorizao de executar em
outra mquina;

95

Debug dos Scripts: como scripts tambm so programas, eles tambm podem
apresentar problemas. Espera-se que um script seja simples o suficiente para que no
se precise de uma ferramenta de depurao.

10.3 - Gerenciamento por Delegao


A utilizao de scripts traz consigo a possibilidade de se criar um sistema onde
as tarefas de monitorao e de controle de um gerente de mais alto nvel podem ser
repassadas para subgerentes, responsveis por uma rea especfica, determinada
pela proximidade com os dispositivos gerenciados.
A idia bsica "gerenciamento por delegao", onde o gerente do nvel
superior cria um script que carregado nos gerentes de rea para execuo. Este
gerente de rea ou subgerente um dispositivo multi-threadead e pode executar
vrios scripts simultaneamente, permitindo, assim, que um nico subgerente possa ser
invocado por vrios gerentes superiores. Um dos benefcios da proximidade dos
subgerentes com os dispositivos sendo gerenciados que, com a grande banda e
presumidamente uma baixa taxa de perda e de erros de pacote, permite-se que
mensagens SNMP sejam trocadas de forma rpida e confivel.

10.4 - Vermes - Agentes Migratrios


O termo "verme" em redes de computadores foi utilizado por John Brunner para
denominar um programa que se move atravs da rede, indo de computador a
computador e com a capacidade ainda de se reproduzir. Em termos de gerenciamento
de redes, vermes so scripts que se replicam e migram. Eles, como tambm o
gerenciamento por delegao, so derivados do conceito de scripting MIB's.
Os agentes migratrios possuem uma gama de aplicaes muito vasta. Eles
podem ser utilizados para gerenciamento de configurao e de desempenho. Tambm
podem ser utilizados para o transporte de dados no disponveis no ambiente SNMP,
e para manter tais informaes confidenciais.
Podem-se utilizar tais agentes para aprimorar a deteco de falhas e a sua
correo nas aplicaes de gerenciamento SNMP. No caso, por exemplo, de um
dispositivo estar mandando notificao de um problema interno, um agente pode ser
disparado especificamente para aquele dispositivo e para aquele problema. Uma outra
utilizao bastante interessante seria a utilizao destes agentes migratrios como
agentes proxy.
Uma outra utilizao para agentes migratrios, seria a combinao deste
conceito com o de gerenciamento por delegao. Nesta proposta, os subgerentes
monitorariam os dispositivos sob sua responsabilidade atravs de agentes migratrios.
O gerente central poderia determinar que cada subgerente utilizasse um plano de
viagem distinto para se fazer o gerenciamento dos dispositivos sob seu controle.

96

10.5 - MTODOS DE ACESSO - PROTOCOLOS


Anteriormente, foi falado sobre o mito de se poder continuar a fazer
gerenciamento, no caso de uma pane, se o SNMP fosse baseado em um protocolo de
transporte no orientado a conexes.

10.5.1 - Associaes de Longa Durao


Existe uma relao bem estabelecida entre a estao gerente e os dispositivos
gerenciados. Mas, no SNMP, este relacionamento de certa forma vago e indireto.
Uma estao no mantm uma comunicao direta com o dispositivo. A medida em
que se precisa de informaes, uma comunicao estabelecida e logo depois
desfeita, tornando cada comunicao nica. Seria interessante que se tivesse uma
associao explcita entre a estao gerente e o agente, partindo-se do pressuposto
de que no vai haver apenas uma nica troca de informaes entre eles, e alm de
que, possivelmente, depois de uma troca de mensagem, uma outra ser feita.
Esta associao seria composta de informaes de segurana e outras
informaes de estado, e deveria existir, quando possvel, uma conexo de transporte
aberta entre o gerente e o agente. Esta abordagem simplifica muito as questes
relacionadas com segurana, j que a autenticao e a privacidade seriam
estabelecidas com o incio da associao e s seria necessrio uma outra troca de
informaes de segurana em pontos importantes da associao.
Uma outra vantagem desta abordagem seria uma grande melhoria de
desempenho na transmisso de grandes quantidades de dados. Como tambm j foi
apresentado, o SNMP poderia utilizar o TCP como protocolo de transporte, j que as
razes apresentadas no incio para a utilizao de UDP no so mais to vantajosas.

10.5.2 - Uso de HTTP como Mtodo de Acesso


Na Internet est-se fazendo com grande sucesso uma enorme carga de
transaes www http, que baseado em conexes TCP. Na rea de gerenciamento
de rede, tambm est crescendo, cada vez mais, a utilizao de Web. Muitas
empresas esto utilizando sites internos para exibir o status da rede e informaes de
desempenho. Tendo este tipo de abordagem menor custo e provendo mais fcil
acesso s informaes do que as plataformas de gerenciamento de redes usadas at
ento.
A utilizao do HTTP como protocolo de comunicao para gerenciamento traz
grandes vantagens. Em primeiro lugar no seria mais necessrio software
especializado de gerenciamento para monitorar e configurar um dispositivo. Em
segundo lugar, poderiam se utilizar conexes do HTTP com maior eficincia no
transporte de grande quantidade de dados. Em terceiro lugar, problemas de verses
que ocorrem quando um antigo agente ou gerente no mais suportam o novo seriam
diminudos. Outra grande vantagem a independncia de plataforma e de localizao

97

da aplicao. E, finalmente, a integrao com documentao on-line, que pode ser


facilmente produzida.
Como desvantagem temos que uma conexo TCP para se trazer apenas uma
varivel no vale a pena. Outra questo o problema da padronizao das
informaes que devem ser exportadas pelos agentes. O problema que a carga de
como mostrar as informaes ficaria com o agente. Mas, isto seria um problema
apenas para dispositivos mais simples.
Um outro problema apontado que a utilizao do TCP para grandes
transportes de dados no traz tantos ganhos em comparao com a mensagem getbulk.

10.6 - APLICAES DE GERENCIAMENTO


Os padres SNMP vm sendo utilizados com muito sucesso j h algum tempo
devido a sua grande capacidade de se adequar a aplicaes especficas de
dispositivos, bastando para isto o fabricante construir uma MIB e um agente que saiba
tratar os dados representados nesta MIB. Apesar do SNMP em si ser relativamente
"simples", h um certo trabalho para dar suporte a uma MIB no agente. H ainda mais
trabalho para construir o suporte de gerenciamento para utilizar os dados da MIB, e
ainda um pouco mais quando se fala em desenvolver o gerenciamento nas vrias
plataformas existentes para gerenciamento de redes.
Alguns dispositivos hoje podem ser comparados s estaes de gerenciamento
de alguns anos atrs em termos de capacidade de processamento. Alm disso, o
emprego de um servidor HTTP/HTML no to mais complexo e no utiliza muito
mais memria que um agente SNMP. Com isso, o fabricante de dispositivos pode
vender um produto mais completo em termos de gerenciamento. Seu produto inclui
suas prprias funes de gerenciamento e no depende de nada, exceto de um
browser WWW para fazer o gerenciamento. E, no que diz respeito s funes de
gerenciamento, o fabricante pode controlar tudo em relao ao dispositivo e seu
gerenciamento, indo desde a operao at a sua GUI.

98

Captulo 11 Gerncia Integrada de Redes e Servios


As redes de telecomunicaes podem ser vistas, independente do tipo e dos
equipamentos utilizados, como dividida em trs nveis principais: aplicao, servio e
arquitetura.
Camada de aplicao - aquela empregada diretamente pelo usurio final;
Camada de servio - deve ser projetada pelo provedor de rede para suportar
todas as aplicaes do usurio;
Camada de arquitetura - prov as solues de engenharia que devem prover o
transporte de qualquer tipo de servio vendido pela operadora ao usurio. O servio
normalmente designado como a facilidade que o provedor vende a seus clientes e
tipicamente suporta vrias aplicaes.
A necessidade de qualidade, a diversificao e a complexidade cada vez maior
destes servios implica em uma necessidade to vital quanto o prprio servio: a sua
gerncia.
Dentro deste conceito de gerenciamento de redes de telecomunicaes,
comearam a surgir alguns sistemas de superviso especficos para cada situao
(por exemplo, gerenciamento de falhas, de trfego) e para cada fabricante, ou seja, os
chamados sistemas de gerncia proprietrios. Podemos ter os equipamentos como
sendo vrias centrais telefnicas de fabricantes distintos, cada uma com seu prprio
sistema de gerncia. As centrais so interligadas entre si, mas os sistemas de
gerncia so isolados. Este tipo de sistema possui alguns problemas, como:
A impossibilidade de interconexo entre sistemas de diferentes fabricantes devido
ao uso de interfaces no padronizadas;
Multiplicidade de sistemas: para cada novo tipo de equipamento/fabricante
necessrio um novo sistema de superviso especfico;
Multiplicidade de terminais e formas de operao: cada sistema tem seus prprios
terminais e linguagem de comunicao homem-mquina;
Multiplicidade de base de dados: cada sistema tem a sua prpria base de dados
local, sendo necessrio atualizar cada sistema isoladamente, o que acaba resultando
em duplicidades e inconsistncias.
Estes fatores acarretam em uma falta de integrao entre processos que
impossibilita, por exemplo:
1. Obteno de uma viso global do estado da rede e dos servios;
2. Integrao de forma automatizada das atividades operacionais;
3. Difuso de informaes dos estados de circuitos e servios de uma forma ampla;
4. Flexibilidade de roteamento na rede;
5. Operao e manuteno eficientes.
Como conseqncia disto, temos elevao do ndice de falhas no detectadas,
congestionamento na rede, falta de flexibilidade no roteamento, indicao mltipla da
mesma falha, dados insuficientes para planejamento e deficincia de operao e
manuteno, que acarretam em perda de ligaes e de receitas, insatisfao do
usurio e desperdcio pelo aumento dos custos operacionais e investimentos extras.

99

Baseado nestes fatores tem-se procurado uma soluo para o problema da falta
de integrao entre os sistemas, que possibilite a Gerncia Integrada de Redes e
Servios (GIRS).

11.1 - Conceito de GIRS


Define-se GIRS como o conjunto de aes realizadas visando obter a mxima
produtividade da planta e dos recursos disponveis, integrando de forma organizada as
funes de operao, manuteno, administrao e aprovisionamento (OAM&P) para
todos os elementos, rede e servios de telecomunicaes. A gerncia deve ser
integrada no sentido de:
Ser nica para equipamentos semelhantes de fabricantes distintos;
Ser feita de maneira consistente pelos vrios sistemas;
Ser feita desde o nvel de servio at o nvel dos equipamentos;
Um operador ter acesso a todos os recursos pertinentes ao seu trabalho,
independentemente do sistema de suporte operao onde estes recursos esto
disponveis ou da sua localizao geogrfica;
Os sistemas se "falarem" de modo que as informaes fluam de maneira
automtica.
Para se atingir este objetivo, necessrio, ento:
Processos operacionais com fluxo contnuo;
Facilidades de reconfigurao em tempo real;
Dados em tempo real agilizando a manuteno;
Deteco da causa raiz das falhas;
Terminal de operao universal com apresentao padro;
Eliminao da multiplicidade de sistemas de superviso;
Dados de configurao confiveis.

11.2 - Requisitos bsicos de gerncia


Para se chegar integrao das funes de gerncia necessrio cumprir
alguns itens bsicos:
Elaborao de um modelo conceitual de operao, administrao, manuteno e
aprovisionamento baseado nos objetivos e estratgias da empresa;
Padronizao dos modelos de informaes de elementos de rede e servios de
telecomunicaes;
Padronizao das interfaces homem-mquina;
Automao de tarefas visando eficincia;
Flexibilidade de arquitetura;
Ambiente aberto, permitindo interconectividade e interoperabilidade;
Alta confiabilidade e segurana.

100

11.3 - Objetivos Bsicos


Integrando as funes de todas as camadas funcionais, podemos atingir alguns
objetivos gerenciais, como:
Minimizar o tempo de reao a eventos da rede;
Minimizar a carga causada pelo trfego de informaes de gerenciamento;
Permitir disperso geogrfica do controle sobre os aspectos de operao da rede;
Prover mecanismos de isolao para minimizar riscos de segurana;
Prover mecanismos de isolao para localizar e conter falhas na rede;
Melhorar o servio de assistncia e interao com os usurios.

101

Referncias Bibliogrficas
[Bierman e Iddon 1996] Bierman, A., e Iddon, R., Remote Network Monitoring MIB
Protocol Identifiers, Internet Draft, Janeiro de 1996.
[Bruins 1996] Bruins, B. Some Experiences with Emerging Management Technologies.
The Simple Times, Volume 4, n3, Julho de 1996.
[Burns e Quinn 1996] Burns, R. e Quinn M. The Cyber Agent Framework. The Simple
Times, Volume 4, n3, Julho de 1996.
[Case et al. 1990] Case, J. D., Fedor, M. S., Schoffstall, M. L., and Davin, C. Simple
Network Management (SNMP), RFC 1157, Maio 1990.
[Case et al. 1993] Case, J. D., McCloghrie, K., Rose, M. T., and Waldbusser, S. An
Introduction to Version 2 of the Internet-Standard Network Management Framework,
RFC 1441, Abril de 1993.
[Goldszmidt e Yemini 1993] Goldszmidt, G. e Yemini, Y. Evaluating Management
Decisions via Delegation. Columbia University, Estados Unidos, Abril de 1993.
[Goldszmidt e Yemini 1995] Goldszmidt, G. e Yemini, Y. Distributed Managemente by
Delegation. Ph.D Tese. Columbia University, Estados Unidos, Junho 1995.
[Goldszmidt 1996] Goldszmidt, G. Distributed Managemente by Delegation. Ph.D Tese.
Columbia University, Estados Unidos, Abril 1996.
[Hunt 1992] Hunt, Craig. TCP/IP Network Administration. OReilly & Associates, Inc.,
1992.
[ISO 1991] Information Technology Open Systems Interconection. Common
Management Information Protocol Specification. Technical Report IS 9596,
International Organization for Standardization, Maio 1991.
[McGloghie and Rose 1991] McCloghrie, K., Rose, M. T. Management Information
Base for Network Management of TCP/IP-based Internets: MIB-II, RFC 1213 Maro
1991.
[Meira 1996] Meira, S. R. L. Novos Paradigmas de Programao na Internet. , 1996.
[Mullaney 1996] Mullaney, P. Overview of a Web-based Agent. The Simple Times,
Volume 4, n3, Julho de 1996.
[Rose and McGloghie 1990] Rose, M. T., McCloghrie, K. Structure and Identification of
Management Information for TCP/IP-based Internets, RFC 1155, Maio de 1990.
[Stallings 1993] Stallings, William. SNMP, SNMPv2, and CMIP - The Practical Guide to
Network-Management Standards. Addison Wesley, 1993
[Stallings 1996] Stallings, William. RMON2 The Next Generation of Remote Netork
Monitoring. Connexions, vol 10, n5, pg. 34-40, Maio de 1996.
[Stevens 1994]. Stevens, W. R. TCP/IP Illustrated, Volume 1 - The Protocols. Addison
Wesley. 1994.
[Stevenson] Stevenson, D. W. Network Management - What it is and what it isnt.
[Tepedino 1996] Tepedino, J. F. HTTP: Hypertext Transfer Protocol. 1996.
[Ucha 1995] Ucha, R. C. Suporte para Monitoramento e Controle de Carga em
Ambientes Distribudos. Dissertao de Mestrado. Departamento de Informtica PUCRIO. Rio de Janeiro. 1995.
[Waldbusser 1991] Waldbusser, S., Remote Network Monitoring Management
Information Base, RFC 1271, Novembro de 1991.

102

[Waldbusser 1993] Waldbusser, S., Token Ring Extensions to the Remote Network
Monitoring MIB, RFC 1513, Setembro de 1993.
[Waldbusser 1995] Waldbusser, S., Remote Network Monitoring Management
Information Base, RFC 1757, Fevereiro de 1995.
[Waldbusser 1996] Waldbusser, S., Remote Network Monitoring MIB Version 2,
Internet Draft, Janeiro de 1996.
[Wellens e Auerbach 1996] Wellens, C. e Auerbach, K. Towards Useful Management.
The Simple Times, Volume 4, n3, Julho de 1996.
LAN - Uma introduo completa a Redes Locais - pelos redatores da Lan Magazine.
Rio de Janeiro, RNP, 1994.
Neuman, J. Oliveira, A.; Curso Avanado sobre Gerenciamento de Redes. LAR Laboratrio Multiinstitucional de Redes e Sistemas Distribudos - ETFCE - UFC UECE. 1995.
Menezes, E.; Gerenciamento de Redes: Estudos de Protocolos. Workshop de
Administrao e Integrao de Sistemas. Departamento de Informtica.
Universidade Federal de Pernambuco. Setembro de 1998.
Gerenciamento de Redes - Uma abordagem de Sistemas Abertos. Makron Books do
Brasil, 1993
Sun Microsystems Business-Sun Connect, SunNet Manager 1.1 - Installation and
Users Guide. 1991, p. 1-6.
AT&T Telecomunications Web Page. URL: http://www.att.nl/
HP Openview Web Page.URL: http://www.openview.hp.com/
STALLINGS, W.; SNMP, SNMPv2 and CMIP The Practical Guide to NetworkManagement Standards; Addison Wesley; 1993.
Tutorial sobre SNMP UFRGS - URL:
http://penta.ufrgs.br/gr952/trab1/snmp_snmp.html
Gerenciamento de Redes: Conceitos Bsicos sobre os Protocolos SNMP e CMIP URL: http://www.gta.ufrj.br/~alexszt/ger/snmpcmip.html
Intellinet technologies
URL: http://www.intellinet-tech.com/glossary/cmip.html
Definies de Gerncia de Redes
URL: http://penta.ufrgs.br/~guga/gerencia/definicoes.html
Network Management
URL: http://netman.cit.buffalo.edu/Doc/DStevenson/
Network Management for the 90s
URL: http://www.sce.carleton.ca/netmanage/NMfor90s/SimpleNM.html
Yacc labs ltd - Network management
URL: http://www.yacc.co.uk/netman/netman.html
Simple Network management protocol - SNMP URL:
http://penta.ufrgs.br/gr952/trab1/snmp_snmp.html
Roxen Community: RFC 1098 A Simple Network Management Protocol SNMP - URL:
http://www.roxen.com/rfc/rfc1098.html
Remote Monitoring (RMON)
http://www.geocities.com/SiliconValley/Vista/5635/cap5.html
___, TCP/IP Tutorial and Technical Overview, International Technical Support Center
___, NetView 6000 Programmers Guide, IBM
___, NetView 6000 Reference Guide, IBM
103

BRISA, Gerenciamento de Redes - Uma abordagem de Sistemas Abertos, Makron


Books, 1992
Carrilho, J. A, Madeira, E. R. M., Gerncia por Domnios, 12 Simpsio Brasileiro de
Redes de Computadores, Anais vol. II, Curitiba, maio de 1994
Case, J., Fedor, M., Schoffstalll, M. e Davin, J., A Simple Network Management
Protocol (SNMP) (RFC 1157), ,aio de 1009
Commer D. C. , Stevens, D. L., Internetworking with TCP/IP - Design Implementation
and Internals, Volume II, , Prentice Hall Segunda Edio, USA, 1992
Commer, D. C., Internetworking with TCP/IP - Principles, Protocol and Architecture,
Volume I, Prentice Hall Segunda Edio, USA, 1991
Leuca, J. E, Estphall, C, B, Specialski, E. S., Uma Arquitetura de Segurana para
Gerncia de Redes, 12 Simpsio Brasileiro de Redes de Computadores, Anais vol II,
Curitiba, maio de 1994
McCloghrie, K. e Rose, M. T., Management Information Base for Networkk
Management of TCP/IP based Internets (RFC 1156), maio de 1990.
Moutinho, C. M, Stanton. M. A, Aplicaes de Gerenciamento de Redes Inteligentes
12 Simpsio Brasileiro de Redes de Computadores, Anais vol I, Curitiba, maio de
1994
Rocha, M. A, Westphall, C. B Gerncia de Redes de Computadores atravs de novos
Agentes, 12 Simpsio Brasileiro de Redes de Computadores, Anais vol II, Curitiba,
maio de 1994
Stalllings, W., Data and Computer Communications, Macmillan Publishing Co.,
Segunda Edio, USA, 1998.
Tanembaum, A. S., Modern Operationg Systems, Prentice-Hall Inc., USA, 1992.
Weissheimer, C. G, Tarouco L. M. R, Distribuio da Gerncia na Rede, 12
Simpsio Brasileiro de Redes de Computadores, Anais vol I, Curitiba, maio de 1994

104