Unidad 3

ANLISIS Y MONITOREO

SNMP

SNMP
SIMPLE NETWORK MANAGEMENT
PROTOCOL

SNMP

SNMP
SNMP es un protocolo de nivel de aplicacin para consulta
a los diferentes elementos que forma una red, (routers,
switches, hubs, hosts, modems, impresoras, etc).
Cada equipo conectado a la red ejecuta unos procesos
(agentes), para que se pueda realizar una administracin
tanto remota como local de la red. Dichos procesos van
actualizando variables (manteniendo histricos) en una
base de datos, que pueden ser consultadas remotamente.
Por ejemplo, en el caso de:
- un router: interfaces activos, la velocidad de sus enlaces serie,
nmero de errores, bytes emitidos, bytes recibidos, ...
- en una impresora: que se termin el papel, ...
- en un modem: la prdida de conexin, etc
- en un switch: bocas conectadas, desconectar un boca en el caso de
IPs duplicadas, si la mquina est infectada de virus, etc

SNMP

SNMP: arquitectura
4 componentes principales:

estacin (o consola) de administracin

agente de administracin
base de informacin de administracin
protocolo de administracin

SNMP facilita la comunicacin entre la estacin

administradora y el agente de un dispositivo de
red (o nodo administrado), permitiendo que los
agentes transmitan datos estadsticos (variables)
a travs de la red a la estacin de administracin.
SNMP

Agentes SNMP

SNMP

Componentes de la arquitectura
SNMP

SNMP

SNMP: funcionamiento
La forma normal de uso del SNMP es el sondeo (o
pooling):
1.- Pregunta: que la estacin administradora enve una
solicitud a un agente (proceso que atiende peticin SNMP)
pidindole informacin o mandndole actualizar su
estado de cierta manera. Este mtodo se conoce como
sondeo.
2.- Respuesta: la informacin recibida del agente es la
respuesta o la confirmacin a la accin solicitada.
Problema del sondeo: se incrementa con los nodos
administrados y en ocasiones puede llegar a perjudicar
el rendimiento de la red.
Mtodo Interrupcin (trap): Es mejor que un agente
pueda mandar la informacin al nodo administrador
puntualmente, ante una situacin predeterminada, por
ejemplo una anomala detectada en la red
SNMP

SNMP: protocolos
SNMP es independiente del protocolo (IPX de
SPX/IPX de Novell, IP con UDP)
SNMP se puede implementar usando
comunicaciones UDP o TCP, pero por norma
general, se suelen usar comunicaciones UDP en la
mayora de los casos. Con UDP, el protocolo SNMP
se implementa utilizando los puertos 161 y 162.
puerto 161 se utiliza para las transmisiones
normales de comando SNMP
puerto 162 se utiliza para los mensajes de tipo
trap o interrupcin.

SNMP

Pila de protocolos en SNMP para

TCP/IP

FTP

SNMP

NFS

ASN1
HTTP

SMTP

RPC

XDR

DNS

Telnet

TCP

RPC

UDP

IP

PROTOCOLOS de ACCESO al MEDIO

Formato de representacin de la informacin: Abstract

Syntax Notation.1 (ASN1) que define la sintaxis especfica
para el intercambio de informacin
SNMP

Elementos de la arquitectura SNMP

-Nodos administrados que ejecutan agentes SNMP y
estacin administradora o consola de administracin
- mantienen una base de datos MIB con formato SMI

-Estructura e identificacin de la informacin sobre la

administracin (Structrure of Management Information
SMI) : Una especificacin que permite definir las
entradas en una MIB.
-Base de informacin de la administracin (MIB) : Una
base de datos relacional (organizada por objetos o
variables y sus atributos o valores) que contiene
informacin del estado y es actualizada por los agentes.
Un subconjunto es el MIB-2. Informacin comn soportado por
todos los dispositivos

-SNMP: El mtodo de comunicacin entre los

dispositivos administrados y los servidores.
SNMP

10

SMI: Structure of Management

Information
SMI presenta una estructura en forma de rbol
global para la informacin de administracin,
convenciones, sintaxis y las reglas para la
construccin de MIBs.
La MIB est organizada en niveles, que a su vez
lo hace en mdulos que contienen grupos de
variables interrelacin
Nota: la estructura SMI guarda similitud con el DNS y sus
zonas de autoridad, o variables definidas por cada
fabricante.

Ejemplo de GRUPOS de variables en MIB-2 en la

SMI: System (identifica el hw y sw), AT
SNMPdireccin de Ethernet a IP),
11
(traduccin de
IP

Ejemplo de SMI para acceder a

Mib_2.Interfaces
NIVEL 1

NIVEL 2

ccitt (0)

iso (1)

Standard (0)

NIVEL 3

... (0)

NIVEL 4

... (0)

NIVEL 5

Directory (1)

NIVEL 6

... (0)

NIVEL 7

System (1)
SNMP

itu (2)

Joing-iso-ccitt (3)

Registration -auth (1) Member-body (2)

DoD (6)

...
Internet (1)
Mgmt (2)

...

Experimental (3)

Mib_2 (1)
Interfaces (2)

Org (3)

private (4)

...
Addr-translation (3)

...
12

...

Subarboles de la MIB-2

SNMP

13

Ejemplo de codificacin de objetos segn

SMI
iso.org.dod.internet.mgmt.mib_2.interfaces.iftable.ifE
ntry.variable.puerto

O su equivalente .1.3.6.1.2.1.2.2.1.variable.puerto

Este formato para la representacin de variables

puede ser expresadas tanto en ASCII como
nmeros separados por puntos, en una notacin
intermedia entre ASCII y ASN1 conocida como
OID (Object Identifier) o descriptor.
En esta notacin inicialmente se identifica el
organismo de estandarizacin, ISO y dentro de
ste est ORG y dentro DOD (Departamanet of
Defense), donde la primera rama del rbol desde
DOD es Internet.
SNMP
14
As sucesivamente
hasta especificar la variable
(u

Consola (o estacin) de administracin

SNMP es un protocolo de capa de aplicacin
diseado para comunicar datos entre la consola
de administracin y el agente de administracin.
Los comandos bsicos que ejecuta son:
OBTENER (GET), que implica que la consola de
administracin recupera datos del agente
COLOCAR (PUT), que implica que la consola de
administracin establece los valores de los
objetos en el agente
CAPTURAR (TRAP), que implica que el agente
notifica a la consola de administracin acerca de
los sucesos deSNMP
importancia por interrupcin
15

Ejemplo funcionamiento protocolo

SNMP

GET

RED
INTERNA

MIB

?
?

MIB

SNMP

16

Ejemplo funcionamiento protocolo

SNMP
!!
RED
INTERNA

TRAP

SNMP

17

Obtencin de informacin
MIB

NODO
ADMINISTRADO

ESTACIN
ADMINISTRADORA

UDP 161

UDP 161
AGENTE

Consulta/Solicitud de variable:
Software:
NetFlow
CiscoWorks
HP OpenView

SNMP

GET REQUEST
GET NEXT REQUEST
GET NEXT BULK (SNMP v.2)

Respuesta a solicitud:
GET RESPONSE

18

Modificacin de
informacin
NODO
ADMINISTRADO

ESTACIN
ADMINISTRADORA

UDP 161

MIB

UDP 161

AGENTE

Software:
NetFlow
CiscoWorks
HP OpenView

Modificacin de valor de
variable:
SET REQUEST
SET NEXT REQUEST

EJEMPLO: Se puede usar para resetear

el valor de los contadores, como el nmero
de paquetes procesados.

SNMP

19

Generacin de
interrupciones
MIB

NODO
ADMINISTRADO

ESTACIN
ADMINISTRADORA

UDP 162

AGENTE

Software:
NetFlow
CiscoWorks
HP OpenView

Un Agente informa de un evento:

TRAP

EJEMPLO: El Agente de un router

informa de que un enlace ha cado.

SNMP

20

PRIMITIVAS
El SNMP define ocho mensajes que pueden enviarse:
1.

GET REQUEST

2.

GET NEXT REQUEST

3.

GET BULK REQUEST (en SNMP v2)

4.

SET REQUEST

5.

SET NEXT REQUEST

6.

GET RESPONSE

7.

TRAP

8.

INFORM REQUEST (en SNMP v2)

La implementacin de cada uno de estos mensajes

lo tenemos en Linux a travs de las siguientes
funciones: snmpget, snmpgetnext, snmpgetbulk
y snmpset.
SNMP

21

Monitorizacin
inteligente
Ejemplo 1:
Mediante SNMP, un router puede reportar un incremento de
la carga cada 10 %.
Si utiliza un sondeo dirigido por interrupcin y se conoce la
carga del sondeo regular, puede dar instrucciones al router
para enviar una interrupcin cuando se experimente un
incremento significativo en la carga,10%
Despus de recibir un mensaje de interrupcin, el servidor
puede seguir sondeando al dispositivo para mayores detalles.
Ejemplo 2:
Otro caso de configuracin, cuando el router de salida con
acceso a Rediris tiene trfico de salida superior a 34 Mbps, que
mande al administrador de la red notificacin o alerta
SNMP

22

Problema: SNMP y
congestin
La monitorizacin se realiza por la propia red,
por tanto si la red est congestionada, puede
conllevar ms problemas.
Si existe una fallo general en cualquier parte de
la red (p.ej fallo de la corriente elctrica),
cada dispositivo administrado por SNMP tratar
de enviar al mismo tiempo, mensajes
controlados por interrupcin hacia el servidor,
para reportar el problema. Esto puede
congestionar la red y producir una informacin
errnea en el servidor.

SNMP

23

SNMP: Versin 2 y 3
Versin 2:
De SNMPv1, para reducir la carga de trfico adicional para la monitorizacin
(con los GetBulk e Informs) y solucionar los problemas de monitorizacin
remota o distribuida (con las RMON), ha dado paso a una nueva versin v2 en
1993.
Las versiones de SNMP son compatibles, en el sentido que SNMPv2 puede leer
SNMPv1.
Versin 3:
SNMPv1 utiliza como mecanismo de autenticacin (validacin) un parmetro
llamado comunidad, de forma que si agente y estacin administradora lo
conocen, pueden interactuar. Pero esta proteccin es muy debil porque el
texto va en claro y adems puede explotarse en fuerza bruta. Por tanto, para
evitar la falta de seguridad en las transmisiones (con cifrado y autenticacin),
se ha creado una capa o parche complemento a SNMPv1 y v2 llamado versin
v3, que aade a los mensajes SNMP (v1 y v2) una cabecera adicional.
Si no se dispone de seguridad suficiente, con carcter general es aconsejable
deshabilitar la ejecucin de comandos SET por temas seguridad.
SNMP

24

segmentos.
Comentario a la monitorizacin
SNMP gestiona dispositivos individuales,
pero no permite diagnosticar fallos en un
red remota u otro segmento de red.
Para ello, el software de monitorizacin
debe trasladarse a cada segmento de
red.
Esto se puede resolver mediante el uso de
agentes en los segmentos remotos de red,
utilizando equipos especiales o bien
ordenadores de propsito general,
llamados sondas RMON (Remote
25
MONitor) SNMP

RMON Remote Monitor

Una de las mejoras principales de SNMP se denomina Monitoreo
Remoto (RMON).
Las extensiones de RMON a SNMP brindan la capacidad para
observar la red como un todo, aunque est distribuida, en
contraste con el anlisis de dispositivos individuales, declarndose para
ello una MIB especial para guardar informacin de monitorizacin de un
segmento de red diferente. La MIB asociada es 1.3.6.1.2.1.16
Las sondas RMON recopilan informacin y tiene la misma funcin que un
agente SNMP, transmitiendo la informacin peridicamente. Adems,
pueden procesar la informacin a enviar a la estacin de administrador.
La RMON est localizada en cada segmento de red y pueden
introducirse en un host, en un switch, en un router o en un dispositivo
especfico para ello. Adems, permite aadir redundancia a la
administracin de la red, ya que RMON permite volcar los datos a varias
consolas de administracin.
La RMON1 trabaja en informacin de capa 1 y 2.
La RMON2 trabaja en informacin de capa 3 y superiores.

SNMP

26

SNMP

27

Funcionamiento de
RMON
SONDAS
RED
INTERNA

Inform Request
Response

Gestor
RMON

Gestor
RMON
central

SNMP

28

Ejemplo de consulta SNMP (snmpget)

(1/2)
snmpget dominio comunidad OID
donde dominio es la direccin IP de la mquina a conectar,
comunidad (que por defecto tiene dos nombres: pblica o
privada) y en una notacin intermedia entre ASCII y ASN1,
especificamos el OID (Object Identifier).
Por ejemplo:
snmpget
147.156.1.1
iso.org.dod.internet.mgmt.mib_2.ip.ipDefaultTTL

SNMP

public

29

Ejemplo de consulta SNMP (snmpget) (2/2):

clculo de la utilizacin de la interface de un
router

La utilizacin de un interface se define como:

(numero de bits procesados en T)/((T)*velocidad)

es decir los bits mandados, frente a los bits que

hubiese podido mandar si la utilizacin hubiese sido
de 1 en un tiempo T.
Las variables a procesar son ifInOctets, ifOutOctets y
ifSpeed, sobre el puerto correspondiente del router.

snmpget IP_router public ifInOctects.1 ifOutOctects.1

SNMP

30

MRTG: Multi Router Traffic Grapher (1/2)

Multi Router Traffic Grapher (MRTG) es
una herramienta para monitorizacin de
trfico en las redes y sus enlaces tanto
internos como externos.
MRTG genera pginas HTML con
imgenes PNG, que ofrecen una visin en
tiempo real del trfico.
MRTG est escrito en el Perl y C y trabaja
bajo UNIX y el NT.
SNMP

31

MRTG: Multi Router Traffic Grapher (2/2)

MRTG es un script en Perl que utiliza SNMP para
leer cualquiera de los atributos de los objetos
(contadores) de los routers y un programa
rpido en C que procesa la informacin para
visualizarla grficamente en tiempo real.
Adems, MRTG guarda la informacin por
semanas, meses y aos, monitorizacin hasta
200 enlaces.
MRTG se utiliza generalmente para monitorizar la
carga del sistema, sesiones establecidas, trfico,
errores, etc

SNMP

32

EJEMPLO DE MRTG: Esta pgina muestra el numero de lneas ocupadas en el servidor de acceso telefnico de la
Universitat: annexy. Annexy dispone de un primario RDSI (30B+D), con 30 lneas disponibles para conexiones va
modem Las estadsticas se ejecuten cada 5 minutos.

Numero de lineas ocupadas de servidores annexy

Sistema:

annexy.uv.es

Mximo esperado:

30

`Yearly' Graph (1 Day Average)

BLUE ###

VIOLET###

Lneas ocupadas en annexy

Mximo de lneas ocupadas en annexy

SNMP

33

Instalacin de MRTG
MRTG es de libre distribucin y debe ser utilizado bajo los
trminos de GNU General Public License.
Para la descarga de la aplicacin:

http://www.mrtg.org/

SNMP

34

Aplicacin SNMP:
Netflow
Network Planning
Sonda RMON

NetFlow
Accounting:

Conmutacin
Exportacin
Agragacin

Accounting/Billing

NetFlow
FlowCollector:

Recoleccin de datos
Filtrado
Agregacin
Almacenamiento de
datos
SNMP

Network Data
Analyzer:

Presentacin de los datos

NFC Control y Configuracin
35

Aplicacin SNMP: CiscoWorks

2000
Permiten ver la configuracin
Muestran la topologa de la red
Facilita la obtencin de reports
Permite actualizar IOS y
descubrir nuevas versiones.

Extensiones:

Cisco View.
PIX Management.
IDS Management.
Router Management.
Security Monitor Center
Wireless LAN solution
Engine
SNMP

36

Aplicacin SNMP: otros

SNMP

37

Monitores Hardware
Solucin disponible en
Cisco Catalyst 6500 y
Catalyst 6000 series
Monitorizacin en tiempo
real del trfico de forma
intensiva

SNMP

38

RFCs
RFC 1155 (SNMPv1 y SMI) y RFC
1157: SNMPv1
RFC 1902 (SNMPv2 y SMI), RFC 1441
HASTA RFC 1452: SNMP VERSION 2
RMON1: RFC1271
RMON2: RFC2021, 2034
RFC 2570-2576: SNMPv3

SNMP

39