190 likes | 292 Views
Management Information Base ΙΙ, MIB-ΙΙ. Η δομή των πληροφοριών διαχείρισης. Ορισμός αντικειμένων διαχείρισης (RFC 1212) OBJECT-TYPE MACRO ::= BEGIN TYPE NOTATION ::= "SYNTAX" type(ObjectSyntax) "ACCESS" Access
E N D
Η δομή των πληροφοριών διαχείρισης • Ορισμός αντικειμένων διαχείρισης (RFC 1212) OBJECT-TYPE MACRO ::= BEGIN TYPE NOTATION ::= "SYNTAX" type(ObjectSyntax) "ACCESS" Access "STATUS" Status DescrPart ReferPart IndexPart DefValPart VALUE NOTATION ::= value (VALUE ObjectName) Access ::= "read-only"|"read-write"|"write-only"|"not-accessible" Status ::= "mandatory"|"optional"| "obsolete"| "deprecated" DescrPart::= DESCRIPTION" value (description DisplayString)| empty ReferPart::= "REFERENCE" value (reference DisplayString)| empty IndexPart ::= "INDEX" "{" IndexTypes "}” | empty IndexTypes ::= IndexType | IndexTypes "," IndexType IndexType ::= value (indexobject ObjectName)| type (indextype) DefValPart ::= "DEFVAL" "{" value (defvalue ObjectSyntax) "}" | empty END IndexSyntax::=CHOICE{number INTEGER (0..MAX),string OCTET STRING, object OBJECT IDENTIFIER, address NetworkAddress,ipAddress IpAddress }
Management Information Base ΙΙ, MIB-ΙΙ • Τύποι αντικειμένων διαχείρισης • βαθμωτά αντικείμενα (scalar objects): σε κάθε χρονική στιγμή έχουν μία μόνο τιμή (π.χ. το όνομα, ο αριθμός των διεπαφών ενός κόμβου) • πίνακες αντικειμένων (table objects): δισδιάστατοι πίνακες αντικειμένων (π.χ. ο πίνακας δρομολόγησης, ο πίνακας των συνδέσεων του πρωτοκόλλου TCP) • Τα group αντικειμένων
Management Information Base ΙΙ, MIB-ΙΙ • Παράδειγμα ορισμού πίνακα (1/2) tcpConnTable OBJECT-TYPE SYNTAX SEQUENCE OF TcpConnEntry ACCESS not-accessible STATUS mandatory DESCRIPTION "A table containing TCP connection-specific information." ::= { tcp 13 } tcpConnEntry OBJECT-TYPE SYNTAX TcpConnEntry ACCESS not-accessible STATUS mandatory DESCRIPTION "Information about a particular current TCP connection. An object of this type is transient, in that it ceases to exist when (or soon after)the connection makes the transition to the CLOSED state." INDEX { tcpConnLocalAddress, tcpConnLocalPort, tcpConnRemAddress, tcpConnRemPort } ::= { tcpConnTable 1 }
Management Information Base ΙΙ, MIB-ΙΙ • Παράδειγμα ορισμού πίνακα (2/2) TcpConnEntry ::= SEQUENCE { tcpConnState ΙNTEGER, tcpConnLocalAddress ΙpAddress, tcpConnLocalPort INTEGER (0..65535), tcpConnRemAddress IpAddress, tcpConnRemPort INTEGER (0..65535) }
Τα group αντικειμένων της ΜΙΒ-ΙΙ • system: γενικές πληροφορίες για το σύστημα • interfaces: πληροφορίες σε σχέση με τα χαρακτηριστικά και την κίνηση κάθε δικτυακής διεπαφής • at: πίνακας αντιστοίχησης διευθύνσεων IP με φυσικές διευθύνσεις • ip: πληροφορίες για την υλοποίηση και τη λειτουργία του πρωτοκόλλου IP • tcp: πληροφορίες για την υλοποίηση και τη λειτουργία του πρωτοκόλλου TCP • udp: πληροφορίες για την υλοποίηση και τη λειτουργία του πρωτοκόλλου UDP • egp: πληροφορίες για την υλοποίηση και τη λειτουργία του πρωτοκόλλου EGP (external gateway protocol) • transmission: ειδικές λεπτομέρειες για το μέσο μετάδοσης κάθε μίας διεπαφής αναλόγως το πρωτόκολλο όπως token ring, FDDI, κλπ. • snmp: πληροφορίες για την υλοποίηση και τη λειτουργία του πρωτοκόλλου SNMP
MIB-ΙΙ - system group • sysDescr: περιγραφή συστήματος • sysObjectID: αναγνωριστικό του κατασκευαστή • sysUpTime: ο χρόνος από την τελευταία επανεκκίνηση • sysContact: πληροφορίες υπευθύνου διαχείρισης • sysName: όνομα κόμβου • sysLocation: φυσική τοποθεσία κόμβου • sysServices: μία τιμή που υποδηλώνει τις προσφερόμενες δικτυακές υπηρεσίες
MIB-ΙΙ - interface group • Σχόλια • Ο πίνακας ifTable είναι δισδιάστατος με 22 στήλες και γραμμές όσες οι δικτυακές διεπαφές • Το πρωτεύον κλειδί είναι το αντικείμενο ifIndex • Το αντικείμενο ifIndex είναι τύπου INTEGER με τιμές στο διάστημα 1..ifNumber
MIB-ΙΙ - ip group • Σχόλια • ipAddrTable: πληροφορίες για τις διευθύνσεις IP, μια γραμμή για κάθε διεύθυνση • ipRouteTable: πληροφορίες δρομολόγησης, μία γραμμή ανά προορισμό • ipNetToMediaTable: αντιστοίχιση μεταξύ διευθύνσεων IP και φυσικών διευθύνσεων
Το πρωτόκολλο διαχείρισης SNMPv1 • Λειτουργίες διαχείρισης • get:ανάκτηση συγκεκριμένης διαχειρίσιμης πληροφορίας • set: ενημέρωση της τιμής ενός διαχειρίσιμου αντικειμένου • trap:αναφορά απρόσμενων γεγονότων προς το σύστημα διαχείρισης • Θέματα ασφάλειας • Η σχέση ενός αντιπροσώπου με πολλούς σταθμούς διαχείρισης επιβάλλει έλεγχο ασφάλειας στα εξής: • Αυθεντικοποίηση: ο αντιπρόσωπος επιβάλλει περιορισμούς στην πρόσβαση της ΜΙΒ σε σταθμούς διαχείρισης με συγκεκριμένες αρμοδιότητες • Πολιτική πρόσβασης: ο αντιπρόσωπος επιβάλλει διαφορετικά δικαιώματα πρόσβασης σε διαφορετικούς σταθμούς διαχείρισης • Λύση: Η έννοια της κοινότητας (community)
Η έννοια της κοινότητας (community) στο SNMPv1 • SNMP community: μία σχέση μεταξύ ενός αντιπροσώπου και ενός αριθμού σταθμών διαχείρισης σε θέματα αυθεντικοποίησης και ελέγχου πρόσβασης • Κάθε κοινότητα έχει ένα μοναδικό όνομα (community name) που ορίζεται τοπικά στον αντιπρόσωπο • Κάθε σταθμός διαχείρισης πρέπει να χρησιμοποιεί το κατάλληλο όνομα της κοινότητας για την επικοινωνία με τον αντιπρόσωπο • Αυθεντικοποίηση • Χρήση ονόματος κοινότητας σε κάθε μήνυμα SNMP χωρίς κρυπτογράφηση • Χρήση του ονόματος κοινότητας ως password: το μήνυμα θεωρείται αυθεντικό αν ο σταθμός διαχείρισης γνωρίζει το όνομα κοινότητας • Περιορισμένη μορφή ασφάλειας • Χρήση λειτουργίας set για παραβίαση συστημάτων
Πολιτική πρόσβασης στο SNMPv1 (1) • Για κάθε κοινότητα ορίζεται ένα προφίλ (community profile) που αποτελείται από: • μία ΜΙΒ όψη (MIB view): ένα σύνολο αντικειμένων της ΜΙΒ που μπορεί και να μην ανήκουν στο ίδιο υπόδεντρο • ένα τρόπο πρόσβασης (access mode): READ-ONLY ή READ-WRITE SNMP ΜΙΒ όψη SNMP τρόπος πρόσβασης αντιπρόσωπος SNMP σύνολο από SNMP σταθμούς διαχείρισης SNMP προφίλ κοινότητας SNMP κοινότητα SNMP πολιτική πρόσβασης
Πολιτική πρόσβασης στο SNMPv1 (2) • Πολιτική πρόσβασης (access policy) • Κανόνες συσχετισμού μεταξύ της κατηγορίας πρόσβασης ενός ΜΙΒ αντικειμένου και του τρόπου πρόσβασης μιας πολιτικής καθορίζουν ποιες λειτουργίες μπορούν να προσπελάσουν το αντικείμενο • Παράδειγμα Η κατηγορία πρόσβασης του ΜΙ-ΙΙ αντικειμένου sysContact είναι RW. Για την κοινότητα public ο τρόπος πρόσβασης για το αντικείμενο αυτό έχει οριστεί ως RO. Κατά συνέπεια, μπορεί να είναι παράμετρος μόνο σε λειτουργίες get και trap
Η αναγνώριση στιγμιότυπων αντικειμένων διαχείρισης (1) • Αναγνώριση αντικειμένων με τυχαία πρόσβαση • Αντικείμενα πινάκων • Χρήσητης τιμής τουINDEX σε συνδυασμό με το OBJECT IDENTIFIERτου αντικείμενου στήλης. Αν το αναγνωριστικό του αντικειμένου στήλης είναι yσε ένα πίνακα με αντικείμενα INDEXi1, i2, …, iNτότε το αναγνωριστικό του στιγμιότυπου ενός αντικειμένου είναι: y.(i1). (i2)…(iN) • Παράδειγμα: Το αναγνωριστικό της περιγραφής ifType της διεπαφής με ifIndexτο 2 Το OBJECT IDENTIFIERτου ifType είναι 1.3.6.1.2.1.2.2.1.3 Άρα για το ifType.2είναι 1.3.6.1.2.1.2.2.1.3.2 • Βαθμωτά αντικείμενα • Χρήση του OBJECT IDENTIFIERτου αντικείμενου σε συνδυασμό με το .0 Το αναγνωριστικό στιγμιότυπου του ifNumber είναι ifNumber.0δηλαδή 1.3.6.1.2.1.2.1.0
Η αναγνώριση στιγμιότυπων αντικειμένων διαχείρισης (2) • Αναγνώριση αντικειμένων με λεξικογραφική σειρά • Χρήση της λεξικογραφικής σειράς των OBJECT IDENTIFIERS που είναι σειρά ακεραίων • Preorder traversal Τέλος Αρχή root 1 2 2 1 1 2 1 1.1 1.2 2.1 1 1 2.1.1 1.2.1 1 3 2 2.1.1.1 2.1.1.2 2.1.1.3
SNMPv1 PDUs Διαχειριστής Αντιπρόσωπος Διαχειριστής Αντιπρόσωπος GetRequest PDU GetNextRequest PDU GetResponse PDU GetResponse PDU Διαχειριστής Αντιπρόσωπος Διαχειριστής Αντιπρόσωπος SetRequest PDU Trap PDU GetResponse PDU
SNMPv1 GetRequest PDU • Απαιτεί τη χρήση αναγνωριστικών στιγμιότυπων αντικειμένων (ανάκτηση φύλων του ΜΙΒ δέντρου) • Παραδείγματα: • Ανάκτηση των τιμών των βαθμωτών αντικειμένων sysDescr, sysNameκαι ifNumber GetRequest(sysDescr.0, sysName.0, ifNumber.0) GetResponse((sysDescr.0 = “…”), (sysName.0 = “…”), (ifNumber.0 = 3)) • Ανάκτηση των τιμών των αντικειμένων στήλης του πίνακα ifTableifIndex, ifTypeκαι ifSpeedγια τη διεπαφή 2 GetRequest(ifIndex.2, ifType.2, ifSpeed.2) GetResponse((ifIndex.2 = 2), (ifType.2 = ethernetCsmacd(6)), (ifSpeed.2 = 10000000))
SNMPv1 GetNextRequest PDU • Επιστρέφει την τιμή του στιγμιότυπου του αντικειμένου που είναι το επόμενο λεξικογραφικά από το όρισμα • Παραδείγματα: • Ανάκτηση των τιμών των βαθμωτών αντικειμένων sysDescr, sysNameκαι ifNumber GetNextRequest(sysDescr, sysName, ifNumber) GetResponse((sysDescr.0 = “…”), (sysName.0 = “…”), (ifNumber.0 = 3)) • Ανάκτηση των τιμών των αντικειμένων στήλης του πίνακα ifTableifIndex, ifTypeκαι ifSpeedγια τη διεπαφή 2 GetNextRequest(ifIndex, ifType, ifSpeed) GetResponse((ifIndex.1 = 1), (ifType.1 = atm(37)), (ifSpeed.1 = 155000000)) GetNextRequest(ifIndex.1, ifType.1, ifSpeed.1) GetResponse((ifIndex.2 = 2), (ifType.2 = ethernetCsmacd(6)), (ifSpeed.2 = 10000000)) GetNextRequest(ifIndex.2, ifType.2, ifSpeed.2) GetResponse((ifDescr.1 = “…”), (ifMtu.1 = ... ), (ifPhysAddress.1 =... ))
SNMPv1 SetRequest και Trap PDUs • SetRequest • Αλλαγή της τιμής αντικειμένων που έχουν κατηγορία πρόσβασης RW • Παράδειγμα • Αλλαγή της κατάστασης της διεπαφής 2 σε testing SetRequest(ifStatus.2 = 3) GetResponse(ifStatus.2 = 3) • Trap • Γενικά είδη traps • coldStart(0): αναπάντεχη επανεκκίνηση λόγω σημαντικής ζημιάς • warmStart(1):επανεκκίνηση ρουτίνας του δαίμονα SNMP • linkDown(2):πτώση επικοινωνιακής γραμμής • linkUp(3):επανεκκίνηση επικοινωνιακής γραμμής • authenticationFailure (4):λήψη μη αυθεντικού μηνύματος • egpNeighborLoss(5):πτώση EGP γειτονικού κόμβου • enterpriseSpecific(6):συγκεκριμένο γεγονός που αναγνωρίζει ο κατασκευαστής