170 likes | 399 Views
Concept d’administration. Que signifie « administrer, gérer un réseau d’entreprise » ? Quels sont les éléments administrables ? Switch, routeurs, Stations, serveurs, Serveurs VPN, pare-feux Onduleurs, PABX, appareillages divers…
E N D
Concept d’administration Que signifie « administrer, gérer un réseau d’entreprise » ? • Quels sont les éléments administrables ? • Switch, routeurs, Stations, serveurs, • Serveurs VPN, pare-feux • Onduleurs, PABX, appareillages divers… • Quels sont les paramètres sensibles ? (explorons le réseau d’entreprise) • De quelles façons recevoir l’information ? • Directement en accédant à l’équipement • Log du système, des applications de surveillance réseau • Historique graphique (jour, semaine, mois…) • Par alertes/alarmes directement générées par l’équipement • Utilité de personnaliser l’alarme (visuelle, sonore, SMS, mail…) • Actions à mener à partir des informations reçues • Procédures simples à suivre par le personnel non spécialisé • Cas sensibles nécessitant une intervention du spécialiste • Tenir à jour un cahier de bord détaillant problèmes survenus Cours DESS Luminy 2004
WS WS WS Concept d’administration switches Réseau d’entreprise Transfix Internet onduleur routeurs Application D’administration Importance de la Carte graphique Du réseau Stations utilisateurs serveurs Cours DESS Luminy 2004
Concept d’administration, MRTG Statistiques /jour Statistiques /semaine Statistiques /mois Statistiques /an On reviendra sur MRTG plus loin Cours DESS Luminy 2004
Concept d’administration Démarche dans la conception d’une administration de réseau • Choix du type de station de supervision (Windows ou UNIX/LINUX) • Historique politique de l’entreprise • Choix du mode de supervision • Clé en main du constructeur • Logiciel graphique élaboré indépendant des constructeur • Développements logiciels maison (C, java, perl/python enrichis avec serveurs http, bases de données) • adapté à la gestion des connexions, des prises bureau… • Combinaison des différentes approches • Dans tous les cas, prendre en compte taille du réseau, ressources humaines disponibles, coûts engagés • Sortir l’information pertinente de la masse des données • Gestion des remontées d’alarmes (aspect fondamental) • Choix du protocole de gestion (OSI, TCP/IP, Constructeur …?) Cours DESS Luminy 2004
Administration réseau • L ’administration des composants réseau est ancienne, prise en • charge par les constructeurs jusqu ’à la fin des années 80 • L ’environnement multi-constructeur imposait de travailler dans un • cadre standard, admis par tous • Obstacles : • Les constructeurs avaient beaucoup investi dans leurs outils • et cultivaient une clientèle captive • Le standard officiel des réseaux (OSI) avait beaucoup déçu • Utilisateurs et constructeurs s ’interrogeaient sur l ’avenir des • protocoles (OSI, TCP/IP, NOVELL, SNA …..??) • Le déblocage : montée en charge irrésistible de TCP/IP (fin 80), • accélérée par la naissance du WEB (TCP/IP s ’impose • progressivement ) Cours DESS Luminy 2004
Temps écoulé depuis le dernier redémarrage ?? Avant snmp ? Application Compaq 31245 s, sur 32 bit, big indian Compaq cisco 31245 34 1/100 s, sur 32 bit, little indian Application cisco hp 312454 s, sur 64 bit, big indian Application hp 3128 1/10s, sur 64 bit, big indian Application ibm Cours DESS Luminy 2004 ibm
Situation pre-snmp • Ce qui est acquis fin des années 80 • Plus grand monde ne croit dans le standard officiel des réseaux (OSI) • trop lourd, trop lent à se mettre en place • Toutes les architectures réseau (SNA, Novell, Microsoft..) ont intégré • tcp/ip, ce qui permet de communiquer entre systèmes informatiques • l ’IETF a développé un outil pour gérer les routeurs de l ’Internet qui • connaît une croissance exponentielle • Cet outil (SGMP) est tout à fait apte à administrer tout composant • réseau ou système • Cet outil s ’inspire du développement de l ’OSI dans le domaine de • l ’administration Cours DESS Luminy 2004
SNMP, administrer de façon centralisée ? Comment administrer de la même façon un hub, un swich, une station, etc… quelque soit le type de matériel quelque soit le constructeur ? Charge CPU ? Charge CPU = 75% Dernier reboot ? 23 jours 2h 5mn 8s Alarme !!!! Disque plein Cours DESS Luminy 2004
Ce qu'implique une administration réseau De quoi doit disposer la fonction « gestionnaire » pour dialoguer avec un équipt ? Que faut il comme intelligence embarquée ? Temps depuis Dernier reboot ? 23 jours 2h 5mn 8s Comment nommer, cataloguer, repérer la variable « temps de fonctionnement » ? (de façon officielle) ? Quelle unité de temps ? Cours DESS Luminy 2004
Espace de nommage iso-ccitt L ’espace de nommage de l ’ISO était une bonne solution pour ranger les variables (ou objets) accessibles dans l ’équipement Ainsi : tout objet de la « Mib » sera repéré par un point dans cet espace et sera nommé par son parcours complet dans l ’arbre, soit 1.3.6.1.2.1…….. R o o t CCITT ISO Joint iso-ccitt 0 1 2 Organisations 0 1 2 3 DoD 0 1 2 3 4 5 6 Internet 1 5 1 2 3 4 6 Cet objet « sysUpTime » (temps écoulé depuis le dernier reboot) est représenté par 1.3.6.1.2.1.1.3 sysUpTime apparaitra sous cette forme dans les opérations snmp Entrée constructeurs 1 1 1 Cisco, ibm... Les 7 objets du groupe system (sysDescr, sysObjectID, sysUpTime….) Cours DESS Luminy 2004
snmp et tcp/ip Commandes de lecture : get-request (oid de la variable ) response (oid de la variable = ….) Depuis quand ce switch a-t-il redémarré ? sysUpTime 1.3.6.1.2.1.1.3 ? 1.3.6.1.2.1.1.3 = 26543287 1/100 sec Tcp/ip : serveur snmp : agent Tcp/ip : fonction client snmp : gestionnaire Cours DESS Luminy 2004
. . . m i b – 2 O B J E C T I D E N T I F I E R : : = { m g m t 1 } - - M I B – I I . . s y s t e m O B J E C T I D E N T I F I E R : : = { m i b – 2 1 } s y s C o n t a c t O B J E C T - T Y P E s y s D e s c r S Y N T A X D i s p l a y S t r i n g ( S I Z E ( 0 . . 2 5 5 ) ) A C C E S S r e a d - w r i t e s y s O b j e c t I D i s o ( 1 ) S T A T U S m a n d a t o r y : : = { s y s t e m 4 } o r g ( 3 ) s y s U p T i m e d o d ( 6 ) s y s N a m e O B J E C T - T Y P E s y s C o n t a c t S Y N T A X D i s p l a y S t r i n g ( S I Z E ( 0 . . 2 5 5 ) ) i n t e r n e t ( 1 ) A C C E S S r e a d - w r i t e S T A T U S m a n d a t o r y s y s N a m e m g m t ( 2 ) : : = { s y s t e m 5 } m i b ( 1 ) s y s L o c a t i o n 1 . 3 . 6 . 1 . 2 . 1 . 1 . 5 = s y s N a m e s y s t e m ( 1 ) . s y s N a m e ( 5 ) . . . . Exemple d’objets scalaires : Le groupe System (un peu d'ASN.1) DoD Mécanisme pére-fils : sysName fils de system Les Mibs sont écrites dans un langage de description abstraite ASN.1 : Abstact Syntax Notation number 1 (à lecture humaine, ce n ’est pas un langage compilé) Cours DESS Luminy 2004
set_request get_request set_request : commande d ’écriture (positionnement d ’une variable) get_request : commande de lecture -> demande de la valeur de cette variable get_response Trap Trap : émission spontanée d ’une alerte ou alarme de l ’agent vers un gestionnaire SNMP protocol RFC1157 Opérations dans snmp SMIv1 RFC1155 + RFC1212 Network- management database (Mibs) Management information base (MIB) rfc1213 Application d’administration réseau set_request get_request Station d’administration Agent (équipement) Cours DESS Luminy 2004
communauté, sécurité insuffisante communauté Mib restreinte agent : Application de gestion MIBs Gestionnaire Agent Messages snmp • Interrogations : comment assurer la sécurisation des • échanges ? Le message snmp contient une chaîne • de caractères « la communauté », partagée entre agent • et gestionnaire (circule malheureusement en clair sur le réseau) • C ’est la faiblesse de snmpv1, pris en compte plus tard Cours DESS Luminy 2004
Conclusion : évolutions récentes de snmp : snmpv2c, snmpv3 • La « communauté », seule protection dans les échanges est insuffisante • SNMP devait rapidement évoluer vers une version sécurisée • snmpv2 devait remplacer snmpv1 dès 1994… • Une vraie sécurisation implique des mécanisme d ’authentification, • de cryptage éventuel, et aussi de contrôle de timing • Un développement trop hâtif a conduit à un échec : pas de gestion • des clés, protocole trop lourd… rejet de la communauté snmp • Une solution d ’attente snmpv2c, prenant en compte des améliorations • de protocole a permis d ’attendre snmpv3, comportant une vraie sécurité • Cette version, seulement achevée début 2000, peine à se diffuser Cours DESS Luminy 2004