Rechnernetze II. Vorlesung. Rechnernetze II. Prof. Dr. W. P. Kowalk. Prof. Dr. W. Kowalk RN II Netzwerk Management Seite 1

Transkript

1 Rechnernetze II Vorlesung Rechnernetze II im SS 2005 Prof. Dr. W. P. Kowalk Prof. Dr. W. Kowalk RN II Netzwerk Management Seite 1

2 Rechnernetze II SS 2005 Vorlesung: Mo A , Uhr Vorlesung: Mi. A , Uhr Übungen: Mi. A , Uhr Vorgehen Vorlesung mit Übung (6 KP) Belegung bis 15. Mai 2005 Prüfung: Klausur Ergebnisse der Übungen gehen nicht in Klausur ein Zulassung zur Prüfung: Mindestens 50% der Klausuraufgaben sinnvoll bearbeiten Prof. Dr. W. Kowalk RN II Netzwerk Management Seite 2

3 Rechnernetze II Inhalte Netzwerkmanagement Routing alternativ: Drahtlose Datennetze Sicherheit in Rechnernetzen Hinweis Vorlesung Sicherheit in Rechnernetzen fällt aus! Prof. Dr. W. Kowalk RN II Netzwerk Management Seite 3

4 Grundlagen Bisher: Aufbau von Rechnernetzen korrekte Funktion von Rechnernetzen Netzwerkmanagement NM (Network Management) Betrieb von Rechnernetzen Im Telekommunikationsbereich eingeführt (TMN=Telecommunication Management Network) mittlerweile auch für lokale Netze Planung Überwachung Steuerung Wartung Prof. Dr. W. Kowalk RN II Netzwerk Management Seite 4

5 Grundlagen Aufgabenbereiche des Netzwerkmanagements Managementsysteme Managementansätze Konkrete Netzwerkmanagementsysteme Standardisierte Netzwerkmanagementsysteme OSI-Netzwerkmanagementsysteme Internet-Netzwerkmanagementsysteme (SNMP) Managementanwendungen Prof. Dr. W. Kowalk RN II Netzwerk Management Seite 5

6 Grundlagen und Ziele Rechnernetz stellt Anwendern Ressourcen zur Verfügung, um Daten über größere Entfernungen zu übertragen Dienstgüte einzuhalten (z.b. Fehlerfreiheit) hohe Verfügbarkeit geringe Kosten Betreiber stellt erforderliche Ressourcen bereit möglichst effektive Ausnutzung seiner Investitionen möglichst hoher wirtschaftlichen Gewinn (kommerzieller Anbieter) optimale Ausnutzung der bereitgestellten Ressourcen Prof. Dr. W. Kowalk RN II Netzwerk Management Seite 6

7 Grundlagen und Ziele Anbieter von Rechnernetz-Dienstleistungen Garantiert Dienstgüte fehlerfreier Betrieb des Systems Reaktionszeiten Verfügbarkeit Hält Personal vor (=Netzwerkadministratoren) Aufwändig und teuer geeignetes Personal schwierig zu finden Netzwerkadministratoren unterstützen durch technische Hilfsmittel allgemeine informatische Systeme das überwachte Netzes liefert Information über Zustand der Komponenten eines Netzes Prof. Dr. W. Kowalk RN II Netzwerk Management Seite 7

8 Grundlagen und Ziele Netzwerkmanagementsysteme = Softwaresysteme zur Steuerung von Rechnernetzen und deren Komponenten weitere Hilfsmittel aus der Elektrotechnik Messgeräte Oszilloskope Protokollanalysatoren aus der Optik Geräte zur Untersuchung der eingesetzten Lichtwellenleitertechnik diese Hilfsmittel werden hier nicht behandelt. Prof. Dr. W. Kowalk RN II Netzwerk Management Seite 8

9 Aufgabenbereiche d. Netzwerkadministrators Netzwerkmanagement Von Netzwerkadministrator auszuführen von geeigneten Systemen unterstützt Funktionalität abgrenzen von Netzwerkmanagementsystemen Aufgabenbereiche des Netzwerkadministrators Configuration Management Fault Management Performance Management Accounting Management Security Management System Management Prof. Dr. W. Kowalk RN II Netzwerk Management Seite 9

10 Aufgabenbereiche d. Netzwerkadministrators Konfigurierung von Netzen (Configuration Mangement) Basis des Rechnernetzmanagements aktueller Zustand des zu administrierenden Rechnernetzes Topologie direkt untereinander verbundene Komponenten Art der Übertragungsleitungen (z.b. Twisted Pair, ISDN, Lichtwellenleiter) verwendete Protokolle (z.b. Ethernet, PPP, FDDI) Art von Komponenten (Router, Switche, Hubs oder Hosts) Prof. Dr. W. Kowalk RN II Netzwerk Management Seite 10

11 Aufgabenbereiche d. Netzwerkadministrators Eigenschaften der Komponenten Parametrisierung Übertragungsleistung an welchem Ort Parameter verändern um Funktionalität anzupassen Routingtabellen erneuern Systeme oder Verbindungen zu- oder abschalten Zugriffsrechte vergeben Beziehungen der Objekte untereinander verändern Beziehungen zwischen Objekten sind z.b. an gleiche Verbindungsleitung angeschlossen sich im gleichen Raum befinden zur gleichen Organisationseinheit gehören Prof. Dr. W. Kowalk RN II Netzwerk Management Seite 11

12 Aufgabenbereiche d. Netzwerkadministrators Weitere Aufgaben des Configuration Mangement Verfolgung der Änderungen in einem Rechnernetz (History) Realisierung des Rechnernetzentwurfs Dokumentation des Rechnernetzzustands Configuration Mangement ist Basis aller anderen Tätigkeiten und Aufgabenbereiche des Netzwerkmanagements Prof. Dr. W. Kowalk RN II Netzwerk Management Seite 12

13 Aufgabenbereiche d. Netzwerkadministrators Fehlerbehandlung in Netzen (Fault Management) Rechnernetze für Fehler anfällig aufgrund Struktur Verteiltheit Versagen von Hard- oder Software, falsches Verhalten eines Teilnehmers vorsätzlicher Eingriff durch Außenstehende Fehlverhalten (fault) in Netz ist Regelfall und nicht Ausnahme Prof. Dr. W. Kowalk RN II Netzwerk Management Seite 13

14 Aufgabenbereiche d. Netzwerkadministrators Fehlverhalten (fault) bewirkt Störung des normalen Betriebs auf Fehler schnell reagieren gezielten Abhilfe schaffen Fehlermanagement unterstützt Maßnahmen zum Erkennen von Störungen, der Diagnose der Ursachen der Behebung des Fehlers Fehler wird gemeldet von Benutzer dieser Komponente allgemeiner Überwachungsinstanz (Polling) spezieller Überwachungsinstanz (Alarm) Prof. Dr. W. Kowalk RN II Netzwerk Management Seite 14

15 Aufgabenbereiche d. Netzwerkadministrators Vorgehen bei Fehlern Meldung an die zuständige Stelle leiten eintreffenden Meldungen diagnostizieren Fehler protokollieren für die Fehlerbehebung zuständige Instanz informieren automatische Unterstützung durch Trouble Ticket-Systeme sammeln Fehlermeldungen melden diese den zuständigen Mitarbeitern werden erst nach Abstellung des Fehlers wieder gelöscht Fehler speichern Dokumentation Auswertung von Fehlerhäufigkeiten Verbesserung des Systems Nachweis der Verfügbarkeit gegenüber Kunden Prof. Dr. W. Kowalk RN II Netzwerk Management Seite 15

16 Aufgabenbereiche d. Netzwerkadministrators Fehlermanagement stellt Information bereit wie Fehler effektiv und schnell behoben werden kann Lösungsansätze und -strategien Reparaturanweisungen Berichte über früher aufgetretene Fehler und ihre Lösungen in geeigneten Systemen gespeichert bei Bedarf zielgerichtet abfragen Expertensysteme Gutes Fehlermanagement dient störungsarmen Betrieb eines Systems ist für Vertrauen der Anwender in das System wichtig Weist Leistung des Systembetreibers nach Prof. Dr. W. Kowalk RN II Netzwerk Management Seite 16

17 Aufgabenbereiche d. Netzwerkadministrators Leistungsüberwachung in Netzen (Performance Management) Leistung bewerten quantitativ qualitativ kontinuierliche Überwachung der Leistungskenngrößen Garantiert Benutzern eines Rechnernetzes optimale Dienstgüte mit vorhandenen Komponenten auch bei wechselnden Anforderungen Belegt Qualität der Dienste (Quality of Service) Um diese Aufgaben sinnvoll zu bewerkstelligen, sind geeignete Leistungskenngrößen zu definieren, Prof. Dr. W. Kowalk RN II Netzwerk Management Seite 17

18 Aufgabenbereiche des Netzwerkadministrators Vorgehensweise geeignete Leistungskenngrößen definieren Kenngrößen im Betrieb des Netzes messen gewonnenen Daten zu sammeln, aus Datensammlungen statistische Aussagen gewinnen aus statistischen Ergebnissen alternative Konzepte entwickeln Configuration Management Daten für Änderungen des Netzes bereitstellen Erkennen verschiedene Probleme eines Rechnernetzes schlechtes Leistungsverhalten (Durchsatz, Antwortzeit) kurzfristige oder ständige Überlastsituationen schlecht ausgelastete Ressourcen zu häufiges Fehlverhalten Prof. Dr. W. Kowalk RN II Netzwerk Management Seite 18

19 Aufgabenbereiche des Netzwerkadministrators Weiterer Nutzen Nachweis gegenüber Kunden Leistungsengpass zu einer bestimmten Zeit Planung von Netzwerkerweiterungen, -änderungen Qualitätsanforderungen der Teilnehmer ständig verbessern sich langfristigen ändernden Anforderungen gerecht werden Resourcen-Optimierung Überlastete Resourcen erweitern Schlecht ausgelastete Resourcen einsparen Nutzengerechtere Kostenaufteilung unter Kunden Prof. Dr. W. Kowalk RN II Netzwerk Management Seite 19

20 Aufgabenbereiche des Netzwerkadministrators Abrechnungsaufgaben in Netzen (Accounting Management) Nutzung technischer Systeme mit Kosten verbunden Anschaffung Wartung Reparatur Ersatz Modernisierung Kosten auf Vielzahl von Benutzern verteilen Gerechtigkeit Wettbewerb Plausibilität Prof. Dr. W. Kowalk RN II Netzwerk Management Seite 20

21 Aufgabenbereiche des Netzwerkadministrators über erbrachte Leistungen genau Buch führen erleichtert interne Verrechnung durch Kostenanalyse kommunikationsrelevanten Kosten erfassen Ausgaben transparent machen Zuteilung der erfassten Kosten zu einzelnen Anwendern verursachungsgerecht proportional Anzahl/Zeit der benutzten Geräteklassen Aufgaben des Abrechnungsmanagements (Accounting Management) Belegung einer Kommunikationsressource durch Benutzer erkennen bewerten Daten an Abrechnungsstelle senden sammeln speichern auswerten Prof. Dr. W. Kowalk RN II Netzwerk Management Seite 21

22 Aufgabenbereiche des Netzwerkadministrators Sicherheitsprobleme in Netzen Rechnernetze sind entweder offen über Internet Zugriff von jedem Ort der Welt möglich oder Rechnernetze sind geschlossen nur begrenzte Nutzergruppe greift auf Komponenten eines Netzes zu Vorkehrungen zum Schutz des Betriebs solcher Netze in beiden Fällen nötig unterschiedliche Sicherungsmaßnahmen vorsehen auch in geschlossenen Netzen Verschlüsselungstechniken Daten vertraulich oder unverfälschbar halten in offenen Netzen Zugriff von Systemen außerhalb des Netzes beschränken geeignete Techniken wie Firewalls Prof. Dr. W. Kowalk RN II Netzwerk Management Seite 22

23 Aufgabenbereiche des Netzwerkadministrators Sicherheitsprobleme in Netzen Weitere Aufgaben neue Benutzer zuzulassen Rechte erweitern/einzuschränken Benutzer aus Betrieb herausnehmen Sicherheitsmanagement (Security Management) Alle Aktionen, die unbefugten Zugriff auf Rechnernetz bzw. dessen Komponenten verhindern sollen Aktivitäten Vergabe von Benutzerkennungen gesicherte Aufbewahrung von Daten Datenverschlüsselung möglichst großer Schutz für Benutzer und Anwendungen Prof. Dr. W. Kowalk RN II Netzwerk Management Seite 23

24 Aufgabenbereiche des Netzwerkadministrators Systemmanagement (System Management) Rechnernetz besteht im weiteren Sinne nicht nur aus Hard- und Software zur Kommunikation sondern umfasst auch Betriebssysteme Anwendungen Daten Vom (gleichen) Administrator zu verwalten ins Management einbeziehen Datensicherung Zeitmanagement Organisation verteilter Datensysteme Archivierung von Daten gemeinsame Nutzung von Druckern Benutzerverwaltung Software-Versionskontrolle Prof. Dr. W. Kowalk RN II Netzwerk Management Seite 24

25 Aufgabenbereiche des Netzwerkadministrators Beispiel: Datensicherung Duplizieren von Daten auf Speichermedien Magnetband CD räumlich getrennt aufbewahren Restauration bei Datenverlust durch Hard- oder Softwarefehler Fehlbedienung des Benutzers aktiven Sabotageangriff nur Änderungen der letzten Stunden oder Tage verloren Bei vernetzten Systemen Datensicherung Dezentral während des laufenden Betriebs durchführbar Benutzer bei Arbeit weder behindern noch einschränken Prof. Dr. W. Kowalk RN II Netzwerk Management Seite 25

26 Aufgabenbereiche des Netzwerkadministrators Beispiel: Zeitmanagement Systeme eines Netzes müssen gleiche Uhrzeit kennen Zeitpunkte der Entstehung von Alarmen Übermittlung entsprechender Zeitmarken über Netz kostet Zeit In lokalen Netze gemeinsamer Zeittakt über gesonderte Leitung bei größeren Netzen nicht mehr realisierbar über mehrere Kontinente Lösungen gesonderte Zeitgebern, z.b. Funkuhren, Synchronisation von Uhren über Netz Annahmen über Laufzeit der Datenpakete über das Netz wahre Zeit schätzen Ergebnisse nur innerhalb gewisser Grenzen genau Zeit nicht lokal vom jeweiligen Benutzer verstellbar Prof. Dr. W. Kowalk RN II Netzwerk Management Seite 26

27 Managementsysteme Hauptaufgabe Zentraler Zugang zu managementrelevanter Information weitere Aufgaben Information speichern Information darstellen Information für weitere Anwendungen verarbeiten Prof. Dr. W. Kowalk RN II Netzwerk Management Seite 27

28 Managementsysteme Dienste zur Aufbereitung von Managementinformation Filterung unwichtiger Daten sicher entscheiden, welche Daten ohne relevante Information nicht triviales Problem Auswertung von Daten Entdeckung der Abhängigkeiten von Daten zu verschiedenen Zeiten an verschiedenen Orten gesammelt Darstellung der Daten wichtige Information schnell erkennen kann Statistische Auswertung von Daten Leistungsengpässe schnell erkennen und beheben Speicherung von Daten spätere Auswertung Fehlerursachen verfolgen neue Dienste anbieten System verbessern Prof. Dr. W. Kowalk RN II Netzwerk Management Seite 28

29 Managementsysteme Sichtweisen (view) eines Rechnernetzes physikalische Sicht auf gemeinsame physikalische Subnetze (Ethernet, Tokenring, FDDI usw.) topologische Sicht auf Komponenten am gleichen Ort logische Sicht auf Komponenten unter gleicher Administration Administrator kann geeignetste Sicht auswählen Prof. Dr. W. Kowalk RN II Netzwerk Management Seite 29

30 Managementsysteme Unterstützung durch aktive Komponenten teilweise oder vollständige Automatisierung einzuleitender Aktionen Unterstützung des Administrators bei seinen Entscheidungen Ähnliche Reaktion des Administrators Entscheidungsunterstützung (Vorschlage zur Abhilfe) automatischen Durchführung durch Managementsystem Beispiel Überlast auf Link A Standardreaktion: Ändern von Routingeinträgen in Router R System schlägt dieses vor Administrator akzeptiert Vollständige Automatisierung heute nicht verbreitet Prof. Dr. W. Kowalk RN II Netzwerk Management Seite 30

31 Managementansätze vielfältige Aufgaben der Managementsysteme Strukturierung in einzelne Komponenten Agenten Komponenten in den einzelnen Rechnern sammeln Daten vor Ort senden diese auf an zentralen Manager auf Anfrage oder (Polling) selbsttätig (Notification/Alarm) Manager sammelt Information über Konfiguration eines Netzes Stellt diese Information anschaulich dar Wertet Information aus Prof. Dr. W. Kowalk RN II Netzwerk Management Seite 31

32 Managementansätze verschiedene Hersteller einzelner Komponenten netzfähige Geräte besitzen standardmäßig Agentenkomponente in heterogener Umgebung gleiche Funktionalität Managementansatz Konventionen zur fehlerfreien Zusammenarbeit eines Managementsystems Standardisierung der Bedeutung und der Darstellung (Semantik und Syntax) managementrelevanter Information Festlegung der Bestandteile eines Managementsystems Festlegung der Aufgaben dieser Komponenten Rollen (role) der jeweiligen Komponenten Prof. Dr. W. Kowalk RN II Netzwerk Management Seite 32

33 Managementansätze Konventionen zur fehlerfreien Zusammenarbeit Rollen (role) der jeweiligen Komponenten Definition der grundlegenden Basismechanismen für die Abläufe in Managementsystemen Spezifikation von Protokollen zum Austausch managementrelevanter Information Beschreibung von Zugriffsschutzstrategien für managementrelevante Information Gruppierung der von Managementsystemen erbrachten Funktionen Spezifikation der Schnittstellen zwischen dem Managementsystem und darauf aufbauender Anwendungsprogramme Prof. Dr. W. Kowalk RN II Netzwerk Management Seite 33

34 Managementansätze (Management Framework) Menge von Konventionen zu genannten Bereichen nicht notwendigerweise jeder Bereich vollständig ausgefüllt Oft keine Gruppierung der von Managementsystemen erbrachten Funktionen Keine Spezifikation von Schnittstellen zu Anwendungsprogrammen erforderlich sind hingegen Festlegung von Bedeutung und Darstellung von Managementinformation Einteilung der Rollen der in einem Managementsystem zusammenwirkenden Komponenten Prof. Dr. W. Kowalk RN II Netzwerk Management Seite 34

35 Managementansätze (Management Framework) In heutigen Managementansätzen nur einige dieser Bereiche berücksichtigt OSI-Systemmanagement am umfangreichsten u.a. funktionale Aspekte eines Managementsystems kein Managementansatz schlägt Schnittstellen zu Anwendungsprogrammen vor OSI-Systemsmanagement vollständig standardisiert und spezifiziert SNMP-Konzept des Internet Activity Boards heute in fast allen vernetzbaren Geräten implementiert sehr einfach gehalten frei verfügbar relativ flexibel Prof. Dr. W. Kowalk RN II Netzwerk Management Seite 35

36 Managementansätze (Management Framework) Nicht standardisierte Managementansätze ohne Bedeutung Standard für Verbreitung eines Managementansatzes wichtig Standardisierung garantiert Interoperabilität zwischen Managementkomponenten verschiedener Hersteller Einsatzfähigkeit trotz zunehmend heterogener Rechnernetzen Prof. Dr. W. Kowalk RN II Netzwerk Management Seite 36

37 Aufbau eines Managementsystems Prof. Dr. W. Kowalk RN II Netzwerk Management Seite 37

38 Aufbau eines Managementsystems Managementsysteme geeignet strukturieren Rolle (role) bestimmte Funktionalität in Managementsystemen von gewissen Instanzen realisiert Zusammenspiel durch Austausch von Information zwischen Rollen eine Instanz kann mehrere Rollen übernehmen wenn physisch und logisch möglich Prof. Dr. W. Kowalk RN II Netzwerk Management Seite 38

39 Aufbau eines Managementsystems Managementsysteme geeignet strukturieren Rollen werden im Managementsystem beschrieben Aufgabe Komponente eines Netzes soll überwacht und gesteuert werden. Zeitlich sich ändernder Zustand muss bekannt sein Zustand einer Komponente nicht regelmäßig abgefragt Geschichte einer Komponente speichern Steuerung einer Komponente gewisse Betriebsparameter der Komponente verändern Prof. Dr. W. Kowalk RN II Netzwerk Management Seite 39

40 Aufbau eines Managementsystems Managementsysteme geeignet strukturieren Rolle mit folgender Aufgabe Erhebung managementrelevanter Information einer Komponente Repräsentation der managementrelevanten Information in geeigneten Datenstrukturen Steuerung einer Komponente mit Hilfe geänderter Datenstrukturen Agent Prof. Dr. W. Kowalk RN II Netzwerk Management Seite 40

41 Aufbau eines Managementsystems Agent (agent) überwacht ständig eine oder mehrere ihm zugeordnete Komponenten eines vernetzten Systems stellt dem restlichen Managementsystem Information über Zustand der von ihm kontrollierten Komponenten zur Verfügung kann Befehle von anderen Instanzen entgegennehmen setzt Befehle in Steuerbefehle für die ihm zugeordneten Komponenten um Prof. Dr. W. Kowalk RN II Netzwerk Management Seite 41

42 Aufbau eines Managementsystems Agent repräsentiert vollständig Schnittstelle zwischen realem System (den Komponenten) und Managementsystem Vom Managementsystem kontrollierbare Funktionalität ausschließlich von Agenten-Schnittstelle definiert in vielen Managementansätzen modulorientierter Ansatz Einwirkung auf Komponente nur über standardisierte Schnittstellen zu jeweiligem Agenten erlaubt Prof. Dr. W. Kowalk RN II Netzwerk Management Seite 42

43 Aufbau eines Managementsystems Manager (manager) Erhebung des Systemzustands Darstellung des Systemzustands Auswertung von Daten Aufbereitung oder Weiterverarbeitung von Daten Kenntnis nötig von Betriebsziel (Betreiber des Netzes) hohe Leistung geringe Kosten hohe Ausfallsicherheit Prof. Dr. W. Kowalk RN II Netzwerk Management Seite 43

44 Aufbau eines Managementsystems Manager-Rolle umfasst verschiedene Aufgaben der Informationsverarbeitung (Sammeln, Speichern, Auswerten) Schnittstellen zum Administrator Schnittstellen zu Anwendungsprogrammen ständige Kommunikation mit einer Anzahl von Agenten Koordination der Agenten Prof. Dr. W. Kowalk RN II Netzwerk Management Seite 44

45 Beschreibung von Managementinformation Managementinformation (management information) Daten zum Betrieb von Managementsystemen Auch: managementrelevante Information Arten von Managementinformation Notwendig vorhandene managementrelevante Information Sinnvoll vorhandene managementrelevante Information Struktur und Verhalten des Rechnernetzes abbilden auf (informatische) Datenstrukturen und Funktionen Prof. Dr. W. Kowalk RN II Netzwerk Management Seite 45

46 Beschreibung von Managementinformation Managed Object (MO) Abbildung auf Datenstrukturen mit zugehörigen Programmen Managed Object repräsentiert zu verwaltende Komponente in einem Netzwerk Router Verbindungsleitung Endgerät in einigen Ansätzen auch Struktur des Managementsystems Verhalten des Managementsystems Rechnernetz wird als Ressource betrachtet Managementsystem mit Hilfe seiner selbst steuern Prof. Dr. W. Kowalk RN II Netzwerk Management Seite 46

47 Beschreibung von Managementinformation Managementansatz umfasst Sprache Beschreibt Managed Objects Meist nur Konstrukte zur exakten Beschreibung der Struktur der abgebildeten Ressourcen Nicht nur rudimentär Beschreibung des Verhaltens der abgebildeten Ressourcen Variablen mit elementaren Wertebereichen Integer, Real oder String Prof. Dr. W. Kowalk RN II Netzwerk Management Seite 47

48 Beschreibung von Managementinformation Managed Object entspricht Satz von Variablen wird durch Bezeichner referenziert Gruppen logisch zusammengehörige Variablen Prozeduren objektorientierte Darstellg d. Managementinformation für jeden abzubildenden Ressourcentyp Objekttyp definiert (Klasse) Ressource im Rechnernetz zur Laufzeit Objekt eines Typs (Instanz einer Klasse) Zugriff nur über Schnittstellen (Typdefinition) Beschreibungssprache: Darstellung für Managementinformation Proprietäre Managementobjekte kompatibel Prof. Dr. W. Kowalk RN II Netzwerk Management Seite 48

49 Beschreibung von Managementinformation Richtlinien zur Definition von MOs in vielen Managementansätzen enthalten legen fest Arten von Ressourcen Welche Eigenschaften auf eigene MOs abbilden Prof. Dr. W. Kowalk RN II Netzwerk Management Seite 49

50 Beschreibung von Managementinformation globale Benennungsstrategie von MOs Verzeichnisstruktur gemeinsam von ISO und CCITT festgelegt auch für andere Zwecke genutzt eindeutige Benennung von internationalen Standards eindeutige, automatische Referenzierbarkeit Registrierungsbaum (Registration Tree) Baumstruktur Bezeichnung durch Kanten im Baum mit eindeutiger natürlicher Zahl optional eine (bedeutungsvolle) eindeutige Zeichenfolge Zugriff durch Objektbezeichner (object identifier) geordnete Folge von Bezeichnern der Kanten eines Pfads Start an der Wurzel des Registrierungsbaums Gruppe von Objekten einzelnes Objekt Prof. Dr. W. Kowalk RN II Netzwerk Management Seite 50

51 Beschreibung von Managementinformation Registrierungsbaum (Registration Tree) Object Identifier mgmt == Prof. Dr. W. Kowalk RN II Netzwerk Management Seite 51

52 Beschreibung von Managementinformation Management Information Base (MIB) Object Identifier sysobjectid.0= Prof. Dr. W. Kowalk RN II Netzwerk Management Seite 52

53 Beschreibung von Managementinformation Syntaxbeschreibungssprache ASN.1 Äquivalente Objektbezeichner ftam-1 OBJECT IDENTIFIER ::= { } ftam-1 OBJECT IDENTIFIER ::= { iso standard } ftam-1 OBJECT IDENTIFIER ::= { iso(1) standard(0) } Keine Festlegung konkreter Datenstrukturen Zugriff auf Managementinformation über Dienstschnittstellen elementaren Dienste Schreiben und Lesen der Werte einzelner MOs Verwaltung einzelner MOs (Löschen, Erzeugen usw.) Behandlung von Ereignissen Dienstschnittstelle kann festgelegt werden explizit und getrennt gemeinsam mit Protokoll zur Übertragung elementarer Managementinformation Prof. Dr. W. Kowalk RN II Netzwerk Management Seite 53

54 Managementprotokolle Austauschen von Information zwischen Komponenten eines Managementsystems nach ISO/OSI-Basisreferenzmodell auf Anwendungsschicht elementare Dienste der Managementansätze elementarer Dienst versendet Protokolldateneinheit Protocol Data Unit (PDU) Adressinformation (Zielsystem, Zielobjekt(e)) Typhinweis (Operationstyp, Frage/Antwort-Flag) Zugriffskontrollinformation weitere Nutzdaten (z.b. das Ergebnis einer Operation) siehe auch konkrete Managementansätze in Managementsystemen auch allg. Anwendungsprotokolle z.b. RPC-Protokoll (Remote Procedure Call) Prof. Dr. W. Kowalk RN II Netzwerk Management Seite 54

55 Zugriffsstrategien auf verschiedene Komponenten einwirkbar Sicherheit Datenschutz nur vom Betreiber autorisiertes Administrationspersonal unterschiedlichen Zuständigkeiten / Zugriffsrechte Zuteilung von Passwörtern Authentisierung und Privatisierung Interoperabilität zwischen Managementkomponenten vom zugrundeliegenden Managementansatz festzulegen Prof. Dr. W. Kowalk RN II Netzwerk Management Seite 55

56 Zugriffsstrategien auf verschiedene Komponenten einwirkbar Domänenkonzept MOs nach verschiedenen Kriterien gruppieren verschiedene Zuständigkeiten auf verschiedene Domänen verteilen Beispiel für Domäne: alle MOs eines bestimmten Rechnerclusters Zugriffsrechte auf Domäne vergeben Domänen können sich überlappen unterschiedliche Sicht auf gemanagte Ressourcen Prof. Dr. W. Kowalk RN II Netzwerk Management Seite 56

57 Klassifizierung d. zu erbringenden Funktionalität Managementansatz kann Richtlinien für Gliederung der Funktionalität von Managementsystemen anbieten Identifikation abhängiger Dienste erleichtert modularen Aufbau eines Managementsystems OSI-Systems Management einziger Ansatz funktionelle Gliederung der Managementdienste Aufgabenbereiche des Managements (Systems Management Functional Area) Systems Management Functions Menge von Basismechanismen standardisierte Dienstschnittstellen Beispiel für Systems Management Function Event Reporting Function leitet Ereignisse in Managementsystemen weiter Prof. Dr. W. Kowalk RN II Netzwerk Management Seite 57

58 Schnittstellen für Anwendungsprogramme Funktionalitäten Anwendungsfeld anpassen Abrechnung von fremden Dienstleistungen Suche von Fehlern in eigenem Rechnernetz Basisfunktionalitäten grafische Darstellung der Topologie des Rechnernetzes Abfrage des Zustands einzelner Mos Datenbankabfragen spezielle Einsatzumgebung Managementsysteme erweiterbar gestalten Managementapplikationen Application Programmer Interfaces (API) nicht einheitlich Prof. Dr. W. Kowalk RN II Netzwerk Management Seite 58

59 Standardisierte Managementansätze Internet Management Protokoll SNMP (Simple Network Management Protocol) Internetgruppe IAB (Internet Activity Board) sehr große Verbreitung sämtlicher Hersteller bieten Schnittstelle zum SNMP praktisch das wichtigste Netzwerkmanagementkonzept OSI-Netzwerkmanagementansatz Internationale Telefongesellschaften (ITU-T) nur in wenigen Bereichen Eingang gefunden Prof. Dr. W. Kowalk RN II Netzwerk Management Seite 59

60 Der Internet Managementansatz Internet Standard Network Management Framework vom Internet Activities Board (IAB) standardisiert Basis fast aller kommerziell verfügbarer Managementsysteme SNMP (Simple Network Management Protocol) Managementprotokoll Prof. Dr. W. Kowalk RN II Netzwerk Management Seite 60

61 Der Internet Managementansatz Internet Standard Network Management Framework RFCs (Request for Comments) 1155, 1157 und 1158 (siehe auch RFC 1052, 1156, 1089 u.a.) Mai 1990 Standards mit Status empfohlen (recommended) SNMPv erweitert kaum praktische Bedeutung gewonnen Ansatz für die meisten Benutzer zu komplex SNMPv mit RFC 2261 neue Version vorgestellt Schwächen der ersten Version vermeiden ohne die Komplexität von SNMPv2 Prof. Dr. W. Kowalk RN II Netzwerk Management Seite 61

62 Der Internet Managementansatz zunächst SNMPv1 Struktur der Managementinformation Zusammenspiel der einzelnen Bestandteile von Managementsystemen Managementprotokoll klarere Terminologie von SNMPv2 wesentlichen Neuerungen in SNMPv2 und SNMPv3 Prof. Dr. W. Kowalk RN II Netzwerk Management Seite 62

63 Managementinformation Internet Managementansatz definiert Objekttypen Management Information Base (MIB) MIB enthält MIB-Module MIB-Modul enthält Typdefinitionen miteinander in Beziehung stehende Managementobjekte, Protokollstapel Token Ring-Interfacekarte Komponenten des Rechnernetzes auf Managementobjekte abgebildet Agent für jede Komponente in seinem Zuständigkeitsbereich optionales Compliance Statement von Agent unterstützte Mindestmenge von Managementobjekten Capability Statement genauer oder min- maximaler Leistungsumfang Prof. Dr. W. Kowalk RN II Netzwerk Management Seite 63

64 Managementinformation 3 Typen von Informationsmodulen MIB-Module (Managementobjekttypen) Anforderungsmodule (genau ein Compliance Statement) Leistungsmodule (Capability Statement) Informationsmodule mit Makros beschrieben Sprache ASN.1 Benennungsschema nach ASN.1-Typ OBJECT IDENTIFIER in globalen Registrierungsbaum eingeordnet Globaler Registrierungsbaum hierarchische Datenbank in Form eines Baumes Blätter durch Folge von inneren Knoten bezeichnet Für Internet Management ist Teilbaum reserviert Prof. Dr. W. Kowalk RN II Netzwerk Management Seite 64

65 Managementinformation Internet Management-Teilbaum {iso org(3) dod(6) internet (1) 2 } zusätzliche Abkürzungen in der SMI (Structure of Managementinformation) internet OBJECT IDENTIFIER ::= { iso org(3) dod(6) 1 } mgmt OBJECT IDENTIFIER ::= { internet 2 } // MIB-II experimental OBJECT IDENTIFIER ::= { internet 3 } private OBJECT IDENTIFIER ::= { internet 4 } Weitere Knoten für Experimente für private Zwecke Prof. Dr. W. Kowalk RN II Netzwerk Management Seite 65

66 Managementobjekte Managementobjekt (MO) i.d.r. nicht strukturiert besteht nur aus einer Variablen Speichert Zustandsgröße einer Komponente Außerdem: geordnete Mengen von Variablen Zeilen einer Tabelle einzige Managementobjekte variabler Anzahl nicht fest in kodierbar zusätzliche Strukturierung: Gruppen innerhalb eines MIB-Moduls Fast eng zusammenhängende Objekttypdefinitionen zusammen keine weitere Aufteilung in Untergruppen Prof. Dr. W. Kowalk RN II Netzwerk Management Seite 66

67 Managementobjekte Structure of Management Information (SMI) RFC1155 definiert Struktur der Managementinformation Objekttypen mit ASN.1-Makro OBJECT-TYPE-Macro bes. OBJECT-TYPE MACRO ::= BEGIN TYPE NOTATION ::= "SYNTAX" type (TYPE ObjectSyntax) "ACCESS" Access "STATUS" Status VALUE NOTATION ::= value (VALUE ObjectName) Access ::= "read-only" "read-write" "write-only" "not-accessible" Status ::= "mandatory" "optional" "deprecated" "obsolete" END Prof. Dr. W. Kowalk RN II Netzwerk Management Seite 67

68 Managementobjekte Structure of Management Information (SMI) mögliche Typdefinition mit letztem Makro sysdescr OBJECT-TYPE SYNTAX DisplayString (SIZE (0.255)) ACCESS read-only STATUS mandatory := { system 1 } Namen desobjekttyp: sysdescr Einrodnung im globalen Registrierungsbaum: system 1 Syntax: DisplayString bis zu 255 Zeichen Länge Zugriffsrechte: read-only jede SNMP-MIB muss Objekt dieses Typs enthalten (mandatory) Prof. Dr. W. Kowalk RN II Netzwerk Management Seite 68

69 Managementobjekte Structure of Management Information (SMI) Definition eines Objekttyps wird zugeordnet Object Identifier ein Name in der gesamten MIB eindeutig zur Laufzeit höchstens eine Instanz eines Objekttyps verfügbar Zeilen von Tabellen können mehrfach vorkommen Benennung eines Objekts der um.0 erweiterte Object Identifier eines Objekttyps sysdescr.0 Benennung von Objekten ist eindeutig Zieladresse eines Pakets mit Managementdaten Agent Objektinstanz Prof. Dr. W. Kowalk RN II Netzwerk Management Seite 69

70 Managementobjekte Structure of Management Information (SMI) Datentyp ObjectSyntax definiert Syntax verwalteter Objekte <list> ::= SEQUENCE { <type1>,... typen>, } <table> ::= SEQUENCE OF <list> Einfache Typen (simple types) primitive ASN.1-Typen INTEGER OCTET STRING OBJECT IDENTIFIER NULL Anwendungsweite Typen (application wide) Einfach konstruierte Typen (simply constructed) zusammengesetzte ASN.1-Typen Prof. Dr. W. Kowalk RN II Netzwerk Management Seite 70

71 Managementobjekte Anwendungsweite Typen (application wide) sechs spezielle Datentypen, In SMI definiert im SNMP-Ansatz verwendet IpAddress: Datentyp für Internetadresse IpAddress ::= [APPLICATION 0] IMPLICIT OCTET STRING (SIZE (4)) NetworkAddress: Datentyp für Adresse bestimmter Protokollfamilie Zur Zeit nur ein CHOICE NetworkAddress ::= CHOICE { internet IpAddress } Prof. Dr. W. Kowalk RN II Netzwerk Management Seite 71

72 Managementobjekte Anwendungsweite Typen (application wide) Counter: nicht negative ganze Zahl ( ) Wächst monoton bis maximaler Wert erreicht dann auf null zurückgesetzt Counter ::= [APPLICATION 1] IMPLICIT INTEGER ( ) Gauge nicht negative ganze Zahl ( ) kann wachsen oder fallen maximaler Wert Gauge ::= [APPLICATION 2] IMPLICIT INTEGER ( ) Prof. Dr. W. Kowalk RN II Netzwerk Management Seite 72

73 Universal Tag ASN.1 Typ 1 BOOLEAN 2 INTEGER 3 BIT STRING 4 OCTET STRING 5 NULL 6 OBJECT IDENTIFIER 7 ObjectDescriptor 8 EXTERNAL 9 REAL 10 ENUMERATED Reserved for addenda 16 SEQUENCE, SEQUENCE OF 17 SET, SET OF 18 NumericString 19 PrintableString 20 TeletexString 21 VideotexString 22 IA5String 23 UTCTime 24 GeneralizedType 25 GraphicsString 26 VisibleString 27 GeneralString 28 CharacterString Reserved for addenda Prof. Dr. W. Kowalk RN II Netzwerk Management Seite 73

74 Managementobjekte Anwendungsweite Typen (application wide) TimeTicks nicht negative ganze Zahl zählt Zeit in hundertstel Sekunden maximaler Wert beträgt: TimeTicks ::= [APPLICATION 3] IMPLICIT INTEGER ( ) Definition legt Startzeitpunkt fest Opaque Datentyp für beliebige Kodierung Opaque ::= [APPLICATION 4] IMPLICIT OCTET STRING erweitert die restriktiven Datentypen der SMI Instanz eines ASN.1-Datentyps mit Basic Encoding Rules kodiert Oktett-Zeichenkette bildet Wert des Opaque-Typen Bedeutung muss vereinbart sein zwischen verwaltetem Knoten und Management-Station Prof. Dr. W. Kowalk RN II Netzwerk Management Seite 74

75 Managementobjekte SMI definiert zwei zusammengesetzte Typen Anwendungsmöglichkeiten eingeschränkt Liste (list) <list> ::= SEQUENCE { <type1>,... <typen>, } jeder <type> primitiver Typ weder SEQUENCE noch OPTIONAL wird als Zeile in Tabelle (table) verwendet Tabelle (table) <table> ::= SEQUENCE OF <list> alle definierten Tabellen zweidimensional Tabelle besteht Instanzierung keine oder meh Zeilen jede Zeile gleiche Anzahl von Spalten Prof. Dr. W. Kowalk RN II Netzwerk Management Seite 75

76 Die Management Information Base (MIB) Menge von MIB-Modulen MIB-Module definieren Typen zueinander in Beziehung stehender Managementobjekte SNMPv2: zusätzlich Definition von Notification Types Typen von Meldungen Bei gewissen Zustandsänderungen von Managementobjekten versendet MIB-II [RFC 1213] Beispiel für MIB-Modul enthält Typdefinitionen für Managementobjekte über IP kommunizierende Knoten Objekttypen in zehn Gruppen (Group) eingeteilt Prof. Dr. W. Kowalk RN II Netzwerk Management Seite 76

77 Die Management Information Base (MIB) Gruppe Anzahl Objekttypen für System 7 den verwalteten Knoten selbst Interface 23 Netzwerk-Zubehör at 3 IP-Adreßübersetzung Ip 38 das Internetprotokoll icmp 26 das Internet-Kontrollnachricht-Protokoll tcp 19 das Transmission Control Protocol (TCP) udp 7 das User Datagram Protocol (UDP) egp 18 das Exterior Gateway Protocol (EGP) transmission 0 neu snmp 30 den verwalteten Knoten selbst Summe 171 Prof. Dr. W. Kowalk RN II Netzwerk Management Seite 77

78 Die Management Information Base (MIB) Systemgruppe (System Group) system OBJECT IDENTIFIER ::= { mib-2 1} sysdescr Beschreibung des Gerätes sysobjectid Identität der Agentensoftware sysuptime Startzeitpunkt des Agenten syscontact Name der Kontaktperson sysname Name des Geräts syslocation Standort des Geräts sysservices Dienste, die das Gerät bietet Prof. Dr. W. Kowalk RN II Netzwerk Management Seite 78

79 Die Management Information Base (MIB) Schnittstellengruppe (interfaces group) interfaces OBJEKT IDENTIFIER ::= { mib-2 2 } IfNumber OBJECT-TYPE SYNTAX INTEGER ACCESS read-only STATUS mandatory ::= { interfaces 1} iftable OBJECT IDENTIFIER ::= { interfaces 2 } ifentry OBJECT IDENTIFIER ::= { iftable 1 } eine Zeile enthält... Prof. Dr. W. Kowalk RN II Netzwerk Management Seite 79

80 Die Management Information Base (MIB) Schnittstellengruppe (interfaces group) eine Zeile enthält (1) ifindex Schnittstellennummer ifdescr Beschreibung der Schnittstelle iftype Type der Schnittstelle ifmtu MTU-Größe ifspeed Übertragungsrate in Bits pro Sekunde ifphysaddress Medien-spezifische Adresse ifadminstatus gewünschter Schnittstellezustand ifoperstatus gegenwärtiger Schnittstellezustand iflastchange Wann wurde die Schnittstelle das letzte Mal geändert ifinoctets Gesamt Anzahl von Oktetten, die Mediun erhalten hat Prof. Dr. W. Kowalk RN II Netzwerk Management Seite 80

81 Die Management Information Base (MIB) Schnittstellengruppe (interfaces group) eine Zeile enthält (2) ifinucastpkts Unicast-Pakete, die nach oben geliefert wurden ifinnucastpkts Broad-/Multicast-Pakete, die nach oben geliefert wurden ifindiscards Pakete, die wegen Überlastung ignoriert wurden ifinerrors Pakete, die wegen Formatfehlern ignoriert wurden ifinunknownprotos für unbekannte Protokolle bestimmte Pakete Prof. Dr. W. Kowalk RN II Netzwerk Management Seite 81

82 Die Management Information Base (MIB) Schnittstellengruppe (interfaces group) eine Zeile enthält (3) ifoutoctets Anzahl der auf das Medium gesendeten Objekte ifoutucastpkts Unicast-Pakete, die von oben gesendet wurden ifinnucastpkts Broadcast/Multicast-Pakete, die von oben gesendet wurden ifindiscards Pakete, die wegen Überlastung ignoriert wurden ifinerrors Pakete, die wegen Fehlern ignoriert wurden ifoutqlen Paketgröße der Ausgangswarteschlange ifspecific MIB-spezifischer Zeiger Prof. Dr. W. Kowalk RN II Netzwerk Management Seite 82

83 Bestandteile eines SNMP-Managementsystems SNMP Philosophie möglichst einfache Konzepte bereitstellen Fundamentales Axiom Die Auswirkungen des Netzwerkmanagements auf einen verwalteten Knoten dürfen nur minimal sein, so dass nur der kleinste gemeinsame Nenner vertreten werden sollte. Bestandteile des Managementsystems so einfach wie möglich halten nur minimale Festlegungen Prof. Dr. W. Kowalk RN II Netzwerk Management Seite 83

84 Bestandteile eines SNMP-Managementsystems Agenten in jedem verwaltete Knoten (Managed Node) genau ein Agent je Knoten auf Anfrage managementrelevante Information über ihm zugeordnete Rechnernetzkomponenten führt diese in für das Management notwendige Form über an ein System mit Managerrolle je Objekttyp genau eine Instanz Tabellen besitzen gleichzeitig mehrere Instanzen von Zeilen Compliance Statement für MIB-II Instanz zu allen Objekttypen oder keinem einer Gruppe Prof. Dr. W. Kowalk RN II Netzwerk Management Seite 84

85 Bestandteile eines SNMP-Managementsystems Agenten keine Vorverarbeitung von Managementdaten keine statistische Aufbereitung keine Sammlung statistischer Daten reagiert nur auf Anfrage Ausnahme genau festgelegte Ausnahmefällen einfache Nachrichten (Traps) an Manager weiterleiten nur wenig Speicherplatz und Rechenzeit SMUX=SNMP Multiplexing Protocol internes Kommunikationsmechanismus optional Managementinformation vom Betriebssystem verwaltet oder von einem Anwendungsprozess Agent nur noch Koordination / Managementkommunikation Systemprozesse (Routing Daemon) ansteuerbar Prof. Dr. W. Kowalk RN II Netzwerk Management Seite 85

86 Bestandteile eines SNMP-Managementsystems Stellvertreteragenten (Proxy Agent) für Geräte, mit zu geringer Verarbeitungskapazität Netze verschiedener Protokolle in der Regel nicht direkt über SNMP verwaltet Stellvertreteragenten (Proxy Agent) gleiche Aufgaben wie reguläre Agenten übersetzen Anfragen zwischen Managern aus dem Internet-Managementsystem Steueranweisungen von Fremdgeräten Managementprotokoll, keine Ende-zu-Ende-Dienste Proxyagent filtert SNMP-Protokolldateneinheiten sendet sie dem fremden Gerät zu sonst: Proxyagent als Application Gateway Prof. Dr. W. Kowalk RN II Netzwerk Management Seite 86

87 Bestandteile eines SNMP-Managementsystems Manager Rolle Abfrage von Managementinformation Veränderung von Managementinformation Bereitstellung von Managementinformation Weiterverarbeitung von Managementinformation erhält Managementinformation von zugeordneten Agenten Aktivitäten gehen i.d.r. allein vom Manager aus, zwei Methoden Regelmäßige Abfrage (Polling) Zeitabstände typisch 30 s bis eine Stunde Manager legt Genauigkeit seiner Sicht selbst fest Abfragerate kritisch zu klein: Bandbreite verschwendet zu groß: Manager reagiert u.u. zu langsam Prof. Dr. W. Kowalk RN II Netzwerk Management Seite 87

88 Bestandteile eines SNMP-Managementsystems Manager Unterbrechungsgesteuerte Abfrage (Trap-Directed Polling) Manager empfängt einfache Trap-Nachricht schickt Anfragen an sendenden Agenten erfährt so näheres über Art und Ausmaß des Problems Aufwand für Verarbeitung von Traps zum Manager verlagert Agenten schicken im Fehlerfall nicht mit Sicherheit Traps auf Polling mit geringer Frequenz unverzichtbar Bezeichnungen im Internet-Managementansatz Prozess mit Managerrolle = Managementstation Managementsystem kann mehrere dieser Prozesse enthalten SNMPv1-Ansatz unterstützt keine Kommunikation zwischen Managern Prof. Dr. W. Kowalk RN II Netzwerk Management Seite 88

89 Simple Network Management Protocol (SNMP) Managementoperationen Agent stellt Menge von Variablen bereit verwalteter Knoten wird durch Lesen der Werte dieser Variablen überwacht durch Ändern der Werte dieser Variablen beeinflusst zwei weitere Operationen Traversierungs-Operation stellt unterstützte Variablen fest liest Folgen von Variablen (z.b. Tabellen) aus mit Trap-Operation meldet Agent dem Manager außerordentliche Ereignisse Operatoren get erlaubt das Lesen von Variablenwerten. get-next durchsucht die MIB eines verwalteten Knotens. set verändert die Variablen eines verwalteten Knotens. trap meldet Agent außergewöhnliche Ereignisse Prof. Dr. W. Kowalk RN II Netzwerk Management Seite 89

90 Adressierung im SNMP Get-, Get-next- oder Set-Operation bestimmte Objekte eines bestimmten Agenten Trap-Operation bestimmter Manager auf jedem Rechner höchstens ein Prozess Agentenrolle Managerrolle feste Ports Internetadresse des Rechners von jedem Transport- oder Vermittlungsprotokoll unterstützt Managementprotokoll Objekte/Operationen innerhalb von Agenten identifizieren Prof. Dr. W. Kowalk RN II Netzwerk Management Seite 90

91 Adressierung im SNMP Objekttypen identifiziert durch Erweiterung der Registrierung nur Instanzen von Blattobjekten dürfen gelesen oder verändert werden keine zusammengesetzten Objekte Prof. Dr. W. Kowalk RN II Netzwerk Management Seite 91

92 Adressierung im SNMP Einfache Objekte durch Zusatz.0 Adresse des Werts von sysdescr sysdescr.0. Prof. Dr. W. Kowalk RN II Netzwerk Management Seite 92

93 Adressierung im SNMP Objekttypen identifiziert durch Erweiterung der Registrierung Zeile in in Tabelle durch eindeutigen Index adressiert in Definition der Tabelle spezifiziert in iftable Spalte ist ifindex Referenzpunkt ifindex.1. OBJECT IDENTIFIER a und b lexikographische Ordnung a<b, a=b, a>b get-next liefert Namen des 'nächsten' OBJECT IDENTIFIER MIB einfach vollständig durchsuchbar get-next (sysdescr.0) => sysobjectid.0= Prof. Dr. W. Kowalk RN II Netzwerk Management Seite 93

94 Adressierung im SNMP Prof. Dr. W. Kowalk RN II Netzwerk Management Seite 94

95 Adressierung im SNMP allgemeiner OBJECT-IDENITIFIER liefert get-next (ifdescr) => ifdescr.1 = "lo0" überprüft, ob Objekt von einem Agenten unterstützt wird Tabellen werden spaltenweise durchlaufen get-next (iftype) => iftype.1 = softwareloopback(24) get-next (iftype.1) => iftype.2 = ethernet-csmacd(6) get-next (iftype.2) => ifmtu.1 = 1536 dritter Aufruf liefert anderen Präfix Ende der Spalte in dieser Tabelle erreicht hat Prof. Dr. W. Kowalk RN II Netzwerk Management Seite 95

96 Adressierung im SNMP dritter Aufruf liefert anderen Präfix Ende der Spalte in dieser Tabelle erreicht hat mehrere Spalten gleichzeitig inspizierbar get-next (ifindex, ifdescr, iftype) => ifindex.1=1 ifdescr.1="lo0" iftype.1=softwareloopback(24) get-next (ifindex.1, ifdescr.1, iftype.1) => ifindex.2=2 ifdescr.2="le0" iftype.2=ethernet-csmacd(6) Zeile wird durch Inhalt einer anderen identifiziert bei gleichem Inhalt interne Nummerierung verwendet Prof. Dr. W. Kowalk RN II Netzwerk Management Seite 96

97 Das SNMP-Protokoll asynchrones Anfrage/Antwort-Protokoll Manager wartet nach Absetzen einer Anfrage nicht auf Beantwortung Datensätze PDU = Protocol Data Unit Sprache ASN.1 alle Operatoren gleiche PDU (außer Traps) SNMP-Nachricht besteht aus Versions-Information Community-Bezeichner Daten Anfrage-ID Prof. Dr. W. Kowalk RN II Netzwerk Management Seite 97

98 Das SNMP-Protokoll Datensätze Anfrage-ID ordnet Antwort der Anfrage zu Fehler-Status TooBig NoSuchName BadValue ReadOnly generr Liste von Variablen mit Werten bei Abfrage (get, get-next) ignoriert beim Setzen (set) bzw. bei Antwort (response) interpretiert Prof. Dr. W. Kowalk RN II Netzwerk Management Seite 98

99 Das SNMP-Protokoll Datensätze Trap-PDU besitzt nur sechs Felder (generic-trap) kann sieben verschiedene Fehlerursachen melden generic trap type INTEGER { coldstart(0), warmstart(1), linkdown(2), linkup(3), authenticationfailure(4), egpneighborloss(5), enterprisespecific(6) } bei außergewöhnlichem Ereignis identifiziert Agent zu informierenden Manager Prof. Dr. W. Kowalk RN II Netzwerk Management Seite 99

100 Sicherheitsmechanismen in SNMP Administrativer Rahmen Authentisationsstrategien (Identifizierung) Authorisationsstrategien (Befugnis) für jeden Agenten wird festgelegt welche Information mit welchen Rechten an welche Manager nur autorisierte Anwendungsprozesse führen Management aus Prof. Dr. W. Kowalk RN II Netzwerk Management Seite 100

101 Sicherheitsmechanismen in SNMP Community Beziehung zwischen einem SNMP-Agenten einem oder mehreren SNMP-Managern Agent kann mit verschiedenen Managern eigene Community bilden View Ausschnitt von Objekten aus der MIB pro Community Community-Name identifiziert SNMP-Community Kette uninterpretierter Oktette Wert zwischen 0 und 255 Häufig nur druckbare ASCII-Zeichen Klarschrift, d.h. wenig Sicherheit Prof. Dr. W. Kowalk RN II Netzwerk Management Seite 101

102 Sicherheitsmechanismen in SNMP Community-Profil Erlaubte Operationen auf Objekt Durchschnitt aus View der Community von MIB Zugriffsmodus. Zugriffsmodus Objekt-Zugriff nach MIB read-only read-write write-only nicht zugreifbar read-only read-write Klasse erlaubte Operation 1 Nichts 2 get, get-next, set, trap 3 get, get-next, trap 4 set Prof. Dr. W. Kowalk RN II Netzwerk Management Seite 102

103 Sicherheitsmechanismen in SNMP Stellvertreter-Agent (Proxy Agent) View der verwalteten Objekte entsprechend seines Fremdgeräts View der Stellvertreter-Community Objekte des Fremdgeräts Zugriffsmodus Objekt-Zugriff nach MIB read-only read-write write-only nicht zugreifbar read-only read-write Klasse erlaubte Operation 1 Nichts 2 get, get-next, set, trap 3 get, get-next, trap 4 set Prof. Dr. W. Kowalk RN II Netzwerk Management Seite 103

104 SNMPv2 RFCs , April 1993 Erweiterung des SNMP-Ansatzes Anpassung an neue Bedürfnisse vier Punkte. Strukturierung von Managementsystemen Sicherheitsmechanismen Erweiterung des Managementprotokolls Änderung der MIB wenig Änderung große Anpassung des Internet Standard Management Framework Prof. Dr. W. Kowalk RN II Netzwerk Management Seite 104

105 SNMPv2: Strukturierungshilfen für Mgmt-Systeme Zusammenspiel verschiedener Manager Prozess gleichzeitig als Agent/Manager Anfrage an Agenten Agent führt gewünschte Operation selbst aus, oder Agent leitet die Anfrage an anderen Agenten weiter Agent in Rolle des Managers erweiterter Stellvertreteragent sowohl für fremde Geräte als auch für andere Agenten im Managementsystem Strukturierung durch Einführung einer Hierarchie Prof. Dr. W. Kowalk RN II Netzwerk Management Seite 105

106 SNMPv2: Sicherheitsmechanismen Community-Namen verschlüsselt statt im Klartext Authentisierunginformation nicht mehr reproduzierbar (Zeitstempel) Pakete verschlüsseln Optional Verantwortung beim Entwickler des MS Kommunikationsbeziehung weiterhin offen Party-Konzept In SNMPv3 verworfen Prof. Dr. W. Kowalk RN II Netzwerk Management Seite 106

107 SNMPv2: Sicherheitsmechanismen View zu Kontext (Context) erweitert Auch indirekter Zugriff über andere Agenten Proxy-Relationship Zugriffsrechte in Datenbasis durch Tripel (Name der Abfragenden Party Name der Abgefragten Party, Kontextname) Parties enthalten Zugriffsrechte für Kommunikationsbeziehungen Verschlüsselungsmethoden eigenes MIB-Modul Managementsystem-Information wie Information des zu betreibenden Rechnernetze behandelt Das Managementsystem managed sich selbst! Prof. Dr. W. Kowalk RN II Netzwerk Management Seite 107

108 SNMPv2: Managementprotokoll und MIB Inform-Request-PDU Austausch von Ereignismeldungen zwischen Managern Get-Bulk-Request-PDU gleichzeitige Rückgabe mehrerer Werte mehrere MOs Tabellen mehrere einfache Variablen Reduktion des Overhead des Managementprotokolls Trap-PDU gleiche Grundstruktur wie andere PDUs Zeitstempel MIB angepasst neue MIB-Module (SNMPv2-PARTY-MIB) Ereignismeldungen zwischen Managern (SNMPv2-M2M-MIB) managementsystemspezifische Information (SNMPv2-MIB) Prof. Dr. W. Kowalk RN II Netzwerk Management Seite 108

109 SNMPv3 endgültige Form SNMPv2c keine Sicherheitsmechanismen SNMPv3 kein eigenes Managementrahmenwerk Zusatzfunktionen zu beiden vorhergehenden Entwürfen Entwurfsziele SNMPv3-Sicherheitskonzepte basieren auf Varianten SNMPv2u und SNMPv2* sicherer Mechanismus für set request-nachricht Entwurf einer modularen Architektur 1) Netze unterschiedlicher Größe administrieren 2) Teile des Entwurfs unabhängig standardisieren 3) alternative Sicherheitsmodelle unterstützen Halte SNMP so einfach wie möglich Prof. Dr. W. Kowalk RN II Netzwerk Management Seite 109

110 SNMPv3 Sicherheitsanforderungen Information nicht unbefugt änderbar keine Maskerade (Vortäuschen einer falschen Manager-Identität) kein Wiedereinspielen von Nachrichten (replay) Kommunikation bei Bedarf verschlüsselbar nicht behandelte Sicherheitsanforderungen Denial of Service Vorsätzliche Unterbrechung der Kommunikation Verkehrsanalyse Beziehungen zwischen Manager und Agent Prof. Dr. W. Kowalk RN II Netzwerk Management Seite 110

111 SNMPv3 SNMP-Manager Funktionen zum Senden und Empfangen von Nachrichten zum Authentisieren zum Verschlüsseln und Entschlüsseln zur Zugriffskontrolle zu Managed Objects Prof. Dr. W. Kowalk RN II Netzwerk Management Seite 111