Übersicht des Systems Management. Kapitel 4 ISO/OSI-Managementrahmenwerk. Funktionsstruktur des Systems. Specific Functional Areas Aufgabenbereiche

Transkript

1 Fachgebiet Kommunikationsnetze Technische Universität t Ilmenau Übersicht des Functional Areas Fault Accouting Configuration Performance Security Kapitel 4 ISO/OSI-rahmenwerk Object Log Control State Security-Alarm Reporting Relationship Security Audit Trail Alarm Reporting Access Control Event-Report Usage Metering Functions Metric Objects and Attributes Knowledge Test Change Over Summarization Function Software Confidence and Scheduling Diagnostic Test Function... Functions(ISO 10164) Event Report Get Set Action Create Delete CMISE-Dienste Cancel-Get PuVvKn, WS 2006/07 77 Specific Functional Areas Aufgabenbereiche Konfigurationsmanagement Erzeugung und Verwaltung von Konfigurationsinformationen Basis für alle anderen Aufgabenbereiche Information über Struktur des Netzes Fehlermanagement Fehlererkennung, -isolation und behandlung Leistungsmanagement Kontinuierliche Überwachung der Leistungskenngrößen (Systemleistung, Ressourcenauslastung,...) Erkennung von Überlastsituationen Maßnahmen zur Leistungsverbesserung (Tuning) Abrechnungsmanagement Erfassung der Ressourcenbelegung Zuordnung der Kosten zu Benutzern Sicherheitsmanagement Schutz vor Sicherheitsangriffen Mechanismen zur Authentifizierung und Integritätssicherung PuVvKn, WS 2006/07 78 Functional Area 1 Function 1 Funktionsstruktur des Function 2 Functional Area 2 Function 3... Function 4 Functional Area 5... Common Information Service Function n PuVvKn, WS 2006/07 79

2 Object Function State Function Einheitliches Schema und vordefinierte Meldungen (Notifications) für das Erzeugen und Löschen von Managed Objects das Ändern und Lesen von Attributwerten Unterstützung der Verfolgung der aktuellen Netzkonfiguration Definition der Abbildung von Operationen auf Objekten respektive deren Attribute auf CMIS-Dienste SMI Create Delete Action Replace Add Remove Replace-with-Default Get Notification CMIS M-Create M-Delete M-Action M-Set M-Set M-Set M-Set M-Get M-Event-Report PuVvKn, WS 2006/07 80 Modell des Zustands der überwachten Netzkomponenten Drei Gesichtspunkte: Betriebsbereitschaft Benutzung Verwaltung Drei generische Zustandsattribute: Betriebszustand (betriebsbereit [enabled], außer Betrieb [disabled]) Benutzzustand (ungenutzt [idle], tätig [active], belegt [busy], unbekannt [unknown]) Verwaltungstechnischer Zustand (freigegeben [unlocked], im Stilllegen[shutting down], gesperrt [locked]) Operationen zur Steuerung der Zustandsübergänge PuVvKn, WS 2006/07 81 Operational State Usage State Neuer Benutzer (unteilbare Ressource) disable Enabled Disabled Idle Erster neuer Benutzer Benutzung beendet Letzte Benutzung beendet Active Neuer Benutzer Neuer Benutzer Benuzung beendet Busy Unknown enable Benutzung beendet (unteilbare Ressource) PuVvKn, WS 2006/07 82 PuVvKn, WS 2006/07 83

3 Unlocked Administrative State stilllegen freigeben Shutting Down Letzte Benutzung beendet sperren stillegen (wenn Ressource vorher unbenutzt) sperren freigeben Locked Attributes for Representing Relationships Einrichten und Manipulieren von Beziehungen zwischen Managed Objects, beispielsweise bedient von service gleichgestellt peer Ersatz für back-up primary/secondary fallback gehört zu group Relationship Template beschreibt an einer Relation beteiligte Managed Objects ihre Rollen deren Eigenschaften Generische Notifikation für Änderungen in den Beziehungen PuVvKn, WS 2006/07 84 PuVvKn, WS 2006/07 85 Alarm Reporting Function Event Report Function Generische Klassifikation der Alarme Communications Alarm Quality of Service Alarm Processing Error Alarm Equipment Alarm Environmental Alarm Verfeinerung durch Festlegung spezifischer Ursachen Communciation Protocol Error I/O Device Error... Angabe des Schärfegrads Bereingt [cleared] Unbestimmt [indeterminate] Kritisch [critical] Größer [major] Kleiner [minor] Warnung [warning] PuVvKn, WS 2006/07 86 Eingehende Meldungen werden zu einem potentiellen Bericht zusammen gestellt Bericht wird über einen Filtermechanismus an den Zielort geschickt Filtermechanismus wird durch einen Event Forwarding Discriminator realisiert: Zieladresse, an die die Reports zu schicken sind Diskriminator-Konstrukt, das den Test enthält Diskriminator-Status zur Steuerung der Filterfunktion Schedule Package zur Steuerung des zeitabhängigen Ablaufs PuVvKn, WS 2006/07 87

4 Ereignisfilter Event Forwarding Discriminator Log Control Function Agent ungefilterte Ereignisdaten ungefilterte Ereignisdaten ungefilterte Ereignisdaten Filter Meldungen Filter Ereignis Ereignis- Protokoll Filter Steuerung Steuerung Abfrage Manager Managed Objects Notifikationen Ereignis- Vorverarbeitung Attribute: Maximale Anzahl Einträge Aktueller Belegungsgrad Anzahl der Einträge Kapazitätsgrenzwert Mögliche Ereignismeldungen Log Discriminator Logs Event Reports Collect Responses Steuerung PuVvKn, WS 2006/07 88 PuVvKn, WS 2006/07 89 Security Alarm Reporting Security Audit Trail Function Ähnlich definiert wie Alarm Reporting Function: Generische Klassifikation der Alarme Integrity Violation Daten wurden unberechtigt geändert, hinzugefügt oder gelöscht Operational Violation ein Dienst wurde unbefugt in Anspruch genommen Physical Violation ein physikalischer Einbruch wurde festgestellt Security Service or Mechanism Violation eine Sicherheitsattacke wurde bemerkt Time Domain Violation ein Ereignis trat außerhalb einer erlaubten Zeitperiode ein Weitere Angaben sind Security Alarm Type Security Alarm Cause Security Alarm Severity Security Alarm Detector Service User Service Provider PuVvKn, WS 2006/07 90 Verfeinerung der Log Control Function Fokus auf Notifikationen, die beim auftreten bestimmter sicherheitsrelevanter Ereignisse zu erzeugen sind Mögliche Ereignisse: Verbindungsauf- und abbau Anwendung von Funktionen des Sicherheitsmanagements Mitprotokollieren der Ressourcennutzung Zwei Security Audit Trail Types : Service Report (Bereitstellung, Ablegung oder Wiederaufnahme einer Dienstleistung) Usage Report (Statistische Daten) PuVvKn, WS 2006/07 91

5 Objects and Attributes for Access Control Operationen zur Einführung und Manipulation der Zugriffskontrolle auf Managed Objects Event Reports bei nicht-autorisierten Zugriffen respektive nicht-autorisierten verbindungen Access Control Decision Function Definition unterschiedlicher Sicherheitspolitiken Access Control Enforcement Function Durchsetzung der Sicherheitspolitik Usage Metering Function Einheitliches Beschreibungsschema für Abrechnungsdaten Spezifikation der Funktionalität zur Erfassung von Abrechnungsdaten Austausch von Abrechnungsdaten Usage Meter Organisation Abrechnungsmanagement Accounting Log Accounts Ressource Benutzer Subscriber PuVvKn, WS 2006/07 92 PuVvKn, WS 2006/07 93 Metric Objects and Attributes Test Function Generisches Modell für Schwellwertüberwachung Laufende Überwachung dynamischer Attribute Auslösung von Alarmen bei Überschreitung wählbarer Schwellwerte Drei Attributtypen Resource Request Rate Häufigkeit der Benutzung einer Ressource Resource Utilisation Durchschnittlicher Belegtheitsgrad einer Ressource Rejection Rate Häufigkeit der fehlgeschlagenen Anforderungen einer Ressource Drei Aspekte Datenerfassung Statistische Datenaufbereitung N Datenanalyse δt Gleitender Mittelwert PuVvKn, WS 2006/07 94 t Allgemein verwendbare Taxonomie für Tests Operationen zum Starten und zum Beenden von Tests Austauschformate für die Testergebnisse Einführung von Objektklassen: Test Performer Test Conductor Test Object (Un)Controlled Test Begriffswelt der OSI-Konformitätstests Managing System Test Conductor Test Request Test Response Optional: Event Report für Testergebnisse Managed System Test Performer PuVvKn, WS 2006/07 95

6 Summarization Function Summarization Vorgang Vorverarbeitung und Komprimierung von Daten innerhalb des Agenten Aggregation mehrere Attribute, auch von unterschiedlichen Managed Objects Reduktion des zu übertragenden Datenvolumens Statistische Algorithmen Mittelwertbildung Standardabweichung Erweiterung der Metric Objects and Attributes Grundlegendes Konzept: Scanner beobachtete Managed Objects Summary-report Request Beobachtete Attributwerte Sequentielles Abfragen der Attribute Event- Forwarding Discriminators Summarization Objects Summary-report Notifications Schedule controls Schedule Controls Summarization Model Logs PuVvKn, WS 2006/07 96 Event Reports PuVvKn, WS 2006/07 97 Confidence and Diagnostic Test Categories Verfeinerung der in der Test Function eingeführten Taxonomie durch die Definition konkreter Testkategorien: Interner Ressourcentest Konnektivitätstest Datenintegritätstest Schleifentest Echotest Protokolltest Ausführung von Tests zur Verfügbarkeit und Funktionstüchtigkeit von Ressourcen PuVvKn, WS 2006/07 98 Scheduling Function Zeitliche Steuerung von operationen Wählbare Perioden Starten und/oder Beenden bestimmter operationen Täglich Wöchentlich Monatlich Managed System Managing System Events Operations Events Operations Events Operations Scheduled Managed Object Scheduler Object Scheduled Managed Object PuVvKn, WS 2006/07 99

7 Knowledge Function Möglichkeiten des s abhängig von der Funktionalität, die der Agent unterstützt Manager muss den Funktionsumfang des Agenten kennen Anfragemöglichkeit, welche managementrelevante Information bei einem Agenten grundsätzlich unterstützt wird Managed Objects Conformance Statements Information Tree Beziehungen zwischen den Managed Objects Namensschemata Domänen Policies Benutzer... Change over Function Modellierung zur Weitergabe von Eigenschaften Beziehungen Rollen an andere Managed Objects: Active/Standby Back-Up/Backed-Up Primary/Secondary PuVvKn, WS 2006/ PuVvKn, WS 2006/ Software Function Aktivieren / Deaktivieren von Software Interaktive Aspekte des Herunterladens von Software Berücksichtigung von Kompatibilitätsaspekten Domains and Policy Functions Einrichten und Verwalten von Domänen (Verwaltungsbereichen) Zuordnen von Policies, also Regelwerken, zu einzelnen Domänen Administrative Domain Functional Domains Policy Control prozesse Object Knowlegde Kommunikationsumgebung Managed Objects / Ressourcen PuVvKn, WS 2006/ PuVvKn, WS 2006/07 103

8 Time Function Generischer Zeitdienst Basis: Zeitsynchronisationsprotokolle Notwendig zur zeitlichen Korrelation von ereignissen Berücksichtigung der unterschiedlichen Uhrzeiten der zu verwaltenden Ressourcen, die nur von Zeit zu Zeit gesetzt werden Zeit ist ein Tupel {mutmaßliche Zeit, geschätzte Genauigkeit} Synchronisation durch Out-of-band Rundrufsignal mit bekannten Übertragungsverzögerungen Billigere In-band-Signalisierung mit schwieriger Abschätzung der Übertragungsverzögerung Command Sequencer Steuerungsmechanismus für den Ablauf von funktionen Skriptsprache Bessere Anpassung von Agenten durch Anpassung seiner funktionalität Ansatz by Delegation Agent domäne Code in Skriptsprache Manager PuVvKn, WS 2006/ PuVvKn, WS 2006/ Response Time Monitoring Function Misst Verzögerung Round-Trip-Delay für Punkt-zu-Punkt-Verbindungen Multicast-Verbindungen nach verschiedenen Auswerteverfahren Literatur U. Black: Network Standards SNMP, CMIP, TMN, MIBs and Object Libraries (2nd Ed.). McGraw-Hill, New York, ISBN X. J. Seitz: Netzwerkmanagement. Thomson s aktuelle Tutorien TAT 2, International Thomson Publishing, Bonn, ISBN J. Westgate: Technical Guide for OSI. NCC Blackwell, Manchester; Oxford, ISBN PuVvKn, WS 2006/ PuVvKn, WS 2006/07 107