Cours Administration Reseau-Domga-2020_2021_New.pdf
1. Administration des réseaux
Principes - Modèle ISO – SNMP
Thomas DJOTIO NDIE,
Prof, Dr-Ing
Département GI
Ecole Nationale Supérieure Polytechnique
Rodrigue Domga Komguem, PhD
Département d'Informatique
Faculté des Sciences
2. Généralités sur
l'administration
Qu ’est-ce que l ’administration réseau ?
Les moyens de connaître l ’état physique et logique du réseau
Pourquoi ?
Permet une meilleure détection des problèmes utilisateurs
Comment ?
Par l ’intermédiaire d ’outils déterminant l ’accessibilité au
réseau et ceux exécutant des statistiques
Qui peut assurer cette responsabilité ? Limites et
diversité de compétences.
Technicien / Administrateur Réseau Vs Technicien /
Administrateur Système.
Les exigences sont les mêmes peu importe la dimension du
réseau
3. Plan du cours
Introduction à l’administration réseau
Definition, pertinence et importance de l’information
Convergence technologique
Pourquoi l’administration réseau
Actions essentielles en Administration réseau
Les Objectifs de l'administration
Information de gestion et architecture d’administration
Principes de l’administration réseau
Monitoring des services réseaux: ICMP, DHCP, DNS,
Réseaux programmables ou réseau définis par le logiciel
Protocoles et Modèles d’Administration réseau
Modèle de référence OSI: CMIS/CMIP
Modèles de IETF: SNMP et NetConf (exposé)
RADIUS
Cas de l’administration d’un NOC
Projets et exposés
5. Administration: définition
Petit Larousse illustré : Action de gérer
Un double point de vue :
Organisation
Ensemble des services offerts par cette
organisation
Administration ou Supervision Réseau
6. C’est quoi l’Administration
réseau?
Le terme administration de réseaux recouvre
l'ensemble des fonctions qui sont nécessaires
pour l'exploitation, la sécurité, le suivi et
l'entretien du réseau.
II est nécessaire de pouvoir initialiser de
nouveaux services, installer de nouvelles
stations raccordées au réseau, superviser
l'état du réseau global et de chacun de ses
sous ensembles, suivre de manière fine
l'évolution des performances, évaluer et
comparer diverses solutions, mettre fin à des
situations anormales.
7. Rôle de l'administration
réseau
Le rôle de l'administration du réseau est indissociable de la
structure d'organisation de l'entreprise.
Les fonctions assurées par un groupe d'utilisateurs (micro-
ordinateurs, robots,...) sont de première importance dans la
définition du service qui doit leur être fourni.
L'administrateur réseau doit posséder une bonne connaissance
des entités réseau qu'il contrôle et une compréhension claire
de la manière dont le réseau local est utilisé. Cette
connaissance est nécessaire pour permettre des actions
efficaces: réponses rapides aux questions posées par les
utilisateurs, suivi précis de l'utilisation effective du réseau,
évolution des logiciels, matériels, protocoles, applications.
La qualité de l’administration du réseau peut généralement
être jugée en fonction de la disponibilité (i.e. durée de
fonctionnement sans interruption) et du temps de réponse.
8. Pourquoi l’Administration
Réseau? 1/7
Les services informatiques attachent beaucoup
d’importance à la donnée elle-même, à son
traitement par les applications, à son intégrité et
à sa pérennité, avec les systèmes de sauvegarde
et un archivage cohérent.
Concepts : Haute disponibilité avec des serveurs
à tolérance de panne, performance
9. Pourquoi l’Administration
Réseau? 2/7
Pertinence et importance de l’information / la
donnée
Information = matière première des
Entreprises, des Administrations et des
Collectivités Locales
Hier, centralisée sur les gros systèmes
propriétaires
Aujourd’hui accessible partout et organisée de
façon multisite emprunte plusieurs chemins
pour arriver jusqu’au poste de travail.
Importante dans l’entreprise peu importe sa
taille, son activité, sa situation géographique
10. Pourquoi l’Administration Réseau?
3/7
Convergence technologique= multivue de l’information
Evolution & convergence vers Une seule technologie,
Un seul protocole de communication, Un seul réseau
A l’origine complètement indépendante les uns des autres,
les médias résultant de la communication au sein de
l’entreprise manipulent la même information sous
plusieurs formes grâce aux applications informatiques:
conversations téléphoniques, visioconférences
Autrement dit le fonctionnement dudit réseau devient
stratégique, et ses blocages ou disfonctionnements
doivent être résolus rapidement voir largement anticipés
11. C’est quoi l’administration réseau?
4/7
Assurez-vous que le réseau est opérationnel.
Besoin de le surveiller
Livrer des accords de niveau de service projetés
(SLA)
Dépend de la politique/stratégie
Qu'attend votre direction?
Qu'attendent vos utilisateurs?
Qu'attendent vos clients?
Qu'attend le reste de l'Internet?
24x7 est-il suffisant?
Il n'y a pas mieux et important d’une disponibilité à
100%
12. C’est quoi l’administration
réseau? 5/7
Puisque nous avons des commutateurs qui prennent
en charge SNMP…
Utiliser des outils du domaine public pour exécuter
une commande ping sur tous les commutateurs et
routeurs de votre réseau et vous les signaler
Nagios http://nagios.org/
Sysmon http://www.sysmon.org/
Open NMShttp://www.opennms.org/
L'objectif est de savoir que votre réseau peut avoir
des problèmes avant que les utilisateurs ne
commencent à appeler.
13. C’est quoi l’administration
réseau? 6/7
Que faut-il pour assurer une disponibilité de 99,9%?
30,5 x 24 = 732 heures le mois
(732 – (732 x .999)) x 60 = 44 minutes maximum de
temps
d'arrêt par mois!
Besoin d'arrêter 1 heure / semaine?
(732 - 4) / 732 x 100 = 99.4 %
N'oubliez pas de tenir compte de la maintenance planifiée
dans vos calculs et informez vos utilisateurs / clients
s’ils sont inclus / exclus dans le contrat de niveau de
service SLA.
Comment la disponibilité est-elle mesurée?
Dans le noyau? De bout en bout? De l'Internet?
Comment la disponibilité est-elle mesurée?
Dans le noyau? De bout en bout? De l'Internet?
14. C’est quoi l’administration
réseau? 7/7
Savoir quand mettre à niveau
Votre utilisation de la bande passante est-elle trop élevée?
Où va votre trafic?
Avez-vous besoin d'obtenir une ligne plus rapide ou plus
de fournisseurs?
L'équipement est-il trop vieux?
Garder une trace d'audit des modifications
Record all changes
Enregistrer tous les changements
Facilite la recherche des causes de problèmes dus aux
mises
à niveau et aux modifications de configuration
Où consolider toutes ces fonctions?
Dans le Network Operation Center (NOC)
15. Actions essentielles en
Administration réseau
L'administrateur a besoin de trois grands types d'actions pour agir et
suivre son réseau :
Des actions en temps réel pour connaître l'état de fonctionnement
de son réseau (surveillance et diagnostic des incidents, mesure de la
charge réelle, maintenance, contrôle, information aux utilisateurs,...)
et agir sur celui-ci (réparation, ajout de nouveaux utilisateurs,
retraits,...), assurer la sécurité (contrôler les accès, créer/retirer des
droits d'accès,...).
Des actions différées pour planifier, optimiser, quantifier et gérer
les évolutions du réseau (statistiques, comptabilité, facturation,
prévention, évaluation de charges,...).
Des actions prévisionnelles qui lui permettent d'avoir une vision à
moyen et long terme, d'évaluer des solutions alternatives, de choisir
les nouvelles générations de produits, d'envisager les configurations,
de décider du plan d’extension, de vérifier la pertinence de la solution
réseau pour un problème donné…
16. Comment bien y arriver ??
L'ensemble de ces objectifs ne peut être satisfait par un
outil unique.
Il est nécessaire de faire appel à plusieurs techniques de
l'informatique et des mathématiques pour répondre à
ces divers besoins. Nous distinguerons
les fonctions liées à la gestion au jour le jour du
réseau appelées outils d'administration (ou LAN
manager),
les outils de configuration et
les outils d'analyse et de mesure: analyseurs de
protocoles, simulation et théorie des files
d'attentes.
17. Procédures d'interventions
Pour effectuer une bonne administration,
l’administrateur a besoin de procédures
d'interventions et d'outils adaptés aux conditions
d'exploitation du réseau.
Dans un environnement réseau les procédures les
plus fréquemment citées sont :
Sauvegardes
Gestion de l’espace disque
Implantation de logiciel
Implantation de nouvelles versions
Modification de configuration
Rechargement de fichier
Gestion des droits d’accès
…
18. Fonctions spécifiques de l’
AR
Dans ces procédures, nous devons distinguer ce qui concerne
spécifiquement le réseau et ce qui est du domaine des
applications. II y a bien sûr un lien étroit entre ces deux domaines. Par
exemple, l’implantation d'un logiciel est du domaine des applications
mais est liée à la définition de son adresse réseau. Les types de
services liés aux applications sont dépendants des systèmes
d'exploitation des stations du réseau, par contre certaines fonctions
sont spécifiques au réseau et doivent rester transparentes aux
utilisateurs :
méthode de configuration du réseau (nom et adresse des
stations, localisation, . . . )
initialisation du réseau
détection, localisation et réparation des fautes qui peuvent
se produire dans le réseau
gestion et diffusion du logiciel: outil assurant la diffusion des
logiciels réseau par transfert de fichiers et mémorisation des
versions disponibles sur chacun des postes du réseau
19. Fonctions spécifiques de l’
AR(suite)
gestion des erreurs et des incidents: outils déterminant la cause
des incidents, il faudra pouvoir sélectionner les applications et les
objets concernés, afficher les erreurs, les historiques, les états, et
lancer des procédures de test
la visualisation de la configuration et de l'état du réseau
la visualisation des éléments de statistiques ou mesures des
différents éléments du réseau; il faut mesurer la charge des
ressources réseau (canal, segment du réseau, nombre de messages,
taille des messages, couples source-destination, fréquence,...) pour
améliorer leur utilisation et prévoir les extensions possibles; de même,
il faudra mesurer les temps de réponse (moyen, maximum, en fonction
de l'heure de la journée, en fonction de la charge du canal, du
coupleur), déterminer la configuration optimale en fonction de la
charge du réseau, et mesurer la réserve de puissance ainsi que la
capacité d'extension
20. Fonctions spécifiques de l’
AR(suite)
quantité de trafic allant d'un sous réseau à un autre
sous réseau. Nombre de messages traversant les ponts,
les routeurs, délai de traversée,. ..
surveillance: outil de visualisation en temps réel de la
disponibilité du réseau; I'alerte sera donnée par des
critères paramétrables tels que le taux d'occupation du
canal, la taille des files d'attente, le nombre de messages
par seconde, etc.
protection des informations et vérification des sources et
des destinataires des requêtes
authenticité et validation du nom de la station,
codification/identification et administration des mots de
passe.
21. Accès à l’information de
gestion
Toutes les fonctions précédentes nécessitent un transport
d'informations entre le gestionnaire du réseau et les
entités qui composent le réseau.
Une base de données d'informations d'administration sera
constituée sur un site spécialisé à cet effet qui collecte et
distribue les informations relatives à l'ensemble du réseau.
L'accès à cette base de données est effectué par un
ensemble de fonctions accessibles soit uniquement par
l'administrateur, soit par n'importe quel utilisateur du réseau
selon le type de fonction.
L’administrateur peut accéder par l’intermédiaire des fonctions
administration à tous les paramètres réseaux de tous les sites.
Chaque utilisateur peut accéder à une partie de la base de
donnée via les fonctions qui lui sont offertes.
22. Accès à l’information de gestion
(suite)
RFC 1173 : Obligation d’un gérant
local vis-à-vis de l’extérieur
Être connu et accessible de
l’extérieur
Avoir un droit d’intervention sur les
entités du réseau
Ne pas offrir d’accès anonyme à
Internet
23. Accès à l’information de gestion
(suite)
RFC 1173 : Obligation d’un gérant
local vis-à-vis de l’extérieur
Être connu et accessible de
l’extérieur
Avoir un droit d’intervention sur les
entités du réseau
Ne pas offrir d’accès anonyme à
Internet
24. Stratégies d’administration des
réseaux 1/2
Trois (3) points de vue
Utilisateurs => Qualité de services
Entités à gérer
Outils de gestion
Configuration automatique : « Plug and Play /
Pray »
on branche et ça marche
aucun paramètre à définir
Configuration « à la main »
ex : à chaque ajout de terminal, lui affecter
statiquement une adresse IP
25. Stratégie d’administration des
réseaux 2/2
But de l’administrateur : tirer le meilleur
profit du matériel présent
Nécessité de trouver un compromis entre
plusieurs approches
Une stratégie est propre à chaque entité
gérante (entreprise, laboratoire, etc.)
Supervision ou Administration?
Tout constructeur d’éléments actifs propose
aujourd’hui des solutions à même de surveiller le
réseau de l’entreprise, de comprendre les
incidents qui peuvent le perturber et les résoudre
28. Information
d’administration
Chaque entité gère des variables
décrivant son état
Une variable est appelée objet
L’ensemble des objets d’un réseau
se trouve dans la MIB (Management
Information Base)
30. Protocole
d’administration
La station d’administration interagit
avec les agents:
Communication type question/réponse
Interrogation de l’état des objets locaux
d’un agent
Changement de l’état d’un objet
32. Les protocoles
d’administration
CMIP
Common Management Information
Protocol
Fonctionne avec la pile de
communication OSI
SNMP
Simple Network Management Protocol
Fonctionne sous TCP/IP
33. La gestion ISO
5 critères de gestion
gestion des configurations
gestion des performances
gestion des anomalies
gestion de la sécurité
gestion des informations comptables
34. Les informations disponibles
via les protocoles
Stockées dans un MIB (Management
Information Base)
MIB
structure en arbre définie par l’ISO
plus on va vers les feuilles, plus les infos
sont spécifiques.
36. Les informations disponibles
via les protocoles
Stockées dans un MIB (Management
Information Base)
MIB
structure en arbre définie par l’ISO
plus on va vers les feuilles, plus les infos
sont spécifiques.
37. Architecture OSI
d’administration réseaux
2 types d’application processes
managers sur les systèmes
d ’administration
agents sur les systèmes administrés
Dialogue manager-agent utilise un
ensemble de protocoles
38. Architecture OSI
d’administration réseaux (2)
Un agent contrôle des managed
objects
Un modem
Une table de routage IP
Une connexion TCP
Le manager
Envoie des ordres aux agents (self-test)
Reçoit des informations des agents (lit
une variable)
Fixe des valeurs (écrit une variable)
39. Modèle d’administration
L’administration peut être vue au
travers de 4 modèles
Modèle organisationnel
Modèle fonctionnel
Modèle d’information
Modèle communicationnel
40. Modèle organisationnel
Le modèle d'organisation décrit les composants de
l'administration réseau, par exemple administrateur,
agent, et ainsi de suite, avec leurs relations.
Le niveau organisationnel décrit la répartition de
l'administration de réseaux OSI entre :
agent et rôle d'agent,
manager et rôle manager,
Notion de domaine d’administration
Utilité
Mise à l’échelle
Sécurité
Autonomie d'administration
41. Modèle organisationnel
(2)
Répartition des agents/managers
Un domaine peut comporter plusieurs
agents/managers
1 agent/manager peut être partagé entre plusieurs
domaines
Système d’administration coopératif et distribué
Partition des activités de l'administration
Les activités d'administration sont réalisées au travers
de la manipulation des objets gérés. Les interactions
entre AE (Application Entities) utilisent les services et
les opérations.
42. Modèle fonctionnel
5 Specific Management Functionnal
Areas (SMFA)
Gestion des erreurs ou d’anomalies
▪ Détecter, isoler, corriger les erreurs du réseau
Gestion de la configuration
▪ Configuration distante d'éléments du réseau
Gestion des performances
▪ Evaluation des performances
43. Modèle fonctionnel (2)
Gestion de comptes utilisateurs
Faire payer l’utilisation du réseau en
fonction de son utilisation
Limiter l’utilisation des ressources
Gestion de la sécurité
Contrôle d’accès
Authentification
Cryptage
la gestion financière.
44. Modèle d’information
Le niveau informationnel prend en compte
la base d'information d'administration mise
à disposition par la MIB qui est une base de
données qui référence l'ensemble des
objets définis et gérés dans le réseau.
Structure of Management Information (SMI)
Ensemble de conventions pour la description et
l’identification des données
Permet à n’importe quel type de protocole de
manipuler les données (CMIP ou SNMP)
45. Modèle d’information
Le niveau informationnel prend en compte
la base d'information d'administration mise
à disposition par la MIB qui est une base de
données qui référence l'ensemble des
objets définis et gérés dans le réseau.
Structure of Management Information (SMI)
Ensemble de conventions pour la description et
l’identification des données
Permet à n’importe quel type de protocole de
manipuler les données (CMIP ou SNMP)
46. Modèle d’information (2)
Management Information Base (MIB)
Dépôt conceptuel d’information de gestion
Ensemble des informations nécessaires à l'administration
Ne se préoccupe pas de l’aspect stockage des informations
En resumé, le modèle d’informations est relatif à la structure
et au stockage des informations d'administration réseau. Ces
informations sont stockées dans une base de données,
appelée base d'informations de management (MIB). L'ISO a
établi la structure des informations d'administration (SMI)
pour définir la syntaxe et la sémantique des informations
d'administration stockées dans la MIB.
47. Modèle communicationel
Le modèle de communication traite de la manière
dont les données d'administration sont
transmises entre les processus agent et
administrateur.
Le niveau communication permet l'interaction
entre l'application manager / agent et
l'application agent / manager au travers du
service CMIS et du protocole CMIP qui le véhicule.
51. Ifconfig (1)
ifconfig -a | nom_interface @IP netmask broadcast...
ifconfig permet de configurer une interface réseau ...
et de fixer le netmask et le broadcast :
ifconfig le0 @ip netmask masque broadcast @ip
ifconfig le0 netmask + broadcast +
...ou de connaître la configuration de toutes les
interfaces :
ifconfig -a
ifconfig permet aussi de lire l'état d'une interface:
ifconfig nom_interface
52. Ifconfig (2) Exemple
$ ifconfig -a
fxp0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
inet 134.157.0.129 netmask 0xffffff80 broadcast 134.157.0.255
ether 00:a0:c9:93:7f:21
media: 100baseTX <full-duplex>
status: active
supported media: autoselect 100baseTX <full-duplex> 100baseTX 10baseT/UTP
<full-duplex> 10baseT/UTP
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> mtu 16384
inet 127.0.0.1 netmask 0xff000000
53. Route
route add | delete destination gateway
metric
route permet la mise à jour de la table
de routage
route add default r-reseau.jussieu.fr 1
route delete 224.0.0.0 tethys 1
ATTENTION aux spécificités de cette
commande pour chaque système...
54. Netstat (1)
netstat -i | -s | -a | -r | -n
Netstat fournit des statistiques sur
les :
▪ paquets émis ou reçus
▪ erreurs
▪ collisions
▪ protocoles utilisés
55. Netstat (2)
Et aussi :
le nom et l'état des interfaces du
système
. netstat -i
le contenu de la table de routage
. netstat -r | n
ainsi que l'état de tous les sockets
. netstat -a
57. Ping Unix - Windows
ping -s | -v nom_machine
ping permet de vérifier l'accessibilité d'une
machine distante:
ping nom_machine
... Et de déterminer le temps de transit (RTT)
ping -s nom_machine (suivant OS. Ping sans
paramètre vous donne les différentes options)
Ex : ping 134.157.0.129
PING 134.157.0.129: 64 byte packets
64 bytes from 134.157.0.129: icmp_seq=0. time=0. ms
64 bytes from 134.157.0.129: icmp_seq=1. time=0. ms
58. Etherfind
etherfind -i nom_interf | -x | regexp
commande SUN OS
etherfind permet de tracer les trames qui
circulent sur le câble
de visualiser les protocoles utilisés
d'analyser leur contenu (en Hexa !)
etherfind -i le0 -less 100000
etherfind -i le1 -broadcast
etherfind -i le0 -apple
59. Snoop
snoop -s | -d interf_name | -c max_count | -S size | -v | -
V | -D | @IP ...
snoop permet de suivre le trafic entre plusieurs
machines et de l'analyser au vol ou off-line.
En standard sur les machines sous Solaris
Equivalent de tcpdump sous BSD et de Etherfind
sous SUN OS
Analyse en clair :
des trames Ethernet
des paquets IP...
Nombreux filtres
60. Nslookup
nslookup | nom_machine | @IP
nslookup interroge des Serveurs de Noms
sur les ressources d'un domaine
particulier :
Adresse IP et nom d'une machine
Adresse du serveur de messagerie du domaine
SOA ...
? pour obtenir les commandes
disponibles
62. Traceroute Unix
traceroute -m | -g | -v Nom_machine |
@IP
traceroute affiche la liste des routeurs traversés par
les paquets IP pour atteindre la machine distante.
le nombre de sauts est limité à 30, on peut le
modifier:
traceroute -m nb_de_sauts_autorisés
Ex : traceroute 134.157.0.129
traceroute to 134.157.0.129 (134.157.0.129), 30 hops max, 20
byte packets
1 r-jusren.reseau.jussieu.fr (134.157.254.126) 1 ms 1 ms 2
ms
2 shiva.jussieu.fr (134.157.0.129) 1 ms 1 ms 1 ms
63. Traceroute Windows
tracert -h Nom_machine | @IP
tracert affiche la liste des routeurs traversés par les
paquets IP pour atteindre la machine distante.
le nombre de sauts est limité à 30, on peut le
modifier:
traceroute -h nb_de_sauts_autorisés
Ex : tracert 134.157.0.129
tracert to 134.157.0.129 (134.157.0.129), 30 hops max, 20 byte
packets
1 r-jusren.reseau.jussieu.fr (134.157.254.126) 1 ms 1 ms 2
ms
2 shiva.jussieu.fr (134.157.0.129) 1 ms 1 ms 1 ms
64. Fping
fping -e | -f nom_fichier | -s noms_machines
fping -comparable à ping- permet de
tester l'accessibilité de plusieurs
machines distantes simultanément
bien conçu pour être inclus dans des shell
scripts
attention à la bande passante du
réseau !!
65. Whois (1)
whois -h nom_serveur Nom(s) | @IP...
whois permet d'interroger une base de
données contenant des informations sur les
réseaux et leurs administrateurs.
les serveurs incontournables :
rs.internic.net réseaux hors Europe
whois.ripe.net réseaux européens
whois.nic.fr réseaux français
66. Whois (2)
types d'informations consultables :
nom de domaine: réseaux, admin.,
@serveurs ...
No de réseau: nom, admin., système
autonome...
nom de personne: @ postale, e-mail, tel.,
fax...
numéro de système autonome:
politique de routage, gardien...
vous êtes en charge d'un de ces objets :
pensez à l'enregistrer et à le maintenir à
jour dans la base de données.
68. Protocoles ISO de la couche
application
Managers et agents doivent pouvoir
communiquer
Application Entity (AE)
la partie d’une Application Process
dévolue à la communication
Ensemble de capacités de
communication
Application Association
connexion de niveau 7 nécessaire pour
que deux AE puissent communiquer
69. Protocoles ISO de la couche
application (2)
AE repose sur les Applications
Service Elements (ASE)
CASE (Common Application Service
Element)
▪ ACSE : Association Control Service Element
▪ ROSE : Remote Operation Service Element
SASE (Specific Application Service
Element)
▪ CMISE : Common Management Information
Service Element
70. ASCE: Association Control
Service Element
Association Control Service Element
Sert à établir et à fermer une
connexion entre AE
Identifie les AE (identifiant unique)
Définit un contexte de travail (variables
partagées)
Définit les autres protocoles utilisable
au-dessus
Nécessaire pour l’utilisation de CMIP
71. ROSE: Remote Operation
Service Element
Remote Operation Service Element
Equivalent ISO des RPC de Sun
Invocation d’une opération à distance
Nécessite une association pour
fonctionner
Utilisé par CMIP pour l’envoie de
requêtes, et la gestion des erreurs
72. CMISE: Common Management
Information Service Element
Common Management Information
Service Element
Fournit les service CMIS (Common
Management Information Service)
Services de base pour l’administration
Nécessite l’utilisation de ROSE et ACSE
Offre des services acquîtés ou non
pour:
Rapporter des événements
Manipuler les données d’administration
73. CMISE (2)
On définit 2 types d’entités CMISE
CMISE-Service-Provider
▪ fournit le service CMIS
CMISE-Service-User
▪ Invoking-CMISE-SU : invoque un service CMIS
▪ Performing-CMISE-SU : exécute le service
CMIS
74. CMIS : Gestion des
associations
Ce sont des appels à ACSE
M-INITIALISE
▪ établit une association entre 2 CMISE-SU dans
le but d’échanger des informations de gestion
M-TERMINATE
▪ pour fermer une association (procédure
normale) invoquée par un CMISE-SU
M-ABORT
▪ pour fermer de façon autoritaire une
association invoquée par un CMISE-SU ou un
CMISE-SP
75. CMIS : gestion des
notifications
M-EVENT-REPORT
invoqué par un CMISE-SU pour notifier
un événement issue d’un objet
administré à un CMISE-SU
76. CMIS : gestion des
opérations
M-GET
▪ pour obtenir la valeur
M-SET
▪ pour mettre à jour une information de gestion
M-ACTION
▪ pour faire exécuter une action
M-CREATE
▪ pour créer une nouvelle instance d’un objet
M-DELETE
▪ pour supprimer une instance d’un objet
79. CMOT
CMIP Over TCP/IP
Montrer que le modèle OSI peut être appliqué sur
TCP/IP
Migrer TCP/IP vers les protocoles de l’ISO
Architecture basée sur CMISE, ROSE, ACSE
Utilise SMI, MIB
Définit un protocole et une architecture pour
l’administration de réseaux
Le développement des applications est laissé à des
tiers
80. CMOT : Modèle de
gestion
Modèle organisationnel
Se limite à un seul domaine
Modèle fonctionnel
Prévoit de répondre au 5 SMFA au
travers de CMISE
Modèle d’information
Internet SMI : ISO SMI modifié par l’IETF
81. CMOT : architecture du
protocole
Pouvoir mapper l’architecture OSI
dans le monde TCP/IP
Couche d’adaptation utilisant LPP
Lightweigth Presentation Protocol
Vraie couche de niveau 6
Passer à ISO en remplaçant TCP, UDP, IP
La couche 7 restera inchangée
83. ANS.1: Un consorptium
The ASN.1 Consortium is an internationally recognized non-profit
organization whose mission is to promote the use of ASN.1
technology. This global initiative is achieved by the cooperative
efforts of organizations that use ASN.1 to define standards and
develop applications, and through liaison agreements with the
ITU-T (http://www.asn1.org/)
In telecommunications and computer networking, Abstract
Syntax Notation One is a standard and flexible notation that
describes data structures for representing, encoding,
transmitting, and decoding data. It provides a set of formal
rules for describing the structure of objects that are independent
of machine-specific encoding techniques and is a precise, formal
notation that removes ambiguities
http://en.wikipedia.org/wiki/Abstract_Syntax_Notation_One.
84. ANS.1: Un consorptium
The ASN.1 Consortium is an internationally recognized non-profit
organization whose mission is to promote the use of ASN.1
technology. This global initiative is achieved by the cooperative
efforts of organizations that use ASN.1 to define standards and
develop applications, and through liaison agreements with the
ITU-T (http://www.asn1.org/)
In telecommunications and computer networking, Abstract
Syntax Notation One is a standard and flexible notation that
describes data structures for representing, encoding,
transmitting, and decoding data. It provides a set of formal
rules for describing the structure of objects that are independent
of machine-specific encoding techniques and is a precise, formal
notation that removes ambiguities
http://en.wikipedia.org/wiki/Abstract_Syntax_Notation_One.
85. Description de données
Déclarations ASN.1 similaires aux
déclarations en C
Types de données:
Existence de types prédéfinis
Possibilité de sous-typage
Possibilité de créer de nouveaux types
87. ASN.1: Exemple
Data structures of Foo Protocol defined using the
ASN.1 notation:
FooProtocol DEFINITIONS ::= BEGIN
FooQuestion ::= SEQUENCE {
trackingNumber INTEGER,
question IA5String }
FooAnswer ::= SEQUENCE {
questionNumber INTEGER,
answer BOOLEAN }
END
This could be a specification published by creators of
Foo protocol. ASN.1 does not define conversation
flows. This is up to the textual description of the
88. ASN.1: Exemple (continue)
Assuming a message, which complies with Foo protocol
and which will be sent to the receiving party. This
particular message (PDU) is:
myQuestion FooQuestion ::= {
trackingNumber 5,
question "Anybody there?"
}
To send the above message through the network one
needs to encode it to a string of bits. ASN.1 defines
various algorithms to accomplish that task, called
Encoding rules. There are plenty of them; one of the
simplest is Distinguished Encoding Rules (DER).
The Foo protocol specification should explicitly name one
set of encoding rules to use, so that users of the Foo
protocol know they should use DER.
89. ASN.1: Example encoded in
DER
The data structure illustrated above encoded in the DER format
(all numbers are in hexadecimal):
30 -- tag indicating SEQUENCE
13 -- length in octets
02 -- tag indicating INTEGER
01 -- length in octets
05 -- value
16 -- tag indicating IA5String
0e -- length in octets
41 6e 79 62 6f 64 79 20 74 68 65 72 65 3f -- value ("Anybody there?" in
ASCII)
Note: DER uses a pattern of tag-length-value triplets
So what one actually gets is the string of 21 octets:
30 13 02 01 05 16 0e 41 6e 79 62 6f 64 79 20 74 68 65 72 65 3f
The scope of ASN.1 and DER ends here. It is possible to
transmit the encoded message to the party by any
means (utilizing TCP or any other protocol). The party
should be able to decode the octets back using DER.
90. Example encoded in XER
Alternatively, it is possible to encode
the same ASN.1 data structure with
XER (XML Encoding Rules) to achieve
greater human readability "over the
wire". It would then appear like the
following 108 octets:
<FooQuestion>
<trackingNumber>5</trackingNumber>
<question>Anybody there?</question>
</FooQuestion>
91. Identification des objets
Utilisation d’un arbre de nommage
Chaque objet normalisé doit se trouver à
un emplacement unique de l’arbre
Nœuds identifiés par un couple
étiquette(nombre) ou par le nombre seul
Identification des objets par la liste
des nœuds
Exemple: { iso(1) organisation
identifiée(3) dod(6) internet(1)
admin(2) }
93. Management
Information Base
Management Information Base
Définit les informations gérées par la base de données :
Ces informations pourront être interrogées/modifiées par
les administrateurs
Catégories d'information d'administration :
system : système et informations générales
interfaces : interface d'accès au réseau (coupleur,
contrôleur, …)
addr.trans. : adressage (ARP...)
ip : protocole IP
tcp : protocole TCP
udp : protocole UDP
egp : protocole EGP
trans : informations sur les lignes de transmission
snmp : protocole SNMP
95. Exemples de définition des
objets
Définition de variable:
compteur INTEGER ::= 100
Définition d’objet:
internet OBJECT IDENTIFIER
::= { iso org(3) dod(6) 1 }
96. Exemples de définition
de type
Définition de sous-types:
Status ::= INTEGER { haut(1), bas(2) }
TaillePaquet ::= INTEGER(0..1023)
Définition d’un nouveau type:
AtEntry ::= SEQUENCE {
atIndex INTEGER,
atPhysAddress OCTET STRING,
atNetAddress NetworkAddress
}
97. Syntaxe de transfert
ASN.1
Définit la façon dont les valeurs des
types ASN.1 sont converties sans
ambiguïté possible en une suite
d’octets
SNMP utilise BER (Basic Encoding
Rules)
98. Codage
Maximum quatre champs:
Identificateur (type ou étiquette)
Longueur du champ de données
Champ de données
Drapeau de fin de données si la longueur
des données est inconnue (interdit par
SNMP)
99. Codage de
l’identificateur (1)
2 bits: étiquette
00 Universel
01 Application
10 Spécifique du contexte
11 Privé
1 bit:
0 Type primitif
1 Type construit
100. Codage de
l’identificateur (2)
5 bits:
valeur de l’étiquette si elle est comprise
entre 0 et 30
11111 sinon (valeur dans l’octet suivant)
Valeur de l’étiquette:
Code associé au type de base (2 pour
INTEGER, 4 pour OCTET STRING...)
16 pour SEQUENCE et SEQUENCE OF
101. Codage de la longueur
Longueur < 128:
Codage immédiat (bit de poids fort à 0)
Longueur >= 128:
Premier octet: bit de poids fort à 1 et
longueur du champ dans les 7 bits de
poids faibles
Octets suivants: la longueur
102. Codage des données
Dépend du type de données
Exemple: entier
Codé en complément à 2
Entier positif < 128 codé sur 1 octet
Entier positif < 32768 codé sur 2 octets
104. Informations de Gestion
CMIS
La description des informations de
gestion recouvre 2 aspects
Structure of Management Information
(SMI)
▪ Structure logique des informations de gestion
▪ Identification et Description de ces
informations
Management Information Base (MIB)
▪ Objets réellement gérés
105. Structure of Management
Information
Utilise un sous-ensemble de ASN.1
Objets administrables
Hiérarchie des informations de
gestion
Registration Hierarchy
Containment Hierarchy
Inheritance Hierarchy
106. Objets administrables
Repose sur les concepts « objet »
Une entité administrable du réseau est
vue comme un objet
On a des classes qui correspondent à un
type d’entité
On a des instances qui correspondent
aux entités vivant sur le réseau
▪ la classe « transport connection » est
instanciée à chaque nouvelle connexion
▪ Autres exemple???
107. Les Hiérarchies
Registration Hierarchy
Utilise l’arbre de nommage de ASN.1
Containment Hierarchy
une classe peut en contenir d’autres
▪ Identification unique
▪ Relation de persistance
Inheritance Hierarchy
Liée à la notion d’héritage
108. MIB: Management Information Base
Dépôt conceptuel d’information de
gestion
Ne se préoccupe pas du stockage
physique
Ensemble des instances à un instant
donné
RFC 1156
Définit 8 groupes d’objets de base
RFC 1213
MIB-II
112. Retour sur CMIS: Un Exemple
Opérations sur des ensembles
d’objets
Scoping
▪ Lié à la Containment Hierarchy, on
sélectionne:
▪ Objet de base seul
▪ Descendant de Nème
niveau
▪ Objet + descendant (jusqu’au Nème
niveau)
Filtering
▪ Applique un test à l’ensemble des objets pour
en extraire un sous-ensemble
113. Retour sur CMIS (2)
Synchronisation
Best Effort
▪ l’échec d’une MAJ n’entraîne pas l’arrêt des
autres MAJ
Atomic
▪ tout ou rien
Linked Replies
Chaînage des trames CMIP
118. Systems management
functions
Documents de l’ISO qui normalisent
les échanges entre managers et
agents
Sur la couche CMIP
Gestion des objets (10164-1)
Gestion des états (10164-2)
en/hors service, inactif, actif …
Gestion des relations (10164-3)
119. Systems management
functions (2)
Gestion des alarmes (10164-4)
Gestion des événements (10164-5)
Gestion des journaux (10164-6)
Gestion de la sécurité (10164-7)
+ 6 autres extensions
121. Introduction
ARPANET:
Analyse des problèmes avec ping
utilise UDP : transmission simple !
Internet:
Méthode ping non viable
SNMP v1 en 1990 (RFC 1157)
Norme OSI d'administration de réseau (ISO 7498)
:
CMIS/CMIP (ISO 9595 et 9596) :
Common Management Information
Service/Protocol
☞ CMOP (CMIP over TCP) : rfc1189.
122. Introduction
MIB (Management Information Base) : rfc
1156
☞ Base de données répartie
++indépendance vis-à-vis des protocoles
(uniforme)
-- uniformité ≠ adaptabilité aux différents
besoins
(Ethernet : rfc 1398, FDDI : rfc 1512, pont :
rfc 1493, DEC : rfc 1289) ☞ MIB-II : rfc 1213
(1993)
SNMP est désormais un standard
123. Introduction
Modèle SNMP: communication entre
agents et station d’administration
hétérogènes
Plateformes "Intégrées"
Outils du Domaine Public
Problèmes:
Définition des objets standard et indépendante
des constructeurs
Technique standard de codage des objets
Utilisation d’ASN.1
124. Composants d’un réseau
Nœuds administrés
Stations d’administration
Information d’administration
Protocole d’administration
125. Nœud administré
Entité capable de communiquer des
informations d’état
Hôtes, routeurs, ponts, imprimantes…
Exécute un agent SNMP
Processus d’administration SNMP gérant
une base de données locale de variables
donnant l’état et l’historique
126. Architecture générale
L'agent est chargé de gérer les équipements : il en propose
une certaine vue.
L'administrateur peut interroger/piloter les équipements par
l'intermédiaire des agents. Des proxys peuvent être utilisés
pour réaliser une adaptation (d'équipement ou protocolaire)
127. Station d’administration
Ordinateur exécutant un logiciel
particulier
Communique avec les agents
Envoi de commandes/réception de
réponses
Avantage:
Agents très simples
128. Agent mandataire
Cas où un nœud n’est pas capable
d’exécuter un agent
Agent mandataire (proxy agent):
Situé sur un autre nœud
Communique avec l’entité à administrer
dans un protocole non standard
Communique avec la station
d’administration en utilisant SNMP
129. MIB: Management
Information Base
Définit les informations gérées par la base de
données : Ces informations pourront être
interrogées/modifiées par les administrateurs
Catégories d'information d'administration :
system : système et informations générales
interfaces : interface d'accès au réseau (coupleur,
contrôleur, …)
addr.trans. : adressage (ARP...)
ip : protocole IP
tcp : protocole TCP
udp : protocole UDP
egp : protocole EGP
trans : informations sur les lignes de
transmission
snmp : protocole SNMP
130. MIB: Exemples de
variables
Nom Catégorie Sémantique
sysUpTime system durée depuis le démarrage
ifNumber interfaces nombre d'interfaces d'accès
ifMtu interfaces MTU(maximum transfer unit) d'une interface
d'accès
ipInReceives ip nombre de datagrammes reçus
ipFragsOKs ip nombre de fragments correctement reçus
ipRouteTable ip table de routage
tcpRtoMin tcp durée minimale du temporisateur de
retransmission
udpInDatagrams udp nombre de paquets UDP reçus
131. Représentation des
données
Les informations de la MIB peuvent
être
simple : ipInReceives = [0 à 232
-1]
complexe : ipRouteTable !!!
typée : ipAdresss (4 octets)
133. Format des PDU (1)
Get, Get-next, Inform, Response, Set
et Trap:
PDU
Type
Request
ID
Error
status
Error index Variable bindings
PDU Type: Identification du message
Request ID: Correspondance requête/réponse
Error status: Type d’erreur (réponse)
Error index: Correspondance erreur/variable (réponse)
Variable bindings:Correspondance variable/valeur
134. Format des PDU (2)
Get-bulk:
PDU
Type
Request
ID
Non-
repeaters
Max-
repetitions
Variable
bindings
PDU Type, Request ID et Variable bindings: Mêmes fonctions
Non-repeaters: Nombre de variables demandées au travers de
Variable bindings devant être retournées sans
répétition
Max-repetitions: Nombre de répétitions des variables restantes dans
Variable bindings
135. Requête Get-bulk
Requête:
Réponse:
Get-bulk Request ID 3 4 A, B, C, D, E
Response Request ID 0 0 A, B, C, D0, D1, D2, D3, E0, E1, E2, E3
136. Format des messages
(1)
Non sécurisé
Authentifié mais non privé
Privé et authentifié
Destination Unused Destination Source Context PDU
Destination Digest Destination
timestamp
Source
timestamp
Destination Source Context PDU
Destination Digest Destination
timestamp
Source
timestamp
Destination Source Context PDU
Crypté
137. Format des messages
(2)
Context: Collection de ressources
accessibles par une entité SNMPv2
Digest: Résultat de l’algorithme de
hachage
Destination timestamp: Dernière
horloge du récepteur connue de
l’émetteur
Source timestamp: Horloge de
l’émetteur
138. Sécurité dans SNMP
Capacités de la station
d’administration:
Connaître des informations sur les
nœuds
Isoler un nœud du réseau
SNMP v1: mot de passe (en clair!)
dans chaque message
SNMP v2: techniques
cryptographiques mais non utilisées
car trop lourdes
140. Nouveautés de SNMPv3
Sécurité
Authentification et cryptage
Autorisation et contrôle d’accès
Administration
Nommage des entités
Gestion de la comptabilité
Destinations des notifications
Configuration à distance
141. Plus important encore…
La structure ISO n’est utilisée que
par les grandes compagnies (de
façon propriétaire)
Une très large utilisation de SNMP
Un protocole effectivement Simple
S’appuie sur le protocole TCP/IP
Et le rôle de l’administrateur dans
tout ça ?
143. Les activités de gestion
- Monitoring
- Data collection
- Accounting
- Capacity planning
- Availability (SLAs)
- Trends
- Detect problems
- Change control &
monitoring
- Improvements
- Upgrades
- Fix problems
- User complaints
- Requests
- NOC Tools
- Ticket system
Ticket
Ticket
Ticket
Ticket
Ticket
Notifications
144. The Network Operations Center
(NOC)
Where it all happens
Coordination of tasks
Status of network and services
Fielding of network-related incidents and
complaints
Where the tools reside (”NOC server”)
Documentation including:
Network diagrams
database/flat file of each port on each switch
Network description
Much more as you'll see a bit later.
145. Documentation
Some of you asked, “How do you keep
track of it all?”... ...In the end, ”we”
wrote our own
software...
Netdot!
146. Documentation
Basics, such as documenting your switches...
What is each port connected to?
Can be simple text file with one line for every port in a
switch:
health-switch1, port 1, Room 29 – Director’s office
health-switch1, port 2, Room 43 – Receptionist
health-switch1, port 3, Room 100 – Classroom
health-switch1, port 4, Room 105 – Professors Office
…..
health-switch1, port 25, uplink to health-backbone
This information might be available to your network staff,
help desk staff, via a wiki, software interface, etc.
Remember to label your ports!
148. Documentation:
Software and Discovery
There are some other Open Source network documentaiton
projects, including:
to manage DHCP and DNS entries.
See http://maintainproject.osuosl.org/about for a humorous
history.
Netdisco:
Locate a machine on the network by MAC or IP and show the
switch port it lives at.
Turn Off a switch port while leaving an audit trail. Admins log
why a port was shut down.
Inventory your network hardware by model, vendor, switch-card,
firmware and operating system.
Report on IP address and switch port usage: historical and
current.
Pretty pictures of your network.
is a web based, multilingual, TCP IP address
151. Network monitoring systems &
tools
Three kinds of tools
1. Diagnostic tools – used to test connectivity,
ascertain that a location is reachable, or a
device is up – usually active tools
2. Monitoring tools – tools running in the
background (”daemons” or services), which
collect events, but can also initiate their own
probes (using diagnostic tools), and recording
the output, in a scheduled fashion.
3. Performance tools – tell us how our network
is handling traffic flow.
152. Network monitoring systems & tools
Performance Tools
Key is to look at each router interface
(probably don’t need to look at switch
ports).
Two common tools:
- Netflow/NfSen:
http://nfsen.sourceforge.net/
- MRTG: http://oss.oetiker.ch/mrtg/
MRTG =
“Multi Router
Traffic
Grapher”
153.
Active tools
Ping – test connectivity to a host
Traceroute – show path to a host
MTR – combination of ping + traceroute
SNMP collectors (polling)
Passive tools
log monitoring, SNMP trap receivers, NetFlow
Automated tools
SmokePing – record and graph latency to a set of
hosts,
using ICMP (Ping) or other protocols
MRTG/RRD – record and graph bandwidth usage on a
switch port or network link, at regular intervals
Network monitoring systems &
tools
154.
Network & Service Monitoring tools
Nagios – server and service monitor
Can monitor pretty much anything
HTTP, SMTP, DNS, Disk space, CPU usage, ...
Easy to write new plugins (extensions)
Basic scripting skills are required to develop simple
monitoring jobs – Perl, Shell scripts, php, etc...
Many good Open Source tools
Zabbix, ZenOSS, Hyperic, ...
Use them to monitor reachability and latency in
your network
Parent-child dependency mechanisms are very useful!
Network monitoring systems &
tools
155.
Monitor your critical Network Services
DNS/Web/Email
Radius/LDAP/SQL
SSH to routers
How will you be notified?
Don't forget log collection!
Every network device (and UNIX and Windows
servers as well) can report system events using
syslog
You MUST collect and monitor your logs!
Not doing so is one of the most common
mistakes when
doing network monitoring
Network monitoring systems &
tools
156. Fault & problem
management
Is the problem transient?
Overload, temporary resource shortage
Is the problem permanent?
Equipment failure, link down
How do you detect an error?
Monitoring!
Customer complaints
A ticket system is essential
Open ticket to track an event (planned or failure)
Define dispatch/escalation rules
Who handles the problem?
Who gets it next if no one is available?
157. Exemple d’outil d’administration
réseau: Ticketing systems
Why are they important?
Track all events, failures and issues
Focal point for helpdesk communication
Use it to track all communications
Both internal and external
Events originating from the outside:
customer complaints
Events originating from the inside:
System outages (direct or indirect)
Planned maintenance / upgrade – Remember to
notify
your customers!
158. Ticketing systems
Use ticket system to follow each case, including
internal communication between technicians
Each case is assigned a case number
Each case goes through a similar life cycle:
New
Open
...
Resolved
Closed
159. Ticketing systems
Workflow:
Ti
cketSyst
em Hel
pdesk Tech Eqpt
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
T T T T
query | | | |
f
r
om ----> | | | |
cust
om er |
--- r
equest---> | | |
< - ack.--| | | |
| |
< --com m -
-
> | |
| | |
-fi
x i
ssue -
> eqpt
| |
< -r
eportfi
x -| |
cust
om er< -|
< --r
espond ----| | |
| | | |
160. Ticketing systems
Some ticketing and management software systems:
rt
heavily used worldwide.
A classic ticketing system that can be customized to
your location.
Somewhat difficult to install and configure.
Handles large-scale operations.
trac
A hybrid system that includes a wiki and project
management features.
Ticketing system is not as robust as rt, but works
well.
Often used for ”trac”king group projects.
redmine
Like trac, but more robust. Harder to install
161. Network Intrusion Detection
Systems - NIDS
These are systems that observe all of your
network traffic and report when it sees
specific kinds of problems
Finds hosts that are infected or are acting as
spamming sources.
SNORT is a common open source tool:
http://www.snort.org/
Another is Bro:
http://bro-ids.org
You can scan for vulnerabilities with a product like
Nessus:
http://www.nessus.org/download/
162. Configuration management &
monitoring
Record changes to equipment configuration, using
revision control (also for configuration files)
Inventory management (equipment, IPs, interfaces)
Use versioning control
As simple as:
”cp named.conf named.conf.20070827-01”
For plain configuration files:
CVS, Subversion
Mercurial
• For routers:
- RANCID
163. Configuration management &
monitoring
Traditionally, used for source code (programs)
Works well for any text-based configuration files
Also for binary files, but less easy to see differences
For network equipment:
RANCID (Automatic Cisco configuration retrieval and
archiving, also for other equipment types)
Built-in to Project Management Software like:
Trac
Redmine
And, many other wiki products. Excellent for
documenting
your network.