Arhitektura mrežnog upravljanja (7.)

9 Protokoli za upravljanje mrežom

Postoje dva najvažnija protokola za upravljanje mrežom:

– SNMP (Simple Network Management Protocol);

– CMIP (Common Management Information Protocol).

Ovi protokoli obezbeđuju mehanizme za uspostavljanje, promenu i transport upravljačkih podataka za upravljanje mrežom kroz mrežu. Trenutno najvažniji protokol za upravljanje mrežom jeste SNMP. Ovaj protokol za upravljanje mrežom obezbeđuje mehanizme za oporavljanje, promenu i transport podataka za upravljanje mrežom kroz mrežu.

9.1 Simple Network Management Protocol – SNMP

SNMP je skraćenica od Simple Network Management Protocol. To je danas najkorišćeniji protokol za prenos upravljačkih informacija. Trenutno je aktuelna verzija 3 ovog protokola (SNMPv3), koja je kompatibilna s verzijom 1.

Ideja koja stoji iza razvoja SNMP protokola jeste potreba za jednostavnim protokolom koji može da zadovolji potrebe TCP/IP računarskih mreža. Da bi uspeo na tržištu, bilo je neophodno da ga implementira veliki broj nezavisnih proizvođača, koji su zahtevali da ova dodatna funkcionalnost bude jeftina. A niska cena ugradnje podrazumeva izuzetno jednostavne agente, koji ne zahtevaju kompleksan firmver ili hardver.

SNMP se bazira na razmeni poruka između agenta i sistema za upravljanje (NMS). Ukoliko NMS traži očitavanje vrednosti, šalje se Get poruku; za čitanje više vrednosti koristi se GetNext poruka, a za postavljanje vrednosti šalje se Set poruka. Na ove poruke agent odgovara (Response) porukom. U specijalnom slučaju, agent inicira komunikaciju, šaljući poruku Trap, u slučaju da je neka vrednost prešla unapred dozvoljenu granicu.

Model rada SNMP protokola vidi se na slici:

Untitled-1

Slika 16: Model rada SNMP protokola

Postoji 9 primitivnih opreacija:

get – get poruku inicira NMS, i ona u sebi sadrži zahtev agentu. Po prijemu poruke, agent procesira zahtev, i ukoliko je u stanju da odgovori, šalje kao odgovor get-response poruku NMS-u. Ovaj proces prikazan je na slici:

04

Slika 17: Tok Get operacije

get-nextsluži za ispitivanje niza vrednosti koje se nalaze u okviru grupe.

Ukoliko nema sledećeg objekta, vraća se greška. Ovakva razmena poruka vidi se na sledećoj slici:

06

Slika 18: Tok get-next operacije

get-bulk (SNMPv2 i SNMPv3)standardna get operacija ograničena je dužinom poruke koju agent podržava. U verziji 2 SNMP protokola je uvedena get-bulk poruka, koja dozvoljava agentu da vrati onoliko vrednosti koliko može da smesti u PDU. To znači da je moguće dobiti nepotpun odgovor, pa na NMSu ostaje da analizira odgovor i preduzme odgovarajuće akcije.

set poruka se koristi za promenu vrednosti objekta u upravljivom uređaju. Samo objekti koji su u MIB-u definisani kao read-write ili write-only mogu biti promenjeni na ovaj način. PDU dozvoljava da se više objekata promeni u okviru jednog zahteva. Na set poruku agent odgovara get-response porukom ukoliko je operacija uspešna; ukoliko nije, vraća se poruka o grešci. Sam tok operacije vidi se na slici:

08

Slika 19: Tok Set operacije

get-responseovu poruku šalje agent kao odgovor na neku od get poruka, get-next, get-bulk i set. Ona sadrži traženi odgovor, ili poruku o grešci. SNMPv2 definiše dodatne kodove grešaka u odnosu na SNMP.

trap – trap poruka je način da agent obavesti NMS da se nešto dogodilo. Jedino kod trap poruke agent inicira komunikaciju. Kako se za trap poruke takođe koristi UDP, agent nema načina da potvrdi prijem poruke. U okviru same poruke nalazi se generička oznaka događaja (ima ih ukupno 7). Kako ove oznake ne pokrivaju sve moguće događaje, oznaka broj 6 dodeljena je za enterprise-specific događaje, koji se posebno specificiraju u okviru enterprise podstabla.

notification – notification je trap poruka koju podržavaju agenti koji implementiraju SNMPv2 ili SNMPv3. Jedina razlika u odnosu na SNMP trap je u tome što je PDU isti kao i za set i get operacije. Zapravo ova poruka je i definisana da bi se koristio samo jedan PDU za sve poruke.

inform – inform poruke koriste se za komunikaciju između NMS-ova. Ideja je da se u velikim mrežama, koje imaju više NMS-ova, napravi sistemski pristup hijerarhiji, tako što će se omogućiti da trapove prima samo jedan NMS, a da prosleđuje informaciju o tome shodno hijerarhiji.

Takođe postoji tendencija da se inform poruka inicira od strane agenta, što predstavlja zamenu za klasičnu trap poruku. Na ovaj način moguće je da agent dobije potvrdu o prijemu trap poruke.

report – ova poruka pojavila se tek u okviru SNMPv3 specifikacije, iako je bila deo draft specifikacije za SNMPv2. Služi da omogući komunikaciju između NMS-ova, koja nije inicirana nekim događajem.

9.1.1 Šifrovanje PDU poruke

PDU poruke protokola SNMP mogu da se šifruju korišćenjem stan­darda DES (Data Encryption Standard), i to u blok režimu. S obzirom na to daje standard DES sistem sa zajedni­čkim ključem, tajni ključ korisnika koji šifruje podatke mora biti poznat prije­mnom entitetu koji te podatke treba da dešifruje.

9.1.2 Provera autentičnosti PDU poruke

Kombinovanjem korišćenja haš funkcije, kao što je, na primer, algoritam MD5, s vrednošću taj­nog ključa, protokol SNMP obezbeđuje proveru autentičnosti i zaštitu od uljeza. Ovaj pristup, inače poznat pod imenom HMAC (Hashed Message Authentica-tion Codes) konceptualno je veoma jednostavan.

9.1.3 Zaštita od reprodukcije PDU poruke

Kako bi SNMPv3 bio siguran da primljena poruka nije reprodukcija neke prethodne poruke, tj. da je u pitanju „živa“ poruka, primalac od pošiljaoca zahteva da svakoj poruci doda određenu vrednost koja će se zasnivati na brojaču primaoca. Ovaj brojač koji funkcioniše kao genera­tor jednokratnog broja odražava vreme koje je proteklo od poslednjeg pokre­tanja sistema za upravljanje mrežom primaoca, kao i ukupan broj podizanja ovog sistema od njegovog poslednjeg konfigurisanja. Dok god vrednost brojača primljene poruke u nekim dozvoljenim okvirima odstupa od stvarne vrednosti primaoca, poruka se prihvata kao autentična (nije reprodukcija), što je znak da može da se pređe na proveru autentičnosti pošiljaoca i (ili) dešifrovanje.

9.1.4 Kontrola pristupa

Protokol SNMPv3 obezbeđuje kontrolu pristupa zasnovanu na dokumentu kojom se preciziraju korisnici koji mogu da ispituju i menjaju informacije o upravljanju, kao i same informacije na koje se to odnosi. SNMP entitet zadržava informacije o pravima pristupa i odgovarajućim politikama u lokalnoj konfiguracionoj bazi podataka LCD (Local Configuration Datastore). Delovima ove baze podataka mogu da pristupe upravljani objekti, što je definisano u View-bascd Access Control Model Configuration MIB, pa tako omogućava manipulisanje ovim delovima na daljinu – putem proto­kola SNMP.

9.2 Common Management Information Protocol – CMIP

Common Management Information Protocol (CMIP), zasnovan je na OSI principima, služi za upravljanje mrežama koji podržava razmenu informacija između aplikacija za upravljanje mrežama i upravljačkih agenta. Po dizajnu je sličan SNMP protokolu, ali je razvijen da bi prevazišao manjakvosti SNMP protokola i da bi se popravile mogućnosti upravljačkog sistema za mreže. On koristi ISO pouzdan transportni mehanizam orijentisan ka uspostavljanju veza i ima sigurnost koja podržava kontrolu pristupa, autorizaciju i sigurnosni izveštaj (logs). Informacije se razmenjuju između upravljačkih aplikacija i upravljačkih agenata preko upravljanih objekata. Upravljani objekti su karakteristike upravljanih uređaja koje se posmatraju, modifikuju ili kontrolišu. Upravljačka aplikacija može da inicira transakcije sa upravljačkim agentom korišćenjem sledećih operacija:

ACTION – zahteva akciju koja treba da se dogodi na upravljanom objektu kako je definisano upravljačkim zahtevom.

CREATE – kreiranje instance upravljanog objekta.

DELETE – brisanje instance upravljanog objekta.

GET– zahtevanje vrednosti od instance upravljanog objekta.

CANCEL GET – poništavanje neispunjenog GET zahteva.

SET – postavljanje vrednosti instance upravljanog objekta.

Upravljački agent može da inicira transakciju sa upravljačkom aplikacijom korišćenjem EVENT REPORT operacije. Ova operacija može da se koristi za slanje obaveštenja ili alarma do upravljačke aplikacije na osnovu prethodno definisanih uslova od strane upravljačke aplikacije podešenih pomoću ACTION operacije.

CMIP ne specificira funkcionalnosti upravljačke aplikacije; on samo definiše mehanizam razmene informacija između upravljačkih objekata, a ne kako se te informacije mogu upotrebiti ili interpretirati.

Osnovne prednosti CMIP u odnosu na SNMP su:

– CMIP varijable ne samo da prenose informacije nego se mogu koristiti za izvršavanje zadataka. To je nemoguće sa SNMP.

– CMIP je bezbedniji sistem pošto on podržava autorizaciju, kontrolu pristupa i bezbedonosni logs.

– CMIP obezbeđuje moćne mogućnosti koje dozvoljavaju upravljačkim aplikacijama da izvrše više od jednog zahteva.

– CMIP obezbeđuje bolje izveštaje neuobičajenih mrežnih uslova.

CMIP je široko korišćen u telekomunikacionom domenu i telekomunikacioni uređaji tipično podržavaju CMIP. Internacionalna telekomunikaciona unija (ITU) dala je garancije da se CMIP koristi kao standardni protokol za upravljanje uređajima u upravljanju telekomunikacionim mrežama (TMN).

CMIP protokol je dizajniran kao deo ISO stek protokola. Međutim, tehnološki standardi koriste danas u većini LAN okruženja TCP/IP i većina LAN uređaja podržava samo SNMP.

CMIP zahteva veliku količinu sistemskih resursa, ima rezultate u samo nekoliko implementacija. Dodatno, CMIP je veoma kompleksan i njegova upotreba, održavanje u CMIP zasnovanom upravljačkom mrežnom sistemu zahteva specijalizovanu obuku.

1996-arhitektura-mreznog-upravljanja-7