Administrarea unor reţele complexe care folosesc tehnologii Internet se poate face folosind un protocol SNMP (Simple Network Management Protocol). SNMP este folosit şi ca termen generic pentru standardele care se referă la administrarea reţelelor folosind tehnologii Internet. Cadrul oferit pentru administrare, Internet - standard Network Management Framework mai include pe lângă SNMP şi SMI (Structure for Management Information) şi diferitele baze de date de administrare MIB (Management Information Base).

IAB (Internet Activities Board) controlează elaborarea de standarde pentru Internet. Etapele standardizării sunt cea de propunere de standard, apoi un proiect de standard (draft) şi la urmă, cel de standard. SNMP a trecut de procesul de standardizare, mai întâi sub forma SNMPv1. Datorita evoluţiei rapide a domeniului, a devenit imperios necesar o nouă versiune SNMPv2.

Internet-ul a crescut rapid şi există deja zeci de mii de reţele conectate şi sute de mii de echipamente de interconectare, rutere, comutatoare, care asigură interconectarea a milioane de echipamente, de la chioşcuri de informare şi terminale bancare ATM, la sisteme mari sau complexe, ciorchini de servere.

Fără administrarea corespunzătoare aceste reţele nu ar funcţiona acceptabil şi nu ar fi posibilă extinderea, scalabilitatea, fără a provoca perturbaţii cu efecte inestimabile.

TCP/IP s-a impus ca protocol pentru reţelele care sunt conectate pe Internet. Încă din februarie 1988, s-a format un comitet la cerere IAB pentru a evalua posibilităţile de administrare a reţelelor care folosesc tehnologii Internet. Ca rezultat, s-a adoptat un protocol SNMP (Simple Network Management Protocol) şi un cadru (Framework) pentru utilizarea acestuia pe Internet. SNMP se bazează pe SGMP(Simple Gateway Management Protocol), un protocol utilizat anterior la administrarea unor reţele regionale legate la Internet. În anul 1993 SNMP şi Internet - standard Network Management Framework au fost actualizate, pentru o mai bună adecvare la noile cerinţe şi a luat astfel naştere SNMPv2.

Modelul de administrare pe care se bazează SNMP este format din staţii de administrare şi elemente de reţea.

Strategia urmărită la implementarea SNMP este ca toată administrarea să poată fi făcută la staţia de administrare, cu excepţia unor situaţii rare. Staţia de administrare interoghează (poll) elementele de reţea pentru a obţine informaţii sau pentru a modifica variabile la elementul de reţea. Elementul de reţea va initia comunicaţia cu staţia de administrare (prin Trap) doar în situaţii deosebite.

Mesajele Trap nesolicitate pot fi trimise de la un element de reţea pentru informare sau pentru corectarea temporizării la interogări de la staţia de administrare. Numărul mesajelor Trap este însă limitat pentru a se evita traficul intens şi solicitările reţelei pentru activitatea de administrare.

- Toate acţiunile necesare administrării trebuie să fie implementate sub forma unor operaţii de scriere/citire la/de la variabile din elementele de reţea. Ca efect, numărul funcţiilor este limitat, fiind nevoie doar de operaţii care atribuie valoare la o variabilă şi operaţie care examinează valoarea unei variabile.

- Operaţia trebuie implementată sub forma atribuirii unei valori la o variabilă a elementului şi acţiunea va fi determinată de inspectarea variabilei şi pe baza valorii citite.

- Limitarea numărului de mesaje nesolicitate (Trap) sau evenimente.

- Utilizarea unui protocol simplu, fără conexiune, de preferinţă UDP (User Datagram Protocol) pentru a păstra la minim complexitatea agentului de administrare. Astfel fiecare mesaj se va putea implementa sub forma unei datagrame simple pentru transport. Elementele administrate nu vor fi nevoite să păstreze informaţii de stare (de exemplu: blocat în aşteptarea unui răspuns).

Frecvent utilizate azi dar utilizarea lor trebuie făcută cu respectarea SNMPv1 care este standard aprobat şi ţinând seama de SNMPv3, în curs de specificare. Trebuie amintite următoarele:

- Introducere la SNMPv2 - oferă o prezentare pentru Internet Standard Network Management Framework, adică un cadru de administrare

- Mapări de transport SNMPv2  este un RFC care defineşte protocoalele de nivel transport permise şi prin care se transmit mesajele SNMPv2. Maparea preferată este UDP, ca şi în cazul SNMPv1

Se urmăreşte asigurarea simplităţii protocolului printr-o structură simplă a arhitecturii pentru administrare.

Administrarea este organizată astfel încât complexitatea se află la staţia de administrare şi implementarea elementelor de administrare, a agenţilor, este simplă şi nu presupune activităţi deosebite de executat.

Aplicaţiile de administrare pot astfel îndeplini sarcini din ce în ce mai complexe şi pot duce la eliminarea necesităţii intervenţiilor umane, în multe situaţii. De asemenea, aplicaţiile pot fi izolate de detaliile specifice pentru protocolul de administrare şi protocolul de comunicaţie.

Abordarea minimalistă pentru partea elementului administrat permite realizarea administrării pentru o mare varietate de echipamente, fără a fi nevoie de modificarea acestora, în mod simplu şi eficient. Nu vor fi necesare resurse deosebite de partea agentului.

Administrarea reţelei folosind SNMP impune existenţa a mai multor elemente care conlucrează. Acestea se împart în elemente administrate (agenţi) şi staţii de administrare (administratori) şi trebuie asigurată comunicarea între acestea de către protocol (SNMP).

Aplicaţiile SNMP - urmăresc şi controlează elementele de reţea prin utilizarea agenţilor. Agenţii poartă răspunderea îndeplinirii funcţiilor de administrare pentru elementul administrat, prin îndeplinirea cererilor primite de la staţiile de administrare. Agenţii se află deci pe elementele de reţea şi au acces la variabilele MIB.

Agenţii sunt subsisteme simple din elementele de reţea şi de multe ori sunt pasive, lucrând doar conform dispozitiilor primite de la aplicaţia de administrare. Doar în cazul apariţiei unor condiţii de eroare bine definite vor putea să preia un agent iniţiativa şi să acţioneze. Aceste evenimente se numesc capcane (traps) şi utilizarea lor este limitată. Agenţii administrează doar un set specific de resurse existente la un element dat de reţea. Aceste resurse sunt specificate de obiecte MIB. O implementare a unui agent:

Un administrator SNMP este o colecţie de aplicaţii şi baze de date care permit urmărirea şi controlul unui grup de agenţi SNMP. Administratorii pot determina agenţii individuali să furnizeze informaţii pentru administrare sau să modifice modul de funcţionare pentru un element dat.

Administratorii au o complexitate mare faţă de agenţi, ei pot lua informaţii de la un grup agenţi şi apoi pot trimite directive pentru coordonarea funcţionării grupului de agenţi.

Implementările de administrator au cinci componente:

Baza de date este o colecţie structurată de informaţii despre toate obiectele controlate de un anumit agent sau manager, este organizat sub forma unui tabel foarte simplu şi oferă acces uşor şi eficient la aproape orice sistem.

SNMP utilizează servicii de transport fără conexiune UDP (User Datagram Protocol) pentru a transfera PDU-uri între manageri şi agenţi.

Fiecare mesaj SNMP este conţinut complet într-o singură datagramă, pentru transport. Managerii pot trimite mai multe cereri către un agent şi pot vedea fiecare răspuns primit pentru a restabili ordinea, dacă au sosit într-altă ordine.

• metodei de atribuire de nume pentru obiectele din reţea care vor fi administrate;
• structura şi modul de identificare a informaţiilor de administrare;
• tipurile generice de date care descriu obiectele administrate;
• cum se definesc obiectele din reţea folosind tipurile de date şi structurile de date menţionate;
• cum poate accesa protocolul de administrare SNMP obiectele definite.

ASN.1 este metoda comună de reprezentare sintactică a datelor schimbate între diferite echipamente dintr-o reţea, permite ca schimbul de informaţii de administrare să se poată realiza cu succes, indiferent de forma de reprezentare a datelor utilizată intern de către echipamente, deci pentru realizarea unei reprezentări sintactice unice s-a adoptat un subset al limbajului OSI, subset denumit ASN.1, care defineste sintaxa obiectelor administrate şi codificarea mesajelor transferate prin SNMP.

MIB-1  conţine un număr minim de obiecte necesare în acel moment pentru administrarea reţelelor tip Internet bazate pe TCP/IP. MIB-1 a fost adoptat ca protocol standard, apoi a fost înlocuit prin MIB-2.

MIB-2 defineşte o versiune MIB cu mai multe funcţionalităţi, numită MIB-2 şi conţine şi conţinutul de la MIB-1 pentru a păstra compatibilitatea cu soluţiile existente. MIB-2 preia grupurile funcţionale de la MIB-1 şi mai adaugă două grupuri:

• grupul Transmission - oferă un loc pentru obiecte MIB care definesc caracteristici specifice unor medii de comunicaţie

grupul SNMP - a fost adăugat pentru a furniza informaţii despre protocolul de administrare şi modul în care lucrează într-o reţea.

II.2.7. Mediul de administrare SNMP

II.2.7.1. Serviciul de transport SNMP

Un mesaj tipic SNMP urmează următoarea cale de capsulare şi niveluri de protocol:

Mesaj SNMP - formează date UDP

Preambul UDP + Date UDP - formează date IP

Preambul IP + Date IP - formează date MAC

Preambul LLC/MAC + date MAC + Postambul LLC/MAC

Rezultă cadrul (frame)

UDP este protocolul preferat pentru transport.

Agenţii care utilizează UDP ca mecanism de transport primesc cererile SNMP la portul UDP 161. Mesajele Trap sunt recepţionate la portul UDP 162 al staţiei de administrare.

II.2.7.2. Nivelele de protocol

SNMP PDU (Protocol Data Unit) - formează Data
Preambul SNMP + Data - formează UDP Data
Preambul UDP + UDP Data - formează IP Data
Preambul IP + IP Data - formează MAC Data
Preambul LLC/MAC + MAC Data + Postambul LLC/MAC - formează cadrul (frame)
Mesajul SNMP încapsulat ca UDP se compune din două părţi:

• Preambul SNMP - conţine informaţii de autentificare care oferă o metodă de securitate pentru comunicarea între staţii şi agenţi, pe reţea
• PDU SNMP - specifică operaţia SNMP (ca get-request sau set-request) şi valorile care trebuie folosite la operaţie.

II.2.7.3. Mediul de administrare SNMPv1

Pe lângă alte informaţii, preambulul mesajului SNMPv1 conţine informaţii care permit entităţii autentificarea şi controlul accesului. Antetul arată de fapt astfel:

SNMP PDU - formează SMNP Data
Nr. Versiune + Community string + SNMP DATA - formează datele UDP
Preambulul SNMP se compune din două părţi:

• Număr versiune - garantează că sursa şi destinaţia mesajului folosesc aceeaşi versiune SNMP. Nu este suportată negocierea versiunii. Dacă se primeşte mesaj SNMP cu număr necunoscut de versiune mesajul trebuie ignorat
• Community String - este transferat către serviciul care implementează schema de autentificare. Agentul SNMP validează toate cererile înainte de a răspunde.

Comunity la SNMPv1 este relaţia între un agent SNMP şi administrator. Pentru ca administratorul să fie autentificat, şirul community trebuie să coincidă cu profilul configurat la agent. Un profil constă dintr-un şir community. Toţi membrii unei aceleaşi comunităţi au aceleaşi drepturi de acces. Există disponibil două moduri de acces:

• Read-only (get, get-next şi trap sunt permise)
• Read-Write (get, get-next, set şi trap sunt permise)

Dacă mesajul a fost autentificat şi s-a permis accesul conform profilului community, atunci se trece la procesarea PDU. Răspunsul este trimis la manager folosind acelaşi şir community. Dacă cererea nu a fost validata, entitatea SNMP care a recepţionat mesajul poate (dacă este configurat) să genereze trap Authentication Failure către administratorul configuraţiei.

Fişier de configurare community

Administratorul de reţea poate specifica că doar entităţile cu nume de comunitate cunoscute să poată trimite cereri la un anumit agent. Am văzut că şirul comunity este un şir de caractere. Toate numele community sunt păstrate într-un fişier ASCII. Acesta conţine următoarele înregistrări: community, access, traps şi manager.

Community - conţine şirul cu numele comunităţii
Access - specifică accesul permis pentru un membru din community- poate fi: R sau R+W.
Traps - se trimite Trap la lista de manageri din comunitate. Ultimele două pot fi legate prin operator +.
Managers - conţine o listă de adrese IP care au voie să utilizeze profilul de acces.

II.2.7.4. Mediul de administrare SNMPv2

SNMPv2 oferă mecanisme de criptare a datelor şi administrarea securităţii. Componentele modelului de securitate:

SNMPv2 Party

Conceptul de bază pentru securitatea SNMPv2 este cel de participant (party). Un participant este un mediu în care entităţile SNMPv2 pot comunica între ele cu ajutorul unui anumit serviciu de transport ca UDP cu posibilitatea de a avea servicii de autentificare şi criptare. O entitate SNMPv2 comunică că şi participant cu o altă entitate SNMPv2.

Un participant SNMPv2 constă din:

• o identitate de participant;
• o locaţie logică din reţea la care este executat participantul, de exemplu portul UDP 161;
• un protocol de autentificare;
• un protocol de intimitate care poate oferi criptarea datelor SNMP.

Pot exista mai mulţi participanţi care pot fi folosiţi să comunice cu o entitate SNMPv2.

De exemplu:

Manager A - Party 1

comunică cu:

Agent x - Party 2

Agent x - Party 3

comunică cu:

Manager B - Party 4

prin cerere/răspuns.

În exemplu Agent x comunică cu Manager A prin mediul de participant 2 şi în acelaşi timp cu Manager B prin mediul de participant 3. Acest lucru permite o identificare fără echivoc a celui care trimite sau recepţionează mesajele SNMPv2.

Un Party are următoarele componente:

• Identitate:
• Parametrii de transport:
• partyTDomain - domeniul de transport pentru Party specifică serviciul de transport folosit, ca UDP
• partyTAddress - adresa de transport, cum ar fi o combinaţie de adresă IP la nivel Reţea şi un număr de port UDP, 161 de la nivel transport.
• partyMaxMessageSize - dimensiune maxima în octeţi a mesajului SNMPv2 acceptat de participant.

Entitate SNMPv2

O entitate SNMPv2 este un proces care generează mesaje SNMPv2 ca de exemplu get-request. Entitatea îşi asumă rolul de participant atunci când comunică cu alte entităţi. Prin acţionare ca participant, entitatea este limitată la un subset de operaţii definite pentru participant (party).

Fiecare entitate SNMPv2 menţine trei baze de date locale, unul dintre ele conţinând lista tuturor participanţilor recunoscuţi de entitate. O a doua bază de date conţine o colecţie de obiecte administrate accesibile local printr-o relaţie proxy (de proximitate), de către entitatea SNMPv2. Avem deci: Party Database, Content Database

Context SNMPv2

Contextul SNMPv2 este o colecţie de obiecte administrate, locale sau la distanţă, accesibile de către o entitate SNMPv2.

Orizont MIB

Relaţia de proximitate

O relaţie de proximitate apare atunci când un agent SNMPv2 trebuie să comunice cu o altă entitate distanţa logic, pentru a putea trata o cerere de administrare. Există două tipuri de relaţii proxy:

• Proxy nativ
• Proxy străin

În ambele cazuri comunicaţia dintre agentul SNMPv2 şi entitatea distanţa logic, prin utilizarea protocolului SNMPv2 sau a altui protocol propriu, se face complet transparent din punctul de vedere al staţiei de administrare. Relaţia de proxy nativ are loc atunci când se foloseste protocolul SNMPv2

Proxy nativ:

Network Manager (aplicatia de administrare - manager SNMPv2) - SNMPv2 - Agent proxy nativ (agent SNMPv2)-SNMPv2- Sistem administrat (agent SNMPv2; Variabilele interesante de la echipament)

Proxy străin:

Network Manager (aplicaţia de administrare - manager SNMPv2) - SNMPv2 - Agent proxy străin (agent proxy SNMPv2; manager echipament) - protocol propriu - Sistem administrat (agent de administrare echipament; variabile administrate)

Un administrator de reţea poate configura o relaţie de proxy nativ pentru a elibera un element de reţea de sarcinile de procesare legate de administrare.

Relaţia de proxy străin există atunci când echipamentul utilizează protocol diferit de administrare şi agentul proxy oferă facilitate de administrare prin SNMPv2.

II.2.7.5. Formatul preambulului la mesajul SNMPv2

În continuare vom vedea cum sunt utilizate informaţiile prezentate în preambulul mesajului SNMPv2.

dstParty+srcParty+Context+PDU = privData

privDst+PrivData = preambul nivel transport

preambul transport + preambul nivel transport = preambul nivel reţea

preambul reţea + preambul nivel reţea = date MAC

preambul LLC/MAC + date MAC + postambul LLC/MAC = mesaj

Preambulurile IP şi UDP au fost înlocuite cu preambul nivel reţea respectiv transport.

Pornind de jos în sus, avem trei mesaje incubate:

• SnmpMgmtCom - comunicaţia de administrare Snmp se compune din:
• dstParty - participantul destinaţie al comunicaţiei de administrare
• srcParty - participantul sursă care a emis comunicaţia
• Context - identifică contextul SNMPv2
• PDU - Operaţia care trebuie efectuată (de exemplu: getnext)

II.2.7.6. Procesarea mesajelor SNMPv2

Procese care au loc pentru generarea şi recepţionarea cererilor şi răspunsurilor.

Participantul sursă trimite o cerere. Atunci când se generează o cerere sau notificare trap, trebuie să se construiască prima dată o structură care identifică sursa emiţătoare şi participantul receptor, contextul şi operaţia de executat. Protocolul va specifica participantul sursă care va fi determinat prin căutare în baza de date locală cu participanţi.

Se transmite la participantul destinaţie folosind transportul şi adresa configurată pentru participantul destinaţie.

Participantul destinaţie receptionează cererea

Când participantul recepţionează o cerere sau notificare trap, entitatea verifică să vadă dacă mesajul corespunzător, dacă nu, mesajul este ignorat.

Dacă mesajul este corect codificat se verifică dacă în baza de date locală de participanţi există operaţia, dacă nu atunci se transmite un mesaj referitor la acest lucru sau dacă participantul se află în baza de date locală, dacă nu, la fel, se transmite un mesajul referitor la acest lucru.

Informaţia este confruntată atât cu baza de date locală de la sursă cât şi cu cea de la destinaţie. Dacă mesajul nu se poate autentifica, atunci este ignorat.

Dacă operaţia specificată nu este permisă se transmite mesaj de răspuns către participantul sursă.

După ce s-au efectuat toate verificările menţionate şi mesajul nu a fost ignorat, se efectuează operaţia specificată de către entitatea receptoare. Operaţia se face conform orizontului dat de context, dacă contextul referă obiecte locale administrate sau conform relaţiei de proximitate, dacă contextul referă obiecte administrate distante.

Participantul destinaţie trimite răspuns

Procedura de trimitere a răspunsului este aceiaşi cu cea de trimitere a cererii, cu excepţia faptului că valorile pentru participantul destinaţie şi cel sursă sunt inter-schimbate. Se aplică acelaşi context şi operaţia se bazează pe răspunsul cerut de cererea iniţială.

Răspunsul se trimite la adresa de transport preluată din mesajul recepţionat.

II.3. Implementarea

Partea practică a acestei lucrări implementează două aplicaţii mari, Administrator şi Agent, care vor rula în cadrul unei reţele.

Cu ajutorul aplicaţiei se poate realiza comunicarea şi observă performanţele configuraţiei reţelei.

Pentru implementarea acestui tip de administrare reţea am ales ca mediu de dezvoltare Visual Café 2.0, iar ca tehnici avansate de programare s-a folosit programarea orientată obiect.

S-a realizat aplicaţia Administrator care:

• are o interfaţă prietenoasă, care îi permite utilizatorului o mânuire cu uşurinţă a operaţiilor ce le are de efectuat;
• comunică cu agenţii prin intermediul portului 161 folosit pentru UDP;
• realizează citirea dintr-o bază de date de tip Access prin intermediul ODBC;

S-a realizat aplicaţia Agent care:

• are o interfaţă prietenoasă, care îi permite utilizatorului o mânuire cu usurinţă a operaţiilor ce le are de efectuat;
• comunică cu Administratorul prin intermediul portului 161 folosit implicit pentru UDP şi permite localizarea serverului la care se face conectarea;
• realizează citirea dintr-o bază de date de tip Access prin intermediul ODBC;

În cele ce urmează vom face o scurtă prezentare a principalelor clase implementate pentru realizarea aplicaţiilor Client - Server. Analizând în mod obiectual problema, au fost identificate două clase de bază necesare pentru aplicaţie. Prima reprezintă aplicaţia Administrator care reprezintă de fapt Administrator, iar a doua reprezintă aplicaţia Agent, care reprezintă de fapt Agenţii.

Iată cum au fost implementate aceste clase:

Administrator:

Clasa Server

Clasa AboutDialog

Clasa QuitDialog

Clasa Frame1

Clasa Frame2

Clasa Frame3

Agent:

Clasa Client

Clasa AboutDialog>> identică ca şi la Administrator

Clasa QuitDialog>> identică ca şi la Administrator

Clasa Client1

Clasa AttentionDialog

Clasa AttentionDialog1

Algoritm Administrator                                 Algoritm Agent 1-Agent n
Pas.1. Iniţializare aplicaţie Administrator

Pas.2. Iniţializare aplicaţie Agent 1-Agent n

                    Pas.3. Conectare Agent la server  

Pas.4. Comunicarea Administrator - Agent

                       Pas.5. Comunicarea Administrator cu baza de date a unui anumit agent

Pas.6. Comunicarea Agent cu baza de date

                        Pas.7. Vizualizare elemente din baza de date a agentului

Pas.8. Conectări Agenţi la Administrator
 

                              Pas.9. Deconectare Agent  

Pas.10. Deconectare Administrator
 

                           

Se constată că prin utilizarea acestor tipuri de algoritmi, erorile se reduc destul de mult, chiar dacă se realizează comunicarea prin UDP.

II.4. Concluzii

Aplicaţia îşi propune să rezolve utilizarea protocolului SNMP pentru administrarea reţelelor prin construirea unei aplicaţii care oferă un element ajutător pentru administrarea configuraţiei, lucru realizat cu ajutorul interfeţei şi a comunicării între staţia de administrare (Administrator) - prin interfaţă prietenoasă, comunicare cu agenţii şi elementele de reţea (Agenti) - prin interfaţă prietenoasă, comunicare cu administratorul.

Utilitatea este dată prin faptul că permite urmărirea pentru întreţinerea configuraţiei prin uşurinţa cu care se utilizează aplicaţia, prin faptul că se oferă uşor şi repede datele despre anumite elemente din reţea şi asigură comunicarea în reţea.

În cadrul aplicaţiei s-a studiat şi modalitatea de prezentare a datelor referitoare la eficienţa configuraţiei.

Aplicaţia este transparentă, în sensul că nu introduce solicitări suplimentare în reţea, sau în orice caz nu afectează funcţionarea normală a reţelei.

Ca teme de studiu pentru viitor, rămân deschise provocările legate de lărgirea spectrului de administrare a configuraţiei - prin stabilirea unor modalităţi de securitate, prin adăugarea la aplicaţie a unor noi module, cum ar fi de exemplu referinţe la MIB, şi de adăugare de noi servicii.