administration de reseaux - free
TRANSCRIPT
Administration de réseauxif G.Beuchot 1
ADMINISTRATION
DE
RESEAUX
Administration de réseauxif G.Beuchot 2
Un besoin nouveau ?
IIl y a quelques années ou aujourd'hui ?
Administration de réseauxif G.Beuchot 3
Un besoin nouveau : suite
IAujourd'hui ou demain !
Administration de réseauxif G.Beuchot 4
QUALITE DE SERVICE
IDISPONIBILITEFContinuité du service
ß Redondanceß (Re)configuration
IPERFORMANCESFGestion statique
FGestion dynamique
ICOÛTS
ICOMPROMIS
Administration de réseauxif G.Beuchot 5
Présentation
IL'ADMINISTRATION DE RESEAUX ENGLOBE L'ENSEMBLE DES MOYENS MIS EN OEUVRE POUR :F OFFRIR AUX UTILISATEURS UNE QUALITE DE SERVICE DONNEE
F PERMETTRE L'EVOLUTION DU SYSTEMEß Nouvelles fonctionnalités
ß Nouvelles performances
F REPRESENTER LA PARTIE OPERATIONNELLE D'UN SYSTEME
FL'ADMINISTRATION DE RESEAUX EST APPLIQUEE EN SUIVANTß UNE POLITIQUE : Objectifs à atteindre
QUI SPECIFIEß UNE STRATEGIE : Plan des actions à entreprendre
ß UNE TACTIQUE : Plan d'exécutiond'exécution
ß UN FONCTIONNEMENT OPERATIONNEL :$Modes opératoires
$Mise en oeuvre
Administration de réseauxif G.Beuchot 6
Présentation : suite
I L'ADMINISTRATION DE RESEAUX COMPORTE 3 DISCIPLINESFADMINISTRATION DES UTILISATEURSFADMINISTRATION DES SERVEURS ET DES RESSOURCES
F ADMINISTRATION DE LA RESSOURCE RESEAU DE TELECOMMUNICATIONS
IL'ADMINISTRATION DE RESEAUX EST GLOBALE
Administration de réseauxif G.Beuchot 7
Différents points de vue
d'après J.P. Claudé
PORTEE MOYENSDECISIONDUREE
DISCIPLINES
Fonctionnalités
Configuration performances anomalies sécurité comptabilité
Activités
Ressources humaines
Outils
court terme
moyen terme
Long terme
Facilités utilisateurs ressources réseaudonnées applications
serveurs
Stratégique
tactique
opérationnelle
Planification
Analyse
Gestion
Contrôle
Administration de réseauxif G.Beuchot 8
Fonctionnalités
I GESTION DES FAUTES (ANOMALIES)
FDétection et analyse des défauts, Maintenance
I GESTION DES PERFORMANCES
FRéglages (ex : Routage), PlanificationI GESTION DE LA COMPTABILITE
FCoûts de communications, Coûts des services et ressources
I GESTION DE LA SECURITEFGestion des clés, gestion des droits
ß La SECURITE est un domaine d'application à part entièrequi doit être administré
I GESTION DE LA CONFIGURATION ET DES NOMSFAdresses logiques et physiques
FBase des autres fonctionnalités
FAssure la transparence aux applications et aux utilisateursß Serveur de noms
ß Modification de la configuration
Administration de réseauxif G.Beuchot 9
Rappels: Sécurité des réseaux
IRappel :FLa SECURITE est un ensemble fonctionnel parallèle à l'ADMINISTRATION qui
garantit le RESEAU et les ABONNES et assure :
ß L'AUTHENTIFICATION (réciproque) des entitésß Le CONTRÔLE d'ACCES
ß La CONFIDENTIALITE des données
ß L'INTEGRITE des donnéesß La NON-REPUDIATION d' ORIGINE
ß de REMISE$ Signature
$ Notarisation
I Ces fonctions utilisent des mécanismes de CHIFFREMENT
Administration de réseauxif G.Beuchot 10
Portée et reponsabilités
IContrôle opérationnelFOpérateurs
FBureau d'aide
FSupport technique
IGestionFdes problèmes
Fdes services
Fdes ressources
IAnalyseFdes performances
IPlanificationFEvolution
FTechniques nouvelles
Administration de réseauxif G.Beuchot 11
Contrôle opérationnel
I Entre Utilisateurs et Bureau d'AideFErreurs de type 1 (Mise sous tension, modem, débit, parité ...)
ß 80% des cas
ISurveillance par opérateur RéseauFProblèmes même si le système a des reprises automatiques
ß parasites, incidents
ISupport techniqueFAide opérateur à la maintenance
FMaintenance partagée avec le vendeurß défauts de type 2 résolus avec ou par l'opérateur
ß 15 % des cas
Administration de réseauxif G.Beuchot 12
Gestion des problèmes
I Montage du réseau ou nouvelle version,I nouvelle technologie
FProblèmes très vite résolus
ou
très complexesF très peu de cas intermédiaires
F 5 à 10 % des cas
F l'essentiel des difficultés
Administration de réseauxif G.Beuchot 13
Complexite du problème de l'Administration de réseaux
I HETEROGENEITEI DISTRIBUE ET PARTITIONNE EN DOMAINES
F Géographiques
F d'ApplicationF Constructeurs
F de Normalisation (ISO, TCP/IP, SNA ..)
I EVOLUTIVITEF Un réseau n'est pratiquement jamais remplacé mais EVOLUE
I L'ADMINISTRATION DE RESEAUX DOIT FONCTIONNER MÊME EN CAS DE PANNE DU RESEAU
F Sous-Réseau d'administration (qui l'administre ?)
FMaillage --> (Re)configuration
I LOCALISATION DES RESPONSABILITESF Qui administre le réseau (ou le domaine) ?
F Quelle est son autorité ? sa responsabilité ?
F Que fait-il ?
FProblèmes de responsabilité réseaux publics /réseaux privés
Administration de réseauxif G.Beuchot 14
Domaines d'administration
IDomaines d'administrationFUn système gestionnaire
Fplusieurs (au moins un) systèmesadministrés
ISystèmes multidomainesFUn administré du domaine A est
gestionnaire du domaine BFStructure hiérarchique
ISystème gestionnaireFInterface administrateur
Ftraitements
ISystème administréFacquisition des données
Factions
MIB objetsattributs
Processeurd'applications
Fonctions de base
MIB objetsattributs
Processeurd'applications
Fonctions de base
MIB objetsattributs
Fonctions de base
SYSTEME ADMINISTRE SYSTEME GESTIONNAIRE
SYSTEMEGESTIONNAIRE
SYSTEMEADMINISTRE
DOMAINE B
DOMAINE A
Administration de réseauxif G.Beuchot 15
I StandardsF ISO 7498-4: framework
F ISO 9595-9596 : CMIS/CMIP administration commune
F ISO 10040 : vue d'ensemble de l'administration X701
F ISO 10164 /10165 : administration système - gestion des objets X72x
I OSI-NMF: Network Management Forum
ADMINISTRATIONde
RESEAUX OSI
Administration de réseauxif G.Beuchot 16
Modèles
IModèle organisationnelFdécoupage en domaines
IModèle opérationnel ou d'informationFdescription et organisation des donnéesFmodèle OBJET
Fnommage
Fstandards: 10165-1
IModèle fonctionnelFarchitecture logicielle
ß administration Système
ß administration de couche
ß opérations de couche
Fstandards 9595 -9596
Administration de réseauxif G.Beuchot 17
Modèle organisationnel
IdomainesFsous-domaines
IadministrationFpar l'intermédiaire des
objets gérés
Iremontée au centraldes informationsadministratives
CENTRAL
NOEUD
NOEUD
NOEUD
NOEUD
NOEUD
SOUS-DOMAINE
OBJETOBJET
OBJET
Informationadministrative
Informationadministrative
RESEAUD'ADMINISTRATION
FONCTIONSD'ADMINISTRATION
PROTOCOLESD'ADMINISTRATION
Informationadministrative
Administration de réseauxif G.Beuchot 18
System Manager
Process Manager
Système gestionnaire - système(s) agent(s)
I les objets sont gérés parI le process agent
I la communication est réalisée entre lesprocess manager et agent
System Agent
Process Agent
ObjetAdministré
ObjetAdministré
Administration de réseauxif G.Beuchot 19
Modèle opérationnel : Principes
I Modèle OBJETI EncapsulationFtoutes les opérations passent par l'échange de messages entre objets
Fl'opération est interne à l'objet et porte sur les ATTRIBUTSFLa création ou la suppression d'un objet est réalisée par l'intermédiaire d'un autre objet
I HéritageFTous les objets qui ont les mêmes : ATTRIBUTS - OPERATIONS - NOTIFICATIONS
font partie de la même CLASSEFSuper-classe ⇔⇔ sous-classe
I AllomorphismeFcapacité pour une INSTANCE d'un objet d'une sous-classe de se comporter comme sa
super-classe.
Fpermet les migrations de versions matérielles ou logicielles
I Packages conditionnelsFprise en compte CONDITIONNELLE de groupes d'attributs
Administration de réseauxif G.Beuchot 20
Objets gérés - Classes d'objets
IObjets gérésF groupés en classes
F Nom
F AttributsF Opérations
F Notifications (sur les attributs)
ISous-classeF ajout d'attribut(s), d'opération(s) ou de
notification(s) à partir d'une classe :extension
F de plus en plus SPECIALISE
ISuper-classeF retraits de ....
F une sous-classe peut hériter deplusieurs super-classes
TOP
SYSTEME ENTITE DE COUCHE
ENTITE DETRANSPORT
CONNEXION
ENTITE DERESEAU
CONNEXION DETRANSPORT
CONNEXION DERESEAU
ENTITE X25
ENTITE IP
Administration de réseauxif G.Beuchot 21
Contenance et nommage
IcontenanceFun objet géré peut contenir des
objet de la même ou d'autresclasses.
Fsupérieur ⇔⇔ subordonné
Imodèlise le monde réel
Ibase du nommage
ROOT
SYSTEME OUVERT GERE
ENTITE RESEAU
MODULECONNEXION
ENTITE TRANSPORT
MODULEEMISSION/
RECEPTION
MODULEEMISSION/
RECEPTION
MODULECONNEXION
CIRCUIT VIRTUEL NSAP
TSAP
TCEP
Administration de réseauxif G.Beuchot 22
Héritage et Contenance
InotionsorthogonalesIhéritageFcaractéristiques
d'un objetß attributs
ß opérations
ß notifications
IcontenanceForganisation des
objets
Farchitecture
TOP
SYSTEMEOUVERT
GERE
ENTITE DE COUCHE
ENTITE DETRANSPORT
CONNEXION
ENTITE DERESEAU
CONNEXION DETRANSPORT
CONNEXION DERESEAU
ROOT
Administration de réseauxif G.Beuchot 23
Principes du nommage
INoms relatifsFROOT
FMS.id = "ABC" Système Géré
FL3.id = "3" L4.id = "4" EntitésFCONSP.id = "xyz" TCON.id = "Tcn1" Connexions
FCVC.id = "6" NSAP.id = "abcd"
ILe nom GLOBAL est un AGREGAT de noms RELATIFSINoms absolus
Noms relatifs Noms absolus
MS.id= "ABC"L3.id= "3"
CONSP.id = "xyz"CVC.id="6"
[MS.id="ABC"][MS.id="ABC",L3.id="3"]
[MS.id="ABC",L3.id="3",CONSP.id="xyz"][MS.id="ABC",L3.id="3",CONSP.id="xyz",CVC.id="6"]
Administration de réseauxif G.Beuchot 24
Arbre de nommage
I désignation d'un objet par son constructeurI on doit aussi ajouter sa localisation dans le réseaux(voir ci-dessous)
Xyplex33
SysIdent1
Character2
Internet4
CharPhysNumber1
CharPhysTable2
CharPhysEntry1
CharPhysSpeed7
root
iso1
ccitt0
joint-iso-ccitt2
org3
dod6
internet1
directory1
mgmt2
experimental3
private4
enterprises1
0 standard1: autorité enregistrée2: membre3: organisations
exemple : Xyplesx= 1.3.1.6.1.4.1.33.
objet : vitesse d'un port d'un concentrateur Xyplex = 1.3.1.6.1.4.1.33..2.2.1.7
Object Identifier ::= {org dod internet private enterprises Xyplex character charPhysTable charPhysEntry 7}
Administration de réseauxif G.Beuchot 25
Base de données administrative : MIB
I Information Management Base : regroupe tous les objets administrés
I MIB-II : 171 objets pour architecture Inet (TCP/IP)
I MIB privéeFobjets fournis par le vendeur de l'équipementFagents : logiciels pour gérer ces objets à distance
FEXEMPLE
ß system group$ system OBJECT IDENTIFIER :: { mib 1}
ß sysDescript : description de l'appareil
ß sysObjectId : identificateur de l'appareil (N° d'objet dans mIB privée 1.3.2.45. ...)
ß sysUpTime : durée (en seconde) depuis laquelle l'appareil est actif
ß sysContact : nom de la personne à contacter pour cet appareil (ex: adm@ifhpserv ..)
ß sysName : nom de l'appareil (ex: ifhpserv)ß sysLocation : bat 501 -T 202
ß sysServices : services offerts (code les niveaux OSI par ΣΣ 2 L-1)$ exemple : transport + administration = 8 + 64 = 48hexa)
Administration de réseauxif G.Beuchot 26
Aspects visibles d'un objet
IATTRIBUTSIOPERATIONS APPLICABLESFSUR L'OBJET
FSUR LES ATTRIBUTS
ICOMPORTEMENTFen REPONSE à une OPERATION
INOTIFICATIONFEMISE par l'objet SANS demande d'Opération
IPACKAGE CONDITIONNELFENCAPSULE DANS L'OBJET
IPOSITION DANS LA HIERARCHIE DES CLASSESIOBJETS ALLOMORPHES AVEC LA CLASSE
Administration de réseauxif G.Beuchot 27
Caractéristiques des objets: Attributs
ILes ATTRIBUTS représentent les PROPRIETES des objetsIils sontF LUS de façon ATOMIQUE ( par GET)
F MODIFIES " " " ( par SET)
I Ces OPERATIONS sont réalisées INDIRECTEMENT à travers l'objet
ILes ATTRIBUTS sontF OBLIGATOIRES
F ou placés dans un PACKAGE CONDITIONNEL
IATTRIBUTS DE BASEF NOM
F CLASSE DE L'OBJET
F SUPERCLASSES ALLOMORPHESF CHAÎNAGE DE NOMS
ß Classes d'objets que l'on PEUT NOMMER depuis cet objet
F PACKAGE (s'il en fait partie)
Administration de réseauxif G.Beuchot 28
Caractéristiqes des objets: Opérations
IElles permettent d'AGIRF SUR LES ATTRIBUTS
ß GETß REPLACE
ß SET to DEFAULT
ß ADD Memberß REMOVE Member
FGLOBALEMENT sur l'objet
ß CREATEß DELETE
ß ACTION$ Action complexe sur des ATTRIBUTS avec INDICATION ou non du RESULTAT
$ SYNCHRONISATION des opérations sur plusieurs attributs gérée par l'objet lui-même
Administration de réseauxif G.Beuchot 29
Caractéristiques des objets: Notifications - Filtres
INOTIFICATIONSF INFORMATIONS EMISES "SPONTANEMENT" par un objet
ß à la suite d'une modification ou d'un événement subit par l'objetß impliquant la modification d'un attribut
IFILTRESF pour SPECIFIER des CRITERES auxquels doivent satisfaire un
objet pour qu'une opération soit effectuée
F Sélection de plusieurs objets pour des opérations identiques
Administration de réseauxif G.Beuchot 30
Caractéristiques des objets: Comportements - Packages
ICOMPORTEMENTF SEMANTIQUE des attributs, notifications et opérations
F REPONSE aux OPERATIONS INVOQUEES
F Circonstances dans lesquelles les NOTIFICATIONS sont émisesF DEPENDANCES entre VALEURS d'attributs particuliers
F EFFETS des RELATIONS sur les autres objets gérés
IPACKAGES CONDITIONNELSF COLLECTIONS d'attributs optionnels, d'opérations et de notifications (sur ces attributs) qui sont tous absents ou présents SIMULTANEMENT
F Une seule instance possible
F Instanciation à travers l'objet
Administration de réseauxif G.Beuchot 31
MIB pour Internet: Objets gérés
ILes objets "Internet" sont décrits par seulement 5 paramètres :FDescripteur de l'objet
ß Nom et identificateur dans l'arbre de nommage
FSyntaxeß Type en ASN.1
FDéfinitionß Description en texte libre
FDroits d' Accès
ß lecture seuleß lecture - écriture
ß écriture seule
ß non accessible
FStatutß obligatoire
ß optionnelß obsolète
Administration de réseauxif G.Beuchot 32
MIB pour Internet: Objets gérés (suite)
IAinsi un objet est caractérisé parFun NOM
Fune SYNTAXE
Fun CODAGE
ILa syntaxe utilisée est un SOUS-ENSEMBLE de ASN.1
FLa structure est une version très simplifiée de la structure des objets OSI
avec seulement 2 ATTRIBUTS en plus du nom.
Administration de réseauxif G.Beuchot 33
Syntaxe ASN.1 pour MIB Internet
ILe sous-ensemble utilisé comporte les types suivants :FINTEGER
FOCTET STRING
FSEQUENCE { }FSEQUENCE OF
FOBJECT IDENTIFIER
FNULL
Iet les types Applications :FNetworkAdress (choix { internet IpAdress})
FIpAdress (chaine de 4 octets)
FCounter (entier 0..4294967295)FGauge Seuils (entier 0..4294967295)
FTimeticks Temporisation (entier 0..4294967295)
FOpaque Masque tout type spécifique (chaine d'octets)
Administration de réseauxif G.Beuchot 34
Syntaxe ASN.1 pour MIB Internet: Exemple 1
Iissu de la MIB II :
IOBJECT :IpAddrTable {ip 20}
Syntax :SEQUENCE OF IpAddrEntry
Definition:
The table of adressing information relevant to this entity's IP adresses
Acces :read-only
Status :mandatory
Administration de réseauxif G.Beuchot 35
Syntaxe ASN.1 pour MIB Internet: Exemple 2
IDEBIT D'UN PORT D'UN CONCENTRATEUR DE TERMINAUX XYPLEXPOUR SNMPIentreprise XYPLEX 1.3.1.6.1.4.1.33FOBJECT
ß SysIdent {system 1}
ß Syntax : DisplayString (SIZE (0..40))
ß Definition : (chaîne d'identification ......)ß Acces : read-only
ß Status : Mandatory
FOBJECTß charPhysNumber {character 1}
ß Syntax : INTEGER
ß Definition : (Nombre de ports physiques ......)ß Acces : read-only
ß Status : Mandatory
Administration de réseauxif G.Beuchot 36
Syntaxe ASN.1 pour MIB Internet: Exemple 2 (suite)
FOBJECT
ß charPhysTable {character 2}ß Syntax : INTEGER
ß Definition : (Liste des ports d'entrée arytmiques......)
ß Acces : read-onlyß Status : Mandatory
FOBJECT
ß charPhysEntry {charPhysTable 1}ß Syntax : charPhysEntry ::= SEQUENCE {
charPhysIndex,INTEGER, ....
charPhysSpeed,
INTEGER, .......}ß Definition : (Caractéristique d'un port d'entrée ......)
ß Acces : read-only
ß Status : Mandatory
Administration de réseauxif G.Beuchot 37
Syntaxe ASN.1 pour MIB Internet: Exemple 2 (suite)
FOBJECT
ß charPhysSpeed {charPhysEntry 7}ß Syntax : INTEGER
ß Definition : (Vitesse du port......)
ß Acces : read-writeß Status : Mandatory
IAinsi la vitesse d'un port de ce concentrateur est un objetadministrable qui peut être lu ou positionné.F Il est identifié de manière unique par
ß charPhysSpeed OBJECT IDENTIFIER ::= {org dod internet private enterprises XYPLEX
character charPhysTable charPhysEntry 7}
Fsoit 1.3.6.1.4.1.33.2.2.1.7
Administration de réseauxif G.Beuchot 38
MIB-II
IRFC 1158ICONTENUF 171 objets de type Réseau TCP/IP
Type Nombre Commentaires
system 7 noeud administréinterface 23 attachement réseau (Ethernet, Token Ring, X25, etc.)
at 3 Translation de l'adresse IP en adresse niveau 2
IP 38 Protocole IP (niveau )ICMP 26 Protocole ICMP (niveau 3 - supervision)
TCP 19 Protocole de transport TCP
UDP 7 Protocole de transport sans connexion UDPEGP 18 Routeurs (Gateway)
transmission 0 objets reseau spécifique
snmp 30 Niveau 7 : administration de réseaux SNMP
Administration de réseauxif G.Beuchot 39
MIB-II: Exemple d'objet
Isystem groupFsystem OBJECT IDENTIFIER :: { mib 1}
F sysDescript : description de l'appareil
F sysObjectId : identificateur de l'appareilß (N° d'objet dans MIB privée 1.3.2.45. ...)
FsysUpTime : durée (en seconde) depuis laquelle l'appareil est actif
FsysContact : nom de ma personne contact pour cet appareilß (adm@ifhpserv ..)
FsysName : nom de l'appareil (ifhpserv)
FsysLocation : bat 501 T 202)FsysServices : services offerts (code les niveaux OSI par * 2 L-1)
ß exemple : transport + administration = 8 + 64 = 48hexa
Administration de réseauxif G.Beuchot 40
Internet1
mgmt2
directory1
experimental3
private4
mib1
tcp6
ip4
Adres.transl.
3
interfaces2
system1
icmp5
egp8
udp7
cmot9
transmission10
snmp11
sysDescr1
sysObjectID2
sysName5
sysLocation6
ipAddrTable20
ipAddrEntry1
ipAdEntAddr1
ipAdEntNetMask3
ipRoutingTable21
ipRouteEntry1
ipRouteDest1
ipRouteMetric13
1.3.6.
Identification des objets de la MIB-II
IIdentification desobjets
«Inet»Fexemple : Adresse IP
1.3.6.1.2.1.4.20.1.1
Administration de réseauxif G.Beuchot 41
Modèle Fonctionnel
IGESTION SYSTEMEFSERVICES CMIS et SMIS
FPROTOCOLES CMIP et SMIPß CMIP utilise le service ROSE
$ RO-INVOKE RO-RESULT RO-ERROR
IGESTION DE COUCHEFService particulier parallèle à un service de communications
Flui préférer quand c'est possible un service de niveau 7 en "remontant"les informations nécessaires
$ sondes administratives
FUtile pour les couches basses (par exemple routage)
ß architecture d'un routeur ne comprend que les couches 1 à 3
IOPERATIONS DE COUCHEFInclues dans les services de communication
$ par exemple taxation dans X25 et plusieurs autres champs de facilité
IToutes les informations utiles sont rangés dans la MIB
Administration de réseauxif G.Beuchot 42
Architecture fonctionnelle
ISMAEFSystem Management
Application Entity
ILEFLayer Entity
ISM ASEFSystem Management
Application Service Element
ISMIPFSystem Management
Information Protocol
ICMIPFCommon Management
Information Protocol
SMAESM ASE
SM ASE
SM ASE
CMISE
SMAESM ASE
SM ASE
SM ASE
CMISECMIP
SMIP
SM
SMAE
7 7
LE
LME
M
I
B
SM
M
I
B
SMAE
7 7
LE
LME
SMP
N-protocole
N-LM-Protocole
(SMP)
Administration de réseauxif G.Beuchot 43
Service Commun d'Administration OSI
I Il comporte 2 sous-ensembles obligatoires et un sous-ensemble d'extension
I SERVICE D'ASSOCIATION: Il s'appuie sur ACSE et utilise lesprimitives
ß M.INITIALIZE service CONFIRME
ß M.TERMINATE service CONFIRME
ß M.ABORT service NON CONFIRME
I SERVICE DE TRANSPORTFSERVICE D'OPERATIONS
ß M.GET Consultation CONFIRME ou NON
ß M.SET Mise à jour CONFIRME ou NON
ß M.CREATE Création CONFIRME
ß M.DELETE Suppression CONFIRME
ß M.ACTION Opérations complexes CONFIRME ou NON
FSERVICE DE NOTIFICATIONß M.EVENT-REPORT CONFIRME ou NON
I EXTENSIONß CANCEL-GET Annulation d'une opération GET
ß SET Ajout d'éléments dans une liste
Administration de réseauxif G.Beuchot 44
Gestion Système
ILISTE NON EXHAUSTIVE ....IStandards 10164-x et 10165-xIFONCTIONNALITES SUPPORTEESFGESTION D'OBJETS
FGESTION D'ETATS
FGESTION DE RELATIONSFCOMPTE-RENDU D'ALARMES
FCOMPTE-RENDU D'EVENEMENTS
FCOMMANDE D'ARCHIVAGE (LOG)
FCOMPTE-RENDU D'ALARMES DE SECURITE
FSYNTHESE DE MESURESFSYNTHESE DE DIAGNOSTICS
Administration de réseauxif G.Beuchot 45
Gestion d'objets
IFonctionnalités de base "passe tout droit" (pass-through) projetées sur le Service Commun CMISILes objets suivent le modèle d'information décrit plus haut
avecFAttributsFOpérations
FComportement
FNotificationsFPackages conditionnels
FPosition dans la hiérarchie d'héritage
FAllomorphisme
Administration de réseauxif G.Beuchot 46
Gestion d'objets (suite)
IPRIMITIVESFOPERATIONS
ß P-CREATEß P-DELETE
ß P-ACTION
ß P-SET$replace
$add$remove
$set-to-default
ß P-GET
FNOTIFICATIONS
ß P-EVENT
Administration de réseauxif G.Beuchot 47
Gestion d'état
I3 types d'ETATS sont à considérer. Ils ne sont pas totalementindépendants et sont regroupés dans l'ETAT de GESTION.FOPERABILITE
ß INVALIDE
ß VALIDE
FUSAGEß ACTIF
ß OCCUPE
F OPERATIONNEL = OPERABILITE + USAGEFADMINISTRATION
ß VEROUILLE
ß FERMETUREß DEVEROUILLE
FGESTION
ß Combine état opérationnel et état administratif (voir ci-dessous)FUn ETAT de SANTE est aussi fourni.
Administration de réseauxif G.Beuchot 48
Gestion d'état: Etat de gestion
Opérationnel INVALIDE VALIDE ACTIF OCCUPE
Administratif
VEROUILLE Invalide Vérouillé Valide Vérouillé Impossible Impossible
FERMETUREBasculement
automatique vers invalide occupé
Basculement automatique vers
valide occupéActif Fermeture Occupé
Fermeture
DEVEROUILLE Invalide Dévérouillé
Valide Dévérouillé
Actif Dévérouillé Occupé dévérouillé
Administration de réseauxif G.Beuchot 49
Etats opérationnels
Invalide
Valide
Actif
new User
enabledisable
User quit
last userquit
new userou CD
User quitou CI
disable
new userou CD
user quitnon partageable
Occupé
IOpérabilitéFenable
Fdisable
IUsageFNew userFUser quit
FLast user quit
ß CD capacité décroît
ß CI: Capacité croît
Administration de réseauxif G.Beuchot 50
Etats Administratifs
FVerouillage
FDévérouillage des objets
FFermetureDévérouillé
Fermeture
Vérouillé
Fermer
utilisateursrestants
Dévérouiller
Quitterdernier utilisateur
Vérouiller
Vérouiller
Dévérouilleroui non
Administration de réseauxif G.Beuchot 51
Santé d'un objet
IDonne des précisions sur l'état d'un objet invalide Gestion des anomaliesF ANOMALIE RAPPORTEE
F EN FAUTE
F EN REPARATION
F RESERVE POUR TEST
F EN TEST
F NON INSTALLE
F JAMAIS INSTALLEF JAMAIS UTILISE
F HORS TENSION
F HORS LIGNE
F HORS USAGE (temps limite dépassé)
F INITIALISATION INCOMPLETE
F INITIALISATION REQUISE
Administration de réseauxif G.Beuchot 52
Gestion de relations entre objets
IRELATIONSFDIRECTES
FINDIRECTES
F SYMETRIQUESF ASYMETRIQUES
IRELATIONS DEFINIESFCONTENANCE
FEXPLICITESß SERVICE Client/Fournisseur
ß PAIRE (peer)
ß REPLI (fallback) Primaire/Secondaire
ß REMPLACEMENT (backup)Remplaçant/Remplacé
ß GROUPE Propriétaire/Membre
ß etc.
IElles sontF CREES par Add
F SUPPRIMEES par Remove
A
AB
BRA RABA Relation directe AB
Attribut relation RA; ici RA contient BA
Administration de réseauxif G.Beuchot 53
Compte-rendu d'événements
I Permet de notifier des événements localementI ou au système gestionnaire
OBJETGERE
Compte-rendud'événements
Détéctiond'événements
ettraitements
EFD
Notifications
Notifications
Commande
Réponse
EFD :Event Forwarding Discriminator
OBJETGERE
Compte-rendud'événements
Séléction localed'événements
Détéctiond'événements
ettraitements
Notifications
Traitement local
Traitement localet
Rapport à d'autres sytèmes
Administration de réseauxif G.Beuchot 54
Administration Inet
SNMPSimple Network Management Protocol
SNMP-V1 (version 1): RFC 1157MIB-II: RFC1213 (RFC 1212)
SNMP-V2 (version 2): RFC 1441 à 1452
Administration de réseauxif G.Beuchot 55
Architecture SNMP (Inet): Simple network Management Protocol
IEquipements administrésFHôtes
ß stations de travailß serveurs
ß concentrateurs
ß imprimantesß etc
Frouteurs, passerelles
Fponts, hubs,etc.
Flogiciels TCP/IP
interface graphique
Base de données
Application d'Administration
Traducteur SNMP
Gestion du transport
Gestion du transport Gestion du transport
Agent SNMP
MIB Equipement
Proxy SNMP
InformationsPropriétaires
Application et
Equipement SNMP
Station d'Administration
Equipement
non SNMP
Administration de réseauxif G.Beuchot 56
Opérations SNMP
IChaque équipement géré est vu comme un ensemble devariables que l'on peut :Fconsulter Get-RequestF Get-Next-Request
ß Table "Traversal" :$Balayage de tables
$Traversée pour les routages
Fmodifier Set-Request
ß à distance. Cet ensemble correspond à un objet dans le modèled'information OSI, les variables étant des attributs.
FOn peut aussi en recevoir spontanement des informations (notifications) :ß trap
Administration de réseauxif G.Beuchot 57
Opérations SNMP: le "puissant" GET-NEXT
I Permet les opérations de type "TRAVERSAL " pour explorer des tablesI utilisé en particulier pour les tables de ROUTAGEI ou les tables d'ADRESSES
IProblème :F TROUVER une valeur dans une table de la MIB avec SNMP qui ne traite que des objets
simples (contrairement à administration OSI)
Iexemple :F si on demande get-next (sysDescript)
Fon obtient la vaeur de l'objet suivant soit sysObjectId
IUTILE pour les tables dont on ne connait pasF le contenu réelF la taille
Iget-next peut avoir plusieurs paramètres (comme set ou get ...)F tables à plusieurs colonnes
Administration de réseauxif G.Beuchot 58
Exemple d'utilisation de Get-Next
Iget-next (ipRoureDest, ipRouteIfIndex, ipRoureNextHop)F donne la première ligne de la table de routage
Ien rappelant get-next avec la valeur reçue ---> ligne suivanteIremarque :F ipRouteNextHop identifie le routeur suivant dans le réseau
F qui peut à son tour être testéFpeut être utilisé pour surveiller une route
Administration de réseauxif G.Beuchot 59
Messages SNMP: Requêtes
Icodés dans un sous-ensemble de syntaxe ASN.1Fmessage: SEQUENCE {version(1), communauté, PDU}
IRequêtesFGetRequest-PDU
FGetResponse-PDUFGetNextRequest-PDU
FSetRequest-PDUß identificateur
ß type d'erreur$noError (0)
$tooBig (1)
$noSuchName (2)
$BadValue (3)$readOnly (4)
$genErr (5)
ß index d'erreur (numéro de la variable en erreur)ß liste (agrégat) de variables (nom et valeur)
Administration de réseauxif G.Beuchot 60
Messages SNMP: Trap
ITRAPFTrap-PDU
ß identification de l'agent sourceß adresse de l'agent
ß type de trap$coldStart (0)
$warmStart (1)
$linkDown (2)
$linkUp (3)$authentificationFailure (4)
$egpNeighborLoss (5)
$enterpriseSpecific (6)
ß champ spécifique pour traps particuliersß date de l'événement
ß liste des variables associées à ce trap
IManque de sécuritéFnom de "communauté" : sorte de mot de passe super-utilisateurFversion SNMP 2
Administration de réseauxif G.Beuchot 61
Outilsd ’administration
Administration de réseauxif G.Beuchot 62
Outils d'administration
IMono ou MultistandardFArchitecture constructeur
ß exemples: Netview (SNA), Administration Netware, Windows NT...
FArchitecture SNMPß exemple: SunNetManager, SNMPc
FSNMP + OSI + SNAß exemple: HP OpenView, IBM System View, ...
FHyperviseurs
ß Permet de superviser plusieurs systèmes d'administration
IIntroduction de systèmes- expert
IOutils de bas-niveau: analyseursFsondes administratives
Administration de réseauxif G.Beuchot 63
Superviseurs de réseaux
IFaciliter l'administration des grands réseaux, plus ou moinshétérogènesFA terme, ils devraient supporter l'ensemble des fonctionnalités de
l'administration de réseaux. Actuellement, ils ne supportentgénéralement que les fonctionnalités de:
• Gestion de la configuration et des noms
Fpartiellement• Gestion des anomalies
• Gestion des performances
Fet parfois• Gestion de la sécurité (par collecte des alarmes de sécurité)•
IUn superviseur comporte deux grands groupes defonctions:
• les fonctions de surveillance et d'acquisition desinformations
• les fonctions d'observation et de commande
Administration de réseauxif G.Beuchot 64
Principales fonctions d ’un superviseur de réseaux
IFonctions de surveillance et d'acquisition desinformationsFsupporté par des "démons" qui tournent de manière permanente
sur le système d'administrationß (qui doit donc être multitâches: Unix ou Windows NT par
exemple)
Iles fonctions d'observation et de commandeF description manuelle de l'architecture du réseau serait longue et
complexeF découverte automatique du réseau supervisé.
ß une des premières fonctionnalités d'un superviseur
I Après identification des systèmes constituants et des moyens deles atteindre,FSurveillance
ß par scrutations périodiques (fonction Get de SNMP),ß par acquisition des notifications d'événements
$ émises par des systèmes en anomalie ou sujet à des attaques (Trap de SNMP)
FMise à jour la configuration courante du réseauFEnregistrement dans des journaux (Log)
Administration de réseauxif G.Beuchot 65
Exemples d ’utilisation (HP Openview)
Administration de réseauxif G.Beuchot 66
Exemples d ’utilisation (HP Openview) : suite
Administration de réseauxif G.Beuchot 67
Exemple: architecture OpenView
IRouteurFfonctions de bases
IObjets degestion:MIBIObjets de gestions
permanentsFne peuvent être détruits
même en cas de panne
InterfaceUtilisateur Superviseur
Objetsde gestion
ROUTEURServices
de gestion
Objetsde gestion
permanents
Applicationsde gestion
Servicesd'environnement
Profils decommunications
RéseauRéseau
Administration de réseauxif G.Beuchot 68
Hypervision d'un réseau
IL'utilisation deproxy permet detraiter lesproblèmesd'hétérogénéité
Hyperviseur
Superviseur 1ex: SNMP
Superviseur 2ex: Sare
Ressources X25
Proxy SNMP
Netwareagent SNMP
SNMP
Ressources TCPIP
Ressources LAN
Proxy SNMP Proxy (SARE)