網路管理協定
advertisement
第一章:
◦ 1.1 網路管理基本觀念
◦ 1.2 網路管理五大功能領域
◦ 1.3 網路管理系統架構
◦ 1.4 SNMP網路管理協定
◦ 1.5 SNMP資訊模型
◦ 1.6 MIB-II簡介
定義
◦ 網路與服務的維運、管轄、維護、與調度
◦ 簡稱OAM&P: Operations, Administration,
Maintenance, and Provisioning
目的
◦ 確保網路使用者能享用符合服務品質(QoS) 要
求的網路服務
管理工作站
MA
Management Operation
Response
Event
網路設備
R
MO
Manager
Agent
Communication
Protocols
Communication
Protocols
網 路
MA: Manager Applications
MO: Managed Objects
R: Real Resource
管理者 (Manager)
代理者 (Agent)
網路管理通信協定 (Network Management Protocol)
網路管理資訊 (Network Management Information)
管理者 (Manager)
◦ 執行各項用來監督(Monitor)及控制(Control)網路設備的網
管應用程式
代理者 (Agent)
◦ 位於網路設備端,負責接受從管理者端送來之要求,執行
所付予之工作,並將結果回報給管理者。
專為管理者與代理者所設計之通信協定。
網路管理協定提供管理者與代理者間交換網管資訊
標準方式。
目前主要兩種網管通信協定
◦ Internet網管通信協定:
SNMP (Simple Network Management Protocol)
◦ OSI網管通信協定:
CMIS/P (Common Management Information Service /
Protocol)
被管物件(Managed Object, MO)
◦ 將待管網路資源,抽象化為物件,稱被管物件,簡寫MO。
◦ 被管物件所代表之網路資源可大可小,大可至代表整個網
路設備如ATM交換器,小可至代表某一網路元件之參數,
如介面卡之狀態。
管理資訊庫 (Management Information Base)
◦ 被管物件之集合,簡寫MIB。
Polling (輪詢)
◦ 網管系統主動至被管設備要求網管相關資訊 。
◦ 一般採用週期性輪詢,週期長短視需要而定,一般設為
5~15分鐘。
Notification (通報)
◦ 網路設備自行發現問題時,主動向網管系統發出事件報告
(Event Report)。
network
PC
UNIX
NM
....
...
網管系統
光纖網路
Polling
Firewall ....
/ Router
Internet
Notification
....
UNIX
...
UNIX
PC
PC
五大管理功能領域 (Management Functional
Areas, MFAs)
◦ 障礙管理 (Fault Management)
◦ 組態管理 (Configuration Management)
◦ 效能管理 (Performance Management)
◦ 計量管理 (Accounting Management)
◦ 安全管理 (Security Management)
定義
◦ 經由問題之偵測、障礙之隔絕、至障礙之
排除,達到恢復正常
障礙管理包括以下三個步驟:
◦ 發現問題
◦ 隔絕問題
◦ 修復問題 (如果可行)
維護與檢視錯誤存錄(error logs)
接收錯誤偵測通報,並採取行動
追蹤並找出障礙點
進行一系列的偵錯測試
更正障礙
定義
◦ 網路設備之搜尋與組態設定
CM之工作
◦ 網路系統之識別
◦ 對網路系統進行控制
◦ 蒐集網路系統相關資料
◦ 提供資訊至網路系統
設定網路系統維持運作所需之參數
識別被管物件之名稱
起始或關閉被管物件
應及時需要蒐集網路系統目前資訊
能得知網路系統狀態重大改變之資訊
改變網路系統之組態
定義
◦ 量測網路硬體、軟體、媒體之效能
幾個量測例子:
◦ 整體產出(Overall throughput)
◦ 使用率 (Percentage utilization)
◦ 錯誤率 (Error rate)
◦ 回應時間 (Response time)
收集統計資訊
維護與檢視系統狀態歷史存錄
測定系統之效能 (自然或人為條件下)
改變系統運作模式以進行效能管理
定義
◦ 掌握個人或使用者群對網路資源之使用情形,
確保使用者享用充分的網路資源
計量管理之應用
◦ 可用來對網路資源使用進行計費
◦ 可用來計算網路資源使用之成本
告知使用者資源耗費情形及費用
可以限定資源使用之上限,並可依據資源使用訂定
不同的費率機制
可以對多重資源組合使用計算費用
定義
◦ 控制網路系統資訊之存取
安全管理之功能
◦ 安全服務或機制之新增、刪除、及控制
◦ 安全相關資訊之散佈
◦ 安全相關事件之報告
常見三種網路管理架構
◦ 集中式架構 (Centralized Architecture)
◦ 階層式架構 (Hierarchical Architecture)
◦ 分散式架構 (Distributed Architecture)
網路管理架構考慮因素
◦
◦
◦
◦
網路規模
網路架構
部門組織架構
地理位置分佈
所有網路管理工作集中於一個網管系統或平台,負責
以下任務:
◦ 所有網路告警(Alert)與事件(Event)報告工作
◦ 所有網路資訊搜集工作
◦ 存取、操作所有網管應用程式
探討課題
◦ 系統安全、容錯備援、網管系統位置、網管訊務、系統延伸
性
網管系統
Queries
Queries
network
network
階層式架構使用多個系統,其中一個為網管伺服器
(Server),其餘為網管前端(Client)
主要特色
◦
◦
◦
◦
網管工作不僅倚靠單一的網管系統
網管工作分散於各網管系統
網路監測分散於各網路中
集中式的資訊儲存
探討課題
◦ 整體資訊之搜集、個別系統之設定、網管應用之存取與操
作、網管範圍之重疊
DBMS
NMS
Server
NMS
Client
NMS
Client
network
Local Query
network
Local
Query
分散式架構使用多個對等的(Peer)的網管平台,每
一平台具有完整的網管功能及資料庫,其中一平
台作為各平台之管理者。
分散式架構兼具集中式與階層式架構之功能,具
以下優點:
◦ 所有網路資訊、網路告警(Alert)與事件(Event)報告
集中於單一系統
◦ 網管應用之存取與操作,集中於單一系統
◦ 網管工作不僅倚靠單一的網管系統
◦ 網管工作分散於各網管系統
◦ 網路監測分散於各網路中
DBMS NMS
Peer
Local Query
network
DBMS
DBMS
Local Query
NMS
Peer
NMS
Peer
Local Query
Replication
Server
Communication
如果每個廠商的網路設備均提供一套獨特專屬
(Proprietary)的網管方法與介面,網路管理工作將
很難執行。
網路管理標準化
◦ 每個網路設備必須提供一致的網路管理介面
(亦即相同的網路管理通信協定)。
35
Internet
◦ SNMPv1, SNMPv2, SNMPv3
ISO/ITU-T X.700 Series:
◦ CMIP/S (Common Management Information Protocol /
Service)
ITU-T M.3000 Series:
◦ TMN (Telecommunication Management Networks)
36
Internet網路管理標準
◦ SNMP (Simple Network Management Protocol)
◦ 已為Internet網路管理之業界採用標準(De facto standard)
◦ 大部分網路設備(Router, Switch)均支援SNMP
◦ 目前SNMP之版本: SNMPv1, SNMPv2c, SNMPv3
SNMPv1, SNMPv2c廣被採用
SNMPv3仍不普遍
協定: SNMP Protocol (Std 15)
◦ RFC1157: Simple Network Management Protocol.
資訊模型: Structure of Management Information (SMI) (Std 16)
◦ RFC1155: Structure and Identification of Management
Information for TCP/IP-based Internets.
◦ RFC1212: Concise MIB Definitions.
管理資訊庫: MIB-II (Std 17)
◦ RFC1213: Management Information Base for Network
Management of TCP/IP-based Internets: MIB-II.
Management
Station
Network
Element
SNMP
MIB/ SMI
Agent
Manager
Set/Get/GetNext Request
SNMP
SNMP
UDP
Get Response / Trap
UDP
IP
IP
網路介面
網路介面
Managed Resources
IP Network (Internet)
MIB: Management Information Base
SMI: Structure of Management Information
四個服務
◦ Get, Set, GetNext, Trap
五種PDU
◦ GetRequest, SetRequest, GetNextRequest, GetResponse, Trap
Get, Set, GetNext Request
Manager
Get Response
Agent(s)
Trap
PDU: Protocol Data Unit
Get
GetNext
Set
Trap
Get Request
Manager
Get Response
Agent
GetNext Request
Manager
Get Response
Agent
Set Request
Manager
Manager
Get Response
Trap Request
Agent
Agent
41
Get Request:
◦ 取得代理者所管轄的MIB被管物件值
Get-Next Request:
◦ 取得代理者所管轄的MIB樹狀結構下一個位置的被管物件
之值
Set Request:
◦ 設定代理者所管轄的MIB被管物件值
Trap Request
◦ 報告重要事件給管理者
• 依據SNMP標準,可存取值
之物件,只位於葉子位置
MIB Tree :
4
5
6
:Non-Leaf Object
1
2
3
:Leaf Object
Management
Station
Network Elements (NEs)
Manager
Agent
SNMP
162
UDP
SNMP
Any
161
UDP
IP
IP
網路介面
網路介面
Any
SNMP訊息欄位:
◦ Version Identifier
◦ Community Name
◦ Protocol Data Unit
Message ::=
SEQUENCE {
version
community
data
}
INTEGER {version-1(0)},
OCTET STRING,
ANY
依據SNMP原標準,SNMP訊息不得超過484位元組
Version
Community
SNMP PDU
社群(Community)規範管理者與代理者間的關係
SNMPv1使用社群(Community)觀念控制物件之存取
屬於相同社群之成員才能互相溝通運作
社群名稱(Community name)為識別一社群之唯一依
據,因此又稱為"SMMP密碼"
依網管應用之需,允許多個社群同時存在於各個管
理者與代理者間
又可分為"read"與"write" community,代表不同存取
限制,預設的read community值為"public"
• request-id:
請求識別碼
• error-status:
錯誤狀態碼
• error-index:
錯誤索引
• variable-bindings
由一或多個(物件名稱,
物件值)形成的物件序列
PDU ::= SEQUENCE {
request-id
INTEGER,
error-status INTEGER {
noError(0),
tooBig(1),
noSuchName(2),
badValue(3),
readOnly(4),
genErr(5)},
error-index
INTEGER,
variable-bindings
SEQUENCE OF {
name ObjectName,
value ObjectSyntax
}
}
PDU: Protocol Data Unit
GetRequest, GetNextRequest, SetRequest
PDU type
request-id
0
0
variable-bindings
GetResponse
PDU type
request-id
error-status error-index
variable-bindings
variable-bindings
name
value
name
value
...
name
value
Enterprise:
廠商之識別碼
Agent Address:
代理者之IP位址
Generic Trap:
一般性的trap型態
Specific Trap:
廠商自行訂義之trap編號
Time Stamp:
時戳
Variable Bindings
事件相關之物件
Trap-PDU ::= [4]
IMPLICIT SEQUENCE {
enterprise
OBJECT IDENTIFIER,
agent-addr
NetworkAddress,
generic-trap INTEGER {
coldStart(0),
warmStart(1),
linkDown(2),
linkUp(3),
authenticationFailure(4),
egpNeighborLoss(5),
enterpriseSpecific(6)},
specific-trap INTEGER,
time-stamp TimeTicks,
variable-bindings VarBindList
}
PDU type enterprise agent-addr generic-trapspecific-traptime-stamp variable-bindings
Managed Resources
被管理資源抽象化表示為被管物
件(managed object),簡稱MO
MO可視為一個資料變數(variable)
代理者所管轄之所有MO以樹狀結
構方式組織而成管理資訊庫
(Management Information Base),
簡稱MIB
MIB
Agent
SNMP
UDP
IP
網路介面
NE: Network Element
Structure of Management Information (SMI)
◦ 一組用來定義被管物件的語法與規則
◦ 使用ASN.1之資料型態
◦ 使用ASN.1巨集(Macro)訂定所需語法
sysLocation OBJECT-TYPE
SYNTAX DisplayString (SIZE (0..255))
ACCESS read-write
STATUS mandatory
DESCRIPTION "The physical location of this node
(e.g., `telephone closet, 3rd floor')."
::= { system 6 }
Object Identifier (OID)
◦ 用來唯一辨別每一物件型態的識別碼
◦ 需註冊,全世界唯一
◦ 全世界有一顆共同的註冊樹,由根而下每一分
支均有一數字編號
◦ 物件之OID:
由根至該物件所在節點之路徑上每一分支之數字編號
所組成
例如: {1 3 6 1 2 1} 或 .1.3.6.1.2.1 (一般書寫方式)
ccitt
std
0
1
reg
authority
0
directory
system interface
1
2
at
3
mgmt
1
MIB II
IP
4
2
joint-iso-ccitt
3
org
6
dod
1
internet
4
3
2
experimental
2
member
body
.1.3.6.1.2.1.2
1
root
1
iso
ICMP TCP
5
6
UDP
7
.1.3.6.1.2.1
.1.3.6.1.4.1
private
1
enterprises
EGP
8
Trans.
10
SNMP
11
文字(數字)
internet OBJECT IDENTIFIER ::= { iso org(3) dod(6) 1 }
純數字
internet OBJECT IDENTIFIER ::= { 1 3 6 1 }
利用已定義過之父輩物件名稱
mgmt OBJECT IDENTIFIER ::= { internet 2 }
i.e. {1 3 6 1 2}
ifNumber OBJECT-TYPE
SYNTAX INTEGER
ACCESS read-only
STATUS mandatory
DESCRIPTION "The number of network interfaces
(regardless of their current state) present on this system."
::= { interfaces 1 }
OBJECT-TYPE
◦ 為ASN.1 巨集名稱,其前置文字(例: ifNumber)為物件名稱
SYNTAX
◦ 此物件型態之資料類型
ACCESS
◦ 此物件型態之存取權限
◦ "read-only", "read-write", "write-only", "not-accessible"
STATUS
◦ 標準支援情況:"mandatory", "optional", "obsolete"
DESCRIPTION
◦ 一段關於此物件型態之文字描述
許多被管物件存在於表格中
例: ifTable
表格之每一欄為一個物件型態
另需兩個物件型態,分別定義"表格"與"列"
表格
列
ifTable OBJECT-TYPE
SYNTAX SEQUENCE OF IfEntry
ACCESS not-accessible
STATUS mandatory
DESCRIPTION "A list of interface entries. The number of
entries is given by the value of ifNumber."
::= { interfaces 2 }
ifEntry OBJECT-TYPE
SYNTAX IfEntry
ACCESS not-accessible
STATUS mandatory
DESCRIPTION "An interface entry containing objects at the
subnetwork layer and below for a particular interface."
INDEX { ifIndex }
::= { ifTable 1 }
INDEX用來指定表格之索引
◦ 類似資料庫表格之主索引或主鍵
◦ 允許多個欄位之索引
例子:
◦ INDEX {ifIndex}
◦ INDEX { ipNetToMediaIfIndex, ipNetToMediaNetAddress }
ifDescr OBJECT-TYPE
SYNTAX DisplayString (SIZE (0..255))
ACCESS read-only
STATUS mandatory
DESCRIPTION "A textual string containing information
about the interface. This string should include the name of the
manufacturer, the product name and the version of the
hardware interface."
::= { ifEntry 2 }
OID原用於識別物件型態(Object Type)
表格中之欄位物件屬同一物件型態,但具有多個
物件實例(每一列一個物件實例)
物件實例的識別方式
◦ Instance OID = Object Type OID
. Instance Identifier
Object Type OID:
◦ 該物件型態之OID
Instance Identifier:
◦ INDEX所示對應物件之值
62
.ifTable.ifEntry.2 (.1.3.6.1.2.1.2.2.1.2.2)
.ifTable.ifEntry.3 (.1.3.6.1.2.1.2.2.1.2.3)
ifIndex
ifDescr
ifType
1
le0
6
...
6
llc0
1
...
7
lo0
24
...
9
le1
6
...
.1.3.6.1.2.1.2.2.1.2.2.6
...
.1.3.6.1.2.1.2.2.1.2.3.7
63
有一些物件並非存在於表格中,而是單獨存在
此種物件,一物件型態只有一物件實例
非表格物件實例的識別方式
◦ Instance OID = Object Type OID
.0
例子:
sysName (系統名稱)
Object Type OID: .1.3.6.1.2.1.1.5
Instance OID: .1.3.6.1.2.1.1.5.0
MIB-II定義於RFC 1213之標準MIB模組
用來管理TCP/IP基本協定集,包括IP, ICMP, TCP,
UDP, EGP, 及SNMP
目前幾乎所有支援SNMP網路設備均支援MIB-II
許多SNMP網管應用均利用MIB-II達成
建議詳細研讀RFC 1213
In te rn e t
{1 3 6 1 }
d ire c to ry
(1 )
mgmt
(2 )
e x p e rim e n ta l
(3 )
p riv a te
(4 )
m ib -2
(1 )
s y s te m (1 )
s n m p (1 1 )
in te rfa c e s (2 )
tra n s m is s io n (1 0 )
a t (3 )
c m o t (9 )
ip (4 )
e g p (8 )
ic m p (5 )
u d p (7 )
tc p (6 )
F ig u r e 4 .2 6 In te r n e t M IB -II G r o u p
System Group
◦ 提供被管系統之基本資訊
Interfaces Group
◦ 提供實體或虛擬網路介面監控資訊
Address-Translation Group
◦ 網路位址與實體位址之對應,已併入IP群
IP Group
◦ 提供IP協定監控之網管資訊
ICMP Group
◦ 提供ICMP協定監控之網管資訊
TCP Group
◦ 提供TCP協定監控之網管資訊
UDP Group
◦ 提供UDP協定監控之網管資訊
EGP Group
◦ 提供EGP協定監控之網管資訊
Transmission Group
SNMP Group
◦ 用來放置不同通訊技術監控之網管資訊
◦ 提供SNMP協定監控之網管資訊
