Gerenciamento de Redes

O Desafio
Redes de Computadores cada vez mais complexas
Espalhadas em sites mltiplos Com milhares de dispositivos

Precisamos do auxilio de ferramentas para gerenciar redes de computadores

Ferramentas de gerenciamento so recentes (anos 80) Podemos construir redes maiores do que podemos gerenciar

Requisitos de Gerenciamento
Controle dos recursos estratgicos da empresa Controle da complexidade
Protocolos, interfaces, vendedores, ...

Melhorar o servio (distribuio) Balanceamento das necessidades

Desempenho, disponibilidade, segurana, ...

Reduo do tempo de no disponibilidade Controle de custo

Controle de acesso, uso de recursos, ...

reas Funcionais
Gerenciamento de Falhas Gerenciamento de Configurao Gerenciamento de Desempenho Gerenciamento de Segurana Gerenciamento de Contabilidade

Gerenciamento de Falhas
Falha no necessariamente um erro
Sinaliza uma condio anormal

necessria a deteco e correo rpida Uso de componentes redundantes na rede

Gerenciamento de Falhas
Deteco de falhas Diagnstico de falhas a partir de sintomas mltiplos O objetivo principal do gerenciamento

Gerenciamento de Configurao
Configurao representa o estado de um dispositivo Ligado/desligado Portas usadas (roteador, por exemplo) Deve permitir a re-configurao de dispositivos Desativar dispositivos
Que no esto funcionando Desnecessrios em determinado momento

Redirecionar trfego
Evitando enlaces congestionados

Gerenciamento de Configurao
Inicializao e parada da rede Identificao dos componentes
Descoberta automtica autom

Notificao dos usurios sobre modificaes de configurao

Gerenciamento de Desempenho
Avaliar o desempenho da rede Muitas estatsticas
Vazo Tempo de resposta Disponibilidade

Deve suportar anlise what-if

O que acontecer caso o roteador 27 seja removido

Gerenciamento de Desempenho
Monitoramento de atividades Controle: Fazendo ajustes Exemplos - perguntas sobre:
Nvel de utilizao dos recursos? Excesso de trfego (congestionamento) ? Tempo de resposta?

Medidas: precisa de mtricas, valores devem ser estabelecidos, uso de estatsticas,..

Gerenciamento de Segurana
Limitar acesso para pessoas autorizadas Criptografia de arquivos para evitar leitura no caso de interceptao Evitar divulgao de informao de gerenciamento Evitar re-configuraes e outras operaes de gerenciamento no solicitadas

Gerenciamento de Segurana
Gerao de chaves de criptografia Distribuio de chaves e senhas Proteo dos recursos Proteo do trafego entre Gerente e Agente Controle de acesso e auditoria

Gerenciamento de Contabilidade
Que individuais ou grupos usaram que servios (auditoria) ? Permitir cobrana sobre o uso dos recursos da rede Que informao deve ser cadastrada? Algoritmos e polticas de cobrana Permitir uma anlise custo/benefcio Benefcios:
Identificar e posicionar melhor os recursos numa rede

Padres de Gerenciamento
SNMP
Simple Network Management Protocol Para redes TCP/IP Simples/barato Muito comum em produtos e equipamentos de redes Limitado ao diagnstico de falhas

Padres de Gerenciamento
CMIS/CMIP
Commom Management Information Service/Protocol Para redes OSI Muito mais funcional que o SNMP Mais fcil de estender que o SNMP Mais caro, menos desenvolvido, menos usado (empresas de Telecom)

Gerenciamento de Redes SNMP

Gerenciamento de dispositivos
Centro de Controle da Rede Site B Servidor Servidor Mdulo gerente Mdulo gerente Linha de Transmisso Linha de Transmisso

Site A Sede

Roteador Roteador Site D

Hub Hub Site C

Gerenciamento de dispositivos
O que monitorar?
Servidores

% de uso da CPU, memria livre, espao em disco

Impressoras

Pginas impressas, nvel do toner, fim do papel

Roteadores, hubs, switches, interfaces de rede

Pacotes enviados e recebidos Pacotes com erro Estado das portas (up, down)
Outros dispositivos

Depende da sua funcionalidade e de quais informaes so relevantes

Arquitetura funcional - Exemplo

GERENTE
Agente de coleta SNMP Dispositivo Monitorado

IP Network (Internet)
Libs, config

Agente SNMP

MIB

Stats

grficos

HTML PNG

Web Server

Web Browser

Exemplo usando SNMP

MIB - Management Information Base

A MIB um Banco de Dados
Os dados so mantidos pelo agente Os dados so chamados de Objetos Cada objeto tem um identificador (nome) conhecido como OID Object Identificator

Que informaes esto contidas na MIB ?

Depende do dispositivo

Tipos de dados dos Objetos:

NetworkAddress, IpAddress, Integer, Gauge, TimeTicks, String

MIB-Management Information Base

Base de Informaes de Gerenciamento (MIB) de um SERVIDOR Tabela de Roteamento Registro ID 27 31 126 ID Local JPR Sede Recife Caruaru Porta ON OFF On ON etc. etc. etc. etc. etc. Dados da interface Dados da interface de rede de rede Dados do disco Dados do disco Dados da CPU Dados da CPU Tabela de Tabela de Conexes ativas Conexes ativas

Atributo

Estrutura da MIB
iso(1) org(3) dod (6) internet (1) directory (1) mgmt (2) mib-2 (1) system (1) interfaces(2) at (3) ip (4) icmp (5) tcp (6) udp (7) egp (8) private (4) transission(10) snmp(11) enterprises(2)

experimental (3)

Identificador de Objeto (OID)

Cada objeto tem um identificador nico OID uma seqncia de nmeros ou nomes, separados por ponto . lido da esquerda para a direita OID define a localizao do objeto na estrutura de rvore MIB. Exemplo: o identificador de objeto tcpConnTable derivado como se segue:
iso org dod internet mgmt mib-2 tcp tcpconnTable

13

O identificador pode ser escrito como:

1.3.6.1.2.1.6.13 ou
iso.org.dod.internet.mgmt.mib-2.tcp.tcpconnTable

SNMP - Conceitos Bsicos

SNMP=Simple Network Management Protocol
O protocolo simples, no o gerenciamento

SNMP s suporta operaes de alterao e consulta dos valores dos OIDs No possvel incluir/excluir objetos da estrutura da MIB possvel realizar operaes em tabelas bidimensionais simples Uma estao de gerenciamento pode gerenciar vrios agentes Cada agente controla sua MIB
Muitos OIDs so dinmicos Agente mantm a MIB atualizada Responde s consultas dos gerentes

Ramificao da MIB para Interfaces

iso.org.dod.internet.mgmt.mib-2.interfaces ... (ou .1.3.6.1.2.1.2.)

... ifNumber.0 = 24 ... ifTable.ifEntry.ifDescr.1 = utp ethernet ... ifTable.ifEntry.ifDescr.2 = utp ethernet ... ... ... ifTable.ifEntry.ifDescr.24 = utp fast ethernet ... ifTable.ifEntry.ifPhysAddress.24 = 0:d0:9:a5:7f:cb ... ifTable.ifEntry.ifType.24 = Fast Ethernet (100BaseT) (62) ... ifTable.ifEntry.ifInOctets.24 = 168176112 ... ifTable.ifEntry.ifOutOctets.24 = 145859106 ... ifTable.ifEntry.ifOutErrors.24 = 15

Alguns OID ligados interface de rede

(MIB OID = iso.org.dod.internet.mgmt.mib-2.interfaces.ifTable.ifEntry)

Exemplo de aplicao: Grficos

Consultas frequentes aos valores contidos na MIB permitem gerao de Grficos Exemplo: Bytes enviados e recebidos pelo modem
ifInOctets & ifOutOctets

Gerenciamento de Rede SNMP

Incio de redes TCP/IP
Havia pouco interesse no gerenciamento redes

ICMP (Internet Control Message Protocol) at 1970 com principais mecanismos:

Echo/echo-reply: para testar se a comunicao possvel entre entidades. timestamp e timestamp reply: para amostragem das caractersticas de atraso da rede.

Gerenciamento Rede SNMP

PING (Packet Internet Groper):
Uso de mensagens ICMP + opes adicionais Usado para observar variaes em tempos de round trip e em taxas de perda de datagramas, que ajudam a isolar reas de congestionamento e pontos de falhas

1980, crescimento exponencial da Internet

Necessidade de um protocolo com mais funcionalidade que o PING (Necessidade de Solues Completas)

Modelo SNMP: Arquitetura

O modelo de gerenciamento de rede usado para redes TCP/IP inclui:
Estao de Gerenciamento (gerente) Agente de Gerenciamento Base de Informao de Gerenciamento (MIB) Protocolo de Gerenciamento da Rede

SNMP
O protocolo SNMP foi originalmente desenvolvido na comunidade Internet para monitorar e gerenciar routers e bridges, numa rede TCP/IP. A primeira verso do SNMP apareceu em 1990 e est definido no RFC 1157. Mais tarde surgiu a verso 2, hoje definida na RFC 1905, RFC1906, RFC1907 A verso 3 apresenta caractersticas de segurana e foi definida a partir da RFC 2570, RFC2571, RFC2572, RFC2573, RFC2574, RFC2575.

SNMP
Interliga a estao de gerenciamento e os agentes. Inclui capacidades: GET, SET e TRAP. O SNMP foi projetado para ser um protocolo de aplicao, parte do conjunto de protocolos TCP/IP; Opera sobre o UDP (User Datagram Protocol) H cerca de dez mil objetos definidos em diversos RFCs

Comunicao de Gerenciamento
Request (comando) Programa de Programa de Gerenciamento Gerenciamento (cliente) (cliente) Response (informao/confirmao) Alarm

Agente Agente (Servidor) (Servidor)

SNMP usa o protocolo UDP para comunicao

Comunidade SNMP
Uma estao de gerenciamento (gerente) pode gerenciar vrios agentes (1:N) Cada agente controla uso da sua MIB pelos gerentes (1 agente : N estaes) Comunidade SNMP
Um string que define um grupo de agentes-gerente Agentes s respondem aos gerentes que estejam na sua comunidade Funciona como autenticao e controle de acesso O conceito de comunidade local, definido no agente No prov garantia de segurana ao acesso das informaes nas verses SNMPv1 e SNMPv2 SNMPv3 usa autenticao segura

Proxies

Mensagem SNMP

Formato da Mensagem SNMP

Verso Indica a verso do SNMP (v1, v2, v3) Mensagens com verses no suportadas so descartadas Comunidade Nome da comunidade

Formato da Mensagem SNMP

Tipos de PDU
Cd 0 1 Mensagem Get-Request Descrio Pede o valor de uma ou mais objetos

Get-Next-Request Pede o valor do objeto seguinte ultima consulta

2 3 5

Get-Response Set-Request Get-Bulk-Request

Resposta com os valores dos objetos Ajusta o valor de um ou mais objetos Pede os valores de um bloco de objetos (ex: table)

Inform-Request

Permite comunicao gerente-gerente (ex: troca de MIBs) Enviado pelo agente aos gerentes (sem solicitao)

Trap

Formato da Mensagem SNMP

Request ID Permite associar respostas com perguntas Nmero estabelecido no get Error status Indica o tipo de erro ocorrido Valor ajustado em Get-Response, zero nos outros tipos de PDU

Formato da Mensagem SNMP

Error index Permite associar um erro com um objeto contido na resposta Tem sentido apenas no Get-Response Zero nos outros tipos de PDU

Formato da Mensagem SNMP

Variable bindings (varbind list)
Uma lista de pares do tipo Objeto-valor Valores tm sentido apenas no Get-Response Valores so ignorados nos demais PDUs

Comunicao Gerente-Agente

SNMP - Verses
SNMP V1
Atender aos requisitos de gerenciamento do protocolo TCP/IP na internet

SNMP V2
Mais elaborada Eliminou ambigidades nas definies dos objetos Mais segurana ao protocolo Viso de MIB definido em termos de sub-rvores

SNMP - Verses
Anlise de Trfego: SNMP v1 :: request
[root@che Gerencia]# snmpget -v 1 -c che localhost ifPhysAddress.2 Frame 1 (84 bytes on wire, 84 bytes captured) Ethernet II, Src: 00:00:00_00:00:00 (00:00:00:00:00:00), Dst: 00:00:00_00:00:00 (00:00:00:00:00:00) Internet Protocol, Src: 127.0.0.1 (127.0.0.1), Dst: 127.0.0.1 (127.0.0.1) User Datagram Protocol, Src Port: 33202 (33202), Dst Port: snmp (161) Source port: 33202 (33202) Destination port: snmp (161) Length: 50 Checksum: 0x6c2e [correct] Simple Network Management Protocol Version: 1 (0) Community: che PDU type: GET (0) Request Id: 0x723bbd79 Error Status: NO ERROR (0) Error Index: 0 Object identifier 1: 1.3.6.1.2.1.2.2.1.6.2 (IF-MIB::ifPhysAddress.2) Value: NULL

SNMP - Verses
Anlise de Trfego: SNMP v1 :: reply
[root@che Gerencia]# snmpget -v 1 -c che localhost ifPhysAddress.2 Frame 2 (90 bytes on wire, 90 bytes captured) Ethernet II, Src: 00:00:00_00:00:00 (00:00:00:00:00:00), Dst: 00:00:00_00:00:00 (00:00:00:00:00:00) Internet Protocol, Src: 127.0.0.1 (127.0.0.1), Dst: 127.0.0.1 (127.0.0.1) User Datagram Protocol, Src Port: snmp (161), Dst Port: 33202 (33202) Source port: snmp (161) Destination port: 33202 (33202) Length: 56 Checksum: 0x4e4e [correct] Simple Network Management Protocol Version: 1 (0) Community: che PDU type: RESPONSE (2) Request Id: 0x723bbd79 Error Status: NO ERROR (0) Error Index: 0 Object identifier 1: 1.3.6.1.2.1.2.2.1.6.2 (IF-MIB::ifPhysAddress.2) Value: STRING: 0:40:f4:a4:27:d1

SNMP - Verses
Anlise de Trfego: SNMP v2c :: bulkRequest
[root@che Gerencia]# snmpbulkwalk -v 2c -Cr6 -c che localhost interface User Datagram Protocol, Src Port: 32989 (32989), Dst Port: snmp (161) Simple Network Management Protocol Version: 2C (1) Community: che PDU type: GETBULK (5) Request Id: 0x7346e436 Non-repeaters: 0 Max repetitions: 6 Object identifier 1: 1.3.6.1.2.1.2 (IF-MIB::interfaces) Value: NULL

SNMP - Verses
Anlise de Trfego: SNMP v2c :: Response
User Datagram Protocol, Src Port: snmp (161), Dst Port: 32989 (32989) Simple Network Management Protocol Version: 2C (1) Community: che PDU type: RESPONSE (2) Request Id: 0x7346e436 Error Status: NO ERROR (0) Error Index: 0 Object identifier 1: 1.3.6.1.2.1.2.1.0 (IF-MIB::ifNumber.0) Value: INTEGER: 5 Object identifier 2: 1.3.6.1.2.1.2.2.1.1.1 (IF-MIB::ifIndex.1) Value: INTEGER: 1 Object identifier 3: 1.3.6.1.2.1.2.2.1.1.2 (IF-MIB::ifIndex.2) Value: INTEGER: 2 Object identifier 4: 1.3.6.1.2.1.2.2.1.1.3 (IF-MIB::ifIndex.3) Value: INTEGER: 3 Object identifier 5: 1.3.6.1.2.1.2.2.1.1.4 (IF-MIB::ifIndex.4) Value: INTEGER: 4 Object identifier 6: 1.3.6.1.2.1.2.2.1.1.5 (IF-MIB::ifIndex.5) Value: INTEGER: 5

SNMP - Verses
SNMP V3
Proposta com base nas verses anteriores Novos procedimentos de autenticao e de privacidade Novos procedimentos de autorizao e controle de acesso Novos procedimentos de administrao e acesso remoto

SNMP - Verses
Abandona o conceito de gerentes agentes Ambos so chamados de Entidades e

SNMP - Verses
User Datagram Protocol, Src Port: 32964 (32964), Dst Port: snmp (161) Simple Network Management Protocol Version: 3 (3) Message Global Header Message Global Header Length: 17 Message ID: 382164343 Message Max Size: 65507 Flags: 0x05 .... .1.. = Reportable: Set .... ..0. = Encrypted: Not set .... ...1 = Authenticated: Set Message Security Model: USM Message Security Parameters Message Security Parameters Length: 50 Authoritative Engine ID: 80001F8804646A616D656C7361646F6B 1... .... = Engine ID Conformance: RFC3411 (SNMPv3) Engine Enterprise ID: net-snmp (8072) Engine ID Format: Text, administratively assigned (4) Engine ID Data: Text: djamelsadok Engine Boots: 2 Engine Time: 2184 User Name: erico Authentication Parameter: D6C2532A3F59E826249ED673 Privacy Parameter:

SNMP - Verses
CONTINUAO... Context Engine ID: 80001F8804646A616D656C7361646F6B 1... .... = Engine ID Conformance: RFC3411 (SNMPv3) Engine Enterprise ID: net-snmp (8072) Engine ID Format: Text, administratively assigned (4) Engine ID Data: Text: djamelsadok Context Name: PDU type: GET (0) Request Id: 0x1f2db8e4 Error Status: NO ERROR (0) Error Index: 0 Object identifier 1: 1.3.6.1.2.1.1.3.0 (SNMPv2-MIB::sysUpTime.0) Value: NULL

SNMP - Verses
User Datagram Protocol, Src Port: 32964 (32964), Dst Port: snmp (161) Simple Network Management Protocol Version: 3 (3) Message Global Header Message Global Header Length: 17 Message ID: 1642813468 Message Max Size: 65507 Flags: 0x07 .... .1.. = Reportable: Set .... ..1. = Encrypted: Set .... ...1 = Authenticated: Set Message Security Model: USM Message Security Parameters Message Security Parameters Length: 58 Authoritative Engine ID: 80001F8804646A616D656C7361646F6B 1... .... = Engine ID Conformance: RFC3411 (SNMPv3) Engine Enterprise ID: net-snmp (8072) Engine ID Format: Text, administratively assigned (4) Engine ID Data: Text: djamelsadok Engine Boots: 2 Engine Time: 2048 User Name: erico Authentication Parameter: A2A7253B4C3DBDA0A1BF231E Privacy Parameter: 00000001E4C4906A Encrypted PDU (58 bytes)

Gerenciamento de Redes