que signifie « administrer, gérer un réseau d’entreprise » ?
DESCRIPTION
Concept d’administration. Que signifie « administrer, gérer un réseau d’entreprise » ? Quels sont les éléments administrables ? Switch, routeurs, Stations, serveurs, Serveurs VPN, pare-feux Onduleurs, PABX, appareillages divers… - PowerPoint PPT PresentationTRANSCRIPT
Cours DESS Luminy 2004 1
Que signifie « administrer, gérer un réseau d’entreprise » ? Quels sont les éléments administrables ?
Switch, routeurs, Stations, serveurs, Serveurs VPN, pare-feux Onduleurs, PABX, appareillages divers…
Quels sont les paramètres sensibles ? (explorons le réseau d’entreprise) De quelles façons recevoir l’information ?
Directement en accédant à l’équipement Log du système, des applications de surveillance réseau Historique graphique (jour, semaine, mois…) Par alertes/alarmes directement générées par l’équipement
Utilité de personnaliser l’alarme (visuelle, sonore, SMS, mail…) Actions à mener à partir des informations reçues
Procédures simples à suivre par le personnel non spécialisé Cas sensibles nécessitant une intervention du spécialiste Tenir à jour un cahier de bord détaillant problèmes survenus
Cours DESS Luminy 2004 2
WS
WS
WS
ApplicationD’administration
Importance de laCarte graphiqueDu réseau
Réseau d’entreprise
onduleur
Stations utilisateurs
routeurs
switches
serveurs
Transfix
Internet
Cours DESS Luminy 2004 3
Statistiques /jour
Statistiques /semaine
Statistiques /mois
Statistiques /an
On reviendra sur MRTG plus loin
Cours DESS Luminy 2004 4
Démarche dans la conception d’une administration de réseau Choix du type de station de supervision (Windows ou UNIX/LINUX)
Historique politique de l’entreprise Choix du mode de supervision
Clé en main du constructeur Logiciel graphique élaboré indépendant des constructeur
Développements logiciels maison (C, java, perl/python enrichis avec serveurs http, bases de données)
– adapté à la gestion des connexions, des prises bureau… Combinaison des différentes approches
– Dans tous les cas, prendre en compte taille du réseau, ressources humaines disponibles, coûts engagés
Sortir l’information pertinente de la masse des données Gestion des remontées d’alarmes (aspect fondamental)
Choix du protocole de gestion (OSI, TCP/IP, Constructeur …?)
Cours DESS Luminy 2004 5
L ’administration des composants réseau est ancienne, prise en charge par les constructeurs jusqu ’à la fin des années 80
L ’environnement multi-constructeur imposait de travailler dans uncadre standard, admis par tous
Obstacles :• Les constructeurs avaient beaucoup investi dans leurs outilset cultivaient une clientèle captive• Le standard officiel des réseaux (OSI) avait beaucoup déçu• Utilisateurs et constructeurs s ’interrogeaient sur l ’avenir desprotocoles (OSI, TCP/IP, NOVELL, SNA …..??)
Le déblocage : montée en charge irrésistible de TCP/IP (fin 80),accélérée par la naissance du WEB (TCP/IP s ’impose
progressivement )
Cours DESS Luminy 2004 6
Applicationibm
ApplicationCompaq
Applicationhp
Applicationcisco
hp
Compaq
cisco
Temps écoulédepuis le dernierredémarrage ??
31245 s, sur 32 bit, big indian
31245 34 1/100 s, sur 32 bit, little indian
312454 s, sur 64 bit, big indian
3128 1/10s, sur 64 bit, big indian
ibm
Cours DESS Luminy 2004 7
Ce qui est acquis fin des années 80
• Plus grand monde ne croit dans le standard officiel des réseaux (OSI) trop lourd, trop lent à se mettre en place
• Toutes les architectures réseau (SNA, Novell, Microsoft..) ont intégrétcp/ip, ce qui permet de communiquer entre systèmes informatiques
• l ’IETF a développé un outil pour gérer les routeurs de l ’Internet quiconnaît une croissance exponentielle
• Cet outil (SGMP) est tout à fait apte à administrer tout composantréseau ou système• Cet outil s ’inspire du développement de l ’OSI dans le domaine de l ’administration
Cours DESS Luminy 2004 8
Comment administrerde la même façon un hub, unswich, une station, etc…quelque soit le type de matérielquelque soit le constructeur ?
23 jours 2h 5mn 8s
Dernier reboot ?
Charge CPU = 75%
Charge CPU ?
Alarme !!!!Disque plein
Cours DESS Luminy 2004 9
Que faut il comme intelligenceembarquée ?
De quoi doit disposerla fonction « gestionnaire »pour dialoguer avec un équipt ?
Comment nommer, cataloguer, repérerla variable « temps de fonctionnement » ?(de façon officielle) ? Quelle unité de temps ?
23 jours 2h 5mn 8s
Temps depuis Dernier reboot ?
Cours DESS Luminy 2004 10
L ’espace de nommage
de l ’ISO
était une bonne
solution pour ranger
les variables (ou
objets) accessibles
dans l ’équipement
Ainsi :
tout objet de la « Mib »
sera repéré par un point
dans cet espace et sera
nommé par son parcours
complet dans l ’arbre, soit
1.3.6.1.2.1……..
1
0 1 2 3
Root
0 2
0 1 2 3 4 5 6
1
1 2 3 4 5 6
1
Cet objet « sysUpTime »(temps écoulé depuisle dernier reboot)est représenté par1.3.6.1.2.1.1.3
sysUpTime apparaitrasous cette formedans les opérationssnmp
1
Les 7 objets du groupe system
(sysDescr, sysObjectID, sysUpTime….)
1 Entrée constructeurs
Cisco, ibm...
Organisations
DoD
Internet
Joint iso-ccittISOCCITT
Cours DESS Luminy 2004 11
Depuis quand ce switcha-t-il redémarré ?
1.3.6.1.2.1.1.3 =26543287 1/100 sec
1.3.6.1.2.1.1.3 ?
Tcp/ip : serveursnmp : agent
Tcp/ip : fonction clientsnmp : gestionnaire
Commandes de lecture : get-request (oid de la variable )response (oid de la variable = ….)
sysUpTime
Cours DESS Luminy 2004 12
mib–2 OBJECT IDENTIFIER ::= { mgmt 1 } --MIB–II
system OBJECT IDENTIFIER ::= { mib–2 1 }
sysContact OBJECT-TYPE SYNTAX DisplayString (SIZE (0..255)) ACCESS read-write STATUS mandatory ::= { system 4 }
sysName OBJECT-TYPE SYNTAX DisplayString (SIZE (0..255)) ACCESS read-write STATUS mandatory ::= { system 5 }
1.3.6.1.2.1.1.5 = sysName
iso(1)
org(3)
dod(6)
internet(1)
mgmt(2)
mib(1)
system(1)
sysName(5)
sysDescr
sysObjectID
sysUpTime
sysContact
sysName
sysLocation
.
.
.
.
.
.
.
.
.
.
DoD
Les Mibs sont écrites dans un langage de description abstraiteASN.1 : Abstact Syntax Notation number 1(à lecture humaine, ce n ’est pas un langage compilé)
Mécanisme pére-fils : sysName fils de system
Cours DESS Luminy 2004 13
Network-management
database(Mibs)
get_response
Trap
SNMP protocol
RFC1157
Stationd’administration
Stationd’administration
Agent(équipement)
Agent(équipement)
Applicationd’administration
réseau
Applicationd’administration
réseau
Managementinformationbase (MIB)
rfc1213
SMIv1RFC1155 + RFC1212
set_requestget_request
set_requestget_request
set_request : commande d ’écriture (positionnement d ’une variable) get_request : commande de lecture -> demande de la valeur de cette variable
Trap : émission spontanée d ’une alerte ou alarme de l ’agent vers un gestionnaire
Cours DESS Luminy 2004 14
Messages snmp
• Interrogations : comment assurer la sécurisation deséchanges ? Le message snmp contient une chaînede caractères « la communauté », partagée entre agentet gestionnaire (circule malheureusement en clair sur le réseau)
• C ’est la faiblesse de snmpv1, pris en compte plus tard
communauté
Agent
Mib restreinteagent :
MIBs
Gestionnaire
Applicationde gestion
Cours DESS Luminy 2004 15
• La « communauté », seule protection dans les échanges est insuffisante• SNMP devait rapidement évoluer vers une version sécuriséesnmpv2 devait remplacer snmpv1 dès 1994…
• Une vraie sécurisation implique des mécanisme d ’authentification, de cryptage éventuel, et aussi de contrôle de timing
• Un développement trop hâtif a conduit à un échec : pas de gestion des clés, protocole trop lourd… rejet de la communauté snmp
• Une solution d ’attente snmpv2c, prenant en compte des améliorations de protocole a permis d ’attendre snmpv3, comportant une vraie sécurité
• Cette version, seulement achevée début 2000, peine à se diffuser