RETI LOCALI Parte Sesta NETWORK MANAGEMENT Gianfranco Prini DSI - Università di Milano [email protected] NOTA DI COPYRIGHT • • • • • • Queste trasparenze (slide) sono protette dalle leggi sul copyright e dalle disposizioni dei trattati internazionali. Il titolo e il copyright delle slide (ivi inclusi, ma non limitatamente, ogni immagine, fotografia, animazione, video, audio, musica, testo, tabella, disegno) sono di proprietà dell'autore. Le slide possono essere riprodotte e utilizzate liberamente dagli istituti di ricerca, scolastici e universitari italiani afferenti al Ministero della Pubblica Istruzione e al Ministero dell'Università e della Ricerca Scientifica e Tecnologica per scopi istituzionali e comunque non a fini di lucro. In tal caso non è richiesta alcuna autorizzazione. Ogni altro utilizzo o riproduzione, completa o parziale (ivi incluse, ma non limitatamente, le riproduzioni su supporti magnetici, su reti di calcolatori e a stampa), sono vietati se non preventivamente autorizzati per iscritto dall'autore. L'informazione contenuta in queste slide è ritenuta essere accurata alla data riportata nel frontespizio. Essa è fornita per scopi meramente didattici e non per essere utilizzata in progetti di impianti, prodotti, reti, etc. In ogni caso essa è soggetta a cambiamenti senza preavviso. L'autore non assume alcuna responsabilità per il contenuto delle slide (ivi incluse, ma non limitatamente, la correttezza, la completezza, l'applicabilità, l'adeguatezza per uno scopo specifico e l'aggiornamento dell'informazione). In nessun caso possono essere rilasciate dichiarazioni di conformità all'informazione contenuta in queste slide. In ogni caso questa nota di copyright non deve mai essere rimossa e deve essere riportata fedelmente e integralmente anche per utilizzi parziali. ARGOMENTI • Inquadramento generale • Aree funzionali • Sistemi e piattaforme • Protocolli e standard NETWORK MANAGEMENT INQUADRAMENTO GENERALE NETWORK MANAGEMENT Processo consistente nel controllare una rete complessa al fine di massimizzare la sua efficienza e la sua produttività DEFINIZIONI E PERIMETRO • Apparati: l'insieme delle interfacce di comunicazione delle macchine (ma non le macchine medesime) e dei vari dispositivi di interconnessione (esclusi quelli del fornitore di servizi di TLC) • Moduli: l'insieme degli apparati e delle loro componenti software, ivi incluse le porzioni dei sistemi operativi del caso • Rete: l'insieme dei moduli e dei canali trasmissivi che collegano gli apparati CONFIGURAZIONE: COME NASCE E COME EVOLVE (1) • Costruzione: determinazione del tipo di connettività desiderata, selezione dei moduli piu adatti a realizzarla, loro installazione e configurazione • Manutenzione: sostituzione di moduli guasti o che richiedono aggiornamenti di release, o che richiedono upgrade • Espansione: aggiunta di moduli per connettere nuove utenze, oppure per offrire nuovi servizi o maggiore banda CONFIGURAZIONE: COME NASCE E COME EVOLVE (2) • Ottimizzazione: riconfigurazione della rete sulla base dell'analisi dei profili di traffico o delle esigenze di affidabilità e/o di sicurezza, anche sfruttando la disponibilità di sempre nuovi apparati e di servizi sempre più sofisticati • Diagnosi: isolamento di guasti dovuti a malfunzionamenti localizzati o a cattiva configurazione degli apparati, oppure analisi post mortem del problema che ha portato a una situazione di disastro OBBIETTIVI TECNICI • Garantire il buon funzionamento di una rete (fonia e dati), conservando traccia dei principali eventi a futura memoria • Conservare un'informazione accurata sulla configurazione della rete al fine di consentire ai gestori di visualizzarla e di modificarla con procedure semplici • Segnalare l'insorgere di situazioni di allarme, o che comunque richiedono un intervento correttivo del gestore OBBIETTIVO ORGANIZZATIVO Sostituire l'operatore umano nella gestione della rete, eseguendo per quanto possibile automaticamente i compiti di routine, consentendo al network engineer di dedicarsi ad attività a più alto valore aggiunto, quali la pianificazione e lo sviluppo della rete, l'analisi delle prestazioni e dell'affidabilità, etc. NETWORK MANAGEMENT AREE FUNZIONALI AREE FUNZIONALI Cinque aree funzionali identificate dal dal Network Management Forum (ISO) 1 - Fault Management 2 - Configuration Management 3 - Security Management 4 - Performance Management 5 - Accounting Management FAULT MANAGEMENT • Processo consistente nella gestione dei malfunzionamenti e dei guasti • Consiste di tre passi – Individuazione del problema – Isolamento del problema – Soluzione del problema • Esempio: individuare qual'è l'apparato guasto che non consente a un utente di effettuare una connessione (meglio ancora, individuare il guasto prima che l'utente se ne accorga) CONFIGURATION MANAGEMENT • Processo consistente nell'individuare e nel configurare gli apparati critici per il funzionamento della rete • Esempio: individuare tutti i bridge per i quali si richiede l'installazione di patch software, operazione da effettuare con gradualità, su un arco di molti giorni, e conservando traccia di quanto è stato fatto fino a un certo punto e quanto ancora resta da fare SECURITY MANAGEMENT • Processo consistente nel controllare l'accesso all'informazione contenuta in apparecchiature connesse alla rete • Esempio: limitare l'accesso alla rete (o a sue sottoreti) da parte di utenti o di sistemi che non si ritengono affidabili, oppure correlare i tempi in cui si sono verificati tentativi di intrusione in uno dei sistemi critici con i periodi di login dei vari utenti, riportando all'operatore ogni attività anomala successiva PERFORMANCE MANAGEMENT • Processo consistente nel misurare le prestazioni dei moduli hardware e software e dei canali trasmissivi • Esempio: misura di throughput totale, percentuali di utilizzo, tassi di errore, tempi di risposta, latenza, etc., anche al fine di individuare profili di traffico che consentano di anticipare eventi critici (p.es. saturazione di canali) e quindi di adottare le contromisure del caso ACCOUTING MANAGEMENT • Processo consistente nel tener traccia dei profili di utilizzo della rete da parte dei singoli utenti (o di gruppi di utenti) onde garantire che questi dispongano di risorse adeguate, eventualmente ridefinendo i diritti di accesso alla rete • Esempio: in caso di saturazione di un server di rete, individuare se un utente o un gruppo di utenti vi contribuisce per una percentuale significativa, se del caso installando un server dedicato NETWORK MANAGEMENT SISTEMI E PIATTAFORME SISTEMI DI NETWORK MANAGEMENT • Approccio storico: utilizzo di strumenti specializzati per singoli sottosistemi di comunicazione (modem, router, etc.) • Esigenza di unificare strumenti spesso incompatibili e/o non integrabili • Architettura: centralizzata, gerarchica o distribuita • Piattaforma: fornisce le funzionalità di base per gestire un'ampia gamma di apparati di rete FUNZIONI E COMPONENTI DELLA PIATTAFORMA (1) • Console grafica (GUI) di interfaccia • Mappatura automatica e "animata" – "Scoperta" degli apparati presenti in rete (autodiscovery) – Rappresentazione grafica della topologia (automapping) – Stato della console coerente con lo stato degli apparati • Sistema di gestione delle basi di dati • Metodi di interrogazione degli apparati – Formati standard dell'informazione di management (MIB) • Sistema di menu personalizzabile • Log degli eventi in formato testo FUNZIONI E COMPONENTI DELLA PIATTAFORMA (2) • Strumenti per il tracciamento di grafici • Librerie per la programmazione delle applicazioni (API) – Consente l'accesso da programma (vs. da console) alle funzioni della piattaforma, al fine di automatizzare le funzioni di gestione di mano in mano che esse diventano routinarie • Meccanismi per garantire la sicurezza – Il database di network management è un bocconcino prelibato per gli hacker e per i cracker, visto che contiene tutte le informazioni vitali per il funzionamento della rete – Devono essere addizionali rispetto ai meccanismi offerti dal sistema operativo PRINCIPALI PIATTAFORME COMMERCIALI • • • • SunNet Manager (SunConnect) OpenView (Hewlett-Packard) NetView (IBM), basata su OpenView StarSentry (AT&T) • Differenziate nei dettagli, tutte quante forniscono le funzionalità di base necessarie per il network management NETWORK MANAGEMENT NETWORK MANAGEMEMT: PROTOCOLLI RUOLO DEI PROTOCOLLI E DEI GESTORI DELLA RETE • I protocolli non stabiliscono procedure o norme per perseguire obbiettivi di gestione della rete, ma si limitano a fornire strumenti per acquisire dati e per monitorare/configurare apparati • L'analisi dei dati ricade comunque sui gestori della rete e sulla loro capacità di scrivere eventualmente applicazioni significative per il loro trattamento PROTOCOLLI DI NETWORK MANAGEMENT • Scopo: acquisire dagli apparati tutte le informazioni utili alla migliore gestione della rete, e inviare agli apparati tutte le istruzioni del caso • Protocolli di complessità differenziata – Bassa: definire un formato comune dei dati e consentire un accesso semplificato alle informazioni – Media: come sopra, ma proteggendo i parametri critici e impedendo a chiunque non autorizzato di modificarli – Elevata: eseguire le procedure di network management direttamente sugli apparati remoti, rendendo la gestione degli apparati indipendente dal protocollo di management PROTOCOLLI: DELL'ARTE STATO • SNMP (Simple Network Management Protocol) è un po' di più di un semplice strumento di acquisizione di dati: esso dispone di funzionalità di monitoraggio e di aggiornamento di parametri di rete • SNMPv2 migliora grandemente SNMP • La limitatezza di questi protocolli non consente oggi di realizzare applicazioni di rete avanzate altrimenti possibili – Obbiettivo: migliorare sia la tecnologia che i protocolli STRUMENTI PRIMORDIALI Servizio di Echo di ICMP (Internet) – Ogni host che riceve una Echo Request conforme al protocollo ICMP è tenuto a inviare una Echo Reply – Ping incorpora una Echo Request e una Echo Reply, e nelle sue implementazioni normalmente fornisce anche indicazioni sul turnaround time e sul numero di pacchetti perduti (o, meglio, di mancate Reply a Request emesse) – La mancata ricezione di una Reply non necessariamente implica una mancanza di connettività: è possibile che sia andato perduto il messaggio di Request o quello di Reply • Meccanismo di poll utilissimo, ma non offre funzionalità di push, assai più utili per una gestione proattiva della rete PROTOCOLLI: ESEMPI DI RICHIESTE ELEMENTARI • Servizi di query – – – – Nome dell'apparato Versione del software dell'apparato Numero di interfacce dell'apparato Numero di pacchetti per secondo "visti" da un' interfaccia • Servizi di configurazione – – – – Nome dell'apparato Indirizzo di rete dell'apparato Stato operativo di un'interfaccia dell'apparato Stato operativo dell'apparato • Rappresentazione dell'informazione indipendente dal particolare apparato MIB: MANAGEMENT INFORMATION BASE • Definizione rigorosa dell'informazione accessibile attraverso un protocollo • Dati in formato strutturato e gerarchico – RFC 1065 - Structure and Identification of Management Information for TCP/IP-based Internets » Evoluto nello standard RFC 1155 – RFC 1066 - Prima versione di MIB per reti TCP/IP (MIB-I) » Evoluto nello standard RFC 1156 • Introduce la possibilità di estendere lo standard per trattare altri paramentri (e.g. l'utilizzo della CPU di controllo dell'apparato) – RFC 1158 - Seconda versione di MIB (MIB-II) » Evoluto nello standard RFC 1213 • Ulteriori MIB focalizzati per tecnologia TIPI DI DATO DEFINITI DA RFC 1155 (SMI) • Network Address - Indirizzo appartenente a una famiglia di protocolli (definito solo IP) • IpAddress - Indirizzo IP (32 bit) • Counter - Intero non negativo che può crescere da 0 a 232-1 • Gauge - Idem, ma che può anche decrescere • TimeTicks - Intero non negativo, esprime un intervallo in centesimi di secondo a decorrere da un itante predefinito • Opaque - Sintassi arbitraria, usata per il testo PROTOCOLLO SNMP • Proposto inizialmente come RFC 1067, poi come RFC 1098, e definitivamente approvato come standard RFC 1157 • Modello client-server – SNMP Station: modulo che emette una richiesta » Get-Request per richiedere informazioni all'Agent » Get-Next-Request per richiedere righe successive di tabelle dell'Agent (ritorna errore a fine tabella) » Set-Request per configuarare parametri dell'Agent – SNMP Agent: modulo che formula la risposta » Get-Response per fornire informazioni alla Station » Trap per riportare un evento a una Station predefinita TIPI DI TRAP • Coldstart - Indica che l'apparato si sta reinizializzando con una nuova configurazione o con una nuova release del protocollo, oppure che l'apparato è stato appena alimentato • Warmstart - Idem, ma conservando configurazione e release di protocollo precedente, oppure come conseguenza di un reset dell'Agent dell'apparato • Link down, Link up - Indicano la sopravvenuta caduta e il sopravvenuto ripristino di un link • Failure of authentication - Indica che l'Agent ha ricevuto una richiesta non autenticabile • EGP neighbour loss - Indica la sopravvenuta irraggiungibilità di un host contiguo nel protocollo EGP • Enterprise specific - Definibile dal costruttore ASPETTI DI SICUREZZA, EFFICIENZA E APPLICABILITA' • Un Agent può richiedere alla Station di inviare una password ad ogni richiesta – Le password sono dette community string – Possono essere differenziate (e.g. su base R/O o R/W) – Vengono inviate in chiaro sulla rete • SNMP è inefficiente nella gestione di tabelle di grandi dimensioni – Il download di una riga di tabella richiede la trasmissione di un totale di 8 pacchetti – Oggi si gestiscono tabelle anche con migliaia di righe • Standardizzato solo per reti IP – Altre architetture di rete lo implementano, o usano proxy PROTOCOLLO SNMPv2 RISPETTO A SNMPv1 (1) • Ridefinizione e aggiunta di tipi di dato per superare problemi di wrapping – Counter e Gauge ribattezzati Couter32 e Gauge32 – Counter64 - interi non negativi compresi tra o e 264-1 – NsapAddress - indirizzi NSAP del Network Layer OSI • Aggiunta di comandi per nuovi servizi – GetBulkRequest - per richiedere una intera tabella – InformRequest - richiesta di informazioni da parte di un network manager a un altro network manager • Supporto per protocolli aggiuntivi – AppleTalk (Apple), IPX (Novell) e CLNS (OSI) PROTOCOLLO SNMPv2 RISPETTO A SNMPv1 (2) • Aggiunta di meccanismi di crittografia e di autenticazione dei messaggi • Possibilità di garantire a un manager solamente l'accesso a porzioni di MIB • Revisione completa di MIB, con loro classificazione in 5 gruppi – Statistiche SNMPv2, statistiche SNMPv1, risorse di un oggetto (operazioni dinamiche ammesse), trap e set • Compatibilità tra le due versioni – Gli apparati che implementano solo SNMPv1 non rispondono a richieste SNMPv2 (sono riconoscibili) RMON • RFC 1757 - Remote Network Monitoring Information Base – Proposto inizialmente come RFC 1271 – Un apparato conforme a RMON raccoglie informazioni sul segmento (o sui segmenti) di rete a cui esso appartiene – Informazioni classificate in 9 gruppi: Statistics, History, Alarm, Host, HostTopN, Matrix, Filter, Packet Capture, Event • Standard molto articolato, definisce le procedure per raccogliere informazioni di ogni tipo e di notevole dettaglio sulle attività di rete da molti punti di vista