Тема 3.3. Управление вычислительными сетями

Механизмы защиты должны быть интуитивно понятны и просты в использовании. Применение средств защиты не должно быть связано со знанием специальных языков или с выполнением действий, требующих значительных дополнительных трудозатрат при обычной работе законных пользователей, а также не должно требовать от пользователя выполнения рутинных малопонятных ему операций (ввод нескольких паролей и имен и т.д.).

Тема 3.3. Управление вычислительными сетями

Одним из самых широко распространенных протоколов управления сетевыми устройствами является протокол SNMP. В настоящее время имеется достаточно большое количество управляемых устройств поддерживающих этот протокол. Протокол SNMP работает на базе протокола UDP и предназначен для использования сетевыми управляющими станциями. Он позволяет управляющим станциям собирать информацию о положении в сети Internet и, при необходимости, изменять настройку сетевых устройств. Протокол определяет формат данных, их обработка и интерпретация остаются на усмотрение управляющих станций или менеджера сети. SNMP-сообщения не имеют фиксированного формата и фиксированных полей. При работе протокол SNMP использует управляющую базу данных (MIB — Management Information Base, RFC-1213,-1212).

Объекты Internet базы MIB обычно описывают в нотации ASN.1 (Abstract Syntax Notation). Все объекты в Internet разделены на 10 групп и описаны в MIB: система, интерфейсы, обмены, трансляция адресов, IP, ICMP, TCP, UDP, EGP, SNMP. В группу "система" входит название и версия оборудования, операционной системы, сетевого программного обеспечения и пр. В группу "интерфейсы" входит число поддерживаемых интерфейсов, тип интерфейса, работающего под управлением IP (Ethernet, LAPB и т.д.), размер дейтограмм, скорость обмена, адрес интерфейса. IP-группа включает время жизни дейтограмм, информацию о фрагментации, маски субсетей и т.д. В TCP-группу входит алгоритм повторной пересылки, максимальное число повторных пересылок и пр. Команды SNMP приведены в таблице 4.1. В таблице PDU (Protocol Data Unit) - это тип протокольного сообщения. Взаимодействие источника SNMP-запросов с объектом управления показано на рис. 4.1.

Таблица 4.1.

Команда SNMP	Тип PDU	Назначение
get_request		Получить значение указанной переменной или информацию о состоянии сетевого элемента
get_next_request		Получить значение переменной, не зная точного ее имени (следующий логический идентификатор на дереве MIB)
set_request		Присвоить переменной соответствующее значения. Используется для описания действие, которое должно быть выполнено
get response		Отклик на get_request, get_next_request и set_request, Содержит также информацию о состоянии (коды ошибок и другие данные)
Trap		Отклик сетевого объекта на событие или на изменение состояния

 

Рисунок. 4.1. Схема запросов/откликов SNMP

Формат SNMP-сообщений, вкладываемых в UDP-дейтаграммы. приведен на рис. 4.2.

 

Рис. 4.2. Формат SNMP-сообщений, вкладываемых в UDP-дейтограммы

Поле Версия содержит значение, равное номеру версии SNMP минус один. Поле Пароль (community - определяет группу доступа) содержит последовательность символов, которая является пропуском при взаимодействии менеджера и объекта управления. Обычно это поле содержит 6-байтовую строку public. Для запросов get, get-next и set значение поля Идентификатора запроса устанавливается менеджером и возвращается объектом управления в отклике get, что позволяет связывать в пары запросы и отклики. Поле Фирма (enterprise) = sysObjectlD объекта. Поле Статус ошибки характеризуется целым числом, присланным объектом управления (табл. 4.2).

В последнее время широкое распространение получила идеология распределенного протокольного интерфейса DPI (Distributed Protocol Interface). Для транспортировки SNMP-запросов используется не только UDP-, но и TCP-протокол. Это дает возможность применять SNMP-протокол не только в локальных сетях. Форматы SNMP-DPI-запросов (версия 2.0) описаны в документе RFC-1592. Пример заголовка SNMP-запроса (изображенные поля образуют единый массив):

Рисунок 4.3. Пример заголовка SNMP запроса.

Поле Флаг = 0х30 является признаком ASN.1-заголовка. Коды Ln представляют собой длины полей, начинающиеся с байта, который следует за кодом длины, вплоть до конца сообщения-запроса (n — номер поля длины), если не оговорено другое. Так, L1 - длина пакета-запроса от Т1 до конца пакета, a L3 — длина поля пароля. Субполя Tn — поля типа следующего за ними субполя запроса. Так, Т1=2 означает, что поле характеризуется целым числом, а Т2=4 указывает на то, что далее следует пароль (поле community, в приведенном примере Public). Цифры под рамками означают типовые значения субполей. Код ОхА является признаком GET-запроса, за ним следует поле кода PDU (=0...4, см. табл. 4.1). Блок субполей Идентификатора запроса служит для тех же целей, что и другие идентификаторы, — для определения пары запрос-отклик. Собственно идентификатор запроса может занимать один или два байта, что определяется значением Lиз. CO — статус ошибки (СО=0 - ошибки нет); ТМ — тип MIB-переменной (в приведенном примере Ох2В); ИО — индекс ошибки. Цифровой код MIB-переменной отображается последовательностью цифровых субполей, характеризующих переменную. Например, переменная 1.3.6.1.2.1.5 (в символьном выражении iso.org.dod.internet.mgmt.mib.icmp) соответствует последовательности кодов Ох2В 0х06 0х01 0х02 0х01 0х05 0х00.

 

Таблица 4.2.

Статус ошибки	Имя ошибки	Описание
	noError tooBig noSuchName	Все в порядке Объект не может уложить отклик в одно сообщение В операции указана неизвестная переменная
	badValue readOnly genErr	в команде set использована недопустимая величина или неправильный синтаксис менеджер попытался изменить константу Прочие ошибки

 

Если произошла ошибка, поле Индекс ошибки характеризует к какой из переменных это относится; индекс ошибки является указателем переменной и устанавливается объектом управления не равным нулю для ошибок badValue. Для команды trap (тип PDU-4 в табл. 1.1) формат сообщения меняется (рис. 4.3). Значения поля Тип trap приведены в табл. 4.3.

Таблица 4.3.

Тип trap	Имя trap	Описание
	coldStart	Установление начального состояния объекта
	wannStart	Восстановление начального состояния объекта
	linkDown	Интерфейс выключился. Первая переменная в сообщении идентифицирует интерфейс
	linkUp	Интерфейс включился. Первая переменная в сообщении идентифицирует интерфейс
	authenticationFailure	От менеджера получено SNMP-сообщение с Неверным паролем (community)
	egpNeighborLoss	EGP-партнер отключился. Первая переменная в сообщении определяет IP-адрес партнера
	entrpriseSpeclfic	Информация о trap содержится в поле Специальный код

 

Для поля Тип trap 0…4 поле Специальный код должно быть равно нулю. Поле Временная метка содержит число сотых долей секунды (число тиков) с момента инициации объекта управления. Так, прерывание coldStart выдается объектом через 200 мс после инициализации.

Протокол SNMP служит примером системы управления, в которой для достижения нужного результата не выдается команда, а осуществляется обмен информацией, решение принимается "на месте" в соответствии с полученными данными.