Figure 1: Internetin verkonhallintamalli
S-38.116 Teletietotekniikka
ANSI American National Standards InstituteASN.1 Abstract Syntax Notation One
BER Basic Encoding Rules
DES Data Encryption Standard
DOD Department Of Defence
ISO International Organization for Standardization
ITU-T International Telecommunications Union,
Telecommunications sector
MD5 Message Digest 5
MIB Management Information Base
NIST National Institute of Standard and Technology
PDU Protocol Data Unit
SMI Structure and identification of Management Information
SNMPv1 Simple Network Management Protocol Version One
SNMPv2 Simple Network Management Protocol Version Two
TCP Transmission Control Protocol
Tässä työssä käydään läpi SNMP verkonhallintaa. SNMP:stä on kaksi eri versiota: SNMPv1 ja SNMPv2. Termillä SNMP, siis ilman versionumeroa, viitataan tässä esityksessä molempiin SNMP:n versioihin.
1970-luvun loppuun mennessä tietokoneverkot olivat kasvaneet yksinkertaisista erillisistä verkoista monimutkaisiksi suuriksi kokonaisuuksiksi, jotka koostuivat useista yhteenliitetyistä verkoista. Näitä laajoja verkkoja kutsuttiin nimellä internet ja niiden koko kasvoi exponentiaalista vauhtia. Mitä suuremmiksi nämä verkot muodostuivat, sitä vaikeampaa oli myös niiden hallinta. Pian tuli ilmeiseksi, että nämä verkot vaativat jonkin verkonhallintaprotokollan.
Ensimmäinen protokolla, joka otettiin laajamittaiseen käyttöön oli SNMPv1; sitä pidettiin yleisesti tilapäisenä verkonhallintaprotokollana, joka otettiin käyttöön vain väliaikaisesti, kunnes suuremmat ja paremmat verkonhallintaprotokollat otettaisiin käyttöön. Kuitenkaan mitään parempaa protokollaa ei tullut korvaamaan SNMPv1:tä, joten siitä muodotui pitkäaikainen ratkaisu verkonhallinnan toteuttamiseen.
Suurin etu SNMP:n käytössä on sen yksinkertaisuus. SNMP:n asentaminen on yksinkertaista ja pystytettynä SNMP vaatii itselleen vain vähän verkon resursseja. Yksinkertainen toteutus mahdollistaa myös SNMP:n helpon laajennettavuuden tulevaisuuden vaatimuksia vastaavaksi.
SNMPv1 ei kuitenkaan missään nimessä ole täydellinen verkonhallintaprotokolla. SNMPv1:tä pidetään yleisesti niin yksinkertaisena, että tieto jota SNMPv1:n avulla voidaan käsitellä ei ole riittävän yksityiskohtaista eikä tarpeeksi hyvin organisoitua, että sillä voitaisiin hallita tulevaisuuden verkkoja. Lisäksi SNMPv1 sisältää useita turvallisuusaukkoja, jotka antavat verkkoon tunkeutujalle mahdollisuuden päästä käsiksi verkossa kulkevaan informaatioon. Ratkaisuksi SNMPv1:n ongelmiin on kehitetty uusi versio nimeltään SNMPv2. SNMPv2 tarjoaa SNMPv1:tä yksityiskohtaisempia verkonhallintaominaisuuksia sekä täyttää tärkeimmät turvallisuuskriteerit.
SNMP on osa Internetin verkonhallinta-arkkitehtuuria. Tämän arkkitehtuuri perustuu monien entiteettien keskinäisiin vuorovaikutuksiin. Seuraavassa kappaleessa esitellään Internetin verkonhallinta-arkkitehtuurin oleellisimmat käsitteet.
Verkkoelementit (network element) ovat fyysisiä hallittavia laitteita, kuten tietokoneita, reitittimiä tai päätelaitteita, jotka ovat kytkettynä verkkoon.
Agentit (agent) ovat ohjelmistomoduleja, jotka ovat ajossa verkkoelementeissä. Agentit keräävät ja varastoivat verkonhallintainformaatiota, kuten verkkoelementtien vastaanottamien virheellisten pakettien lukumäärää.
Hallittavat objektit (managed object) kuvaavat hallittavia asioita. Hallittava objekti on esimerkiksi jonkin tietokoneen (host) parhaillaan aktiivisena olevien TCP-yhteyksien lukumäärä. Hallittavat objektit eroavat muuttujista (variable), jotka ovat tiettyjä hallittavien objektien instansseja. Esimerkki objektin instanssista on jonkin tietokoneen yksittäinen aktiivinen TCP-yhteys.
MIB (Management Information Base) on kokoelma hallittavia objekteja. MIB käsitellään tarkemmin kappaleessa 4.3.
Rakenteen kuvaus (syntax notation) on kieli, jota käytetään kuvaamaan MIB:n hallittavia objekteja laitteistoriippumattomalla tavalla. Internetin hallintajärjestelmät käyttävät osajoukkoa ASN.1 kielestä kuvaamaan sekä hallittavia objekteja, että tiedonhallintaprotokollan avulla välitettäviä paketteja.
Verkonhallintainformaation rakenne (Structure of Management information, SMI) sisältää säännöt, joiden mukaan hallittava informaatio määritellään. SMI määrittelyt ovat ASN.1 syntaksin mukaiset. SMI käsitellään tarkemmin kappaleessa 5.
Verkonhallinta-asemat (network management station) ajavat (execute) verkonhallintasovelluksia, jotka valvovat ja ohjaavat verkkoelementtejä. Verkonhallinta- asemat ovat yleensä työasemia, joissa on nopea keskusyksikkö ja graafinen käyttöliittymä.
Osapuolet (party) ovat SNMPv2:n mukaisesti määritelty entiteeteiksi, jotka voivat käynnistää tai vastaanottaa SNMPv2 yhteyksiä. Jokainen SNMPv2 osapuoli omaa ainutlaatuisen identiteetin, loogisen sijainnin verkossa, autentikointiprotokollan ja yksityisyysprotokollan (privacy protocol). SNMPv2 osapuolet kommunikoivat keskenään lähettämällä toisilleen SNMPv2 viestejä.
Tiedonhallintaprotokollaa (management protocol) käytetään välittämään viestejä agenttien ja verkonhallinta-asemien välillä. SNMP on internet- yhteisön `de facto' standardi tiedonhallintaprotokollaksi.
Verkonhallinta-asemat keskustelevat hallittavien laitteiden kanssa SNMP protokollan mukaisesti. Kuvassa 1 on esitetty internetin verkonhallinta-arkkitehtuurin peruselementit.
Figure 1: Internetin verkonhallintamalli
SNMP määrittää neljäntyyppisiä komentoja:
MIB voidaan kuvata puuna, jossa on nimeämätön juuri. Yksittäiset tietoalkiot (objektit) muodostuvat puun lehdistä. Objektien tunnisteet yksikäsitteisesti identifioivat puussa olevat MIB objektit. Objektien tunnisteet ovat kuin puhelinnumerot, ne ovat järjestettynä hierarkisesti siten, että jokaiselle organisaatiolle on osoitettu oma numeronsa.
MIB:n objektien tunnisteiden rakenne on jaettu kolmeen päähaaraan: ITU-T, ISO ja yhdistetty ISO/ITU-T. Suuri osa tämänhetkisistä MIB määrittelyistä sijoittuu oliotunnisteen 1.3.6.1 alle, joka on määritelty internet yhteisölle. Kuva 2 havainnollistaa MIB -puuta.
Figure: MIB:n Nimeämishierarkia
ISO(1) solmun alla on org(3) solmu, joka on tarkoitettu muille organisaatioille. org(3) solmun alisolmuja myöntää NIST (National Institute of Standard and Technology). Yksi näistä solmuista on myönnetti Yhdysvaltojen DOD (Department Of Defence) -organisaatiolle, jonka alta löytyy internet(1). internet(1) solmuun viittaava yksikäsitteinen oliotunniste on siis 1.3.6.1.
internet(1) solmun alisolmu mgmt(2) on varattu oliotunnisteille, jotka suoranaisesti liittyvät verkonhallintaan. Tämän alipuun alle yksityiset organisaatiot voivat rekisteröidä omat hyväksytyt MIB -puunsa.
Tämänhetkinen internet standardi MIB on nimeltään MIB-II, joka sisältää 171 objektia /1/.
SMI (/2/ ja /3/) määrittää, ettää kaikilla hallittavilla objekteilla on nimi, rakenne (syntax) ja koodaus (encoding). Nimi on objektin tunniste, jota käsiteltiin edellisessä kappaleessa. Rakenne määrittää objektin tyypin (esimerkiksi kokonaisluku tai merkkijono). SMI rakenteessa käytetään osajoukkoa ASN.1 määrittelystä. Koodaus kertoo kuinka hallittaviin objekteihin liittyvä informaatio muotoillaan, jotta informaatio voidaan lähettää verkkoon. Koodaus määritellään ISO:n BER (Basic Encoding Rules) spesifikaatiossa.
BER mahdollistaa tiedonhallintainformaation vaihdon erityyppisten laitteiden välillä. BER määrittelee jokaisen bitin sijainnin oktettien sisällä. Lisäksi BER ilmaisee bittien muodostaman rakenteen, joka muodostuu tietotyypistä, tietotyypin pituudesta ja varsinaisesta arvosta.
SMI tietotyypit (data type) jaetaan kolmeen luokkaan. Yksinkertaiset (simple) tyypit, sovelluskohtaiset (application-wide) tyypit ja rakennetut (simply constructed) tyypit.
Yksinkertaiset tietotyypit sisältävät neljä ASN.1 tyyppiä:
Sovelluskohtaiset tietotyyypit ovat erikoisia tietotyyppejä, jotka SMI on määritellyt seuraaviksi:
Rakennetut tyypit sisältävät kaksi ASN.1 tyyppiä, jotka määrittävät useiden objektien muodostamat taulukot ja listat:
SNMP on yksinkertainen kutsu/vastaus protokolla. Verkonhallinta-asemat voivat lähettää useita kutsuja ilman, että ensin saavat vastauksen edellisiin kutsuihin. On määritelty kuusi SNMP operaatiota.
SNMPv1 viestit sisältävät kaksi osaa. Ensimmäinen osa sisältää versionumeron ja yhteisön nimen. Toinen osa sisältää SNMPv1 PDU:n (Protocol Data Unit) joka määrittää varsinaisen operaation ja siihen liittyvät objektien instanssit. Kuva 3 esittelee SNMPv1 viestien rakenteen.
Figure 3: SNMPv1 Viestin formaatti
Versio -kenttää käytetään varmistamaan, että kaikki hallittavat laitteet perustuvat samaan SNMP versioon. Yhteisön nimi yhdistää useita verkonhallinta-asemia samaan hallintaympäristöön. Samaan yhteisöön kuuluvien verkonhallinta-asemien sanotaan olevan samassa `domainissa'.
PDU Type kenttä määrittää haluttavan SNMPv1 operaation. Request-ID yhdistää operaation vastaukset kutsuihin. Error-status ilmoittaa virheestä ja pitää sisällään virheen tyypin. Error-index yhdistää virheen johonkin tiettyyn objektin instanssiin. Muuttujien määrittelyt pitävät sisällään objektien instanssien tämänhetkiset arvot.
SNMPv2 viestit koostuvat myös kahdesta osasta (Kuva 4). SNMPv2:n toinen osa (PDU) on käytännössä identtinen SNMPv1:n vastaavan kanssa. SNMPv2 viestin ensimmäinen osa sisältää suurimmat eroavuudet SNMPv1:n ja SNMPv2:n välillä.
Figure 4: SNMPv2 Viestin formaatti
PDU:n eroavuudet SNMPv1:n ja SNMPv2:n välillä liittyvät Error-status ja Error-index -kenttiin /4/. SNMPv2 käyttää Error-status ja Error-index -kenttiä Get-Bulk -operaatioissa Non-Repeaters Max-Repetitions -kenttinä.
SNMPv2 viestin ensimmäinen osa on nimeltään wrapper. Wrapper sisältää autentikoinnin ja yksityisyyden kahden osapuolen välillä. Wrapper pitää sisällään osapuolten lisäksi asiayhteyden (context). Asiayhteys määrittää ne hallittavat oliot, joihin operaatio voi osoittaa.
Autentikointiprotokolla on toteutettu siten, että sen avulla voidaan luotettavasti tunnistaa SNMPv2 viestin alkuperä. Yksityisyysprotokolla suojaa SNMPv2 viestin siten, että ulkopuoliset eivät pääse käsiksi viestin sisältämään informaatioon. Lisäksi rajoituksena on, että ainoastaan autentikoiduille viesteille voidaan taata yksityisyys.
SNMPv2:n käyttämä autentikointiprotokolla on nimeltään The Digest Authentication Protocol, joka viestin alkuperän tunnistamisen lisäksi varmistaa, että viesti ei ole lähetyksen jälkeen muuttunut. Tiedon eheys (muuttumattomuus) varmistetaan käyttämällä 128 bitin suuruista tarkistusnumeroa, joka lasketaan käyttäen Message Digest 5 (MD5) -algoritmia /5/. SNMPv2 viestin lähettäjä laskee tarkistusnumeron ja sisällyttää sen SNMPv2 viestin wrapperiin. Lisäksi lähettäjä sisällyttää viestiin salaisen numeron, jonka tietävät vain lähettäjä ja vastaanottaja. Vastaanottaja varmistaa viestin eheyden tarkistusnumeron avulla ja viestin alkuperän salaisen numeron avulla.
Yksityisyyden varmistamiseksi SNMPv2 käyttää protokollaa nimeltään Symmetric Privacy Protocol. Protokolla käyttää salaista salausavainta, jonka tietävät vain viestin lähettäjä ja vastaanottaja. Ennen tiedon autentikointia tieto kryptataan käyttäen DES (Data Encryption Standard) -algoritmia. DES on standardoitu (ANSI) tiedon salausprotokolla.
SNMP on tällä hetkellä kaikkein yleisin protokolla sekä kaupallisten, että akateemisten organisaatioiden verkkojen hallinnassa. SNMP on suhteellisen yksinkertainen protokolla, joka kuitenkin sisältää riittävästi ominaisuuksia, jotta sitä voidaan käyttää nykyisten monimutkaisten ja heterogeenisten verkkojen hallintaan.
Yksinkertaisuus mahdollistaa SNMP:n helpon laajennettavuuden. SNMPv2:n myötä yksinkertaisuudesta jouduttiin hieman tinkimään, kuitenkin SNMPv2:n parannukset mm. tietoturvaan olivat välttämättömiä. SNMPv2:n myötä SNMP on muodostunut varteenotettavaksi vaihtoehdoksi myös tulevaisuuden verkonhallintaan.
SNMP on osa Internetin verkonhallintaa, joka on määritelty Internet dokumenteissa, joita kutsutaan nimellä RFC (Requests For Comments). Internet RFC:t ovat julkisia dokumentteja, jotka ovat vapaasti kaikkien Internetin käyttäjien saatavissa (esim. WWW:ssä URL: http://info.internet.isi.edu/in-notes/rfc).
SNMPv1:n mukainen Internetin verkonhallinta-arkkitehtuuri on määritelty dokumenteissa RFC 1155, 1157 ja 1212.
SNMPv2:n mukainen verkonhallinta-arkkitehtuuri on määritelty dokumenteissa RFC 1441-1452.
/1/ RFC 1213/2/ RFC 1443
/3/ RFC 1444
/4/ RFC 1448
/5/ RFC 1321
/6/ Stallings, William. SNMP, SNMPv2, and CMIP. Addison-Wesley, 1993.
This document was generated using the LaTeX2HTML translator Version 95.1 (Fri Jan 20 1995) Copyright © 1993, 1994, Nikos Drakos, Computer Based Learning Unit, University of Leeds.
The command line arguments were:
latex2html -split 0 doku.tex.
The translation was initiated by Asi Kotiharju on Mon Mar 25 01:42:21 EET 1996