Présentation du problème
Les sociétés, organismes officiels, firmes commerciales qui exploitent des réseaux d'une certaine dimension emploient de plus en plus des administrateurs réseaux. Leur mission est de gérer un réseau, d'en assurer la disponibilité et la maintenance. L'administrateur doit identifier les anomalies survenant sur les segments distants du réseau. Pour ce faire l'administrateur réseau doit avoir à sa disposition des logiciels de servitude à l'aide desquels il prend connaissance de façon systématique des risques d'avarie et des problèmes qui se manifestent dans l'ensemble du réseau.
En plus de la fonction de "reporting" sur les événements anormaux, les logiciels d'administration doivent lui permettre d'interroger à distance le matériel réseau "routeur, swicht, serveur locaux...". Il faudrait également réaliser le bilan à distance: identification des ports fonctionnels d'une machine, évaluation du trafic en nombre de datagramme par seconde.
Le SNMP : Simple Network Management Protocol
Le moniteur de réseau (ou station d'administration de réseau) est un logiciel d'administration de réseau que l'administrateur utilise depuis un point de contrôle du réseau. Le moniteur doit être capable de recevoir et d'afficher les informations concernant l'état général du réseau. Il permet aussi à l'administrateur d'être alerté lorsqu'un événement inhabituel se produit.
Un agent de surveillance réseau est un programme qui s'exécute sur un équipement réseau et envoie les informations au moniteur. Tous les équipements peuvent utiliser les agents de réseau. Le moniteur et l'agent de surveillance s'échangent des informations à l'aide d'un protocole appelé SNMP port UDP 161 et 162.
Les agents connaissent les adresses du moniteur auquel ils envoient les informations, ceci par exploitation des structures de données appelées MIB (Management Information Base): Base de Données d'Administration.
Le MIB est un espace d'adresse hiérarchisé et ressemblant fortement au DNS.
ipforwarding et ipreceives compte le nombre de datagramme lorsqu'ils sont activés par le gestionnaire de réseau ou lorsqu'ils viennent d'être remis à zéro.
ipdefault TTL est un exemple d'informations numériques, on y conserve le TTL , durée de vie d'un datagramme. TTL (Time To Live) est une valeur insérée dans tout datagramme émis par une machine.
Pour atteindre les valeur ipdefault TTL et ipreceives, le protocole SNMP enverra les adresse MIB suivantes à l'agent SNMP:
.iso .org .dad .internet .mght .mib .ip .ipdefaultTTL .1 .3 .6 .1 .2 .1 .4 .2
.iso .org .dad .internet .mght .mib .ip .ipeceives .1 .3 .6 .1 .2 .1 .4 .3
Commandes SNMP
L'agent de surveillance local répond aux commandes ci-après:
- .get : cette commande demande à l'agent de lire et de transmettre un élément d'information donnée.
- .getnext : demande à l'agent de lire et de transmettre les domaines d’information suivante de la MIB. Cette commande est utilisée par la lecture des valeurs dans un tableau.
- .set : demande à l'agent de configurer un paramètre ou de restaurer quelque chose comme une interface réseau ou un compteur particulier.
Les agents opèrent toujours en dialoguant par question réponse avec le moniteur, ils peuvent aussi être configurés pour envoyer spontanément des messages au moniteur lorsque survient un événement anormal. Ce message s'appelle traps.
Le protocole SNMP fait appel à un outil de diagnostique qu'on appelle snmputil. Celui-ci permet au maintenancier d'agir en lieu et place du moniteur.
Synthèse sur le SNMP
SNMP contrôle chaque machine installée dans le réseau en utilisant deux fonctions distinctes de l'administration.
Le moniteur:
- Ensemble des logiciels installés dans un point central.
- Affichage de toutes les informations relatives au bon fonctionnement du réseau. Il affiche aussi toutes les informations normales ou anormales relatives au bon fonctionnement du réseau.
L'agent de surveillance:
- Ensemble des logiciels installés dans les machines et ou équipement distants
- Transmet toutes les informations relatives au fonctionnement des machines vers le moniteur.
- Il existe en permanence un dialogue entre agent et moniteur réseau. Cependant ce dialogue respect te une certaine hiérarchie.
Insuffisance du protocole SNMP
- Il n'accède pas à certaines couches. SNMP réside au niveau application de l'UDP, il ne peut pas analyser ce qui se passe dans les couches inférieures du protocole, exemple: Couche accès au réseau.
- La liaison entre SNMP et son agent impose que le protocole TCP/IP soit en bon état de fonctionnement sinon la communication devient impossible.
- L'obligation d'instaurer le dialogue entre l'agent et le moniteur peut devenir un handicap lorsque le trafic est intense sur le réseau.
- SNMP agit après qu'il y est une défaillance, mais se révèle presque impuissant pour prévenir les incidents.
- SNMP traite beaucoup d'informations mais une faible proportion produit la pertinence souhaitée.
- SNMP surveille les machines de manière individuelle et non un segment de réseau sur lequel travaillent les ordinateurs.
Monitoring (à distance)
Le monitoring à distance (Remote monitoring) est une extension du système d'adressage MIB. Il a été développé pour assurer l'entretient et la surveillance des réseaux LAN à distance.
Le RMON agit au niveau de la couche réseau, il capture les datagrammes sur la ligne physique du réseau, analyse le datagramme en totalité et permet de donner les informations synthétiques sur l'état général du réseau.
RMON se présente donc comme une amélioration du protocole SNMP.
Le MIB RMON commence à l'adresse .1.2.6.1.2.1.16 et se compose de 20 groupes par exemple .1.3.6.1.2.1.16.1 jusqu'à .1.3.6.1.2.1.16.20
Un groupe est toute les machines qui sont sous le contrôle d'un même serveur.
Console d'administration réseau
L'administrateur dispose d'une console : station de travail de forte puissante dédiées à la gestion du réseau. Il peut opérer sur un site local du réseau ou sur un site local du réseau ou sur un site distant. Il collectionne les informations que lui envoient les agents locaux, SNMP analyse les messages d'alerte et réinitialise les équipements à distance lorsque cela est nécessaire en cas de congestion du trafic des interfaces des routeurs. Il analyse les informations par SNMP: niveau d'activité, taux de charge, débit.