Home

 

3. Netzwerk-Management und SNMP

In diesem Kapitel schauen wir auf das Netzwerk-Management Konzept, welches die Inspiration für die Entwicklung von SNMP war.

3.1 Was ist Netzwerk-Management ?

Fragen Sie 10 verschiedene Personen, was Netzwerk-Management ist, und Sie bekommen 10 verschiedene Antworten. Dies wäre nicht so schlimm, wenn die 10 Personen am örtlichen Supermarkt befragt worden sind, und einige der Antworten "Weiß ich nicht" usw. gelautet hätten. Aber wenn die verschiedenen Personen z.B. in der EDV-Abteilung Ihrer Firma arbeiten würden, wüssten Sie, dass hier etwas nicht stimmt. Tatsache ist, dass es so viele Definitionen für diesem Begriff gibt, und dass die wenigsten wissen, was er bedeutet.

Dies ist aber niemanden Fehler. Ein Netzwerk kann durch mehrere, unterschiedliche Level verwaltet werden. Auf der untersten Ebene ist die network maintenance. Die Techniker auf dieser Ebene nutzen Werkzeuge wie Krimpzangen, Seitenschneider, Abmantelmesser, Digital Multimeter und Netzwerk - Prüfgeräte, um die "physikalische Ebene" des Netzwerkes zu managen. Sie sprechen über die Vorteile von 10BaseT- und 10Base2-Kabeln, oder wie sich das Netz verbessert hat, seit sie die 75 Ohm Terminators gegen die mit 50 Ohm ausgetauscht haben.

Auf dem nächsten Level befinden sich die Herrschaften , die wir als die Gruppe mit der Bezeichnung configuration management kennen. Hier wird die physikalische und logische Anordnung des Netzwerkes geplant. Die Konfiguration des Netzes wird dadurch bestimmt, was für Geräte in einem Netz genutzt werden sollen, wie sie angeschlossen werden und was dafür benötigt wird. Es beinhaltet auch, wie die Routers verteilt werden, welche Art von Management Software auf den Hosts benutzt wird, ob feste IP-Adressen vergeben werden, oder doch lieber ein DHCP-Server eingesetzt wird und wie die Leute in der Finanzabteilung davon überzeugt werden, dass sie T1-Service für die Internet-Verbindung benötigen. Das sind auch diese Leute, die Ihnen den Router von Ihrem Segment abtrennen, und Sie damit von der Außenwelt abschneiden, und dann tagelang behaupten, sie würden daran arbeiten.

Auf dem nächsten Level befinden sich die network administrators. Wenn die Netzwerk Konfiguration stabil läuft , sitzt der Netadmins auf seinem, vom Netzwerk gegebenen, Thron und herrscht über das Netzwerk. Es ist ihre Aufgabe, logische Konfigurationen und Service Operationen auszuführen und zu verbessern, wie die Anzahl erreichbarer Ports an Hubs und Routers zu überwachen, den 300'sten User an einen Server mit 256 Lizenzen anzubinden, die Netzwerkkarte zu finden, die das Konzept von CSMA/CD verlässt, die vielen Mails die an den "Helpdesk" gesendet werden, zu beantworten bzw. zu ignorieren.

Auf der höchsten Ebene befinden sich die network users selber (der hilfloseste "Manager" in jedem Netzwerk). Für einen User ist Netzwerk- Management nichts anderes, als sich in das Netzwerk ein - bzw. auszuloggen., alte Daten zu löschen, und hin und wieder ein Passwort bzw. eine Druckereinstellung zu wechseln. Von der Sicht eines Users aus gesehen, sollte das Netzwerk schnell sein und alle seine benötigten Dienste ausführen können.

Eine faire Antwort, zu unserer Anfangs gestellten Frage wäre, dass Netzwerk Management eine Vereinigung von Prozessen und Verfahren ist, die dazu genutzt werden, die Qualität und die Effizienz eines Netzwerkes zu pflegen, rücksichtslos auf die Größe und den Typ des Netzwerkes.

3.2 System- und Netzwerk-Management

Wir sprachen über Netzwerk-Management. Einen anderen Begriff, den Sie wahrscheinlich schon einmal gehört haben, ist System-Management. Obgleich auch diese beiden Begriffe in einem Zusammenhang mit den gleichen Konzept stehen, kann man ihre Bedeutung nicht miteinander vergleichen. Sie überlappen in ihrer Definition teilweise, und dies ist auch die Quelle der Missverständnisse. Beide Arten von Management beinhalten das Sammeln von Daten über Geräten, wie z.B. Routern, Servers, Workstations usw. Sie unterscheiden sich nur darin, wie sie mit den Daten umgehen.

System-Management  ist das überwachen und pflegen von individuellen Geräten, entweder als Stand-Alone Einheit, oder mit anderen Geräten zu einem Netzwerk zusammengeschlossen. System-Management beinhaltet  das installieren bzw. Updaten von Software, Backups auf den Rechner ausführen, das Überwachen der System-Ressourcen, User Accounts einzurichten sowie das installieren bzw. deinstallieren von Systemdiensten.

Netzwerk-Management schließt alle Funktionen (auf Geräteebene) ein, mit denen man die Funktionalität eines Netzes überwachen und steuern kann. Geräte die nicht die Performance eines Netzwerkes beeinflussen, wie z.B. ein Drucker, der an eine Workstation angeschlossen ist, und nur von dieser benutzt wird, fallen nicht in den Bereich von Netzwerk-Management, sondern in den Bereich des System-Managements.

Beides, System- und Netzwerk-Management, konzentriert sich auf das Überwachen und Pflegen von Geräten. Aber System-Management befasst sich mit den Geräten wie mit einer unabhängigen Einheit, oder wie mit Mitglieder in einer logischen Gruppe von zusammenhängenden Systemen. Netzwerk-Management betrachtet die einzelnen Geräte als ein kleiner Teil eines Netzes  und sieht seine Aufgabe darin, die Funktionalität des ganzen Netzes zu garantieren.

Jetzt ist Ihnen sicher klar geworden, wie das Überlappen der beiden Definitionen stattfindet -  Wo endet der eine Dienst, wo ist der Beginn des Anderen. Ihnen sollte klar sein, dass Aufgaben des System-Management wie z.B. das Entlasten eines Servers (durch aufräumen der Festplatte) oder das Updaten einer buggy  firmware bei einem Router, die Performance eines Netzwerkes positiv beeinflussen. Und Netzwerk-Management Funktionen, wie z.B. den Umfang, den ein Router in einem Netzwerk zu verwalten hat, zu verkleinern, können die Leistung einer jeden Einheit in einem Netz beeinflussen.

Um einen Überblick darüber zu bekommen, wie, warum, wo und wann Netzwerk-Management ausgeführt wird, müssen wir uns die verschiedenen Modelle von Netzwerk-Management anschauen. 

3.3 Verschiedene Arten von Nodes

Das "Basic Model of Network Management" gruppiert alle Nodes (Knoten) eines Netzwerkes in folgende Kategorien ein :
gemanagte Nodes - jedes Netzwerkgerät, dass laufend Netzwerk-Management Informationen sammelt und liefert
Management Nodes - jedes Netzwerkgerät, dass fähig ist, Informationen von einem gemanagten Node zu fordern.
Nodes, die nicht managebar sind - eben solche, die entweder kein Netzwerk-Management unterstützen oder jene, die ein nicht    kompatibles Protokoll unterstützen.

Jeder gemanagte Node unterhält einen Agent-Prozess, der Rückfragen seitens eines Management Node unterstützt, damit dieser Informationen abfragen kann. Wenn eine Request empfangen wird, überprüft der Empfänger, ob der Sender dazu berechtigt ist, von ihm eine Antwort zu bekommen. Wenn dies der Fall ist, holt der Agent die gewünschten Informationen von dem Node und sendet sie in Form einer Response (Antwort) an den Management Node.

Ein Management Node ist typischerweise eine Workstation, die ein Netzwerk-Management System in Form einer grafischen Oberfläche ausführt. Management Nodes sind also automatisch ausgeführte Software-Prozesse (auch remote monitoring (RMON) probes genannt), deren einzige Aufgabe darin besteht, Informationen von gemanagten Nodes zu sammeln.

Ein Node kann aber auch beides auf einmal sein, z.B. eine Workstation, auf der zur gleichen Zeit ein Agent-Prozess sowie ein Netzwerk-Management System läuft. Solche Nodes nennt man dann "bilevel entities".

Das Bild eines zergliederten Management wird klarer, wenn sie sich vorstellen, dass nahezu jedes Gerät in einem Netzwerk in der Lage ist, Informationen über seine Leistung und seine Betriebsstatus zu sammeln, und diese Informationen über einen standardisierten Weg zu versenden. Diese Informationen werden dann von der Management Software eingesammelt und ausgewertet, so dass man einen guten Überblick über den Zustand seines Netzes bekommt.

3.4 Local oder Remote Management

Die Hersteller von Netzwerkgeräten produzieren ihre Geräte meist so, dass sie ohne jegliche Form von Network Management funktionieren, manche von ihnen bekommen eine lokale Form des Network Management in Form eines "Frontpanel" bzw. eines kleinen Terminals spendiert. Richtiges Netzwerk-Management muss daher in Form eines Updates in der Firmware oder durch anschließen einer weiteren Hardwarekomponente hinzugefügt werden.

Nicht alle Netzwerkeinheiten enthalten nützlich Informationen über ihren physikalischen bzw. logischen "Einsatzbereich" in einem Netzwerk. Es ist tatsächlich so, dass viele Einheiten nicht einmal wissen, dass sie in ein Netzwerk integriert sind. Betrachten wir ein Gerät, dessen Funktion es ist, verschiedene Datenformate umzuwandeln. An den Eingang dieses Gerätes wird eine Lichtleiter angeschlossen, am Ausgang ein Kupferkabel. Das Gerät ist nur über einige wenige Dinge "unterrichtet" : die Signale, die es über den Lichtleiter empfangen kann; wie es die Signale in das andere Format umwandeln kann und wie sie über das Kupferkabel weitergeleitet werden. Das Gerät wird ein kleines Display besitzen, an dem, in Form einiger LED's, der Status des Gerätes angezeigt wird, und einige kleine Eingaben in einem simplen Menü vorgenommen werden können. Eine serielle Schnittstelle könnte an diesem Gerät angebracht sein und mit deren Hilfe kann man dann ein asynchrones, serielles Terminal anschließen, mit dessen Hilfe man schließlich an die lokalen  Management-Informationen herankommt. Das überwachen und abrufen von Geräten über ihre  physikalische Schnittstelle nennt man Local-Management.

Jetzt stellen Sie sich einmal vor, dass  Tausende von Netzwerkgeräten, die über die ganze Stadt, das ganze Land oder den Kontinent verbreitet wären, in Ihren Management-Bereich fallen würden und Sie immer vor Ort sein müssten, um  Ihre Konfiguration zu verbessern, bzw.  ihren Zustand zu überwachen. Das wäre finanziell wie zeitlich nicht realisierbar. Sie bräuchten eine Form von Remote-Management, dass Ihnen die Möglichkeit gibt, all diese Gerät von einem Punkt aus zu managen.

Wie würde so ein Remote-Management arbeiten ?

Wenn Sie mit den Geräten arbeiten wollen, die Sie im Moment haben, wäre die einfachste Lösung ein Modem, dass Sie an die serielle Schnittstelle des Gerätes anschließen, und damit das Gerät überwachen und konfigurieren. Diese Lösung ist natürlich nur für wenig Geräte realisierbar, da Sie ja für jedes Gerät ein Modem und eine Telefonleitung brauchen, zudem laufend Telefongebühren während des Überwachens anfallen.

Mal sehen, ob wir diesen Plan nicht verbessern können. Das nächste was wir in Betracht ziehen sollten, wäre der Einsatz eines Management-Proxyservers. Dies wäre ein Computer, auf dem eine spezielle Software aufgespielt ist, die ihm ermöglicht über seine seriellen Schnittstellen mit allen Geräten in seinem Bereich  zu kommunizieren und Remote-Management auszuführen. Sie könnten dann diesen einen Server über Modem anwählen, und die einzelnen Geräte managen.

Dies wäre eine bessere Lösung, da Sie nur ein Modem bräuchten, aber Sie müssen mit den nicht unbeachtlichen Kosten für den Server und der speziellen Management-Software rechnen.

Eine Alternative zum zentralisierten Managementserver wäre die verteilte, zergliederte Form des Managements, in der jedes Gerät als ein Mitglied in einem Netzwerk auftaucht, und von einem jeden Management-System, dass Zugriff auf das Netzwerk hat, konfiguriert und überwacht werden kann. Das Netzwerk könnte auf den Daten, die die Geräte verarbeiten, basieren. Spezielle Management  Befehle könnten dann in die aktuell verarbeiteten Daten eingefügt werden (in-band management), oder das Gerät unterstützt eine andere Form von Netzwerk, das nur für den Transport von Management Informationen genutzt wird (out-of-band management) .

3.5 Funktionelle Bereiche des Netzwerk-Managements

Netzwerk-Management ist zum einen ein "Framework" (~Rahmen-Arbeit) und zum anderen ein Set von Prozessen zum planen, ausführen und pflegen von Computer Netzwerken. Es gibt viele verschiedene Gruppen von Netzwerk-Management Standards, jede mit eigenen Konzept, wie ein Netzwerk verwaltet werden soll, und jede mit einer eigenen Definition von Netzwerk-Management.

Alle Modelle haben eine gemeinsame Basis, nämlich Sicherheit und Konfiguration, Leistungssteigerung und Fehlerprotokollierung. Komplexere Management-Systeme beinhalten noch administrative Netzwerkfunktionen, wie Planung, Support, Aufwands- und Kostenmanagement  usw.

Viele Leute denken, dass Netzwerk-Protokolle und Netzwerk-Management Frameworks das selbe sind, bzw. denken Sie, wenn ein Gerät ein Management-Protokoll  unterstützt, es daher auch ein Management-Frameworks ausführen kann. Dies ist sicherlich  nicht so. Obgleich viele System- und Netzwerk-Protokolle spezielle Informationen über Gerätekonfiguration, Überwachung und Alarm Benachrichtigung enthalten, ist das Protokoll selbst nur ein Werkzeug, das zum Auswerten der Management-Informationen eingesetzt wird.

Dieses Kapitel behandelt einige funktionelle Bereiche, die gewöhnlich in den meisten Netzwerk-Management Philosophien zu finden sind. Jeder dieser Bereiche ist sowohl im komplexen Netzwerken wie auf nicht vernetzten Workstations anzutreffen.

Konfigurations- Management

Die Konfiguration eines Netzes hängt entscheidend davon ab, welche Geräte in einem Netz vorhanden sind und wie sie durch ihre Parameter eingestellt worden sind. Konfigurations- Management (Configuration management) befasst sich daher hauptsächlich mit den physikalischen und logischen Verbindungen von Routern, Bridges, Hubs und Hosts. Ebenso werden die Geräte korrekt konfiguriert.

Es gibt im Moment 3 verschiedene Aspekte von Konfigurations- Management
Inventory ist die Gruppe von Geräten in einem Netzwerk, oder die Gruppe von Geräten und Software die in einem Netzwerkgerät installiert sind, sowie ihre dazugehörigen statischen Informationen.
Configuration ist der Plan, wie die Inventory-Komponenten miteinander verbunden sind.
Provisioning sind die austauschbaren Operations-Parameter, welche festlegen, wie jede Komponente zu funktionieren hat.

Sie können alle drei Komponenten im CMOS Programm (BIOS) eines normalen PCs betrachten. Die Inventory aller Hardware-Komponenten beinhaltet Diskettenlaufwerke, Grafikkarten, Festplatten, Schnittstellen und Netzwerkkarten. Die Daten eines jeden Gerätes (Hersteller, Model- und Seriennummer, Versionsnummer usw.) sind in einem ROM abgespeichert und sind alle Teil der Inventory-Information.

Die Configuration ist ein Plan, in dem angezeigt wird, wie alle Teile der Inventory miteinander verbunden sind. Für eine Netzwerkverbindung zeigt dieser Plan an, wie jeder Node des Netzes physikalisch und logisch mit den anderen Nodes des Netzes verbunden ist. Für eine Gerätekonfiguration in einem Netzwerk zeigt dieser Plan an, welcher Adapter welches Laufwerk kontrolliert, und mit wessen Bus ein Karte verbunden ist. Die Configuration zeigt außerdem an, ob Features wie Advanced Power Management (APM) und Destop Management Interface (DMI) vorhanden sind.

Die Provisioning sind all die variablen Parameter, die man verändern kann, damit der Node funktioniert. Provisioning Posten bei einer Workstation beinhalten Zeit und Datum, Kapazitäten der Floppy und der Festplatten, Cache Einstellungen, Einstellungen wie Master-Slave an der Festplatte, Einstellungen der seriellen und parallelen Schnittstellen, ....Die Parameter der APM und DMI sind ebenso Provisioned Information.

Ein System- oder Netzwerk-Management Framework stellt ein Interface zur Verfügung, mit dessen Hilfe die Configuration,Inventory und Provisioning aller Netzwerkgeräte eingelesen, verglichen und geändert werden können. Dieser Framework beinhaltet eine Datenbank aller möglichen Konfigurationen in Form von Anleitungen, Online-Hilfen oder Anfragen an den technischen Support der Hersteller. Leider gibt keine einzelne Management Anwendung, die die Konfiguration aller Geräte managen kann. Dies macht dann das typische Netzwerk-Management System aus : viele verschiedene Anwendungen für viele verschiedene Geräte.

Fault Management (Fehler-Management)

Wenn irgendetwas unerwartetes in Ihrem Netzwerk passiert, z.B. Signale gehen verloren oder die Leistung eines Gerätes ändert sich, werden diese negativen Effekte faults (Fehler) genannt. Das finden, identifizieren, isolieren, darüber berichten und korrigieren dieses Fehler gehört in den Bereich das Fehler-Managements (fault managements).

Fehler-Management ist der wichtigste Bereich im Netzwerk-Management. Die Fähigkeit, schnell einen Fehler zu finden, eine Meldung an ein Management-Gerät zu senden, und möglicherweise sogar eine Fehlerkorrektur vorzunehmen, hat Vorrang vor allen anderen Tätigkeiten in einem Management-System.

Netzwerk-Fehler können Reactively oder Proactively erkannt werden. Reactive Fehlererkennung bedeutet, dass der Fehler erst dann entdeckt wird, wenn er schon im Netz ist.

Ein  Beispiel :

Ein Router entdeckt, dass ein Netzwerk-Gerät nicht mehr antwortet. Der Router sendet dann ein Reactive Message, in der beschrieben wird, durch welches Signal der Fehler entdeckt wurde.

Proactive Fehlererkennung befasst sich mit der "Früherkennung" von Problemen in einem Netzwerk, die zur Folge haben können, dass ein Fehler auftritt, und das Netz damit in Mitleidenschaft gezogen wird.

Auch hier ein Beispiel :

Wenn die Festplatte eines Servers zu 90% mit Daten gefüllt ist, wäre dies eine mögliche fault source/Fehlerquelle (nämlich dann, wenn die Platte zu 100% gefüllt ist). Auch in diesem Fall wird der Administrator über einen Fehlerbericht informiert.

Was wird als Problem angesehen ? Gewöhnlich ist jeder Fall, der unbeabsichtigte und betriebsstörende Einflüsse auf das Netz nimmt, ein Problem, das unmittelbar aus der Welt geschafft werden muss. Die meisten Fehler in einem Netzwerk treten durch das Fehlen der Netzspannung an einem Netzwerkgerät auf, das wiederum durch seinen Ausfall, das Netz trennt. Ebenso sind Bugs in Software und Firmware oder falsche Geräteeinstellungen, Quellen für faults (Fehler).

Um vorherzusagen, wann und wo ein Fehler auftreten kann, muss man mit Mehrkosten für zusätzliches Überwachungszubehör, detailliertere Informationen über das Geschehen in einem Netzwerken besitzen, und die Bandbreite seines Netzwerkes zusätzlich mit Proactive Fehlererkennung belasten. Aus diesen Gründen werden Sie Proactive Fehlererkennung nur in Management-Systemen für besonders große Netzwerke finden.

Performance Management

Ein Netzwerk wird als "Performing Well" bezeichnet, wenn nur eine so gering wie mögliche Bandbelastung vorhanden ist (der Rest also für Daten zur Verfügung steht), und die Nodes auch bei Voll-Last nicht überlastet werden - mit anderen Worten, überall ist Platz, keiner ist überlastet.

Performance Management beinhaltet das Überwachen der Netzwerk-Performance und die nötige Netzwerkoptimierung. Welche Datentypen eine Leistungsmessung ermöglichen, hängt von der Art des Netzwerkes ab. Die gebräuchlichste Messung der Netzwerk-Performance wird auf der Paket-Ebene ausgeführt und beinhaltet folgendes :
Anzahl der beschädigten Datenpakete (CRC oder checksum Errors)
Anzahl der Response Time-outs oder der Pakete die zurückgeschickt wurden
Anzahl der Pakete, die nicht angekommen sind.

Eine bezeichnend hohe Anzahl von beschädigten Paketen zeigt gewöhnlich auf ein Problem im Netzwerk hin. Geräte oder Links zu anderen Verbindungen, die unerwartet für das System entfernt wurden, sowie zuwenig Speicher für einen Router könnten eine Ursache für diese Probleme sein und damit die Leistung des Netzes beeinträchtigen.

Einige Geräte können auf der Signalebene, Statistiken über den Zustand des Netzes anlegen. Wenn die Stärke des Signals nachlässt, schließt das Gerät daraus, dass an einem bestimmten Teil  des Netzes ein Verstärker benötigt wird, bzw. das Kabel beschädigt oder zu stark geknickt wurde.

Performance Überwachung schließt nicht nur die augenblickliche Überwachung des Gerätes ein, sondern auch das Überwachen über einen längeren Zeitraum mit Protokollierung. So kann man, anhand des Protokolls sehen, was in den letzten paar Stunden passiert ist, bevor das Gerät ausgefallen ist oder seine Leistung geschwächt wurde.
Wenn ein Server meldet, dass eines seiner Laufwerke die Datenkapazität von 90% überschreitet, können Sie anhand der Historie (Langzeit-Protokoll) einsehen, ob dies nur ein einmaliges überschreiten des Limits von 90% war, und im Alltag dies nicht vorkommt oder ob der Server schon seit Tagen an dieser kritische Marke angekommen ist. Jetzt können Sie zuverlässig entscheiden, was zu tun ist (neue, größere Festplatte usw.).
Wenn Sie die Historie einer Datenleitung ansehen, und Sie in den letzten 30 Tagen keine nennenswerten Einbrüche vorfinden, diese Datenleitung aber plötzlich zusammengebrochen ist, kann man daraus schließen, dass etwas mit der Hardware, die die Leitung aufrecht hält, nicht stimmt.
Wenn eine Historie anzeigt, dass eine Leitung für ein paar Stunden zusammengebrochen ist, dann aber wieder in Ordnung war, kann man anhand der protokollierten Zeitpunkte in den Alarm- und Fehler-Management Aufzeichnungen nachschauen, und daraus entnehmen, wie das Problem automatisch korrigiert wurde.

Andere funktionelle Bereiche
Security Management -- dies beinhaltet alles was in einem Netz mit Sicherheit zu tun hat. Security Management wird auf zwei Ebenen ausgeführt :                                      
 -- die Physical Security -- sie befasst sich mit der physikalischen Isolation von Schlüsselkomponenten in einem Netzwerk  
-- die Logical Security -- sie befasst sich mit der Verwaltung von Systempasswörtern, dem Ver- und Entschlüsseln von Daten usw.
Accounting Management -- wird als Entscheidungshilfe für den Aufwand des Netzwerk-Management und Überwachung genutzt (Cost Management)
Asset management  (Aktivposten Management) -- beinhaltet das   statistische Aufzeichnen der Ausstattung, Einrichtungen und des Personals, die zum Überwachen des Netzwerkes benötigt werden.
Planning management -- beinhaltet das Analysieren des Netzwerkes, um mit diesen Daten die zukünftige Größe des Netzes zu planen. Muss die Bandbreite des Netzes vergrößert oder verkleinert werden ?

3.6 Vernetzbar oder nicht vernetzbar....

Nun fragen Sie sich vielleicht "Warum ist nicht in jedem Gerät Netzwerk-Management integriert ??". Nun Netzwerk Management ist bei fast allen routbaren Netzwerk-Geräten vorhanden. Und Dank populärer Betriebssysteme wie Unix, Novell NetWare und Microsoft Windows sowie Protokollen wie IPX/SPX und TCP/IP ist es ein leichtes, Netzwerk-Management zu den meisten Netzwerk-Hosts, wie Workstations und File-Servern, hinzuzufügen

Aber es gibt noch viele Geräte, die nicht direkt Netzwerk-Management unterstützen. Um einen Hersteller dazu bewegen, Netzwerk-Management in sein Produkt zu integrieren, müssen folgende Kriterien erfüllt werden :
Die Management-Schnittstelle muss ein Standart in der Welt des Netzwerk-Management darstellen
Die Schnittstelle muss erweiterbar sein
Die Schnittstelle muss mobil sein
Die Management-Mechanismen müssen billig sein
Die Mechanismen dürfen nur als Software integriert werden
Andere Hersteller müssen diese Mechanismen unterstützen
Die Kunden wollen und brauchen diese Mechanismen

Da diese Forderungen immer mehr gefordert und somit erfüllt werden, dürfte die Anzahl der Geräte, die Netzwerk Management nicht direkt unterstützen, immer geringer werden.

3.7 Netzwerk-Management mit Hilfe von SNMP

Um Netzwerk-Management, wie besprochen zu realisieren, bietet sich SNMP hervorragend an. SNMP wurde schließlich für das managen von verteilten Netzen und seinen Geräten, entwickelt.

Das SNMP Management-Modell

SNMP unterscheidet zwei Typen von Management-Einheiten : Managers und Agents

Eine Netzwerk-Management Station (NMS) ist normalerweise eine Arbeitsstation, auf der ein (oder mehrere) Netzwerk-Management Systemanwendungen ausgeführt werden. Mittlere bis große Netzwerk-Management Systeme werden gewöhnlich auf einer third-party software platform, auch network management suite (NMS - wie auch sonst) genannt, aufgebaut. Third-party Software wäre z.B. HP OpenView und IBM NetView. Die Workstation wird dann von ihrem Benutzer genutzt, Informationen, von durch Agents gemanagten Nodes, abzufragen und sie in einer für ihn komfortablen Weise, darzustellen.

Die Aufgabe eines Agents besteht darin, einen oder mehrere Network Nodes zu überwachen, Daten über ihre "Tun und Treiben" zu sammeln (Management Information), und diese Daten an ein Management-System zu senden. Die meiste Arbeit im SNMP-Management verrichten die Management-Anwendungen, die auf der Management-Workstation laufen. Warum?? Ganz einfach, die Ressourcen einer Management-Workstation sind für diese Art von Management ausgelegt, während die Ressourcen auf einem Node für wichtigere Dinge (seiner eigentlichen Aufgabe) zur Verfügung stehen sollten.

Ein Node ist typischerweise ein Host, der gleichfalls ein Management-System oder ein Management-Agent sein kann; wenn dies alles wäre, könnte SNMP eine einfache Sache sein. Dies ist aber nicht der Fall, da es verschiedene SNMP-Nodes gibt :
Nodes, die managen und managebar sind (bilevel entities)
Nodes, die verschiedene Versionen von SNMP-Protokollen verstehen (bilingual entities)
Nodes, die sich für andere Geräte (z.B. Gateways) wie Proxy-Agents aufführen
Nodes, die durch andere Mechanismen als SNMP gemanagt werden
Nodes, die nicht managebar sind

Bilevel Entities

Auf einem Node kann man zugleich ein Management-System und einen Agent ausführen. Ein gutes Beispiel dafür, wäre eine NT Workstation, auf der der SNMP-Dienst und SNMP Netzwerk-Management Anwendungen ausgeführt werden. Somit wäre es natürlich nur von Vorteil, wenn alle Nodes mit Netzwerk-Management Anwendungen auch einen Agent ausführen würden ==> damit wären sie für andere Management Nodes ebenfalls managebar.

Bilingual Entities

Denken Sie daran, dass es einem Netzwerk mehrere Versionen von SNMP geben kann (SNMPv1, SNMPv2 - nicht zu vergessen, dass diese ebenfalls noch weiter zergliedert sind). Daher macht es Sinn, sogenannte bilingual nodes - wenigstens für die Management-Systems, einzusetzen.

Proxy Agents

Ein SNMP Proxy-Agent wird dann eingesetzt, wenn ein Gerät, dass weder SNMP noch einen Agent unterstützt, dennoch mit SNMP gemanagt werden soll. Ebenso können Komponenten, die sich im Moment noch in der Testphase befinden und daher noch nicht ins Netz eingebunden werden können, mit einem Proxy zwischengeschaltet, doch in das Netzwerk eingebunden werden.

Non-SNMP nodes

Da es in der Welt des Netzwerk-Management eine Vielzahl anderer System- und Management-Protokollen gibt, werden multi-lingual SNMP agents eingesetzt. Diese Agents haben die Aufgabe, die Nicht-SNMP-Protokolle in ein SNMP-Protokoll umzuwandeln.

Nodes, die mit diesen verschiedenen Techniken nicht eingebunden werden können, werden nicht in das SNMP Modell aufgenommen ==> sind somit nicht managebar.

Community Namen

SNMPv1 definierte eine Community-basierendes Administrations-Framework, um mit ihm die verschiedenen SNMP Elemente verwalten zu können. Jede SNMP-Community ist eine Gruppe von Geräten, die mindestens einen Agent und ein Management-System beinhaltet. Den Namen, den diese Gruppe bekommt wird als Community-Name bezeichnet. Der Community-Name wird jeder SNMP Nachricht  kodiert beigefügt und wird dann als Communutiy-String bezeichnet. Der Community-String informiert dann den Empfänger, für welche Community diese Nachricht bestimmt ist.

Ein gemanagter Node zeigt durch Annehmen oder Ablehnen der SNMP-Nachricht an, ob er zur deren Community gehört.
Ein Beispiel:
wenn ein Node alle Nachrichten, die den Community-String "public" enthalten, annimmt, zeigt er somit an, dass er zu der Community "public" gehört. Wenn er alle Nachrichten mit dem Community-String "private" ablehnt, zeigt er somit, dass er nicht Mitglied in dieser Community ist.

Die Bezeichnungen der einzelnen Communities werden vom Netzwerkbetreuer festgelegt und sollten eindeutig sein. So wäre der Name für eine Community, die die Geräte einer Entwicklungsabteilung beinhaltet, "Entwicklung". Der Namen sollte sorgfältig bedacht werden, da er später nicht mehr so leicht geändert werden kann.

Wird ein Node keiner Community zugewiesen, nimmt er normalerweise alle SNMP-Nachrichten mit einem beliebigen Community-String an. Dieser Node gehört somit zu allen SNMP-Communities in einem Netzwerk.

Grafik 8 zeigt Ihnen die grafische Darstellung eines mit SNMP verwalteten Netzwerkes. Alle Nodes in diesem Netzwerk unterstützen einen Agent. Die meisten Nodes sind nur in einer Community vorhanden, aber einige existieren in zwei oder sogar drei Communities. Der Router z.B. gehört sowohl zur "campus" wie zur "Engineering Lab" Community. Die Community die "All Communities" genannt wird, beinhaltet alle Geräte, denen kein Community-Name zugewiesen wurde. Diese Geräte gehören somit automatisch zu allen anderen Communities im Netz.

 

grafik_8 Kopie.jpg (24826 Byte)

SNMP-Communities (Grafik 8)

SNMP Proxy-Agents

In den vorhergegangenen Kapiteln haben wir schon einmal über das Thema "Proxy-Agent" oder einfacher "Proxy" gesprochen. Noch einmal zur Wiederholung :  Ein Proxy ist eine Netzwerk-Komponente, die einer Anderen (die es von sich aus nicht kann) ermöglicht, Management Services auszuführen. Ein SNMP-Proxy erlaubt daher dieser Komponente, SNMP Requests auszuführen.

Ein Proxy-Agent stellt für SNMP folgende Dienste bereit:

das managen eines Gerätes, welches selbst keinen SNMP-Agent ausführen kann

das managen eines Gerätes, welches einen non-SNMP Management-Agent ausführt

erlaubt einem non-SNMP Management-System sich mit einem SNMP Management-System zu verbinden

einen Software Schutz, auch  firewall genannt, mit dem sich eine sichere Abkopplung von anderen SNMP-Agent realisieren lässt

das übersetzen verschiedener Formate von SNMP-Nachrichten

das zusammenfügen mehrerer gemanagter Nodes zu einer einzelnen Netzwerk-Adresse

Um einen SNMP-Agent ausführen zu können, muss ein Gerät ausreichend Speicher und genügend Rechenpower besitzen. Nur damit lässt sich wenigstens ein kleines Betriebssystem und ein network protocol stack realisieren. Da viele Geräte, wie z.B. Telefone, Faxgeräte, Drucker oder Modems nicht über diese "Anlagen" verfügen, müssen diese von einem Proxy geliehen werden ==> er stellt sie für das Gerät zur Verfügung, und führt den Agent im Namen des Gerätes auf sich aus.

Der Proxy-Agent wiederum ist nichts anderes als ein SNMP-Agent, der auf einem geeigneten Gerät (Rechner) ausgeführt wird. Er sammelt   Informationen über das im unterstellte Gerät entweder direkt über z.B. AT-Befehle eines Modems, oder indirekt über Sensoren, mit deren Hilfe er Daten wie z.B. Temperatur, Spannung, Datendurchsatz des Gerätes abrufen kann.

SNMP Gateway Agents

Ein Proxy arbeitet ebenso wie ein Gateway, der Management-Anfragen von einem Management-Protokoll zu einem Anderem übersetzt. Der Proxy unterstützt jedoch nicht selbst Management-Anwendungen, sondern fungiert nur als Vermittler zwischen Management-Systemen und Geräten, die nicht das selbe Protokoll unterstützen.

Ein Beispiel :

Die Formate der Nachrichten, die von den beiden SNMP-Versionen genutzt werden, sind so verschieden, dass ein Gerät , welches SNMPv1 versteht, nichts mit Anfragen von einem Gerät, das SNMPv2 nutzt, anfangen kann. Der Proxy muss daher die Anfrage des SNMPv2-Gerätes auf SNMPv1 umsetzen und die Antwort des Gerätes natürlich von SNMPv1 auf SNMPv2, damit sie von dem Management-System richtig ausgewertet werden kann.

Um von einem Proxy unterstützt zu werden, muss das Gerät :

sich im gleichen Netz wie der Proxy befinden (etwa eine Gruppe von Workstations)

oder physikalisch mit dem Proxy verbunden sein (wie eine Anzahl von Modemkarten in einem Motherboard)

oder wie z.B. ein Drucker entweder mit einem Kabel oder einer Infrarot-Schnittstelle mit ihm verbunden sein.

Es ist einzig wichtig, dass ein verständlicher Informations-Austausch zwischen dem Gerät und dem Proxy zustande kommt.

Ein Proxy kann wie ein Gateway eingerichtet werden und somit den angeschlossenen Geräten eine einzige Netzwerk-Adresse vergeben. Die Anfragen an diese Geräte werden den per SNMP an den Proxy gerichtet und von diesem an das richtige Gerät weitergeleitet. Die Antwort wird von dem Gerät an den Proxy zurückgesendet, und von diesem an das Netzwerk-Management-System zurückgeleitet. Der Proxy- Gateway funktioniert also als single trap destination, dies ist die Bezeichnung für eine "Falle" in der die SNMP Nachrichten "gefangen"  und an ihren Bestimmungsort, den richtigen Agent, verteilt werden.

Ein Proxy-Gateway kann ebenso als firewall und als ein Grenzpunkt, der alle UDP-Gültigkeitserklärungen (packet filtering) und PDU Authentifizierungen (application filtering) anwendet, eingesetzt werden. Der Gateway überprüft die Adresse der SNMP-Request, indem er die Adresse mit denen, die er in einer Adressenliste gespeichert hat, vergleicht. Findet er sie dort, leitet er die Nachricht weiter. Beschädigte oder nicht berechtigte Requests werden von dem Gateway abgewiesen.

Wie Sie sehen, können Proxies eine Menge von Problemen lösen. Er sollte aber immer als Übergangslösung betrachtet werden. In der folgenden Tabelle werden die Vor- und Nachteile eines Proxies beschrieben

 

Vorteile eines Proxy Nachteile eines Proxy
Fügt einem Gerät ein Pseudo-SNMP Management zu
Trennt gesetzlich und patentrechtlich geschützte sowie obskure Protokolle vom allgemeinen Netz
Er erlaubt Netzwerk-Elementen die Nutzung von mehreren Protokollen und faßt mehrere Agents zu einem Zugriffspunkt zusammen
Potentiell schneller eingefügt als ein SNMP-Agent und ein ganzer protocol stack
Ist oft der schnellste Weg, einen non-SNMP-Node für das NMS SNMP-managebar zu machen
Er ist nicht leicht zu entwickeln und zu implementieren
Kann nicht immer den ganzen Umfang von Management Kapazitäten eines Gerätes ausnutzen
Er benötigt zusätzliche Komponenten oder Prozesse
Erhöht die Fehlerquote
Das komplizierte Design macht die Fehlerbeseitigung in einem Netzwerk schwieriger
Er macht den Entwicklern von Netzwerkgeräten vor, dass ihre Geräte nicht managebar sein müssen, da dies ja ein Proxy erledigen kann

 

weiter