так как количество сетей растет, сети разнообразным образом объединяются (маршрутизаторы различных поставщиков, хосты со встроенными функциями маршрутизации, терминальные серверы и так далее), задача управления этими системами становится очень важной. в этой главе рассматриваются стандарты, которые используются внутри семейства протоколов internet, для управления сетью.

управление сетью в объединенных сетях tcp/ip строится на взаимодействии между станцией управления сетью (менеджер) и элементами сети. элементами сети могут быть любые объекты, которые используют семейство протоколов tcp/ip: хосты, маршрутизаторы, x терминалы, терминальные сервера, принтеры и так далее. на элементах сети должно быть запущено программное обеспечение, которое называется агентом. станции управления это обычно рабочие станции с цветным монитором и графическим дисплеем, которые отображают то, что происходит с элементами (которые из них работают, а которые нет, объем траффика по различным каналам за единицу времени и так далее).

обмен данными, как правило, двусторонний: менеджер просит агента сообщить ему определенное значение (например, "сколько было сгенерировано icmp ошибок о недоступности порта?"), или агент сообщает менеджеру о каком-либо важном событии ("подключенный интерфейс не работает"). у менеджера должна быть возможность установить переменные в агенте ("измени значение ttl по умолчанию на 64"), помимо того, что менеджер должен иметь возможность считывать переменные от агента.

управление сетями tcp/ip состоит из трех частей.

1. информационная база управления (mib - management information base), которая указывает, какие переменные в элементах сети необходимо обслуживать (информация, которая может быть запрошена и установлена менеджером). rfc 1213 [mccloghrie and rose 1991] определяет вторую версию, которая называется mib-ii.
2. установка общей структуры и схемы идентификации, используемой для обращения к переменным в mib. это называется структурой информации управления (smi - structure of management information) и описывается в rfc 1155 [rose and mccloghrie 1990]. например, smi указывает, что счетчик (counter) это неотрицательное целое число, которое изменяется от 0 до 4294967295 и затем снова возвращается в 0.
3. протокол, который функционирует между менеджером и элементом, называется простым протоколом управления сетью (snmp - simple network management protocol). rfc 1157 [case et al. 1990] описывает этот протокол. там же подробно описан формат пакетов, с помощью которых осуществляется обмен. несмотря на то, что в качестве транспортных протоколов могут быть использованы разные протоколы, обычно с snmp используется udp.

эти rfc определяют то, что в настоящее время называется snmpv1, или просто snmp, что мы и обсудим в этой главе. в течение 1993 года были опубликованы дополнительные rfc, которые описывают snmp version 2 (snmpv2), который мы опишем в разделе "snmp версии 2" этой главы.

в этой главе мы рассмотрим протокол, который используется для общения между менеджером и клиентом, во-первых, а затем посмотрим какие переменные использует агент. мы опишем информационную базу данных, поддерживаемую агентом (mib), рассмотрим группы, которые мы уже описали в тексте: ip, udp, tcp и так далее. рассмотрим примеры, соответствующие каждому описанию, а в процессе рассмотрения будем обращаться к концепции протоколов, описанных в предыдущих главах.

snmp определяет всего пять типов сообщений, которыми обмениваются менеджер и клиент.

получить значение одной или нескольких переменных: оператор get-request. получить следующую переменную после этой или несколько указанных переменных: оператор get-next-request. (мы опишем то, что имеем в виду под словом "следующий" позже в этой главе.) установить значение одной или нескольких переменных: оператор set-request. выдать значение одной или нескольких переменных: оператор get-response. это сообщение возвращается агентом менеджеру в ответ на операторы get-request, get-next-request и set-request. уведомить менеджера, когда что-либо произошло с агентом: оператор trap.

первые три сообщения отправляются от менеджера к агенту, а последние два от агента к менеджеру. (мы будем называть первые три оператора как get, get-next и set.) на рисунке 25.1 приведены все пять операторов.

так как четыре из пяти snmp сообщений реализуются простой последовательностью запрос-отклик (менеджер отправляет запрос, а агент возвращает отклик), snmp используют udp. это означает, что запрос от менеджера может не прибыть к агенту, а отклик от агента может не прибыть к менеджеру. в этом случае менеджер, возможно, отработает тайм-аут и осуществит повторную передачу.

рисунок 25.1 пять операторов snmp.

менеджер отправляет эти три запроса на udp порт 161. агент отправляет ловушки (trap) на udp порт 162. так как используются два разных порта, одна система может выступать в роли менеджера и агента одновременно. (см. упражнение 1 в конце главы.)

на рисунке 25.2 показан формат пяти snmp сообщений, инкапсулированных в udp датаграмму.

рисунок 25.2 формат пяти snmp сообщений.

на этом рисунке мы указали в байтах только размер ip и udp заголовков. это объясняется тем, что для snmp сообщений используется кодирование - называемое asn.1 и ber, которые мы опишем позже в этой главе - в зависимости от типа переменных и их значений.

значение поля version равно 0. это значение в действительности равно номеру версии минус единица. (версия snmp, которую мы описываем, называется snmpv1.)

на рисунке 25.3 показано значение для типа блока данных протокола (pdu type). (pdu - это блок данных протокола - protocol data unit, обычно называемый "пакет".)

рисунок 25.3 типы pdu сообщений snmp.

сообщество (community) это строка символов, в которой содержится пароль в открытом виде. пароль используется при общении между менеджером и агентом. обычное значение - 6-символьная строка public.

в операторах get, get-next и set менеджер устанавливает идентификатор запроса (request id), который возвращается агентом в сообщении get-response. мы видели этот тип переменной в других udp приложениях. (вспомните поле идентификации (identification) dns на рисунке 14.3 и поле идентификатора транзакции (transaction id) на рисунке 16.2.) это позволяет клиенту (менеджеру в данном случае) сопоставить отклики от сервера (агент) с запросами, которые были отправлены клиентом. это поле также позволяет менеджеру выдать несколько запросов одному или нескольким агентам, а затем отсортировать полученные отклики.

статус ошибки (error status) это целое число, которое возвращается агентам и указывает на ошибку. на рисунке 25.4 показаны значения, имена и описания ошибок. 

рисунок 25.4 значения статуса ошибки snmp.

если возникла ошибка, индекс ошибки (error index) это целое смещение, указывающее на то, в какой переменной произошла ошибка. это значение устанавливается агентом только для ошибок nosuchname (нет такого имени), badvalue (неверное значение) и readonly (только для чтения).

список имен переменных и значений следует в get, get-next и set запросах. раздел значений игнорируется в операторах get и get-next.

для оператора trap (pdu type равен 4) формат snmp сообщения изменяется. мы опишем поля заголовка ловушки, когда будем описывать этот оператор в разделе "ловушки" этой главы.

snmp использует небольшое количество различных типов данных. в этой главе мы рассмотрим эти типы, однако не будем рассматривать то, как эти данные в действительности кодируются (для хранения данных используются битовые шаблоны).

• integer (целое число). некоторые переменные объявляются как целые без ограничений (например, mtu для интерфейса), некоторые определены с конкретными значениями (например, флаг ip о перенаправлении установлен в 1, если перенаправление включено, или в 2, если перенаправление выключено), а другие определены с их минимальными и максимальными значениями (например, номера портов tcp и udp находятся в диапазоне от 0 до 65535).
• octet string (восьмеричная строка). строка из 0 или нескольких 8-битных байт. каждый байт имеет значение от 0 до 255. в кодировании ber, используемом для этих типов данных и для следующего, счетчик количества байт в строке находится перед самой строкой. эти строки не заканчиваются нулевыми значениями.
• displaystring. строка из 0 или нескольких 8-битных байт, причем каждый байт должен быть символом из набора ascii nvt (глава 26, раздел "протокол telnet"). все переменные этого типа в mib-ii должны содержать не больше чем 255 символов. (строка нулевой длины допустима.)
• object identifier (идентификатор объекта). мы опишем их в следующем разделе.
• null (ноль). означает, что у соответствующей переменной нет значения. используется, например, в качестве всех значений для переменных в запросах get или get-next, пока эти переменные запрашиваются, а не устанавливаются.
• ipaddress (ip адрес). octet string (восьмеричная строка) длиной 4, с 1 байтом на каждый байт ip адреса.
• physaddress (физический адрес). octet string (восьмеричная строка), содержит физический адрес (например, 6-байтный ethernet адрес).
• counter (счетчик). неотрицательное целое число, значение которого увеличивается монотонно от 0 до значения 232-1 (4.294.967.295) и затем вновь возвращается в 0.
• gauge (критерий). неотрицательное целое число в диапазоне от 0 до 232-1, значение которого может увеличиваться или уменьшаться, однако изменения прекращаются по достижении максимального значения. это означает, что если значение достигнет величины 232-1, критерий будет оставаться в этом значении до тех пор, пока не будет сброшен. примером может служить переменная mib tcpcurrestab: это количество tcp соединений, находящихся в настоящий момент в состоянии established (установлено) или close_wait (ожидание закрытия).
• timeticks (тики времени). счетчик, который считает время в сотых долях секунды с какой-либо исходной точки. различные переменные могут указывать начало счета с различных исходных точек, исходная точка используемая для каждой переменной этого типа и указывается, когда переменная объявляется в mib. например, переменная sysuptime это количество сотых долей секунды, в течение которых агент был включен.
• sequence (последовательность). напоминает структуру в языке программирования с. например, мы рассмотрим, как в mib определяется последовательность (sequence), которая называется udpentry и которая содержит информацию об активности конечных точек udp агента. (под словом "активность" мы подразумеваем порты, которые используются в настоящее время приложением.) в этой структуре есть две записи:

• sequence of (последовательность чего). это определение вектора со всеми элементами, которые имеют тот же самый тип данных. если каждый элемент имеет простой тип данных, такой как целое, мы имеем простой вектор (одномерный массив). однако мы увидим, что snmp использует эти типы данных с каждым элементом вектора, который является последовательностью (sequence) (структура). поэтому мы можем считать их двумерными массивами или таблицей. например, таблица слушающих процессов (listener) udp называется udptable, и является последовательностью (sequence of) 2-элементной структуры (sequence) udpentry, которую мы только что описали. на рисунке 25.5 показан двумерный массив.

рисунок 25.5 таблица listener udp (udptable), которая представлена как двумерный массив snmp.

количество строк в этой таблице не определяется snmp, однако мы увидим, что менеджер, используя оператор get-next (раздел "простые примеры" этой главы), может определить, что получена последняя строка таблицы. также, в разделе "примеры идентификации" мы увидим, как менеджер указывает, какую строку таблицы он хочет получить или установить.

идентификатор объекта это тип данных, указывающий на полномочно названный объект. под словом "полномочно" мы подразумеваем, что эти идентификаторы не назначаются случайным образом, а назначаются некоторыми организациями, которые несут ответственность за группу идентификаторов.

идентификатор объекта это последовательность целых десятичных чисел, разделенных точками. эти целые числа представляют собой древовидную структуру, напоминающую dns (рисунок 14.1) или файловую систему unix. в вершине, откуда начинается дерево идентификаторов объектов, существует корень без названия.

на рисунке 25.6 показана структура дерева. все переменные в mib начинаются с идентификатора объекта 1.3.6.1.2.1.

у каждого узла в дереве также существует текстовое имя. имя, соответствующее идентификатору объекта 1.3.6.1.2.1, это iso.org.dod.internet.mgmt.mib. подобная форма записи имен используется для удобства чтения. имена переменных mib используемые при обмене пакетами между менеджером и агентом (рисунок 25.2), это цифровые идентификаторы объектов, начинающиеся с 1.3.6.1.2.1.

рисунок 25.6 идентификаторы объектов в информационной базе управления.

помимо идентификаторов объектов mib, приведенных на рисунке 25.6, мы также привели еще один iso.org.dod.internet.private.enterprises (1.3.5.1.4.1). в этом месте находится mib различных производителей. в assigned numbers rfc приведен список около 400 идентификаторов, зарегистрированных ниже этого узла.

информационная база управления (mib - management information base) это информационная база данных, которая обслуживается агентом, а менеджер может запросить информацию из этой базы или записать информацию в эту базу. мы рассмотрим то, что называется mib-ii и описано в rfc 1213 [mccloghrie and rose 1991].

как показано на рисунке 25.6, mib поделена на группы: system, interfaces, at (трансляция адресов), ip и так далее.

в этом разделе мы опишем только переменные, находящиеся в группе udp. это простая группа с небольшим количеством переменных и одной таблицей. в следующих разделах, на примере этой группы мы покажем, как осуществляется идентификация, построение лексикографического порядка и некоторые простые примеры этих характеристик. после чего, в разделе "информационная база управления (продолжение)", мы вернемся к mib и опишем некоторые другие группы в mib.

на рисунке 25.6 мы показали группу под названием udp, находящуюся ниже mib. на рисунке 25.7 показана структура группы udp.

рисунок 25.7 древовидная структура таблицы ip адресов.

как мы говорили ранее, группа udp содержит четыре переменные, и одну таблицу из двух переменных. на рисунке 25.8 приведены четыре переменные.

рисунок 25.8 переменные в группе udp.

на рисунке 25.9 описываются две переменные в udptable.

рисунок 25.9 переменные в udptable.

каждый раз, когда мы описываем переменные в snmp таблице, первая строка рисунка содержит значение "index", используемое для обращения к каждой строке таблицы. мы покажем некоторые примеры того, как это делается, в следующем разделе.

здесь приводится взаимосвязь между первыми тремя счетчиками, описанными на рисунке 25.8. диаграммы зависимостей [case and partridge 1989] иллюстрируют взаимосвязь между различными mib переменными в заданной группе. на рисунке 25.10 показана диаграмма зависимостей для udp группы.

рисунок 25.10 диаграмма зависимостей для группы udp.

эта диаграмма показывает, что количество udp датаграмм, доставленных приложению (udpindatagrams), можно получить как количество udp датаграмм, доставленных от ip к udp, минус udpinerrors, минус udpnoports. количество udp датаграмм, доставленных в ip (udpoutdatagrams), это количество, переданное в udp от приложения. можно сделать вывод, что udpindatagrams не включает в себя udpinerrors или udpnoports.

эти диаграммы были использованы в процессе разработки mib, для проверки того, что все пути данных для пакета были учтены. [rose 1994] показывает диаграммы зависимостей для всех групп в mib.

каждая переменная в mib должна быть идентифицирована, когда snmp обращается к ней, чтобы получить или установить ее значение. во-первых, обращение осуществляется только к листовым узлам (листовой узел в древовидной структуре - любой самый удаленный элемент от корня). snmp не работает с целыми рядами или колонками таблицы. возвращаясь к рисунку 25.7, мы видим, что листовыми узлами дерева, являются те четыре, что мы описали на рисунке 25.8, и два на рисунке 25.9. узлы mib, udp, udptable и udpentry не являются листовыми узлами.

на то, что эта переменная простая, указывает ".0", добавленный к идентификатору объекта переменной. например, к счетчику udpindatagrams показанному на рисунке 25.8, c идентификатором объекта 1.3.6.1.2.1.7.1, можно обратиться как 1.3.6.1.2.1.7.1.0. текстовое имя при подобном обращении будет iso.org.dod.internet.mgmt.mib.udp.udpindatagrams.0.

однако обращения к этой переменной обычно делаются в сокращенном виде, udpindatagrams.0, мы повторим, что name (имя) переменной, которое появляется в сообщении snmp (рисунок 25.2), это идентификатор объекта 1.3.6.1.2.1.7.1.0.

рассмотрим идентификацию пунктов таблицы более подробно. давайте вернемся к таблице слушающего процесса udp (рисунок 25.7).

для каждой таблицы в mib указан один или несколько индексов. для таблицы слушающего процесса udp, mib определяет индекс как комбинацию двух переменных udplocaladdress (локальный ip адрес) и udplocalport (локальный udp порт), индекс в данном случае - целое число. (мы показали этот индекс в верхней строке на рисунке 25.9.)

представьте себе, что в таблице слушающего процесса udp есть три строки: первая для ip адреса 0.0.0.0 и порта 67, вторая для 0.0.0.0 и порта 161 и третья для 0.0.0.0 и порта 520. на рисунке 25.11 показана эта таблица.

рисунок 25.11 простая таблица слушающего процесса udp.

из таблицы видно, что система готова принимать udp датаграммы с любого интерфейса для портов 67 (bootp сервер), 161 (snmp) и 520 (rip). к трем строкам в таблице можно обратиться, как показано на рисунке 25.12.

порядок в mib основан на расположении идентификаторов объектов. все записи в mib таблице расположены в лексикографическом порядке в соответствии с их идентификаторами объектов. это означает, что шесть переменных, приведенных на рисунке 25.12, расставлены в mib так, как это показано на рисунке 25.13. в результате можно декларировать два правила.

рисунок 25.12 пример идентификации строк в таблице слушающего процесса udp.

рисунок 25.13 лексикографический порядок таблицы слушающего процесса udp.

1. так переменная udplocaladdress всегда появляется перед появлением в этой же таблице следующей переменной (udplocalport), это означает, что доступ к таблице осуществляется в порядке колонка-строка. это является результатом лексикографического упорядочивания идентификаторов объектов, а не имен, предназначенных для чтения человеком.
2. порядок расположения строк в таблице зависит от значений индексов для таблицы. на рисунке 25.13, 67 лексикографически меньше чем 161, который, в свою очередь, лексикографически меньше чем 520.

на рисунке 25.14 показан порядок колонка-строка для нашего примера таблицы слушающего процесса udp.

рисунок 25.14 таблица слушающего процесса udp, показанная в порядке колонка-ряд.

мы еще увидим этот порядок колонка-строка, когда будем использовать оператор get-next в следующем разделе.

в этой главе мы покажем некоторые простые примеры того, как можно получить значения переменных от snmp агента. программное обеспечение, используемое для опроса агента, называется snmpi и взято из системы isode. оба кратко описаны в [rose 1994].

мы запрашиваем маршрутизатор на предмет двух простых переменных из udp группы:

sun % snmpi -a gateway -c secret

snmpi> get udpindatagrams.0 udpnoports.0
udpindatagrams.0=616168 udpindatagrams.0=616168
udpnoports.0=33

snmpi> quit

опция -a указывает на агента, с которым мы хотим пообщаться, а опция -c указывает snmp сообщество. это пароль, устанавливаемый клиентом (snmpi в данном случае), и если сервер (агент на системе gateway) распознает имя сообщества, он ответит на запрос менеджера. агент может позволить клиентам, принадлежащим к одному сообществу, только чтение своих переменных, а клиентам из другого сообщества чтение и запись.

программа выводит приглашение snmpi>, после чего мы можем, например, ввести команду get, которая будет преобразована в snmp сообщение get-request. затем мы вводим quit. (во всех следующих примерах последняя команда quit удалена.) на рисунке 25.15 показаны две строки вывода tcpdump для этого примера.

1  0.0                   sun.1024 > gateway.161: getrequest (42)
                        1.3.6.1.2.1.7.1.0 1.3.6.1.2.1.7.2.0

2  0.348875 (0.3489)    gateway.161 > sun.1024: getresponse (46)
                        1.3.6.1.2.1.7.1.0=616168
                        1.3.6.1.2.1.7.2.0=33

рисунок 25.15 вывод tcpdump для простого запроса snmp.

запрос о двух переменных посылается в одной udp датаграмме, отклик также прибывает в одной udp датаграмме.

мы показали переменные в виде соответствующих им идентификаторов объектов, потому что именно это было отправлено в snmp сообщениях. мы должны были указать эти две переменные как 0. обратите внимание на то, что в отклике всегда возвращается имя переменной (идентификатора объекта). ниже мы увидим, что это необходимо для работы оператора get-next.

функционирование оператора get-next основано на лексикографическом порядке mib. мы начнем следующий пример с запроса следующего идентификатора объекта после udp (не указывая объект, так как это не листовой объект). при этом будет возвращен первый объект группы udp. затем мы запросим следующую запись, будет возвращена вторая запись. и наконец, мы повторим это еще раз, чтобы получить третью запись:

этот пример показывает, почему оператор get-next должен возвращать имя переменной: мы спрашиваем агента о следующей переменной, и агент возвращает ее имя и значение.

при использовании оператора get-next менеджер осуществляет циклический опрос всех переменных, поддерживаемых агентом (цикл стартует с начала mib). другое использование этого оператора - просмотр таблиц.

мы можем убедиться в том, что таблица имеет организацию колонка-строка, воспользовавшись программой, которая отправляет запросы, для того чтобы пройти через таблицу слушающего процесса udp. мы начнем с того, что спросим следующую переменную после udptable. так как это не листовой объект, мы не можем указать объект, однако оператор get-next все равно возвращает следующий объект в таблице. затем мы продолжим движение по таблице, так как агент возвращает следующую переменную, в соответствии с порядком столбец-строка:

sun % snmpi -a gateway -c secret

snmpi> next udptable
udplocaladdress.0.0.0.0.67=0.0.0.0

snmpi> next udplocaladdress.0.0.0.0.67
udplocaladdress.0.0.0.0.161=0.0.0.0

snmpi> next udplocaladdress.0.0.0.0.161
udplocaladdress.0.0.0.0.520=0.0.0.0

snmpi> next udplocaladdress.0.0.0.0.520
udplocalport.0.0.0.0.67=67

snmpi> next udplocalport.0.0.0.0.67
udplocalport.0.0.0.0.161=161

snmpi> next udplocalport.0.0.0.0.161
udplocalport.0.0.0.0.520=520

snmpi> next udplocalport.0.0.0.0.520
snmpinpkts.0=59             здесь мы закончили просмотр таблицы слушающего процесса udp

мы видим, что порядок, возвращенный в данном примере, соответствует порядку, приведенному на рисунке 25.14.

как менеджер может определить, что он достиг конца таблицы? так как ответ на оператор get-next содержит имя следующего пункта в mib после таблицы, менеджер может сказать, когда имя изменилось. в нашем примере последний пункт в таблице слушающего процесса udp следует за переменной snmpinpkts.

а сейчас мы вернемся к описанию mib. опишем следующие группы: system (идентификация системы), if (интерфейсы), at (трансляция адресов), ip, icmp и tcp. также определены дополнительные группы.

группа system довольно проста; она состоит из семи простых переменных (таблиц в этой группе нет). на рисунке 25.16 приведены их имена, типы данных и описания.

рисунок 25.16 простые переменные группы system.

мы можем отправить запрос маршрутизатору netb, для того чтобы получить некоторые из этих переменных:

идентификатор объекта системы находится в группе internet.private.enterprises (1.3.6.1.4.1), в соответствии с рисунком 25.6. из assigned numbers rfc мы можем определить, что следующий идентификатор объекта (12) назначен производителю (epilogue).

также мы можем видеть, что переменная sysservices является суммой 4 и 8: этот элемент сети (netb) поддерживает ip уровень (маршрутизация) и транспортный уровень (точка-точка).

только одна простая переменная определена для этой группы: количество интерфейсов в системе. рисунок 25.17.

рисунок 25.17 простая переменная в группе if.

в этой группе также определена таблица, состоящая из 22 строк. каждая строка в таблице определяет характеристики каждого интерфейса, как показано на рисунке 25.18.

рисунок 25.18 переменные в таблице интерфейсов: iftable.

мы можем запросить хост sun на предмет некоторых из этих переменных для всех его интерфейсов. мы ожидаем увидеть три интерфейса (см. главу 3, раздел "команда ifconfig"), если активизирован slip интерфейс:

sun % snmpi -a sun

snmpi> next iftable           во-первых, мы видим, чему равен индекс первого интерфейса
ifindex.1=1

snmpi> get ifdescr.1 iftype.1 ifmtu.1 ifspeed.1 ifphysaddress.1
ifdescr.1="le0"
iftype.1=ethernet-csmacd (6)
ifmtu.1=1500
ifspeed.1=10000000
ifphysaddress.1=0x08:00:20:03:f6:42

snmpi> next ifdescr.1 iftype.1 ifmtu.1 ifspeed.1 ifphysaddress.1
ifdescr.2="sl0"
iftype.2=proppointtopointserial (22)
ifmtu.2=552
ifspeed.2=0
ifphysaddress.2=0x00:00:00:00:00:00

snmpi> next ifdescr.2 iftype.2 ifmtu.2 ifspeed.2 ifphysaddress.2
ifdescr.3="lo0"
iftype.3=softwareloopback (24)
ifmtu.3=1536
ifspeed.3=0
ifphysaddress.3=0x00:00:00:00:00:00

во-первых, мы получили пять переменных для первого интерфейса, используя оператор get, а затем получили те же пять переменных для второго интерфейса, используя оператор get-next. последняя команда получает эти же пять переменных для третьего интерфейса и опять с использованием команды get-next.

тип интерфейса для slip канала сообщается как последовательное соединение точка-точка, а не slip. также, не сообщается скорость slip канала.

очень важно понять взаимосвязь между оператором get-next и порядком расположения информации в таблице, а именно колонка-строка. когда мы задаем next ifdescr.1, возвращается следующая строка таблицы для этой переменной, а не следующую переменную в этой же строке. однако если бы таблицы хранились в порядке строка-колонка, мы могли подобным образом перейти к следующему появлению заданной переменной.

группа трансляции адресов поддерживается во всех системах, однако ее ценность значительно уменьшилась, после того как стала использоваться mib-ii. с использованием mib-ii, каждая группа сетевых протоколов (например, ip) содержит свою собственную таблицу трансляции адресов. для ip это ipnettomediatable.

в группе at определена только одна таблица из трех строк, как показано на рисунке 25.19.

мы можем использовать новую команду, существующую в программе snmpi, чтобы получить содержимое таблицы в целом. мы запросим маршрутизатор с именем kinetics (который предоставляет маршруты между tcp/ip сетью и сетью appletalk), выдать полный arp кэш. этот вывод будет находиться в лексикографическом порядке в виде пунктов, находящихся в таблице:

рисунок 25.19 таблица трансляции адресов: attable.

sun % snmpi -a kinetics -c secret dump at

atifindex.1.1.140.252.1.4=1
atifindex.1.1.140.252.1.22=1
atifindex.1.1.140.252.1.183=1
atifindex.2.1.140.252.6.4=2
atifindex.2.1.140.252.6.6=2

atphysaddress.1.1.140.252.1.4=0xaa:00:04:00:f4:14
atphysaddress.1.1.140.252.1.22=0x08:00:20:0f:2d:38
atphysaddress.1.1.140.252.1.183=0x00:80:ad:03:6a:80
atphysaddress.2.1.140.252.6.4=0x00:02:16:48
atphysaddress.2.1.140.252.6.6=0x00:02:3c:48

atnetaddress.1.1.140.252.1.4=140.252.1.4
atnetaddress.1.1.140.252.1.22=140.252.1.22
atnetaddress.1.1.140.252.1.183=140.252.1.183
atnetaddress.2.1.140.252.6.4=140.252.6.4
atnetaddress.2.1.140.252.6.6=140.252.6.6

с использованием tcpdump можно увидеть следующее. для того чтобы получить полную таблицу, snmpi, во-первых, выдает get-next для имени таблицы (at в данном примере), чтобы получить первый пункт. затем печатает первый пункт и выдает get-next. это продолжается до тех пор, пока не будет получена вся таблица целиком.

на рисунке 25.20 показана подобная таблица.

рисунок 25.20 пример таблицы at (arp кэш).

физические адреса appletalk с номером интерфейса - 2 имеют 32-битные значения, а не 48-битные, как у привычных ethernet адресов. также обратите внимание на то, что существуют запись для нашего маршрутизатора (netb находится по адресу 140.252.1.183), так как kinetics и netb находятся на одном и том же ethernet кабеле (140.252.1), и kinetics должен использовать arp, чтобы послать нам snmp отклик.

группа ip определяет большое количество переменных и три таблицы. на рисунке 25.21 приведены простые переменные.

рисунок 25.21 простые переменные группы ip.

первая таблица в группе ip это таблица ip адресов. она содержит по одной строке для каждого ip адреса в системе. каждая строка содержит пять переменных, описанных на рисунке 25.22.

рисунок 25.22 таблица ip адресов: ipaddrtable.

мы можем запросить хост sun, чтобы получить таблицу ip адресов:

sun % snmpi -a sun dump ipaddrtable

ipadentaddr.127.0.0.1=127.0.0.1
ipadentaddr.140.252.1.29=140.252.1.29
ipadentaddr.140.252.13.33=140.252.13.33

ipadentifindex.127.0.0.1=3          loopback интерфейс, lo0
ipadentifindex.140.252.1.29=2       slip интерфейс, sl0
ipadentifindex.140.252.13.33=1      ethernet интерфейс, le0

ipadentnetmask.127.0.0.1=255.0.0.0
ipadentnetmask.140.252.1.29=255.255.255.0
ipadentnetmask.140.252.13.33=255.255.255.224

ipadentbcastaddr.127.0.0.1=1        все три используют единичный бит
ipadentbcastaddr.140.252.1.29=1     для широковещательного адреса
ipadentbcastaddr.140.252.13.33=1

ipadentreasmmaxsize.127.0.0.1=65535
ipadentreasmmaxsize.140.252.1.29=65535
ipadentreasmmaxsize.140.252.13.33=65535

номера интерфейсов можно сравнить с выводом, полученным на рисунке 25.18, а ip адреса и маски подсетей можно сравнить со значениями, полученными в выводе команды ifconfig в разделе "команда ifconfig" главы 3.

следующая таблица, приведенная на рисунке 25.23, это таблица ip маршрутизации. (обратитесь к описанию таблиц маршрутизации, приведенному в разделе "принципы маршрутизации" главы 9.) в качестве индекса для получения доступа к каждой строке таблицы, используется ip адрес назначения.

на рисунке 25.24 приведена таблица маршрутизации для хоста sun, полученная с помощью команды dump iproutetable программы snmpi. мы удалили все пять показателей маршрутизации, так как все они равны -1, а в заголовках колонок удалили префикс iproute для каждого имени переменной.

рисунок 25.23 таблица ip маршрутизации: iproutetable. 

рисунок 25.24 таблица ip маршрутизации маршрутизатора sun.

для сравнения здесь приводится таблица маршрутизации ip в формате вывода команды netstat (см. главу 9, раздел "принципы маршрутизации"). на рисунке 25.24 таблица маршрутизации приводится в лексикографическом порядке:

sun % netstat -rn
routing tables
destination     gateway          flags   refcnt   use     interface
140.252.13.65   140.252.13.35   ugh     0         115    le0
127.0.0.1       127.0.0.1        uh      1         1107   lo0
140.252.1.183   140.252.1.29    uh       0        86      sl0
default         140.252.1.183   ug       2        1628    sl0
140.252.13.32   140.252.13.33   u        8        68359   le0

и последняя таблица для группы ip это таблица трансляции адресов, приведенная на рисунке 25.25. как мы говорили раньше, группа at в настоящее время практически не используется (как устаревшая), и эта таблица заменяет ее.

рисунок 25.25 таблица трансляции ip адресов: ipnettomediatable.

здесь мы приводим arp кэш системы sun:

и соответствующий snmp вывод:

группа icmp состоит из четырех общих счетчиков (общее количество входящих и исходящих icmp сообщений и количество входящих и исходящих icmp сообщений с ошибками) и 22-х счетчиков для различных типов icmp сообщений: 11 счетчиков на входящие сообщения и 11 счетчиков на исходящие сообщения. это показано на рисунке 25.26.

для icmp сообщений с дополнительными кодами (обратитесь к рисунку 6.3, на котором приведены 15 различных кодов для сообщения о недостижимости пункта назначения) отдельный счетчик для каждого snmp кода не поддерживается.

на рисунке 25.27 описаны простые переменные группы tcp. многие из них соответствуют состояниям tcp, которые показаны на рисунке 18.12.

рисунок 25.26 простые переменные группы icmp.

мы можем запросить некоторые из этих переменных для системы sun:

система sunos 4.1.3 использует алгоритм тайм-аута и повторной передачи, разработанный van jacobson, при этом используемые тайм-ауты находятся в диапазоне от 200 миллисекунд до 12,8 секунд, и не существует фиксированного предела для количества tcp соединений. (верхняя граница диапазона, составляющая 12,8 секунды, неверна, так как большинство реализаций используют верхний предел в 64 секунды, как мы видели в главе 21.)

группа tcp имеет одну таблицу, таблицу tcp соединений, показанную на рисунке 25.28. она содержит по одной строке для каждого соединения. каждая строка содержит пять переменных: состояние соединения, локальный ip адрес, локальный номер порта, удаленный ip адрес и удаленный номер порта.

рисунок 25.27 простые переменные в группе tcp.

рисунок 25.28 таблица tcp соединений: tcpconntable.

давайте посмотрим эту таблицу на системе sun. мы показали только часть таблицы, так как очень много серверов (в данном случае слушающие процессы) слушает запросы на соединения. перед тем как получить таблицу, было установлено два tcp соединения:

и

единственный слушающий сервер, как мы показали, это ftp сервер на порте 21:

для команды rlogin на хост gemini присутствует только один пункт, так как gemini это удаленный хост. мы видим только клиентскую часть соединения (локальный порт 1023), однако показаны оба конца telnet соединения (порт клиента 1415 и порт сервера 23), так как соединение проходит через loopback интерфейс. также мы можем видеть, что слушающий ftp сервер имеет локальный ip адрес 0.0.0.0, что указывает на то, что он примет соединение с любого интерфейса.

сейчас мы вернемся к некоторым проблемам, которые были рассмотрены раньше в этой книге, и попробуем использовать snmp, для того чтобы понять, что все-таки произошло.

вернемся к нашему эксперименту, описанному в разделе "icmp ошибки о недоступности" главы 11, в котором мы пытались определить mtu slip канала от netb к sun. сейчас мы можем использовать snmp, чтобы получить этот mtu. во-первых, мы получим номер интерфейса (iprouteifindex) для slip канала (140.252.1.29) из таблицы ip маршрутизации. для этого, мы попадаем в таблицу интерфейсов и получаем mtu (вместе с описанием и типом) канала slip:

мы видим, что даже для канала, который является slip, mtu установлено в ethernet значение равное 1500, возможно для того, чтобы избежать фрагментации.

давайте обратимся к нашему обсуждению сортировки адресов, которая осуществляется dns, приведенному в разделе "простой пример" главы 14. мы показали, как первый ip адрес, возвращенный dns сервером, был одним из тех, что принадлежат к той же подсети, что и клиент. также мы упомянули, что использование другого ip адреса, вполне возможно, будет работать, однако в этом случае все будет менее эффективно. давайте посмотрим, что произойдет при использовании альтернативного ip адреса. мы будем использовать snmp, чтобы посмотреть пункты в таблице маршрутизации, и попробуем объединить вместе несколько концепций, о которых мы рассказывали в предыдущих главах и которые имели отношение к ip маршрутизации.

хост gemini имеет несколько интерфейсов, два из которых ethernet интерфейсы. во-первых, убедимся, что можем получить соединение telnet на оба адреса:

мы видим, что нет никакой разницы в соединениях между двумя адресами. сейчас воспользуемся traceroute, чтобы посмотреть, используются ли различные маршруты к каждому адресу:

sun % traceroute 140.252.1.11
traceroute to 140.252.1.11 (140.252.1.11), 30 hops max, 40 byte packets
   1 netb (140.252.1.183) 299 ms 234 ms 233 ms
   2 gemini (140.252.1.11) 233 ms 228 ms 234 ms

sun % traceroute 140.252.3.54
traceroute to 140.252.3.54 (140.252.3.54), 30 hops max, 40 byte packets
   1 netb (140.252.1.183) 245 ms 212 ms 234 ms
   2 swnrt (140.252.1.6) 233 ms 229 ms 234 ms
   3 gemini (140.252.3.54) 234 ms 233 ms 234 ms

мы видим, что при использовании адреса подсети 140.252.3 появляется дополнительная пересылка (маршрутизатор swnrt - это r3 на рисунке 3.6). давайте посмотрим, почему осуществляется эта дополнительная пересылка.

на рисунке 25.29 показаны настройки систем. на основе вывода команды traceroute мы можем сказать, что хост gemini и маршрутизатор swnrt оба подсоединены к двум сетям: 140.252.1 и 140.252.3.

рисунок 25.29 топология систем, которые используются в примере.

обратитесь к рисунку 4.6, где мы объясняли, как маршрутизатор netb использует уполномоченного агента arp, для того чтобы создалось впечатление, как будто sun непосредственно подключен к ethernet 140.252.1. в наших рассуждениях мы не принимаем во внимание модемы, которые включены в slip канал между sun и netb, так как это не влияет на наши рассуждения.

на рисунке 25.29 мы показали путь telnet данных с использованием пунктирных стрелок, в том случае, когда был указан адрес 140.252.3.54. как мы можем узнать, что возвращающиеся пакеты проходят непосредственно от gemini к netb, а не возвращаются тем же самым путем, по которому они пришли? воспользуемся версией команды traceroute со свободной маршрутизацией от источника, которая описана в разделе "опция ip маршрутизации от источника" главы 8:

sun % traceroute -g 140.252.3.54 sun
traceroute to sun (140.252.13.33), 30 hops max, 40 byte packets
   1 netb (140.252.1.183) 244 ms 256 ms 234 ms
   2 * * *
   3 gemini (140.252.3.54) 285 ms 227 ms 234 ms
   4 netb (140.252.1.183) 263 ms 259 ms 294 ms
   5 sun (140.252.13.33) 534 ms 498 ms 504 ms

когда используется свободная маршрутизация от источника, маршрутизатор swnrt никогда не отвечает. если посмотреть на ранний вывод команды traceroute, без маршрутизации от источника, мы увидим, что swnrt является второй пересылкой. причиной этого может являться то, что маршрутизатор не генерирует icmp ошибки об истечении времени, когда в датаграмме установлена свободная маршрутизация от источника. мы видим из этого вывода команды traceroute, что путь возврата от gemini (ttl 3, 4 и 5) проходит непосредственно к netb, а не проходит через маршрутизатор swnrt.

вопрос, на который нам должен помочь ответить snmp, заключается в том, что делает пункт таблицы маршрутизации в netb таким, что сеть назначения установлена в 140.252.3? все дело в том, что netb отправляет пакеты к swnrt, а не непосредственно к gemini. мы используем команду get, чтобы получить значение маршрутизатора следующей пересылки для этого пункта назначения:

пункт таблицы маршрутизации говорит netb послать пакеты на swnrt, что, как мы видим, и происходит.

почему gemini отправляет пакеты назад непосредственно через netb? потому что адрес назначения для пакетов, возвращающихся от gemini, установлен в 140.252.1.29, а сеть 140.252.1 подключена непосредственно.

то, что мы видим в этом примере, является результатом политических решений о маршрутизации. маршрут по умолчанию к сети 140.252.3 проходит через маршрутизатор swnrt, потому что gemini является просто хостом с несколькими интерфейсами, но не выполняет функции маршрутизатора. это как раз пример хоста с несколькими интерфейсами, который не хочет быть маршрутизатором.

все примеры, которые мы рассмотрели в этой главе, иллюстрируют передачу информации от менеджера к агенту. однако у агента существует способ сообщить менеджеру о возникновении какого-либо события, о котором менеджер должен знать (см. рисунок 25.1). в этом случае агент посылает менеджеру ловушки (trap). ловушки отправляются на udp порт 162 менеджера.

на рисунке 25.2 мы показали формат ловушки pdu. мы просмотрим все поля в этом сообщении, когда ниже будем рассматривать вывод команды tcpdump.

определены шесть ловушек, седьмая используется производителем, чтобы установить собственную ловушку. на рисунке 25.30 описываются значения типа ловушки (trap type) в сообщении ловушки (рисунок 25.2).

рисунок 25.30 типы ловушек.

мы можем увидеть некоторые ловушки с помощью tcpdump. стартуем snmp агента на системе sun и посмотрим, как он генерирует ловушку coldstart. (агент знает о необходимости посылать ловушки на хост bsdi. однако на bsdi не стартован менеджер для обработки ловушек, вместо него запущен tcpdump, что позволяет увидеть генерируемые пакеты. обратитесь к рисунку 25.1, откуда видно, что ловушки посылаются от агента к менеджеру, однако менеджер не посылает подтверждений, поэтому нет необходимости, чтобы менеджер обрабатывал ловушки.) затем, с использованием программы snmpi, мы посылаем запрос, в котором указано неверное имя сообщества. в ответ на это должна быть сгенерирована ловушка authenticationfailure. на рисунке 25.31 показан вывод.

1  0.0                  sun.snmp > bsdi.snmp-trap: c=traps trap(28)
                       e:unix.1.2.5 [140.252.13.33] coldstart 20

2  18.86 (18.86)       sun.snmp > bsdi.snmp-trap: c=traps trap(29)
                       e:unix.1.2.5 [140.252.13.33] authenticationfailure 1907

рисунок 25.31 вывод команды tcpdump, соответствующий генерации ловушек snmp агентом.

во-первых, необходимо обратить внимание на то, что обе udp датаграммы, отправленные от snmp агента (порт 161, печатается как имя snmp), имеют порт назначения 162 (печатается как имя snmp-trap).

выражение c=traps это имя сообщества в сообщении ловушки. это опция конфигурации, которая используется агентом в случае isode snmp.

следующее выражение, trap(28) в строке 1 и trap(29) в строке 2, это тип pdu (pdu type) и длина.

следующее поле вывода для обеих строк - e:unix.1.2.5. это enterprise: идентификатор системы объекта (sysobjectid). он находится под узлом 1.3.6.1.4.1 в дереве, приведенном на рисунке 25.6 (iso.org.dod.internet.private.enterprises), таким образом, идентификатор объекта агента равен 1.3.6.1.4.1.4.1.2.5. его сокращенное имя unix.agents.fourbsd-isode.5. последняя цифра (5) это номер версии релиза агента isode. это значение указывает на то, какое программное обеспечение агента сгенерировало ловушку.

следующее поле вывода команды tcpdump это ip адрес агента (140.252.13.33).

тип ловушки печатается как coldstart в строке 1 и как authenticationfailure в строке 2. они соответствуют значениям типа ловушки равным 0 и 4 соответственно (рисунок 25.30). так как эти ловушки не являются специализированными (enterprise), специфичный код (specific code) должен быть равен 0 и поэтому не печатается.

далее следует поле временной марки (timestamp), которое печатается как 20 и 1907. это значение timeticks, соответствующее количеству сотых долей секунд с момента инициализации агента. в случае ловушки холодного старта, она генерируется через 200 миллисекунд после того, как агент инициализирован. вывод tcpdump указывает на то, что вторая ловушка появилась через 18,86 секунды после первой, чему соответствует напечатанное значение 1907 сотых долей секунд минус 200 миллисекунд.

из рисунка 25.2 видно, что сообщение ловушки может содержать переменные, которые агенты хотят отправить менеджеру, однако в наших примерах они не присутствуют.

формальная спецификация snmp использует абстрактную форму записи (asn.1 - abstract syntax notation 1), и кодирование бит в snmp сообщениях (рисунок 25.2) на основе основных правил кодирования (ber - basic encoding rules). в отличие от большинства публикаций, описывающих snmp, мы специально оставили обсуждение asn.1 и ber на самый конец. если рассказать о них в самом начале, читатель может неправильно понять реальное назначение snmp - управление сетью. в этом разделе мы дадим только краткий обзор этих двух тем. глава 8 [rose 1990] описывает asn.1 и ber более подробно.

asn.1 это формальный язык, который описывает данные и характеристики данных. он не определяет то, как эти данные хранятся или кодируются. все поля в mib и snmp сообщениях описываются с использованием asn.1. например, asn.1 определение типа данных ipaddress из smi выглядит следующим образом:

ipaddress ::=
     [application 0] -- in network-byte order
          implicit octet string (size(4))

точно так же, в mib мы находим следующее определение простых переменных:

udpnoports object-type
                   syntax counter
                   access read-only
                   status mandatory
                   description
                         "the total number of received udp datagrams for which there
                          was no application at the destination port."
                   ::= { udp 2 }

определение таблиц, использующих sequence и sequence of, более сложное.

с использованием подобных asn.1 определений существует множество способов закодировать данные в поток битов при передаче. snmp использует ber. для представления маленьких целых чисел, таких как 64, с использованием ber требуется 3 байта. один байт содержит значение целого, следующий байт говорит, сколько байтов используется, чтобы хранить целое (1), и последний байт содержит двоичное значение.

к счастью, подробности asn.1 и ber важны только для разработчиков snmp. они не обязательны для понимания того, как осуществляется управление сетью.

в течение 1993 года было опубликовано 11 rfc, которые определяли новые стандарты snmp. первый из них, rfc 1441 [case et al. 1993], является введением в snmp версии 2 (snmpv2). две книги также описывают snmpv2 [stallings 1993; rose 1994]. в настоящее время существуют две доступные реализации (см. приложение в.3 публикации [rose 1994]), однако коммерческие реализации, возможно, не будут широко доступны до 1994 года.

в этом разделе мы опишем основные отличия snmpv1 от snmpv2.

новый тип пакетов get-bulk-request позволяет менеджеру эффективно обрабатывать большие блоки данных. еще один новый тип пакетов inform-request позволяет одному менеджеру посылать информацию другому менеджеру. определены два новых mib: mib snmpv2 и mib snmpv2-m2m (менеджер-менеджер). snmpv2 предоставляет улучшенную секретность по сравнению с snmpv1. в snmpv1 имя сообщества передается от менеджера к агенту в виде открытого пароля. snmpv2 предоставляет аутентификацию и расширенную секретность.

все производители начинают реализовывать агентов, совместимых с snmpv2, а также появляются управляющие станции, которые могут использовать оба стандарта. [routhier 1993] описывает расширения и улучшения snmpv1, которые призваны обеспечить совместимость и поддержку snmpv2.

snmp это простой протокол, основанный на запросах и откликах, предназначенный для обмена между snmp менеджером и snmp агентом. информационная база данных управления (mib) определяет переменные, которые обслуживаются агентом, которые, в свою очередь, менеджер может либо запросить, либо установить. для определения переменных используется ограниченное количество типов данных.

все переменные идентифицируются идентификаторами объекта, используется иерархическая схема присвоения имен, которая состоит из длинных строк чисел, которые обычно сокращаются в простые имена, для простоты чтения. конкретные переменные строятся с помощью добавления переменной к идентификатору объекта.

большинство snmp переменных содержится в таблицах, с фиксированными номерами колонок, однако с переменными номерами строк. фундаментальным для snmp является схема идентификации, используемая для того, чтобы идентифицировать каждую строку в таблице (в том случае, когда мы не знаем, сколько строк содержится в таблице), и лексикографический порядок (порядок колонка-строка). snmp оператор get-next является основным для любого snmp менеджера.

мы описали следующие группы snmp переменных: система, интерфейс, трансляция адресов, ip, icmp, tcp и udp. затем показали два примера, один из которых позволил определить mtu интерфейса, а другой - просмотреть таблицу маршрутизации маршрутизатора.

мы завершили главу рассмотрением snmp ловушек. это способ, предоставляющий агенту возможность уведомить менеджера о том, что произошло какое-либо событие, которое будет интересно менеджеру. здесь же кратко описаны asn.1 и ber. две последние темы, скорее всего, являются наиболее сложными аспектами snmp, однако они необходимы только для разработчиков.

упражнения

1. мы сказали, что использование двух различных портов (161 и 162) позволяет системе запускать как менеджера, так и агента. что произойдет, если будет использоваться один и тот же порт?
2. как вы можете получить полный список таблицы маршрутизации с использованием get-next?