Tutorial y descripción técnica de TCP/IP

Tabla de contenidos El sistema de autentificación y autorización Kerberos

4.14 Gestión de red

Figura: Gestión de red

Con el crecimiento en tamaño y complejidad de las redes basadas en TCP/IP, la necesidad de mecanismos de gestión de red se ha vuelto muy importante. En la actualidad, los protocolos que forman el soporte de la gestión de red son:

SMI (RFC 1155) - describe cómo se definen los objetos gestionados contenidos en el MIB (se verá en SMI("Structure and Identification of Management Information").)
MIB-II (RFC 1213) - describe los objetos gestionados contenidos en el MIB(se verá en MIB("Management Information Base").)
SNMP (RFC 1098) - define el protocolo usado para gestionar estos objetos(se verá en SNMP("Simple Network Management Protocol").)

El IAB("Internet Architecture Board") emitió un RFC al respecto, en el que adoptaba dos actitudes diferentes:

A corto plazo, se recomienda el uso de SNMP.

El IAB recomienda que todas las implementaciones de IP y TCP sean gestionables. Actualmente, esto implica la implementación de MIB-II (RFC 1213), y de al menos el protocolo recomendado de gestión SNMP (RFC 1157).

Notar que los protocolos históricos SGMP (Simple Gateway Monitoring Protocol, RFC 1028) y MIB-I (RFC-1156) no están recomendados.

A largo plazo, se debería investigar el uso del incipiente protocolo de gestión de red de OSI(CMIP). Es lo que se conoce como CMIP sobre TCP/IP (CMOT).(Se discutirá en CMOT ("Common Management Information Protocol over TCP/IP")).)

Tanto SNMP y CMOT utilizan los mismos conceptos básicos en la descripción y definición la información de gestión denominada SMI("Structure and Identification of Management Information") descrita en el RFC 1155 y MIB("Management Information Base"), descrita en el RFC 1156.

4.14.1 Estándares

SNMP (Simple Network Management Protocol) es un protocolo estándar de Internet. Su status es recomendado. Su especificación actual se encuentra en el RFC 1157 - SNMP("Simple Network Management Protocol").

MIB-II es un protocolo estándar de Internet. Su status es recomendado. Su especificación actual se encuentra en el RFC 1213 - MIB-II:Management Information Base for Network Management of TCP/IP-based Internets.

CMIP (Common Management Information Protocol) y CMIS (Common Management Information Services) se definen según los estándares ISO/IEC 9595 y 9596.

CMOT (CMIS/CMIP Over TCP/IP) es un protocolo propuesto como estándar de Internet. Su status es electivo. Su especificación actual se encuentra en el RFC 1189 - CMOT y CMIP("Common Management Information Services and Protocols for the Internet").

OIM-MIB-II es un protocolo propuesto como estándar de Internet. Su status es electivo. Su especificación actual se encuentra en el RFC 1214 - Gestión OSI Internet Management: MIB("Management Information Base").

Otros RFCs emitidos por el IAB sobre este tema son:

RFC 1052 - Recomendaciones del IAB para el desarrollo de estándares de gestión de red.
RFC 1085 - Servicios ISO de presentación sobre redes basadas en TCP/IP.
RFC 1155 - SMI("Structure and Identification of Management Information") para redes basadas en TCP/IP.
RFC 1156 - MIB("Management Information Base") para la gestión de redes basadas en TCP/IP.
RFC 1215 - Convenios de definición para SNMP.
RFC 1227 - Protocolo SNMP MUX y MIB.
RFC 1228 - SNMP-DPI("Simple Network Management Protocol Distributed Programming Interface".
RFC 1230 - IEEE 802.4 Token Bus MIB.
RFC 1231 - IEEE 802.5 Token-Ring MIB.
RFC 1239 - Reasignación de MIBs experimentales a MIBs estándares.
RFC 1351 - Modelo administrativo de SNMP.
RFC 1352 - Protocolos de seguridad SNMP.

4.14.2 SMI("Structure and Identification of Management Information")

El SMI define las reglas para describir los objetos gestionados y cómo los protocolos sometidos a la gestión pueden acceder a ellos. La descripción de los objetos gestionados se hace utilizando un subconjunto de ASN.1("Abstract Syntax Notation 1, estándar ISO 8824), un lenguaje de descripción de datos. La definición del tipo de objeto consta de cinco campos:

Objeto: nombre textual, llamado descriptor del objeto, para el tipo del objeto, junto con su correspondiente identificador de objeto, definido abajo.
Sintaxis: la sintaxis abstracta para el tipo el objeto. Las opciones son SimpleSyntax (entero, octeto de caracteres, identificador de objeto, Null), ApplicationSyntax (dirección de red, contador, escala, ticks, opaco) u otro tipo de sintaxis de aplicación(ver el RFC 1155 para más detalles).
Definición: descripción textual de la semántica del tipo.
Acceso: sólo lectura, sólo escritura, lectura - escritura o inaccesible.
Status: obligatorio, opcional u obsoleto.

Como ejemplo, podemos tener:

Este ejemplo muestra la definición de un objeto contenido en el MIB. Su nombre es sysDescr y pertenece al grupo sistema(ver MIB("Management Information Base")).

Un objeto gestionado no sólo ha de ser descrito, también debe ser identificado. Esto se hace utilizando el identificado de objeto("Object Identifier") ASN.1 como si fuera un número de teléfono, reservando grupos de números para distintas localizaciones. En el caso de la gestión de red para TCP/IP, el número reservado fue 1.3.6.1.2 y SMI lo usa como base para la definición de nuevos objetos.

Este número se obtiene al unir a grupos de números con el siguiente significado:

El primer grupo define el nodo administrador:

(1) para ISO
(2) para CCITT
(3) para la unión ISO-CCITT.

El segundo grupo para el nodo administrador ISO define (3) para su uso por parte de otras organizaciones.
El tercer grupo define (6) para su uso por parte del DoS("U.S. Department of Defense").
En el cuarto grupo, el DoD no ha indicado cómo ha de gestionarse se grupo correspondiente por lo que la comunidad de Internet ha asumido (1).
El quinto grupo fue aprobado por el IAB para ser:

(1) para el uso del directorio OSI en Internet
(2) para la identificación de objetos con propósitos de gestión
(3) para la identificación de objetos con fines experimentales
(4) para la identificación de objetos para uso privado

En el ejemplo, {system 1} significa que el identificador del objeto es 1.3.6.1.2.1.1.1. Es el primer objeto en el primer grupo(sistema) en el MIB.

4.14.3 MIB("Management Information Base")

4.14.3.1 Descripción

El MIB define los objetos que pueden ser gestionados para cada capa en el protocolo TCP/IP. Hay dos versiones, MIB-I and MIB-II. MIB-I fue definida en el RFC 1156, y está clasificado ahora como protocolo histórico con status no recomendado.

Figura: MIB - II("Management Information Base II") - Definición de grupo.

Cada nodo gestionado soporta sólo los grupos apropiados. Por ejemplo, si no hay pasarela, el grupo EGP no tiene por qué estar incluido. Pero si un grupo es apropiado, todos los objetos en ese grupo deben estar soportados.

La lista de objetos gestionados definidos deriva de aquellos elementos considerados esenciales. Este enfoque, consistente en tomar sólo los objetos esenciales no es restrictivo, ya que el SMI proporciona mecanismos de extensibilidad tales como la definición de una nueva versión de MIB o de objetos privados o no estandarizados.

Debajo hay algunos ejemplos de objetos de cada grupo. La lista completa está definida en el RFC 1213.

Grupo de sistema

sysDescr - Descripción completa del sistema(version, HW, OS)
sysObjectID - Identificación que da el distribuidor al objeto
sysUpTime - Tiempo desde la última reinicialización
sysContact - Nombre de la persona que hace de contacto
sysServices - Servicios que ofrece el dispositivo

Grupo de interfaces

ifIndex - Número de interfaz
ifDescr - Descripción de la interfaz
ifType - Tipo de la interfaz
ifMtu - Tamaño máximo del datagrama IP
ifAdminisStatus - Status de la interfaz
ifLastChange - Tiempo que lleva la interfaz en el estado actual
ifINErrors - Número de paquetes recibidos que contenían errores
ifOutDiscards - Número de paquetes enviados y desechados

Grupo de traducción de direcciones

atTable - Tabla de traducción de direcciones
atEntry - Cada entrada que contiene una correspondencia de dirección de red a dirección física
atPhysAddress - La dirección física dependiente del medio
atNetAddress - La dirección de red correspondiente a la dirección física

Grupo IP

ipForwarding - Indicación de si la entidad es una pasarela IP
ipInHdrErrors - Número de datagramas de entrada desechados debido a errores en sus cabeceras IP
ipInAddrErrors - Número de datagramas de entrada desechados debido a errores en sus direcciones IP
ipInUnknownProtos - Número de datagramas de entrada desechados debido a protocolos desconocidos o no soportados
ipReasmOKs - Número de datagramas IP reensamblados con éxito
ipRouteMask - Máscara de subred para el encaminamiento

Grupo ICMP

icmpInMsgs - Número de mensajes ICMP recibidos
icmpInDestUnreachs - Número de mensajes ICMP "destino inalcanzable"(destination unreachable) recibidos
icmpInTimeExcds - Número de mensajes ICMP "time exceeded"(tiempo excedido) recibidos
icmpInSrcQuenchs - Número de mensajes ICMP "source quench(desbordamiento del emisor) recibidos
icmpOutErrors - Número de mensajes ICMP no enviados debido a problemas en ICMP

Grupo TCP

tcpRtoAlgorithm - Algoritmo que determina el timeout para retransmitir octetos para los que no se ha recibido reconocimiento
tcpMaxConn - Límite en el número de conexiones TCP que puede soportar la entidad
tcpActiveOpens - Número de veces que las conexiones TCP han efectuado una transición directa del estado SYN-SENT al estado CLOSED
tcpInSegs - Número de segmentos recibidos, incluyendo aquellos con error
tcpConnRemAddress - La dirección IP remota para esta conexión TCP
tcpInErrs - Número de segmentos desechados debido a errores de formato
tcpOutRsts - Número de resets generados

Grupo UDP

udpInDatagrams - Número de datagramas UDP entregados a usuarios UDP
udpNoPorts - Número de datagramas UDP recibidos para los que no existía aplicación en el puerto de destino
udpInErrors - Número de datagramas UDP recibidos que no se pudieron entregar por razones otras que la ausencia de la aplicación en el puerto de destino
udpOutDatagrams - Número de datagramas UDP enviados por la entidad

Grupo EGP

egpInMsgs - Número de mensajes EGP recibidos sin error
egpInErrors - Número de mensajes EGP con error
egpOutMsgs - Número de mensajes EGP generados localmente
egpNeighAddr - La dirección IP del vecino de esta entrada EGP
egpNeighState - El estado EGP del sistema local con respecto a la entrada EGP vecino

Esta no es la definición completa del MIB pero sirve de ejemplo de los objetos de cada grupo.

El grupo de interfaces contiene dos objetos de nivel superior: el número de interfaces del nodo(ifNumber) y una tabla con información de estas(ifTable). Cada entrada de la tabla(ifEntry) contiene los objetos de esa interfaz. Entre ellos, el tipo de interfaz(ifType) se identifica en el árbol MIB con notación ASN.1 como 1.3.6.1.2.1.2.2.1.3. Para un adaptador de red en anillo, su valor sería 9("iso88025-tokenRing") (ver Figura - Identificador de objeto).

Figura: Identificador de objeto - Asignación para redes TCP/IP.

4.14.4 SNMP("Simple Network Management Protocol")

SNMP añadió las mejoras de muchos años de experiencia con SGMP y le permitió trabajar con los objetos definidos en el MIB con la representación del SIM.

ElRFC 1157 define NMS("Network Management Station") como una estación que ejecuta aplicaciones de gestión de red(NMA) que monitorizan y controlan elementos de red(NE) como hosts, pasarelas y servidores de terminales. Estos elementos usan un agente de gestión(MA) para realizar estas funciones. El SNMP para la comunicación de información entre las NMS y los MA.

Figura: SNMP - Componentes de SNMP.

Todos las funciones de los MA son sólo alteraciones(set) o consultas(get) de variables, limitando así el número de funciones esenciales a dos y simplificando el protocolo. En la comunicación NE-NMS, se utilizan un número limitado de mensajes no solicitados(traps) para informar de eventos asíncronos. Del mismo modo, en un intento de mantener la sencillez, el intercambio de información requiere sólo un servicio de datagramas y cada mensaje se envía en un único datagrama. Esto significa que SNMP es adecuado para una gran variedad de protocolos de transporte. El RFC 1157 especifica el intercambio de mensajes vía UDP, aunque es posible emplear otros.

Las entidades que residen en las NMS y los elementos de red que se comunican con otros a través de SNMP se denominan entidades de aplicación de SNMP. Los procesos que las implementan son las entidades de protocolo. Un agente SNMP con un conjunto arbitrario de entidades es una comunicad SNMP, en la que cada entidad se nombra con una ristra de bytes que debe ser unívoca para esa comunidad.

Un mensaje de SNMP consiste en un identificador de la versión, un nombre de la comunidad SNMP y un PDU("protocol data unit"). Toda implementación de SNMP debe soportar las cinco PDUs siguientes:

GetRequest: Recuperar los valores de un objeto del MIB

GetNextRequest: Recorrer parte del MIB

SetRequest: Alterar los valores de un objeto del MIB

GetResponse: Respuesta de GetRequest, GetNextRequest y SetRequest

Trap: Capacidad de los elementos de red para generar eventos como la inicialización., reinicio o fallo en el enlace del MA. Hay siete tipos de traps definidos en el RFC 1157: coldStart, warmStart, linkDown, linkUp, authenticationFailure, egpNeighborLoss y enterpriseSpecific.

Los formatos de estos mensajes son los siguientes:

Figura: Formato de mensaje SNMP - Formato de las PDU Request, Set y Trap.

4.14.5 CMOT("Common Management Information Protocol over TCP/IP")

CMOT es la arquitectura de gestión de red desarrollada con vistas a mantener una relación más estrecha con el CMIP("Common Management Information Protocol") de OSI("Open System Interconnection"). Con esta premisa, CMOT se divide, como en OSI, en un modelo organizacional, funcional e informacional.

En los dos primeros el mismo concepto de OSI se usa en CMOT y SNMP. La identificación de objetos se efectúa empleando el subárbol relacionado con DoD con subdivisiones en lo que respecta a gestión, directorio, experimental y privado. Todos los objetos de gestión se definen en el MIB("Management Information Base"), y se representan con el SMI("Structure and Identification of Management Information"), un subconjunto de ASN.1("Abstract Syntax Notation 1" de OSI).

En el modelo funcional, CMOT adopta el modelo OSI que divide los componentes de gestión en managers y agentes. El agente recoge información, realiza comandos y ejecuta tests, y el manager recibe datos, genera comandos y envía instrucciones a los agentes. El manager y el agente están constituidos por un conjunto específico de entidades de información de gestión por cada capa de comunicación, denominadasLME ("Layer Management Entities").

Figura: CMOT - Componentes de CMIP sobre TCP/IP.

Todos los LME los coordina el SMAP("System Management Application Process") que es capaz de comunicarse entre diferentes sistemas a través de CMIP("Common Management Information Protocol").

En el mundo OSI, la gestión sólo se puede producir sobre conexiones establecidas por completo entre managers y agentes. CMOT permite el intercambio de información de gestión usando servicios no orientados a conexión(datagramas). Pero para mantener la misma interfaz del servicio que requiere CMIP, llamada CMIS("Common Management Information Services"), la arquitectura de CMOT define una nueva capa, el LPP("Lightweight Presentation Protocol"). Esta capa se ha definido para proporcionar los servicios de presentación que necesita CMIP de tal forma que la totalidad de los estándares OSI para la gestión de red se adapten a la arquitectura TCP/IP de CMOT.

Figura: LPP("Lightweight Presentation Protocol")

4.14.6 El DPI de SNMP("SNMP Distributed Programming Interface")

SNMP define un protocolo que permite efectuar operaciones en una serie de variables. Este conjunto de variables(el MIB) y un conjunto básico o núcleo está predefinidas. Sin embargo, el diseño del MIB cuenta con la posibilidad de expandir este núcleo sea expandido. Desafortunadamente, las implementaciones convencionales de agentes SNMP no suministran mecanismos para que el usuario cree nuevas variables. El DPI enfoca esta cuestión proporcionando mecanismos que permiten al usuario añadir, borrar o reemplazar dinámicamente variables en el MIB local sin tener que recompilar el agente SNMP. Esto es posible gracias a un subagente que se comunica con el agente a través del DPI. El RFC 1228 lo describe.

El DPI de SNMP habilita a un proceso para registrar la existencia de una variable MIB en el agente SNMP, que pasará la solicitud al subagente. El subagente devuelve a su vez la respuesta apropiada al agente. Este, finalmente, empaqueta una respuesta SNMP y envía la respuesta a la NMS que inició la solicitud. El subagente es completamente invisible (transparente) para la NMS.

La comunicación entre el agente SNMP y sus clientes(subagentes) tiene lugar sobre un canal. Típicamente se trata de una conexión TCP, pero se pueden emplear otros protocolo de transporte orientados a conexión.

El agente en el DPI puede:

Crear y borrar subárboles del MIB
Crear un paquete de solicitud de registro para que el subagente informe al agente SNMp
Crear un paquete de respuesta para que el subagente responda a la solicitud del agente SNMP
Crear un paquete de solicitud TRAP

La siguiente figura muestra el flujo entre el agente SNMP y el subagente.

Figura: Descripción del DPI de SNMP

El agente SNMP se comunica con el manager por medio de SNMP.
La comunicación del agente con las capas TCP/IP y con el núcleo del sistema operativo depende de la implementación.
Un subagente SNMP, ejecutando un proceso aparte(que potencialmente puede estar en otra máquina), puede registrar objetos con el agente SNMP(Register).
El agente SNMP decodificará los paquetes. Si un paquete contiene una solicitud Get/GetNext o Set para un objeto registrado en el subagente, se la enviará en el correspondiente paquete(MIB query).
El subagente SNMP responde con un paquete RESPONSE(Reply).
El agente codifica la respuesta en un paquete SNMP y lo envía al manager.
Si el subagente desea informar de un cambio de estado importante, envía un Trap al agente que a su vez lo codificará y enviará al manager.

4.14.7 SNMPv2("Simple Network Management Protocol, Versión 2")

La infraestructura de la versión 2 de SNMP se publicó en abril de 1993 y consiste en 12 RFCs, incluyendo el primero, el 1441, que es una introducción. En agosto de 1993 los 12 RFCs se convirtieron en un estándar con status electivo.

Esta infraestructura consta de las siguientes disciplinas:

SMI("Structure of Management Information")

Definición del subconjunto de ASNN.1 para la creación de módulos MIB. Descripción en el RFC 1442.

Convenios textuales

Definición del conjunto inicial de convenios textuales disponible para todos los módulos MIB. Descripción en el RFC 1443.

Operaciones del protocolo

Definición de las operaciones del protocolo con respecto a las PDUs enviadas y recibidas en el RFC 1448.

Mapeados de transporte

Definición del mapeado de SNMPv2 sobre un conjunto inicial de dominios de transporte ya que se puede utilizar en diferentes pilas de protocolo. El mapeado en UDP es el preferido. El RFC también define OSI, AppleTalk, IPX, etc. Descripción en el RFC 1449.

Instrumentación del protocolo

Definición del MIB y del MIB Manager-Manger. Descripción en los RFCs 1450 y 1451.

Infraestructura administrativa

Definición de SNMPv2 Party, SP("Security Protocols") y Party MIB. Descripción en los RFCs 1445, 1446 y 1447.

Compatibilidades

Definición de la compatibilidad o capacidad de notación de los agentes. Descripción en el RFC 1444.

Las siguientes secciones describen las principales diferencias y mejoras desde SNMPv1 a SNMPv2.

4.14.7.1 Entidad SNMPv2

Una entidad SNMPv2 es un proceso real que realiza operaciones de gestión de red mediante la generación y/o respuesta a/de mensajes SNMPv2. Todas las posibles operaciones de una entidad se pueden restringir a un subconjunto de las operaciones que puede efectuar el entorno de gestión("SNMPv2 Party" o EG). Remitirse aSNMPv2 Party más abajo. Una entidad SNMPv2 podría pertenecer a múltiples entidades gestoras, y mantiene las siguientes bases de datos locales:

Una base de datos para todos los EG que conoce la entidad, que podrían ser:

Operación local
Operación local realizada por interacciones con EG o dispositivos remotos
Operación realizada por otras entidades SNMPv2

Otra base de datos que representa todos los recursos de los objetos gestionados que conoce la entidad
Como mínimo, una base de datos que representa una política de control de acceso que define los privilegios de acceso de acuerdo con los EG conocidos

Una entidad SNMPv2 puede actuar como agente o como manager SNMPv2.

4.14.7.2 Entorno de gestión("SNMPv2 Party" o EG)

Un entorno de gestión es un entorno de ejecución virtual cuyas operaciones se restringen, por razones de seguridad o de otra índole, a un subconjunto definido administrativamente de todas las operaciones que puede realizar una entidad SNMPv2 particular. Remitirse a Entidad SNMPv2 más arriba. Arquitectónicamente, cada EG comprende:

Una identidad unívoca del entorno
Una localización lógica de red en la que se ejecuta el EG, caracterizada por un dominio del protocolo de transporte y por información de direccionamiento del nivel de transporte
Un sólo protocolo de autentificación y parámetros asociados con los que se autentifican el origen y la integridad de los mensajes del protocolo generados por el entorno
Un sólo protocolo de privacidad y parámetros asociados con los que los mensajes de protocolo que recibe el entorno se protegen de cualquier intrusión

4.14.7.3 GetBulkRequest

El GetBulkRequest está definido en el RFC 1448 y forma por tanto parte de las operaciones del protocolo. Un mensaje GetBulkRequest se genera y se transmite como una petición de una aplicación SNMPv2. Su fin es solicitar la transferencia de una cantidad de datos potencialmente elevada, incluyendo, sin que ello le condicione, la rapidez y eficiencia en la recuperación de grandes tablas. GetBulkRequest es más eficiente que GetNextRequest en la recuperación de grandes tablas MIB de objetos. Su sintaxis es:

GetBulkRequest [ non-repeaters = N, max-repetitions = M ]
                ( RequestedObjectName1,
                  RequestedObjectName2,
                  RequestedObjectName3 )

Where:

RequestedObjectName1, 2, 3: Identificador MIB del objeto, como sysUpTime, etc. Los objetos están en una lista ordenada léxicamente. Cada identificador de objeto está ligado como mínimo a una variable. Por ejemplo, el identificador ipNetToMediaPhysAddress está ligado a una variable para cada dirección IP de la tabla ARP y su contenido es la dirección MAC asociada.
N: Especifica el valor de non-repeaters, lo que significa que se solicita sólo el contenido de la variable inmediata al objeto indicado en la solicitud, para los primeros N objetos nombrados entre paréntesis. Se trata de la misma función que desempeña GetNextRequest.
M: Especifica el valor max-repetitions, lo que significa que se solicita del resto de los objetos(habiéndose solicitado N) el contenido de las M variables inmediatas al objeto indicado en la solicitud. Es similar a un GetNextRequest iterado pero transmitido en una sola solicitud.

Con GetBulkRequest se pueden conseguir los valores de sólo la siguiente variable o de las siguientes M variables con una sola solicitud.

Asumiendo la siguiente tabla ARP en un host que ejecuta un agente NMPv2:

Interface-Number  Network-Address  Physical-Address  Type

       1            10.0.0.51     00:00:10:01:23:45  static
       1             9.2.3.4      00:00:10:54:32:10  dynamic
       2            10.0.0.15     00:00:10:98:76:54  dynamic

Un manager SNMPv2 envía la siguiente respuesta para conseguir sysUpTime y la tabla ARP completa:

GetBulkRequest [ non-repeaters = 1, max-repetitions = 2 ]
                ( sysUpTime,
                  ipNetToMediaPhysAddress,
                  ipNetToMediaType )

La entidad SNMPv2 que actúa como agente responde con la PDU Response:

Response (( sysUpTime.0 =  "123456" ),
          ( ipNetToMediaPhysAddress.1.9.2.3.4 =
                                     "000010543210" ),
          ( ipNetToMediaType.1.9.2.3.4 =  "dynamic" ),
          ( ipNetToMediaPhysAddress.1.10.0.0.51 =
                                      "000010012345" ),
          ( ipNetToMediaType.1.10.0.0.51 =  "static" ))

La entidad SNMPv2 que hace de manager continúa con:

GetBulkRequest [ non-repeaters = 1, max-repetitions = 2 ]
                ( sysUpTime,
                  ipNetToMediaPhysAddress.1.10.0.0.51,
                  ipNetToMediaType.1.10.0.0.51 )

El agente responde con:

Response (( sysUpTime.0 =  "123466" ),
          ( ipNetToMediaPhysAddress.2.10.0.0.15 =
                                     "000010987654" ),
          ( ipNetToMediaType.2.10.0.0.15 =
                                          "dynamic" ),
          ( ipNetToMediaNetAddress.1.9.2.3.4 =
                                          "9.2.3.4" ),
          ( ipRoutingDiscards.0 =  "2" ))

Esta respuesta señala el final de la tabla al manager. Con GetNextRequest se hubieran necesitado cuatro solicitudes para conseguir la misma información. Si se hubiera fijado el valor max-repetition de GetBulkRequest a tres, en este ejemplo sólo se hubiera necesitado una solicitud.

4.14.7.4 InformRequest

Un mensaje InformRequest se genera y se transmite como una solicitud de una aplicación de una entidad manager SNMPv2 que desea notificar a otra aplicación, que se ejecuta también en un manager SNMPv2, información en el ámbito del MIB(MIB view) (20) para un entorno local a la aplicación que envía el mensaje. El paquete se utiliza para indicar al manager del otro entorno de la información accesible en el emisor. (comunicación manager-manager a través de los límites del entorno). Las dos primeras variables en la lista de asociaciones de variables de un mensaje InformRequest son sysUpTime.0 y snmpEventID.i (21)respectivamente. Les pueden seguir otras variables.

4.14.8 El MIB para SNMPv2

Este MIB define los objetos gestionados que determinan el comportamiento de la entidadSNMPv2.

Nota: No es una sustitución del MIB-II.

Las siguientes son algunas definiciones de objetos para hacerse una idea de sus contenidos:

snmpORLastChange OBJECT-TYPE
    SYNTAX     TimeStamp
    MAX-ACCESS read-only
    STATUS     current
    DESCRIPTION
            "El valor de sysUpTime en el momento
	    del cambio más reciente en el valor
	    o estado de cualquier instancia de
	    snmpORID."

warmStart NOTIFICATION-TYPE
    STATUS  current
    DESCRIPTION
            "Un trap warmStart significa que la entidad
	    SNMPv2, actuando como agente, se está reinicializando
	    a sí misma de tal modo que la configuración
	    no se altere."

4.14.9 EG del MIB("Party MIB")

El EG del MIB define los objetos gestionados que se corresponden con las propiedades asociadas a un EG SNMPv2. Un ejemplo de algunos objetos del MIB:

partyIdentity OBJECT-TYPE
    SYNTAX      Party
    MAX-ACCESS  not-accessible
    STATUS      current
    DESCRIPTION
            "Un identificador de EG unívoco
	    para un EG de SNMPv2 particular."

partyAuthProtocol OBJECT-TYPE
    SYNTAX      OBJECT IDENTIFIER
    MAX-ACCESS  read-create
    STATUS      current
    DESCRIPTION
            "El protocolo de autentificación
	     por el que se autentifican el
	     origen y la integridad de todos
	     los mensajes que genera el EG. El
	     valor noAuth significa que los
	     mensajes no están autentificados.
	     Una vez que se crea una instancia
	     de este objeto, su valor no puede
	     ser alterado."

4.14.9.1 MIB Manager-Manager

La finalidad de este MIB es proporcionar los medios para la coordinación entre múltiples estaciones de gestión. Es decir, los medios por los que las funciones de control y monitorización de la gestión de red se pueden distribuir entre múltiples NMS en una gran red. Específicamente, este MIB suministra mecanismos para que una NMS solicite servicios de gestión de otra. Por tanto, una entidad SNMPv2 puede tener un doble papel; cuando proporciona información de gestión a otro manager, actúa como agente, y cuando pide información, actúa como manager. El MIB manager-manager consta de las tres tablas siguientes:

Alarmas
Eventos
Notificaciones

Cada alarma es una condición específica detectada mediante la monitorización periódica, en un intervalo de muestreo configurable, de los valores de una determinada variable con información de gestión. Un ejemplo de condición de alarma es cuando la variable monitorizada toma un valor fuera de rango. Cada condición de alarma dispara un evento, que puede a su vez desencadenar una o más notificaciones para otras NMS usando el InformRequest.

4.14.10 SAPP("Single Authentication and Privacy Protocol")

El protocolo de autentificación proporciona un mecanismo para que la gestión de SNMPv2 permita identificar que las comunicaciones que genera un entorno se originan efectivamente en ese entorno.

El protocolo de autentificación proporciona un mecanismo para que la gestión de SNMPv2 permita proteger las comunicaciones que genera un entorno de cualquier intrusión.

Las principales amenazas contra las que el protocolo de seguridad de SNMPv2 aporta protección son:

Modificación de información
Enmascaramiento
Modificación del flujo de mensajes
Intrusión en la información

Los siguientes servicios de seguridad proporcionan medidas contra las anteriores amenazas:

Integridad de los datos

La proporciona el algoritmo de condensación de mensajes MD5. Se calcula un resumen o extracto de 128 bits de la porción indicada del mensaje SNMPv2 y se incluye como parte del mensaje enviado al receptor.

Autentificación del origen de los datos

A cada mensaje se le añade un prefijo con un valor secreto que comparten el emisor del mensaje y el receptor, antes de calcular el extracto.

Replay o retardo del mensaje

En cada mensaje se incluye un sello de tiempo,

Confidencialidadd de los datos

La proporciona el protocolo simétrico de privacidad que encripta una porción adecuada del mensaje de acuerdo con una llave secreta conocida sólo por el emisor y el receptor. Este protocolo se usa conjuntamente con el algoritmo simétrico de encriptación, en el modo de encadenamiento de cifrado de bloques, que forma parte del DES("Data Encryption Standard"). La parte designada del mensaje se encripta y se incluye como parte el mensaje enviado el receptor.

4.14.11 El nuevo modelo administrativo

Uno de los propósitos del modelo administrativo para SNMPv2 es definir como la infraestructura administrativa se aplica para llevar a cabo una administración de red efectiva en diversas configuraciones y entornos.

El modelo implica el uso de diferentes identidades en el intercambio de mensajes. De esta forma, representa abandonar el basado en comunidades del SNMPv1 original. Al identificar sin ambigüedad al emisor y al receptor de cada mensaje, esta nueva estrategia mejora el esquema histórico de comunidades ya que permite un diseño del control de acceso a los datos más conveniente así como el empleo de protocolos de seguridad asimétricos(con llave pública) en el futuro. Remitirse a Figura - Formato de mensaje de SNMPv2 para conocer el nuevo formato de mensaje.

Figura: Formato de mensaje de SNMPv2

PDU: Incluye una de las siguientes PDUs; GetRequest; GetNextRequest; Response; SetRequest; InformRequest; SNMPv2-Trap; El GetBulkRequest tiene un formato de PDU distinto al mostrado más arriba. Ver GetBulkRequest.; Nota: El SNMP-Trap tiene ahora el mismo formato que las demás solicitudes.
SnmpMgmtCom ("SNMP Management Communication"): Añade el identificador del entorno emisor(srcParty), del receptor(dstParty) y el contexto a la PDU. El contexto especifica el ámbito de SNMPv2 que contiene la información de gestión a la que referencia la comunicación.
SnmpAuthMsg: Este campo se utiliza como información de autentificación para el protocolo de información usado por el entorno en cuestión. El SnmpAuthMsg está serializado de acuerdo con ASN.1 BER (22) por lo que puede ser encriptado.
SnmpPrivMsg SNMP Private Message: El SNMPv2 Private Message es un mensaje SNMPv2 autentificado que posiblemente está protegido de intrusiones en la información que contiene. Un destino privado(privDst) se añade al entorno de destino.

El mensaje pasa a ser encapsulado en un datagrama UDP/IP normal y se envía a su destino a través de la red.

Para más información, remitirse a los RFCs mencionados arriba.

Tabla de contenidos Protocolo de servicios NetBIOS