HCIP Seguridad H12 723 Operación y Mantenimiento del Sistema de Seguridad VIII

23 0 0 0

OPERACIÓN y MANTENIMIENTO DEL SISTEMA DE SEGURIDAD VIII—eSight: Administración del Servicio Parte 2

Características de los Protocolos de Administración de Red


Buenas noches a todos.

Respecto al tema de eSight, esta es la segunda publicación, en que se hablará del protocolo NETCONF

Con respecto al segmento, aquí podrás acceder a las 7 partes anteriores


https://forum.huawei.com/enterprise/es/hcip-seguridad-h12-723-operación-y-mantenimiento-del-sistema-de-seguridad-administración-de-usuarios/thread/597120-100233


https://forum.huawei.com/enterprise/es/hcip-seguridad-h12-723-operación-y-mantenimiento-del-sistema-de-seguridad-ii-tecnología-de-administración-de-usuarios/thread/597454-100233


https://forum.huawei.com/enterprise/es/hcip-seguridad-h12-723-operación-y-mantenimiento-del-sistema-de-seguridad-iii-tecnología-de-administración-de-usuarios/thread/597456-100233


https://forum.huawei.com/enterprise/es/hcip-seguridad-h12-723-operación-y-mantenimiento-del-sistema-de-seguridad-iv-tecnología-de-administración-de-usuarios/thread/597672-100233


https://forum.huawei.com/enterprise/es/hcip-seguridad-h12-723-operación-y-mantenimiento-del-sistema-de-seguridad-v-agile-network/thread/597674-100233


https://forum.huawei.com/enterprise/es/post/597886?type=forum&fid=100233&threadType=0


https://forum.huawei.com/enterprise/es/hcip-seguridad-h12-723-operación-y-mantenimiento-del-sistema-de-seguridad-esight/thread/597886-100233


Introducción al Protocolo NETCONF

Concepto de NETCONF

·        El protocolo de configuración de red (NETCONF) es un protocolo de configuración y administración basado en lenguaje Extensible de Valor Agregado (XML).

·        El protocolo NETCONF provee mecanismos para la instalación, la operación y la eliminación de dispositivos. Puede ser usado para la administración y monitoreo de dispositivos vía remota.

·        El protocolo NETCONF provee un conjunto de operaciones estándar y RPCs para la administración de la red.

·        Adopta el protocolo de transmisión SSH.

·        Usa un mecanismo simple basado basado en Procedimiento de Llamada Remota (RPC) para implementar la comunicación entre clientes y servidores.

·        La capa de transporte usa el protocolo  SSH para portar el protocolo NETCONF. El puerto TCP por defecto es el 830. El servidor NETCONF debe escuchar en este puerto.

 

·        Tiene las siguientes ventajas:

§  Define los mensajes en formato XML, y modifica la información de la configuración con base en el mecanismo de RPC, facilitando la administración de la configuración e implementando la interoperabilidad entre los dispositivos de diferentes fabricantes.

 

§  Reduce las fallas de la red que son causadas por configuraciones manuales.

§  Mejora la eficiencia de la actualización del sistema usando herramientas de configuración.

 

§  Provee ata extensibilidad, permitiendo que diferentes fabricantes definan sus propios protocolos de operación para funciones especiales de administración.

§  Provee mecanismos de seguridad tales como autenticación y autorización, asegurando la seguridad en la transmisión del mensaje.

 


Marco de Trabajo  de NETCONF

marco de trabajo netcof



·        YANG es el acrónimo Yet  Another Next Generation, inicialmente fue credo como el modelo de lenguaje de NETCONF. En el sistema completo del protocolo de configuración de NETCONF, YANG es usado para describir la configuración, el estado el tiempo de notificación y la operación y el mantenimiento de un NE especifico.

 

·        el lenguaje YANG está desarrollado por el grupo de trabajo d modelado de datos (NETMOD) del IETF NETCONF y esta definido en el RFC6020.

 

·        YANG es usado para definir los datos de la operación, configuración, notificación y modelado del lenguaje de las operaciones en el protocolo NETCONF.

 

·        YANG es un lenguaje modular usado en la estructura de datos del árbol de XML.

 

·        NETCONF es usado principalmente en conjunto con el lenguaje YANG.  YANG define la estructura, gramática y la semántica de los datos. El software de administración usa NETCONF para administrar el modulo YANG. Como protocolo, NETCONF necesita cumplir con regulaciones especificas y reglas de división de capas

 


Arquitectura de NETCONF

·        La arquitectura de NETCONF consiste en tres partes: administración, agente y esquema.

arquitectura netconf


·        La arquitectura de la red NETCONF consiste en las siguientes partes:

·        Manager (Administración)

§  Funciona como cliente que usa NETCONF para administrar los dispositivos de la red

 

Ø Puede enviar peticiones RPC hacia el agente NETCONF para consultar o modificar uno o más parámetros.

 

Ø Puede recibir las alarmas y los eventos de manera activa reportados por el agente NETCONF para obtener el estado de un dispositivo administrado.

 

·        Agent (Agente)

§  Funciona como servidor y mantiene los dispositivos de red administrados, responde a las peticiones RPC  reportar los datos de administración hacia el NETCONF manager.

Ø Después de recibir la petición RCP, el agente NETCONF analiza la petición, la procesa basada en el Plano de Administración de Configuración (CMP) y envía una respuesta hacia el NETCONF Manager.

 

Ø Si una alarma se genera u ocurre un evento en el dispositivo administrado, el agente NETCONF del dispositivo administrado reporta la alarma o evento hacia el Manager para que aprenda el estado del dispositivo.

 

·        Esquema

§  un archivo esquema es un conjunto de reglas que están definidas para describir un documento XML. Un archivo esquema define todos los objetos de administración en un dispositivo administrado, las relaciones estrechas y jerárquicas entre esos objetos y los permisos de lectura y escritura.

 

§  Los dispositivos administrados usan el archivo esquema para proveer interfaces de administración y configuración para el NMS. El archivo esquema es similar a las MIB en el protocolo SNMP.

 

·        El NETCONF Manager obtiene la configuración el estado de los dispositivos administrados del agente NETCONF que se está ejecutando.

§  NETCONF manager puede modificar los datos de configuración para transferir el estado del NETCONF agent hacia un usuario.

 

§  No puede modificar los datos del estado principalmente acerca del estado del agente que se está ejecutando y la información de las estadísticas.

 

·        El protocolo NETCONF se enfoca en administrar los datos de la configuración de NETCONF más que en el modo de almacenamiento de datos.

 

 

Capas del Protocolo NETCONF

·        Al igual que el modelo OSI, el marco de trabajo del protocolo NETCONF  también usa una estructura jerárquica.una campa inferior provee servicios a una capa superior.

·        La estructura jerárquca habilita a cada capa para que se enfoque solo en un solo aspecto de NETCOBF y reduce la dependencia entre las diferentes capas.

·        Las 4 capas son las siguientes:

 

·        Capa 1: Protocolo Seguro de Transporte

§  NETCONF puede dividirse en capas sobre cualquier protocolo de transporte que cumpla los siguientes requerimientos:

Ø El protocolo de transporte está orientado a conexión. Se establece un enlace permanente entre el manager de NETCONF y el agente. Este enlace provee una secuencia de entrega de datos confiable y secuenciada.

 

Ø El protocolo de transporte provee autenticación, integridad de datos y confidencialidad hacia NETCONF.

Ø Provee un mecanismo para distinguir el tipo de sesión (cliente o servidor) para NETCONF.

§  Actualmente, VRP solo usa SSH como protocolo para NETCONF

 

·        Capa 2: Mensajes

§  la capa RCP provee un mecanismo de trameado simple para codificar los RCP. El manager de NETCONF usa el elemento <rcp> para encapsular las peticiones de información de RCP y las envía hacia el agente NETCONF sobre una sesión segura orientada a conexión. El agente NETCONF usa el elemento <rcp-reply> para encapsular la información de respuesta y la envía hacia el manager de NETCONF.

 

§  En casos normales el elemento <rcp-reply> encapsula los datos requeridos por el manager NETCONF o la información acerca de la configuración exitosa. Si el manager de NETCONF envía una petición incorrecta o el agente falla al procesar la petición que proviene del manager, el agente encapsula la información en un elemento <rcp-error> que contiene información detallada del manager de NETCONF.

 

·        Capa 3: Operaciones:

§  La capa de operación define una serie de operaciones básicas usadas en RCP. Las operaciones básicas constituyen las capacidades básicas de NETCONF.

 

·        Capa 4: Contenido

§  La capa de contenido describe los datos de configuración envueltos en la administración de la red. Los datos de configuración dependen de los dispositivos del fabricante.

§  Todas las capas han sido estandarizadas para NETCONF excepto la capa de contenido. La capa de contenido no tiene un lenguaje de modelado de datos estándar.

 

 

Procedimiento de Llamada Remota (RPC)

·        NETCONF usa un modelo de comunicación basado en RCP. Utiliza XML codificado y elementos <rcp> y <rcp-reply> para proveer un trameado secuencial seguro e independiente para las peticiones las respuestas.

·        La capa de mensaje de NETCONF provee un mecanismo simple para codificar los mensajes RCP.

§  RPC invocación (<mensajes rcp>

§  RPC resultados (<mensajes de respuesta de rpc>)

§  Eventos de notificación (<mensaje de notificación>)

·        Cada mensaje de NETCONF está dentro de un documento de XML bien formado. Un resultado de RPC  está ligado hacia una invocación de RPC mediante un mensaje del tipo atributo.

 

 

Capacidades de NETCONF

·        Una capacidad de NETCONF es un conjunto de funcionalidades que complementan las especificaciones base de NETCONF.

capacidades de netconf


·        Cuando se abre una sesión de NETCONF, cada par envía un elemento Hello que contiene una lista de capacidades. Si los dos extremos soportan las capacidades, pueden implementar funciones especiales de administración basadas en esta capacidad.

 

·        Cada par de NETCONF envía su elemento <hello> de manera simultánea tan pronto como la conexión se abre. Un par de NETCONF no espera para recibir las capacidades de su par que está en el otro extremo antes de enviar sus propias capacidades.

 

·        Después de que un agente de NETCONF intercambia elementos hello> con un manager de NETCONF, el agente espera por el elemento <rpc> proveniente del manager. Un agente NETCONF regresa un elemento <rpc-reply> en respuesta  a cada elemento <rpc>

 

·        Los elementos <hello> enviados por los agentes de NETCONF pueden ser definidos por los fabricantes.

 

·        La imagen que se va a mostrar a continuación presenta los elementos <hello> enviados por el manager.

elementos hello


Capacidades y Operaciones de NETCONF

·        <get>: esta operación regresa el estado y la configuración de la base de datos de  <running/>

 

·        <get-config>: esta operación regresa toda o parte de una configuración especifica de las bases de datos de configuración <running/>, <candidate/>, y <startup/>. La operación <get-config> también puede recuperar archivos de configuración de: <url>Huawei.cfg</url>

 

·        <edit-config>: esta operación crea, reemplaza o elimina datos de la configuración.

 

·        <copy-config>: esta operación crea o reemplaza una base de datos de configuración entera con el contenido de otra base de datos de configuración completa. Si la base de datos objetivo existe, entonces se sobre escribe. De otro modo, se crea una nueva, si se permite.

 

·        <Delete-config>: esta operación elimina una base de datos de configuración, no la base de datos de la configuración <running/>

 

·        <lock>: esta operación bloquea las bases de datos de configuración de un dispositivo. Una base de datos de configuración bloqueada no puede ser modificada por otros administradores (managers) de NETCONF. El bloqueo elimina los errores causados por modificaciones simultáneas de la bases de datos por los managers de NETCONF o por scripts de SNP o de la CLI.

·        <unlock>: libera una configuración previamente bloqueada por la operación <lock>. No se puede desbloquear una base de datos de configuración que no se ha bloqueado.

 

·        <close-session>: esta operación termina correctamente una sesión de NETCONF.

 

·        <kill-session>: esta operación termina la sesión de NETCONF de manera forzada. Solo un administrador está autorizado para ejecutar esta operación.

 

Capacidades y Operaciones Estándar de NETCONF

·        Por defecto, los dispositivos habilitados con NETCONF soportan todas las capacidades estándar definidas por NETCONF.

·        Writable-running:

§  Esta capacidad indica que el dispositivo soporta la escritura directa en la base de datos de configuración <running>. Esto quiere decir que el dispositivo soporta las operaciones <edit-config> y <copy-config> en la base de datos de configuración.

 

·        Candidato a Configuración

§  Esta capacidad indica que el dispositivo soporta <candidate/> en la configuración de la base de datos.

 

§  La base de datos de configuración <candidate/> sostiene un conjunto completo de configuraciones de datos que pueden ser manipulados sin impactar la configuración actual del dispositivo. La base de datos de configuración <candidate/> sirve como lugar de trabajo para crear y manipular los datos de la configuración.

 

§  Adiciones, eliminaciones y cambios puede hacerse en los datos en la base de datos de configuración <candidate/> para construir la base de datos de configuración deseada. Las siguientes operaciones pueden ejecutarse en cualquier momento

Ø <commit>: convierte todos los datos de configuración en la base de datos <candidate/> hacia la base de datos de la configuración que está ejecutándose.

 

Ø Si el dispositivo no es capaz de guardar todos los cambios en la base de datos de configuración <candidate/>, entonces los datos de la configuración activa permanecen sin cambios.

 

Ø <discard-changes>: descartar cualquier cambio no salvado al reiniciar la configuración candidata con el contenido de la configuración actual.

§  Un dispositivo establece una base de datos de configuración <candidate/> independiente por cada sesión de NETCONF.

 

·        Guardado Confirmado

§  Esta capacidad indica que el dispositivo permite la operación <commit> para que cargue con los parámetros <confirmed> y >confirm-timeout>. <cobfirmed> ejecuta todos los datos configurados y  los convierte en los datros de la configuración que actualmente se ejecuta en el dispositivo. La capacidad CONFIRMED COMMIT ya contiene este parámetro.

 

Ø <Confirmmed-timeout>: especifica el intervalo en el cual se usa  la capacidad confirmed commit. El valor por defecto son 600 segundos.

 

Ø Si la capacidad confirmed commit es usada en un intervalo especifico, todos los datos configurados son ejecutados y convertidos en los datos de la configuración corriente en el dispositivo. Si la capacidad confirmed commit se usa donde el intervalo transcurre, los datos de la configuración no se ejecutan y se restauran hacia su configuración original. El intervalo puede ser configurado usando el parámetro <confirm-timeout>

 

·        Rollback en caso de error

§  Esta capacidad indica que el dispositivo puede desempeñar un rollback en caso de que se presente un error. Si ocurre un error y se genera el elemento <rpc-error>, el agente de NETCONF detiene la ejecución e la operación <edit-config> y restaura la configuración especificada al estado antes de que la operación <edit-config> se ejecutara

 

·        Inicio Distinto

§  Esta capacidad indica que el dispositivo puede ejecutar un inicio distinto. El agente NETCONF checa la consistentica y disponibilidad de los parámetros durante el inicio distinto en un dispositivo.

§  El agente NETCONF soporta la base de datos de configuración <startup/s> y puede distinguir la base de datos <running/> de la base de datos <startup/>. Para guardar de manera permanente los datos de base de datos <running/>, se ejecuta la operación <copy-config> parta copiar los datos de configuración de la base de datos de la configuración <running/> hacia la base datos de la configuración <starup/>

 

·        Notificación

§  Esta capacidad indica que el dispositivo puede reportar sus alarmas y eventos hacia el NMS de manera secuencial usando mensajes de notificación. El NMS puede entonces administrar el dispositivo con base en las alarmas recibidas y los eventos. El mecanismo de notificación de NETCONF es un mecanismo de notificación activo basado en el protocolo TCP.

 

·        Espaciado

§  Esta capacidad mejora la eficiencia de la administración al habilitar una sesión NETCONF para ser usada para múltiples propósitos, reduciendo el número total de sesi9ones NETCONF requeridas e intercambiar entre estas sesiones.

§  Si un dispositivo no soporta la capacidad de espaciado, entonces una sesión NETCONF soporta cualquiera de las siguientes:

Ø Operaciones básicas tales como configuración, consulta y borrado.

Ø Notificación de eventos y alarmas.

 

 

Capacidades y Operaciones Estándar en HUAWEI

·        Por defecto los equipos con NETCONF habilitado soportan todas las capacidades estándar definidas por NETCONF.

·        Sincronización:

§  Esta capacidad indica que el dispositivo permite que el NMS ejecute la sincronización de los datos.

§  El maneger de NETCONF puede enviar un elemento <rpc> hacia el agente NETCONF, solicitando que sincronice los datos del dispositivo hacia la carpeta de destino.

§  La capacidad de sincronización soporta las siguientes operaciones:

Ø <sync-full>: sincroniza todos los datos del dispositivo hacia la carpeta de destino.

Ø <sync-inc>: sincroniza de manera incremental los datos del dispositivo.

 

·        Notificación Activa:

§  Esta capacidad indica que el dispositivo puede informar a su par que está activo.

§  Para operaciones que toman mucho tiempo, tales como <commit> y <copy-config>, el manager de NETCOF puede considerar el procesamiento de sus peticiones como tiempo excedido y cancelarlas.

§  La capacidad de notificación activa habilita al agente NETCONF para que envía de manera periódica un elemento <active> hacia el administrador de NETCONF cuando procesa un elemento <rpc> que consuma tiempo, informando al manager que tal elemento está siendo procesado.

§  Solo un dispositivo con la capacidad notificación activa soporta todos los elementos <active>

 

·        Acción:

§  esta capacidad indica que el dispositivo puede ejecutar operaciones de mantenimiento.

§  Adicionalmente a las operaciones básicas, tales como adiciones, modificaciones, eliminaciones y consultas, un dispositivo también necesita ejecutar algunas operaciones de mantenimiento.

§  La capacidad acción habilita a un dispositivo para que ejecute operaciones de mantenimiento usando elementos <rpc>. Los resultados de la operación se regresan en elementos <rpc-reply>. Usualmente las operaciones de mantenimiento no involucran la modificación de los datos de configuración o al servicio de obtención de datos una operación de mantenimiento puede ser el eliminar un contador de paquetes o reiniciar una tarjeta

§  Solo un dispositivo que soporte la capacidad acción soporta la operación <execute-action>

§  La operación <execute-action> solicita al agente de NETCONF que ejecute un comando de mantenimiento (excluyendo la consulta y comandos básicos de configuración)

§  En el escenario donde la operación <execute-action> es exitosa, el agente NETCONF envía un elemento <rpcreply> que contiene un elemento <ok> de otro modo, el agente NETCONF envía un elemento <rpc-reply> que contiene un elemento <rpc-error>

 

·        Ejecutar la CLI:

§  Esta capacidad indica que el dispositivo puede interactuar con el emisor de la petición en el proceso de la misma

§  Solo un dispositivo con la capacidad “intercambiar” soporta la operación <execute-cli>

§  El manager de NETCONF ejecuta la operación <execute-cli> para ejecutar comando en la CLI a través de NETCONF. Se permite un máximo de 60 comandos en una sola petición de <rpc>. La longitud máxima permitida de una cadena es 512 bytes. La operación execute-cli se comporta como un alto en los errores. Por ejemplo, si hay alguna falla en la ejecución de un comando, entonces no se ejecuta el resto de los comandos dentro la petición <rpc>.

 

·        Actualizar

§  Esta capacidad indica que el dispositivo puede actualizar los datos de la configuración.

§  La operación <update> actualiza los datos de configuración en la base de datos de la configuración <candidate/> con los últimos datos de configuración en la base de datos de configuración <running/> cuando ocurre un conflicto durante el guardado de datos.

§  Si la operación <update> es satisfactoria, el agente NETCONF envía un elemento <rpc-reply> que contiene un elemento<ok>. De otro modo, el agente NETCONF envía un elemento <rpc-reply> que contiene un elemento <rpc-error>.

 

·        Intercambio:

§  esta capacidad indica que el dispositivo puede interactuar con el emisor de la petición dentro del proceso de la misma.

§  Solo un dispositivo con la capacidad intercambio soporta la operación <het-next>.


§  El manager de NETCONF ejecuta la operación <get-next> para interactuar con el agente NETCONF.

§  ´por ejemplo, si el resultado regresado de una operación <get> o <get-config> involucra una gran cantidad de datos, el agente NETCONF  tiene que regresar los datos usando múltiples elementos <rpc-reply>. Después de que el agente de NETCONF recibe el primer elemento <rpc-reply>, el manager de NETCONF interactúa con el agente NETCONF para solicitar el siguiente elemento <rcp-reply> o cancelar la consulta de datos.


§  Si la operación <get-netx> para obtener el siguiente elemento <rpc-reply> es exitosa, el agente NETCONF envía un elemento <rpc-reply> que contiene un elemento <data>. De otro modo, el agente NETCONF envía un elemento <rpc-reply> que contiene un elemento <rpc-error>



Finaliza aqui el tema del PROTOCOLO NETCONF que como ya sevio, es en gran parte aspecto teorico para su análisis y posterior desarrollo.

No olvides compartir, comentar y dejar tu 

  • x
  • convención:

Comentar

Responder
Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse

Aviso Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”
Si el botón para adjuntar no está disponible, actualice Adobe Flash Player con la versión más reciente
¡Ingresa y disfruta de todos los beneficios para los miembros!

¡Ingresa y disfruta de todos los beneficios para los miembros!

Inicia sesión