Základnou činnosťou administrácie počítačových i priemyselných sietí je monitorovanie siete a sieťových zariadení. V sieťach typu TCP/IP je k tomuto účelu určený protokol SNMP. Pre svoju jednoduchosť a ľahkú implementáciu nezávislú na operačnom systému je SNMP ideálny protokol pre manažovanie počítačových i priemyselných sieti. Poskytuje množstvo informácií o stave monitorovaných zariadení, dokáže manažovať zariadenia (meniť konfiguráciu, reštartovať a pod.) a vďaka smerovaniu aj vzdialenú správu cez verejnú sieť.

SNMP protokol

SNMP je jednoduchý protokol typu klient – server, ktorý monitoruje zariadenia pripojené v počítačovej sieti. Je to nástroj na riadenie a správu sieťových zariadení. Jeho hlavnou úlohou je rýchle a správne doručovanie správ medzi sieťovými entitami. Klient generuje požiadavky, na ktoré server odpovedá. Samotný protokol sa skladá z troch častí [4]:

• správca (klient) – generuje príkaz, požiadavky,
• agent (server) – odpovedá na príkazy,
• proxy – riadi prenos SNMP.

Správca SNMP

Je softvérová aplikácia, ktorá riadi a monitoruje agentov SNMP. Pracuje v aplikačnej vrstve modelu TCP/IP. Správca generuje príkazy agentom SNMP, vyhodnocuje tieto informácie a eviduje celkový stav siete. Prostredníctvom SNMP je možné čítať údaje zo vzdialených zariadení, meniť ich konfiguráciu alebo reštartovať zariadenie. Správca tiež prijíma správy od agentov, ktoré si sám nevyžiadal (trap messages). Týmito správami agenti oznamujú určitú zmenu stavu, napr. neautorizovaný správca sa pokúša meniť konfiguráciu a pod.. Správy od agentov prijíma na UDP porte číslo 162. [4], [7]

Agent SNMP

Agent zhromažďuje informácie o svojich sieťových udalostiach a na požiadanie ich zasiela správcovi. Požiadavkám správcu načúva na UDP porte číslo 161. Údaje o zariadeniach sú uložené v MIB databáze (Kap. 3.1.5). [4]

Obr. 4 Komunikácia Správca - Agent

Proxy

SNMP proxy zabezpečuje doručovanie správ medzi správcom a agentom. V prípade rozličných verzií protokolu (Kap. 5.4.1) zastáva úlohu tlmočník v komunikácií. [4]

Verzie protokolu SNMP

V súčasnosti existujú tri verzie protokolu: SNMPv1, SNMPv2 a SNMPv3. Jednotlivé verzie protokolu nie sú navzájom kompatibilné a ich vzájomná komunikácia je sprostredkovávaná cez SNMP Proxy. Každá nová verzia zo sebou prináša určité vylepšenia v manažovaní sieťových zariadení prostredníctvom protokolu SNMP.

SNMP verzia 1

SNMPv1 bol prvá implementácia SNMP protokolu v praxi. Podľa [7] používa iba päť protokolových operácií:

• Get,
• GetNext,
• GetResponse,
• Set,
• Trap.

Pomocou operácie Get správca požaduje hodnoty od agenta. Ak agent nemôže vyhovieť požiadavke Get, nepošle žiadne hodnoty. [7] Operácia GetNext má podobné využitie ako Get s rozdielom, že správca žiada o hodnotu ďalšej položky v zozname agenta. [7] Operáciou GetResponse agent odpovedá na požiadavky zadané správcom operáciami Get a GetNext. [7] Pomocou operácie Set sa zapisujú nové hodnoty položiek. Týmto spôsobom môže správca meniť nastavenia agenta. [7]

Obr. 7 Formát SNMP správy [4]

Základný formát paketu SNMP správy (Obr. 5) je jednoduchý. V hlavičke správy je označenie verzie SNMP protokolu a názov komunity alebo skupiny, do ktorej patria obe komunikujúce entity. Slúži na overenie totožnosti medzi agentom a správcom. Agent vždy patrí iba do jednej komunity, naopak správca môže byť členom viacerých komunít. Správca môže takto monitorovať viacero zariadení patriacich do rôznych komunít. Veľkosť hlavičky paketu, pola pre verziu a komunitu, má pevnú šírku (Tab. 3). [6]

V poli PDU (Protocol Data Unit) je uvedená samotná protokolová operácia. Má premenlivú veľkosť (Tab. 3) závislú od množstva prenášaných dát. Podrobný formát PDU poľa je znázornený na Obr. 6. [4]

V poli Typ PDU je uvedená protokolová operácia, Get, GetNext a pod. Všetky operácie používajú rovnaký formát správ, výnimkou sú nevyžiadané Trap správy, ktoré používajú iný formát správy (Obr. 7)

ID požiadavky je číslo na základe, ktorého sa páruje požiadavka správcu s odpoveďou agenta. [6]

Obr. 6 Formát SNMP PDU správy [4]

Chybový stav

hovorí správcovi v akom stave je jeho požiadavka. Má šesť hodnôt (Tab. 4). [6]

Index chyby

ukazuje na objekt, ktorý generoval chybu. Ak v poli pre chybový stav je nula, index chyby je nulový. V žiadosti je index chyby vždy nulový. [6]

Trap ako jedinú operáciu negeneruje správca, ale agent, ktorý touto správou informuje správcu o výskyte dôležitý udalostí. Jednou zo situácií, kedy môže agent generovať Trap správu je, keď správca sa pokúša komunikovať s agentom patriacim do inej komunity ako správca. Vtedy agent túto situáciu hodnotí ako neautorizovaný prístup a informuje o tom svojho správcu. [6]

Formát Trap (Obr. 7) je odlišný od formátu ostatných protokolových operácií. V poli Typ PDU je uvedená iba jedna hodnota Trap správa.

Skupina

je identifikátorom objektu pre skupiny, ktorý generoval nevyžiadanú (Trap) správu.

Adresa

agenta je 32 bitové číslo IP adresy agenta, ktorý generoval nevyžiadanú správu.

Obr. 7 Formát SNMP Trap správy [4]

Generický typ správy

udáva typ preddefinovanej nevyžiadanej správy. Dôvod prečo bola správa generovaná. Podľa [4] má sedem preddefinovaných stavov (Tab. 6).

Špecifický typ správy

udáva špecifický typ nevyžiadanej správy. Upresňuje dôvod generovania správy.

Časová pečiatka

je čas kedy bola správa generovaná.

Prehľad veľkosti v bitoch, ktoré sú vyhradené pre jednotlivé polia nevyžiadanej správy sú uvedené v Tab. 7.

SNMP verzia 2

Druhá verzia prichádza z určitými vylepšeniami oproti prvej verzie protokolu a podľa [6] bol určený na posilnenie SNMPv1 v mnohých oblastiach, vrátane definícií MIB objektov a bezpečnosti. V druhej verzii pribudli dve nové protokolové operácie GetBulk a Inform .

GetBulk slúži na čítanie veľkého počtu dát, napríklad niekoľko riadkov v tabuľke. [6]

Operácia Inform umožňuje výmenu správ medzi viacerými správcami.[6]

Počas vývoja druhej verzie protokolu sa do praxi dostali štyri jeho variácií pod označením: SNMPv2p, SNMPv2c, SNMPv2u s SNMPv2*. Každý variant druhej verzie protokolu používa iný formát hlavičky správy. Formát dátového poľa PDU je pre všetky varianty rovnaký. [6]

Základný formát dátového poľa PDU je rovnaký ako pri predchádzajúcej verzii (Obr. 6). V poli Typ PDU v druhej verzii protokolu sú hodnoty uvedené v Tab. 8:

V poli Chybový stav (Obr. 6) druhej verzii SNMP protokolu je preddefinovaných viac stavov ako v prvej verzii implementácii protokolu. Prvých šesť stavov (Tab. 4) je totožných v oboch verziách SNMP protokolu. Rozšírenie chybových stavov druhej verzie je uvedené v Tab. 10. Protokolová operácia GetBulk používa špeciálny formát dátového poľa (PDU) [6]. Hlavička správy je nasledovná:

SNMP Verzia 3

Posledná verzia protokolu, ktorá bola aplikovaná do praxe mala za úlohu vyriešiť problémy, ktoré vznikli s nasadením rôznych variácií SNMP protokolu verzie 2 [6]. Tretia verzia používa rovnaké protokolové operácie ako SNMPv2 aj rovnaký formát dátového poľa PDU.

Hlavné vylepšenie SNMPv3 je v bezpečnosti protokolu. Obsahuje niekoľko úrovní zabezpečenia, ktoré umožňujú šifrovanie dát, alebo prístup k dátam na základe užívateľských prístupov. Napríklad konkrétny používateľ má prístup iba k niektorým údajom. Použitie nových bezpečnostných prvkov v SNMPv3 umožňuje bezpečnú správu a manažovanie sieťových zariadení cez verejnú sieť Internet. [6], [9]

MIB databáza

Agenti ukladajú dáta vo forme objektov do MIB databázy. Databáza je tvorená stromovou štruktúrou a skladá sa z objektov a ich atribútov, ktoré objekt popisujú [11]. SMI (Structure and Identification of Management Information) definuje pravidlá pre pomenovávanie typov dát [12]. Podľa SMI je každý uzol v databáze popísaný atribútmi uvedenými v Tab. 12.

V súčasnosti sa používajú dve verzie databázy MIB-2 a MIB-1 a sú navzájom kompatibilné. Stromová štruktúra MIB databázy je znázornená na Obr. 8.

Obr. 8 Stromová štruktúra MIB databázy

Podľa [8] sa každá položka v MIB databáze dá jednoznačne popísať pomocou identifikátoru objektu (OID). Identifikátor objektu je celá cesta z koreňa databázy (ROOT) po položku (Obr. 9). OID je tvorený číslom uzla, jednotlivé úrovne sú oddelené bodkou. [12] Položka na Obr. 9 má OID 1.1.3.6.1.

Obr. 9 Stromová štruktúra MIB databázy

Každý uzol v MIB databáze je označený nielen číslom ale aj slovným popisom [10] [12]. Napríklad číselné OID 1.3.6.1 má slovný popis „iso.org.dod.internet“ (Obr. 8).

SMI definuje dátové typy pre siete typu TCP/IP. S použitím týchto typov bola definovaná prvá verzia MIB databázy. SMI definuje agregátne dátové typy a neagregátne dátové typy. [12]

Výpis č. 1 Použitie SNMP operácie z príkazového riadka

$ snmpget -v 1 -c public 192.168.5.3 sysUpTime.0
DISMAN-EVENT-MIB::sysUpTimeInstance = Timeticks: (295214760) 34 days, 4:02:27.60

Vo výpise č. 1 je príklad čítania z MIB databázy prostredníctvom SNMP protokolu. Na zistenie hodnoty z MIB databázy, v tomto prípade je to čas prevádzky (sysUpTime), je použitý príkaz snmpget z príkazového riadku operačného systému. Prvá voľba (-v) hovorí o použitej verzii SNMP protokolu (verzia 1). Táto voľba nie je povinná, systém vie automaticky zistiť verziu protokolu agenta. Druhá voľba (-c), za ktorou nasleduje textový reťazec je povinná, slovo public je názov komunity SNMP agenta. Za komunitou nasleduje IP adresa zariadenia, z ktorého chceme čítať údaje. Miesto IP adresy sa môže použiť doménové meno zariadenia, ak existuje. Za identifikáciou zariadenie nasleduje názov položky, ktorej hodnotu chcem zistiť. Namiesto príkazu snmpget môžeme použiť príkaz snmpwalk, ktorý vypíše obsah celej MIB databázy (všetky položky). Nová hodnota sa nastavuje príkazom snmpset.

OPC protokol

OPC protokol sa stal štandardom pre aplikácie používané v oblasti priemyselnej automatizácie. Protokol vytvára jednotné komunikačné rozhranie so zariadeniami od rôznych výrobcov a s rôznym komunikačným rozhraním [13]. Architektúra protokolu je typu klient – server, primárne ide o dva typy: OPC Server a OPC Klient.

Vývoj protokolu je realizovaný pod záštitou združenia OPC Foundation, ktoré podľa [17] má v súčasnosti viac ako 350 členov. Medzi členov združenia patrí napríklad švajčiarsky CERN, nemecký Siemens AG, americký Microsoft Corporation ale i slovenská spoločnosť SAE Automation Nová Dubnica.

Pri monitorovacích systémoch bez použitia OPC protokolu (Obr. 10) musí každá aplikácia vedieť komunikovať so zariadením s jeho komunikačným protokolom. Zariadenia môžu používať rôzne komunikačné protokoly, napr. TSAA, Modbus alebo DDE. Navyše zariadenie môže byť monitorované viacerými aplikáciami. Takéto riešenie je dosť nepraktické, pretože už pri budovaní monitorovacieho systému sme obmedzovaní možnosťami vzájomnej komunikácie medzi softvérom a zariadením, čo sa môže odraziť aj zvýšením finančných prostriedkov pri budovaní monitorovacieho systému. [14]

Obr. 10 Riešenie bez OPC protokolu [14]

Problém s rôznymi komunikačnými protokolmi rieši použitie OPC protokolu (Obr. 11). Vďaka OPC protokolu je možné prevádzkovať hardvér a softvér od rôznych výrobcov s rôznym komunikačným rozhraním. Podmienkou je existencia OPC rozhrania na oboch komunikačných entitách, alebo OPC server na strane hardvéru a OPC klient na strane softvéru. Klientska aplikácia nemusí poznať komunikačné rozhranie zariadenia, všetko zabezpečí OPC protokol. [15]

Obr. 11 Riešenie s OPC protokolom [14]

Vývojári softvéru ako sú OPC servery a OPC klienti, nemusia programovať ovládač pre každé zariadenie, ktoré chcú monitorovať, ale stačí implementácia OPC protokolu. Protokol zabezpečí komunikáciu s obrovským počtom priemyselných zariadení a pritom programátor nemusí napísať ani riadok kódu pre ovládač zariadenia. [15] OPC protokol je založený na protokole DCOM (Distributed Component Object Model) čo je programové rozhranie používané v operačných systémoch Microsoft Windows na komunikáciu medzi klientom a serverom [16]. DCOM je rozšírením pôvodného protokolu COM. Pri COM môže komunikácia prebiehať iba v rámci jedného počítača, DCOM umožňuje komunikáciu viacerých počítačov v rámci lokálnej siete alebo aj cez verejnú sieť Internet. Na prenos údajov v sieti využíva protokol TCP/IP. Služba DCOM štandardne načúva na porte 135. [16]

OPC špecifikácia

OPC protokol má niekoľko špecifikácií, ktoré slúžia k rôznemu účelu. OPC Foundation vydal nasledovné špecifikácie [16]:

• OPC DA (Data Access). Táto špecifikácia poskytuje prístup k údajom v reálnom čase to znamená, že aplikácia má k dispozícii posledné hodnoty. Najviac sa používa pri tvorbe serverových a klientskych OPC aplikácií,
• OPC DHA (Historical Data Access). Špecifikácia je určená na prístup k histórii procesných údajov, ktoré je možné potom analyzovať a hodnotiť. Údaje sú zvyčajne uložené v archívoch alebo v databázach,
• OPC AE (Alarms and Events). OPC AE servery sa používajú na výmenu a potvrdzovanie alarmov a udalostí,
• OPC DX (Date eXchange). Definuje spôsob výmeny dát medzi OPC servermi,
• OPC XML (XML Data Access). Táto špecifikácia je založená na štandarde XML. Špecifikácia umožňuje prístup k údajom zo všetkých operačných systémov, nie len Microsoft Windows.

OPC klient

OPC klient je softvérová aplikácia, ktorá prijíma dáta prostredníctvom OPC protokolu od jedného alebo viacerých OPC serverov a získane údaje prezentuje vo forme vizualizácie používateľovi. Používateľ môže dáta nie len prezerať, ale prostredníctvom klientskej aplikácie môže zadávať nové hodnoty. [16]

OPC server

OPC server je softvérová aplikácia, ktorá komunikuje s pripojeným hardvérovým zariadením s jeho komunikačným protokolom. Údaje prevádza do OPC protokolu a poskytuje ich nadradeným aplikáciám, OPC klientom. [16]

SAE SNMP OPC server

Aplikácia SNMP OPC server je softvérová aplikácia od spoločnosti SAE Automation Nová Dubnica. Oproti klasickému OPC serveru v sebe implementuje manažéra SNMP. Toto riešenie sa používa pri monitorovaní sieťových zariadení, ktoré používajú SNMP protokol a je potrebné ich integrovať s rôznymi HMI alebo SCADA systémami. [13]

Obr. 12 Použitie SAEAUT SNMP servera [3]

SNMP OPC server (Obr. 12) komunikuje s pripojeným zariadením (SNMP Agent) pomocou operácií SNMP protokolu. Získane údaje zo zariadení poskytuje nadradeným aplikáciám prostredníctvom protokolu OPC. SNMP OPC server používa tri OPC špecifikácie: OPC XML pre výmenu dát v XML formáte, OPC DA pre klasického OPC klienta a OPC AE pre alarmy a udalosti.

Nastavenie adresného priestoru

Po inštalácii SAEAUT SNMP OPC servera je dôležité nastaviť pracovné prostredie servera, to znamená povedať serveru, ktoré zariadenia bude monitorovať. Nastavenie so robí v okne konfigurátora. V hlavnom menu vyberieme položku „Edit“ -> „New“ ->„Device“, zobrazí sa okno pre pridanie nového zariadenia (Obr. 13).

Obr. 13 Pridanie nového zariadenia

• Name hovorí o názve zariadenia, pod týmto menom sa zariadenie bude prezentovať v serveri,
• IP Address je sieťová IP adresa monitorovaného zariadenia, SNMP agenta. Táto položka je dôležitá a musí byť správane zadaná v opačnom prípade nebude server s agentom komunikovať,
• Community je názov komunity SNMP agenta. Aj táto položka musí byť správne zadaná, inak agent nebude komunikovať zo serverom, ale bude generovať Trap správy.

Nastavenie pripojenia „Connection settings“ môžeme nechať na štandardných hodnotách. Posledným krokom, ktorý je nutné vykonať pred začatím monitorovania zariadenia je import MIB databázy. Kliknutím pravým tlačidlom myši na zariadenie sa zobrazí menu, v ktorom vyberieme „MIB Browse (On-Line)“, zobrazí sa okno na prezeranie MIB databázy zariadenia (Obr. 14).

Obr. 14 Použitie SAEAUT SNMP servera

Po kliknutím na tlačidlo „Load MIB (On-Line)“, server načíta celú MIB databázu zariadenia do prehliadača (ľavá časť okna – Obr. 14). Kliknutím na tlačidlo „Transfer object(s) to configuration“ importujeme databázu do pracovného prostredia SAEAUT SNMP OPC servera od vybratého uzla. Na Obr. 14 je vybraný uzol MIB-2. Importujú sa všetky podriadené uzly.

OpcDbGateway

OpcDbGateway je softvérová aplikácia z kategórie SCADA systémov. Slúži na zber údajov z externých zariadení, ku ktorým je pripojený OPC server [13]. To znamená, že OpcDbGateway nevytvára priame spojenie s monitorovanými zariadeniami, ale údaje zberá z OPC servera, ktorý má priame pripojenie zo zariadením. Tieto údaje ďalej spracováva a ukladá do procesných databáz a súborov [13]. Spracované údaje poskytuje ďalším aplikáciám, napr. OPC klientom.

OpcDbGateway (Obr. 15) má v sebe implementovaného OPC klienta. Cez toto rozhranie komunikuje s pripojeným OPC server, od ktorého získava údaje o procesoch. Získane údaje ukladá do procesných databáz. Taktiež má v sebe implementovaný OPC server, ktorý mu umožňuje komunikovať s OPC klientom. OpcDbGateway má k dispozícii DLL rozhranie, ktoré slúži na pripojenie externých zariadení. Vlastné nastavenia sú uložené v konfiguračnej databáze.

Obr. 15 Spracovanie údajov pomocou OpcDbGateway [3]

Použitím aplikácie OpcDbGateway má používateľ k dispozícii nielen aktuálne ale aj staršie dáta, z ktorých môže vytvárať rôzne reporty, alebo sledovať históriu zmien monitorovaných veličín.

Konfigurácia OpcDbGateway

Pre správnu činnosť celého systému je potrebné vykonať základné nastavenia OpcDbGateway. Tvorba konfigurácie a zmena nastavení aplikácie sa robí v okne konfigurátora a pozostáva s týchto krokov [13]:

• Definovanie externých OPC serverov, z ktorých OpcDbGateway bude zberať údaje,
• Definovanie jednotlivých procesných databáz, spôsob prístupu k databázam a ich štruktúra,
• Definovanie operácií, ktoré sa budú vykonávať s údajmi.

Mapovaním adresného priestoru sa definujú externé OPC servery, ku ktorým sú pripojené monitorované zaradenia. V podstate sú to zariadenia, ktoré tvoria adresný priestor SAEAUT SNMP OPC servera (Obr. 13). OPC server sprostredkováva množstvo údajov a premenných, tieto údaje je možné prevziať do konfigurácie OpcDbGateway použitím funkcie „Mapovanie konfigurácie externého OPC servera“. Použitie funkcie je jednoduché a ušetrí množstvo práce a času ako pri manuálnom mapovaní konfigurácie.