Základnou činnosťou administrácie počítačových a priemyselných sietí je monitorovanie siete a sieťových zariadení. V rodine protokolov TCP/IP k tomuto účelu slúži protokol SNMP (Simple Network Managment Protocol), ktorý umožňuje sledovať zaťaženie siete, nájsť a riešiť problémy v sieti a plánovať efektívne využitie a rozširovanie siete.

SNMP protokol

SNMP je jednoduchý protokol typu klient – server, ktorý monitoruje zariadenia pripojené v počítačovej sieti. Je to nástroj na riadenie a správu sieťových zariadení. Jeho hlavnou úlohou je rýchle a správne doručovanie správ medzi sieťovými entitami. Klient generuje požiadavky, na ktoré server odpovedá. Samotný protokol sa skladá z troch častí [4]:

• správca (klient) – generuje príkaz, požiadavky
• agent (server) – odpovedá na príkazy
• proxy – riadi prenos SNMP

Správca SNMP

Je softvérová aplikácia, ktorá riadi a monitoruje agentov SNMP. Pracuje nad aplikačnou vrstvou modelu ISO/OSI. Správca generuje príkazy agentom SNMP, vyhodnocuje tieto informácie a eviduje celkový stav siete. Prostredníctvom SNMP je možné čítať údaje zo vzdialených zariadení, meniť ich konfiguráciu alebo reštartovať zariadenie. Správca tiež prijíma správy od agentov, ktoré si sám nevyžiadal (trap messages). Týmito správami agenti oznamujú určitú zmenu stavu, napr. neautorizovaný správca sa pokúša meniť konfiguráciu a pod.. Správy od agentov prijíma na UDP porte číslo 162. [4] 3.1.2 Agent SNMP Agent zhromažďuje informácie o svojich sieťových udalostiach a na požiadanie ich zasiela správcovi. Požiadavkám správcu načúva na UDP porte číslo 161. Údaje sú uložené v MIB databázy (Management Information Base). [4]

Proxy

SNMP proxy zabezpečuje doručovanie správ medzi správcom a agentom a zároveň slúži ako tlmočník pri komunikácií v rozličných verziách protokolu. V súčasnosti existujú tri verzie protokolu SNMPv1, SNMPv2 a SNMPv3, ktoré nie sú navzájom kompatibilné. Aby sa obidve strany dohovorili komunikujú prostredníctvom SNMP Proxy. [4]

=Verzie protokolu SNMP

Každá verzia prináša určité vylepšenia v manažovaní sieťových zariadení prostredníctvom protokolu SNMP.

Verzia 1

SNMPv1 bol prvá implementácia SNMP v praxi. Používa iba päť protokolových operácií: Get, GetNext, GetResponse, Set a Trap. [5]

Get slúži na čítanie hodnoty od agenta. Ak agent nemôže vyhovieť požiadavke Get, nepošle žiadne hodnoty. GetNext slúži na čítanie ďalšej hodnoty v zozname agenta. GetResponse je odpved agenta na príkaz Get alebo GetNext Pomocou operácie Set sa zapisujú nové hodnoty. Týmto spôsobom môže správca meniť nastavenia agenta. Na obrázku 7 je znázornený formát SNMP správy. Pole „Version“ hovorí o použitej verzii protokolu SNMP. Pole „Community“ je názov komunity alebo skupiny, do ktorej komunikujúce entity patria. Agent vždy patrí iba do jednej komunity, naopak správca môže byť zaradený do viacerých. Správca môže takto monitorovať viacero zariadení patriacich do rôznych komunít. [4]

V poli PDU je samotná protokolová operácia. Ak správca žiada o čítanie určitej hodnoty, v poli PDU je protokolová operácia „Get“. Podrobný formát PDU je na obrázku 8. Všetky operácie používajú rovnaký formát správ, výnimkou je sú nevyžiadané Trap správy (obrázok 9). [4]

Trap ako jedinú operáciu negeneruje správca, ale agent touto správou informuje správcu o dôležitých udalostiach. Jednou zo situácií, kedy môže agent generovať Trap správu je, keď správca sa pokúša komunikovať s agentom patriacim do inej komunity ako správca. Vtedy agent túto situáciu hodnotí ako neautorizovaný prístup a informuje o tom svojho správcu.

Formát Trap správy je na obrázku 9. Najdôležitejšie údaje sú poliach „Agent Address“, kde je uvedená IP adresa agenta, ktorý generoval chybu, všeobecný typ chyby je poli „Generic Trap Type“, bližší popis chyby je v poli „Specific Trap Type“. V poli „TimeStamp“ je čas výskytu chyby. [4]

Verzia 2

SNMPv2 je vylepšením prvej verzie protokolu. Operácie používa rovnaké ako verzia 1 a naviac sú špecifikované dve nové operácie: Getbulk a Inform. [5] GetBulk slúži na čítanie veľkého počtu dát, napríklad niekoľko riadkov v tabuľke. Operácia Inform umožňuje výmenu správ medzi viacerými správcami.

Verzia 3

Predchádzajúce verzie protokolu neriešili bezpečnosť prenášaných informácií. Dáta sú prenášané vo forme čistého textu a pre potenciálneho útočníka sú ľahko čitateľné. Hlavné vylepšenie SNMPv3 je v bezpečnosti protokolu. Obsahuje niekoľko úrovní zabezpečenia, ktoré umožňujú enkryptovanie dát, alebo prístup k dátam na základe užívateľských prístupov. Napríklad konkrétny používateľ má prístup iba k niektorým údajom. [5] SNMPv3 rozširuje možnosti použitia protokolu. Umožňuje bezpečnú správu a manažovanie sieťových zariadení cez verejnú sieť Internet.

MIB databáza

Agenti ukladajú dáta vo forme objektov do MIB databázy. Databáza je tvorená stromovou štruktúrou a skladá sa z riadených objektov a ich atribútov [4]. Na obrázku 10 je znázornená štruktúra MIB databázy. V súčasnosti sa používa databáza verzie 2 (MIB-2 alebo MIB-II), ktorá je spätne kompatibilná z MIB.

Každá položka v MIB sa dá jednoznačne popísať pomocou identifikátoru objektu (OID) [5]. OID je tvorený číslom uzla, jednotlivé úrovne sú oddelené bodkou. Položka na obrázku 11 má OID 1.1.3.6.1.

Každý uzol v databáze MIB je označený číslom ale aj slovným popisom [5]. Napríklad číselné OID 1.3.6.1 má slovný popis „iso.org.dod.internet“ (obrázok 10).

OPC protokol

OPC protokol (OLE for Process Control) je komunikačný protokol, ktorého úlohou je zabezpečiť jednotné rozhranie medzi hardvérom a softvérom v oblasti priemyselnej automatizácie [2]. Architektúra protokolu je typu klient – server, primárne ide o dva typy OPC Server a OPC Klient. OPC protokol je založené na protokole DCOM (Distributed Component Object Model) čo je programové rozhranie používané v operačných systémoch Microsoft Windows na komunikáciu medzi klientom a serverom [2]. DCOM je rozšírením pôvodného protokolu COM. Pri COM môže komunikácia prebiehať iba v rámci jedného počítača, DCOM umožňuje komunikáciu viacerých počítačov v rámci lokálnej siete alebo aj cez verejnú sieť Internet. Na prenos údajov v sieti využíva protokol TCP/IP. Služba DCOM štandardne načúva na porte 135. [1] Vďaka OPC je možné prevádzkovať hardvér a softvér od rôznych výrobcov a s rôznym komunikačný rozhraním. Podmienkou je existencia OPC rozhrania na oboch komunikačných entitách, alebo OPC server na strane hardvéru a OPC klient na strane softvéru. [1]

OPC klient

OPC klient je softvérová aplikácia, ktorá prijíma dáta prostredníctvom OPC protokolu od jedného alebo viacerých OPC serverov a získane údaje prezentuje vo forme vizualizácie používateľovi. Používateľ môže dáta nie len prezerať, ale prostredníctvom klientskej aplikácie môže zadávať nové hodnoty. [2]

OPC server

OPC server je softvérová aplikácia, ktorá komunikuje s pripojeným hardvérovým zariadením s jeho komunikačným protokolom. Údaje prevádza do OPC protokolu a poskytuje ich nadradeným aplikáciám, OPC klientom. [2]

SAE SNMP OPC server

Aplikácia SNMP OPC server oproti klasickému OPC serveru v sebe implementuje manažéra SNMP. Toto riešenie sa používa pri monitorovaní sieťových zariadení, ktoré používajú SNMP protokol a je potrebné ich integrovať s rôznymi HMI alebo SCADA systémami. [3]

SNMP OPC server na jednej strane komunikuje s pripojeným zariadením príkazmi protokolu SNMP a na druhej strane komunikuje s klientmi prostredníctvom protokolu OPC. Obrázok 12 znázorňuje typické použitie SNMP OPC servera.

Nastavenie adresného priestoru

Po inštalácii SAEAUT SNMP OPC servera je dôležité nastaviť pracovné prostredie servera, t.j. povedať serveru, ktoré zariadenia bude monitorovať. Nastavenie so robí v okne konfigurátora. V hlavnom menu vyberieme položku „Edit“ -> „New“ ->„Device“, zobrazí sa okno pre pridanie nového zariadenia (obrázok 13).

Name“ hovorí o názve zariadenia, pod týmto meno sa zariadenie bude prezentovať v serveri.

• „IP Address“ je sieťová IP adresa monitorovaného zariadenia, SNMP agenta. Táto položka je dôležitá a musí byť správane zadaná v opačnom prípade nebude server s agentom komunikovať.
• „Community“ je názov komunity SNMP agenta. Aj táto položka musí byť správne zadaná, inak agent nebude komunikovať zo serverom, ale bude generovať Trap správy.

Nastavenie pripojenia „Connection settings“ môžeme nechať na štandardných hodnotách. Posledným krokom, ktorý je nutné vykonať pred začatím monitorovania zariadenia je import MIB databázy. Kliknutím pravým tlačidlom myši na zariadenie sa zobrazí menu, v ktorom vyberieme „MIB Browse (On-Line)“, zobrazí sa okno na prezeranie MIB databázy zariadenia (obrázok 14).

Po kliknutím na tlačidlo „Load MIB (On-Line)“, server načíta celú MIB databázu zariadenia do prehliadača (ľavá časť okna – obrázok 14). Kliknutím na tlačidlo „Transfer object(s) to configuration“ importujeme databazu do pracovného prostredia SAEAUT SNMP OPC servera od vybratého uzla. Na obrázku 14 je vybraný uzol MIB-2. Importujú sa všetky podriadené uzly.

OpcDbGateway

OpcDbGateway je softvérová aplikácia z kategórie SCADA systémov. Slúži na zber údajov z externých zariadení, ku ktorým je pripojený OPC server [3]. To znamená, že OpcDbGateway nevytvára priame spojenie s monitorovanými zariadeniami, ale údaje zberá z OPC servera, ktorý má priame pripojenie zo zariadením. Tieto údaje ďalej spracováva a ukladá do procesných databáz a súborov [3]. Spracované údaje poskytuje ďalším aplikáciám, napr. OPC klientom. Typickú činnosť OpcDbGateway ilustruje obrázok 15. Hlavným rozdielom OpcDbGateway oproti OPC serveru je ukladanie dát do databáz a súborov. Používateľ má tak k dispozícii nie len aktuálne ale aj staršie dáta, z ktorých môže vytvárať rôzne reporty, alebo sledovať históriu zmien monitorovaných veličín

Konfigurácia OpcDbGateway

Pre správnu činnosť celého systému je potrebné vykonať základné nastavenia OpcDbGateway. Tvorba konfigurácie a zmena nastavení sa robí v okne konfigurátora a pozostáva s týchto krokov [3]:

• Definovanie externých OPC serverov, z ktorých OpcDbGateway bude zberať údaje.
• Definovanie jednotlivých procesných databáz, spôsob prístupu k databázam a ich štruktúra.
• Definovanie operácií, ktoré sa budú vykonávať s údajmi.

Mapovaním adresného priestoru (obrázok 16) sa definujú externé OPC servery, ku ktorým sú pripojené monitorované zaradenia. To znamená, že tieto zariadenia tvoria adresný priestor SAEAUT SNMP OPC servera (obrázok 13).

OPC server sprostredkováva množstvo údajov a premenných, tieto údaje je možné prevziať do konfigurácie OpcDbGateway použitím funkcie „Mapovanie konfigurácie externého OPC servera“ (obrázok 16). Použitie funkcie je jednoduché a ušetrí množstvo práce a času pri manuálnom mapovaní konfigurácie.

Zhrnutie

Pre svoju jednoduchosť a ľahkú implementáciu nezávislú na operačnom systému je SNMP protokol ideálny pre manažovanie počítačových sieti. Poskytuje množstvo informácií o stave monitorovaných zariadení a umožňuje ich vzdialenú správu. Sieťové zariadenia je možné manažovať aj cez verejnú sieť. V takomto prípade netreba zabúdať na bezpečnostnú politiku a použiť protokol verzie 3. OPC protokol sa stal štandardom pre aplikácie používané v oblasti automatizácie. Protokol zjednocuje komunikačné rozhranie so zariadeniami od rôznych výrobcov s rôznym komunikačným rozhraním. Vývojári softvéru ako sú OPC servery a OPC klienti, nemusia programovať ovládač pre každé zariadenie, ktoré chcú monitorovať, ale stačí implementácia OPC protokolu. OPC protokol zabezpečí komunikáciu s obrovským počtom priemyselných zariadení a pritom programátor nemusí napísať ani riadok kódu pre ovládač zariadenia. Spojením protokolov SNMP a OPC vzniká silný nástroj pre monitorovanie a manažment počítačovej i priemyselnej siete.