Počítačové sítě 1 Přednáška č.11 Management sítí
Osnova = Základní principy managementu sítí = Protokol SNMP = Monitoring počítačových sítí = Nástroje pro monitoring sítě
LAN sítě = Původní LAN sítě = Řádově desítky uživatelů a koncových zařízení = Většinou uniformní aktivní síťové prvky = File server = Několik tiskáren = Relativně jednoduchá správa = Současné LAN sítě heterogennost = Řádově stovky až tisíce uživatelů a koncových zařízení = Aktivní prvky různých typů a od různých výrobců = Různé přenosové rychlosti a technologie v různých částech sítě = Různé přenosové protokoly = Různé OS na koncových zařízeních
Management sítě = Management (správa) sítě je výkon funkcí požadovaných pro kontrolu, plánování, rozvržení, rozmístění, koordinaci a monitorování zdrojů sítě = Počáteční plánování sítě = Konfigurace sítě a řešení závad = Nastavení výkonu sítě a směrování provozu = Aplikování bezpečnostních politik v síti = Accounting v síti = Management zátěže v síti = Automatická detekce/prevence průniků do sítě = Detekce a případná oprava havárií v síti = Signalizace chybových stavů v síti = Správa aktivních prvků v síti = Dozor nad službami v síti = Podpora a rozvoj systému pro management sítě = Tvorba statistik a přehledů
Diagnostika v síti = Bez diagnostiky v počítačové síti není možná její efektivní správa = Bez diagnostiky dochází k řízení naslepo se všemi důsledky nejsme schopni říci, co se v síti děje = Správu velkého množství síťových prvků v současné době umožňují nástroje managementu sítí
Architektura síťového managementu = NMS = Manager - Agent = Přenos a komunikace mezi správcem sítě a agenty na jednotlivých síťových zařízeních (servery, stanice, aktivní prvky ) = Každé zařízení o sobě poskytuje informace = Agent = Malý program, reprezentující dané zařízení, který neustále monitoruje a sbírá informace o všech dostupných funkcích a stavech daného zařízení = Ukládá je do speciální databáze (management database) = Veškerá komunikace mezi manažerem a agentem je vykonávána prostřednictvím Network Management Protocol
Architektura síťového managementu = Získání informací o daném zařízení = Manažer vyšle požadavek na dané zařízení (pooling aktivita) automaticky (v určených intervalech) nebo na vyžádání správcem a vyhodnotí informace poskytované agentem = Agent detekuje stavy definované hodnoty = HW porucha, = Zátěž zařízení nad stanovený limit = Pokus o neznámý přístup = Ukončení automatické aktualizace = Atd. a vyšle trap možnost provedení definovaných akcí = Kontinuální monitorování je z důvodu zátěže sítě nereálné = Efektivita je zajištěna kombinací pooling a trap aktivity managera a agenta
Aktivity správy sítě Politika správy INTERPRET Entity správy MONITOR ŘÍZENÍ Zdroje výpočetního systému = Základní strategie správy sítě je realizována = jednotlivými entitami správy = taktikami pomocí současného monitorování řízení subsystémů = Obecný cyklus operací: Monitorování stavu a příjem zpráv o událostech v síti Interpretace dle politiky správy a výběr rozhodnutí Provedení řídící operace
Metriky = Datové elementy, které indikují chování systému, subsystému nebo aplikace. Správný výběr je kritický pro úspěch řízení systémů = Skupina nejvyšší úrovně - Indikátory stavu s interpretaci: = zelená - vše v pořádku = žlutá - pozor, vzniká problém = červená - nastal problém = Souhrn více hodnot - health compliance (zdraví systému) = Informace v případě anomálie - management-by-exception = Skupina střední až vyšší úrovně = Dostatečný počet metrik pro rozpoznání a pochopení problému alespoň 80% případů = Uchování pro pozdější analýzu = Skupina detailní úrovně = Vyřešení zbylých 20% problémových případů = Všechny metriky, které je systém schopen poskytnout = Detailní sady pro jemné ladění a optimalizaci systému = Použití většinou jen po nezbytně nutnou dobu
Metriky = Popisuje základní funkce síťového managementu. Je čtvrtou částí standardu OSI Basic Reference Model (ISO/IEC 7498-4), popisujícího síťový komunikační model = Správa výkonu - performance management = měření výkonnosti a zatížení jednotlivých systémů sítě. = Reaktivní management - nastavení prahových úrovní a akcí = Proaktivní management - simulační metody ( what if ) = Správa konfigurace - configuration management = Vliv elementů sítě na síťové operace, ukládání do databáze. = Fyzické výpočetní systémy, komunikační prvky, kabeláž = Logické - síťové OS, klientské OS, protokoly, aplikace. = Účetní a evidenční správa - accounting management = Monitorování parametrů využití sítě jednotlivými uživateli = Správa poruch a chyb - fault management = Detekce chyb a poruch, izolace a záznam do chybového souboru = Správa bezpečnosti - security management = Přístup k síťovým zdrojům podle stanovených pravidel
SNMP Simple Network Management Protocol
Simple Network Management Protocol = SNMP je jednoduchý protokol pro správu sítě = aplikační protokol, který nabízí služby správy nad IP, je založen na modelu klient/server = Klientský program, síťový manažer, vytváří virtuální spojení se SNMP agentem, který běží na sledovaném síťovém zařízení = Agent monitoruje stav zařízení a poskytuje o něm informace manageru (např. počet zpracovaných paketů/sec atd.) = Informace, poskytované agentem, jsou uspořádány podle databáze MIB (Management Information Base), která svojí strukturou odpovídá danému zařízení = Standard RMON (Remote Monitoring) = vzdálené monitorování, odlehčuje komunikaci přesunutím části činnosti na agenta = SNMP je protokol vyšších aplikačních vrstev OSI modelu = umožňuje poskytovat on-line informace o všech zařízeních připojených na síť nebo jednotlivé části sítě propojujících = Je závislý na protokolech nižších vrstev, které musí podporovat jednotlivá spravovaná zařízení
Verze protokolu SNMP = SNMP Verze 1 = Vznik v roce 1991 = RFC 1157 - A Simple Network Management Protocol (SNMP) = RFC 1155 Definuje stromovou strukturu informací a pravidla pro přiřazování názvů objektům = RFC 1212 - Concise MIB Definitions = Dále rozšiřující RFC RFC 1155, RFC 1213 = Nemá žádné prostředky pro komunikaci mezi managery = Funkce managementu nemůže být distribuována mezi více správcovských konzol = Nemožnost získat větší množství dat jediným dotazem = např. celou velkou směrovací tabulku = Slabé zabezpečení protokolu = Hesla i přenášená data jsou přenášena v plain-textu
Verze protokolu SNMP = SNMP Verze 2 = Vyvinut v roce 1993 = Definován v RFC 1441 a RFC 1452 = Zvýšená úroveň bezpečnosti = Schopnost požadavku většího množství dat (bulk retrieval) = Schopnost komunikace manager-manager = Zvětšení efektivity protokolu i na jiných přenosových protokolech než IP = Avšak příliš složitá implementace zejména v oblasti bezpečnosti = Proto vzniká User-Based Simple Network Management Protocol version 2 neboli SNMPv2u definován v RFC 1910 = SNMPv2u poskytuje vyšší bezpečnost avšak nezvyšuje složitost jako SNMPv2
Verze protokolu SNMP = SNMP Verze 3 = Schválena v roce 2004 = Popsána v RFC 3411-3418 = Hlavním přínosem třetí verze je zvýšení bezpečnosti = Autentizace správce je povinen se přihlásit svým uživatelským jménem a heslem které se přenášejí v hash formě oproti community řetězci přenášeném v čistém textu = Soukromí veškeré zprávy mezi správcem a agentem jsou šifrované = Řízení přístupu pomocí ACL lze omezit přístup správce k agentovi
Simple Network Management Protocol MIB soubory zařízení MIB kompilátor Uživatel SNMP MIB databáze SNMP Manager Reporty dotazy odpovědi Uložené dotazy SNMP Agent Spravované zařízení
Simple Network Management Protocol = SNMP Agent = Neposkytují žádný grafický interface = Slouží pro sběr a přenos informací = Interpretace získaných informací např. v grafické podobě zařízení je věcí aplikace, která běží na management stanici = Je malý a jednoduchý a má minimální vliv na funkci monitorovaného zařízení = Pro SNMP Managera je vhodné obětovat plný výkon dedikované management stanice (serveru) = SNMP pracuje jako dotazovací protokol, tedy datagramový = Nevýhodou je nezajištěnost spolehlivosti při přenosu dat = Pakety se mohou ztratit nebo promíchat = Manager periodicky dotazuje není-li potřeba zaměřit zvýšenou pozornost na některé zařízení = Z hlediska efektivity a vytížení sítě není možné provádět polling na všechna zařízení s velkou frekvencí = Manager přijme varovný trap a zaměří se na problém - trap directed polling = Trapy jsou nepotvrzované pakety, doručení není spolehlivé = Nedostáváme-li žádné trapy, nemusí být ještě vše v pořádku!
SNMP Operace = SNMP je asynchronní protokol typu požadavek/odpověď, má jen 5 funkcí: = GetRequest = žádost o informaci, kterou posílá Manager Agentovi, o stavu nebo hodnotě jistého objektu. ( Read ) = GetNextRequest = žádost o další informaci v hierarchickyorganizované nižší vrstvě MIB struktury = GetResponse = tento příkaz je vyslán Agentem jako odpověď na příkaz GetRequest -návrat vyžádané informace = SetRequest = příkaz nastavuje hodnotu proměnné v MIB Agenta. ( Write ). Ne všichni výrobci SNMP zařízení jej umožňují = Trap = Příkaz je vyslán Agentem Managerovi jako oznámení nějaké významné události = Na rozdíl od předchozích příkazů, není očekávaná odpověď = Výrobci definují vlastní Trapy, specifické pro jejich zařízení
Příklad SNMP Operace
SNMP a objekty MIB = Management Information Base (MIB) = Popisuje sadu objektů správy = Spravované zařízení může implementovat jednu nebo více MIB, v závislosti na funkci. popisují strukturu a formát dat = MIB jsou napsány dle Structure of Management Information(SMI) = popsány v dokumentech RFC1155, RFC1212 a RFC1215 = Configuration Management = Jména všech zařízení na síti, jejich charakteristiky a aktuální status = Umožňuje administrátorovi uvidět celkové fyzické rozložení sítě = Performance Management = určuje efektivní užití sítě a poskytuje informace požadované pro výkonnostní analýzu = Umožňuje administrátorovi monitorovat dostupnost, čas odezev, průchodnost a užití jednotlivých prostředků = Fault Management = Detekuje a případně opravuje vzniklé problémy = Security Management = Řídí a chrání dostupnost informací na síti = Accounting = měření využití jednotlivých komponent MIB
Nástroje pro monitoring, management a analýzu počítačové sítě
Nástroje pro monitoring sítě = Komerční řešení = obvykle velmi nákladné = výhodou je zajištěná podpora, upgrade a servis systému = není třeba rozsáhlých znalostí = systém by měl automaticky zastat svěřené úkoly = HP Openview, IBM TIVOLI = Open source řešení = obvykle zahrnuje pouze náklady spojené s instalací a nastavením = umožňují volitelné sestavení a konfiguraci systému = klade řádově vyšší nároky na správce = musí být schopen takovýto systém navrhnout a vytvořit = často je vyčítána nedostatečná podpora plynoucí z podstaty OpenSource či vyšší závislost na správci sítě = jedná se však o velmi oblíbené a rozšířené nástroje, které může aplikovat prakticky kdokoliv s uživatelskou znalostí Linux a Windows
CSNMP-Tools = Jednoduchý nástroj = Stahování, nahrávání a zálohování konfigurace Cisco zařízení = Připojení se k zařízení pomocí telnetu = Podpora pouze SNMPv1 Platforma Licence Funkčnost Instalace MS Windows Freeware Monitoring a management Klasický instalátor
GNetWatch = Možná práce s celými skupinami zařízení najednou = Možnost definování předpřipravených akcí = Nelze uložit aktuální strom sítě (po každém spuštění se síť prohledává znovu) = Automatický průzkum sítě = Podpora SNMPv1, v2 a v3 Platforma Licence Funkčnost Instalace MS Windows, Linux Opensource Monitoring a management Spuštění GNetWatchBundle.jar
InterMapper = Intuitivní grafické prostředí a snadné ovládání = Možnost ukládání a načítání map sítě = Nastavitelné parametry alarmů a warningů = Automatický průzkum sítě = Podpora SNMPv1 a v2 Platforma Licence Funkčnost Instalace MS Windows, Linux, ios Komerční (14 day trial) Monitoring Klasický instalátor
Paessler SNMP Tester 2.2 = Testování a diagnostika korektní funkčnosti SNMP protokolu = Podpora SNMPv1, v2 a v3 = Vrací seznam zařízení v síti včetně verzí SNMP, které podporují Platforma Licence Funkčnost Instalace MS Windows Freeware SNMP Tester Přímé spouštění
Wireshark = Sniffer a síťový analyzátor podporující široké množství protokolů = Je schopen zpracovat i pakety jiných diagnostických nástrojů, poskytuje širší možnosti než například TCP DUMP = Součástí jsou další utility (editcap, mergecap, text2pcapp a tetherreal) = Promiskuitní mód síťové karty umožňuje sledovat a zachytávat všechny síťové rámce, nikoliv jen ty, které jsou určeny stanici = Tento mód musí být podporován konkrétní síťovou kartou (příkladem mohou být bezdrátové adaptéry) = WinPCapp je paket driver používaný Wiresharkem v prostředí Windows = Obecně Wireshark pracuje v několika fázích: = Sběr dat na vybraném rozhraní = Filtrování a analýza nasbíraných dat = Tvorba a generování statistik nad daty Platforma MS Windows, UNIX Licence Funkčnost Instalace GPL/GNU Síťový analyzátor, sniffer Přímé spouštění
Wireshark
HP OpenView = Je celou platformou pro systémovou správu a management, zahrnující velké množství produktů (více než 30) = Tyto produkty jsou vzájemně provazovány v ucelenou a komplexní sadu = Pro správu sítí nabízí HP tyto produkty: = Network Node Manager = Problem Diagnostic = Performance Insight for Networks = Topology Server = Internet Services = Centrální správa událostí, aktivní sledování výkonnosti, automatizované upozorňování na nežádoucí stavy, reportování v podobě tabulek i grafů, korelace událostí a další = Určeno k využití v heterogenním prostředí = Automatická "discovery" vzájemných souvislostí mezi systémy, aplikacemi a obchodními procesy ve firmě = Dlouhá řada podporovaných protokolů a služeb = Možnost grafických výstupů (3D způsob grafického znázornění = Možnost nastavení prahových hodnot a definice událostí při jejich překročení
HP OpenView
IBM Tivoli NetView = Ucelený škálovatelný systém = Umí zobrazit síťovou topologii, datovou průchodnost daných míst, pomoci při odladění práce firewallu, a mnoho dalších úloh = Data přenáší i přes velmi striktně nastavené firewally = Řešení lze propojit s CiscoWorks a obě technologie spravovat přes něj i přes zařízení od firmy Cisco = Tivoli NetView pomáhá řídit a zobrazovat složité topologie a ukazuje přesné informace o zařízeních, jako jsou huby, routery, mosty, přepínače, pracovní stanice, servery, notebooky či tiskárny = Ke své funkčnosti využívá protokoly SNMP a ICMP = Ryze komerční řešení
NAGIOS = Program pro řízení systémů a sítí, pod open source licencí GPL 2 = Nagios sleduje síťové služby(smtp, POP3, HTTP, NNTP, PING, etc.), zdroje stanic a síťových prvků (vytížení procesoru, využití disků, apod.) = Pomocí pluginů je možné do programu přidávat další funkcionalitu = Pokud mají stanice problémy, zašlou upozornění přes email, SMS, nebo přes jinou uživatelem definovanou cestu = Lze nastavit reakci na spouštění služeb = Podporuje redundantní sledování stanic = Lze doinstalovat webové rozhraní pro zobrazování současného stavu sítě, událostí, historie problémů, log soubor, apod.
CACTI = Cacti je bezplatný nástroj pro monitorování zařízení v síti s výstupem v podobě přehledných grafů = Založeno na sběru dat prostřednictvím SNMP = Hlavní účel je dlouhodobé monitorování nějakých hodnot jako je využití procesoru, paměti, zatížení portů na přepínači, měření teploty, sledování stavu tonerů v tiskárně, atd. = Upozorňování emailem na nebezpečné hodnoty nebo sledování MAC adres do jakého portu přepínače jsou připojeny = Zvládá sledovat stovky až tisíce hodnot
Děkuji za pozornost