Počítačové sítě 1 Přednáška č.11 – Management sítí
Osnova = Základní principy managementu sítí = Protokol SNMP = Monitoring počítačových sítí = Nástroje pro monitoring sítě
LAN sítě = Původní LAN sítě = = = = =
Řádově desítky uživatelů a koncových zařízení Většinou uniformní aktivní síťové prvky File server Několik tiskáren Relativně jednoduchá správa
= Současné LAN sítě – heterogennost = = = = =
Řádově stovky až tisíce uživatelů a koncových zařízení Aktivní prvky různých typů a od různých výrobců Různé přenosové rychlosti a technologie v různých částech sítě Různé přenosové protokoly Různé OS na koncových zařízeních
Management sítě = Management (správa) sítě je výkon funkcí požadovaných pro kontrolu, plánování, rozvržení, rozmístění, koordinaci a monitorování zdrojů sítě = = = = = = = = = = = = =
Počáteční plánování sítě Konfigurace sítě a řešení závad Nastavení výkonu sítě a směrování provozu Aplikování bezpečnostních politik v síti Accounting v síti Management zátěže v síti Automatická detekce/prevence průniků do sítě Detekce a případná oprava havárií v síti Signalizace chybových stavů v síti Správa aktivních prvků v síti Dozor nad službami v síti Podpora a rozvoj systému pro management sítě Tvorba statistik a přehledů
Diagnostika v síti = Bez diagnostiky v počítačové síti není možná její efektivní správa
= Bez diagnostiky dochází k řízení „naslepo“ se všemi důsledky – nejsme schopni říci, co se v síti děje
= Správu velkého množství síťových prvků v současné době umožňují nástroje managementu sítí
Architektura síťového managementu
= NMS = Manager - Agent = Přenos a komunikace mezi správcem sítě a agenty na jednotlivých síťových zařízeních (servery, stanice, aktivní prvky …) = Každé zařízení o sobě poskytuje informace
= Agent = Malý program, reprezentující dané zařízení, který neustále monitoruje a sbírá informace o všech dostupných funkcích a stavech daného zařízení = Ukládá je do speciální databáze (management database) = Veškerá komunikace mezi manažerem a agentem je vykonávána prostřednictvím Network Management Protocol
Architektura síťového managementu
= Získání informací o daném zařízení = Manažer vyšle požadavek na dané zařízení (pooling aktivita) automaticky (v určených intervalech) nebo na vyžádání správcem a vyhodnotí informace poskytované agentem
= Agent detekuje stavy definované hodnoty = = = = =
HW porucha, Zátěž zařízení nad stanovený limit Pokus o neznámý přístup Ukončení automatické aktualizace Atd. a vyšle trap – možnost provedení definovaných akcí
= Kontinuální monitorování je z důvodu zátěže sítě nereálné = Efektivita je zajištěna kombinací pooling a trap aktivity managera a agenta
Aktivity správy sítě
Politika správy
INTERPRET
Entity správy
MONITOR ŘÍZENÍ
Zdroje výpočetního systému
= Základní strategie správy sítě je realizována = =
jednotlivými entitami správy taktikami pomocí současného monitorování řízení subsystémů
= Obecný cyklus operací: Monitorování stavu a příjem zpráv o událostech v síti
Interpretace dle politiky správy a výběr rozhodnutí
Provedení řídící operace
Metriky = Datové elementy, které indikují chování systému, subsystému nebo aplikace. Správný výběr je kritický pro úspěch řízení systémů = Skupina nejvyšší úrovně - Indikátory stavu s interpretaci: = = =
zelená - vše v pořádku žlutá - pozor, vzniká problém červená - nastal problém
= Souhrn více hodnot - health compliance (zdraví systému) = Informace v případě anomálie - management-by-exception = Skupina střední až vyšší úrovně = =
Dostatečný počet metrik pro rozpoznání a pochopení problému alespoň 80% případů Uchování pro pozdější analýzu
= Skupina detailní úrovně = = = =
Vyřešení zbylých 20% problémových případů Všechny metriky, které je systém schopen poskytnout Detailní sady pro jemné ladění a optimalizaci systému Použití většinou jen po nezbytně nutnou dobu
Metriky = Popisuje základní funkce síťového managementu. Je čtvrtou částí standardu OSI Basic Reference Model (ISO/IEC 7498-4), popisujícího síťový komunikační model =
Správa výkonu - performance management = = =
=
Správa konfigurace - configuration management = = =
=
Monitorování parametrů využití sítě jednotlivými uživateli
Správa poruch a chyb - fault management =
=
Vliv elementů sítě na síťové operace, ukládání do databáze. Fyzické –výpočetní systémy, komunikační prvky, kabeláž … Logické - síťové OS, klientské OS, protokoly, aplikace.
Účetní a evidenční správa - accounting management =
=
měření výkonnosti a zatížení jednotlivých systémů sítě. Reaktivní management - nastavení prahových úrovní a akcí Proaktivní management - simulační metody („what if“)
Detekce chyb a poruch, izolace a záznam do chybového souboru
Správa bezpečnosti - security management =
Přístup k síťovým zdrojům podle stanovených pravidel
SNMP Simple Network Management Protocol
Simple Network Management Protocol =
SNMP je jednoduchý protokol pro správu sítě =
aplikační protokol, který nabízí služby správy nad IP, je založen na modelu klient/server
=
Klientský program, síťový manažer, vytváří virtuální spojení se SNMP agentem, který běží na sledovaném síťovém zařízení
=
Agent monitoruje stav zařízení a poskytuje o něm informace manageru (např. počet zpracovaných paketů/sec atd.)
=
Informace, poskytované agentem, jsou uspořádány podle databáze MIB (Management Information Base), která svojí strukturou odpovídá danému zařízení
=
Standard RMON (Remote Monitoring) =
=
vzdálené monitorování, odlehčuje komunikaci přesunutím části činnosti na agenta
SNMP je protokol vyšších aplikačních vrstev OSI modelu =
=
umožňuje poskytovat on-line informace o všech zařízeních připojených na síť nebo jednotlivé části sítě propojujících Je závislý na protokolech nižších vrstev, které musí podporovat jednotlivá spravovaná zařízení
Verze protokolu SNMP
= SNMP Verze 1 = Vznik v roce 1991 = = = =
RFC 1157 - A Simple Network Management Protocol (SNMP) RFC 1155 – Definuje stromovou strukturu informací a pravidla pro přiřazování názvů objektům RFC 1212 - Concise MIB Definitions Dále rozšiřující RFC RFC 1155, RFC 1213
= Nemá žádné prostředky pro komunikaci mezi managery =
Funkce managementu nemůže být distribuována mezi více správcovských konzol
= Nemožnost získat větší množství dat jediným dotazem =
např. celou velkou směrovací tabulku
= Slabé zabezpečení protokolu =
Hesla i přenášená data jsou přenášena v plain-textu
Verze protokolu SNMP
= SNMP Verze 2 = Vyvinut v roce 1993 =
Definován v RFC 1441 a RFC 1452
= = = =
Zvýšená úroveň bezpečnosti Schopnost požadavku většího množství dat (bulk retrieval) Schopnost komunikace manager-manager Zvětšení efektivity protokolu i na jiných přenosových protokolech než IP = Avšak příliš složitá implementace zejména v oblasti bezpečnosti = =
Proto vzniká User-Based Simple Network Management Protocol version 2 neboli SNMPv2u definován v RFC 1910 SNMPv2u poskytuje vyšší bezpečnost avšak nezvyšuje složitost jako SNMPv2
Verze protokolu SNMP
= SNMP Verze 3 = Schválena v roce 2004 =
Popsána v RFC 3411-3418
= Hlavním přínosem třetí verze je zvýšení bezpečnosti =
= =
Autentizace – správce je povinen se přihlásit svým uživatelským jménem a heslem které se přenášejí v hash formě oproti community řetězci přenášeném v čistém textu Soukromí – veškeré zprávy mezi správcem a agentem jsou šifrované Řízení přístupu – pomocí ACL lze omezit přístup správce k agentovi
Simple Network Management Protocol MIB soubory zařízení MIB kompilátor SNMP MIB databáze
Reporty
Uživatel
SNMP Manager dotazy
Uložené dotazy
odpovědi
SNMP Agent Spravované zařízení
Simple Network Management Protocol =
SNMP Agent = = = =
Neposkytují žádný grafický interface Slouží pro sběr a přenos informací Interpretace získaných informací např. v grafické podobě zařízení je věcí aplikace, která běží na management stanici Je malý a jednoduchý a má minimální vliv na funkci monitorovaného zařízení
= Pro SNMP Managera je vhodné obětovat plný výkon dedikované management stanice (serveru) = SNMP pracuje jako dotazovací protokol, tedy datagramový = = =
Nevýhodou je nezajištěnost spolehlivosti při přenosu dat Pakety se mohou ztratit nebo promíchat Manager periodicky dotazuje není-li potřeba zaměřit zvýšenou pozornost na některé zařízení
= Z hlediska efektivity a vytížení sítě není možné provádět polling na všechna zařízení s velkou frekvencí = = =
Manager přijme varovný trap a zaměří se na problém - trap directed polling Trapy jsou nepotvrzované pakety, doručení není spolehlivé Nedostáváme-li žádné trapy, nemusí být ještě vše v pořádku!
SNMP Operace
= SNMP je asynchronní protokol typu požadavek/odpověď, má jen 5 funkcí: =
= =
=
=
GetRequest = žádost o informaci, kterou posílá Manager Agentovi, o stavu nebo hodnotě jistého objektu. („Read“) GetNextRequest = žádost o další informaci v hierarchickyorganizované nižší vrstvě MIB struktury GetResponse = tento příkaz je vyslán Agentem jako odpověď na příkaz GetRequest -návrat vyžádané informace SetRequest = příkaz nastavuje hodnotu proměnné v MIB Agenta. („Write“). Ne všichni výrobci SNMP zařízení jej umožňují Trap = Příkaz je vyslán Agentem Managerovi jako oznámení nějaké významné události = Na rozdíl od předchozích příkazů, není očekávaná odpověď = Výrobci definují vlastní Trapy, specifické pro jejich zařízení
Příklad SNMP Operace
SNMP a objekty MIB
= Management Information Base (MIB) = =
Popisuje sadu objektů správy Spravované zařízení může implementovat jednu nebo více MIB, v závislosti na funkci. popisují strukturu a formát dat
= MIB jsou napsány dle Structure of Management Information(SMI) = =
popsány v dokumentech RFC1155, RFC1212 a RFC1215 Configuration Management = =
=
Performance Management = =
=
Detekuje a případně opravuje vzniklé problémy
Security Management =
=
určuje efektivní užití sítě a poskytuje informace požadované pro výkonnostní analýzu Umožňuje administrátorovi monitorovat dostupnost, čas odezev, průchodnost a užití jednotlivých prostředků
Fault Management =
=
Jména všech zařízení na síti, jejich charakteristiky a aktuální status Umožňuje administrátorovi uvidět celkové fyzické rozložení sítě
Řídí a chrání dostupnost informací na síti
Accounting =
měření využití jednotlivých komponent MIB
Nástroje pro monitoring, management a analýzu počítačové sítě
Nástroje pro monitoring sítě
= Komerční řešení = = = = =
obvykle velmi nákladné výhodou je zajištěná podpora, upgrade a servis systému není třeba „rozsáhlých“ znalostí systém by měl automaticky zastat svěřené úkoly HP Openview, IBM TIVOLI
= Open source řešení = = =
obvykle zahrnuje pouze náklady spojené s instalací a nastavením umožňují volitelné sestavení a konfiguraci systému klade řádově vyšší nároky na správce =
= =
musí být schopen takovýto systém navrhnout a vytvořit
často je vyčítána nedostatečná podpora plynoucí z podstaty OpenSource či vyšší závislost na správci sítě jedná se však o velmi oblíbené a rozšířené nástroje, které může aplikovat prakticky kdokoliv s uživatelskou znalostí Linux a Windows
CSNMP-Tools
= = = =
Jednoduchý nástroj Stahování, nahrávání a zálohování konfigurace Cisco zařízení Připojení se k zařízení pomocí telnetu Podpora pouze SNMPv1
Platforma
MS Windows
Licence
Freeware
Funkčnost
Monitoring a management
Instalace
Klasický instalátor
GNetWatch
= = = = =
Možná práce s celými skupinami zařízení najednou Možnost definování předpřipravených akcí Nelze uložit aktuální strom sítě (po každém spuštění se síť prohledává znovu) Automatický průzkum sítě Podpora SNMPv1, v2 a v3
Platforma
MS Windows, Linux
Licence
Opensource
Funkčnost
Monitoring a management
Instalace
Spuštění GNetWatchBundle.jar
InterMapper
= = = = =
Intuitivní grafické prostředí a snadné ovládání Možnost ukládání a načítání map sítě Nastavitelné parametry alarmů a warningů Automatický průzkum sítě Podpora SNMPv1 a v2
Platforma
MS Windows, Linux, iOS
Licence
Komerční (14 day trial)
Funkčnost
Monitoring
Instalace
Klasický instalátor
Paessler SNMP Tester 2.2
= = =
Testování a diagnostika korektní funkčnosti SNMP protokolu Podpora SNMPv1, v2 a v3 Vrací seznam zařízení v síti včetně verzí SNMP, které podporují
Platforma
MS Windows
Licence
Freeware
Funkčnost
SNMP Tester
Instalace
Přímé spouštění
Wireshark
= = = =
Sniffer a síťový analyzátor podporující široké množství protokolů Je schopen zpracovat i pakety jiných diagnostických nástrojů, poskytuje širší možnosti než například TCP DUMP Součástí jsou další utility (editcap, mergecap, text2pcapp a tetherreal) Promiskuitní mód síťové karty umožňuje sledovat a zachytávat všechny síťové rámce, nikoliv jen ty, které jsou určeny stanici = =
=
Tento mód musí být podporován konkrétní síťovou kartou (příkladem mohou být bezdrátové adaptéry) WinPCapp je paket driver používaný Wiresharkem v prostředí Windows
Obecně Wireshark pracuje v několika fázích: = = =
Sběr dat na vybraném rozhraní Filtrování a analýza nasbíraných dat Tvorba a generování statistik nad daty
Platforma
MS Windows, UNIX
Licence
GPL/GNU
Funkčnost
Síťový analyzátor, sniffer
Instalace
Přímé spouštění
Wireshark
HP OpenView
= = =
Je celou platformou pro systémovou správu a management, zahrnující velké množství produktů (více než 30) Tyto produkty jsou vzájemně provazovány v ucelenou a komplexní sadu Pro správu sítí nabízí HP tyto produkty: = = = = =
= = = = = =
Network Node Manager Problem Diagnostic Performance Insight for Networks Topology Server Internet Services
Centrální správa událostí, aktivní sledování výkonnosti, automatizované upozorňování na nežádoucí stavy, reportování v podobě tabulek i grafů, korelace událostí a další Určeno k využití v heterogenním prostředí Automatická "discovery" vzájemných souvislostí mezi systémy, aplikacemi a obchodními procesy ve firmě Dlouhá řada podporovaných protokolů a služeb Možnost grafických výstupů (3D způsob grafického znázornění Možnost nastavení prahových hodnot a definice událostí při jejich překročení
HP OpenView
IBM Tivoli NetView
= = = =
=
= =
Ucelený škálovatelný systém Umí zobrazit síťovou topologii, datovou průchodnost daných míst, pomoci při odladění práce firewallu, a mnoho dalších úloh Data přenáší i přes velmi striktně nastavené firewally Řešení lze propojit s CiscoWorks a obě technologie spravovat přes něj i přes zařízení od firmy Cisco Tivoli NetView pomáhá řídit a zobrazovat složité topologie a ukazuje přesné informace o zařízeních, jako jsou huby, routery, mosty, přepínače, pracovní stanice, servery, notebooky či tiskárny Ke své funkčnosti využívá protokoly SNMP a ICMP Ryze komerční řešení
NAGIOS
= = = =
= = =
Program pro řízení systémů a sítí, pod open source licencí GPL 2 Nagios sleduje síťové služby(SMTP, POP3, HTTP, NNTP, PING, etc.), zdroje stanic a síťových prvků (vytížení procesoru, využití disků, apod.) Pomocí pluginů je možné do programu přidávat další funkcionalitu Pokud mají stanice problémy, zašlou upozornění přes email, SMS, nebo přes jinou uživatelem definovanou cestu Lze nastavit reakci na spouštění služeb Podporuje redundantní sledování stanic Lze doinstalovat webové rozhraní pro zobrazování současného stavu sítě, událostí, historie problémů, log soubor, apod.
CACTI
= = = = =
Cacti je bezplatný nástroj pro monitorování zařízení v síti s výstupem v podobě přehledných grafů Založeno na sběru dat prostřednictvím SNMP Hlavní účel je dlouhodobé monitorování nějakých hodnot jako je využití procesoru, paměti, zatížení portů na přepínači, měření teploty, sledování stavu tonerů v tiskárně, atd. Upozorňování emailem na nebezpečné hodnoty nebo sledování MAC adres – do jakého portu přepínače jsou připojeny Zvládá sledovat stovky až tisíce hodnot
Děkuji za pozornost
