Technologie počítačových sítí
Zpracovali: BUČKOVÁ Dagmar, BUC061 PTOSZEK Michal, PTO001 Datum prezentace: 8. 1. 2008 Datum odevzdání: 25. 1.2008 Verze: 2
1. Zadání Prostředky pro testování Service Level Agreement (SLA) na WAN spojích na Cisco QoS
2. Teoretické rozbor 2.1 SLA Jedná se o právní dokument, jehož podstatou je dohoda o úrovni a rozsahu poskytovaných služeb. Jsou zde podchyceny i případné postihy při nedodržení této dohody. SLA dokument lze rozdělit do tří klíčových částí. První částí je tzv. záruka infrastruktury. Ta je věnována službám typu vybavenost, konektivita, spolehlivost hardware a schopnost integrace různých technologií. Druhou částí jsou tzv. procesní záruky. Ty se zabývají změnami v pracovních procesech, jako je přidávání nového uživatele, nového účtu atd. Poslední částí jsou tzv. vzrůstající záruky. Jejich úkolem je především růst záruk a jistot, které dodavatel poskytuje svému zákazníkovi před možným selháním a nezdary.
2.2 Monitoring Jedná se kontrolu dodržování služeb zahrnutých v SLA.Využívá se k tomu automatizovaných nástrojů, jejichž úkolem je nejenom porovnávat poskytované služby s danými metrikami, ale také provádět jejich reporting. Na základě těchto výstupů lze procesy poskytování služeb optimalizovat. Některé nástroje jsou zmíněny níže.
2.3 QOS QoS (Quality of Service) je protokol zajišťující spravedlivé dělení přenosové rychlosti, čímž zabraňuje zahlcování sítě. Jinými slovy se jedná o řízení datových toků v síťi. Technický vývoj dává uživatelům k dispozici stále rychlejší a spolehlivější přenos dat počítačovou sítí. Přidělování kapacity jednotlivých spojů a dalších komponent počítačové sítě, však zatím není řešeno systematicky s ohledem na potřeby jednotlivých uživatelů a jejich aplikací sdílejících stejnou počítačovou síť. Příkladem může být tato situace. Mějme počítačovou síť, která se snaží vyhovět stejně všem požadavkům aplikací. Pokud to není možné, protože požadavky na přenos dat jsou v určitém okamžiku větší než kapacita počítačové sítě, jsou pakety přenášející data jednotlivých aplikací víceméně náhodně zahazovány nebo pozdržovány a dochází k nepředvídatelnému chování aplikací. Tento protokol se používá zejména na důležité služby jako je např. VoIP a HTTP, aby se ke každému dostala alespoň minimálně tato služba s určitou nadimenzovanou rychlostí. QoS se řeší jednak buď prioritami rozmezí: (např. 1-8) a nebo nastavováním minimální rychlosti v bandwidth manageru u každěho subjektu v síti, nebo portu a nebo služby. Takovéto dělení rychlostí dokážou i levné routery, ale na priorizaci je potřeba OS a spec. routery. V praxi se užívají integrované ( intserv ) nebo rozlišované služby ( diffserv ). V prvním případě aplikace oznámí síti své požadavky na přenos dat, požaduje určité QoS sítě, např. určitou minimální průchodnost. Síť ověří zda je k dispozici dostatek prostředků, pokud nejsou k dispozici potřebné prostředky aplikace se může rozhodnout, zda požádá o méně náročné QoS. Pokud jsou prostředky k dispozici síť musí o požadavcích informovat všechny komponenty přes které bude probíhat spojení.A proto se využívá rezervačních protokolů. Nejrozšířenějším protokolem je RSVP (Resource Reservation Protocol). Kdežto u rozlišovaných služeb aplikace neoznamuje předem síti své požadavky. Použití rezervačních protokolů není nutné a obvykle se ani nepoužívá. Každý paket vstupující do síte je označen značkou, která určuje třídu přenosu poskytnutou paketu. Označení probíhá pouze na vstupu. Po dobu přenosu směrovače přečtou značku, dle které zpracacovávají pakety. Tedy hlavním rozdílem je, že u integrovaných služeb udržuje na směrovači informace o prostředcích každého spojení, u rozlišovaných služeb směrovače pouze přidělí určité prostředky každé třídě přenosu a zajistí komunikaci mezi jednotlivými třídami.
3. Zpracování: 3.1 Nástroje k zajištění kvality služeb Klasifikace paketů spočívá v tom, že pakety vstupující do sítě jsou klasifikovány dle třídy služeb a následně s nimi, dle příslušné příslušnosti k dané třídě služeb, směrovače zacházejí. Cisco IOS provádět klasifikaci dle typu třídy služeb. Typ třídy služeb přidělený paketu procesem klasifikace slouží jako primární parametr pro další zracování v síti.Commited Access Rate (CAR) – klasifikace paketů dle obsahu pole precedence záhlaví IP paketu, umožňuje definovat akci při překročení mezních hodnot nebo Class Based Packet Marking - obdoba CAR. Podporuje práci s polem DSCP. Řazení do front a plánování pro přenos hlasu pomocí protokolu IP slouží protokol RTP (Realtime Transport Protocol). Aby bylo možno minimalizovat možné zpoždění, je třeba zajistit kvalitu přenosu. V sítích WAN jsou používány algoritmy, které zajišťují absolutní prioritu paketů protokolu RTP a zároveň umožní rovnoměrné sdílení přenosového kanálu datovým aplikacím. Nástrojů řazení paketů do front a plánování: Weighted Fair Queueing (WFQ), Class Based WFQ (CBWFQ), IP RTP Priority, Low Latency Queueing (LLQ). Prevence před zahlcením spočívá v monitorování zátěže sítě ve snaze předvídat a předcházet zahlcení. Snahou je zajistit maximální průchodnost a využití kapacity sítě, tak aby ztrátovost a zpoždění paketů bylo minimální. Cisco IOS využívá algoritmus WRED (Weighted Random Early Detection). Cisco IOS poskytuje nástroje pro omezení a úpravu přenosové rychlosti, což je také jeden z nástrojů k zajištění kvality služeb, např. Commited Access Rate (CAR), který hlídat rychlostní charakteristiky datového toku. Generic Traffic Shapping (GTS) – úkolem je snížit rychlost vysílání paketů. Další možností je signalizace, Cisco IOS podporuje signalizaci QoS v síti pomocí protokolu RSVP.
3.2 IBM Tivoli Monitoring je nástroj určený pro centrální sledování systémových prostředků heterogenních prostředí (distribuovaných, hostitelských i webových systémů). Umožňuje automatické zjišťování slabých míst a zásahy či opravy, tam kde dojde k překročení definovaných prahových hodnot. Nabízí webovou konzoli, jež disponuje funkcemi pro tvorbu grafů umožňujících analýzu trendů, funkcemi jako Heartbeat Engine (monitoring prostředků a vyskytujících se chyb) či WorkBench (pro tvorbu a úpravy modelů prostředků). Tivoli Service Level Advisor Zjednodušuje a automatizuje správu dohod o úrovni poskytovaných služeb (SLA). Nabízí automatické vyhodnocování dohod o úrovni poskytovaných služeb bez nutnosti ručně přezkoumávat a korelovat sestavy na úrovni komponent. Obsahuje analýzu trendů patentovanou společností IBM, jenž identifikuje problémy s dodávkou služeb IT dříve, než nastanou.Využívá stávající aplikace pro správu systému a přidružuje dodávky služeb k podnikovým operacím. Umožňuje integraci s produktem Tivoli Data Warehouse, čímž se konsolidují data a sestavy správy systému. Přináší pružné vytváření sestav založené na webových technologiích.
3.3 Hawlett-Packard Společnost Hewlett-Packard rovněž představila nové doplňky softwaru HP OpenView Service Desk, který umožňuje poskytovatelům IT služeb řídit úroveň těchto služeb z hlediska optimálního uspokojování potřeb zákazníků. Novinky zahrnují moduly Helpdesk Manager, Change Manager a Service Level Manager, které usnadňují efektivní správu a řízení Smluv o úrovni poskytovaných služeb (Service Level Agreement). Kritická operační data jsou přitom centralizována v databázi CMDB (Configuration Management Database), což zajišťuje jejich trvalou synchronizaci a konzistentnost.
3.4 NETFlow NetFlow je otevřený, ale patentovaný síťový protokol vyvíjený společností Cisco Systems pro zařízení se systémem Cisco IOS. Představuje poměrně jednoduchou cestu, jak získat komplexní informace o přenosu IP paketů v síti. Analyzováním těchtoinformací je možné identifikovat příčinu zahlcení sítě, identifikovat zdrojovou a cílovou síť provozu, atd. Tato analýza tedy nabízí možnosti například pro evidenci síťového provozu, účtování na základě míry používání, plánovaní rozvoje sítí, zajištění bezpečnosti a monitorování provozu na síti. Postup této metody začíná u routeru, který generuje NetFlow záznamy. Ty se poté z routeru exportují pomoci protokolu UDP nebo SCTP (Stream Control Transmission Protocol), pokud je požadována vetší spolehlivost a hlavně bezztrátovost přenosu. Tento export sbírá netflow kolektor, který jej hromadí a poskytuje k analýze. Následují důležité verze NetFlow, ve kterých jsou informace exportovány. Verze 1 je původní verze podporovaná prvním vydáním NetFlow. Další je Verze 5, která je rozšířena o BGP (Border Gateway Protocol), obsahuje tedy navíc informace o komunikaci autonomních systémů. Navíc je přidáno sekvenční číslování každého toku. Verze 7 je používaná exkluzivně pro Cisco switche a je tedy nepoužitelná pro routery. Verze 8 přidává možnost agregačních schémat, seskupujících toky podle určených kriterií, například pár zdrojová adresa a číslo portu. To snižuje požadavky na šířku pásma mezi routerem a stanicí, která NetFlow exporty spravuje, také počet takových stanic nutných na zpracovaní exportů a dovoluje snazší rozšiřitelnost vysokorychlostních routerů. NetFlou umožňuje: 1. Monitorování sítě (Network Monitoring) - umožňuje monitorování sítě téměř v reálném čase. Techniky založené na analýze NetFlow Exportů se používají k přehlednému zobrazování datových toků procházejících jednotlivými směrovači. Poskytují aktivní detekci problémů na síti a jejich odstraňování. 2. Monitorování a analýza aplikací (Application Monitoring and Profiling) - detailní statistika používání aplikací v časových úsecích. Toho se dá využít k plánování a navržení správné topologie sítě. Například umístění a nastavení Web serveru. 3. Monitorováni a analýza uživatelů (User Monitoring and Profiling) - detailní statistika aktivit jednotlivých uživatelů na síti. Statistika je výhodná pro efektivní plánování rozložení zatížení, umístění cache serverů apod. Také je užitečná pro detekci a řešení potenciálních bezpečnostních problémů. 4. Účtování/Platby (Accounting/Billing) - informace o datovém toku v sobě zahrnuje informaci o zdrojovém a cílovém bodě spojení (IP adresy), počtu přenesených paketů a bytů, čase, použitých portech, typu služby. To je vhodné pro podrobné účtování mezi jednotlivými poskytovateli připojení. Poskytovatelé tyto statistiky používají k proplacení svých služeb, a to ve většině případů na základě přeneseného objemu dat. 5. Plánování a analýza sítě (Network Planning and Analysis) - NetFlowExporty se dají použít pro optimalizaci strategického plánování sítě (například kdo s kým komunikuje, plánování rozšiřování páteřních linek a bezpečnostních pravidel). Hlavním cílem je minimalizace celkové ceny síťových operací při maximalizaci výkonu sítě, kapacity a dostupnosti. Příkladem utility pro plánovaní může být program NetSys. 6. Ukládání dat (NetFlow Data Warehousing) - NetFlow datové exporty mohou být uloženy k pozdější analýze, v níž se dá rekonstruovat veškerý síťový provoz. Tyto služby jsou často využívány pro generovaní statistik a grafů vytíženosti jednotlivých linek. Zjišťují, které služby používají uživatelé vnitřních sítí a které uživatelé z vnějšího světa. Zvláště jsou tyto informace cenné pro poskytovatele připojení (ISP). Analýza NetFlow exportů v neposlední řadě přináší informace typu kdo, co, kde, jak dlouho a s kým komunikoval.
4. Praktická část Dle výše uvedených možností jsme si pro praktické zpracování vybrali NetFlow, které umožňuje sledování sítě v reálném čase. K tomu jsme si stáhli demo verzi NetFlow Analyzer 6, jedná se o 30 denní verzi. K NetFlow Analyzéru se přistupuje přes webové rozhraní Skoušeli jsme odchytit a následně monitorovat provoz na dvou routrech Cisco 2600, schéma zapojení je na obrázku Obr. 1. A sledovat provoz při zátěži, tedy z PC stanice jsme posílali pingy na jednotlivá rozhraní. NetFlow Analyzer 6 rozpoznal všechna aktivní rozhraní routrů, tak jak jsou popsána na Obr. 1. Co se týčenastavení, routery musí mít nastaveny NetFlow Exporty, viz odstavec 6.2. Co se týče SLA, dá se na v nastavení programu nastavit míra tolerance, v %. Interface groupe pojmenovány testx, viz. Obr. 2, jsou
skupiny rozhraní, kde lze nastavit přenosová rychlost. A lze sledovat vytíženost rozhraní v příslušné skupině. Jednotlívá rozhraní je možno i porovnávat. Analyzer nesleduje routery jako zařízení, tedy celek, ale jejich aktivní rozhraní. Sledování toku dat na vstupu i na výstupu v reálném čase je velmi přehledné. Aktualizace dat je prováděna automaticky dle nastavení. Co se týče reportů, lze vždy nastavit za jaké období se analýza má provést, co nás zajímá např. cílová síť, zdrojová síť, atd.
4.1 Schéma zapojení PC
síť- 10.0.1.0
eth- 10.0.1.2/24
síť- 10.0.0.0 R1
R2
eth- 10.0.1.1/24 s- 10.0.0.1/30
s- 10.0.0.2/30
Obr. 1 – Schéma testovaného zapojení
4.2 Konfigurace R1 a R2 Žlutě zvýrazněna je konfigurace nutná ke generovaní NetFlow Exportů, které následně odchytává NetFlow Analyzér 6. jinak se jedná o základní nastavení routerů, tedy ip adresa pro dané rozhraní, síť a směrovací protokol ospf. R1 Building configuration... Current configuration : 736 bytes ! version 12.3 hostname R1 ! boot-start-marker boot-end-marker ! no aaa new-model ip subnet-zero ip flow-cache timeout active 1 ………………… zapnutí timeout v konfiguračním módu ip cef ! interface Ethernet0/0 no ip address shutdown half-duplex ! interface Serial0/0 bandwidth 56000 ip address 10.0.0.1 255.255.255.252 ip route-cache flow ………………………….podporara netflow na doném rozhraní no fair-queue ! interface Serial0/1 no ip address shutdown ! router ospf 1 log-adjacency-changes network 10.0.0.0 0.0.0.3 area 0 ! ip http server ip flow-export source Serial0/0 …………………….nastavení zdrojového rozhraní pro netflow exporty ip flow-export version 5 …………………………… nastavení verze netflow exportů, viz. odstavec 3.4 ip flow-export destination 10.0.1.2 9996 …………..nastavení příjmače netflow exportů, tedy stanice, kde je rozjet NetFlow Analyzer, číslo 9996 určuje port, kterým je zprostředkována komunikace ip classless !
line con 0 line aux 0 line vty 0 4 login
R2 Building configuration... Current configuration: ! version 12.0 hostname R2 ! ip subnet-zero ip flow-cache timeout active 1 ip cef ! interface FastEthernet0/0 ip address 10.0.1.1 255.255.255.0 no ip directed-broadcast ip route-cache flow duplex auto speed auto ! interface Serial0/0 ip address 10.0.0.2 255.255.255.252 no ip directed-broadcast ip route-cache flow no ip mroute-cache no fair-queue clockrate 56000 ! router ospf 1 network 10.0.0.0 0.0.0.3 area 0 network 10.0.1.0 0.0.0.255 area 0 ! ip flow-export source FastEthernet0/0 ip flow-export version 5 ip flow-export destination 10.0.1.2 9996 ip classless no ip http server ! ! line con 0 transport input none line 33 48 line aux 0 line vty 0 4 login
4.3 Ukázka z Print Screen
Obr. 2 - Úvodní obrazovka Na Obr. 2 jde vidět, které routery jsou monitorovány resp. rozhraní routrů. V záložce Interface Group, lze nastavit skupiny rozhraní, které chceme zároveň monitorovat.
Obr. 3 – Grafické znázornění Na Obr. 3 vitíme grafické znázornění toku dat na rozhraních. Dále je zde také vidět zátěž na vstupu/výstupu jednotlivých rozhraní.
Obr. 4 – Grafické znázornění Na Obr. 4 vidíme grafické znázornění zátěže různých skupin rozhraní, jak na vstupu, tak i na výstupu.
4.4 Vygenerované reporty Report Routeru R1 - ethernetové rozhraní Report Routeru R2 - seriové rozhraní Report rozhranní routerů Výše uvedené odkazy jsou reporty, které NetFlow Analyzer 6, exportuje do PDF. Další reporty jsou v těle adresáře TPS_BUC061_PTO001.
4.5 Help – NetFlow Analyzer 6 Help k programu NetFlow Analzer 6 je v adresáři TPS_BUC061_PTO001/NetFlou. Demo programu je volně ke stažení na adrese NetFlow Analyzer. Prezentace firmy CESNET
5. Závěr Závěrem lze řící, že pro monitoring rozsáhlejších sítí se využívají softwarové prostředky. Pro směrovače Cisco se využívá jejich vlastní systém NetFlow, avšak firma Cisco spolupracuje s firmou Hawlett-Packard, jejiž produkty také nabízí. Z dostupných zdrojů, i velcí poskytovatelé, jako ČD Telematika a.s., Telefónica O2 Czech Republic a.s., CESNET, využívají externích serverů pro monitorig a následné zajištění služeb. Po testování programu NetFlow Anazyzer 6 v podmínkách, které jsme měli k dispozici, viz. proktická část, můžeme říci, že je to velmi přehledný a jednoduchý nástroj pro monitorování sítě. Velmi dobrý je reporting pro následné dohledání a analýzu dat.
6. Zdroje CESNET [online]. [cit. 2008-01-25]. Dostupný z WWW:
. CISCO [online]. [cit. 2008-01-25]. Dostupný z WWW: . IBM [online]. [cit. 2008-01-25]. Dostupný z WWW: . HP [online]. [cit. 2008-01-25]. Dostupný z WWW: . WIKIPEDIA [online]. [cit. 2008-01-25]. Dostupný z WWW: .
