KONCEPT NADZORA CENTRALIZIRANEGA RAČUNALNIŠKEGA OMREŽJA S PROTOKOLOM SNMP

Transcription

1 Jure Klobučar KONCEPT NADZORA CENTRALIZIRANEGA RAČUNALNIŠKEGA OMREŽJA S PROTOKOLOM SNMP Diplomsko delo Ruše, september 2010

2 I Diplomsko delo univerzitetnega študijskega programa KONCEPT NADZORA CENTRALIZIRANEGA RAČUNALNIŠKEGA OMREŢJA S PROTOKOLOM SNMP Študent: Študijski program: Smer: Mentor: Somentor: Lektorica: Jure Klobučar univerzitetni, Računalništvo in informatika Programska oprema doc. dr. Janez Stergar, računalniške komunikacije in mreţe izr. prof. dr. Boţidar Potočnik Aleksandra Kunstelj Ruše, september 2010

3 II

4 III ZAHVALA Zahvaljujem se mentorju doc. dr. Janezu Stergarju za pomoč in vodenje pri opravljanju diplomskega dela. Prav tako se zahvaljujem somentorju izr. prof. dr. Boţidarju Potočniku. Posebna zahvala velja staršem, ki so mi omogočili študij.

5 IV KONCEPT NADZORA CENTRALIZIRANEGA RAČUNALNIŠKEGA OMREŢJA S PROTOKOLOM SNMP Ključne besede: računalniška omreţja, orodja za upravljanje, SNMP UDK: :004.3/.4(043.2) Povzetek Vse več organizacij in podjetij je odvisnih od svojih računalniških omrežij, posel pa je zelo odvisen od statusa le-teh. Če podjetjem, ki so zelo odvisna od računalniškega omrežja, le-to izpade samo za nekaj minut, lahko izgubijo veliko denarja in tudi ugled ter zaupanje strank. Ko je pomembna vsaka sekunda delovanja računalniškega omrežja, ga moramo neprekinjeno nadzorovati. Najbolj učinkovit način za to je, da uporabimo avtomatizirana orodja za nadzor in upravljanje. V diplomskem delu bomo izpostavili problem nadzora in upravljanja centraliziranega računalniškega omrežja in opisali osnovni koncept nadzorovanja. Predstavili bomo tudi osnovna orodja za nadzor in upravljanje, SNMP-protokol, njegovo vlogo in namen uporabe. Izdelali bomo programsko opremo za analizo SNMPpaketov, skozi katero bomo predstavili strukturo in delovanje SNMP-protokola.

6 V A CONCEPT FOR CENTRALIZED COMPUTER NETWORK MONITORING WITH SNMP Key words: computer networks, management tools, SNMP UDK: :004.3/.4(043.2) Abstract More and more organizations depend on their computer networks. If a network dependent businesses go down for even a few minutes, they can loose a lot of money in sales and customer's confidence. When every second of network time counts the system must be monitored continuously. The most cost effective way to do this is to use an automated network management tool. In this thesis we will raise the issue of centralized control and management of computer networks and describe the basic concept of it. We will present the basic tools for monitoring and management, SNMP-protocol, the role and purpose of it. We will implement the software for analyzing SNMP-packets, through which we will present the structure and operation of the SNMP-protocol.

7 VI VSEBINA 1 UVOD OPIS STANJA OMREŢJA ETHERNET V ZAVAROVALNICI PRED VPELJAVO SISTEMA ZA NADZOR OMREŢJA OMREŢJE CILJI UPRAVLJANJA OMREŢJA PROJEKTIRANJE NADZORNEGA SISTEMA OMREŢJA ZAVAROVALNICE ANALIZA IN POSODOBITEV PROGRAMSKE OPREME NA OMREŢNIH NAPRAVAH KAJ BOMO NADZOROVALI FUNKCIJE OMREŢNEGA NADZORNEGA SISTEMA IZBIRA PROTOKOLA IZBIRA PROGRAMSKE OPREME ZA NADZORNI SISTEM POSTAVITEV NADZORNEGA SISTEMA DIAGNOSTIČNI UKAZI WINDOWS TCP/IP IN OSNOVNA POVEZOVALNA ORODJA TCP/IP ARP FINGER FTP HOSTNAME IPCONFIG NBTSTAT NET NETSH NETSTAT NSLOOKUP PATHPING PING ROUTE RSH... 32

8 VII 5.15 TRACERT TELNET TFTP OMREŢNI NADZORNI MODEL SNMP PREGLED STRUKTURA UPRAVLJALNE INFORMACIJE FORMALNI JEZIK ASN FORMAT BER RAZLIČICE SNMP-JA HITER PREGLED STANDARDA RMON PREGLED STRUKTURE SNMP-SPOROČILA IN SNMP-PASTI PREGLED PROGRAMSKE OPREME ZA UPRAVLJANJE OMREŢJA TELNET IN SSH-ODJEMALEC PUTTY TFTP-STREŢNIK PUMPKIN KIWI SYSLOG DEAMON AVAYA VOIP MONITORING MANAGER (VMM) PRTG TRAFFIC GRAPHER CISCO NETWORK ASSISTANT NAGIOS SKLEP VIRI, LITERATURA PRILOGE SEZNAM PREGLEDNIC SEZNAM SLIK NASLOV ŢIVLJENJEPIS STRUKTURA SNMP-SPOROČILA IZVORNA KODA PROGRAMA SIMPLESNMP... 87

9 VIII UPORABLJENI SIMBOLI - streţnik - usmerjevalnik - stikalo - poţarni zid - osebni računalnik - tiskalnik - VoIP-telefon

10 IX UPORABLJENE KRATICE NOS mreţni operacijski sistem (network operating system) LAN krajevno omreţje (local area network) WAN prostrano omreţje (wide area network) VPN navidezno zasebno omreţje (virtual private newtork) VoIP govor v omreţju IP (voice over internet protokol) DSL digitalni naročniški vod (digital subscriber line) ADSL asimetričen DSL (asymmetric DSL) SDSL simetričen DSL (symetric DSL) HDSL DSL za visoke bitne hitrosti (high bit rate DSL) IDSL ISDN kot DSL (ISDN like DSL) RADSL DSL s prilagodljivo prenosno hitrostjo (rate adaptive DSL) CDSL uporabniški DSL (consumer DSL) VDSL DSL za zelo visoke bitne hitrosti (very high bit rate DSL) DSLAM dostopovni multiplekser DSL (DSL access multilpekser) CEO izvršni direktor (chief executive officer) CIO izvršni direktor informatike (chief information officer) IP spletni protokol (internet protocol) ARP protokol za prevedbo naslovov (address resolution protocol) MAC krmiljenje dostopa do medija (medium access control) OSI odprti sistem povezovanja (open system interconnection) FTP protokol za prenos datotek (file transfer protocol) DHCP protokol za dinamično konfiguriranje gostiteljskih računalnikov (dynamic host configuration protocol) DNS sistem domenskih imen (domain name system)

11 X ICMP protokol spletnega krmilnega sporočila (internet control message protocol) TFTP trivialen protokol za prenos datotek (trivial file transfer protocol) ISO mednarodna organizacija za standardizacijo (internacional organization for standardization) SNMP preprost protokol za upravljanje omreţja (simple network management protocol) IETF delovna skupina za spletno tehniko (internet engineering task force) UDP uporabniški datagramski protokol (user datagram protocol) MIB baza upravljalskih funkcij (management information base) SMI struktura upravljalske informacije (structure of management information) BER osnovna pravila kodiranja (basic encoding rules) SMI struktura upravljalskih informacij (structure of management information) NMS sistem za upravljanje omreţja (network management station) USM varnostni model na osnovi uporabnika (user-based security model) VACM kontrola dostop na osnovi pogleda (view-based access control) RMON nadzorovanje na daljavo (remote monitoring) GUI grafični uporabniški vmesnik (graphic user interface) ASN.1 zapis abstraktne skladnje št. 1 (abstract syntax notation dot one) OID identifikator objekta (object identifier) GNU splošna javna licenca (general public license)

12 Nadzor centraliziranega računalniškega omreţja s protokolom SNMP Stran 1 1 UVOD Prvi osebni računalniki so bili izdelani kot samostojen sistem. Operacijski sistem je omogočal dostop do datotek in sistemskih virov samo enemu uporabniku naenkrat. S prihodom in širitvijo računalniških omreţij po podjetjih so razvijalci operacijskih sistemov razvili specializirane omreţne operacijske sisteme NOS (network operatin system) z namenom, da omogočijo datotečno varnost, uporabniške privilegije in souporabo računalniških virov med uporabniki. Znotraj desetletja so omreţni sistemi prevzeli osrednjo vlogo v namiznem računalništvu (ang. desktop computing). Računalniška omreţja so z razvojem in rastjo postala kritičen in nepogrešljiv vir. S tem ko so bile razne omreţne storitve na razpolago vedno večjim številom uporabnikov, so omreţja postajala vse bolj kompleksna in njihovo vzdrţevanje vse zahtevnejše. Izguba omreţnih virov ali slaba zmogljivost, ki sta posledici rastoče kompleksnosti računalniškega omreţja, sta za končnega uporabnika nesprejemljivi. Učinkovito upravljanje omreţij LAN (local area network) in WAN (wide area network) je ključni element za vzdrţevanje produkcijskega omreţnega okolja. Administratorji računalniških omreţij morajo omreţje upravljati, zagotavljati dobro zmogljivost in prepoznavati ter odpravljati probleme, še preden postanejo opazni končnemu uporabniku. V neki točki so omreţja postala preobseţna za upravljanje brez ustrezne programske opreme ali avtomatiziranih omreţnih upravljalnih orodij. Upravljanje računalniškega omreţja zahteva: Nadzor dosegljivosti omreţja imeti nadzor nad dosegljivostjo elementov omreţja v določenem trenutku je ključnega pomena za učinkovito delovanje omreţja, odkrivanje in odpravo napak. Izboljšanje avtomatizacije pomeni izboljšanje učinkovitosti in produktivnosti računalniškega omreţja z avtomatizacijskimi procesi. Spremljanje odzivnega časa s pregledom odzivnega časa lahko ocenimo kakovost in učinkovitost delovanja računalniškega omreţja.

13 Nadzor centraliziranega računalniškega omreţja s protokolom SNMP Stran 2 Upravljanje varnostnih funkcij z dobrim upravljanjem varnostnih funkcij dvignemo raven varnosti v omreţju, preprečimo vdore in izgubo podatkov. Upravljamo z dostopnostjo do elementov omreţja. Usmerjanje prometa usmerjanje toka podatkov po omreţju. Obnovitvene zmoţnosti z obnovitvenimi funkcijami lahko hitro povrnemo omreţje v stanje pred pojavom teţav ali izpadom določenih elementov omreţja. Na razpolago so različna orodja in protokoli za nadzor računalniškega omreţja. Splošno poznavanje teh orodij je ključno za učinkovito upravljanje le-tega. Učinkovit nadzorni sistem računalniškega omreţja mora zagotavljati: Nadzor korporativnih sredstev če omreţna sredstva niso učinkovito nadzorovana, ne bodo zagotavljala rezultatov, ki jih potrebujemo za nadzor. Nadzor kompleksnosti masovna rast števila omreţnih komponent, uporabnikov, omreţnih vmesnikov, protokolov in proizvajalcev ogroţa kontrolo nad nadzorom omreţja. Izboljšanje podpore uporabniki kljub nadgradnji in širitvi omreţnih sredstev zahtevajo enako ali izboljšano kakovost podpore. Zmanjšanje časa izpada zagotavljanje visoke dosegljivosti z ustreznim redundantnim načrtom omreţja. Spremljanje stroškov spremljanje in nadzor izkoriščenosti sredstev tako, da je potrebe uporabnikov mogoče zadovoljiti z razumnimi stroški. Na sliki 1.1 vidimo, kako velikost in kompleksnost omreţja rasteta v odvisnosti od časa. Graf prikazuje tudi, da je rast omreţnih virov, kot so finance in osebje za podporo, veliko manjša v primerjavi z grafom rasti velikosti in kompleksnosti omreţja. Tako ugotovimo, da ni dvoma o potrebi po nadzornem sistemu računalniških omreţij. Hkrati pa ni več treba upravljati in nadzorovati samo elementov omreţne infrastrukture, temveč tudi storitve v omreţju.

14 Nadzor centraliziranega računalniškega omreţja s protokolom SNMP Stran 3 Slika 1.1: Graf rasti omreţne opreme, omreţnega prometa in omreţnih virov. Izdelava oziroma vpeljava sistema za nadzor računalniškega omreţja je zapleten proces, še posebej, če ţelimo nadzorovati kompleksen sistem z raznoliko omreţno tehnologijo. Takšen je računalniški sistem ugledne slovenske zavarovalnice, kjer smo zaposleni kot skrbniki informacijskega sistema na področju računalniškega omreţja. Zaradi nenehne rasti omreţja in količine omreţnega prometa je nastala potreba po nadzoru in centralnem upravljanju. Zato je bilo treba nujno vpeljati sistem za nadzor računalniškega omreţja. V diplomski nalogi ţelimo predstaviti protokole in prikazati uporabo programske opreme za učinkovit nadzor in upravljanje računalniških omreţij. Hkrati ţelimo pokazati, kako čim hitreje zaznati ter odpraviti nekatere teţave. S skrbno analizo obstoječega računalniškega sistema lahko vpeljemo nadzorni sistem, ki nam omogoča hitro odkrivanje, lociranje in odpravljanje napak. Tako pa tudi poskrbimo, da napake čim manj vplivajo na sistem in da ta čim dlje deluje nemoteno. Predstaviti ţelimo tudi način izbire aktivne omreţne opreme. Ni dovolj, da izberemo zelo zmogljivo in drago opremo, temveč jo je treba tudi kar najbolje uporabiti in izkoristiti funkcionalnosti, ki jih omogoča. Računalniški sistem na zavarovalnici se nenehno širi. Uvaja se nova programska in strojna oprema, ki veča obseg dela, ob tem pa je zahtevana brezhibna informacijska podpora. Ko načrtujemo računalniško omreţje, je treba nenehno misliti na moţnosti širitve omreţja, pri

15 Nadzor centraliziranega računalniškega omreţja s protokolom SNMP Stran 4 tem pa, da vpeljujemo tehnologije, ki so kompatibilne z obstoječo in ki omogočajo uporabo obstoječih omreţnih protokolov. V tem diplomskem delu so zbrane najpomembnejše smernice in cilji, ki smo jih upoštevali pri načrtovanju našega nadzornega sistema. Predvsem smo se opirali na IT-smernice, ki so v veljavi znotraj mednarodnega koncerna, v katerem je zavarovalnica kot hčerinsko podjetje. Pri vpeljavi nadzornega računalniškega sistema smo posodobili in nadgradili obstoječo računalniško infrastrukturo. Aktivno omreţno opremo smo posodobili in prešli v uporabo aktivne opreme za LAN predvsem enega proizvajalca Cisco Systems, Inc. Nadgradili smo hitrosti obstoječih VPN-povezav med poslovalnicami, kakor tudi povezave z matičnim podjetjem. Vpeljava nadzornega sistema in nadgradnje omreţja se je začela v začetku leta Danes je nadzor ţe skoraj 100-odstotno vpeljan, nadgradnja pa skoraj končana. Skupno število delovnih postaj, priključenih na omreţje, se je ţe povzpelo preko 200. Skica omreţja WAN je prikazana na sliki 1.2. Slika 1.2: Skica omreţja WAN.

16 Nadzor centraliziranega računalniškega omreţja s protokolom SNMP Stran 5 In še pojasnilo. Slika 1.2 predstavlja le delček celotnega sistema, saj smo ţeleli čim bolj pregledno prikazati določeno situacijo. S shemo celotnega sistema bi izgubili pregled nad obravnavano problematiko. Diplomsko delo je razdeljeno na devet poglavij. V drugem poglavju smo opisali stanje omreţja ethernet v zavarovalnici pred vpeljavo sistema za nadzor omreţja, v tretjem smo predstavili cilje upravljanja omreţja. V četrtem poglavju smo prikazali koncept projektiranja nadzornega sistema omreţja zavarovalnice, v petem so predstavljeni diagnostični ukazi Windows TCP/IP in osnovna orodja TCP/IP za nadzor omreţja. Sledi šesto poglavje, kjer je predstavljen omreţni nadzorni model. V sedmem poglavju pa smo predstavili protokol SNMP (simple network management protocol). Osmo poglavje vsebuje pregled programske opreme za nadzor omreţja, deveto poglavje pa je zaključni pregled celotnega diplomskega dela.

17 Nadzor centraliziranega računalniškega omreţja s protokolom SNMP Stran 6 2 OPIS STANJA OMREŢJA ETHERNET V ZAVAROVALNICI PRED VPELJAVO SISTEMA ZA NADZOR OMREŢJA 2.1 Omreţje Računalniško omreţje v zavarovalnici temelji na tehnologiji ethernet. Vse aktivne omreţne enote, kot so namizni računalniki, prenosni računalniki, mreţni tiskalniki, streţniki, stikala, usmerjevalniki ter poţarni zid, so povezane preko oţičenih povezav ethernet. Varnostne IT-smernice koncerna ne dovoljujejo uporabe kakršnekoli oblike brezţičnih povezav. Topologija računalniškega omreţja je zgrajena v obliki razširjene zvezde. Zavarovalnica ima po Sloveniji enajst poslovnih enot, ki so s centralno enoto povezane s pomočjo povezav VPN (virtual private newtork) preko spleta. Vsaka poslovalnica ima svoj dostop do spleta za vzpostavitev VPN-povezave s pomočjo tehnologije ADSL (asymmetric DSL). Centralna enota v Mariboru pa do spleta za vzpostavitev VPN-povezav dostopa preko najetega optičnega voda s simetrično povezavo. Drugi del WAN-povezav zavarovalnice predstavljata povezavi do centralne enote koncerna. Prva povezava do centralne enote je VPN-povezava preko spleta, do koder pa je izvedena preko najetega voda. Za drugo povezavo, ki sluţi kot redundantna povezava za primer izpada prve VPNpovezave, se uporablja mednarodni najeti vod. Zaradi visoke cene najetega voda smo kot primarno povezavo postavili VPN-povezavo, ki je kar nekajkrat hitrejša, vendar nam ne zagotavlja zanesljivosti, kot jo zagotavlja mednarodni najeti vod. VPN-povezave s poslovalnicami nam zagotavljajo VPN-usmerjevalniki Cisco serije Do centralne enote pa sta povezavi vzpostavljeni s pomočjo poţarnih zidov Nokia Firewall. Omreţje LAN znotraj centralne enote in poslovalnic je oţičeno z bakrenimi povezavami s SSTP-kabli kategorije 7, ki so zaključeni na omreţne priključne panele in vtičnice kategorije 6. Za preklapljanje skrbijo stikala Cisco serije Catalyst 2960 in Catalyst 3560, ki omogočajo podatkovno komutacijo 100 ali 1000 Mb/s. Od programske opreme se največ uporabljajo spletni odjemalec Internet Explorer, odjemalec za terminalski dostop, paket Microsoft Office za elektronsko pošto in delo z dokumenti, aplikacija za elektronsko arhiviranje in pregled elektronskega arhiva ter razni posebni programi za zavarovalništvo. Znotraj centralne enote je vzpostavljena tudi IP-telefonija, ki pa jo širimo na vse poslovalnice. Glavno programsko podporo predstavlja

18 Nadzor centraliziranega računalniškega omreţja s protokolom SNMP Stran 7 terminalska programska oprema KORIN. Terminalska streţnika sta postavljena v sedeţu koncerna, zato je zelo pomembno, da omreţne povezave delujejo neprekinjeno, saj s tem zagotavljamo, da zaposleni kvalitetno opravljajo svoje delo. Telefonija je ena temeljnih aplikacij v zavarovalništvu. Za vpeljavo IP-telefonije smo se odločili zaradi funkcionalnosti, ki jih omogoča. Dolgoročno lahko s takšnim sistemom prihranimo na klicnih stroških. Pogoj za dobro delovanje IP-telefonije je seveda dobro zgrajena omreţna infrastruktura. Problematične so VPN-povezave do poslovnih enot, ki temeljijo na tehnologiji DSL (digital subscriber line), saj nam pri teh spletni ponudnik ne zagotavlja najvišje kakovosti storitev. Vidik hitrosti prenosa podatkov Tehnologija DSL je tehnologija širokopasovnega dostopa, ki uporablja obstoječo telefonsko parico za hitre prenose podatkov do uporabnikov. DSL je širokopasovna storitev, saj uporablja več frekvenčnih območij za prenos podatkov preko fizičnega voda. Oznaka xdsl pokriva več podobnih DSL-tehnologij, kot so ADSL, SDSL (symetric DSL), HDSL (high bit rate DSL), IDSL (ISDN like DSL), RADSL (rate adaptive DSL), CDSL (consumer DSL), VDSL (very high bit rate DSL)... DSL-tehnologija omogoča uporabo telefonske parice za telefonske pogovore in tudi za neprekinjeno omreţno podatkovno povezavo. To je omogočeno z uporabo naprav DSLAM (DSL access multilpekser) na strani ponudnika, kjer uporabnikove povezave multipleksirajo v eno samo povezavo z visoko kapaciteto. DSL-tehnologije uporabljajo sofisticirane kodirne in modulacijske tehnike za zagotavljanje visoke hitrosti prenosa podatkov. Kanal za prenos telefonskega pogovora pokriva frekvenčni spekter pribliţno od 330 Hz do 3,3 KHz. DSL-tehnologije uporabljajo za prenos (prejemanje in pošiljanje) podatkov frekvenčno območje nad tem frekvenčnim oknom. Ta tehnika omogoča hkraten prenos podatkov in govora preko DSL-povezave. Obstajata dva osnovna tipa DSLtehnologij: asimetričen (ADSL) in simetričen (SDSL). Vse oblike DSL-tehnologij so razvrščene znotraj teh dveh. Obstaja več različic obeh tipov. ADSL za prejemanje podatkov zagotavlja večjo pasovno širino kot za pošiljanje. SDSL zagotavlja enako hitrost prenosa podatkov v obe smeri. Različne vrste DSL-storitev zagotavljajo različne hitrosti prenosa podatkov, večina sodobnih DSL-tehnologij celo preseţe hitrosti najetih linij tipa

19 Nadzor centraliziranega računalniškega omreţja s protokolom SNMP Stran 8 T1 in E1. Hitrosti prenosa so odvisne od dejanske dolţine, tipa in kakovosti lokalne zanke. Za zagotavljanje kvalitete storitve mora biti dolţina lokalne zanke manjša od 5,5 kilometra. Na splošno se uporabnik z DSL-tehnologijo ne more povezati neposredno do nekega ciljnega omreţja. Najprej se poveţe do ponudnika spletnih storitev s pomočjo DSLAMmehanizma, od tam pa se vzpostavi IP-povezava do ciljnega omreţja preko spleta. Za zagotavljanje varnosti omogoča DSL-storitev uporabo VPN-povezav do VPN-streţnika, ki je navadno lociran v ciljnem omreţju. Virtualno privatno omreţje je omreţje, ki je navidezno postavljeno znotraj javnega omreţja, kot je npr. internet. Z uporabo VPN-a lahko varno dostopamo do privatnega ali korporativnega omreţja z oddaljene lokacije. Skozi javno omreţje se vzpostavi zavarovan tunel med privatnim/korporativnim omreţjem in neko oddaljeno lokacijo ali pa med dvema privatnima/korporativnima omreţjema. VPN je omreţje, ki je sestavljeno z uporabo javnih povezav za povezavo dveh ali več vozlišč. Komunikacija med dvema zasebnima omreţjema poteka preko javnih vodov. Ta komunikacijski sistem uporablja šifriranje, namensko enkapsulacijo in ostale varnostne mehanizme za zagotavljanje varnega dostopa samo avtoriziranim uporabnikom. VPN tudi zagotavlja, da podatkovni tok ne more biti prestreţen ali spremenjen. Vidik programskega upravljanja in nadzora omreţja V omreţju privzeto ni vzpostavljen nikakršen nadzorni sistem za nadzor omreţja ali za pregled in upravljanje aktivne omreţne opreme. Ob pojavu kritičnih strojnih napak je edina rešitev fizičen dostop do naprave in odprava napake. Enako velja tudi za konfiguracijo naprav. Ker ni omogočeno oddaljeno upravljanje naprav, lahko to pomeni v določenih primerih veliko izgubo časa in denarja. Ker ni vpeljan nadzor pretoka podatkov, obremenitve omreţja ali časovnih zakasnitev paketov, tudi ni nikakršnih informacij o pojavu ozkih grl. Tako ni informacij, katero napravo bi bilo dobro nadgraditi ali zamenjati, dokler ne pride do večjega izpada ali vsaj dokler se ne pojavijo napake, ki vplivajo na funkcionalnost omreţja. Podobno velja za nadzor temperature ali vlage okolja, v katerem se nahaja omreţna oprema. Če teh dejavnikov ne nadzorujemo, je posledično teţko preprečiti usodne izpade, ki jih povzročijo zunanji dejavniki.

20 Nadzor centraliziranega računalniškega omreţja s protokolom SNMP Stran 9 Ekonomski vidik Vse večje napake so tudi vzrok za velike finančne stroške. Jasno je, da je preprečevanje izpadov ali preprečevanje katastrof veliko manjši strošek kot odpravljanje izpadov ali ponovno vzpostavljanje sistema. S samim nedelovanjem sistema pa so povezani tudi drugi stroški. Kot primer lahko navedemo, da vpeljava nadzornega sistema stane do nekaj tisoč evrov, večji izpad zaradi poţara ali poplav pa lahko povzroči izgubo več deset ali sto tisoč evrov. Vse navedene lastnosti kaţejo na nujnost vpeljave omreţnega nadzornega sistema. Prav tako je v prihodnosti pričakovati širitev omreţja, kar še bolj oteţi nadzor in vzdrţevanje brez avtomatiziranih vzdrţevalnih orodij.

21 Nadzor centraliziranega računalniškega omreţja s protokolom SNMP Stran 10 3 CILJI UPRAVLJANJA OMREŢJA Glavni cilj upravljanja in nadzora omreţja je izboljšati čas delovanja sistema. CEO (chief executive officer) organizacije lahko to vidi kot dodaten strošek, CIO (chief information officer) pa bi naj to videl kot orodje za zagotavljanje skoraj 100-odstotnega delovanja ali dosegljivosti sistema. Večja je razpoloţljivost sistema, manj opreme in ljudi potrebujemo, s tem pa so manjši tudi stroški vzdrţevanja in podjetje lahko učinkoviteje izkoristi svoje informacijske vire. Zbiranje podatkov, alarmov in opozoril je dober način za nadzor in upravljanje omreţja, saj lahko tako veliko hitreje odkrijemo in odpravimo napako, ki bi vodila do odpovedi sistema. Na upravljalni sistem se velikokrat gleda kot na mehanizem za odpravljanje katastrofalnih napak, ne pa za izogibanje in preprečevanje odpovedi sistema. Čeprav lahko doseţemo skoraj 100-odstotno razpoloţljivost sistema, pa se moramo obvezno vprašati, koliko je to smotrno. Nakup dodatne redundantne opreme in raznih sistemov za nadomestni način delovanja (ang. failover systems) ne upraviči stroškov podjetja. Zato je dobro, da naredimo načrt odprave katastrofalnih napak (ang. disaster recovery plan). V primeru, da pride do potresa ali poţara, ne bomo zaprli podjetja in prenehali z delovanjem. Tudi ne bomo kupili novega poslopja, opreme in zgradili celotnega informacijskega sistema še enkrat. Moţnost takšnih dogodkov mora biti ţe predvidena in odpravljena v samem načrtovanju sistema. Na drugi strani pa morajo organizacije, kot so npr. bolnice, borze ipd., delovati za vsako ceno. V tem primeru se gradi sekundaren sistem na oddaljenih lokacijah, ki je kopija primarnega sistema. Ta sekundaren sistem lahko prevzame vlogo primarnega sistema v primeru hujše okvare ali izpada.

22 Nadzor centraliziranega računalniškega omreţja s protokolom SNMP Stran 11 4 PROJEKTIRANJE NADZORNEGA SISTEMA OMREŢJA ZAVAROVALNICE 4.1 Analiza in posodobitev programske opreme na omreţnih napravah Projektiranje nadzornega sistema omreţja je potekalo v več stopnjah. Najprej smo morali narediti analizo obstoječega omreţja ter posodobiti programsko opremo na omreţnih napravah. Ugotovili smo tudi, da imajo poslovalnice med seboj različne razpoloţljive pasovne širine za vzpostavljanje VPN-povezave. Odločili smo se za poenotenje pasovne širine za vse poslovalnice. Pri analizi smo tudi preverili, katere protokole za nadzor omreţja podpirajo omreţne naprave. 4.2 Kaj bomo nadzorovali Vseh elementov omreţja prav gotovo ni enostavno ali pametno nadzorovati, če je računalniško omreţje veliko. Tudi preglednost informacij bi bila zelo slaba in hitro se lahko zgodi, da se pomembne informacije spregledajo. Paziti je treba, da s prometom, ki ga ustvari nadzorni sistem, omreţja ne obremenimo preveč. Tako smo se odločili, da bomo nadzirali le določene elemente omreţja, ki opravljajo storitvene funkcije. Tiskalniki Odločili smo se, da bomo nadzorovali skupno število natisnjenih strani, porabo kartuš ter količino papirja v podajalnikih za papir za tisk zavarovalnih pogodb. Ob tem smo ţeleli, da nadzorni sistem omogoča tudi vnos določenih informacij o servisu tiskalnika in zamenjavi kartuš. Omenjene informacije so zelo pomembne pri analizi uporabe tiskalnikov, saj lahko iz nje razberemo obremenjenost tiskalnikov in jih pametneje razporedimo. Z vsemi zbranimi informacijami lahko izračunamo ceno vzdrţevanja tiskalnikov in tako ocenimo, kdaj bi bilo primerno zamenjati posamezen tiskalnik.

23 Nadzor centraliziranega računalniškega omreţja s protokolom SNMP Stran 12 Usmerjevalniki in stikala Pri usmerjevalnikih in stikalih smo se odločili, da bomo nadzorovali njihovo dosegljivost, obremenjenost procesorja, delovanje ventilatorja, električno napetost, temperaturo znotraj ohišja ter zasedenost izbranih omreţnih vmesnikov. Statistika omenjenih podatkov nam bo v pomoč pri analizi, kateri deli omreţja predstavljajo ozko grlo, in pri ugotavljanju, če je treba katere povezave do poslovalnic dodatno nadgraditi zaradi preobremenjenosti ali zamenjati zaradi nedosegljivosti oddaljenih točk. V primeru, da pride do okvare na ventilatorju ali do pregrevanja zaradi kakršnegakoli drugega vzroka, lahko to pravočasno ugotovimo in preprečimo večjo okvaro naprave. Streţniki Pri nadzoru streţnikov smo se odločili, da bomo nadzorovali njihovo dosegljivost ter obremenjenost oz. zasedenost strojnih virov, kot so npr. zasedenost trdega diska, razpoloţljivost prostega hitrega pomnilnika, obremenjenost procesorja, obremenjenost mreţnih kartic. Smotrno je nadzorovati opravila ali dosegljivost storitev, ki jih streţnik upravlja. Tako ne zaznamo samo izpada streţnika, če pride do mehanske okvare, ampak tudi ob programski napaki in se pojavi izpad določene storitve. Če nadzorujemo posamezne storitve, lahko natančneje določimo izvor napake in tudi primerno ukrepamo, preden izpad zaznajo končni uporabniki. Govor v omreţju IP Zaradi uporabe tehnologije VoIP (voice over internet protocol) nas posebej zanima dosegljivost streţnika in število hkrati zasedenih govornih kanalov. Zanimajo nas maksimalne vrednosti parametrov s kroţnim dodeljevanjem (ang. round robin), zakasnitev (ang. latency), ţivljenjska doba (ang. time to live) paketov in trepetanje (ang. jitter), ki se pojavi med pogovori. Te parametre beleţi telefonska centrala za vsako posamezno telefonsko številko.

24 Nadzor centraliziranega računalniškega omreţja s protokolom SNMP Stran 13 Tako lahko uporabnikom zagotavljamo višjo kvaliteto telefonskih storitev in hkrati ugotovimo, če prihaja do napak in na katerih segmentih omreţja se le-te pojavljajo.

25 Nadzor centraliziranega računalniškega omreţja s protokolom SNMP Stran 14 Poţarni zid Nadzorovati ţelimo tudi promet skozi poţarni zid do matičnega podjetja. Zanima nas predvsem količina prometa, dosegljivost in obremenjenost spletnih povezav ter razvrstitev prometa glede na delovno postajo in protokol, ki ga ta uporablja, ter količino prometa, ki ga delovna postaja ustvari. Pametno je tudi beleţiti potencialne poskuse vdora. Ţelimo biti obveščeni o izpadu aktivne ali redundantne povezave do matičnega podjetja. 4.3 Funkcije omreţnega nadzornega sistema Ţelimo, da nadzorni sistem opravlja naslednje funkcije: Moţnost konfiguriranja aktivne omreţne opreme (protokol Telnet). Vohljanje paketov, klasifikacije glede na določene kriterije, kot so protokol, izvor, cilj, količina prenesenega prometa. Podpora protokolu SNMP. Vpogled trenutnih in tudi preteklih merjenih vrednosti glede na izbrani interval, ki ga je moţno določiti in spremeniti. Moţnost izrisovanja grafov in tabel nadzorovanih vrednosti. Zaţeleno je pregledovanje vrednosti z uporabo protokola HTTP. Opozarjanje na prekoračitev kritičnih vrednosti, ki jih sami določimo s pomočjo akustičnih sporočil in elektronske pošte. Izdelovanje poročil v formatih PDF ali HTML. Beleţenje dnevnika. Delovanje na OS Windows ali Linux, saj celoten sistem deluje na teh operacijskih sistemih, kar je zaţeleno tudi po IT-smernicah. Prejemanje in shranjevanje SNMP-pasti, proţenje alarmov, opozarjanje na le-te itd. Preprost grafični vmesnik. Protokol TFTP za izdelavo varnostnih kopij konfiguracij aktivne omreţne opreme.

26 Nadzor centraliziranega računalniškega omreţja s protokolom SNMP Stran 15 Funkcionalnost sistemov Vsak programski paket NMS (network management station) ima svoje funkcionalnosti. Vsak proizvajalec sistema NMS jih ţeli vključiti čim več. Zato je dobro, da najprej definiramo funkcionalnosti, ki naj bi jih naš sistem NMS imel, nato pa ga primerjamo s sistemi na trgu in njihovimi funkcionalnostmi. Tukaj moramo posebej paziti na dodatne funkcionalnosti, saj veliko ponudnikov sistemov NMS nekatere dodatno zaračuna. Grafični vmesnik Dejstvo, da ima NMS grafični vmesnik, ne pove kaj dosti, saj so nekateri grafični vmesniki zelo kompleksni in zahtevni za uporabo. Vsak proizvajalec ima svoj pristop. Uporabnikom, ki nadzirajo omreţje s takšnim sistemom, ni treba razumeti vseh medsebojnih povezav, vseh protokolov ali elementov, ki so nadzorovani. Grafični vmesnik mora omogočati visoko sposobnost nadziranja omreţja, kar mora biti enostavno izvedljivo, hkrati pa ponujati nastavitve, ki bi omogočale podroben vpogled v omreţje, ko uporabnik postane bolj izkušen. Velikost omreţja Kako veliko omreţje bo nadzorni sistem še lahko nadzoroval? Večina nadzornih sistemov lahko brez teţav prenese povprečno ali majhno omreţje. Ne moremo pa predvidevati, da je NMS neskončno razširljiv. To vprašanje se tiče samega dizajna nadzornega sistema, velikosti interne podatkovne baze, hitrost odziva itd. V idealnem primeru se kupcu ali uporabniku ne bi bilo treba ukvarjati s takšnimi vprašanji, vendar lahko omejitve znotraj podatkovne baze vplivajo na učinkovitost nadzornega sistema. Zasnova programskega paketa NMS lahko bistveno vpliva na to, koliko točk bomo lahko nadzirali s sistemom. Vprašati se moramo tudi, kako vpliva dodana nova točka na samo učinkovitost sistema, zasedenost pomnilnika, porabo procesorskega časa itn. Ponudniki pogosto svoj sistem prodajajo v različnih paketih, ki se ne razlikujejo samo po funkcionalnosti, ampak tudi po številu licenc ali številu naprav, ki jih lahko hkrati nadzorujemo, ali celo po številu parametrov na določenih napravah, ki jih bomo

27 Nadzor centraliziranega računalniškega omreţja s protokolom SNMP Stran 16 nadzorovali. To lahko zelo vpliva na ceno. Predhodno se moramo odločiti, katere točke in katere parametre bomo nadzorovali. Nekateri NMS-ji omogočajo pregled in nadzor omreţja preko spletnega brskalnika, kar je zelo dobrodošla funkcionalnost, saj nam omogoča nadzor iz katerekoli točke omreţja, če le imamo pravice za dostop. Prav tako pa nam zmanjšajo količino dela z izdelovanjem in distribucijo raznih poročil, saj navadno omogočajo takojšen vpogled v sistem. Zgodovina alarmov Beleţiti zgodovino alarmov je tako pomembno, da lahko to funkcionalnost izpostavimo kot nujno. Ni pomembno le, da identificiramo območje z napako ali napravo, temveč moramo voditi tudi zgodovino. Tako lahko veliko laţje in natančneje določimo vzrok in izvor napake. NMS mora omogočati pregled in iskanje po zgodovini, saj je izdelava statistike ključnega pomena. Cilj nadzornega sistema je doseči čim daljši neprekinjen čas delovanja sistema. Tega pa ne moremo doseči z reakcijo na teţave, ampak z analizo alarmov in s preprečevanjem napak. Predstavitev alarmov Alarmi morajo biti programirljivi, prav tako morajo biti programirljivi njihovi filtri. Tako lahko sami določimo pomembnost alarmov, vrstni red in način opozorila. Preveriti moramo, katere načine opozarjanja nudi NMS. Navadno so to pošiljanje elektronske pošte, SMS-ov, zvočni signali, pozivnik, zaganjanje zagonskih datotek, zapisovanje v sistemski dnevnik, posredovanje alarmov. Tukaj se moramo sami odločiti, kako in kdaj ţelimo biti opozorjeni. Zato je dobrodošla moţnost programiranja raznih filtrov. Statistika Moramo dodati, da večja je statistika, ki jo beleţi NMS, več podatkov mora zbrati od raznih agentov. Posledično je prenesenega tudi več prometa po omreţju. Cilj je, da se trudimo omejiti prenos dodatnih podatkov tako, da promet NMS-ja predstavlja okoli 1 odstotek vsega prometa. V omreţju s 1000 napravami moramo zelo pazljivo nadzirati sekvence povpraševanja, da doseţemo ta cilj.

28 Nadzor centraliziranega računalniškega omreţja s protokolom SNMP Stran 17 Nekateri NMS-ji imajo ţe vnaprej izdelano poročilo iz podatkov, ki jih zajamejo. Dobrodošlo je, če omogočajo izdelavo poljubne statistike iz dobljenih podatkov, saj nam vnaprej izdelana statistika ponavadi ne more odgovoriti na vsa vprašanja in prikazati ţelenih rezultatov. Preizkusne različice Najboljši način, da preverimo, kako se obnese NMS na sistemu, je, da ga preizkusimo. Večina proizvajalcev nudi moţnost brezplačnega preizkusa paketa v navadno vnaprej določenem časovnem obdobju. Tako lahko ugotovimo, kako uporaben je v resnici uporabniški vmesnik. NSM ni nekaj, kar bi lahko ocenili v prostem času. Za to si je treba vzeti čas. Izris omreţja Zelo je priročno, če vam čarovnik v NMS-ju sam ustvari mapo omreţja. Dobro je, če imamo mapo omreţja posodobljeno ţe takrat, ko omreţje načrtujemo in širimo. Na ţalost pa ni veliko omreţij takšnih, ki so načrtovana vnaprej, navadno se zgolj širijo. Kar nekaj NMS-sistemov nudi moţnost avtomatske izdelave mape omreţja. Vendar moramo biti pazljivi pri samem videzu mape. Katere informacije lahko razberemo iz mape? Biti mora berljiva in enostavno razumljiva. Omogočati mora funkciji pribliţaj in oddalji. V primeru, da imamo prikazano celotno omreţje, je lahko pri večjem številu povezav in elementov mapa nerazumljiva in nepregledna. Zato je dobro, če lahko pribliţamo/povečamo izbrani del. Navadno obstajata dva načina za avtomatsko izdelavo mape. Prvi način je z uporabo SNMP-informacij iz vsakega programskega agenta, drugi pa z opazovanjem pretoka prometa skozi omreţje. Prvi način je veliko hitrejši, ampak lahko prikaţe samo naprave, podprte s SNMP-protokolom. Analizo prometa lahko teoretično izvedemo z vsakim mreţnim vmesnikom, kar pa lahko vzame veliko časa za dokončno izdelavo mape. Zbiranje informacij za izdelavo mape ni kratko opravilo. Odvisno je od velikosti omreţja, lahko pa traja ure ali mesece. Natančnost mape je odvisna od tega, koliko informacij vnesemo v NMS-sistem in koliko SNMP-informacij lahko poda naprava. Če imamo na

29 Nadzor centraliziranega računalniškega omreţja s protokolom SNMP Stran 18 primer ločeno logično omreţje od fizičnega (pri uvedbi VLAN-ov in podomreţij), lahko pri izdelavi map nastopijo večje razlike. 4.4 Izbira protokola Ker smo pri analizi omreţja ugotovili, da skoraj vse omreţne naprave podpirajo protokol SNMP, smo se odločili, da bomo nadzirali naprave z uporabo tega protokola. Protokol SNMP zadostuje določenim varnostnim kriterijem. Omogoča nadzor nad veliko količino sistemskih funkcij v posameznih napravah. Hkrati je tudi neodvisen od operacijskega sistema. Standardiziran je v RFC Izbira programske opreme za nadzorni sistem Po preizkusu programske opreme, kot so npr. Cisco Works, WhatsUp Gold, Nagios, OpenView, OpManager in Paessler PRTG Traffic Grapher, smo se odločili za sistema Nagios in Paessler PRTG Traffic Grapher, saj sta bila cenovno ugodna, po funkcionalnosti pa sta zadostovala našim zahtevam in sta v uporabi tudi s strani koncerna. S stališča kompatibilnosti je pomembno, da uporabljamo enako programsko opremo. 4.6 Postavitev nadzornega sistema Nadzorni sistem smo namestili v centralno računalniško sobo, saj je tam streţnikom zagotovljena varnost, hkrati pa soba nudi omejen dostop do streţnikov in raznih omreţnih naprav. To je bilo nujno, saj bo omogočen dostop do vseh aktivnih omreţnih naprav, kar pa zahteva določeno stopnjo varnosti. Druga pomembna stvar pa je, da lahko hitro in enostavno fizično spremenimo nadzorne točke omreţja. Slika 4.1. prikazuje postavitev nadzornega sistema v omreţje. Pomembno je, da pri postaviti omreţnega sistema upoštevamo vpliv na obremenitev omreţja, ki ga povzročimo z nadzornim sistemom. Omreţni sistem postavimo tako, da je obremenitev, ki jo predstavlja nadzorni sistem, čim bolj enakomerno porazdeljena po omreţju.

30 Nadzor centraliziranega računalniškega omreţja s protokolom SNMP Stran 19 Slika 4.1: Skica postavitve nadzornega sistema v omreţju LAN.

31 Nadzor centraliziranega računalniškega omreţja s protokolom SNMP Stran 20 5 DIAGNOSTIČNI UKAZI WINDOWS TCP/IP IN OSNOVNA POVEZOVALNA ORODJA TCP/IP V tem poglavju bomo predstavili razna omreţna orodja, ki se uporabljajo s pomočjo ukazne vrstice v operacijskih sistemih MS-DOS, Windows, Linux, Unix in ostalih. Ukazi se med operacijskimi sistemi nekoliko razlikujejo. Uporabljajo se za konfiguracijo in testiranje spletnih in omreţnih povezav. Za predstavitev smo izbrali ukazno vrstico Windows XP, ki je prikazana na sliki 5.1. Slika 5.1: Ukazna vrstica operacijskega sistema Windows XP. V nadaljevanju bomo predstavili najpogosteje uporabljene ukaze za nadzor računalniškega omreţja. Poznavanje teh ukazov je ključnega pomena za hitro iskanje, odpravo ali preprečevanje napak na omreţju. Nekateri ukazi, ki jih po naši oceni pogosteje uporabljamo, so natančneje opisani. 5.1 ARP Z ukazom ARP (address resolution protocol) lahko pregledujemo in spreminjamo vrednosti v ARP-predpomnilniku. ARP-predpomnilnik vsebuje eno ali več tabel, ki se uporabljajo za shranjevanje preslikav IP-naslovov v njim pripadajoče fizične naslove ethernet MAC (medium access control) ali token ring MAC. V pomnilniku se za vsako mreţno kartico nahaja ločena tabela. Vrednosti v ARP-tabeli lahko vnesemo statično ali pustimo, da jih operacijski sistem vnese dinamično. Uporaba ukaza ARP je prikazana na sliki 5.2.

32 Nadzor centraliziranega računalniškega omreţja s protokolom SNMP Stran 21 Slika 5.2: Prikaz ukaza ARP v ukazni vrstici Windows XP. 5.2 Finger Ukaz finger nam prikaţe informacije o uporabniku ali uporabnikih, ki so prijavljeni na določen oddaljeni računalnik (navadno računalnik z operacijskim sistemom UNIX), ki ima zagnano storitev finger deamon. Oddaljeni računalnik določi format in prikaz uporabnikovih informacij. Uporaba ukaza finger je prikazana na sliki 5.3.

33 Nadzor centraliziranega računalniškega omreţja s protokolom SNMP Stran 22 Slika 5.3: Prikaz ukaza finger v ukazni vrstici Windows XP. 5.3 FTP FTP (file transfer protocol) je namenjen za prenos datotek z uporabo protokola FTP. Kako se uporablja ukaz FTP, lahko vidimo na sliki 5.4. FTP je zasnovan na osnovi arhitekture streţnik/odjemalec. Avtentifikacija uporabnika se izvaja s pomočjo uporabniškega imena in gesla, lahko pa se uporablja tudi anonimen dostop. Slika 5.4: Prikaz ukaza FTP v ukazni vrstici Windows XP.

34 Nadzor centraliziranega računalniškega omreţja s protokolom SNMP Stran Hostname Ukaz nam prikaţe ime računalnika, na katerem smo izvršili ukaz. Uporaba ukaza je prikazana na sliki 5.5. Slika 5.5: Prikaz ukaza hostname v ukazni vrstici Windows XP. 5.5 Ipconfig Ukaz se uporablja za prikazovanje omreţnih nastavitev TCP/IP. Lahko se uporablja tudi za preverjanje omreţne povezave in omreţnih nastavitev. Z njim lahko zbrišemo trenutne vrednosti ali pridobimo nove. Uporablja se za osveţitev nastavitev DHCP (dynamic host configuration protocol) in DNS (domain name system). Uporaba ukaza je prikazana na sliki 5.6. Ukaz ipconfig ima naslednjo sintakso: Ipconfig /all prikaz vseh nastavitvenih informacij. Ipconfig /release sprostitev IP-naslovov za določen mreţni vmesnik. Ipconfig /renew obnova IP-naslovov za določen mreţni vmesnik. Ipconfig /flushdns očiščenje DNS-predpomnilnika. Ipconfig /registerdns obnova vseh DHCP-rezervacij in ponovna registracija v DNS. Ipconfig /displaydns prikaz DNS-predpomnilnika. Ipconfig /showclassid prikaz vseh ID DHCP-razredov. Ipconfig /setclassid sprememba ID DHCP-razreda.

35 Nadzor centraliziranega računalniškega omreţja s protokolom SNMP Stran 24 Slika 5.6: Prikaz ukaza ipconfig v ukazni vrstici Windows XP. 5.6 Nbtstat Prikaţe nam statistiko NetBIOS TCP/IP-protokola. Prikaţe vsebino imenskih tabel za lokalni računalnik, kakor tudi za oddaljene računalnike. Ukaz nam omogoča tudi osveţevanje imenskega predpomnilnika NetBIOS in imen, registriranih z WINS. Primer uporabe ukaza je prikazan na sliki 5.7.

36 Nadzor centraliziranega računalniškega omreţja s protokolom SNMP Stran 25 Slika 5.7: Prikaz ukaza nbtstat v ukazni vrstici Windows XP. 5.7 Net Ukaz net nam omogoča prikazati ali spreminjati omreţne nastavitve. Pokriva več področij, zato je natančneje opisan. Sintaksa ukaza: NET ACCOUNTS nastavitve računa. NET COMPUTER dodajanje ali brisanje z domenskega kontrolerja Windows.

37 Nadzor centraliziranega računalniškega omreţja s protokolom SNMP Stran 26 NET CONFIG prikaţe trenutne nastavitve delovne skupine. NET CONTINUE nadaljevanje uporabe storitve (glej net pause). NET FILE prikaz odprtih datotek v skupni rabi na streţniku. NET GROUP dodajanje, brisanje, pregled ali upravljanje omreţnih skupin. NET HELP prikaz pomoči. NET HELPMSG pomoč pri razumevanju sporočil z napakami. NET LOCALGROUP dodajanje, brisanje, pregled ali upravljanje lokalnih omreţnih skupin. NET NAME ustvarjanje ali brisanje imen, ki se uporabljajo za pošiljanje sporočil. NET PAUSE pavziranje določene omreţne storitve. NET PRINT upravljanje s tiskalniškimi opravili. NET SEND pošiljanje sporočil drugim uporabnikom, računalnikom. Za prejemanje sporočil mora biti storitev zagnana. NET SESSION prikaz vseh sej, ki so povezane na lokalni računalnik. Omogočeno je brisanje sej, če so posebej navedene. NET SHARE upravljanje s skupno rabo virov. NET START zaganjanje določenih lokalnih omreţnih storitev. NET STATISTICS prikaz omreţne statistike na računalniku ali streţniku. NET STOP ustavljanje določene omreţne storitve. NET TIME prikaz in nastavljanje ure in datuma. NET USE prikazovanje informacij, povezovanje ali prekinjanje povezave s skupno rabo omreţnih virov. NET USER prikaz uporabnikov na lokalnem računalniku v domeni. NET VIEW prikaz seznama računalnikov v določeni skupini ali seznama skupne rabe virov na določenem računalniku.

38 Nadzor centraliziranega računalniškega omreţja s protokolom SNMP Stran Netsh Je skriptno orodje, ki omogoča lokalno ali oddaljeno prikazovanje ali spreminjanje omreţnih nastavitev. Netsh omogoča tudi shranjevanje nastavitev v tekstovno datoteko za arhiviranje ali prenos nastavitev na druge računalnike. Natančnejše moţnosti uporabe ukaza so prikazane na sliki 5.8. Slika 5.8: Prikaz ukaza netsh v ukazni vrstici Windows XP. 5.9 Netstat Prikaţe aktivne TCP-povezave, vrata, pri katerih računalnik posluša statistiko omreţja ethernet, IP-usmerjevalno tabelo, IPv4-statistiko in IPv6-statistiko. Prikaz uporabe ukaza je predstavljen na sliki 5.9. Sintaksa ukaza: Netstat a prikaz vseh povezav.

39 Nadzor centraliziranega računalniškega omreţja s protokolom SNMP Stran 28 Netstat r prikaz tabele poti in aktivne povezave. Netstat e prikaz statistike omreţja ethernet. Netstat s prikaz statistike TCP/IP-protokola. Slika 5.9: Prikaz ukaza netstat v ukazni vrstici Windows XP Nslookup Uporablja se pri diagnostificiranju infrastrukture DNS, kot je prikazano na sliki 5.8. Omogoča, da najdemo IP-naslov določene domene ali računalnika, prijavljenega v

40 Nadzor centraliziranega računalniškega omreţja s protokolom SNMP Stran 29 omreţje. Največkrat se uporablja z namenom, da ugotovimo domensko ime ali pripadajoči IP-naslov računalnika. Slika 5.10 prikazuje uporabo ukaza nslookup. Slika 5.10: Prikaz ukaza nslookup v ukazni vrstici Windows XP Pathping Pathping nam poda informacije o prehodnem času omreţja in izgubi paketov v vsaki vmesni točki ali povezavi med izvorom in ciljem. Večje število odmevnih sporočil (ang. echo request) ICMP (internet control message protocol) pošlje do vsakega usmerjevalnika med izvorom in ciljem v nekem določenem časovnem oknu. Nato analizira vsa povratna sporočila. Ker pathping prikaţe stopnjo izgube paketov na vsaki povezavi, lahko z njegovo pomočjo natančno določimo vir omreţnih problemov, ki je bodisi usmerjevalnik ali podomreţje. Slika 5.11 prikazuje uporabo ukaza pathping.

41 Nadzor centraliziranega računalniškega omreţja s protokolom SNMP Stran 30 Slika 5.11: Prikaz ukaza pathping v ukazni vrstici Windows XP Ping Ping je ukaz za preverjanje omreţne povezljivosti. Izraz izvira iz pomorskega besedišča za povraten signal ali pulz, ki se odbije od podvodnih objektov. Primer uporabe je prikazan na sliki Ukaz ping deluje s pošiljanjem posebnih IP-paketov, t. i. ICMP-datagramov na določen ciljni naslov. Ping deluje na omreţnem nivoju modela OSI (open system interconnection). Vsako poslano sporočilo predstavlja poziv za odgovor. Rezultat ukaza je uspešnost, ki se meri z razmerjem med številom poslanih zahtev in številom odgovorov, ter čas obhoda (ang. round trip), ki se meri v milisekundah. Tako lahko enostavno ugotovimo, ali obstaja povezava do destinacije. Kako lahko z ukazom preverimo povezljivost do ciljnega računalnika: Ping navedeni naslov je rezerviran za testiranje povratne povezave (ang. loopback). Uporablja se za test omreţnih nastavitev TCP/IP.

42 Nadzor centraliziranega računalniškega omreţja s protokolom SNMP Stran 31 Ping [IP naslova lokalnega računalnika] s pomočjo tega ukaza lahko preverimo nastavitve TCP/IP-naslova lokalnega računalnika. Ping [IP privzetega omrežnega prehoda] prikaţe nam dosegljivost usmerjevalnika, ki skrbi za povezljivost lokalnega omreţja z drugimi omreţji. Ping [IP oddaljenega računalnika] preveri povezavo do oddaljenega računalnika. Slika 5.12: Prikaz ukaza ping v ukazni vrstici Windows XP Route Ukaz nam prikaţe in omogoča spremembe vrednosti v lokalni IP-tabeli poti (ang. route table). Tako lahko dodamo ali spremenimo obstoječo pot. V primeru, da imamo več mreţnih kartic ali omreţnih prehodov, lahko glede na ciljno omreţje natančno določimo pot, po kateri bo paket potoval. Ukaz ima naslednjo sintakso: Route print prikaţe celotno tabelo poti. Route delete zbriše določeno pot iz tabele. Route change spremeni obstoječo pot v tabeli. Route add doda novo pot v tabelo. Slika 5.13 prikazuje uporabo ukaza route print, ki izpiše seznam mreţnih vmesnikov in usmerjevalno tabelo.

43 Nadzor centraliziranega računalniškega omreţja s protokolom SNMP Stran 32 Slika 5.13: Prikaz ukaza route v ukazni vrstici Windows XP RSH Omogoča izvajanje ukazov na oddaljenem računalniku, na katerem teče storitev RSH. Uporaba ukaza je prikazana na sliki Slika 5.14: Prikaz ukaza RSH v ukazni vrstici Windows XP.

44 Nadzor centraliziranega računalniškega omreţja s protokolom SNMP Stran Tracert Ukaz tracert nam prikaţe pot do destinacije s pošiljanjem sporočil ICMP. Pot je prikazana kot seznam usmerjevalnikov od izvira do cilja. Prvi na seznamu je najbliţji izvoru in je ponavadi privzeti prehod. Natančnejša uporaba ukaza in primer uporabe je prikazan na sliki Slika 5.15: Prikaz ukaza tracert v ukazni vrstici Windows XP Telnet Telnet je omreţni protokol, ki deluje na aplikacijskem nivoju modela OSI, v transportni plasti modela OSI pa ga identificirajo vrata 23. Protokol omogoča oddaljeno povezovanje in se uporablja v TCP/IP-omreţjih, tako na spletu, kakor tudi v lokalnih omreţjih. Razvit je bil leta 1969 in je bil vpeljan kot eden prvih spletnih standardov IETF STD 8. Izraz telnet opredeljuje tudi programsko opremo odjemalca, ki uporablja protokol Telnet. Če se poveţemo z odjemalcem Telnet na streţnik Telnet v omreţju, lahko vpisujemo v konzolo na odjemalcu ukaze, ki se izvršijo direktno na streţniku, na katerega se poveţemo. Tako

45 Nadzor centraliziranega računalniškega omreţja s protokolom SNMP Stran 34 nam omogoča, da nadzorujemo streţnik in komuniciramo preko njega, kot da bi sedeli pred njim in vpisovali ukaze vanj. Ko vzpostavimo sejo od odjemalca do streţnika preko protokola Telnet, se moramo najprej vpisati s svojim uporabniškim računom. Šele nato lahko, če je prijava uspešna, z oddaljene lokacije izvršimo ukaze operacijskega sistema. Oddaljeni sistem mora imeti zagnano storitev Telnet (ang. Telnet deamon). Slika 5.16 prikazuje moţnosti uporabe ukaza telnet. Slika 5.16: Prikaz ukaza telnet v ukazni vrstici Windows XP TFTP Protokol TFTP (trivial file transfer protocol) je protokol za prenos datotek s funkcionalnostjo protokola FTP. Je enostaven in zavzame majhen del pomnilnika, kar je zelo primerno za vgradnjo v razne aktivne omreţne naprave. Uporablja ga velik del napredne aktivne omreţne opreme za posodabljanje programske opreme, shranjevanje in nalaganje nastavitev, nalaganje strojno-programske opreme (ang. firmware). TFTP-protokol: Uporablja protokol UDP (user datagram protocol), ki ga identificirajo vrata 69, ne zna izdelati seznama vsebine mape, nima vgrajenih avtentifikacijskih ali šifrirnih algoritmov, se uporablja za branje in pisanje na streţnik in podpira tri načine prenosa: netascii, octet and mail.

46 Nadzor centraliziranega računalniškega omreţja s protokolom SNMP Stran 35 Primer TFTP-seje: Inicializacijski gostitelj A pošlje WRQ-zahtevo za branje ali RRQ-zahtevo za pisanje na streţnik B na znana vrata 69. Zahteva vsebuje ime datoteke in način prenosa. Streţnik B odgovori s potrditvenim ACK-paketom na WRQ-zahtevo ali neposredno s podatkovnim paketom na RRQ-zahtevo. Nato pošlje za pisanje gostitelj A večje število podatkovnih paketov vse do zadnjega. Streţnik odgovori z oštevilčenimi potrditvenimi ACK-paketi za vsak podatkovni paket, ki ga je prejel. V primeru branja streţnik pošlje podatkovne pakete gostitelju in gostitelj jih potrdi z oštevilčenimi potrditvenimi ACK-paketi za vsak prejeti podatkovni paket. Dolţina zadnjega prenesenega paketa pri branju ali pisanju mora biti manjša od predhodnih. Če je enaka, mora biti prenesen še zadnji paket velikosti 0, ki pomeni zaključek prenosa. Slika 5.17 prikazuje moţnosti uporabe ukaza TFTP. Slika 5.17: Prikaz ukaza TFTP v ukazni vrstici Windows XP.

47 Nadzor centraliziranega računalniškega omreţja s protokolom SNMP Stran 36 6 OMREŢNI NADZORNI MODEL Organzacija ISO (internacional organization for standardization) je izdelala model za upravljanje z omreţji. Model vsebuje štiri dele, kot je prikazano na sliki 6.1. Slika 6.1: Model za upravljanje z omreţji glede na ISO. Organizacijski model opisuje komponente upravljanja omreţja in njihove medsebojne odnose. Arhitektura modela je odvisna od uporabljenih standardov. Informacijski model opisuje strukturo in shranjevanje informacij, predstavitev informacij in objektov, ki so pomembni za upravljanje omreţja. Definirana je sintaksa in semantika informacij, shranjenih v MIB-u (management information base). Komunikacijski model opredeljuje, kako potekajo komunikacije med agenti in upravljalnimi procesi. Funkcijski model naslavlja aplikacije znotraj NMS-sistema. Kategorizira pet področij funkcionalnosti: Upravljanje z napakami pomeni odkriti, izolirati, odpraviti in zabeleţiti napako, ki se pojavi v omreţju. Upravljanje z napakami je največkrat implementirana funkcionalnost v omreţnih nadzornih sistemih. Upravljanje nastavitev je pregledovanje, spreminjanje in shranjevanje konfiguracij naprav. Ta del je posebej pomemben, da se sledi spremembam, ki so bile storjene v omreţju. Pravilno upravljanje z nastavitvami pomeni tudi hitro odkrivanje napak, povzročenih s spremembami nastavitev.

48 Nadzor centraliziranega računalniškega omreţja s protokolom SNMP Stran 37 Upravljanje vzdrţljivosti pomeni pripravo omreţja za prihodnost, kakor tudi določitev učinkovitosti trenutnega omreţja. To področje zbira podatke o vzdrţljivosti omreţja, kot so odzivni čas (ang. response time), izguba paketov (ang. packet loss) in izkoriščenost povezave (ang. link utilization). To je pomemben korak, saj se problem lahko identificira, preden pride do napak. Upravljanje varnosti pomeni nadzorovati dostop do sredstev v omreţju. Ne ukvarja se samo z zagotavljanjem, da je omreţno okolje varno, temveč tudi zbira in analizira varnostne informacije. Pokriva področja overjanja (ang. authentification), pooblastil (ang. authorization), statistike, dostopa Upravljanje statistike obračunavanje (ang. accounting) pomeni zbiranje statistike uporabnikov. Beleţi informacije o izkoriščenosti omreţja po posameznem uporabniku, oddelku ali poslovni enoti. Beleţenje izkoriščenosti virov pripomore k bolj učinkoviti uporabi virov in hkrati nudi mehanizem za izračun stroškov. Da bi poskrbeli za medobratovalnost (ang. interoperability) in moţnost upravljanja med različnimi omreţnimi platformami, je za proizvajalce opreme potreben standard za upravljanje omreţij. Nastala sta dva glavna standarda: SNMP preprosti protokol za upravljanje omreţja (simple network management protocol) je protokol, ki vsebuje standarde za upravljanje z omreţji. Ti standardi definirajo protokol, strukturo podatkovne baze in skupek podatkovnih objektov. SNMP je bil prisvojen kot standard za TCP/IP-omreţja. Nadgradnja protokola, znana kot SNMPv2c, ki je izšla leta 1993, je nudila podporo za centralizirane in porazdeljene upravljalne strategije. Ob tem pa je vsebovala še dodatne posodobitve. Odkar je bil izdelan SNMPv3, nudi uporaba SNMP-protokola tudi nekaj varnostnih mehanizmov, kot je varen dostop do MIB-a z avtentifikacijo in šifriranjem paketov. CMIP splošni upravljalni informacijski protokol (common management information protocol) je bil izdelan predvsem za nadzor in upravljanje heterogenih omreţij. CMIP je implementiran z zdruţenjem protokolov ACSE in ROSE. Oba protokola delujeta na aplikacijskem nivoju modela OSI. ACSE se uporablja za upravljanje nadzornih aplikacij in komunikacijo med agenti. ROSE-protokol pa skrbi za izmenjavo informacij. CMIP je bil razvit kot tekmec protokolu SNMP in ima veliko več funkcionalnosti. Na spletu večina TCP/IP-naprav podpira SNMP, manj CMIP. To

49 Nadzor centraliziranega računalniškega omreţja s protokolom SNMP Stran 38 je zaradi kompleksnosti in velike potrebe po virih CMIP-agentov in nadzornih sistemov. CMIP večinoma podpirajo telekomunikacijske naprave.

50 Nadzor centraliziranega računalniškega omreţja s protokolom SNMP Stran 39 7 SNMP 7.1 Pregled SNMP je leta 1989 definirala organizacija IETF (internet engineering task force). Od takrat predstavlja industrijski standard za nadzor in upravljanje naprav, povezanih v omreţje. SNMP predstavlja nabor omreţnih protokolov in funkcij za nadzor omreţja, ki komunicirajo z uporabo IP-sklada. SNMP omogoča skrbniku omreţja, da izolira in odpravi napake v omreţju, ki ga sestavljajo naprave različnih proizvajalcev, konfigurira naprave v omreţju, hkrati pa omogoča pregled in nadzor nad učinkovitostjo omreţja. Deluje na aplikacijskem nivoju modela OSI. Za komunikacijo uporablja navadno protokol UDP (vrata 161 in 162), ki ne zagotavlja zanesljivosti prenosa. SNMP-komunikacija temelji na izmenjavi sporočil med dvema točkama: Upravljalna postaja, ki je programska oprema za nadzor omreţja in teče na računalniku, povezanem v omreţje. Takemu računalniku rečemo tudi upravljalna postaja. Agentom pošilja zahteve po določenih informacijah ali prejme avtomatsko generirana sporočila z informacijami od agentov. Upravljalni agenti so naprave, računalniki, usmerjevalniki Naprave so podprte s protokolom SNMP, da se jih laţje upravlja. V napravo so vgrajene programske funkcije SNMP-ja. Te funkcije odgovarjajo na zahteve NMS-ja ali pošljejo samodejno proţene nezahtevane informacije, kot so pasti. SNMP je implementacija komunikacije odjemalec/streţnik. Odjemalec, upravljalna postaja, vzpostavi navidezno povezavo do SNMP-agenta, ki teče na omreţni napravi. Podatkovna baza, ki jo nadzoruje SNMP-agent, se imenuje MIB. MIB je standarden skupek statističnih in kontrolnih vrednosti. SNMP dovoljuje razširitev teh standardnih vrednosti z vrednostmi, ki so specifične za posameznega agenta. SNMP-agent nadzoruje ţelene objekte v okolju, ki ga nadzira. Zapakira informacije v primerno obliko, jih shrani v MIB in jih posreduje na zahtevo ali takoj. Navadno obravnavamo protokol SNMP v kontekstu upravljanja stikal in usmerjevalnikov. S protokolom SNMP lahko upravljamo vsako omreţno napravo, ki podpira TCP/IP in protokol SNMP. To velja za tiskalnike, modeme, I/O-naprave, delovne postaje in streţnike.

51 Nadzor centraliziranega računalniškega omreţja s protokolom SNMP Stran 40 SNMP nam predstavi koncept upravljanja z napravami, ki nudi veliko število prednosti pred napravami, ki jih ne moremo upravljati na daljavo. Upravljalna postaja se navadno nahaja v centralnih prostorih informacijskega omreţja, ni pa nujno. Lahko se nahaja kjerkoli v omreţju. Uporabniška postaja predstavlja uporabniški vmesnik do omreţnega upravljanja sistema. Navadno je to GUI (graphic user interface), ki prikazuje razne statistike, poročila, vrednosti statusov itn., ki jih dobi od upravljalnih agentov na raznih napravah. Slika 7.1 prikazuje logično relacijo med upravljalno postajo in upravljalnim agentom. Upravljalni element ali objekt je naprava, kot so stikalo, usmerjevalnik, streţnik, tiskalnik ali katerakoli druga naprava. Je program ali proces, ki teče na napravi in zagotavlja vmesnik do določenih vrednosti ali funkcij na napravi. Te vrednosti lahko na primer vključujejo velikost in zasedenost pomnilnika, obremenjenost procesorja, prenos podatkov, odvisno od tipa naprave. Slika 7.1: Logična relacija med upravljalno postajo in upravljalnim agentom. Agent je vmesnik do upravljalnih funkcij in lahko sprejme sporočila. Obstaja pet osnovnih tipov sporočil: Pridobi (ang. get) S sporočilom get pošlje upravljalna postaja zahtevo za pridobitev vrednosti določenega objekta iz MIB-a. Agent sprejme zahtevo in jo obdela. Če uspešno zbere informacije, odgovori s sporočilom get-response. Pridobi naslednjega (ang. get-next)

52 Nadzor centraliziranega računalniškega omreţja s protokolom SNMP Stran 41 S sporočilom get-next pošlje upravljalna postaja zahtevo za pridobitev vrednosti naslednjega objekta v drevesu, določenega OID iz MIB-a. Na sporočilo get-next agent v poddrevesu od prejetega OID-a išče naslednji objekt in vrne njegovo vrednost. Masovno pridobivanje (ang. get-bulk), samo v SNMPv2 in SNMPv3 Sporočilo get-bulk omogoča poizvedbo po večji količini podatkov, kot je na primer tabela. Nastavljeni morata biti dve polji: polje non-repeaters, ki pove, da je lahko prejetih prvih n objektov z operacijo get-next, in polje max-repetitions za pridobitev preostalih objektov. Nastavi (ang. set) S sporočilom set pošlje postaja zahtevo za nastavitev ene ali več vrednosti določenih objektov znotraj MIB-a. V sporočilu set je OID ali več le-teh s pripadajočimi novimi vrednostmi objektov, ki jih ţelimo nastaviti. Pridobi odgovor (ang. get-response) Sporočilo response je odgovor, poslan na zahtevo od agenta do upravljalne postaje. Agent v vsakem sporočilu tudi vrne status napake. Past (ang. trap) Agent pošlje nezahtevano sporočilo, da obvesti upravljalno postajo o določenem dogodku. Past ustvari agent in jo pošlje nadzorni postaji. Primer pasti je, da agent pošlje past z obvestilom, da se je ustavil ventilator na stikalu. Obstaja več tipov pasti, ki jih lahko vidite v tabeli 7.1. Tabela 7.1: Generične pasti. GENERIČNE PASTI POMEN PASTI coldstart (0) Sporoča, da je bil agent ponovno zagnan. Spremenljivke in števci so ponastavljeni. warmstart (1) linkdown (2) Agent se je inicializiral. Spremenljivke in števci so obdrţali svoje vrednosti. Sporočilo je poslano, če pride do izključitve mreţnega vmesnika.

53 Nadzor centraliziranega računalniškega omreţja s protokolom SNMP Stran 42 linkup (3) authenticationfailure (4) egpneighborloss (5) enterprisespecific (6) Sporočilo je poslano, če pride do aktivacije mreţnega vmesnika. Sporoča, če pride do povpraševanja agenta z napačnim nizom skupine (ang. community string). Sporoča, da je sosed EGP nedosegljiv. Specifična past za posamezne proizvajalce opreme. Opozorilo (ang. notification), samo v SNMPv2 in SNMPv3 V ţelji po standardizaciji formata pasti SNMPv1 so s protokolom SNMPv2 ustvarili sporočilo notification. Obvestilo (ang. inform), samo v SNMPv2 in SNMPv3 Sporočilo inform omogoča obveščanje med samimi upravljalnimi postajami. Ena upravljalna postaja obvesti drugo o nekem dogodku. Ta vrne potrditev. Informacije, ki so poslane od naprave, kot je zvezdišče (ang. hub), so veliko manj kompleksne, kot informacije, poslane od naprave, kot je usmerjevalnik. Zvezdišče mora pošiljati informacije o trkih (ang. collisions), številu obdelanih okvirjev, številu napak itd. Usmerjevalnik na drugi strani pa vsebuje usmerjevalne tabele, čakalne vrste, pomnilnik, o čemer lahko posreduje informacije. Tako mora imeti upravljalna postaja podatke o vsaki napravi, kakor tudi o njeni MIB-strukturi. Vsakič, ko dodamo novo napravo, moramo za uspešno komunikacijo nastaviti tako agenta kot tudi upravljano napravo. Tako vzdrţevanje omreţnega sistema ni samo občasno upravljanje, ampak zahteva veliko dela in predanosti, da vzpostavimo uspešen sistem. Prav tako pa potrebujemo za to ustrezna orodja. 7.2 Struktura upravljalne informacije MIB vsebuje podatke, ki so na voljo programu za upravljanje z omreţjem. MIB je ustvarjen za določenega SNMP-agenta. Tako ima vsaka naprava s SNMP-agentom pripadajoč MIB in svoje podatke. Struktura upravljalnih informacij je definirana s standardom SMI (structure of management information), ki definira naslednje:

54 Nadzor centraliziranega računalniškega omreţja s protokolom SNMP Stran 43 kako so objekti poimenovani - unikatno definira upravljalne objekte, podatkovne tipe in sintakso definira z uporabo ASN.1 (abstract syntax notation one) in kako so objekti kodirani v niz oktetov za pošiljanje preko omreţja z uporabo BER (basic encoding rules). V primeru SNMP-ja je uporabljen za definicijo formata SNMP in njegovih objektov. Za razumevanje je potrebno malo prakse, saj je podoben programskemu jeziku. Spodaj prikazujemo primer definicije objekta sysuptime tipa TimeTicks, opisanega s formalnim jezikom ASN.1. sysuptime OBJECT-TYPE SYNTAX TimeTicks ACCESS read-only STATUS mandatory DESCRIPTION "The time (in hundredths of a second) since the network management portion of the system was last re-initialized." ::= { system 3 } Objekti znotraj MIB-a so organizirani v obliki logične strukture, t. i. SMI-objektnega drevesa. Dejansko je SMI-struktura, ki jo definira RFC kot drevo. Vozlišča drevesa določajo unikatno pot od korenine do listov drevesa, kar predstavlja unikaten identifikator objekta. Vsak identifikator objekta je število v notaciji»dot.«(npr ), vrednost tega objekta predstavlja ime računalnika. Kot pri datotečnem sistemu se vrstni red bere od največje ravni ali korenine do najniţje ravni ali lista, kjer so podatki. Na primer: pomeni

55 Nadzor centraliziranega računalniškega omreţja s protokolom SNMP Stran 44 iso.identified!organization.dod.internet.management.mib!2.sys tem.sysdescription. To pa predstavlja opis sistema. Slika 7.2 prikazuje del strukture SMI-objektnega drevesa. Slika 7.2: Del strukture SMI-objektnega drevesa. 7.3 Formalni jezik ASN.1 ASN.1 je formalen jezik, ki se uporablja za definiranje sintakse in načina kako se podatki kodirajo in pošiljajo med upravljalnimi postajami in agenti. Za konstruiranje sporočila moramo poznati podatkovne tipe, specificirane s formalnim jezikom ASN.1. Ti spadajo v dve kategoriji: Primitivni podatkovni tipi: Integer, Octet String, Null, Boolean, Object Identifier. Za razširitev moţnosti organizacije podatkov podpira ASN.1 zdruţevanje primitivnih tipov v kompleksne podatkovne tipe. Njihove vrednosti so prikazane v tabeli 7.2. Kompleksni podatkovni tipi: Sequence je seznam podatkovnih polj. Vsako polje ima lahko drugačen podatkovni tip. Vrednost tipa sequence je prikazana v tabeli 7.3.

56 Nadzor centraliziranega računalniškega omreţja s protokolom SNMP Stran 45 Tabela 7.2: Primitivni tipi ASN.1 v SNMP-sporočilu. PRIMITIVNI TIPI ASN.1 VREDNOST V ŠESTNAJSTIŠKEM ZAPISU INTEGER 02 BIT STRING 03 OCTET STRING 04 NULL 05 OBJECT IDENTIFIER 06 Tabela 7.3: Kompleksni tipi ASN.1 v SNMP-sporočilu. KOMPLEKSNI ASN.1 TIP VREDNOST V ŠESTNAJSTIŠKEM ZAPISU SEQUENCE Format BER Za kodiranje SNMP-sporočila v oktete ali obratno se uporablja format BER (basic encoding rules). BER je eden od formatov kodiranja, definiran v standardu ASN.1. Osnovno pravilo pravi, da je vsako polje sestavljeno iz treh delov: tipa, dolţine in podatka. Tabela 7.4 prikazuje kodiranje osnovnega polja. Tip specificira podatkovni tip podatka z uporabo enega okteta. Dolţina definira dolţino podatka v oktetih, ki sledi. Podatek je dejansko vrednost, ki jo ţelimo prenesti. Tabela 7.4: Kodiranje osnovnega polja z BER-om N 2 + N N + LENGTH Tip Dolţina Podatek Nekateri podatkovni tipi, kot npr. sequence in protokolna podatkovna enota PDU, so sestavljeni iz več polj. Takšen kompleksen podatkovni tip je kodiran, kot je prikazano na sliki 7.3.

57 Nadzor centraliziranega računalniškega omreţja s protokolom SNMP Stran 46 Slika 7.3: Kompleksen podatkovni tip, sestavljen iz enostavnih polj. Obstajajo še tri dodatna pravila BER-a, potrebna za kodiranje SNMP-sporočila. Prvo pravilo velja, ko kodiramo prvi dve števili OID-a. BER definira, da sta prvi dve števili kateregakoli OID-a (x.y) kodirani kot vrednost z uporabo formule (40 * x) + y. Prvi dve števili v SNMP OID-u sta vedno 1.3. Zato sta prvi dve števili kodirani kot 43 ali 0 x 2B, ker (40 * 1) + 3 = 43. Ko sta prvi števili zakodirani, se naslednja števila kodirajo ločeno kot oktet. Tukaj pa lahko uporabimo še drugo pravilo za kodiranje velikih števil. Z enim oktetom lahko predstavimo števila od 0 do 255. Števila, večjega od 255, ne moremo kodirati z enim samim oktetom. Drugo pravilo definira, da za vrednost števila uporabimo samo niţjih sedem bitov okteta. Ti biti predstavljajo vrednosti od 0 do 127. Najpomembnejši bit (MSB) se uporabi za razširitev zapisa števila na več oktetov. V skladu s tem pravilom moramo število npr kodirati z dvema zaporednima oktetoma kot 0 x 94 0 x 78. Ker je najpomembnejši bit v 0 x 94 postavljen na 1, prejemnik ve, da mora uporabiti spodnjih 7 bitov od vsakega okteta 0 x 14 in 0 x 78 in dekodirati kot (0 x 14 * 128) + 0 x 78 = Tretje pravilo pa se uporablja za kodiranje števila, ki predstavlja dolţino objekta. V primeru, da je število, ki predstavlja dolţino objekta, večje od 127, postavimo najpomembnejši bit na 1, preostalih sedem bitov pa predstavlja število sledečih oktetov, ki predstavljajo dolţino objekta. Primer: število, ki predstavlja dolţino 200, zakodiramo z dvema oktetoma decimalnih vrednosti 129 in 200. Prvi oktet vrednosti 129 pove, da je dolţina kodirana z več okteti in da jo predstavlja sledeči oktet vrednosti 200. Za kodiranje SNMP-sporočila se poleg podatkovnih tipov ASN.1 uporabljajo tudi specifični SMI-tipi, ki jih lahko razvrstimo v dve skupini: Primitivni specifični tipi SMI, ki se uporabljajo za ovrednotenje določenih pojmov, kot so IP-naslov, čas dogodka, števec itd., znotraj sporočila SNMP. Njihove vrednosti so prikazane v tabeli 7.5.

58 Nadzor centraliziranega računalniškega omreţja s protokolom SNMP Stran 47 Kontekstno specifični tipi SMI, ki se uporabljajo za določanje vrste SNMP-sporočil. Vrednosti so prikazane v tabeli 7.6. Tabela 7.5: Primitivni specifični tipi SMI v SNMP-sporočilu. PRIMITIVNI TIP SNMP VREDNOST V ŠESTNAJSTIŠKEM ZAPISU IpAddress 40 Counter 41 Gauge 42 TimeTicks 43 Opaque 44 NsapAddress 45 Counter64 (samo v SNMPv2) 46 Uinteger (samo v SNMPv2) 47 Tabela 7.6: Kontekstno specifični tipi SMI v SNMP-sporočilu. KOMPLKESNI TIP SNMP GetRequest GetNextRequest GetResponse SetRequest Trap PDU (zastarel v SNMPv 2) GetBulkRequest (dodan v SNMPv 2) InformRequest (dodan v SNMPv 2) SNMPv2 Trap (dodan v SNMPv 2) VREDNOST V ŠESTNAJSTIŠEKM ZAPISU A0 A1 A2 A3 A4 A5 A6 A7 7.5 Različice SNMP-ja Protokol SNMP je opisan v RFC Razvit je bil v 80. letih kot preprost način za oddaljen dostop do naprave. Prvoten namen protokola je bil upravljanje z usmerjevalniki.

59 Nadzor centraliziranega računalniškega omreţja s protokolom SNMP Stran 48 Do sedaj so bile razvite tri različice SNMP-ja. Prvi je bil SNMPv1, za njim pa SNMPv2, ki je danes najpopularnejši in je zgrajen na ukazih SNMPv1. SNMPv3 rešuje največje slabosti protokola SNMPv1. To je pošiljanje ukazov v čistem tekstovnem načinu, torej nezavarovano. SNMPv3 to rešuje s kriptografijo. Za razumevanje koncepta protokola SNMP zadostuje, da razumemo SNMPv1. SNMPv1 je prva različica protokola, ki je zagotavljala najmanj funkcij za nadzor omreţja. SMI in MIB sta preprosta in imata nekaj varnostnih napak. SNMPv1 za avtentifikacijo uporablja imena skupnosti (ang. community name). Ime skupnosti ima podobno vlogo kot geslo in se uporablja za nadzor dostopa do SNMP-agenta. SNMP-paketi, ki ne ustrezajo avtentifikaciji, se zavrţejo. Struktura SNMPv1-sporočila je prikazana na sliki 7.4., natančnejši opis polj pa je opisan v tabeli 7.7. Slika 7.4: Struktura sporočila SNMPv1.

60 Nadzor centraliziranega računalniškega omreţja s protokolom SNMP Stran 49 Tabela 7.7: Opis polj SNMP-sporočila. POLJE OPIS POLJA Različica SNMP Število, ki identificira različico SNMP-sporočila. SNMPv1 = 0, SNMPv2c = 1, SNMPv2p = 2, SNMPv3 = 3 Ime skupnosti SNMP ID-zahteve Napaka Indeks napake Spremenljivke Podjetje Naslov SNMP agenta Polje, ki lahko vsebuje niz znakov, namenjenih varnosti SNMP-sporočila. Indeks tipa število, ki identificira posamezno SNMP-zahtevo. SNMP-odgovor vsebuje enak indeks za identifikacijo parov pripadajočega odgovora zahtevi. Uporablja se v odgovoru na zahtevo, če se pojavi napaka pri obdelavi zahteve. Statusi napak so predstavljeni v tabeli 7.8. V primeru napake polje vsebuje kazalec na objekt, ki je povzročil napako. V nasprotnem primeru je vrednost 0 x 00. Sekvenca ene ali več sekvenc dveh polj OID-a in vrednost. Tip naprave, ki generira past. IP-naslov naprave, ki generira past. Generična past Generične pasti: coldstart, WarmStart, linkdown, linkup, AuthentificationFailure, egpneighborloss in enterprisespecific. Specifična past Časovni ţig Identifikator objekta Vrednost Specifične pasti proizvajalca omreţne naprave. Čas med reinicializacijo SNMP-agenta do generiranja pasti. Je enak vrednosti sysuptime. Polje vsebuje kazalec na določen parameter v SNMP-agentu. SetRequest PDU vrednost, ki se nanaša na določen OID v SNMP-agentu. GetRequest PDU vrednost je null. GetResponse PDU vrednost odgovora SNMP-agenta. Tabela 7.8: Statusi napak protokola SNMPv1. STATUS noerror(0) toobig(1) nosuchname(2) badvalue(3) POMEN NAPAKE Ni prišlo do napake. Odgovor je prevelik za eno sporočilo. Iskani OID ne obstaja. Objekt je bil spremenjen na neprimerno vrednost.

61 Nadzor centraliziranega računalniškega omreţja s protokolom SNMP Stran 50 readonly(4) generror(5) V praksi se ne uporablja. Ekvivalentno statusu nosuchname. Preostale napake. SNMPv2c tako kot SNMPv1 za avtentifikacijo uporablja ime skupnosti. Je kompatibilen s SNMPv1 in razširja funkcije SNMPv1. SNMPv2c ima dodano novo funkcijo get-bulk, podpira več podatkovnih tipov, kot je npr. Counter32, in definira več napak. Struktura sporočila get-bulk je prikazana na sliki 7.5, polja pa so opisana v tabeli 7.9. Slika 7.5: Struktura sporočila get-bulk. Tabela 7.9: Opis polj sporočila get-bulk. POLJE Non repeaters Max repetitions OPIS POLJA Določi število spremenljivk iz seznama, za katere se mora izvesti operacija get-next. Tolikokrat funkcija get-bulk izvede funkcijo get-next za spremenljivke iz seznama. SNMPv1 in SNMPv2 uporabljata enak mehanizem komunikacije. Upravljalna postaja pošlje zahtevo z določeno funkcijo, agent pa pošlje odgovor na to zahtevo. Past agent pošlje samodejno. SNMPv3 ima implementirani varnostni tehnologiji USM (user-based security model) in VACM (view-based access control). SNMPv3 tako poveča varnost protokola SNMP. USM podpira avtentifikacijo in zasebne funkcije, medtem ko VACM podpira nadzor uporabnikov za dostop do določenih MIB-ov.

62 Nadzor centraliziranega računalniškega omreţja s protokolom SNMP Stran 51 USM predstavi koncept uporabniškega imena in skupnosti. Nastavimo lahko avtentifikacijo in zasebne funkcije. Zagotavlja tudi šifriranje paketov med upravljalno postajo in SNMP-agentom. VACM upravlja nadzor dostopa do upravljalnih informacij. Samo uporabnik z dovoljenji lahko upravlja določene objekte. Struktura sporočila SNMPv3 je prikazana na sliki 7.6, polja, ki sestavljajo sporočilo, pa so opisana v tabeli Slika 7.6: Struktura sporočila SNMPv3. Tabela 7.10: Opis polj sporočila SNMPv3. POLJE Max Size Flags SecurityModel Security parameters Context EngineID Context Name OPIS POLJA Maksimalna velikost sporočila, ki jo lahko prejme ali pošlje pošiljatelj. Zadnji trije bajti so pomembni za postavljanje zastavic. Definira varnostni model: 0 definira katerikoli model, 1 definira SNMPmodel, 2 definira SNMPv2-model in 3 definira SNMPv3-model. Varnostni parametri. Unikatno identificira SNMP-sporočilo. Za prejeto sporočilo določa, kako se bo obdelalo. Identificira kontekst. Vsak ContextName mora biti unikaten znotraj SNMPentitete. Mehanizem komunikacije pri SNMPv3 je nekoliko kompleksnejši. Najprej upravljalna postaja pošlje zahtevo po vrednostih varnostnih parametrov za šifriranje sporočil. SNMP-agent vrne poročilo, ki vsebuje varnostne parametre. Upravljalna postaja ponovno pošlje šifrirano zahtevo z avtentifikacijskimi podatki. Ko SNMP-agent prejme zahtevo, jo

63 Nadzor centraliziranega računalniškega omreţja s protokolom SNMP Stran 52 najprej avtentificira. V primeru, da je avtentifikacija uspešna, sporočilo dešifrira in pošlje ustrezen odgovor. 7.6 Hiter pregled standarda RMON RMON (remote monitoring) MIB je razvil IETF za podporo nadzora in analize omreţja. Je industrijski standard, ki zagotavlja večino funkcionalnosti, ki jih ponujajo razni analizatorji omreţja. RMON-agenti so vgrajeni v veliko naprednih stikal in usmerjevalnikov. RMON je načrtovan za nadzor podatkovnega pretoka (ang. flow-based), SNMP pa se uporablja za nadzor naprav (ang. device-based). Programska sonda RMON ima veliko večjo odgovornost. Ne samo, da zbira podatke, temveč jih tudi obdeluje. Informacije pa so poslane le, ko se jih potrebuje, in ne s kontinuiranim klicanjem kot pri SNMP-ju. S SNMPjem navadno nadziramo eno napravo, z RMON-om pa nek pretok skozi napravo. RMON je zelo podoben ostalim pretočnim tehnikam, kot so NetFlow, JFlow ali SFlow. Slabost teh RMON-sistemov je, da največji del bremena nosi naprava in s tem porabi veliko sistemskih virov. RMON MIB je sestavljen iz desetih skupin: Statistika realnočasovna statistika za vsak omreţni vmesnik (izkoristek, trki, CRC-napake). Zgodovina beleţi periodične statistične vzorce iz omreţja in jih hrani za kasnejšo uporabo. Pasti periodično prebira statistične vzorce in jih primerja z mejnimi vrednostmi, ki so bile predhodno konfigurirane. Če so mejne vrednosti preseţene, se generira past. Odjemalci statistika izbranih odjemalcev (statistika poslanih in prejetih paketov). Statistika TOP N statistična tabela, ki opisuje najboljše sezname glede na razne kriterije. Matrika statistika poslanega in prejetega prometa med dvema sistemoma. Filter paketi glede na ţelen vzorec (MAC-naslov ali TCP-port...)

64 Nadzor centraliziranega računalniškega omreţja s protokolom SNMP Stran 53 Zajem skrbi za zajem in posredovanje paketov, ujetih v filter. Alarmi skrbi za pošiljanje alarmov (SNMP-pasti) 10 specifičen del za omreţje token ring. 7.7 Pregled strukture SNMP-sporočila in SNMP-pasti Za laţje razumevanje SNMP-protokola in SNMP-paketov smo izdelali program za pregled SNMP-sporočil. Program smo izdelali s pomočjo orodja Microsoft Visual Studio. Sestavljen je iz treh delov: Prvi del je grafični vmesnik, ki omogoča nastavljanje parametrov za pošiljanje SNMP-sporočil ali prejemanje pasti. Omogoča tudi pregled sestave in pomena poslanih in prejetih SNMP-paketov. Slika 7.7 prikazuje grafični vmesnik programa. Slika 7.7: Grafični vmesnik našega programa.

65 Nadzor centraliziranega računalniškega omreţja s protokolom SNMP Stran 54 Drugi del je razred UDPTrapListener, ki je implementiran za zagon niti, ki posluša na vratih 162 za dohodne pasti. Je pomemben del kode, ki omogoča, da se prebere prihajajoča past na UDP-vratih 162 in posreduje dalje, da se sestavi v razumljiv SNMP-paket. try { while (!done) { byte[] bytes = listener.receive(ref groupep); packet = new SNMPpacket(bytes); int index = gui.addpacket(packet); gui.invoke(gui.mydelegatewritepacketintreeview, index, "TRAP"); } } catch (Exception e) { gui.invoke(gui.mydelegateaddline, e.message); } finally { listener.close(); } Tretji del, najpomembnejši, je razred SNMPpacket, ki skrbi za kodiranje SNMP-sporočil v oktete ali obratno. Sestavljen je iz atributov in metod. Primer atributov za polje communitystring: private byte communitytype; public byte CommunityType { get { return communitytype; } } private List<byte> communitylength; public List<byte> CommunityLength { get { return communitylength; } } private List<byte> communityname; public List<byte> CommunityName

66 Nadzor centraliziranega računalniškega omreţja s protokolom SNMP Stran 55 { } get { return communityname; } Primer metode BER, ki skrbi za pretvorbo števila po BER-formatu standarda ASN.1. #region BER convert //Metoda BER z rekurzivno funkcijo pretvori Število iz //formata niza cifer v format polje oktetov public static List<byte> BER(String value) //Pretvorimo z BER { List<byte> b = new List<byte>(); BER(Convert.ToInt64(value), b); b[b.count - 1] -= 128; return b; } //Rekurzivna funkcija BER private static void BER(Int64 value, List<byte> ret) { if (value >= 128) { BER(value / 128, ret); BER(value % 128, ret); } else ret.add(convert.tobyte(128 + value)); } //Metoda BER z rekurzivno funkcijo pretvori Število iz //formata byte v število formata niz znakov public static String BDR(List<byte> Value) { Int64 ret = 0; Value[Value.Count - 1] += 128; for (int i = 0; i < Value.Count; i++) ret += ((Value[i] - 128) * (Int64)Math.Pow(128, Value.Count - i - 1)); } Value[Value.Count - 1] -= 128; return "" + ret; #endregion Celotno izvorno kodo programa lahko najdete na priloţenem CD-ju.

67 Nadzor centraliziranega računalniškega omreţja s protokolom SNMP Stran 56 Na primeru demonstriramo zgradbo SNMP-sporočila get: SNMP-agentu stikala pošljemo zahtevo za vrednost OID , ki predstavlja lokacijo stikala. Na sliki 7.8 lahko v spodnjem delu ekrana vidimo niz vrednosti oktetov, ki predstavljajo vsebino SNMPsporočila, ki zahteva informacijo o lokaciji stikala. Slika 7.8: SNMP-sporočilo get. Vsebina sporočila get, predstavljena z okteti v decimalnem zapisu. Rumena barva označuje del niza, kjer je zakodiran OID:

68 Nadzor centraliziranega računalniškega omreţja s protokolom SNMP Stran 57 V tabeli 7.11 je prikazana natančna struktura SNMP-sporočila get s pripadajočimi decimalnimi vrednostmi oktetov. Tabela 7.11: Struktura SNMP-sporočila. POLJE TIP VREDNOST Message type Integer 48 Message length Integer 36 SNMP version type Integer 2 SNMP version length Integer 1 SNMP version value Integer 1 SNMP community string type Integer 4 SNMP community string length Integer 4 SNMP community string name OctetString SNMP PDU type Integer 160 SNMP PDU length Integer 25 Request ID type Integer 2 Request ID length Integer 1 Request ID value Integer 0 Error type Integer 2 Error length Integer 1 Error value Integer 0 Error index type Integer 2 Error index length Integer 1 Error index value Integer 0 Varbind list type Integer 48 Varbind list length Integer 14 Varbind type Integer 48 Varbind length Integer 12

69 Nadzor centraliziranega računalniškega omreţja s protokolom SNMP Stran 58 Varbind OID type Integer 6 Varbind OID length Integer 8 Varbind OID value ObjectIdentifier Varbind value type Integer 5 Varbind value length Integer 0 Varbind value value Null Če pregledamo še odgovor SNMP-agenta, je ta predstavljen z nizom oktetov: Rumeno označen niz oktetov so okteti, ki predstavljajo vrednost odgovora na prej zahtevan OID. Če pretvorimo niz oktetov, ki nosijo vrednost odgovora, v niz znakov dobimo: Maribor, II. nadstropje 209. Drug primer je struktura SNMP-paketa pasti. Najprej vidimo vsebino, predstavljeno z nizom oktetov. V tabeli 7.12 pa vidimo razčlenjeno strukturo Past je poslal SNMP-agent tisklanika. Pomeni pa, da je odprt pokrov tiskalnika številka 1.

70 Nadzor centraliziranega računalniškega omreţja s protokolom SNMP Stran 59 Tabela 7.12: Struktura SNMP-sporočila pasti. POLJE TIP VREDNOST Message type Integer 48 Message length Integer SNMP version type Integer 2 SNMP version length Integer 1 SNMP version value Integer 0 SNMP community string type Integer 4 SNMP community string length Integer 4 SNMP community string name OctetString SNMP PDU type Integer 164 SNMP PDU length Integer Enterprise type Integer 6 Enterprise length Integer 8 Enterprise value ObjectIdentifier Agent address type Integer 1 Agent address length Integer 4 Agent address value IP adresse Generic trap type Integer 2 Generic trap length Integer 1 Generic trap value Integer 6 Specific trap type Integer 2 Specific trap length Integer 1 Specific trap value Integer 1 Time trap type Integer 67 Time trap length Integer 4 Time trap value TimeTicks Varbind list type Integer 48

71 Nadzor centraliziranega računalniškega omreţja s protokolom SNMP Stran 60 Varbindlist length Integer Varbind type Integer 48 Varbind length Integer 17 Varbind OID type Integer 6 Varbind OID length Integer 12 Varbind OID value ObjectIdentifier Varbind value type Integer 2 Varbind value length Integr 1 Varbind value value Integer 3

72 Nadzor centraliziranega računalniškega omreţja s protokolom SNMP Stran 61 8 PREGLED PROGRAMSKE OPREME ZA UPRAVLJANJE OMREŢJA V tem poglavju bomo predstavili programsko opremo za nadzor omreţja. Ker je takšne programske opreme zelo veliko, smo se osredotočili na tisto, ki smo jo sami preizkusili in jo uporabljamo za nadzor omreţja zavarovalnice. Na izbiro programske opreme je vplivalo več dejavnikov. Predvsem smo se osredotočili na tisto, ki deluje na operacijskih sistemih Windows, saj je to v skladu z IT-smernicami druţbe. Pomembno je, da proizvajalec programske opreme vzdrţuje/nadgrajuje programsko opremo. Na izbiro pa vplivajo tudi cena, način licenciranja programa, funkcije in zmoţnosti programa, uporabnost grafičnega vmesnika ipd. 8.1 Telnet in SSH-odjemalec PuTTY Ker imamo v zavarovalnici veliko oddaljenih lokacij in se na teh lokacijah nahaja tudi aktivna omreţna oprema, kot so stikala in usmerjevalniki, je za oddaljeno upravljanje aktivne omreţne opreme ugodneje uporabiti programska orodja za oddaljeno upravljanje. Eno takšnih je PuTTY. Prednost orodij za upravljanje na daljavo se kaţe v primerih, ko je treba spremeniti kakšno nastavitev ali pogledati status naprave. To je tudi najhitrejša rešitev. Zaradi varnejšega dostopanja je treba uporabiti protokol SSH. Telnet namreč ne omogoča šifriranega dostopa do oddaljenih naprav. Oddaljeno upravljanje je zaradi velikih razdalj omreţne opreme bistveno, saj je voţnja na samo oddaljeno lokacijo zamudna in povzroča visoke stroške. Za SSH-dostop do naprav smo omogočili SSH-dostop na vseh Ciscovih stikalih in usmerjevalnikih, kot prikazuje slika 8.1.

73 Nadzor centraliziranega računalniškega omreţja s protokolom SNMP Stran 62 Slika 8.1: Kako omogočiti SSH-dostop na Ciscovem usmerjevalniku ali stikalu. Za Telnet in SSH-odjemalec smo izbrali program PuTTY. PuTTY je odprtokoden SSH- in Telnet odjemalec, ki ga je prvotno razvil Simon Tathem za operacijske sisteme Windows. 8.2 TFTP-streţnik PumpKIN Protokol TFTP je osnovni pripomoček za nalaganje konfiguracijskih datotek na omreţne naprave ali za varnostno shranjevanje konfiguracijskih datotek z njih. V primeru, da moramo omreţno napravo zamenjati, lahko s pomočjo protokola TFTP hitro naloţimo konfiguracijske datoteke na zamenjano omreţno napravo brez večjih ročnih posegov v nastavitve naprave. Za to lahko uporabimo kar ukaz TFTP v Windowsovem odjemalcu ali pa si namestimo kakšen naprednejši program, kot je npr. PumpKIN. Omreţne naprave Cisco omogočajo uporabo TFTP-protokola za nalaganje in shranjevanje konfiguracijskih datotek. Zgled, kako naloţimo konfiguracijsko datoteko s pomočjo ukazne vrstice na Ciscove omreţne naprave ali z njih, lahko vidite na slikah 8.2 in 8.3.

74 Nadzor centraliziranega računalniškega omreţja s protokolom SNMP Stran 63 Slika 8.2: Kako na omreţni opremi Cisco shraniti konfiguracijske nastavitve na TFTPstreţnik. Slika 8.3: Kako na omreţni opremi Cisco naloţiti konfiguracijske nastavitve s TFTPstreţnika. Pri izbiri programske opreme za TFTP-streţnik na našem nadzornem sistemu smo se odločili za TFTP-odjemalec/streţnik PumpKIN. Zanj smo se odločili, ker je odprtokoden, neplačljiv, enostaven za uporabo in deluje natančno po specifikaciji RFC1350. Vsebuje opcijo za nastavitev velikosti podatkovnih paketov, kar omogoča prenos datotek velikih velikosti. Nazadnje pa omogoča omejevanje dostopa in pravic glede na IP-odjemalca. Aplikacijo PumpKIN smo uporabili kot streţnik za shranjevanje konfiguracijskih datotek omreţnih naprav. Slika grafičnega vmesnika je prikazana na sliki 8.4.

75 Nadzor centraliziranega računalniškega omreţja s protokolom SNMP Stran 64 Prednosti aplikacije PumpKIN so: ima enostaven grafični uporabniški vmesnik, omogoča neomejeno število simultanih prenosov na TFTP-streţnik ali z njega, omogoča nastavitev velikosti TFTP-bloka za prenašanje velikih datotek, uporabljamo ga lahko kot TFTP-streţnik/odjemalec, lahko teče v ozadju kot Windows storitev, odprta koda omogoča, da sami doprogramiramo manjkajoče funkcije ali odpravimo napake in je zastonj. Za varnost je poskrbljeno tako, da s seznamom dostopov omogočimo ali onemogočimo posameznim odjemalcem ali omreţjem dostop do streţnika. Slika 8.4: Grafični vmesnik TFTP-streţnika PumpKIN. 8.3 Kiwi syslog deamon Protokol syslog je standard, ki ga je leta 1980 razvil Eric Allamn. Uporablja se za posredovanje sporočil po IP-omreţju. Je protokol vrste odjemalec/streţnik. Pošiljatelj

76 Nadzor centraliziranega računalniškega omreţja s protokolom SNMP Stran 65 pošlje prejemniku tekstovno sporočilo, manjše od 1KB. Sporočila so lahko poslana preko TCP- ali UDP-protokola. Kiwi syslog deamon je aplikacija za omreţni nadzor, ki sprejema sporočila iz katerekoli omreţne naprave, ki podpira protokol syslog. Omogoča tudi sprejemanje in beleţenje SNMP-pasti. Z uporabo aplikacije Kiwi syslog deamon lahko učinkovito nadzorujemo omreţje. Skoraj v realnem času smo opozorjeni na kakršnekoli spremembe. Deluje lahko kot aplikacija ali Windows storitev. Če program nastavimo, da deluje kot aplikacija, potem sporočila zajema samo, ko je uporabnik prijavljen in je aplikacija zagnana. V kolikor pa nastavimo, da deluje kot storitev, pa aplikacija sprejema sporočila vedno, ko je zagnan operacijski sistem. Uporabniku v tem načinu ni treba biti prijavljen. Kiwi syslog deamon beleţi vse podatke nekega sistemskega dogodka: datum in uro dogodka, ime in IP-naprave, ki je poslala sporočilo, informacije o dogodku in prioriteto sporočila. Program omogoča filtriranje sporočil glede na kriterije, ki jih sami definiramo. Grafični vmesnik programa lahko vidite na sliki 8.5. Edina slabost je, da nas program zalaga z veliko količino informacij, in kaj hitro se zgodi, da med njimi spregledamo pomembno opozorilo. Tveganje, da bi se to zgodilo, lahko zmanjšamo z barvanjem sporočil po pomembnosti in z raznimi filtriranji poročil. Program ima vgrajeno moţnost obveščanja o kritičnih dogodkih preko elektronske pošte. Za prejemanje syslog sporočil s programom Kiwi syslog deamon smo morali omreţno opremo nastaviti tako, da je pošiljala syslog sporočila omreţnemu nadzornemu sistemu. Slika 8.6 prikazuje primer konfiguracije Ciscovega stikala, da pošilja syslog sporočila na določen IP-naslov.

77 Nadzor centraliziranega računalniškega omreţja s protokolom SNMP Stran 66 Slika 8.5: Grafični vmesnik programa Kiwi syslog deamon. Slika 8.6: Kako na Ciscovi omreţni opremi vklopimo pošiljanje sporočil syslog.

78 Nadzor centraliziranega računalniškega omreţja s protokolom SNMP Stran Avaya VoIP Monitoring Manager (VMM) Je orodje za nadzor VoIP-a in QoS-a. Omogoča nadzor in analizo kakovosti klicev v omreţju Avaya VoIP. Z uporabo VMM-ja dobimo vpogled v podatke QoS-a, kot so potresavanje (ang. jitter), obhodna zakasnitev (ang. round trip time) in izguba paketov (ang. packet loss). Omogoča nam realnočasovno pregledovanje podatkov, kot tudi vpogled zgodovine za vse nadzorovane končne naprave (IP-telefoni, IP-streţniki), ki jih ţelimo nadzorovati. S temi informacijami lahko začnemo izolirati in odpravljati napake. Orodje omogoča generiranje SNMP-pasti, ki opozorijo vzdrţevalca sistema, kdaj podatki QoS-a preseţejo določeno vrednost. Komponente VMM-sistema so: Avaya VoIP Monitoring Manager RTCP Monitor - RTCP monitor zbira RTCPpakete, poslane od končnih naprav (VoIP-streţnik), in shranjuje podatke v podatkovno bazo. Deluje tudi kot podagent SNMP-agenta operacijskega sistema Windows. Vse informacije, shranjene v podatkovni bazi, so dosegljive preko SNMP-ja. Avaya VoIP Monitoring Manager Server - deluje kot posredovalnik (ang. proxy) med odjemalcem in RTCP-monitorjem. Glavni namen streţnika je obdelava in shranjevanje velike količine podatkov. VMM-streţnik tako pripravi podatke in s tem prepreči pretok velikih količin podatkov do odjemalcev. Avaya VoIP Monitoring Manager Client - zagotavlja grafični uporabniški vmesnik za vpogled v podatke, ki jih obdela in pripravi Manager Server. Manager Client ne komunicira s pomočjo protokola SNMP. Podatke dobi izključno od komponente Manager Server. VMM-odjemalec se lahko nahaja tudi na katerem drugem računalniku znotraj omreţja. QoS-podatki: Potresavanje Potresavanje prispetja paketov je statistično povprečje spremembe časa dostave paketov. Podaja razliko med časom dejanskega in pričakovanega prispetja paketa. Potresavanje zaznamo kot avdiomotnje v pogovoru.

79 Nadzor centraliziranega računalniškega omreţja s protokolom SNMP Stran 68 Omenjeno teţavo odpravimo oz. omejimo tako, da poskrbimo za prispetje paketov do cilja v pravem vrstnem redu, kar pa lahko privede do dodatnih zakasnitev. Navadno to doseţemo s pravilno strategijo vrst (ang. queuing strategies) na omreţni opremi. Prezasedenost medpomnilnika potresavanja (ang. jitter buffer overruns) kolikokrat v klicu je bil medpomnilnik potresavanja prezaseden. Neizkoriščenost medpomnilnika potresavanja (ang. jitter buffer underruns) kolikokrat pri vzpostavljenem klicu je bil medpomnilnik potresavanja neizkoriščen. Izguba paketov je posledica odmetavanja/izgube paketov med transportom med dvema končnima točkama. Izgubo paketov lahko zaznamo kot izgubo dela ali cele besede v pogovoru. Najprej se zazna kot slaba kvaliteta govora, pri določenih večjih vrednostih pa postane govor nerazumljiv. Lahko je tudi posledica napak ali zamašitev na povezavi. Obhodni čas paketa je čas, ki ga porabi paket, da prepotuje omreţje od začetne do končne točke in nazaj. Je vsota dveh zakasnitev med končnima točkama. Uporabniku lahko povzroči teţave v komunikaciji, če zamuda paketa v eno smer preseţe 500 ms. Celotna zakasnitev je sestavljena iz: Zakasnitve razširjanja paketa (ang. propagation delay). To je čas, ki ga porabi paket, da prepotuje omreţje od pošiljatelja do prejemnika. Spremenljivka temelji na svetlobni hitrosti razširjanja signala oz. njeni ustrezno zmanjšani vrednosti in razdalji, ki jo mora prepotovati. Prenosni čas (ang. transport delay) je čas, ki ga porabi paket, da prepotuje omreţne naprave. Omreţja vsebujejo veliko število stikal, poţarnih zidov, usmerjevalnikov, ki povzročajo dodatne zakasnitve pri prenosu. Zakasnitev paketiranja (ang. packetization delay) je čas, ki je potreben za digitalizacijo analognih signalov, enkapsulacijo okvirjev in obratne procese na drugem koncu. Kodek G.729 ima daljši čas enkapsulacije paketov kot G.711. Zakasnitev zaradi medpomnilnika (ang. buffer delay) je zastoj, ki ga povzroči sprejemnik, ko zadrţuje enega ali več paketov, da jih razporedi v pravilen vrstni red. V tabeli 8.1 je prikazana klasifikacija QoS-podatkov glede na spodnjo in zgornjo mejo tolerance, ki jo predpisuje Avaya. Na sliki 8.7 je prikazan grafični vmesnik programa za merjenje QoS-podatkov.

80 Nadzor centraliziranega računalniškega omreţja s protokolom SNMP Stran 69 Tabela 8.1: Privzete vrednosti klasifikacije QoS-podatkov s strani Avaye. Spodnja meja Zgornja meja tolerance Izven tolerance tolerance Jitter (ms) 0 50 ms (pogovor je gladek) ms (šum, statika ali zamik) > 150 ms Round Trip Time ms (ni ms (zazna se premor ali zamik v > 500 ms (ms) zakasnitev med pogovoru) končnimi točkami) Packet Loss (%) 0 10 % (ni izpadov % (zaznajo se prekinitve v > 30 % med pogovorom) pogovoru) Slika 8.7: Grafični vmesnik merjenja podatkov QoS. 8.5 PRTG traffic grapher PRTG traffic grapher je programsko orodje, ki omogoča nadzor omreţja z merjenjem pasovne širine, kakor tudi z merjenjem drugih omreţnih parametrov, kot so pomnilnik, obremenjenost procesorja itd. Administratorju omogoča odčitavanje vrednosti v realnem času, kot tudi periodično za optimizacijo učinkovitosti, strukture omreţja ali posameznih delov omreţja in naprav, kot so usmerjevalniki, poţarni zidovi, streţniki in ostale omreţne komponente.

81 Nadzor centraliziranega računalniškega omreţja s protokolom SNMP Stran 70 Je enostaven za uporabo, omogoča nadzor omreţja z uporabo SNMP-protokola ali protokola Cisco NetFlow ter paketno vohunjenje (ang. packet sniffing) in hitro konfiguriranje nadzorne postaje za omreţni nadzor. Najpogosteje se uporablja za nadzor ali merjenje zasedenosti pasovne širine na najetih vodih, usmerjevalnikih itd. Lahko pa tudi nadzoruje katerokoli drugo napravo, ki podpira SNMP-protokol. Statistiko izmerjenih vrednosti si lahko ogledamo preko aplikacije za OS Windows z grafičnim vmesnikom ali s pomočjo spletnega brskalnika, saj ima aplikacija integriran spletni streţnik. Tako lahko dostopamo do statistike iz kateregakoli računalnika, ki ima omogočen HTTP-dostop do nadzorne postaje. Osnovne funkcije, ki jih program omogoča: klasificiranje prometa glede na IP, protokol ali ostale parametre, hkraten nadzor do več tisoč točk, izdelavo načrtovanih poročil nadzorovanih točk, pošiljanje alarmov ob izpadih ali preobremenjenih senzorjih in integriran spletni streţnik za dostop z oddaljenih lokacij. Podprte metode za zajem podatkov: SNMP je osnovna metoda za zbiranje podatkov o uporabi in delovanju omreţja. Lahko se uporabi za analizo zasedenosti pasovne širine omreţja ali obremenitve procesorja na delovni postaji. PRTG pošlje SNMP-zahtevo po določeni vrednosti določeni omreţni napravi. Ta metoda najmanj obremeni procesor. SNMP-zahteve pa so relativno majhne. Paketno vohunjenje zajame in preveri ves promet v omreţju skozi določeno točko. Z vpogledom v pakete se lahko izdela natančnejša analiza prometa. Slabost te metode je, da pri veliki količini paketov zelo obremeni procesor. NetFlow je protokol, ki je podprt na večini Ciscovih usmerjevalnikov za merjenje zasedenosti pasovne širine in izdelave statistike. Čeprav je to najkompleksnejši način, pa po drugi strani predstavlja najučinkovitejšo metodo za nadzor prometa, kjer je pretok podatkov zelo velik. Omogoča tudi klasifikacijo prometa glede na IP, protokol in druge parametre.

82 Nadzor centraliziranega računalniškega omreţja s protokolom SNMP Stran 71 Zakasnitve (ang. latency) dodatno lahko meri tudi zakasnitve, potresavanje in izgubo paketov. Zakasnitev se oceni tako, da merimo odzivnost ICMP-paketov. PRTG omogoča uvaţanje datotek MIB, tako lahko z njimi laţje pregledujemo vrednosti OID-jev in izberemo, katere parametre naprave bomo nadzorovali. PRTG smo implementirali na tiskalnikih. Z vzpostavitvijo nadzora nad številom natisnjenih strani na tiskalnikih smo dobili vpogled v obremenjenost tiskalnikov. Tako lahko vidimo, kdaj bi bilo primerno izvesti servis ter kateri tiskalniki so bolj obremenjeni. Preverjali smo odzivnost in zasedenost VPN-tunelov: vidimo lahko, v katerih poslovalnicah so povezave bolj obremenjene in katere bi bilo treba nadgraditi ali zamenjati, če pride do teţav. Nadzirali smo še temperaturo. S protokolom SNMP lahko razberemo temperaturo znotraj stikala. Stikalo ima vgrajen termometer, za odčitavanje izmerjene temperature pa uporabimo protokol SNMP. Cisco priporoča, da je temperatura v stikalu do 45 Celzija. V nadzornem sistemu smo nastavili alarm, ki se sproţi, če nadzorni sistem zazna, da se je temperatura znotraj stikala dvignila na 44 Celzija za vsaj 1 minuto. V tem primeru pošlje opozorilo na elektronsko pošto vsem skrbnikom omreţja. 8.6 Cisco network assistant Cisco network assistant (CNA) je brezplačno grafično orodje za upravljanje in nadzor omreţnih naprav Cisco. Program omogoča, da upravljamo omreţne naprave s pomočjo grafičnega vmesnika ali ukazne vrstice. CNA nam omogoča uporabo centralnega nadzornega vmesnika, s katerim upravljamo vse Ciscove lokalne in oddaljene omreţne naprave. Podpira upravljanje Ciscovih stikal, usmerjevalnikov, poţarnih zidov PIX, IP-telefonov in brezţičnih dostopnih točk. Program teče na operacijskem sistemu Windows. Grafični vmesnik programa prikazuje slika 8.8. CNA uporablja za komunikacijo z napravami protokol HTTP. Navadno naprave ni treba posebej konfigurirati za delovanje in upravljanje s CNA. CNA samodejno obnovi novo fizično topologijo omreţja, ko dodamo naprave v omreţje.

83 Nadzor centraliziranega računalniškega omreţja s protokolom SNMP Stran 72 Slika 8.8: Grafični vmesnik Cisco network asistant. Konfiguriranje naprav Navadno se CNA uporablja za konfiguracijo Ciscovih naprav. Uporabniki, ki niso vajeni ukaznega vrstičnega vmesnika in operacijskega sistema IOS, za konfiguracijo raje uporabljajo grafični vmesnik. Za razliko od ukazne vrstice pa smo omejeni samo na določen nabor osnovnih nastavitev, s katerimi lahko upravljamo v grafičnem vmesniku. Za naprednejše nastavitve je treba uporabiti ukazno vrstico. Pametna vrata (ang. smart ports) so prednastavljene nastavitve za posamezne tipe vrat. Primer: če so določena vrata na stikalu povezana z usmerjevalnikom, stikalom ali IP-telefonom, obstaja določena prednastavljena konfiguracija za takšen tip naprave. Obstaja več kategorij nastavitev, v vsaki kategoriji so čarovniki, ki nam omogočajo nastavljanje naprav. Nadzor naprav V nadzornem načinu lahko spremljamo razna poročila, uporabo virov, statistike, grafe, informacije QoS, dogodke in sistemska sporočila. Zelo popularno orodje je orodje za

84 Nadzor centraliziranega računalniškega omreţja s protokolom SNMP Stran 73 prikaz grafa uporabe pasovne širine. Primer izrisa grafa uporabljenosti mreţnega vmesnika v določenem časovnem obdobju prikazuje slika 8.9. Slika 8.9: Izris grafa obremenjenosti vrat. Odpravljanje teţav na napravah V kategoriji za odpravljanje napak lahko izvedemo ukaze ping in traceroute. Traceroute ukaz lahko opravimo na nivoju 2 in 3 OSI-modela. Moţnost izvajanja tega ukaza na drugem nivoju OSI-modela je unikatna značilnost aplikacije. Vzdrţevanje naprav V kategoriji za vzdrţevanje naprav je veliko orodij, ki nam pomagajo pri izdelavi varnostnih kopij nastavitev ali programske opreme IOS in nadgradnji programske opreme IOS. Primer uporabe CNA smo uporabili pri konfiguriranju povezav EtherChannel. EtherChannel je Ciscov protokol za povezovanje več fizičnih povezav v eno logično. Grafični vmesnik CNA se je

85 Nadzor centraliziranega računalniškega omreţja s protokolom SNMP Stran 74 izkazal za zelo priročnega in preglednega za konfiguracijo, saj je pri velikem številu povezav skica omreţja zelo koristna. Spodaj je primer konfiguracije povezave EtherChannel v grafičnem vmesniku CNA in konfiguracija povezave EtherChannel z ukazno vrstico s pomočjo programa Telnet. Za primer konfiguracije s CNA smo izbrali povezavo EtherChannel med dvema stikaloma Cisco, kjer sta v povezavi EtherChannel zdruţeni dve fizični povezavi. Status povezave EtherChannel v programu CNA prikazuje slika 8.10, slika 8.11 pa prikazuje primer konfiguracije povezave EtherChannel s programom CNA. Slika 8.10: Status povezave EtherChannel med dvema stikaloma. Slika 8.11: Konfiguracija povezave EtherChannel med dvema stikaloma s CNA.

86 Nadzor centraliziranega računalniškega omreţja s protokolom SNMP Stran 75 Spodaj lahko vidimo konfiguracijsko kodo, ki jo generira CNA in pošlje stikalu za vzpostavitev povezave EtherChannel. Lahko bi se tudi sami povezali na stikalo in s pomočjo ukazne vrstice vpisali konfiguracijsko kodo. Konfiguracija na: SI_CISCO_REDIST_02: interface Port-channel1 switchport mode trunk! interface GigabitEthernet0/23 description EtherChannel 1 switchport mode trunk channel-group 1 mode on! interface GigabitEthernet0/24 description EtherChannel 1 switchport mode trunk channel-group 1 mode on! Konfiguracija na: SI_CISCO_ACCESS_03:! interface Port-channel1 switchport mode trunk interface GigabitEthernet0/1 switchport mode trunk channel-group 1 mode on! interface GigabitEthernet0/2 switchport mode trunk

87 Nadzor centraliziranega računalniškega omreţja s protokolom SNMP Stran 76! channel-group 1 mode on 8.7 Nagios Nagios je bil razvit za delovanje na sistemih z OS Linux. Lahko se ga kopira, širi in razvija pod določenimi pogoji, saj je licenciran pod pogoji GNU (general public license). Nagios se večinoma nastavlja s pomočjo konfiguracijskih datotek, kar je lahko na začetku, dokler ne spoznamo sistema, v primerjavi z ostalimi NMS-sistemi zapleteno. Ampak ravno to mu omogoča prednost pred ostalimi, saj je veliko bolj prilagodljiv in omogoča več moţnosti. Posebnost Nagiosa je, da ne vsebuje internega mehanizma za preverjanje statusov storitev ali nadzorovane naprave. Namesto tega temelji preverjanje na zunanjih programih vtičnikih (ang. plugins), ki preverjajo statuse. Vtičniki so skripte (npr. Perl ali Shell) ali programi, ki se lahko zaganjajo iz ukazne vrstice. Nagios uporablja rezultate, ki jih vrnejo vtičniki za določitev statusa nadzorovane naprave v omreţju. Prednost programa je tudi uporaba makrojev, ki omogočajo, da se v ukazu naslavljajo informacije storitev, nadzorovanih naprav ali ostalih virov. Primer konfiguracije sistema Nagios, kjer ţelimo, da vsakih 5 minut preveri dosegljivost namiznega računalnika z ukazom check_ping: define host{ host_name linuxbox address check_command check_ping check_interval 5... }

88 Nadzor centraliziranega računalniškega omreţja s protokolom SNMP Stran 77 Spodaj vidimo definicijo uklaza check_ping, ki s pošiljanjem ICMP-sporočil preverja dosegljivost danega IP-naslova. V primeru, da je izguba paketov višja od 10 odstotkov ali odzivnost daljša od 100 milisekund, Nagios izda opozorilno stanje za nadzorovano napravo. V primeru, da je izguba paketov višja od 40 odstotkov ali odzivnost daljša kot 200 milisekund, pa Nagios izda kritično stanje za nadzorovano napravo. Parametre za proţenje alarmov in spremembo stanj lahko poljubno nastavljamo. define command{ command_name check_ping command_line /usr/local/nagios/libexec/check_ping - H $HOSTADDRESS$ -w 100.0,90% -c 200.0,60% } Nagios pozna tudi odvisnost med napravami. Tako lahko definiramo, če izpade naprava, od katere naprave je odvisno preverjanje drugih naprav. Če ta naprava izpade, za ostale ustavi preverjanje in ne izda opozoril. V spodnjem primeru vidimo: če izpade streţnik SQL1, se preverjanje za spletni streţnik WWW1 ne izvede. define hostdependency{ host_name dependent_host_name WWW1 SQL1 notification_failure_criteria d,u } Konfiguracija Nagiosa deluje po principu definiranja objektov. Definiramo objekt, ki je lahko storitev, nadzorovana naprava, skupina naprav, skupina storitev, kontakt, ukaz ipd. Nad temi objekti velja princip dedovanja lastnosti. Na primeru spodaj lahko vidimo, da naprava bighost1 deduje lastnost check_intervar od naprave big_host2. Lastnosti max_check_attempts pa ne deduje, saj je definirana tudi lokalno na napravi bighost2 in ima zato prednost.

89 Nadzor centraliziranega računalniškega omreţja s protokolom SNMP Stran 78 define host{ host_name check_command bighost1 check-host-alive check_interval 5 max_check_attempts 5 name hosttemplate1 } define host{ host_name bighost2 max_check_attempts 3 use hosttemplate1 } Nagios ima zelo pregleden in enostavno razumljiv spletni grafični vmesnik. Na sliki 8.12 lahko vidimo nadzorovane storitve za mreţni tiskalnik. Sistem Nagios je izdal kritično stanje za storitvi, ki preverjata količino vsebine črne in magenta kartuše. Slika 8.12: Pregled nadzorovanih storitev s sistemom Nagios. Na sliki 8.13 lahko vidimo nadzorovane usmerjevalnike in stikala. Slika prikazuje, da so dosegljive vse naprave in vrednosti vseh nadzorovanih storitev v mejah tolerance.

90 Nadzor centraliziranega računalniškega omreţja s protokolom SNMP Stran 79 Slika 8.13: Pregled statusov nadzorovanih naprav s sistemom Nagios. Nagios omogoča tudi pregled naprav in storitev, za katere so izdana opozorila ali kritična stanja. Tako lahko na enem mestu vidimo vse napake ali teţave. Kako se to vidi na spletnem vmesniku, prikazuje slika Slika 8.14: Podroben pregled statusa vseh nadzorovanih storitev s sistemom Nagios.

91 Nadzor centraliziranega računalniškega omreţja s protokolom SNMP Stran 80 9 SKLEP Vse več naprav za komunikacijo uporablja omreţje in spletni protokol. Uporaba SNMPprotokola doda pri uporabi kar nekaj prednosti. Napravam, ki podpirajo SNMP-protokol, pravimo agenti. SNMP ni omejen na uporabo upravljanja z usmerjevalniki in stikali. Vsaka industrijska naprava lahko podpira SNMP in se tako poveţe z aplikacijami. V diplomskem delu smo izpostavili probleme nadzora in upravljanja centraliziranega računalniškega omreţja ter predstavili koncept za njegov nadzor. Predstavili smo tudi osnovna orodja za nadzor in upravljanje omreţij, SNMP-protokol, vlogo in namen uporabe le-tega. S programsko opremo, ki smo jo izdelali, smo predstavili strukturo SNMP-sporočil in princip delovanja protokola. Ţe med samo izgradnjo nadzornega sistema se je v praksi pokazalo, da so takšni sistemi lahko v veliko pomoč pri odkrivanju, odpravljanju in preprečevanju napak v omreţju. Velikokrat se je zgodilo, da smo bili s pomočjo nadzornega sistema o izpadih takoj obveščeni, kar je pomagalo, da smo napake hitro odpravili in poskrbeli, da je imel izpad čim manjši vpliv na delovanje računalniškega omreţja.

92 Nadzor centraliziranega računalniškega omreţja s protokolom SNMP Stran VIRI, LITERATURA [1] Douglas Mauro, Kevin Schmidt, Essential SNMP, O'Reilly Media, 2001 [2] Stallings William, SNMP, SNMPv2, SNMPv3 and RMON 1 and 2, Addison-Wesley, 1999 [3] Cisco Systems, Catalyst 3560 Switch Software Configuration Guide, Rel. 12.2(25)SE, Cisco Systems, 2004 [4] Cisco Systems, Internetworking Technologies Handbook, Cisco Systems, poglavje 55 [5] Hangzhou, SNMP Technology White Paper, H3C Technologies Co., 2008 [6] Microsoft Corporation, Windows XP Professional Product Documentation, Commandline reference, Microsoft Corporation [7] Microsoft Corporation, Windows XP Professional Product Documentation, TCP/IP utilities and services, Microsoft Corporation [8] RFC 1157, A Simple Network Management Protocol (SNMP), Internet Engineering Task Force, 1990 [9] RFC 1213, Management Information Base II, Internet Engineering Task Force, 1990 [10] Avaya, Avaya VoIP Monitoring Manager, User Guide, Avaya, 2003 [11] Nagios Enterprises, Nagios Core Version 3.x Documentation, Nagios, 2009 [12] Douglas Bruey, SNMP: Simple? Network Management Protocol, Rane Corporation, 2005

93 Nadzor centraliziranega računalniškega omreţja s protokolom SNMP Stran PRILOGE 11.1 Seznam preglednic Tabela 7.1: Generične pasti Tabela 7.2: Primitivni tipi ASN.1 v SNMP-sporočilu Tabela 7.3: Kompleksni tipi ASN.1 v SNMP-sporočilu Tabela 7.4: Kodiranje osnovnega polja z BER-om Tabela 7.5: Primitivni specifični tipi SMI v SNMP-sporočilu Tabela 7.6: Kontekstno specifični tipi SMI v SNMP-sporočilu Tabela 7.7: Opis polj SNMP-sporočila Tabela 7.8: Statusi napak protokola SNMPv Tabela 7.9: Opis polj sporočila get-bulk Tabela 7.10: Opis polj sporočila SNMPv Tabela 7.11: Struktura SNMP-sporočila Tabela 7.12: Struktura SNMP-sporočila pasti Tabela 8.1: Privzete vrednosti klasifikacije QoS-podatkov s strani Avaye Seznam slik Slika 1.1: Graf rasti omreţne opreme, omreţnega prometa in omreţnih virov Slika 1.2: Skica omreţja WAN Slika 4.1: Skica postavitve nadzornega sistema v omreţju LAN Slika 5.1: Ukazna vrstica operacijskega sistema Windows XP Slika 5.2: Prikaz ukaza ARP v ukazni vrstici Windows XP Slika 5.3: Prikaz ukaza finger v ukazni vrstici Windows XP Slika 5.4: Prikaz ukaza FTP v ukazni vrstici Windows XP

94 Nadzor centraliziranega računalniškega omreţja s protokolom SNMP Stran 83 Slika 5.5: Prikaz ukaza hostname v ukazni vrstici Windows XP Slika 5.6: Prikaz ukaza ipconfig v ukazni vrstici Windows XP Slika 5.7: Prikaz ukaza nbtstat v ukazni vrstici Windows XP Slika 5.8: Prikaz ukaza netsh v ukazni vrstici Windows XP Slika 5.9: Prikaz ukaza netstat v ukazni vrstici Windows XP Slika 5.10: Prikaz ukaza nslookup v ukazni vrstici Windows XP Slika 5.11: Prikaz ukaza pathping v ukazni vrstici Windows XP Slika 5.12: Prikaz ukaza ping v ukazni vrstici Windows XP Slika 5.13: Prikaz ukaza route v ukazni vrstici Windows XP Slika 5.14: Prikaz ukaza RSH v ukazni vrstici Windows XP Slika 5.15: Prikaz ukaza tracert v ukazni vrstici Windows XP Slika 5.16: Prikaz ukaza telnet v ukazni vrstici Windows XP Slika 5.17: Prikaz ukaza TFTP v ukazni vrstici Windows XP Slika 6.1: Model za upravljanje z omreţji glede na ISO Slika 7.1: Logična relacija med upravljalno postajo in upravljalnim agentom Slika 7.2: Del strukture SMI-objektnega drevesa Slika 7.3: Kompleksen podatkovni tip, sestavljen iz enostavnih polj Slika 7.4: Struktura sporočila SNMPv Slika 7.5: Struktura sporočila get-bulk Slika 7.6: Struktura sporočila SNMPv Slika 7.7: Grafični vmesnik našega programa Slika 7.8: SNMP-sporočilo get Slika 8.1: Kako omogočiti SSH-dostop na Ciscovem usmerjevalniku ali stikalu Slika 8.2: Kako na omreţni opremi Cisco shraniti konfiguracijske nastavitve na TFTPstreţnik

95 Nadzor centraliziranega računalniškega omreţja s protokolom SNMP Stran 84 Slika 8.3: Kako na omreţni opremi Cisco naloţiti konfiguracijske nastavitve s TFTPstreţnika Slika 8.4: Grafični vmesnik TFTP-streţnika PumpKIN Slika 8.5: Grafični vmesnik programa Kiwi syslog deamon Slika 8.6: Kako na Ciscovi omreţni opremi vklopimo pošiljanje sporočil syslog Slika 8.7: Grafični vmesnik merjenja podatkov QoS Slika 8.8: Grafični vmesnik Cisco network asistant Slika 8.9: Izris grafa obremenjenosti vrat Slika 8.10: Status povezave EtherChannel med dvema stikaloma Slika 8.11: Konfiguracija povezave EtherChannel med dvema stikaloma s CNA Slika 8.12: Pregled nadzorovanih storitev s sistemom Nagios Slika 8.13: Pregled statusov nadzorovanih naprav s sistemom Nagios Slika 8.14: Podroben pregled statusa vseh nadzorovanih storitev s sistemom Nagios

96 Nadzor centraliziranega računalniškega omreţja s protokolom SNMP Stran Naslov Jure Klobučar Dolinškova ulica Ruše Tel.: 041/ e-naslov: jure.klobucar@gmail.com 11.4 Ţivljenjepis Osnovna šola Lenart III. gimnazija Maribor Fakulteta za elektrotehniko računalništvo in informatiko, smer Programska oprema 2006 danes računalniški programer in vzdrţevalec računalniških omreţij (Grawe zavarovalnica, d. d.)

97 Nadzor centraliziranega računalniškega omreţja s protokolom SNMP Stran Struktura SNMP-sporočila