VZPOSTAVITEV SISTEMA ZA DOKUMENTIRANJE OMREŽJA UNIVERZE V MARIBORU

Transkripcija

1 Fakulteta za elektrotehniko, računalništvo in informatiko Smetanova ulica Maribor, Slovenija Jernej Sinič VZPOSTVITEV SISTEM Z DOKUMENTIRNJE OMREŽJ UNIVERZE V MRIBORU Magistrsko delo Maribor, marec 2015

2 VZPOSTVITEV SISTEM Z DOKUMENTIRNJE OMREŽJ UNIVERZE V MRIBORU Magistrsko delo Študent: Študijski program: Mentor: Somentor: Lektorica: Jernej Sinič, dipl. inž. tel. (UN) študijski program 2. stopnje Telekomunikacije izr. prof. dr. ndrej Žgank asist. Uroš Berglez, mag. inž. tel. Ksenija Pečnik, prof. slov. jezika

3 i

4 ZHVL Zahvaljujem se izr. prof. dr. ndreju Žganku in asist. Urošu Berglezu, mag. inž. tel., za pomoč in vodenje pri pisanju magistrske naloge. Dodatno se zahvaljujem še sodelavcem v Računalniškem centru Univerze v Mariboru, posebej Davidu in Robiju za pomoč pri praktični izvedbi magistrskega dela. Zahvaljujem se tudi staršem, ki so mi omogočili študij in me vseskozi podpirali. ii

5 VZPOSTVITEV SISTEM Z DOKUMENTIRNJE OMREŽJ UNIVERZE V MRIBORU Ključne besede: dokumentiranje omrežja, nadzor omrežja, SNMP, NeDi UDK: (043.2) Povzetek Namen magistrskega dela je proučiti koncept učinkovitega dokumentiranja in upravljanja omrežij. Izpostavljeno je predvsem učinkovito dokumentiranje omrežja, ki je izredno pomembno, a vendar velikokrat zapostavljeno področje upravljanja omrežij. Z dobro dokumentacijo dobimo celosten pregled nad prisotnimi sistemi v omrežju in podroben pogled na lastnosti posameznih omrežnih naprav. Raziskani in predstavljeni so sistemi in učinkovite metode za vzpostavitev dokumentiranja omrežij, sistem pa je implementiran v realnem omrežju Univerze v Mariboru. iii

6 IMPLEMENTING DOCUMENTTION NETWORK SYSTEM OF THE UNIVERSITY OF MRIBOR Key words: network documentation, network monitoring, SNMP, NeDi UDK: (043.2) bstract The goal of the master's work was to examine the concept of effective network documentation and management. The main focus was given on efficient network documentation. It is extremely important, yet often ignored area of network management. Good documentation contributes to the overall view of present systems in the network and a detailed look at the properties of individual network devices. Effective methods and systems for establishing and documenting network were investigated and presented. The documentation system was implemented in the network environment of the University of Maribor. iv

7 KZLO 1 UVOD DOKUMENTCIJ OMREŽJ Načini in metode dokumentiranja Pregled trenutnega stanja dokumentacije omrežja UM PREGLED ORODIJ Z DOKUMENTCIJO OMREŽJ Primerjava funkcionalnosti Nagios Cacti Icinga Observium Zabbix Protokol SNMP Zgradba sistema SNMP Struktura MIB in OID Sporočila SNMP Vpliv zahtev SNMP na obremenjenost CPU Konfiguracijske zahteve na napravah Predstavitev orodja NeDi VZPOSTVITEV DOKUMENTCIJSKEG SISTEM V OMREŽJU UNIVERZE V MRIBORU Omrežno okolje UM Vzpostavitev sistema z uporabo orodja NeDi Praktičen prikaz uporabe Dostopi SNMP in SSH iz upravljavskega sistema NeDi do omrežnih naprav Osnovna zgradba upravljavskega sistema, pomembnejše datoteke in funkcionalnosti Predstavitev upravljavskega orodja NeDi in praktični prikazi uporabnosti v

8 5 ZKLJUČEK LITERTUR IN VIRI vi

9 KZLO SLIK SLIK 2.1: PRIMER DOKUMENTCIJE OMREŽNIH NPRV... 5 SLIK 2.2: PRIMER ŠBLON OMREŽNE OPREME PROIZVJLC CISCO SLIK 2.3: PRIMERJV PRVOTNE IN IZBOLJŠNE RZLIČICE, PRIMERNE Z UPORBO V DOKUMENTCIJI SLIK 2.4: PRIKZ KRIŽNJ POVEZV SLIK 2.5: OBLIKOVNJE POVEZV SLIK 2.6: PRIKZ DEL VEČJEG OMREŽJ Z OBLKOM SLIK 3.1: DIGRM KOMUNIKCIJE SNMP SLIK 3.2: DREVESN STRUKTUR MIB SLIK 3.3: BISTVENE LSTNOSTI NEDI SLIK 3.4: KORKI DELOVNJ NEDI SLIK 3.5: RHITEKTUR NEDI SLIK 3.6: POTEK OBVEŠČNJ V NEDI SLIK 4.1: PRIKZ SOSEDNJIH NPR V S PROTOKOLOM CDP SLIK 4.2: KONFIGURCIJ ODDLJENEG DOSTOP SSH N OMREŽNI NPRVI SLIK 4.3: PRIREDITEV SSH VIRTULNIM LINIJM SLIK 4.4: KONFIGURCIJ SNMPV2 N OMREŽNI NPRVI SLIK 4.5: KONFIGURCIJ SNMPV3 N OMREŽNI NPRVI SLIK 4.6: PRIMER DREVES OID Z PRIKZ IMEN VMESNIK SLIK 4.7: PRIKZ IMEN VMESNIKOV, PRIDOBLJENIH S»SNMPWLK« SLIK 4.8: STNDRDNI SEZNM Z KONTROLO DOSTOP DO SEMENSKE NPRVE SLIK 4.9: RZŠIRJENI SEZNM Z KONTROLO DOSTOP DO UPRVLJVSKEG VLN Z UPOŠTEVNJEM VRSTE PROMET SLIK 4.10: TESTIRNJE DOSEGLJIVOSTI SNMP DO OMREŽNE NPRVE IZ NDZORNEG SISTEM SLIK 4.11: PRIKZ OBREMENITVE CPU SLIK 4.12: SEZNM DOVOLJENIH DOSTOPOV DO STREŽNIK SLIK 4.13: ZGON SKRIPTE»STRTNEDI.SH« SLIK 4.14: SKRIPT»STRTNEDI.SH« SLIK 4.15: NBOR DEFINICIJSKIH DTOTEK SLIK 4.16: PRIPDJOČ DEFINICIJSK DTOTEK Z OMREŽNO STIKLO WS-C SLIK 4.17: UPORBNIŠKI RČUN S PRIPDJOČIMI PRVICMI SLIK 4.18: OSNOVNI MENI vii

10 SLIK 4.19: OSNOVNI PRIKZ OMREŽNIH NPRV SLIK 4.20: OSNOVEN PRIKZ INFORMCIJ O OMREŽNI NPRVI SLIK 4.21: PRIKZ INFORMCIJ O KONČNI NPRVI SLIK 4.22: PRIKZ BELEŽENJ STNJ ZSEDENOSTI CPU SLIK 4.23: PRIKZ STTISTIČNIH INFORMCIJ GLEDE N TIP OMREŽNE NPRVE SLIK 4.24: OMREŽJE REKTORT UM, PRIDOBLJENO Z NEDI SLIK 4.25: PRIKZ PRISOTNIH KONČNIH NPRV N DOSTOPNEM STIKLU SLIK 4.26: PRIKZ UPORBLJENIH IP-NSLOVOV V VLN SLIK 4.27: PRISOTNI VMESNIKI SFP N POSMEZNIH NPRVH SLIK 4.28: VNOSNO MESTO Z BELEŽENJE NOVEG SFP-VMESNIK SLIK 4.29: RZLIČNE MOŽNOSTI PRIKZOV LOKCIJSKIH INFORMCIJ OMREŽNIH NPRV SLIK 4.30: PRIPOMOČEK Z PISNJE DEFINICIJSKIH DTOTEK DEFGEN viii

11 KZLO TBEL TBEL 2.1: OVREDNOTENJE FINNČNEG VLOŽK GLEDE N PRISOTNOST DOKUMENTCIJE.. 4 TBEL 3.1: PRIMERJV OSNOVNIH FUNKCIONLNOSTI UPRVLJVSKIH ORODIJ TBEL 3.2: SPLOŠN KONFIGURCIJ GENT SNMP N OMREŽNI NPRVI S SISTEMOM CISCO IOS TBEL 3.3: SNMP VRNOSTNI MODELI IN STOPNJE ix

12 UPORBLJENE KRTICE Kratica ngleški pomen Slovenski pomen CL ccess Control List Seznam za kontrolo dostopa RNES cademic and Research Network of Slovenia kademska in raziskovalna mreža Slovenije RP ddress Resolution Protocol Protokol za razreševanje naslovov CDP Cisco Discovery Protocol Ciscov protokol za odkrivanje CLI Command-line Interface Ukazno okno CPU Central Process Unit Centralna procesna enota DHCP Dynamic Host Configuration Protocol Protokol za dinamično konfiguriranje terminalskih naprav DNS Domain Name System Sistem domenskih imen FDP Foundry Discovery Protocol / GPL General Public License Licenca GPL HTTP HTTPS HyperText Transfer Protocol HyperText Transfer Protocol Secure Protokol za prenos informacij na spletu Varni protokol za prenos informacij na spletu ID Identifier Identifikator IEEE Institute of Electrical and Electronics Engineers Združenje elektroinženirjev in elektronikov IKT / Informacijsko-komunikacijske tehnologije IP Internet Protocol Internetni protokol IPv4 Internet Protocol version 4 Internetni protokol različice 4 IPv6 Internet Protocol version 6 Internetni protokol različice 6 x

13 IT Information technology Informacijska tehnologija L2 Layer 3 Sloj 2 L3 Layer 2 Sloj 3 LLDP Link Layer Discovery Protocol Protokol za odkrivanje na povezovalnem sloju MC Media ccess Control Krmiljenje dostopa do fizičnega medija MIB Management Information Base Upravljavska informacijska baza NMS Network Management System Omrežni upravljavski sistem OID Object Identifier Identifikator objekta OUI Organizationally unique identifier Unikatni identifikator organizacije P2P Peer-to-peer Vsak z vsakim Perl Practical Extraction and Report Language Praktični izločevalni in poročilni jezik PHP PHP: Hypertext Preprocessor / QPL Q Public License Nesvobodna javna licenca RCUM / Računalniški center Univerze v Mariboru RFC Request For Comments Zahteva po komentarjih RIPE Réseaux IP Européens Evropska IP-omrežja RRD Round-Robin Database Krožna podatkovna baza RS SFP SMTP Rivest-Shamir-dleman lgorithm Small Form-factor Pluggable Modules Simple Mail Transport Protocol lgoritem Rivest-Shamir-dleman Majhen vtični modul Preprosti transportni protokol za elektronsko pošto xi

14 SNMP SNMPv1 SNMPv2 SNMPv3 Simple Network Management Protocol Simple Network Management Protocol version 1 Simple Network Management Protocol version 2 Simple Network Management Protocol version 3 Protokol za upravljanje omrežij Protokol za upravljanje omrežij, različica 1 Protokol za upravljanje omrežij, različica 2 Protokol za upravljanje omrežij, različica 3 SSH Secure Shell Protokol za upravljanje na daljavo STP Spannning-tree Protocol Protokol vpetega drevesa TCP Transmission Control Protocol Protokol za nadzor prenosa UDP User Datagram Protocol Protokol za uporabniška sporočila UM University of Maribor Univerza v Mariboru VLN Virtual Local rea Network Navidezno lokalno omrežje VPN Virtual Private Network Navidezno zasebno omrežje WN Wide rea Network Prostrana omrežja xii

15 1 UVOD Sodobna družba je danes nepogrešljivo odvisna od informacijskih in komunikacijskih tehnologij. Neprekinjen dostop in povezljivost naprav že predstavljata samoumevno stvar. Praktično vsaka naprava mobilni telefon, tablica ali računalnik omogoča povezljivost v omrežje. Uporabniki pa zahtevamo čedalje več, želimo si neprekinjene povezljivosti in mobilnosti naprav. Za kakovostno delovanje vseh funkcionalnosti sta potrebna učinkovita struktura omrežja ter predvsem organizirano in dobro načrtovano upravljanje z omrežji. Omrežij ni treba samo zgraditi. Treba jih je tudi vzdrževati in upravljati. Vire omrežja je treba prilagajati in spreminjati, tako da so v točno določenem obsegu in kakovosti na voljo uporabnikom. Pri tem glavno vlogo prevzamejo upravljavski in nadzorni sistemi omrežij, ki odigrajo ključno vlogo pri celovitem spremljanju aktivnosti v omrežju. Omogočajo realnočasovno obveščanje in s tem pripomorejo k hitremu ukrepanju ob nezaželenih dogodkih. Z grafičnimi in statističnimi informacijami dopolnjujejo logično predstavitev omrežja. Predstavljajo ključen vir informacij pri morebitnemu optimiziranju in nadaljnjem širjenju omrežja. Dobro upravljana omrežna infrastruktura prispeva k večji dodani vrednosti organizacije. V magistrski nalogi smo se osredotočili na učinkovito upravljanje omrežja. Omrežje je kot živ organizem, ki se nenehno spreminja. Za hitro ukrepanje na nenadne in nezaželene dogodke v omrežju je potreben učinkovit nadzorni sistem, ki te težave zaznava in v realnem času obvešča o nepredvidenih aktivnostih znotraj omrežja. Za hitrejšo in učinkovitejšo odpravo nepravilnosti je v veliko pomoč dokumentacija. Posledično lahko dobra dokumentacija pripomore k prihranku časa in denarja. Z rastjo omrežij se veča tudi potreba po organizirani strukturi informacij, ki podajajo osnovne informacije o topoloških in konfiguracijskih značilnostih omrežja. V pomoč so nam lahko posebna namenska orodja, ki samodejno dostopajo do omrežnih naprav in z njih pridobivajo konfiguracijske podatke. Zbrani podatki vseh naprav so administratorjem v strukturirani in človeku prijazni obliki dostopni prek centralne dostopne točke. 1

16 Obstaja več postopkov dokumentiranja omrežja, ki smo jih skušali prikazati v magistrski nalogi. Predstavili smo trenutno stanje dokumentacije omrežja Univerze v Mariboru (angl. University of Maribor; UM) in določili smernice ter načine, kako ga izboljšati. V teoretičnem delu smo izpostavili pomembnost ustvarjanja in vzdrževanja omrežne dokumentacije. Pokazali smo različne načine in metode dokumentiranja omrežja. Nadalje smo na kratko primerjali različne odprtokodne in plačljive omrežne upravljavske in nadzorne sisteme. Predstavili smo konfiguracijske zahteve na omrežnih napravah, ki so potrebne, če želimo pridobiti podatke z omrežnih naprav. Izpostavili smo predvsem vlogo protokola SNMP, ki je najpogosteje uporabljen v povezavi z nadzorom omrežij. Zaključek teoretičnega dela smo namenili predstavitvi brezplačnega in odprtokodnega upravljavskega sistema NeDi. Najprej smo predstavili zgradbo in skladnjo upravljavskega sistema skupaj z značilnimi konfiguracijskimi datotekami. Vso pridobljeno teoretično podlago smo upoštevali v praktičnem delu, kjer smo pokazali način za avtomatsko dokumentiranje omrežja. V realnem omrežju UM smo predstavili osnovne funkcionalnosti in uporabnost upravljavskega sistema NeDi. 2

17 2 DOKUMENTCIJ OMREŽJ Določen del dokumentacije se pojavlja v vsaki organizaciji, bodisi so to grafične skice razporeditve opreme, besedilni seznami in razpredelnice bodisi drugi načini dokumentiranja realnega stanja omrežja. Kompleksnost in obsežnost dokumentacije rasteta z večanjem omrežja. V večini organizacij se pojavljajo težave z nezadostnim številom virov (človeških ali finančnih), ki bi skrbeli in upravljali s tem segmentom omrežnega upravljanja. Omrežna dokumentacija predstavlja organigram omrežja. V celoti predstavlja infrastrukturo in konfiguracijo omrežja ter soodvisnost sistemske in programske opreme [1]. Smiselnost dokumentiranja omrežja [1]: nudenje opornih točk, ki vodijo v nove načine dojemanja informacijskih tehnologij, podroben vpogled v programske in sistemske lastnosti naprav, nudenje potrebnih informacij, ki vodijo do odprave težav, pospešitev procesa učenja zgradbe in konfiguracijskih lastnosti omrežja, dokumentacija v primeru izpada omrežja predstavlja pomemben vir informacij, s katerim najhitreje in najučinkoviteje vzpostavimo omrežno infrastrukturo. Ljudje, ki se ne ukvarjajo z omrežji, menijo, da je omrežna dokumentacija pomembna samo takrat, ko gre kaj narobe. Dejansko je omrežna dokumentacija tudi učinkovit pripomoček pri načrtovanju in razširjanju omrežne infrastrukture [1]. Programska in sistemska oprema je najbolj učinkovita takrat, ko deluje brez težav. Če so prisotne težave, so neposredno onemogočeni tudi ostali poslovni procesi in delo uporabnikov. Če je dokumentacija prisotna, imajo sistemski administratorji enostavnejšo nalogo pri odpravljanju težav. Hitreje proučijo koncept in zgradbo omrežja ter dobijo pomembne informacije o omrežni infrastrukturi našega omrežja. Vsi ti dejavniki vodijo k hitrejši odpravi težav, kar ima za posledico krajši izpad omrežne infrastrukture in manjšo finančno škodo, ki je povzročena zaradi nedejavnosti od komunikacijske strukture neposredno odvisnih poslovnih procesov. Veliko prednost predstavlja tudi, če je v organizaciji prisotna oseba, ki ima razumevanje in pregled nad dokumentacijo. V 3

18 nasprotnem primeru se je treba zanašati na zunanje partnerje, ki porabijo dragocen čas za razumevanje dokumentacije, šele nato pa se lahko lotijo aktivnega reševanja težav [1]. Pomembnost dokumentacije je možno prikazati, kadar se znotraj omrežja pojavi težava, ki jo je treba odpraviti. S primerom bomo prikazali ovrednotenje finančnih virov pri odpravljanju težav v primerih, ko je dokumentacija na voljo in ko je ni. Primer Zaradi vplivov iz okolja je potrebna zamenjava usmerjevalnika, ki ima vključene posebne varnostne konfiguracijske zahteve. Zunanji partner porabi 1,5 ure za fizično zamenjavo usmerjevalnika, celoten proces z vključeno konfiguracijo naprave pa se zaključi v 16 urah. Delovanje naprave se za odkrivanje morebitnih konfiguracijskih napak običajno spremlja še dva tedna [1]. V tabela 2.1 sta prikazana dva primera ovrednotenja stroškov dela sistemskega inženirja na omrežju. Prikazani sta različni tarifi ovrednotenja stroškov upravljanja opreme zunanjih izvajalcev v primerih, ko je dokumentacija na voljo in ko je ni. Pri tem v ceno niso všteti stroški zaposlenih v organizaciji, ki morebiti tudi sodelujejo pri zamenjavi omrežne naprave. Tabela 2.1: Ovrednotenje finančnega vložka glede na prisotnost dokumentacije Ura sistemskega inženirja Cena ($) 1. ponudnik 2. ponudnik Splošna dela Zahtevna dela z dokumentacijo Zahtevna dela brez dokumentacije Videz omrežne dokumentacije ni posebej predpisan, običajno ne vsebuje posebnih zahtev glede potrebnih vnosov v dokumentacijo. Sestavljena je iz stalnih enot, dodajajo pa se še vnosi, ki so specifični za določeno organizacijo. Vnosi se lahko prilagajajo tudi željam in potrebam uporabnikov (slika 2.1). 4

19 Slika 2.1: Primer dokumentacije omrežnih naprav Vlogo dokumentacije z marsikaterega vidika v organizaciji zanemarjamo. Vodilni poslovni kadri v procesu poslovanja ne poznajo pomembnosti in vloge dokumentiranja. Marsikdo ne želi sprostiti finančnih sredstev, ki so potrebna za ustvarjanje in vzdrževanje dokumentacije. Tehniški kadri so mnenja, da vse želene podatke nosijo naprave in jih lahko pridobimo z dostopi in pregledi naprav. To drži le takrat, ko imamo dostop do omrežne opreme. V primeru nedosegljivosti opreme se moramo zanašati na lastno znanje in pomnjenje zgradbe omrežne infrastrukture. Zunanji partnerji, ki sodelujejo pri upravljanju omrežne 5

20 infrastrukture, ne želijo porabljati časa z ustvarjanjem dokumentacije, zato je ta velikokrat pomanjkljiva [1]. Pri vzpostavljanju dokumentacije je treba narediti načrt. Pomembno je opredeliti vsebino dokumentacije in opredeliti vire tako človeške kot finančne. Vključiti je treba tudi nadaljnje upravljanje z dokumentacijo, ko je ta že vzpostavljena. Omrežje se spreminja, kakor se spreminjajo tudi poslovni procesi. Razlogi za spreminjanje omrežne infrastrukture so lahko omejitve v finančnih virih ali menjava upravljavskih kadrov. Da se proces lahko kljub vsem spremembam nadaljuje brez večje škode, je potrebna učinkovita dokumentacija [1]. Sestavo omrežne dokumentacije na splošno delimo na dva segmenta, na neomrežni in omrežni del [2]. Entitete neomrežnega segmenta so naslednje [2]: lokacije, kjer se omrežna infrastruktura nahaja, odgovorne osebe za upravljanje z omrežnim delom (omrežni administratorji, informacijske službe itd.), odgovorne osebe za upravljanje z neomrežnim delom (vzdrževalci stavb, odgovorne osebe za požarno varnost itd.), načrti stavb, evakuacijske poti, seznam izvajalcev, ki delajo z omrežjem (zunanji partnerji), seznam proizvajalcev prisotne omrežne opreme, seznam opreme z garancijskimi podrobnostmi, seznam odgovornih oseb, ki odločajo o ključnih vprašanjih (nakup opreme, kadri, itd.), koristne povezave in gradivo v povezavi z upravljanjem omrežne infrastrukture, seznam oseb ali pripomočkov, na katere se lahko obrnemo v kritičnih trenutkih (v primeru izpadov omrežja itd.), osnovni namen in funkcije omrežja. Najprimernejše hranjenje te vrste podatkov je v obliki podatkovnih baz, do katerih je omogočen oddaljen dostop. Baze podatkov morajo biti zaščitene z omejevanjem dostopa nepooblaščenim osebam [2]. 6

21 Omrežni del [2]: omrežno okolje: konfiguracijske značilnosti naprav in aplikacij, implementacija varnostnih mehanizmov, medsebojna povezljivost enot, upravljanje z napravami itd., upravljanje varnostnih kopij: izvajanje varnostnih kopij, shranjevanje, načrtovanje strategije izvajanja varnostnih kopij itd., pregled odzivov v kritičnih situacijah: nadaljevanje dela v primeru izpada omrežja, izvajanje varnostnih kopij itd., strežniki DHCP: dokumentacija strežnikov DHCP, ki so prisotni; DHCP-bazen naslovov za dodeljevanje, čas najema naslovov, načini delovanja DHCP, opisi postopkov v primeru kritičnih dogodkov, simuliranje napak in spremljanje odzivov, sistem domenskih imen (angl. Domain Name System; DNS): dokumentacija strežnikov DNS, način shranjevanja zapisov DNS (lokalno, realni DNS-zapisi itd.), dokumentacija: prisotnost ostale dokumentacije in dostopi do dokumentacije, elektronska pošta: konfiguracije poštnih strežnikov, aplikacije elektronske pošte, upravljanje z omrežjem: katere aplikacije se uporabljajo, dostopi do naprav, telefonski sistem: prisotnost telefonskega omrežja, tipi telefonov itd., omrežno tiskanje, seznam protokolov, ki so prisotni znotraj omrežja, možnosti oddaljenih dostopov do opreme, varnostne rešitve v omrežju: dostopi do naprav, varnostna politika, seznami za kontrolo dostopa, prostrana omrežja (angl. Wide rea Network; WN): katere lokacije so povezane, kako so povezane, do česa se lahko dostopa s posameznih lokacij, brezžično omrežje: dostopne točke, konfiguracija omrežja, varnost. Sestavni del dokumentacije ne smejo biti informacije o uporabniških računih in geslih. Omenjeni zaupni podatki morajo biti shranjeni v ločenih datotekah, zavarovanih z dostopnimi gesli. Omrežna dokumentacija ni nikoli dokončan dokument. V omrežju se vedno pojavljajo spremembe v obliki dodajanja in odvzemanja omrežnih naprav, posodabljanja konfiguracij ipd. Dokumentacija mora biti vedno posodobljena v skladu s spremembami in nadgradnjami. 7

22 Dokumentacija je lahko shranjena na omrežnem mestu, do katerega imajo dostop za to pooblaščene osebe. Prednost tega je, da se lahko vedno posodablja, vse pooblaščene osebe pa imajo dostop do najnovejše različice. Sestavni del dokumentacije morajo biti tudi računi nakupa opreme in uporabniška navodila omrežnih komponent, priložena v digitalni obliki. Priporočeno je tudi, da se dokumentacijo periodično tiska in kopijo hrani na več lokacijah [1]. 2.1 Načini in metode dokumentiranja Omrežni administratorji omrežni dokumentaciji ne posvečajo dovolj pozornosti. Bistveni razlogi za to so [3]: pomanjkanje časa (nezadostno število človeških virov), ni začetnega zanimanja, ki bi vodilo k vzpostavitvi ustrezne dokumentacije, pomanjkanje znanja, ki bi vodilo k uspešnemu dokumentiranju omrežja. Omrežja ne delujejo vedno brezhibno. Napake se lahko pojavijo nepredvidljivo in iz različnih razlogov. Takrat moramo vse moči usmeriti k čim hitrejši odpravi težav in vzpostavitvi normalnega stanja. V veliko pomoč nam je lahko dobro pripravljena omrežna dokumentacija [3]. Vzpostavitev dokumentacije predstavlja časovno zahteven projekt, še posebej, če pripravljamo novo vzpostavitev te v večjem omrežju. Če vzpostavljamo omrežno dokumentacijo znotraj organizacije, moramo o tem obvestiti tudi vse zunanje izvajalce, s katerimi sodelujemo, saj bo dokumentacija popolna le takrat, ko bodo spremembe dokumentirali vsi, ki skrbijo za omrežje [3]. Koraki dokumentiranja omrežja [3]: 1) Vprašajmo za pomoč. Določen del dokumentacije lahko dobimo že od drugih oseb v organizaciji, če je kdo že seznanjen z dokumentiranjem omrežja. Dodatno nam lahko podajo pomembne podatke o stanju omrežne infrastrukture. Naletimo lahko tudi na osebe, ki imajo primerno znanje in vedenje o delovanju omrežne infrastrukture znotraj organizacije, vendar iz kakršnegakoli razloga nočejo podati informacij. 2) Izbira formata dokumentacije. Kadar začnemo ustvarjati dokumentacijo, moramo izbrati format, v katerem bo izvedena naša dokumentacija. Lažje si predstavljamo stvari, če jih imamo podane v obliki grafov, slikovnega gradiva ali razpredelnic. Izbira 8

23 formata mora biti primerna, da bodo do dokumentacije lahko dostopali tudi ostali, jo posodabljali in urejali. 3) Določitev informacij, prisotnih v dokumentaciji. Tipične informacije, ki sodijo v dokumentacijo, so: fizične lokacije podjetja, kjer se nahajajo omrežne naprave, povezljivost med fizičnimi lokacijami, število usmerjevalnikov, stikal, požarnih pregrad in strežnikov na posamezni lokaciji, za posamezno napravo je treba pridobiti informacije o operacijskem sistemu, upravljanju posodobitev, fizičnih lastnostih (pomnilniške in procesorske sposobnosti), garancijskih elementih za programsko in sistemsko opremo, seznamu pooblaščenih oseb za upravljanje z napravo s kontaktnimi podatki, odzivih v primeru nepredvidenih težav, upravljanju z varnostnimi konfiguracijami. 4) Priprava dokumentacije glede na kompleksnost. Za pripravo preproste dokumentacije uporabimo plačljive ali odprtokodne programe, ki zajemajo osnovne podatke z naprav, ki jih dopolnijo z grafičnimi skicami (npr. povezljivost med napravami). 5) naliza dokumentacije. Pregledamo, ali smo zadovoljni z zajetimi podatki in s samodejnim grafičnim izrisom omrežne zgradbe. V nasprotnem primeru lahko dokumentacijo dopolnimo z lastnimi skicami. 6) Poznavanje fizičnega dostopa do naprav. Podrobno moramo poznati, kako dostopati do naprave, če je onemogočen oddaljeni dostop. 7) Izboljšanje skladnosti dokumentacije. Ko imamo dokumentacijo pripravljeno, je treba razmišljati o vključevanju standardov in varnostnih politik organizacije. Prikaz grafičnega oblikovanja osnovnih elementov v dokumentaciji Naprave v dokumentaciji prikazujemo z grafičnimi simboli oziroma s šablonami (slika 2.2). Vsaka naprava ima šablono, ki jo v dokumentaciji natančno definira. Obstajajo različne različice šablon, zato se lahko v različnih dokumentacijah razlikujejo. Določene šablone točno definirajo proizvajalce naprav. Na spletu obstaja veliko različnih vrst šablon, ki si jih 9

24 lahko prenesemo in vključimo v lastno omrežno dokumentacijo. Glede na potrebe pa si lahko oblikujemo tudi lastne šablone [4]. Slika 2.2: Primer šablon omrežne opreme proizvajalca Cisco Spodnji primer (slika 2.3) prikazuje primer izboljšave grafične predstavitve opisa naprav. Za izbrani nabor podatkov o napravi, prikazan na desni strani grafičnega elementa, lahko z rahlo spremembo grafike izboljšamo preglednost dokumentacije. Pomembnejše informacije naj bodo zapisane s povečano pisavo in krepko (naziv elementa in IP-naslov). Pomembnejše informacije in grafični simbol naj bodo senčeni ali zapisani z drugačno barvo pisave [5]. Slika 2.3: Primerjava prvotne in izboljšane različice, primerne za uporabo v dokumentaciji Težavo v grafičnih shemah lahko predstavljajo povezave med napravami, posebej če je omrežje večje in kompleksnejše (slika 2.4). Če je le možno, se izognemo križanju povezav. V primeru križanja del križanih povezav osenčimo. V primeru redundantnih povezav jasno označimo primarno in sekundarno povezavo. To lahko storimo z različnimi debelinami povezav ali z različnimi barvami [5]. 10

25 Slika 2.4: Prikaz križanja povezav Na povezovalne segmente moramo dodati informacije o vmesnikih, na katere je povezava priključena (slika 2.5). Podamo lahko tudi informacije o nazivu povezave in pripadajočo hitrost povezave [5]. Slika 2.5: Oblikovanje povezav Kadar omrežja povezujemo med seboj, lahko del omrežja predstavimo z oblakom (slika 2.6). To pomeni, da se znotraj oblaka skriva določen segment omrežja [5]. Slika 2.6: Prikaz dela večjega omrežja z oblakom Ko ustvarjamo grafične prikaze omrežne infrastrukture, je legenda, kjer omrežne elemente opremimo s pripadajočimi nazivi, obvezen podatek. Legenda naj bo jedrnata, pregledna in na vidnem mestu znotraj dokumentacije. 11

26 2.2 Pregled trenutnega stanja dokumentacije omrežja UM Za pregled trenutnega stanja dokumentacije omrežja UM je v prvem koraku smiselno pogledati, katere naloge opravlja RCUM, kar povzemamo po dokumentaciji [6] [28]:»Računalniško omrežje Univerze v Mariboru povezuje članice (fakultete) in omogoča delovanje računalniških sistemov ter poslovnih in drugih aplikacij. RCUM skrbi za načrtovanje, dokumentiranje, nadzor, upravljanje in delovanje hrbtenične omrežne infrastrukture ter zagotavlja dostop do omrežja, za rektorat pa zagotavlja storitve omrežne administracije. Omrežne storitve obsegajo: administracijo naslovnega prostora UM, upravljanje DNS-strežnikov, komunikacijo z izvajalci, s članicami in z odjemalci, načrtovanje arhitekture omrežja, vključno s povezovanjem na zunanje omrežje, določanje standardov (protokolov) v omrežju, skrb za sistemsko in projektno dokumentacijo, skrb za povezovanje z RNES, RIPE in drugimi podobnimi institucijami, zagotavljanje operativnosti univerzitetnega računalniškega omrežja, odprava napak v omrežju, načrtovanje in izvedba namestitev opreme, vzdrževanje programske opreme na omrežnih napravah, analizo strojne opreme, podajanje predlogov za novo strojno opremo in spremembo arhitekture za odpravo ozkih grl, varnostnih lukenj in povečanje kapacitet, sodelovanje z dobavitelji opreme in principali pri reševanju težav, dokumentiranje posegov.«kot velja v splošnem, se tudi na UM dokumentaciji omrežja ne posveča dovolj pozornosti. Delček dokumentacije sicer obstaja, vendar je zelo razpršena in v različnih oblikah. Del se nahaja znotraj obstoječega nadzornega sistema za spremljanje omrežja, preostali del pa v ločenih besedilnih datotekah. Upravljanje z dokumentacijo je izredno časovno potratno in zahteva zadostne človeške vire. Obstajajo grafični prikazi omrežne infrastrukture celotnega omrežja in razdeljeni prikazi omrežja po posameznih članicah pod okriljem UM. Problem, ki se pojavlja, je, da so nekateri 12

27 grafični prikazi zastareli oz. neposodobljeni. Pojavlja se tudi vključevanje t. i.»dummy«1 stikal v omrežje po posameznih fakultetah, do katerih ni omogočen oddaljen dostop. Tako te omrežne naprave niso vključene v dokumentacijo in se pojavlja nepoznavanje celotne sheme omrežja. Obstoječe stanje dokumentacije omrežne infrastrukture UM: grafične sheme omrežne infrastrukture UM po hrbteničnem omrežju in po posameznih članicah v shemah Microsoft Visio, seznam in število prostih majhnih vtičnih modulov (angl. Small Form-factor Pluggable Modules; SFP) v preglednicah, seznam in število prostih optičnih kablov v preglednicah, grafični prikaz razporeditve omrežne opreme v omarah v podatkovnem centru v shemi Microsoft Visio, besedilna datoteka s popisanimi povezavami med napravami v podatkovnem centru, nadzorni sistem Icinga, programsko orodje KeePass za hranjenje gesel, strežnik Rancid za arhiviranje konfiguracij, NV (angl. Network dministration Visualized) sistem za spremljanje razdelitve IPnaslovnega prostora, različni drugi besedilni dokumenti: priporočila za funkcionalnosti na stikalih sloja 2 (angl. Layer 2; L2) in sloja 3 (angl. Layer 3; L3). Poseben segment upravljanja omrežja znotraj UM predstavlja brezžično omrežje. Na UM trenutno teče prehod na brezžične dostopne točke erohive, kjer se celotno upravljanje z brezžičnim omrežjem izvaja znotraj programskega paketa HiveManager. Ta vsebuje informacije o vseh erohive dostopnih točkah v omrežju (serijske številke, licence, lokacije itd.). Omogočena je tudi podpora za zaznavo aplikacij, saj dostopna točka beleži uporabo pasovne širine (HTTP promet, P2P promet itd.). Sistem za doseg čim boljše jakosti in kakovosti signala vključuje tudi možnosti simulacije radijske pokritosti postavitve dostopnih točk. V letu 2014 je potekala prenova podatkovnega centra UM. Obstoječi podatkovni center ni imel ustrezne dokumentacije oz. je sploh ni imel. Manjkale so sheme razporeditve naprav 1 Dummy stikalo preprosto stikalo, ki ga ni mogoče konfigurirati. 13

28 po sistemskih omarah, ni bilo ustreznega popisa kabelskih povezav, ni bilo popisa strojnih in elektroinštalacij. Pred in med prenovo se je vsa ta dokumentacija uredila v besedilnem načinu. Pojavile so se tudi želje, da bi obstoječo dokumentacijo nadgradili s pomočjo orodij za dokumentacijo. V okviru magistrske naloge smo poskušali obstoječo dokumentacijo vključiti v program NeDi, ki je namenjen gradnji omrežne dokumentacije. 14

29 3 PREGLED ORODIJ Z DOKUMENTCIJO OMREŽJ Za pripravo dobre dokumentacije si moramo pomagati z namensko razvitimi programskimi orodji, ki omogočajo samodejno zajemanje podatkov z naprav in njihovo predstavitev v človeku razumljivi obliki. Za uspešen dostop do naprav in zajem informacij z naprav pa so potrebne še določene konfiguracijske zahteve na napravah in splošno v omrežju. Obstajajo plačljive in prosto dostopne različice teh programskih orodij. Na kratko bomo predstavili najbolj poznane in uporabljane ter izpostavili bistvene razlike med njimi. 3.1 Primerjava funkcionalnosti Na trgu obstaja veliko različnih sistemov, ki so nam lahko v pomoč pri upravljanju omrežij. Za pregled tehnoloških značilnosti si bomo izbrali pet različnih omrežnih upravljavskih orodij ter predstavili njihove prednosti in slabosti (tabela 3.1). V osnovi je princip delovanja teh orodij zelo podoben. Vsa orodja potrebujejo dostop do naprav, s katerih prek določenih omrežnih protokolov zbirajo informacije o osnovnih značilnostih naprave, stanjih servisov, vednostih senzorjev in drugih podatkih, ki so na voljo. Vsi zajeti podatki se shranjujejo v določenih tabelah ali podatkovnih bazah. Nato se obdelajo in prikažejo v obliki številčnih vrednosti, besedilnih vrednosti, tabel ali grafičnih prikazov. Tabela 3.1: Primerjava osnovnih funkcionalnosti upravljavskih orodij Cacti Icinga Nagios Observium Zabbix IP SL poročila dodatek dodatek Logično združevanje Trending Napoved trendov Samodejno odkrivanje omrežja dodatek dodatek dodatek 15

30 Cacti Icinga Nagios Observium Zabbix Odsotnost agenta podprto podprto podprto podprto SNMP dodatek dodatek Syslog dodatek dodatek Vtičniki Sprožilci/ opozorila Spletni popoln popoln popoln vmesnik nadzor nadzor nadzor popoln nadzor Distribuiran način nadzora Platforma PHP C C, PHP PHP C, PHP MySQL, Oracle, Način PostgreSQL, MySQL, shranjevanje RRDtool, Flat file, RRDtool, Oracle PostgreSQL, zajetih MySQL SQL MySQL podatkovne IBM DB2, podatkov baze SQLite Licence GPL GPL GPL QPL komercialen GPL Zemljevidi dodatek Nadzor dostopa Podpora IPv6 Datum izdaje zadnje / različice Zadnja različica 0.8.8b /

31 3.1.1 Nagios Nagios naj bi predstavljal standard na področju upravljanja z omrežji. Bistvena lastnost je njegova prilagodljivost za različne potrebe in zahteve. Je najdlje prisoten sistem za spremljanje omrežij, na principu katerega so se nadalje razvijali preostali nadzorni sistemi [8]. Prednosti [8]: prosto dostopno orodje, temelji na veliki skupnosti uporabnikov, veliko dodatkov, ki jih lahko enostavno tudi sami ustvarjamo, preprosta uporaba spletnega uporabniškega vmesnika, preprosto odpravljanje težav z vtičniki, veliko različnih možnosti ustvarjanja skupin in obveščanja, optimizirano pošiljanje obvestil, dodatek z zmogljivim vmesnikom za risanje grafov. Slabosti [8]: bistven poudarek je na pridobivanju in podajanju vrednosti stanja servisov (npr. stanje centralno procesne enote (angl. Central Process Unit; CPU), ni pa namen prikazati te podatke v obliki grafov, za kar je smiselno uporabiti drugo orodje oz. dodatek, velika količina nastavitvenih možnosti v besedilnem načinu konfiguracije, zato je priporočljiva vključitev dodatka za konfiguracijo prek spletnega vmesnika, določeni vtičniki so slabo napisani in dokumentirani, pomanjkljiv prikaz podrobnosti določenih skupin naprav in servisov, neustrezne konfiguracije vtičnikov, zato je treba napake odkriti in jih popravljati, kar predstavlja izgubo časa, različni zahtevani vhodni podatki v vtičnike, veliko nepotrebnih preverjanj lastnega strežnika Nagios, kar obremenjuje sistem, vsak dogodek privzeto sproži obveščanje, v primeru, da je prisotna kakšna napaka v konfiguraciji, bomo prejemali nepotrebno pošto. 17

32 3.1.2 Cacti Bistveno prednost nadzornega sistema Cacti predstavlja njegova enostavnost, saj je možno z raznimi dodatki doseči, da se konfiguracija nadzornega sistema izvaja preprosto prek spletnega uporabniškega vmesnika. Nekaj težav povzročajo le neodzivnost SNMP v določenih različicah ter prilagodljivost in zanesljivost [8]. Prednosti [8]: preprost in lep uporabniški vmesnik z vsemi dodatki, prikaz grafov z možnostjo povečave pogleda, sistematičnost, določitev pravic posameznim uporabnikov (npr. samo možnost ogleda v nadzornem sistemu itd.), prosto konfiguriranje videza grafov, prilagajanje videza. Slabosti [8]: zmedenost uporabnika glede predlog in podatkovnih virov, problemi z izrisovanjem grafov, ki se včasih ustavijo ali manjkajo določeni podatki, medtem ko strežnik in naprave, s katerih se zbirajo podatki, niso preobremenjeni, zamuden postopek dodajanja novih sistemov prek spletnega vmesnika, slaba kakovost vtičnikov, ustvarjanje novih vtičnikov je težavno in z veliko možnostjo napak, nepravilno rokovanje s sporočili SNMP, težave z identifikatorji objekta (angl. Object Identifier; OID), privzeti čas preverjanja je 5 minut; z manjšanjem časa preverjanja prihaja do izgube informacij in nepravilnih rezultatov, pomanjkljivo zasnovan spletni vmesnik, nekoliko pomanjkljiv prikaz grafov, pomanjkljivo obveščanje, priporočljivo vključiti Nagios, združevanje dnevnih, tedenskih, mesečnih in letnih grafov je pomanjkljivo, ker se opazijo razlike med posameznim dnevnim grafom in varianto, ko je združen v širšo časovno obdobje (npr. teden). 18

33 3.1.3 Icinga Odprtokodni funkcionalnostmi. Nadzor [9]: nadzorni sistem, ki temelji na jedru Nagios z dodanimi novimi nadziranje omrežnih servisov (SMTP, HTTP, PING itd.), nadziranje omrežnih naprav (CPU, poraba pomnilnika itd.), spremljanje podatkov s senzorjev prisotnih v napravah, enostavno dodajanje lastnih preverb, paralelni nadzor servisov, možnost gradnje hierarhije omrežja (določanje staršev v topologiji omrežja). Obveščanje [9]: obveščanje, kadar nastopi težava prek elektronske pošte, besedilnih sporočil, stopnjevanje obveščanja drugih uporabnikov ali skupin. Vizualizacija in poročanje [9]: Prednosti [26]: Slabosti [27]: dva različna uporabniška vmesnika (klasični in spletni) za prikaz topologije omrežja, stanja servisov, poročil o stanju omrežja itd., vmesnik Icinga, namenjen poročanju (Jabber Reports), predloga za poročanje (poročanje o 10 kritičnih storitvah), samodejno generiranje in distribucija poročil, poročanje o zmogljivosti in izkoriščenosti sistemov, uspešno risanje grafov z dodatki (PNP4Nagios, InGraph). redne posodobitve, popolna kompatibilnost z vtičniki Nagios, enostaven in prijazen uporabniški vmesnik. zaznane nekatere pomanjkljivosti pri izrisu grafov (prikazovanje negativnih vrednosti). 19

34 3.1.4 Observium Observium uporablja platformo s podporo protokolu SNMP. Napisan je v jeziku PHP. Podpira širok nabor različnih programskih in sistemskih proizvajalcev: Cisco, Microsoft Windows, Linux, Juniper, Dell, HP, Brocade, FreeBSD in druge [10]. Lastnosti [10]: dobro vodenje uporabnika znotraj uporabniškega vmesnika, prikaz vseh informacij, prisotnih v aplikaciji znotraj uporabniške pomoči, grafe sistemov in procesov lahko prikaže v realnem času, prisotnost strani, ki nam pregledno pokaže stanje našega omrežja, stran, ki nam prikaže podroben pregled stanja vmesnikov, realno-časovne posodobitve, izdaja izboljšanih posodobljenih različic na obdobje pol leta, samodejno odkrivanje prometa in novih naprav v omrežju s protokoli za odkrivanje, podrobne statistike in meritve za IPv4, IPv6, pomnilnik, procesorsko moč in pakete TCP/UDP, Prednosti [10]: Slabosti [24]: podpora za navidezna zasebna omrežja (angl. Virtual Private Network; VPN), zajem podatkov s senzorjev ventilatorjev, temperature, moči itd., odkrivanje distribucij programske opreme, sledenje CDP, LLDP, virtualnih sistemov in storitev. zbiranje podatkov iz zgodovine o napravah, prisotnih v omrežju, podajanje podrobnega pogleda na sistemske in programske zmogljivosti ter prikaz podrobne statistike itd., preprost uporabniški vmesnik, podpora obveščanju, konfiguracija in implementacija v realno omrežno okolje sta preprosti, že prednastavljeno nadziranje najbolj uporabljanih aplikacij, široka podpora različnim proizvajalcem sistemske in programske opreme, lahko se uporablja kot dodatek za spremljanje delovanja sistemov. potrebna je dopolnitev z Nagios ali katerim drugim nadzornim sistemom za vzpostavitev učinkovitega obveščanja, 20

35 implementacija s Cacti za pomoč pri izrisovanju grafov Zabbix Zabbix predstavlja skoraj popoln nadzorni sistem, ker združuje skoraj vse najboljše lastnosti preostalih nadzornih sistemov. Vsebuje natančen prikaz grafov, različne možnosti obveščanja in mnogo drugih funkcionalnosti [8]. Prednosti [8]: sposobnost nadzora omrežja po vzoru Nagios in prikaz grafov po vzoru Cacti, veliko konfiguracijskih možnosti (različni načini obveščanja, avtomatski samodejni zagon določenih servisov itd., dobro opisan vzrok težav v obveščanju, razširjen z dodatnimi komentarji in makro spremenljivkami, zelo zmogljiv. Zabbix agent je lahko nameščen na različne operacijske sisteme in zelo učinkovito zbira informacije s teh sistemov. Posamezen agent lahko kliče posamezne skripte. Ta način zbiranja informacij s sistemov je zelo učinkovit, vendar zahteva veliko sistemskih virov (vhodno/izhodna zmogljivost, pomnilniška moč itd.) za delo s podatkovno bazo. V primeru nezmogljivega sistema se pojavljajo težave s počasnimi dostopi do podatkovne baze, zbiranje parametrov z naprav se izvaja ob določenih intervalih, ki se nato tudi hitro pokažejo v človeku razumljivi obliki (običajno v 30 sekundah), hiter spletni uporabniški vmesnik, podrobno spremljanje dogajanja na spletnih straneh (položaji kurzorja miške, kliki z miško, odzivni časi ob kliku itd.), realno-časoven prikaz grafov, zajem podatkov z naprav vsakih 30 sekund, omejevanje pogledov glede na vrste uporabnikov, shranjevanje zajetih podatkov v podatkovnih bazah (MySQL, PostgreSQL, SQLite) namesto v neprilagodljivih datotekah RDD. Možnost ustvarjanja varnostnih kopij podatkovnih baz, ustvarjenje predlog za uporabo v nadzornem sistemu, možnost spreminjanja načina prikaza podatkov z grafi in različne oblike grafov, tudi parametre, ki jih v grafih sproti ne izrisujemo, lahko z enim klikom naknadno izrišemo, posamezni zasloni v nadzornem sistemu so primerni za prikaz na velikih zaslonih, kjer lahko kombiniramo besedilne prikaze statusov, grafične sheme idr. podatke, 21

36 velika prilagodljivost sprožilcev pošiljanja obvestil (primer: na podlagi statistike v določenem obdobju se pošlje obvestilo). V ozadju se lahko izvajajo mnogi izračuni parametrov, ki so shranjeni v podatkovnih bazah, enostavno vključevanje obveščanja in opozoril s skriptami, uporaba Zabbix proxy za oddaljen nadzor, prosto dostopno orodje, plača se le dodatna podpora, dobra uporabniška navodila s slikovnimi prikazi in spletno pomočjo. Slabosti [8]: potrebno veliko klikov in premikov z miško za pripravo konfiguracij (npr. vklop obveščanja za specifičen servis), potreben daljši čas, da dojameš koncept nadzornega sistema, veliko vtičnikov na spletnem vmesniku, kar povprečnemu uporabniku otežuje delo in navigacijo znotraj nadzornega sistema, veliko potrebnih opravil, da se vzpostavijo grafične skice omrežne opreme. Odsotnost vtičnika za dodajanje pripadajočih vrednosti grafičnemu prikazu, vračanje samo ene vrednosti na napravo. V Nagios se hkrati vrne več vrednosti (OK, WRNING, LERT), težave pri spremljanju različnih parametrov iste stvari. Predloge se tukaj izkažejo za neuporabne, ker moramo za posamezno stvar kopirati celotno konfiguracijo, samodejno se izvaja le odkrivanje storitev prek agenta Zabbix, težaven za razhroščevanje. 3.2 Protokol SNMP Velika omrežja ne morejo biti nadzorovana samo s človeškimi viri. Kompleksnost omrežij zahteva vključevanje avtomatskih nadzornih sistemov. Omrežja postajajo čedalje večja, kompleksna in heterogena, kar veča stroške upravljanja omrežij. Za nadzor omrežij potrebujemo standardizirana orodja, ki lahko spremljajo več različnih produktov (usmerjevalniki, stikala, požarne pregrade itd.), ki lahko prihajajo od različnih proizvajalcev. S tem namenom se je razvil protokol SNMP, ki je sposoben dostopati do vseh vrst naprav različnih proizvajalcev. Protokol je postal izredno priljubljen in danes predstavlja osnovo v upravljanju omrežij [11] [12]. SNMP je protokol aplikacijskega sloja protokolnega sklada TCP/IP, definiran v RFC Namenjen je izmenjavi upravljavskih informacij med omrežnimi napravami. SNMP 22

37 predstavlja nabor različnih standardov za upravljanje z omrežji. Vsebuje protokol, specifikacije za podatkovne baze in nabor objektov. Razvit je bil leta 1989 kot standard, temelječ na protokolnem skladu TCP/IP. Zaradi funkcionalnosti, ki jih je omogočal, je takoj postal zelo priljubljen. Z nadaljnjimi izboljšavami osnovnega protokola SNMP se je razvilo več različic protokola: SNMPv1, SNMPv2 in SNMPv3. Trenutno sta najbolj uporabljeni različici SNMPv2 in SNMPv3. Slednja ima v primerjavi s SNMPv2 še izboljšane varnostne funkcije [11] [13]. Prek protokola SNMP lahko z omrežnih naprav pridobimo različne podatke. Vsaka naprava ima končen nabor podatkov, ki jih nudi za pridobivanje prek protokola SNMP. Nekateri primeri informacij, ki se jih da pridobiti z naprav: stanje centralne procesne enote (angl. Central Process Unit; CPU), stanje pomnilnika, konfiguracije vmesnikov na stikalih, stanje diska. Prek protokola SNMP je omogočeno tudi konfiguriranje omrežnih naprav, vendar so za to potrebne določene posebne konfiguracijske nastavitve (pravice za pisanje) [12] Zgradba sistema SNMP Omrežni sistemi, ki uporabljajo SNMP za upravljanje, so sestavljeni iz treh bistvenih elementov (slika 3.1): 1) Upravitelj SNMP: je ločena entiteta, ki je sposobna komunicirati z agentom SNMP, ki se izvaja na napravah. Običajno je to računalnik oziroma programska oprema, ki teče na sistemu, ki je namenjen upravljanju z omrežjem. Glavne funkcije upravitelja SNMP so: pošilja povpraševanja na agente, sprejema odzive agentov, spreminja vrednosti agenta, sprejema obvestila o dogodkih na agentu SNMP. 2) gent SNMP: programska oprema, ki teče na omrežni napravi, ki je nadzirana (npr. tiskalnik). Če je agent SNMP na napravi omogočen, se informacije o napravi zbirajo lokalno, dokler jih upravitelj SNMP ne zahteva in pridobi v svojo lokalno bazo. genti so lahko standardni ali vezani na določenega proizvajalca. Glavne funkcije agenta SNMP: zbiranje informacij lokalnega značaja, shranjevanje in zbiranje na podlagi zapisov v upravljavski informacijski bazi (angl. Management Information Base; MIB), pošiljanje zahtev upravitelju, 23

38 delovanje kot posredovalni strežnik za naprave, ki ne podpirajo SNMP. 3) SNMP MIB: struktura, ki skrbi, da izmenjava informacij med agentom in upraviteljem ostaja strukturirana. Vsak agent SNMP upravlja z informacijsko bazo, ki vsebuje določene parametre naprave. Upravitelj SNMP to bazo uporabi za pridobitev zahtevanih podatkov, ki jih nato prevede za uporabo v omrežnem upravljavskem sistemu (angl. Network Management System; NMS). Baza, ki je v skupni rabi in se deli med upraviteljem in agentom, se imenuje MIB [12] Struktura MIB in OID Slika 3.1: Diagram komunikacije SNMP Posamezen agent SNMP vzdržuje podatkovno bazo, s katero opisuje nadzorovane parametre na omrežni napravi. Upravitelj SNMP to podatkovno bazo uporablja za dostop do specifičnih parametrov, ki jih potem prevede za predstavitev v NMS. To podatkovno bazo, s katero upravljata agent in upravitelj SNMP, poznamo pod imenom MIB. gent zbira 24

39 in hrani te parametre v lokalni podatkovni bazi in s tem definira MIB. Upravitelj SNMP mora biti seznanjen z vsebino datotek MIB za posameznega agenta, preden poda zahtevo za pridobitev podatkov [13]. MIB je sestavljen iz standardnih statističnih in kontrolnih vrednosti, ki so definirane za omrežne naprave. MIB je sestavljen iz posameznih nadziranih objektov, poznanih pod imenom ID-objekta (Object ID ali OID). Objekt je tudi najbolj preprosta entiteta MIB, nabor OID pa sestavlja MIB. Vsaka na novo pridobljena informacija prek SNMP je predstavljena z objektom. Čas delovanja naprave predstavlja objekt in je predstavljen s»sysuptime«[12] [13]. Omrežje je v SNMP predstavljeno z drevesno strukturo (slika 3.2), kjer so posamezni elementi predstavljeni z objekti, ki imajo unikatne ID (OID). Na primer, unikaten OID za objekt»sysuptime«je Zadnja vrednost 0 pomeni, da je objekt tipa skalar (številska vrednost) in ne tabelarična vrednost. Prisotna je tudi besedilna možnost zapisa OID.»sysUpTime«OID je besedilno zapisan kot iso.org.dod.internet.mgmt.mib- 2.system.sysUpTime [12]. Prisotna sta dva različna tipa nadziranih OID: skalarni in tabelarični. Skalar predstavlja eno vrednost (npr. ime proizvajalca naprave). Tabelarični tip je definiran kot večvrednostna struktura, prikazana v MIB-tabelah. Ponazorimo ga lahko s stanjem CPU. Če naprava vsebuje večjedrni procesor, se v odgovoru vrne vrednost za vsako jedro posebej. Vsak identifikator je unikaten in točno opisuje določeno pripadajočo vrednost. Vrnjene vrednosti so lahko različnih oblik: število, besedilo, tabela idr. SNMP podpira tudi uporabo zasebnih MIB, ki so specifični za določen tip naprave [13]. 25

40 Slika 3.2: Drevesna struktura MIB Sporočila SNMP Komunikacija med upraviteljem SNMP in agentom SNMP se vrši prek izmenjave sporočil [13]: SNMP GET: prošnja, poslana od upravitelja k upravljani napravi. Z naprave želimo pridobiti eno ali več vrednosti, SNMP GET-NEXT: podobna funkcionalnost kot GET, vendar za razliko dobimo vrednost naslednje vrednosti OID v MIB, SNMP GET-BULK: za pridobivanje skupka informacij z velikih MIB-tabel, SNMP SET: za upravljanje nadzirane naprave in prirejanje vrednosti, SNMP TRPS: zahteva agenta SNMP upravitelju SNMP za sporočanje določenih odzivov agenta, 26

41 SNMP INFORM: podobna funkcionalnost kot TRP, razlika je le, da je tu potrebna potrditev upravitelja, da je sprejel sporočilo, SNMP RESPONSE: ukaz za pošiljanje vrednosti in signalov nazaj k upravitelju SNMP. Implementacija SNMP v omrežju je preprosta. Na transportnem sloju se za prenos sporočil SNMP uporablja protokol UDP. Implementirati je možno tudi prenos po protokolu TCP, vendar je postopek konfiguracije nekoliko kompleksnejši [12] Vpliv zahtev SNMP na obremenjenost CPU Odkrivanje težav, zaradi katerih prihaja do povečane obremenitve procesorja, je zahtevno. Če raziskujemo vpliv procesov SNMP na obremenitev procesorja, moramo iskati vzrok težav v OID. Kadar določimo OID, ki povzroča težave, se lahko osredotočimo na bolj podrobno analizo vzrokov za težave. Običajno imamo opravka z velikimi tabelami podatkov, ki jih mora CPU obdelati in posledično povzroča velike obremenitve. Vzrok težav je lahko tudi prisotnost drugih napak, ki so povezane s pošiljanjem zahtev SNMP, ali napake v programski opremi naprave [19]. Problem s povečano obremenitvijo CPU so pojavi predvsem takrat, ko vlogo upravitelja SNMP opravlja katera izmed omrežnih naprav. V našem primeru uporabljamo strežnik, zato do omenjenih težav na napravah ne more priti. Težave bi se lahko pojavile le na strežniški enoti, kjer se pridobljene informacije z naprav zbirajo in obdelujejo. Obstaja nekaj preprostih korakov, s katerimi si lahko pomagamo pri odkrivanju težav. V dobro pomoč so nam lahko orodja za preiskavo paketov, na primer paketni vohljač (tcpdump ali Wireshark). 3.3 Konfiguracijske zahteve na napravah Za uspešen dostop upravljavskega orodja mora biti omogočen neposreden dostop do naprave. To storimo s seznami za kontrolo dostopa (angl. ccess Control List; CL), s katerimi dovolimo povezavo med napravo in strežnikom ali virtualnim okoljem, na katerem teče upravljavsko orodje. Običajno dostop omogočimo z IP-naslova, na katerem se nahaja upravljavsko orodje, na posamezno območje omrežja, kjer se nahajajo naprave, ki jih želimo spremljati. Te se običajno nahajajo znotraj enega navideznega lokalnega omrežja 27

42 (angl. Virtual Local rea Network; VLN). Dodatno moramo z CL omogočiti protokole, kot so SNMP, TCP in CDP. Z vidika varnosti je na napravah priporočljivo izklopiti možnost izvajanja posameznih protokolov odkrivanja omrežja (npr. CDP). V primeru vdora v naše omrežje se s tovrstnimi protokoli lahko zgradi slika omrežja. V primeru, da želimo naše omrežje dokumentirati, pa moramo to funkcionalnost na napravah omogočiti, saj le tako dobimo temeljito sliko našega omrežja. Na omrežnih napravah je treba opraviti določene konfiguracije (tabela 3.2), da lahko uspešno izvedemo proces branja informacij z naprave. Prikazan je postopek konfiguracije parametrov SNMP, ki so potrebni za zunanje dostope do naprave in pridobivanje informacij z nje. Omenjena konfiguracija je predstavljena za L2 in L3 omrežna stikala proizvajalca Cisco Systems. Pri starejših različicah stikal, usmerjevalnikov in dostopnih točk se lahko pojavijo določene razlike v konfiguracijah. Na napravah drugih proizvajalcev prihaja do razlike v uporabi ukazov in vnosov parametrov, vendar princip konfiguracije ostaja enak. Tabela 3.2: Splošna konfiguracija agenta SNMP na omrežni napravi s sistemom Cisco IOS Korak Ukaz Dogodek 1 enable Vstop v privilegiran uporabniški (EXEC 2 ) način Primer: Naprava> enable 2 configure terminal Vstop v globalni konfiguracijski način Primer: Naprava# configure terminal 3 snmp-server contact besedilo Primer: Naprava# snmp-server contact kontakt 4 snmp-server location besedilo Nastavitev kontaktnih informacij Nastavitev lokacijskih informacij Primer: Naprava# snmp-server location kraj 2 EXEC privzeti uporabniški konfiguracijski način na Cisco omrežnih napravah. 28

43 Korak Ukaz 5 snmp-server chasiss-id številka Primer: Naprava# snmp-server chasiss-id št. 6 end Primer: Naprava# end 7 show snmp contact Primer: Naprava# show snmp contact 8 show snmp location Primer: Naprava# show snmp location 9 show snmp chassis Dogodek Nastavitev serijske številke sistema Izhod iz konfiguracijskega načina Preverjanje kontaktnih informacij Preverjanje lokacijskih informacij Preverjanje serijske številke Primer: Naprava# show snmp chassis Dostopi SNMP so različnih vrst. Razlikujejo se glede na vsebnost varnostnih zahtev. Prikazana je uporaba različnih varnostnih mehanizmov pri posamezni različici dostopa SNMP (tabela 3.3). Najbolj varnostno zanesljiva različica je SNMPv3, ki definira več različnih možnosti zagotavljanja varnostnih vidikov. 29

44 Tabela 3.3: SNMP varnostni modeli in stopnje Model Stopnja vtentikacija Enkripcija Dogodek v1 nouthnopriv Rezervirana Uporablja rezervirano besedo beseda za avtentikacijo. v2c nouthnopriv Rezervirana Uporablja rezervirano besedo beseda za avtentikacijo. v3 nouthnopriv Uporabniško Uporablja rezervirano besedo ime za avtentikacijo. v3 authnopriv MD5- ali SH- Uporaba MD5- ali SHalgoritma za avtentikacijo algoritem v3 authpriv Uporaba MD5- ali SHalgoritma za avtentikacijo in MD5- ali SH- DES algoritem dodatno še algoritma DES za šifriranje 3.4 Predstavitev orodja NeDi Osnovna ideja o razvoju omrežnega upravljavskega orodja NeDi se je izoblikovala v letu 2001, ko so podatke z omrežnih naprav začeli pridobivati z nekaj osnovnimi skriptami. Ena izmed prvih stvari, ki so jih zajeli, je bila tabela MC-naslovov s stikala. Iz tabele so razbrali in prikazali, katere naprave so povezane v omrežje. Razvoj programskega orodja so za nadaljnjih 7 let prevzeli raziskovalci z inštituta Paul Scherrer 3. V letu 2008 je Remo Rickli 4, med delom v IT-podjetju dobil podroben vpogled v omrežno delo in začutil potrebo po vključevanju avtomatskih orodij za upravljanje omrežja v praktično uporabo zunaj raziskovalnega segmenta. Prevzel je razvoj in implementacijo omrežnega upravljavskega orodja NeDi [14]. NeDi je skupek orodij za odkrivanje, nadzor in upravljanje omrežja (slika 3.3). Dodatno vključuje tudi varnostne funkcije, upravljanje z varnostnimi kopijami (angl. backup) konfiguracij, upravljanje s tiskalniki, beleženje omrežne statistike in drugo. NeDi je prosto dostopno orodje, katerega razvoj temelji na sodelovanju skupnosti. Uporabniki aktivno sooblikujejo orodje s poročanjem o težavah in rešitvah v povezavi z delovanjem [14] [15]. 3 Inštitut Paul Scherrer Inštitut za naravne in inženirske znanosti v Švici. 4 Remo Rickli idejni oče programskega orodja NeDi. 30

45 Slika 3.3: Bistvene lastnosti NeDi Osnovna ideja NeDi je izkoristiti obstoječe protokole za odkrivanje, kot so CDP, FDP in LLDP, ter protokol SNMP za pridobivanje informacij z naprav. Bistvena prednost orodja NeDi pred ostalimi je uporabniško pregleden in prijazen vmesnik. Sistem NeDi temelji na obstoječi infrastrukturi: Linux, pache, MySQL, PHP in Perl [16]. Omrežni administratorji z rastjo omrežja izgubijo nadzor in pregled nad omrežjem. NeDi učinkovito preiskuje omrežje in ga dokumentira. Ena bistvenih lastnosti orodja je učinkovito beleženje omrežne topologije. Omrežno poizvedovanje predstavlja pregled vseh aktivnih IP-naslovov v omrežju in pripadajočih storitev. Določene težave s prikazom nepravilnosti znotraj trenutnih različic upravljavskega orodja NeDi se pojavljajo v velikih spreminjajočih omrežjih in omrežjih, kjer se uporablja protokol IPv6. Izpostavili bi predvsem netočne povezave med IP-naslovi in pripadajočimi napravami. Te pomanjkljivosti bodo odpravljene v naslednjih različicah upravljavskega orodja NeDi [17]. NeDi za poizvedovanje uporablja samo določene naprave (semenske naprave), s katerimi poizveduje o drugih prisotnih napravah v omrežju. To stori bodisi s pregledom vrednosti v RP in usmerjevalnih tabelah. Izboljšani način pa je uporaba protokolov za odkrivanje naprav, ki delujejo na 2. sloju podatkovnega sklada TCP/IP na primer CDP in LLDP. Vse zaznane naprave se shranjujejo v tabelo znanih naprav, ki morajo biti še pregledane. NeDi izvaja pregled naprej, dokler še obstajajo sosednje naprave, in si s tem rekurzivno gradi shemo omrežja [17]. 31

46 NeDi za spremljanje omrežnih naprav uporablja SNMP, za kar potrebuje ustrezen dostop do naprav (slika 3.4). Za ta dostop poskrbijo omrežni administratorji. Z naprav lahko pridobi tudi druge podatke, kot so: konfiguracija VLN, povezane končne naprave, stanje CPU, temperatura, seznam vmesnikov, promet skozi vmesnike in drugo [17]. Slika 3.4: Koraki delovanja NeDi Po izvršitvi celotnega pregleda je NeDi zmožen ustvariti celotno sliko omrežne topologije. Možno je ustvariti tudi filtre za omejitev pridobivanja informacij. NeDi vse pridobljene informacije shranjuje v podatkovno bazo (slika 3.5). Določeni omrežni parametri se shranjujejo v krožnih podatkovnih bazah (angl. Round-Robin Database; RRD) z namenom, da se hitreje izvrši izris grafov (npr. stanje porabe pomnilnika). Za določeno omrežno napravo se hrani vrsta informacij, od zasedenosti in stanj vmesnikov do prisotnosti napak. Vse navedene funkcionalnosti tvorijo celovit sistem za upravljanje omrežij [17]. 32

47 Slika 3.5: rhitektura NeDi NeDi lahko s prisotnostjo agenta SysLocation 5 prikaže tudi fizično lokacijo naprave na zemljevidu. Obstaja tudi možnost vključevanja Googlovih zemljevidov. NeDi izvaja tudi realno-časovno obveščanje (slika 3.6). Obstaja več razlogov za obveščanje, kot so na primer vklop nove naprave v omrežje, preveliko število napak na vmesnikih in druge. 5 gent SysLocation agent, ki poveže lokacijsko informacijo strežnika SNMP na napravi z lokacijo na zemljevidu. 33

48 Slika 3.6: Potek obveščanja v NeDi NeDi lahko zaradi svoje odprte kode prilagajamo svojim potrebam. Zajem podatkov na napravah se vrši, dokler sta omogočena dosegljivost in SNMP. Omrežni administratorji lahko s filtri omejijo prikaz podatkov na zaslonu. Zanimiva funkcionalnost je sledenje vmesnikom, saj je NeDi sposoben spremljati pojavljanje vmesnikov v omrežju in spremljanje glede na serijsko številko [17]. NeDi za delovanje ne potrebuje veliko sistemskih virov, vendar so ti odvisni od velikosti omrežja in števila nadziranih naprav. Minimalne sistemske zahteve, ki morajo biti zagotovljene so: takt procesorja vsaj 2 GHz in 1 GB delovnega pomnilnika [20]. ktivni način pridobivanja podatkov NeDi pridobiva podatke z naprav. Začne pri semenski napravi in z uporabo CDP ali kateregakoli drugega protokola za odkrivanje razišče celotno omrežje. Najprej poišče naprave, sosednje semenski napravi, v naslednjem koraku pa razišče njihove sosednje naprave. Ko konča odkrivanje, sledi preiskava vseh tabel (RP in usmerjevalnih) na napravah, do katerih ima omogočen dostop. Možno je nastaviti več semenskih naprav, ki služijo kot izhodišče po različnih omrežnih segmentih [21]. 34

49 Pasivni način pridobivanja podatkov V pasivnem načinu pridobivanja podatkov omrežne naprave samodejno pošiljajo določena sporočila upravljavskemu orodju NeDi. Obstajata dva načina pošiljanja informacij sporočila SysLog in zahteve SNMP. Za ta način pridobivanja informacij so potrebne določene konfiguracije na omrežnih napravah. Pasivni način pridobivanja podatkov ni zelo razširjen in uporabljen [21]. Grafi NeDi Orodje NeDi v osnovni različici omogoča prikaz grafov temperature, CPU in stanja pomnilnika. Dodatno omogoča še prikaz grafov za spremljanje prometa na vmesnikih. Edina omejitev orodja je, da se grafi ne morejo izrisovati hitreje, kot poteka ena faza odkrivanja s skripto»nedi.pl«. V izogib temu je v konfiguracijski datoteki»nedi.conf«nastavljen korak RRD, ki orodje seznanja s frekvenco izrisa grafov in potekom ene faze odkrivanja omrežja [21]. NeDi omogoča tudi prikaz tedenskih, mesečnih in letnih grafov. Dodatno je vključena možnost primerjave posameznih grafov za posamezni vmesnik. Obstaja tudi možnost vključevanja grafov z zunanjih virov (npr. iz drugega upravljavskega omrežnega sistema) [21]. Obstaja mnogo nadzornih sistemov, ki so namenjeni zgolj nadziranju določenih parametrov in obveščanju ob zaznanih nepravilnostih. NeDi je integrirano orodje za upravljanje omrežne infrastrukture, ki združuje funkcionalnosti nadzora in upravljanja, ter predstavlja podporno orodje omrežnim administratorjem za upravljanje, spremljanje in nadziranje omrežja [22]. Temelji na uporabi različnih tehnik odkrivanja in metod za določitev omrežnih naprav v omrežju. Nato sledijo preostale tehnike, ki raziščejo omrežne naprave in shranjujejo pridobljene parametre v podatkovne baze. NeDi uporablja preprost uporabniški vmesnik, prek katerega lahko spremljamo omrežne naprave in upravljamo določene konfiguracije. Iz vmesnika lahko razberemo tudi opozorilne vrednosti in upravljamo varnostne konfiguracije [22]. 35

50 Upravljanje dostopov in urejanje pravic Na spletnem vmesniku je privzeto ustvarjen samo administratorski profil, ki ima pripadajoče popolne pravice. Naknadno lahko poljubno dodajamo in urejamo uporabnike ter jim določamo možnosti pogledov, konfiguracij in upravljanja [22]. Možnosti dostopa so razvrščene v šest različnih skupin. Glede na razvrstitev v skupino si uporabniki pridobijo določene pravice in pripadajoče procese. Takšen primer je denimo sprejemanje obvestil prek elektronske pošte ali besedilnih sporočil, za kar mora biti uporabnik prisoten v skupini za nadzor (angl. monitoring) [22]. Razvrstitev v skupine [22]: administrator: dostop do menijev, spletnih strani, ki spreminjajo naprave. Možnost urejanja in dodajanja novih uporabnikov, spreminjanje možnosti nadzorovanja in izvrševanje ostalih nalog, omrežje: dostop do naprav in topologije omrežja, mesto za podporo: dostop do menija s končnimi napravami in povezanimi spletnimi stranmi, nadzorovanje: dostop do menija za nadzorovanje, omogočene možnosti obveščanja, ko je zaznan nepredviden dogodek, upravitelj: dostop do menija za ustvarjanje poročil in beleženje statistike, ostalo: dostop do menija z dodatnimi funkcionalnostmi, kot sta kalkulator in klepet. Metode in tehnike odkrivanja NeDi uporablja različne tehnike odkrivanja za določitev omrežnih naprav. Na začetku skuša locirati eno ali več naprav in jo določi kot izhodiščno točko delovanja v omrežju. Odkrivanje po omrežju je podprto s Perl skripto»nedi.pl«[22]. Metode odkrivanja, ki so podprte v orodju NeDi, so naslednje [22]: statičen semenski seznam: administrator določi semenske naprave, privzeti prehod: če semenski seznam ni definiran oz. ne vsebuje vnosov, se mu določi IP-naslov privzetega prehoda, CDP: protokol za zaznavanje Cisco naprav, prisotnih v omrežju. Za uspešno določitev je potrebna omogočitev protokola CDP na napravah, ki so prisotne v omrežju, LLDP: protokol 2. omrežnega sloja, podoben kot CDP, razvit s strani organizacije IEEE in podpira širok nabor naprav. Prav tako mora biti omogočen na napravah v omrežju, odkrivanje OUI: ko NeDi izvede proces določitve omrežne naprave, nadaljuje izvajanje nadziranja SNMP in naprav s pregledi RP-tabel. Iz teh tabel si pridobi 36

51 pripadajoče MC-naslove za povezane naprave, ki jih nato uporabi za nadaljnje odkrivanje omrežja, pregled usmerjevalnih tabel: uporaba SNMP za pregled usmerjevalnih tabel na napravah. Omogočena mora biti možnost pregleda usmerjevalnih tabel. Če naprava ni zaznana po nobeni izmed teh metod, jo je treba ročno dodati v semenski seznam naprav. To se pojavi predvsem pri napravah, ki nimajo podpore protokolov CDP ali LLDP [22]. Upravljanje definicij naprav Ko NeDi določi omrežno napravo, uporabi sekundarne možnosti za pridobitev dodatnih podatkov o napravi (npr. prisotni moduli in VLN). Vsak proizvajalec omrežnih naprav ima te podatke shranjene na različnih mestih na napravi. Da lahko NeDi dostopa do teh podatkov, se mora najprej seznaniti s tipom naprave [22]. To doseže s poizvedovanjem SNMP in z branjem objekta»system Object ID«, vsebovanega na napravi, in s primerjavo z definicijsko datoteko naprave. Slednja upravljavskemu orodju NeDi definira različne možnost in informacije, ki so prisotne na napravi, in na kakšen način lahko dostopa do njih [22]. NeDi ima že privzeto dodanih več kot 150 definicijskih datotek za omrežne naprave, ki so shranjene v mapi»sysobject«. Obstoječe definicije lahko spreminjamo ali pa poljubno ustvarjamo nove. Orodje za urejanje in ustvarjanje definicijskih datotek se imenuje Defgen. NeDi te datoteke pregleda ob vsakem zagonu odkrivanja, tako da se vse spremembe upoštevajo takoj. Definicijske datoteke morajo imeti omogočene dostopne pravice, da lahko upravljavsko orodje NeDi dostopa do njih [22]. Infrastrukturni podatki naprav NeDi predvideva poglobljen pogled za vsako posamezno napravo, kjer lahko vidimo podrobne konfiguracijske in funkcijske lastnosti naprave. Do informacij lahko dostopamo prek menija ali s klikom na posamezno napravo [22]. Informacije so prestavljene po naslednjih sklopih [22]: povzetek: informacije o napravi, IP-naslov, operacijski sistem, SNMP-različica, stanje CPU, temperature itd., moduli: seznam prisotnih modulov na zmogljivejših napravah, povezave: seznam povezav med napravo in ostalimi prisotnimi napravami. Povezave se samodejno dodajajo glede na potek odkrivanja omrežja, 37

52 VLN: če naprava podpira VLN in obstajajo zapisi v definicijskih datotekah, kako pridobiti podatke o VLN, vmesniki: seznam vseh prisotnih vmesnikov na napravi, katerih informacije so pridobljene s pomočjo standardnih SNMP OID ali iz zapisov v definicijskih datotekah. Glede na stanja vmesnikov se tudi spreminjajo barve, ki označujejo, ali je vmesnik aktiven ali neaktiven. NeDi izdelava poročil Obstajata dve možnosti izvoza poročil. Prva možnost je, da poročila generiramo prek spletnega vmesnika in jih izvozimo v besedilnih datotekah, druga možnost pa je uporaba Perl skripte, ki naredi avtomatski izvoz v besedilno datoteko [22]. Nadgradnja upravljavskega sistema NeDi vtor upravljavskega sistema NeDi omogoča redne nadgradnje in posodobitve sistema. V vseh prenesenih datotekah je dodano navodilo, kako se izvede nadgradnja sistema. Omogočeno je tudi testiranje razvojnih različic, preden gredo v produkcijsko uporabo. 38

53 4 VZPOSTVITEV DOKUMENTCIJSKEG SISTEM V OMREŽJU UNIVERZE V MRIBORU V praktičnem delu smo predstavili vzpostavitev sistema za dokumentiranje omrežja s pomočjo upravljavskega orodja NeDi. Najprej smo predstavili omrežje UM, v katerem smo implementirali sistem za dokumentiranje omrežja. Sledila je vzpostavitev sistema z vsemi konfiguracijskimi elementi na napravah in znotraj omrežja. Zajem podatkov z naprav smo izvedli s protokolom SNMP. Prikazali smo enostavne funkcionalnosti orodja, ki smo jih dopolnili s kompleksnejšimi prikazi. Pokazali smo tudi dodatne funkcionalnosti urejanja definicijskih datotek, vključevanje zemljevidov in možnosti obveščanja. Podatke z naprav smo pridobivali iz realnega omrežja UM. Zaradi boljše možnosti prikaza smo uporabili le del omrežnega okolja UM. Osredotočili smo se samo na omrežne naprave, ki se nahajajo v prostorih Rektorata UM, in del hrbteničnega omrežja UM. Testne prikaze smo izvedli samo z omrežnimi napravami Cisco, saj RCUM zagotavlja podporo le za tega proizvajalca omrežne opreme. Omrežje UM omogoča tudi vključitev omrežnih naprav drugih proizvajalcev, za kar pa RCUM ne nudi podpore. Med izvajanjem praktičnega dela smo upoštevali vse vidike varovanja osebnih podatkov uporabnikov in varnostno občutljivih informacij, ki smo jih primerno zakrili. 4.1 Omrežno okolje UM Upravljavski sistem NeDi smo implementirali v že obstoječe omrežno okolje UM. Opravili smo konfiguracije na posameznih napravah in s tem omogočili dostope upravljavskega sistema do naprav. Opravili smo konfiguracijo protokola za upravljanje na daljavo (angl. Secure Shell; SSH), ki smo ga konfigurirali za uporabo z uporabniškim imenom in privilegirano ravnijo 15, ki nas ob prijavi postavi v privilegiran uporabniški način in nam omogoča popoln nadzor nad omrežno napravo. To pomeni, da lahko spremljamo konfiguracije in jih tudi spreminjamo. Poskrbeli smo za generiranje RS-ključev, ki poskrbijo za varnost in potrdijo verodostojno povezavo med omrežno napravo in mestom za oddaljen dostop. 39

54 Za pridobivanje različnih podatkov iz MIB-datotek smo na omrežnih napravah konfigurirali SNMPv2 in SNMPv3. Naknadno smo ugotovili, da SNMPv3 še ni popolnoma podprt z NeDi, zato smo praktičen prikaz uporabnosti in funkcionalnosti orodja NeDi pokazali s protokolom SNMPv2. Dostop po protokolu SNMPv3 in uspešen zajem podatkov z naprav delujeta le ob določenih kombinacijah varnostnih zahtev. Ta pomanjkljivost uporabe SNMPv3 naj bi bila odpravljena v prihodnjih različicah [25]. Za omogočitev dostopov z virtualnega strežnika, kjer je vzpostavljen upravljavski sistem NeDi, smo ustvarili nove in dopolnili obstoječe sezname za kontrolo dostopa. Vse omrežne naprave na Rektoratu UM, razen jedrnega stikala, se nahajajo znotraj istega upravljavskega VLN, zato smo s strežnika dovolili dostop v celoten upravljavski VLN. Omogočili smo dostop prek protokola TCP, prek katerega se vrši SSH-dostop, in protokol UDP, prek katerega teče SNMP. To smo storili z razširjenim seznamom za kontrolo dostopa. Prav tako smo na podoben način omogočili dostope do upravljavskega VLN, kjer se nahajajo omrežne naprave hrbteničnega omrežja UM. Dodatno smo na napravah vključili protokol za odkrivanje naprav CDP (slika 4.1). Za testne namene smo CDP omogočili na končnih napravah (npr. IP-telefoni) in s tem pokazali pridobitev informacij s tega segmenta naprav. Protokol CDP podpirajo vse omrežne naprave proizvajalca Cisco in je privzeto omogočen. Starejše naprave in omrežna oprema drugih omrežnih proizvajalcev podpirajo tudi LLDP, ki je standardni protokol za odkrivanje, zato smo v praktičnem delu omogočili oba protokola za odkrivanje v omrežju. Slika 4.1: Prikaz sosednjih naprav s protokolom CDP 40

55 Konfiguracija oddaljenega dostopa SSH do omrežnih naprav Konfiguracija oddaljenih dostopov SSH (slika 4.2) se na posameznih napravah malenkostno razlikuje in se lahko izvede na različne načine. Izbrali smo najvarnejši način konfiguracije, ki ga podpirajo vse novejše omrežne naprave proizvajalca Cisco. Po končani konfiguraciji oddaljenih dostopov je te treba prirediti ustreznim vhodnim linijam (slika 4.3) na napravah. Slika 4.2: Konfiguracija oddaljenega dostopa SSH na omrežni napravi Slika 4.3: Prireditev SSH virtualnim linijam Konfiguracija dostopov SNMP do omrežnih naprav Pri konfiguraciji SNMPv2 (slika 4.4) smo določili rezervirano besedo (angl. community), ki se uporablja kot vstopna točka za pridobitev podatkov z omrežne naprave. Pri konfiguraciji SNMP smo omogočili bralno-pisalne pravice, kar pomeni, da je možno določene konfiguracije spreminjati tudi prek upravljavskega sistema na podlagi dodeljenih pravic. 41

56 Slika 4.4: Konfiguracija SNMPv2 na omrežni napravi Konfiguracija SNMPv3 (slika 4.5) temelji na izboljšani varnosti, saj vključuje dodatne varnostne parametre. Slika 4.5: Konfiguracija SNMPv3 na omrežni napravi Omrežne naprave že imajo vsebovane različne datoteke MIB z indeksi OID (slika 4.7). Cisco te zapise, s katerimi si lahko pomagamo, če ročno ustvarjamo datoteke MIB, objavlja na spletu (slika 4.6). Te zapise smo uporabili, ko smo ročno ustvarjali definicijske datoteke v upravljavskem orodju NeDi. Slika 4.6: Primer drevesa OID za prikaz imena vmesnika Slika 4.7: Prikaz imen vmesnikov, pridobljenih s»snmpwalk«42

57 Seznami za kontrolo dostopa S seznami za kontrolo dostopa smo omogočili dostope upravljavskega sistema do omrežnih naprav. V omrežju UM se posamezne omrežne naprave po hrbtenici omrežja in fakultetah nahajajo v ločenih upravljavskih VLN. Obstajata dve vrsti seznamov za kontrolo dostopa standardni in razširjeni. Pri standardnih seznamih (slika 4.8) se omejimo samo na izvorni IP-naslov in dovolimo oz. preprečimo dostop v del omrežja, pri razširjenih seznamih (slika 4.9) pa preverjamo izvorni in ponorni IP-naslov. Dodatno lahko vključimo še preverjanje določene vrste prometa gleda na uporabljen protokol in uporabljena vrata. S seznami za kontrolo dostopa smo se omejili samo na del omrežja UM. V testni fazi smo sistem za dokumentiranje omrežja vzpostavili samo na hrbteničnem omrežju UM in omrežju Rektorata UM. Slika 4.8: Standardni seznam za kontrolo dostopa do semenske naprave Slika 4.9: Razširjeni seznam za kontrolo dostopa do upravljavskega VLN z upoštevanjem vrste prometa Po dodanih vnosih v sezname za kontrolo dostopa smo preverili dosegljivost omrežnih naprav in zajem informacij z njih (slika 4.10). 43

58 Slika 4.10: Testiranje dosegljivosti SNMP do omrežne naprave iz nadzornega sistema Testiranje vpliva dostopov SNMP do naprav in posledično povečanje procesorske moči CPU Dostopi do omrežnih naprav prek SNMP obremenjujejo procesor naprave (slika 4.11) in podaljšujejo čas obdelave zahtev. Več prisotnih hkratnih zahtev pomeni daljši čas obdelave zahtev SNMP. V praksi se je pokazalo, da večjih težav s preobremenjenostjo CPU nismo zaznali, saj so dostop do naprav in pravice za pridobivanje informacij prek SNMP sočasno imeli le štirje različni strežniški viri oz. upravljavski sistemi, ki so tekli na njih. V primeru preobremenjenosti procesorja bi delovanje optimizirali z omejevanjem dostopov SNMP do naprav. Obstaja način, da se uporabljajo časovni seznami za kontrolo dostopa, ki glede na definiran čas omogočajo oz. preprečijo dostop do naprav. Na omrežnih upravljavskih sistemih imamo možnost nastavljati količino poslanih zahtev SNMP v določenih časovnih obdobjih. Ena od možnosti je tudi, da premaknemo pošiljanje zahtev SNMP v obdobja, ko naprava ni tako obremenjena s procesiranjem preostalega omrežnega prometa (npr. nočni termini). Slika 4.11: Prikaz obremenitve CPU 4.2 Vzpostavitev sistema z uporabo orodja NeDi Sistem NeDi smo vzpostavili v virtualnem okolju Oracle VM VirtualBox za operacijski sistem Microsoft Windows. Strežnik ima dodeljen veljaven IP-naslov znotraj omrežja UM. Do strežnika je znotraj omrežja UM omogočen oddaljen dostop prek protokola SSH. Dostop do strežnika iz zunanjega okolja je omogočen le za promet HTTPS. To pomeni, da je omogočen dostop le do spletnega vmesnika, kjer je potrebno overjanje z uporabniškim imenom in geslom. 44

59 Tehnične lastnosti virtualnega strežnika: Operacijski sistem: Ubuntu LTS Server, 32-bit Količina delovnega pomnilnika: 2048 MB Količina trajnega pomnilnika: 8 GB Programska oprema Nameščene različice programske opreme ob vzpostavitvi: Ubuntu LTS Server, 32-bit, PHP ubuntu4.5, pache 2.4.7, MySQL , OpenSSL 1.0.1f. Namestitev NeDi Za namestitev programske opreme smo uporabili naslednje ukaze: 1) Namestitev Linux, pache, MySQL, PHP, Perl programske opreme in knjižnic: apt-get install apache2 libapache2-mod-php5 mysql-server libnet-snmp-perl php5-mysql libnet-telnet-cisco-perl php5-snmp php5-gd libalgorithm-diff-perl rrdtool librrds-perl 2) Prenos NeDi s spletne strani wget 3) Ustvarjanje imenika NeDi in ekstrahiranje arhiva tar -xzf nedi tgz 4) Premikanje imenika in dodeljevanje pravic sudo mv nedi /opt/ sudo chown -R www-data:www-data /opt/nedi sudo chmod 775 /opt/nedi/html/log/ 45

60 5) Povezovanje spletnega strežnika s pravicami sudo ln -s /opt/nedi/html/ /var/www/ 6) Povezovanje konfiguracijske datoteke sudo ln -s /opt/nedi/nedi.conf /etc/nedi.conf 7) Inicializacija podatkovne baze NeDi cd /opt/nedi/./nedi.pl i Varovanje dostopov do virtualnega strežnika Dostop do virtualnega strežnika, na katerem teče upravljavsko orodje NeDi, smo omejili s pravili v požarnem zidu, ki smo ga konfigurirali z ukazom iptables. (slika 4.12). Program nastavi pravila za filtriranje omrežnega prometa in s tem dovoli oz. prepreči promet na virtualni strežnik. Dovolili smo le dostop prek protokola SSH iz določenega VLN znotraj omrežja UM in zunanji dostop do spletnega vmesnika prek protokola HTTPS. Vsi preostali paketi, ki ne ustrezajo vnosom v IP-tabelah, se zavržejo. Slika 4.12: Seznam dovoljenih dostopov do strežnika 46

61 4.3 Praktičen prikaz uporabe Dostopi SNMP in SSH iz upravljavskega sistema NeDi do omrežnih naprav Dostop do naprav smo omogočili s konfiguracijami na omrežnih napravah. V omrežnem orodju NeDi smo definirali dostope v konfiguracijski datoteki»nedi.conf«. Do večine naprav je omogočen SSH-dostop, le na nekaterih starejših napravah, ki tega protokola ne podpirajo, smo uporabili dostop prek protokola Telnet Osnovna zgradba upravljavskega sistema, pomembnejše datoteke in funkcionalnosti Datoteka seedlist Datoteka»seedlist«je namenjena za vnos IP-naslovov naprav, ki jih želimo odkriti, z njih zajeti podatke in jih prikazati. Običajno dodamo vnose samo za semenske naprave, ki se nato uporabijo za začetno točko odkrivanja omrežja. Če želimo pridobiti informacije specifičnih naprav, lahko v to datoteko dodamo tudi te IP-naslove. V primeru, da ne dodamo vnosa, se bo kot semenski IP-naslov smatral privzeti prehod. V našem primeru bi to bil privzeti prehod podomrežja, kjer se nahaja virtualni strežnik. Med praktičnim preizkusom upravljavskega orodja NeDi znotraj omrežja UM smo ugotovili, da je bolje, če dodamo več semenskih naprav. Tako se odkrivanje po omrežju izvede z več začetnih točk, kar prinese natančnejše informacije o strukturi omrežja. V našem primeru smo kot semenske naprave določili jedrno stikalo UM in jedrna stikala posameznih članic. Datoteka cron Datoteka je namenjena za določitev časovnih terminov samodejnega odkrivanja in posodabljanja informacij. Pri konfiguraciji te funkcije je treba paziti, da določimo primerno velike časovne intervale, da ne začnemo z novim odkrivanjem omrežja, preden smo končali s predhodnim. 6 Telnet omrežni protokol, ki omogoča oddaljeno povezovanje [23]. 47

62 V testnem prikazu smo določili, da se samodejno odkrivanje in zbiranje konfiguracij z naprav ponovi vsake 4 ure (slika 4.13). Določili smo tudi, da se vsako novo odkrivanje prične 15 minut čez polno uro in tako naprej periodično vsake 4 ure. Prvo odkrivanje se bo denimo začelo ob 08:15, naslednje ob 12:15 in tako dalje. Ustvarili smo tudi skripto»startnedi.sh«(slika 4.14), ki povzroči samodejen zagon odkrivanja po omrežju. Slika 4.13: Zagon skripte»startnedi.sh«slika 4.14: Skripta»startnedi.sh«Imenik sysobj Imenik»sysobj«vsebuje predloge definicij posameznih omrežnih naprav (slika 4.15). Ob odkrivanju omrežja se omrežnim napravam samodejno dodajo definicije z OID, ki se določi na podlagi zaznanega tipa in modela omrežne naprave (slika 4.16). Definicije lahko naknadno spreminjamo in dodajamo nove definicije v primeru, da definicija še ni prisotna v upravljavskem sistemu. V upravljavskem sistemu je dodana večina definicij za omrežne naprave proizvajalca Cisco. Dodatno je dodanih še nekaj definicij za omrežne naprave proizvajalcev Nokia, HP in Dell. Med praktičnim preizkusom smo ugotovili, da orodje nima pripadajočih definicij za starejše modele omrežnih naprav, nekatere najnovejše omrežne naprave in»dummy«omrežne 48

63 naprave. Manjkajoče definicije smo dodali ročno prek orodja za pisanje in preverjanje indeksov OID Defgen. Slika 4.15: Nabor definicijskih datotek Slika 4.16: Pripadajoča definicijska datoteka za omrežno stikalo WS-C

64 Obveščanje z elektronsko pošto Elektronsko sporočilo se samodejno pošlje, kadar je omrežna naprava, ki je aktivno nadzorovana, določen čas nedosegljiva. Čas, preden se izvede obveščanje, se lahko poljubno nastavi. Ko je naprava v pasivnem načinu delovanja, se obveščanje izvede takoj, ko je zaznana nedosegljivost. To se zgodi, ko ni mogoče pošiljati odgovorov Syslog in SNMP. Za potrebe uspešnega obveščanja smo v datoteki»hostname«ustvarili gostiteljsko ime nadzorni.um.si. Sledila je namestitev programskega paketa»postfix mailutils«. Dodatno smo v datoteki»aliases«vnesli vzdevek, ki kaže na e-poštni skrbnika sistema. Po uspešni namestitvi smo testirali pošiljanje elektronske pošte iz upravljavskega sistema, ki se je uspešno izvedlo. V konfiguracijski datoteki»nedi.conf«smo nastavili SMTP-strežnik za elektronsko pošto na naslov»smtp.um.si«, ki je privzeti strežnik za pošiljanje pošte v omrežju. Elektronski naslov pošiljatelja obvestil, torej upravljavskega sistema, je bil že privzet na določeno vrednost. V grafičnem vmesniku smo pod lastnostmi uporabnika omogočili obveščanje z elektronsko pošto in dodali elektronski naslov prejemnika. Dodatno smo omogočili obveščanje na posamezni napravi, za katero želimo pridobivati obvestila Predstavitev upravljavskega orodja NeDi in praktični prikazi uporabnosti Uporabniški meni Uporabniški meni omogoča ustvarjanje uporabnikov in dodeljevanje pravic (slika 4.17). Oblikujemo lahko različne vrste uporabnikov in jim dodelimo različne možnosti pogledov in pravic. Slika 4.17: Uporabniški račun s pripadajočimi pravicami Iz tega menija vršimo izvajanja različnih funkcij odkrivanja in nadzora, ki jih omogoča celotno upravljavsko orodje (slika 4.18). Vključena je tudi možnost definiranja semenskih naprav. 50

65 Osnovni prikaz omrežnih naprav Slika 4.18: Osnovni meni Na uvodni strani se nam prikaže seznam omrežnih naprav (slika 4.19), ki so bile najdene v procesu odkrivanja omrežja. Prikaz je urejen v obliki seznama, kjer smo s filtri določili parametre, ki naj bodo prikazani za vsako napravo. Naprave se prikažejo glede na omogočene dostopne pravice na posamezni napravi. Ostali parametri se ustrezno prikažejo, če je definicija naprave prisotna v direktoriju»sysobject«. Slika 4.19: Osnovni prikaz omrežnih naprav Ob kliku na posamezno omrežno napravo se nam pokažejo informacije o izbrani omrežni napravi (slika 4.20). Prikažejo se povezane sosednje naprave, spisek VLN na napravi, pripadajoči vmesniki SFP in prikaz grafične sheme omrežja. Nadalje se prikažejo informacije za točno določene vmesnike, ki so prisotni na omrežni napravi. Z različnimi barvami prikazujemo aktivnost/neaktivnost posameznega vmesnika. Prav tako si lahko s filtri prilagajamo želene prikaze parametrov. Na podoben način se prikažejo informacije o končnih napravah na dostopnih stikalih. 51

66 Prikaz končnih naprav Slika 4.20: Osnoven prikaz informacij o omrežni napravi Upravljavsko orodje NeDi prikaže tudi informacije o končnih napravah, kot so osebni računalniki, tiskalniki, terminali in ostale končne priključene naprave (slika 4.21). Predstavijo se nam osnovne informacije o napravi, kot so proizvajalec naprave, MC-naslov, IP-naslov in drugi podatki. Omenjene naprave je možno tudi vključiti v nadzor. Slika 4.21: Prikaz informacij o končni napravi Izpostavili bi tudi funkcionalnost ročnega vnosa novih naprav. Nove naprave lahko ročno vnesemo, še preden so priključene v omrežje. Podamo lahko osnovne informacije o napravi, ki se potem ob vključitvi dopolnijo s pridobljenimi v procesu odkrivanja omrežja. 52

67 Nadzor omrežnih naprav V sistemu lahko tudi nadzorujemo osnovne parametre, kot so delovanje procesorja (slika 4.22), stanje pomnilnika, promet na vmesnikih. Privzeto se nadzor naprav ne vrši samodejno, ampak lahko naknadno, po odkrivanju omrežja, ročno dodajamo naprave, ki jih želimo nadzirati. Prikaz različnih informacij in grafov urejamo s filtri. Slika 4.22: Prikaz beleženja stanja zasedenosti CPU Prikaz usmerjevalnih tabel in protokola vpetega drevesa (angl. Spannning-tree Protocol; STP) Med odkrivanjem omrežja se z omrežnih naprav pridobijo tudi usmerjevalne tabele, iz katerih lahko razberemo vrsto usmerjevalnega protokola in različne poti skozi omrežje. Dodatno se pridobijo tudi informacije o funkciji protokola STP na napravi, kjer se prikažejo vloge posameznih vrat na omrežnih napravah. Protokol STP med povezanimi napravami v omrežju preprečuje povzročanje zank. Dejansko predstavlja varovalko pred nezaželenim zankanjem paketov v omrežju, kar bi pripeljalo do nepotrebnega obremenjevanja CPU in posledično do izpada omrežja. Prikaze usmerjevalnih tabel bomo uporabili kot pomoč pri optimizaciji, spreminjanju in ustvarjanju novih usmerjevalnih poti skozi omrežje. Izdelava statističnih poročil Upravljavsko orodje NeDi omogoča beleženje statističnih informacij o našem omrežju (slika 4.23). V skladu s tem si lahko izdelamo različna omrežna poročila. Izpostavili bi predvsem poročila o vrstah in tipih omrežnih naprav v našem omrežju. Besedilna poročila so odlično dopolnjena s kolobarnimi grafi, ki nam lepo pokažejo prisotnost določenega tipa oz. modela 53

68 naprav v omrežju. Podobno statistiko lahko vodimo za vmesnike SFP, ostale vmesnike in končne naprave. Prikazana poročila v sistemu lahko tudi izvozimo in predstavimo v besedilnih datotekah. Slika 4.23: Prikaz statističnih informacij glede na tip omrežne naprave Samodejni izris zgradbe omrežja Upravljavsko orodje glede na pridobljene podatke raziskovalnih protokolov sproti vrši izris zgradbe omrežja (slika 4.24). Prikažejo se prisotne naprave v omrežju in medsebojne povezave med njimi. Prikažemo lahko tudi prisotne končne naprave v omrežju, o katerih lahko pridobimo še dodatne informacije (slika 4.25). 54

69 Slika 4.24: Omrežje Rektorata UM, pridobljeno z NeDi Slika 4.25: Prikaz prisotnih končnih naprav na dostopnem stikalu 55

70 V nasprotju z ostalimi omrežnimi upravljavskimi orodji, kjer je treba ročno dodajati risbe omrežja, se v orodju NeDi celoten proces izvrši samodejno. Prisotna je tudi velika natančnost, saj se zgradba omrežja predstavi takšna, kot je v realnem omrežnem okolju UM. Prihaja le do manjših napak, predvsem zaradi neprisotnosti protokolov za odkrivanje na posameznih starejših omrežnih napravah. Razporeditev naslovnega prostora UM in zasedenost posameznih VLN Upravljavsko orodje omogoča podroben pregled zasedenosti posameznih IP-naslovov znotraj VLN (slika 4.26). Prav tako se da razbrati razdelitev naslovnega prostora celotnega omrežja UM v posamezne VLN. Slika 4.26: Prikaz uporabljenih IP-naslovov v VLN S pomočjo grafičnega prikaza lahko hitro ugotovimo proste uporabne IP-naslove za dodajanje novim omrežnim napravam. Praktično bomo grafične prikaze uporabljali kot pomoč pri optimiziranju in razdeljevanju naslovnega prostora omrežja UM. Sledljivost vmesnikov SFP Orodje NeDi ima odlično funkcionalnost beleženja vmesnikov SFP (slika 4.27). Nakup sodobnih in zmogljivih stikal se danes opravi brez teh vmesnikov, ki se dokupijo naknadno, glede na potrebe v omrežju. Vmesniki SFP so različnih vrst in oblik. Obstajajo različice za optične povezave in bakrene povezave, za kratke ali dolge povezovalne segmente, za enorodovna ali večrodovna optična vlakna, za različne prenosne hitrosti ipd. Dejansko prav vmesniki SFP predstavljajo največji strošek pri nakupu omrežne opreme, saj se cene gibljejo v razponu nekaj sto evrov za posamezen kos. Prav ta funkcionalnost beleženja vmesnikov SFP se je pokazala kot ena izmed bolj koristnih pri dokumentiranju omrežja UM. Trenutno stanje kaže, da nimamo popolnega pregleda nad prisotnostjo in beleženjem vmesnikov v omrežju. Vmesniki SFP imajo sledljivost le ob 56

71 prevzemu. Naknadno se dodajajo v omrežne naprave glede na potrebe. V celotnem omrežju UM je prisotnih okrog 200 različnih vmesnikov SFP. Na hrbteničnem delu omrežja UM je za te vmesnike zadolžen RCUM, za omrežja na posameznih članicah UM pa so zadolženi lokalni IKT-koordinatorji. To pomeni, da pod njihovo okrilje sodita tudi nakup in vzdrževanje vmesnikov SFP. Slika 4.27: Prisotni vmesniki SFP na posameznih napravah Vmesniki SFP, ki so že prisotni v omrežju, se ob odkrivanju omrežja samodejno zaznajo in dodajo na seznam prisotnih vmesnikov. Ob tem se pridobijo osnovne informacije o vmesniku, kot so serijska številka, model, datum prve zaznave. Ob nakupu novega vmesnika SFP se bodo v upravljavski sistem vnesle osnovne informacije o njem (slika 4.28). S tem bomo zagotovili njegovo popolno dokumentiranost in sledljivost. Ko bo vmesnik vključen v omrežje, se bo samodejno dodala njegova lokacija. Slika 4.28: Vnosno mesto za beleženje novega SFP-vmesnika Na tem mestu je prisoten tudi varnostni vidik, saj lahko posamezne vmesnike označimo kot ukradene in upravljavski sistem preverja, ali se vmesnik v prihodnje kdaj pojavi v našem omrežju. S tem lahko spremljamo kakršnekoli premike vmesnikov v omrežje in iz njega ter zagotovimo obveščanje v realnem času. Vključevanje lokacijskih in vremenskih informacij Dodatna funkcionalnost upravljavskega orodja NeDi je možnost vključitve zunanjih zemljevidov Google Maps (slika 4.29). Lokacijske informacije se pridobivajo na podlagi lokacijske informacije strežnika SNMP na napravi, ki jo določimo ob začetni konfiguraciji omrežne naprave ali naknadno v upravljavskem sistemu NeDi. Lokacije lahko opremimo z realnimi slikami naprav ali lokacij, ki jih naložimo v pripadajočo mapo. Dodatno nudi NeDi tudi pripadajoče vremenske informacije na trenutni lokaciji. 57

72 Format zapisa lokacije SNMP na stikalu: mesto;ulica;stavba;nadstropje;prostor;omara;položaj Maribor;Slomskov trg 15;Rektorat UM;klet;tehniska soba;omrezna omara;15 Slika 4.29: Različne možnosti prikazov lokacijskih informacij omrežnih naprav Pripomoček Defgen Orodje Defgen je namenjeno vnašanju lastnih OID-vnosov ali popravljanju že obstoječih (slika 4.30). Različne omrežne naprave imajo različne indekse OID za pridobitev določene informacije. Nekateri vnosi so že privzeto v upravljavskem sistemu in se pri odkrivanju omrežja dodajajo omrežnim napravam. Za nekatere starejše ali novejše naprave moramo OID-indekse vnašati ročno, da pridobimo želene parametre z naprave. Indeksi OID so odvisni tudi od različice operacijskega sistema, ki teče na omrežni napravi. Orodje Defgen nam olajša ustvarjanje novih definicij, saj lahko vse indekse OID vnašamo prek spletnega vmesnika in tudi preverjamo njihovo pravilnost s pošiljanjem poizvedb na pripadajoče omrežne naprave. Slika 4.30: Pripomoček za pisanje definicijskih datotek Defgen 58