Μέζνδνη θαη Δξγαιεία γηα ηε Γηαρείξηζε Γηθηύσλ IPv6

Μέζνδνη θαη Δξγαιεία γηα ηε Γηαρείξηζε Γηθηύσλ IPv6

Τί ηζρύεη γηα ηε δηαρείξηζε ζην IPv6 Απαξαίηεην ζηνηρείν γηα λα επηηεπρζεί ε νκαιή κεηάβαζε ζην λέν πξσηόθνιιν Απαηηνύληαη αληίζηνηρα πξόηππα ιεηηνπξγηθόηεηαο θαη πνηόηεηαο κε ην IPv4 Ο ζσζηόο ζρεδηαζκόο ηνπ δηθηύνπ αλαδεηθλύεη ηα θύξηα ηκήκαηα ηνπ θαη ηνπο ρξήζηεο (κε ηηο αλάγθεο ηνπο) ζε θάζε έλα από απηά Πεξηνρέο δηαρείξηζεο: Παξαθνινύζεζε ηεο θαζεκεξηλήο ιεηηνπξγίαο ηνπ δηθηύνπ Δμέιημε θαη βειηηζηνπνίεζε ηνπ δηθηύνπ Η δηαρείξηζε ζην IPv6 δε δηαζέηεη νξηζηηθέο ιύζεηο ζε όινπο ηνπο ηνκείο Οξηζκέλα πξσηόθνιια είλαη αθόκε ζε εμέιημε Γελ ππάξρνπλ εξγαιεία γηα όιεο ηηο δηαρεηξηζηηθέο αλάγθεο

Γηαδηθαζία Υινπνίεζεο IPv6 ζε έλα Φάζε 1 Γίθηπν Σρεδηαζκόο ηεο κνξθήο ηνπ δηθηύνπ Δπξύηεξεο θαη κηθξόηεξεο δηθηπαθέο πεξηνρέο Πεξηνρέο εηδηθώλ αλαγθώλ θαη εηδηθώλ ιεηηνπξγηώλ (VLANs, θ.ιπ.) Οξηζκόο ησλ δηαρεηξηζηηθώλ νληνηήησλ θαη ησλ πεξηνρώλ επζύλεο ζην δίθηπν Πξνζδηνξηζκόο ησλ ξνώλ πιεξνθνξίαο δηαρείξηζεο Καζνξηζκόο ησλ αλαγθώλ ζηελ αζθάιεηα:» Γηα ηνπο ρξήζηεο θαη ηηο εθαξκνγέο» Γηα ην ίδην ην δίθηπν (δηαρεηξηζηηθή πιεξνθνξία, δηθηπαθέο ζπζθεπέο, δηαδηθαζίεο δηαρείξηζεο) Σρεδηαζκόο ηεο δηαδηθαζίαο κεηάβαζεο ζην λέν πξσηόθνιιν θαη ηεο ρξήζεο πηζαλώλ κεηαβαηηθώλ κεραληζκώλ (πεξηνρέο IPv6 κέζα ζε δίθηπν IPv4 θαη αληίζηξνθα)

Γηαδηθαζία Υινπνίεζεο IPv6 ζε έλα Φάζε 2 Γίθηπν (2) Υινπνίεζε δηπινύ πεξηβάιινληνο IPv4/IPv6 Σηαδηαθή κεηάβαζε ζην IPv6 ζπζηεκάησλ κε θξίζηκσλ ιεηηνπξγηώλ Δπηηξέπεη ηελ αμηνιόγεζε ηεο ζηαζεξόηεηαο ηεο ιεηηνπξγίαο ηνπ IPv6 ζην δηθηπαθό εμνπιηζκό θαη ζε κε θξίζηκα ζπζηήκαηα Αλαπηύζζνληαη νη δηαδηθαζίεο δηαρείξηζεο Φξήζε κεραληζκώλ κεηάβαζεο: ζήξαγγεο (tunnels), πύιεο (gateways) θ.ιπ. γηα ηελ επηθνηλσλία πεξηνρώλ απνθιεηζηηθά IPv6 Φάζε 3 Μεηάβαζε όισλ ησλ ζπζηεκάησλ απνθιεηζηηθά ζε IPv6 Φξήζε απνθιεηζηηθά IPv6 ζην δίθηπν

Πξνηππνπνίεζε Πξσηνθόιισλ Γηαρείξηζεο Οη θύξηνη θαηαζθεπαζηέο δηθηπαθνύ εμνπιηζκνύ ππνζηεξίδνπλ ηε ρξήζε SNMP πάλσ από IPv6 θαη παξέρνπλ agents Η δηαρείξηζε ζπζθεπώλ απνθιεηζηηθά IPv4 είλαη δπλαηή επεηδή ζηα πεξηζζόηεξα δίθηπα ππάξρεη ππνζηήξημε dual stack Από πιεπξάο agents γεληθήο ρξήζεο ππάξρεη πιήξεο ππνζηήξημε ηνπ SNMP- IPv6 από ην net-snmp πνπ πινπνηεί ηηο λέεο MIBs Ο αξηζκόο ησλ εθαξκνγώλ πνπ ρξεζηκνπνηνύλ ην SNMP-IPv6 παξακέλεη κηθξόο. Τα Openview θαη CiscoWorks πξνζθέξνπλ ζηαδηαθά ππνζηήξημε IPv6 ζε επίπεδν MIB αιιά ζηηο πεξηζζόηεξεο πεξηπηώζεηο ε πξόζβαζε γίλεηαη κε IPv4 Νέα textual conventions ππνζηεξίδνπλ IPv4 θαη IPv6 γηα ηελ αλαπαξάζηαζε IPs ζηηο MIBs RFC 3291 Eρεη πξνσζεζεί ε ελνπνίεζε πηλάθσλ πιεξνθνξίαο γηα ηα IP, TCP θαη UDP ζε νπνηνδήπνηε από ηα δύν πεξηβάιινληα

Πξνηππνπνίεζε Πξσηνθόιισλ Γηαρείξηζεο (2) Άιια πξόηππα δηαρείξηζεο έρνπλ επηηύρεη δηαθνξεηηθνύο βαζκνύο κεηάβαζεο ζην IPv6: Τν RADIUS έρεη πξνηππνπνηεζεί ζην IPv6 (RFC 3162) αιιά δε κπνξεί λα ρξεζηκνπνηεζεί ζε κεγάια δίθηπα. Γηα ην ιόγν απηό ην IETF έρεη νξίζεη έλα πξσηόθνιιν αληηθαηάζηαζεο ηνπ, ην DIAMETER. Έηζη δελ ππάξρνπλ πινπνηήζεηο ηνπ RADIUS ζε IPv6 Τν DIAMETER νξίδεηαη ζην RFC 3588. Υπάξρεη δηαζέζηκε πινπνίεζε ηνπ Τα COPS θαη WBEM (Web-Based Enterprise Manager) έρνπλ πξνζαξκνζηεί, όπσο θαη ηα κνληέια πιεξνθνξίαο θαη νη πνιηηηθέο πνπ νξίδνπλ γηα ηε δηαρείξηζε δηθηύσλ IPv6. Γελ ππάξρνπλ όκσο δηαζέζηκεο πινπνηήζεηο Τν Kerberos V έρεη κεξηθώο κεηαθεξζεί ζην IPv6

Πξνηππνπνίεζε Πξσηνθόιισλ Γηαρείξηζεο (3) Τν Netflow ηεο Cisco ππνζηεξίδεη ηελ εμαγσγή ζηαηηζηηθώλ γηα ξνέο IPv6 κόλνλ ζηελ έθδνζε 9 Υπνζηεξίδεηαη από ην IOS 12.3T Σπιιέθηεο πιεξνθνξίαο Netflow πνπ λα ππνζηεξίδνπλ IPv6 ππάξρνπλ από ηε Cisco θαη αθαδεκατθέο πεγέο

Μεραληζκνί Μεηάβαζεο Πξόθεηηαη γηα ηνπο κεραληζκνύο πνπ επηηξέπνπλ ηελ (πξνζσξηλή...) ζπλύπαξμε πεξηνρώλ IPv4 θαη IPv6 Μεραληζκνί εγθαηάζηαζεο ζεξάγγσλ (tunnels) κέζα από δηθηπαθέο πεξηνρέο πνπ δελ ππνζηεξίδνπλ ην επηζπκεηό πξσηόθνιιν θαη ελζπιάθσζεο ηνπ πεξηερνκέλνπ πνπ πξέπεη λα πεξάζεη δηακέζνπ απηώλ. Δπίζεο, κεραληζκνί κεηάθξαζεο αλάκεζα ζηα δύν πξσηόθνιια 6to4, Intra-Site Automatic Tunnel Addressing Protocol (ISATAP), Dual-stack Transition Mechanism (DSTM) Απνηεινύλ εηδηθή δηαρεηξηζηηθή πεξίπησζε ζην IPv6 Απαηηνύλ πξνζεθηηθό ζρεδηαζκό γηα: Τα ζεκεία πνπ ζα εγθαηαζηαζνύλ Τνλ έιεγρν πξόζβαζεο ζε απηνύο θαη ηηο πνιηηηθέο ρξήζεο ηνπο από ηνπο ρξήζηεο Τηο πνιηηηθέο ιεηηνπξγίαο, εηδηθά ζην ζέκα ηεο «αλακεηάδνζεο» εζσηεξηθήο ή εμσηεξηθήο θίλεζεο κέζσ ηνπ 6to4 (6to4 relays) Διαχείριση στο IPv6 8/15

Μεραληζκνί Μεηάβαζεο (2) Υπάξρνπλ ζεκαληηθά θελά ζηε δηαρείξηζε ηνπο Δίλαη δπλαηόλ λα δεκηνπξγήζνπλ πξνβιήκαηα δηαρείξηζεο πόξσλ θαη αζθάιεηαο Γελ αθόκα απόιπηα μεθάζαξεο νη δηαρεηξηζηηθέο αλάγθεο θαη δηαδηθαζίεο πνπ πξέπεη λα αθνινπζεζνύλ Αθνξνύλ κεραληζκνύο «ελζπιάθσζεο» πνπ είλαη γλσζηνί θαη θαηαλνεηνί από ην IPv4 Δλαιιαθηηθά κπνξνύλ λα ηεζνύλ ππό βαζηθό έιεγρν (π.ρ. απνδνρήο ή όρη ηεο θίλεζεο) κε ππάξρνληεο κεραληζκνύο (π.ρ. Firewalls)

Βαζηθά Δξγαιεία Γηαρείξηζεο Γηαρείξηζε Γηθηύσλ Κνξκνύ ASPath Tree (http://carmen.ipv6.tilab.com/ipv6/tools/aspath-tree/index.html) Looking Glass (http://netmon.grnet.gr/lgv6.shtml) IPFlow/Netflow (http://www.rrt.cr-picardie.fr/%7efillot/nf6/ http://www.cisco.com/warp/public/732/tech/nmp/netflow/index.shtml) Mping (http://mping.uninett.no/) RIPE Test Traffic (TT) Server with IPv6 Support (http://www.ripe.net/ttm/ttm-ipv6.html) NTUA: tt42 Cricket (http://cricket.sourceforge.net/) MRTG

Βαζηθά Δξγαιεία Γηαρείξηζεο Γηαρείξηζε Γηθηύσλ - Πειάησλ Argus (http://argus.tcp4me.com/) Ethereal (http://www.ethereal.com/) Multicast Beacon (http://dast.nlanr.net/projects/beacon/) Iperf (http://dast.nlanr.net/projects/iperf/) ntop (http://www.ntop.org/) Γεληθή Γηαρείξηζε Nagios (http://www.nagios.org/) RANCID (http://www.shrubbery.net/rancid/)

Πξνηάζεηο γηα ηε δηαρείξηζε δηθηύσλ IPv6 1. Αξρηηεθηνληθή Αθνινπζείηαη ζπγθεθξηκέλε δηαδηθαζία ζρεδηαζκνύ θαη πινπνίεζεο ηνπ IPv6 ζε έλα δίθηπν 2. Γηαρεηξηζηηθέο Δξγαζίεο Γίθηπα πειάηεο Φξεζηκνπνηείηαη έλα θνηλό εξγαιείν γηα ηε δηαπίζησζε ζσζηήο ιεηηνπξγίαο ππεξεζηώλ θαη δηθηπαθώλ ζπλδέζεσλ (Argus, Nagios ή Ntop) Δξγαιεία παξαθνινύζεζεο ηεο θίλεζεο (MRTG) Φξεζηκνπνηνύληαη εξγαιεία γηα ηελ αμηνιόγεζε ηεο απόδνζεο ησλ δηθηπαθώλ ζπλδέζεσλ «από άθξν ζε άθξν» κε ηνπο παξόρνπο (ISPs) θαη ην ππόινηπν Γηαδίθηπν (Iperf) Φξεηάδεηαη λα ππάξρεη δπλαηόηεηα θαηαγξαθήο θαη αλάιπζεο ηεο θίλεζεο (Ethereal) Πξναηξεηηθά ρξήζε εξγαιείσλ γηα ηε δηαρείξηζε ησλ ξπζκίζεσλ ησλ δηθηπαθώλ ζπζθεπώλ (RANCID)

Πξνηάζεηο γηα ηε δηαρείξηζε δηθηύσλ IPv6 (2) 3. Γίθηπα θνξκνύ Έιεγρνο ηεο θίλεζεο (MRTG, Cricket, Nagios) Καηαγξαθή θαη αλάιπζε ηεο θίλεζεο (Netflow v9) Παξαθνινύζεζεο ηεο νκαιήο ιεηηνπξγίαο ηνπ δηθηπαθνύ εμνπιηζκνύ (Nagios) Έιεγρνο ηεο δξνκνιόγεζεο» Γηα παξαθνινύζεζε ησλ πνιηηηθώλ δξνκνιόγεζεο θαη ηε γεληθή εηθόλα ηεο θαηάζηαζεο δξνκνιόγεζεο BGP(Border Gateway Protocol) (ASpath-tree)» Η παξαθνινύζεζε παξακέηξσλ ηνπ BGP ζε ζπγθεθξηκέλνπο δξνκνινγεηέο δε κπνξεί λα γίλεη απηόκαηα ιόγσ έιιεηςεο θαηάιιεισλ εξγαιείσλ SNMP θαη πινπνίεζεο ησλ αληίζηνηρσλ MIBs ζην IPv6

Management Information Base ΙΙ, MIB-ΙΙ root ccitt(0) iso(1) joint-iso-ccitt (2)... org(3)......dod(6)...... internet(1)... directory(1) mgmt(2) experimental(3) private(4) MIB-I(1) MIB-II(2) 1

Η δνκή ησλ πιεξνθνξηώλ δηαρείξηζεο Οξηζκόο αληηθεηκέλσλ δηαρείξηζεο (RFC 1212) OBJECT-TYPE MACRO ::= BEGIN TYPE NOTATION ::= "SYNTAX" type(objectsyntax) "ACCESS" Access "STATUS" Status DescrPart ReferPart IndexPart DefValPart VALUE NOTATION ::= value (VALUE ObjectName) Access ::= "read-only" "read-write" "write-only" "not-accessible" Status ::= "mandatory" "optional" "obsolete" "deprecated" DescrPart::= DESCRIPTION" value (description DisplayString) empty ReferPart::= "REFERENCE" value (reference DisplayString) empty IndexPart ::= "INDEX" "{" IndexTypes "} empty IndexTypes ::= IndexType IndexTypes "," IndexType IndexType ::= value (indexobject ObjectName) type (indextype) DefValPart ::= "DEFVAL" "{" value (defvalue ObjectSyntax) "}" empty END IndexSyntax::=CHOICE{number INTEGER (0..MAX),string OCTET STRING, object OBJECT IDENTIFIER, address NetworkAddress,ipAddress IpAddress } 1

Management Information Base ΙΙ, MIB-ΙΙ Τύπνη αληηθεηκέλσλ δηαρείξηζεο βαθμωηά ανηικείμενα (scalar objects): ζε θάζε ρξνληθή ζηηγκή έρνπλ κία κόλν ηηκή (π.ρ. ην όλνκα, ν αξηζκόο ησλ δηεπαθώλ ελόο θόκβνπ) πίνακες ανηικειμένων (table objects): δηζδηάζηαηνη πίλαθεο αληηθεηκέλσλ (π.ρ. ν πίλαθαο δξνκνιόγεζεο, ν πίλαθαο ησλ ζπλδέζεσλ ηνπ πξσηνθόιινπ TCP) Τα group αληηθεηκέλσλ mib-2 (1) system (1) interface (2) at (3) ip (4) icmp (5) tcp (6) udp(7) egp (8) transmission (9) snmp (10) 1

Management Information Base ΙΙ, MIB-ΙΙ Παξάδεηγκα νξηζκνύ πίλαθα (1/2) tcpconntable OBJECT-TYPE SYNTAX SEQUENCE OF TcpConnEntry ACCESS not-accessible STATUS mandatory DESCRIPTION "A table containing TCP connection-specific information." ::= { tcp 13 } tcpconnentry OBJECT-TYPE SYNTAX TcpConnEntry ACCESS not-accessible STATUS mandatory DESCRIPTION "Information about a particular current TCP connection. An object of this type is transient, in that it ceases to exist when (or soon after)the connection makes the transition to the CLOSED state." INDEX { tcpconnlocaladdress, tcpconnlocalport, tcpconnremaddress, tcpconnremport } ::= { tcpconntable 1 } 1

Management Information Base ΙΙ, MIB-ΙΙ Παξάδεηγκα νξηζκνύ πίλαθα (2/2) TcpConnEntry ::= SEQUENCE { tcpconnstate ΙNTEGER, tcpconnlocaladdress ΙpAddress, tcpconnlocalport INTEGER (0..65535), tcpconnremaddress IpAddress, tcpconnremport INTEGER (0..65535) } tcpconntable tcpconnstate tcpconnlocaladdress tcpconnlocalport tcpconnremaddress tcpremport 5 10.0.0.99 12 9.1.2.3 5 2 0.0.0.0 99 0.0.0.0 0 3 10.0.0.99 14 89.1.1.42 84 1

Τα group αληηθεηκέλσλ ηεο ΜΙΒ- ΙΙ system: γεληθέο πιεξνθνξίεο γηα ην ζύζηεκα interfaces: πιεξνθνξίεο ζε ζρέζε κε ηα ραξαθηεξηζηηθά θαη ηελ θίλεζε θάζε δηθηπαθήο δηεπαθήο at: πίλαθαο αληηζηνίρεζεο δηεπζύλζεσλ IP κε θπζηθέο δηεπζύλζεηο ip: πιεξνθνξίεο γηα ηελ πινπνίεζε θαη ηε ιεηηνπξγία ηνπ πξσηνθόιινπ IP tcp: πιεξνθνξίεο γηα ηελ πινπνίεζε θαη ηε ιεηηνπξγία ηνπ πξσηνθόιινπ TCP udp: πιεξνθνξίεο γηα ηελ πινπνίεζε θαη ηε ιεηηνπξγία ηνπ πξσηνθόιινπ UDP egp: πιεξνθνξίεο γηα ηελ πινπνίεζε θαη ηε ιεηηνπξγία ηνπ πξσηνθόιινπ EGP (external gateway protocol) transmission: εηδηθέο ιεπηνκέξεηεο γηα ην κέζν κεηάδνζεο θάζε κίαο δηεπαθήο αλαιόγσο ην πξσηόθνιιν όπσο token ring, FDDI, θιπ. snmp: πιεξνθνξίεο γηα ηελ πινπνίεζε θαη ηε ιεηηνπξγία ηνπ πξσηνθόιινπ SNMP

MIB-ΙΙ - system group sysdescr: πεξηγξαθή ζπζηήκαηνο sysobjectid: αλαγλσξηζηηθό ηνπ θαηαζθεπαζηή sysuptime: ν ρξόλνο από ηελ ηειεπηαία επαλεθθίλεζε syscontact: πιεξνθνξίεο ππεπζύλνπ δηαρείξηζεο sysname: όλνκα θόκβνπ syslocation: θπζηθή ηνπνζεζία θόκβνπ system (1) sysdescr (1) sysobjectid (2) sysuptime (3) syscontact (4) sysname (5) syslocation (6) sysservices(7) sysservices: κία ηηκή πνπ ππνδειώλεη ηηο πξνζθεξόκελεο δηθηπαθέο ππεξεζίεο 2

MIB-ΙΙ - interface group Σρόιηα Ο πίλαθαο iftable είλαη δηζδηάζηαηνο κε 22 ζηήιεο θαη γξακκέο όζεο νη δηθηπαθέο δηεπαθέο Τν πξσηεύνλ θιεηδί είλαη ην αληηθείκελν ifindex Τν αληηθείκελν ifindex είλαη ηύπνπ INTEGER κε ηηκέο ζην δηάζηεκα 1..ifNumber interface (2) ifnumber (1) iftable (2) ifentry (1) ifindex (1) ifdescr (2) iftype (3).. ifinoctets(10).. ifinerrors(14).. ifoutoctets (16).. ifoutdiscards(19) 2

MIB-ΙΙ - ip group Σρόιηα ipaddrtable: πιεξνθνξίεο γηα ηηο δηεπζύλζεηο IP, κηα γξακκή γηα θάζε δηεύζπλζε iproutetable: πιεξνθνξίεο δξνκνιόγεζεο, κία γξακκή αλά πξννξηζκό ipnettomediatable: αληηζηνίρηζε κεηαμύ δηεπζύλζεσλ IP θαη θπζηθώλ δηεπζύλζεσλ ip (4) ipforwarding (1) ipdefaultttl (2) ipinreceives (3).. ipoutrequests (10).. ipaddrtable (20) iproutetable (21) iproutefentry (1) ipnettomediatable (22) iproutingdiscards (23) iproutedest(1) iprouteifindex (2) IfpRouteMetric1(3).. IpRouteNextHope(7).. 2

Τν πξσηόθνιιν δηαρείξηζεο Λεηηνπξγίεο δηαρείξηζεο SNMPv1 get:αλάθηεζε ζπγθεθξηκέλεο δηαρεηξίζηκεο πιεξνθνξίαο set: ελεκέξσζε ηεο ηηκήο ελόο δηαρεηξίζηκνπ αληηθεηκέλνπ trap:αλαθνξά απξόζκελσλ γεγνλόησλ πξνο ην ζύζηεκα δηαρείξηζεο Θέκαηα αζθάιεηαο Η ζρέζε ελόο αληηπξνζώπνπ κε πνιινύο ζηαζκνύο δηαρείξηζεο επηβάιιεη έιεγρν αζθάιεηαο ζηα εμήο:» Ασθεντικοποίηση: ν αληηπξόζσπνο επηβάιιεη πεξηνξηζκνύο ζηελ πξόζβαζε ηεο ΜΙΒ ζε ζηαζκνύο δηαρείξηζεο κε ζπγθεθξηκέλεο αξκνδηόηεηεο» Πολιτική πρόσβασης: ν αληηπξόζσπνο επηβάιιεη δηαθνξεηηθά δηθαηώκαηα πξόζβαζεο ζε δηαθνξεηηθνύο ζηαζκνύο δηαρείξηζεο Λύζε: Η έλλνηα ηεο θνηλόηεηαο (community) 2

Η έλλνηα ηεο θνηλόηεηαο (community) ζην SNMPv1 SNMP community: κία ζρέζε κεηαμύ ελόο αληηπξνζώπνπ θαη ελόο αξηζκνύ ζηαζκώλ δηαρείξηζεο ζε ζέκαηα απζεληηθνπνίεζεο θαη ειέγρνπ πξόζβαζεο Κάζε θνηλόηεηα έρεη έλα κνλαδηθό όλνκα (community name) πνπ νξίδεηαη ηνπηθά ζηνλ αληηπξόζσπν Κάζε ζηαζκόο δηαρείξηζεο πξέπεη λα ρξεζηκνπνηεί ην θαηάιιειν όλνκα ηεο θνηλόηεηαο γηα ηελ επηθνηλσλία κε ηνλ αληηπξόζσπν Απζεληηθνπνίεζε Φξήζε νλόκαηνο θνηλόηεηαο ζε θάζε κήλπκα SNMP ρσξίο θξππηνγξάθεζε Φξήζε ηνπ νλόκαηνο θνηλόηεηαο σο password: ην κήλπκα ζεσξείηαη απζεληηθό αλ ν ζηαζκόο δηαρείξηζεο γλσξίδεη ην όλνκα θνηλόηεηαο Πεξηνξηζκέλε κνξθή αζθάιεηαο Φξήζε ιεηηνπξγίαο set γηα παξαβίαζε ζπζηεκάησλ

Πνιηηηθή πξόζβαζεο ζην SNMPv1 (1) Γηα θάζε θνηλόηεηα νξίδεηαη έλα πξνθίι (community profile) πνπ απνηειείηαη από:» κία ΜΙΒ όψη (MIB view): έλα ζύλνιν αληηθεηκέλσλ ηεο ΜΙΒ πνπ κπνξεί θαη λα κελ αλήθνπλ ζην ίδην ππόδεληξν» έλα ηρόπο πρόζβαζης (access mode): READ-ONLY ή READ- WRITE ανηιπρόζφπος SNMP ζύνολο από SNMP ζηαθμούς διατείριζης SNMP ΜΙΒ όυη SNMP ηρόπος πρόζβαζης SNMP κοινόηηηα SNMP προθίλ κοινόηηηας SNMP πολιηική πρόζβαζης

Πνιηηηθή πξόζβαζεο ζην SNMPv1 (2) Πνιηηηθή πξόζβαζεο (access policy) Καλόλεο ζπζρεηηζκνύ κεηαμύ ηεο θαηεγνξίαο πξόζβαζεο ελόο ΜΙΒ αληηθεηκέλνπ θαη ηνπ ηξόπνπ πξόζβαζεο κηαο πνιηηηθήο θαζνξίδνπλ πνηεο ιεηηνπξγίεο κπνξνύλ λα πξνζπειάζνπλ ην αληηθείκελν Τρόπος πρόζβαζης Καηηγορί α READ-ONLY READ-WRITE πρόζβαζης ζηη ΜΙΒ read-only Get, Trap read-write Get, Trap Get, Set, Trap write-only Get, Trap Get, Set, Trap (implementation specific) (implementation specific for get &trap) not-accessible Δεν σπάρτ ει πρόζβαζη Παράδειγμα Η καηηγορία πρόζβαζης ηοσ ΜΙ-ΙΙ ανηικειμένοσ syscontact είναι RW. Για ηην κοινόηηηα public ο ηρόπος πρόζβαζης για ηο ανηικείμενο ασηό έτει οριζηεί φς RO. Καηά ζσνέπεια, μπορεί να είναι παράμεηρος μόνο ζε λειηοσργίες get και trap 2

Η αλαγλώξηζε ζηηγκηόηππσλ αληηθεηκέλσλ δηαρείξηζεο (1) Αλαγλώξηζε αληηθεηκέλσλ κε ηπραία πξόζβαζε Ανηικείμενα πινάκων» Φξήζε ηεο ηηκήο ηνπ INDEX ζε ζπλδπαζκό κε ην OBJECT IDENTIFIER ηνπ αληηθείκελνπ ζηήιεο. Αλ ην αλαγλσξηζηηθό ηνπ αληηθεηκέλνπ ζηήιεο είλαη y ζε έλα πίλαθα κε αληηθείκελα INDEX i1, i2,, in ηόηε ην αλαγλσξηζηηθό ηνπ ζηηγκηόηππνπ ελόο αληηθεηκέλνπ είλαη: y.(i1). (i2) (in)» Παξάδεηγκα: Τν αλαγλσξηζηηθό ηεο πεξηγξαθήο iftype ηεο δηεπαθήο κε ifindex ην 2 Τν OBJECT IDENTIFIER ηνπ iftype είλαη 1.3.6.1.2.1.2.2.1.3 Άξα γηα ην iftype.2 είλαη 1.3.6.1.2.1.2.2.1.3.2 Βαθμωηά ανηικείμενα» Φξήζε ηνπ OBJECT IDENTIFIER ηνπ αληηθείκελνπ ζε ζπλδπαζκό κε ην.0 Τν αλαγλσξηζηηθό ζηηγκηόηππνπ ηνπ ifnumber είλαη ifnumber.0 δειαδή 1.3.6.1.2.1.2.1.0

Η αλαγλώξηζε ζηηγκηόηππσλ αληηθεηκέλσλ δηαρείξηζεο (2) Αλαγλώξηζε αληηθεηκέλσλ κε ιεμηθνγξαθηθή ζεηξά Φξήζε ηεο ιεμηθνγξαθηθήο ζεηξάο ησλ OBJECT IDENTIFIERS πνπ είλαη ζεηξά αθεξαίσλ Preorder traversal Αρχή Τέλος 1 root 2 1 2 1 2 1 1.1 1.2 2.1 1 1.2.1 1 2.1.1 1 2 3 2.1.1.1 2.1.1.2 2.1.1.3

SNMPv1 PDUs Γιαχειριζηής Ανηιπρόζωπος Γιαχειριζηής Ανηιπρόζωπος GetRequest PDU GetNextRequest PDU GetResponse PDU GetResponse PDU Γιαχειριζηής Ανηιπρόζωπος Γιαχειριζηής Ανηιπρόζωπος SetRequest PDU Trap PDU GetResponse PDU

SNMPv1 GetRequest PDU Απαηηεί ηε ρξήζε αλαγλσξηζηηθώλ ζηηγκηόηππσλ αληηθεηκέλσλ (αλάθηεζε θύισλ ηνπ ΜΙΒ δέληξνπ) Παξαδείγκαηα: Αλάθηεζε ησλ ηηκώλ ησλ βαζκσηώλ αληηθεηκέλσλ sysdescr, sysname θαη ifnumber GetRequest(sysDescr.0, sysname.0, ifnumber.0) GetResponse((sysDescr.0 = ), (sysname.0 = ), (ifnumber.0 = 3)) Αλάθηεζε ησλ ηηκώλ ησλ αληηθεηκέλσλ ζηήιεο ηνπ πίλαθα iftable ifindex, iftype θαη ifspeed γηα ηε δηεπαθή 2 GetRequest(ifIndex.2, iftype.2, ifspeed.2) GetResponse((ifIndex.2 = 2), (iftype.2 = ethernetcsmacd(6)), (ifspeed.2 = 10000000))

SNMPv1 GetNextRequest PDU Δπηζηξέθεη ηελ ηηκή ηνπ ζηηγκηόηππνπ ηνπ αληηθεηκέλνπ πνπ είλαη ην επόκελν ιεμηθνγξαθηθά από ην όξηζκα Παξαδείγκαηα:» Αλάθηεζε ησλ ηηκώλ ησλ βαζκσηώλ αληηθεηκέλσλ sysdescr, sysname θαη ifnumber GetNextRequest(sysDescr, sysname, ifnumber) GetResponse((sysDescr.0 = ), (sysname.0 = ), (ifnumber.0 = 3))» Αλάθηεζε ησλ ηηκώλ ησλ αληηθεηκέλσλ ζηήιεο ηνπ πίλαθα iftable ifindex, iftype θαη ifspeed γηα ηε δηεπαθή 2 GetNextRequest(ifIndex, iftype, ifspeed) GetResponse((ifIndex.1 = 1), (iftype.1 = atm(37)), (ifspeed.1 = 155000000)) GetNextRequest(ifIndex.1, iftype.1, ifspeed.1) GetResponse((ifIndex.2 = 2), (iftype.2 = ethernetcsmacd(6)), (ifspeed.2 = 10000000)) GetNextRequest(ifIndex.2, iftype.2, ifspeed.2) GetResponse((ifDescr.1 = ), (ifmtu.1 =... ), (ifphysaddress.1 =... ))

SNMPv1 SetRequest θαη SetRequest Trap PDUs Αιιαγή ηεο ηηκήο αληηθεηκέλσλ πνπ έρνπλ θαηεγνξία πξόζβαζεο RW Παράδειγμα» Αιιαγή ηεο θαηάζηαζεο ηεο δηεπαθήο 2 ζε testing Trap Γεληθά είδε traps SetRequest(ifStatus.2 = 3) GetResponse(ifStatus.2 = 3)» coldstart(0): αλαπάληερε επαλεθθίλεζε ιόγσ ζεκαληηθήο δεκηάο» warmstart(1): επαλεθθίλεζε ξνπηίλαο ηνπ δαίκνλα SNMP» linkdown(2): πηώζε επηθνηλσληαθήο γξακκήο» linkup(3): επαλεθθίλεζε επηθνηλσληαθήο γξακκήο» authenticationfailure (4): ιήςε κε απζεληηθνύ κελύκαηνο» egpneighborloss(5): πηώζε EGP γεηηνληθνύ θόκβνπ» enterprisespecific(6): ζπγθεθξηκέλν γεγνλόο πνπ αλαγλσξίδεη ν θαηαζθεπαζηήο

Nagios Overview

Introduction A key measurement tool for actively monitoring availability of devices and services. Possible the most used open source network monitoring software. Has a web interface. Uses CGIs written in C for faster response and scalability. Can support up to thousands of devices and services.

What Can it Do? Individual node status Is it up? What is its load? What is the memory and swap usage? NFS and network load? Are the partitions full? Are applications and services running properly? How about ping latency? Aggregated node status Same info, but across groups of nodes

What Can it Do? A lot, including: Service monitoring Alerts from SNMP traps Monitoring redundancy Detection of primary failure to avoid multiple like alerts. Notifications via email, pager, etc. Notifications to individuals or defined groups Log information Use databases to store history Graph generation from MRTG Very extensible via plug-ins, add-ons and local scripts. Can scale to large installations Allows for redundant monitoring Aggregation of like-data across multiple nodes. Ability to escalate alerts Runs on multiple Unices Licensed under GPL v2

Installation Nagios RPMs for RHEL (and so SL/SLC) available from the DAG repository 4 Main component RPMS nagios the main server software and web scripts nagios-plugins the common set of check scripts used to query services nagios-nrpe Nagios Remote Plugin Executor nagios-nsca Nagios Service Check Acceptor Setup is simply a matter on installing the RPMs, configuring your web server and editing the config files to suit your setup

Architecture Simplest setup has central server running Nagios daemon that runs local check scripts which the status of services on that and remote hosts A host is a computer running on the network which runs one or more services to be checked A service is anything on the host that you want checked. Its state can be one of: OK, Warning, Critical or Unknown A check is a script run on the server whose exit status determines the state of the service: 0, 1, 2 or -1

Features Verification of availability is delegated to plugins: The product's architecture is simple enough that writing new plugins is fairly easy in the language of your choice. There are many, many plugins available. Nagios uses parallel checking and forking. Version 3 of Nagions does this better.

Features cont. Has intelligent checking capabilities. Attempts to distribute the server load of running Nagios (for larger sites) and the load placed on devices being checked. Configuration is done in simple, plain text files, but that can contain much detail and are based on templates. Nagios reads it's configuration from an entire directory. You decide how to define individual files.

Yet More Features... Utilizes topology to determine dependencies. Nagios differentiates between what is down vs. what is not available. This way it avoids running unnecessary checks. Nagios allows you to define how you send notifications based on combinations of: Contacts and lists of contacts Devices and groups of devices Services and groups of services Defined hours by persons or groups. The state of a service.

Service state: And, even more... When configuration a service you have the following notification options: d: DOWN: The service is down (not available) u: UNREACHABLE: When the host is not visible r: RECOVERY: (OK) Host is coming back up f: FLAPPING: When a host first starts or stops or it's state is undetermined. n: NONE: Don't send any notifications

Features, features, features Allows you to acknowledge an event. A user can add comments via the GUI You can define maintenance periods By device or a group of devices Maintains availability statistics. Can detect flapping and suppress additional notificaitons. Allows for multiple notification methods such as: e-mail, pager, SMS, winpopup, audio, etc... Allows you to define notification levels. Critical feature.

How Checks Work A node/host/device consists of one or more service checks (PING, HTTP, MYSQL, SSH, etc) Periodically Nagios checks each service for each node and determines if state has changed. State changes are: CRITICAL WARNING UNKNOWN For each state change you can assign: Notification options (as mentioned before) Event handlers

Parameters How Checks Work Normal checking interval Re-check interval Maximum number of checks. Period for each check Node checks only happen when on services respond (assuming you've configured this). A node can be: DOWN UNREACHABLE

How Checks Work In this manner it can take some time before a host change's its state to down as Nagios first does a service check and then a node check. By default Nagios does a node check 3 times before it will change the nodes state to down. You can, of course, change all this.

The Concept of Parents Nodes can have parents. For example, the parent of a PC connected to a switch would be the switch. This allows us to specify the network dependencies that exist between machines, switches, routers, etc. This avoids having Nagios send alarms when a parent does not respond. A node can have multiple parents.

The Idea of Network Viewpoint Where you locate your Nagios server will determine your point of view of the network. Nagios allows for parallel Nagios boxes that run at other locations on a network. Often it makes sense to place your Nagios server nearer the border of your network vs. in the core.

Network Viewpoint

Nagios Configuration Files

Configuration Files Located in /etc/nagios3/ Important files include: cgi.cfg Controls the web interface and security options. commands.cfgthe commands that Nagios uses for notifications. nagios.cfg Main configuration file. conf.d/* All other configuration goes here!

Configuration Files Under conf.d/* (sample only) contacts_nagios3.cfg users and groups generic-host_nagios2.cfg default host template generic-service_nagios2.cfg default service template hostgroups_nagios2.cfg groups of nodes services_nagios2.cfg what services to check timeperiods_nagios2.cfg when to check and who to notifiy

Configuration Files Under conf.d some other possible configfiles: host-gateway.cfg Default route definition extinfo.cfg Additional node information servicegroups.cfig Groups of nodes and services localhost.cfg Define the Nagios server itself pcs.cfg Sample definition of PCs (hosts) switches.cfg Definitions of switches (hosts) routers.cfg Definitions of routers (hosts)

Plugin Configuration The Nagios package in Ubuntu comes with a bunch of pre-installed plugins: apt.cfg breeze.cfg dhcp.cfg disk-smb.cfg disk.cfg dns.cfg dummy.cfg flexlm.cfg fping.cfg ftp.cfg games.cfg hppjd.cfg http.cfg ifstatus.cfg ldap.cfg load.cfg mail.cfg mrtg.cfg mysql.cfg netware.cfg news.cfg nt.cfg ntp.cfg pgsql.cfg ping.cfg procs.cfg radius.cfg real.cfg rpcnfs.cfg snmp.cfg ssh.cfg tcp_udp.cfg telnet.cfg users.cfg vsz.cfg

Main Configuration Details Global settings File: /etc/nagios3/nagios.cfg Says where other configuration files are. General Nagios behavior: For large installations you should tune the installation via this file. See: Tunning Nagios for Maximum Performance http://nagios.sourceforge.net/docs/2_0/tuning.ht ml

CGI Configuration Archivo: /etc/nagios3/cgi.cfg You can change the CGI directory if you wish Authentication and authorization for Nagios use. Activate authentication via Apache's.htpasswd mechanism, or using RADIUS or LDAP. Users can be assigned rights via the following variables: authorized_for_system_information authorized_for_configuration_information authorized_for_system_commands authorized_for_all_services authorized_for_all_hosts authorized_for_all_service_commands authorized_for_all_host_commands

Time Periods This defines the base periods that control checks, notifications, etc. Defaults: 24 x 7 Could adjust as needed, such as work week only. Could adjust a new time period for outside of regular hours, etc. # '24x7' define timeperiod{ timeperiod_name 24x7 alias 24 Hours A Day, 7 Days A Week sunday 00:00-24:00 monday 00:00-24:00 tuesday 00:00-24:00 wednesday 00:00-24:00 thursday 00:00-24:00 friday 00:00-24:00 saturday 00:00-24:00 }

Configuring Service/Host Checks Define how you are going to test a service. # 'check-host-alive' command definition define command{ command_name check-host-alive command_line $USER1$/check_ping -H $HOSTADDRESS$ -w 2000.0,60% -c 5000.0,100% -p 1 -t 5 } Located in /etc/nagios-plugins/config, then adjust in /etc/nagios3/conf.d/services_nagios2.cfg

Notification Commands Allows you to utilize any command you wish. We'll do this for our generating tickets in RT. # 'notify-by-email' command definition define command{ command_name notify-by-email command_line /usr/bin/printf "%b" "Service: $SERVICEDESC$\nHost: $HOSTNAME$\nIn: $HOSTALIAS$\nAddress: $HOSTADDRESS$\nState: $SERVICESTATE$\nInfo: $SERVICEOUTPUT$\nDate: $SHORTDATETIME$" /bin/mail -s '$NOTIFICATIONTYPE$: $HOSTNAME$/$SERVICEDESC$ is $SERVICESTATE$' $CONTACTEMAIL$ } From: nagios@nms.localdomain To: grupo-redes@localdomain Subject: Host DOWN alert for switch1! Date: Thu, 29 Jun 2006 15:13:30-0700 Host: switch1 In: Core_Switches State: DOWN Address: 111.222.333.444 Date/Time: 06-29-2006 15:13:30 Info: CRITICAL - Plugin timed out after 6 seconds

Nodes and Services Configuration Based on templates This saves lots of time avoiding repetition Similar to Object Oriented programming Create default templates with default parameters for a: generic node generic service generic contact

Generic Node Configuration define host{ name generic-host notifications_enabled 1 event_handler_enabled 1 flap_detection_enabled 1 process_perf_data 1 retain_status_information 1 retain_nonstatus_information 1 check_command check-host-alive max_check_attempts 5 notification_interval 60 notification_period 24x7 notification_options d,r contact_groups nobody register 0 }

Individual Node Configuration define host{ use generic-host host_name switch1 alias Core_switches address 192.168.1.2 parents router1 contact_groups switch_group }

Generic Service Configuration define service{ name generic-service active_checks_enabled 1 passive_checks_enabled 1 parallelize_check 1 obsess_over_service 1 check_freshness 0 notifications_enabled 1 event_handler_enabled 1 flap_detection_enabled 1 process_perf_data 1 retain_status_information 1 retain_nonstatus_information 1 is_volatile 0 check_period 24x7 max_check_attempts 5 normal_check_interval 5 retry_check_interval 1 notification_interval 60 notification_period 24x7 notification_options c,r register 0 }

Individual Service Configuration define service{ host_name switch1 use generic-service service_description PING check_command check-host-alive max_check_attempts 5 normal_check_interval 5 notification_options c,r,f contact_groups switch-group }

Automation To maintain large configurations by hand becomes tiresome. It's better to simplify and automate using scripts. http://ns.uoregon.edu/~cvicente/download/nagios-configscripts.tar.gz Or, export device (node) information from tools like Netdot, netdisco, OpenNMS, etc.

Beeper/SMS Messages It's important to integrate Nagios with something available outside of work Problems occur after hours... (unfair, but true) A critical item to remember: an SMS or message system should be independent from your network. You can utilize a modem and a telephone line Packages like sendpage, qpage or gnokii can help.

Some References http://www.nagios.org: Nagios web site http://sourceforge.net/projects/nagiosplug: Nagios plugins site Nagios. System and Network Monitoring by Wolfgang Barth. Good book onnagios http://www.nagiosexchange.org: Unofficial Nagios plugin site http://www.debianhelp.co.uk/nagios.htm: A Debian tutorial on Nagios http://www.nagios.com/: Commercial Nagios support

Reference Slides

Nagios Tactical Overview

Status Detail

Service Detail

Service types

Status Map

Overview Status

Status Summary Based On Hostgroup

Host Trends or Status History

Histogram of Host

Event Logs

Who is Notified?

Nagios working principles