Grundlagen Folie 4-1 Typisch LAN? Mein Terminal bootet nicht! Ist das Netz heute wieder langsam! Schon wieder abgestürzt! Was machen Sie eigentlich den ganzen Tag? Folie 4-2
Probleme und Folgekosten Was tun im Fehlerfall? Anwenderübersicht? Konfigurationsübersicht Verfügbarkeit? Folie 4-3 Was kann man mit Netzmanagement machen? Sparen! Überblick über Netz Störungen und Stillstände vermeiden Fehler lokalisieren und schnell beseitigen Engpässe erkennen Netz und Betrieb optimieren Know-how aufbauen Kosten reduzieren Investitionen lenken Ziel: Datennetz optimal verfügbar zu gestalten Folie 4-4
Warum Netzmanagement? Für die Verwirklichung von Unternehmenszielen spielt der Produktionsfaktor Information die entscheidende Rolle. Forderungen: Information soll personenunabhängig an jedem Ort und zu jeder Zeit verfügbar sein. EDV-Systeme sollen zu 100 % verfügbar sein. Folgen: Wissen in ein EDV- System im Rechnernetz Intelligentes Netzmanagement Folie 4-5 Entwicklung von Netzmanagement Lokale Installation und Support: Jeder Anwender macht was er will sehr teuer, da Human-Ressources bindend sehr fehleranfällig geringe Interoperabilität Turnschuh-Management (Sneakernet): Admins kontrollieren und konfigurieren vor Ort sehr zeitintensiv für Administratoren Ausfälle dauern länger als nötig und kosten dadurch viel Geld Netzmanagement per SNMP Systemmanagement: Remote-Konfiguration von Arbeitsstationen etc., SW-Verteilung sehr komplex und teuer nicht standardisiert Service-Level-Management Folie 4-6
Funktionen von Netzmanagement Autodiscovery, Autotopology Sortieren von Komponenten, Mapping Schwellwerte, Korrelation von MIB-Variablen Regeln und Automatismen: Alarm per E-Mail, Handy etc. Reporting: History-Graphs, aktuelle Graphs, Logs,... Zustandsanzeige, Status-Propagation (Weiterleitung) Trouble-Tickets Folie 4-7 Manager und Agenten NMS MIB AGENT MANAGER MIB AGENT Hub MIB AGENT Switch MIB AGENT Router MIB AGENT Workstation MIB NMS Management Information Base Netzmanagementstation Folie 4-8
Netzmanagement-Agenten Agenten sind "moderne Prozessrechner vor Ort" zur Datenaufnahme und Überwachung des Netzgeschehens Konfiguration und Steuerung der Komponenten Agenten bestehen aus leistungsfähiger CPU-Hardware mit schnellem RAM: high-performance Prozessor mit Multi-tasking Betriebssystem zur Echtzeit-Datenaufnahme Flash-RAM zum Abspeichern der Betriebssoftware Vorverarbeitung mit Gauges (Schwellwert-Überwachung) reduziert Netzlast meist mit WEB-Server ausgestattet Hardware-Diagnose von Netzereignissen CPU RAM Flash Folie 4-9 Agenten als Experten im Netz Leistungs- und Fehlerüberwachung jeder Strecke jedes Ports jeder Quelladresse durch einen Agenten Agenten auf mehreren Schichten ISO/OSI Spannungsversorgung Protocol- Analyzer/ Probe 7 6 5 Lüftung Router 4 3 Stand-by- Strecke Typ und Funktion des Interface-Moduls Hub 2 1 Folie 4-10
Netzmanagement-Element NME Managed Objects Schnittstellen Agent- Software MIB Netzmanagement-Element Network Management Entity Folie 4-11 Netzmanagement-Element im Detail Objektklassen (1, 2, 3, 4,...) Managed Objects 1 MIB 1 2 3 4 2 SNMP 1 2 3 4 5 6 3 1 2 3 4 1 2 3 4 5 Folie 4-12
Netzmanagement-Station zentrale Kontrolle über gesamtes Netz Gerätestatus: Verwaltung beliebig vieler Geräte gleichzeitig Netztopologie Netzauslastung Fehlerraten zentrale Konfiguration des Netzes Geräte-Konfiguration: Chassis, Karten, Ports, Security IP-Adressverwaltung Segmentierung in Subnetze (collision domains) VLAN-Konfiguration Schnittstellen z.b. Monitor Manager- Software NSD Schnittstellen Folie 4-13 Netzmanagement-Station NMS (Network Management Station) Hardwareteile der Auswertekomponente Station gibt dem Netz-Administrator einen Netz-Überblick und ermöglicht das Netzmanagement. (DOS-, UNIX-Rechner, etc.) Manager Softwareteil der Auswertekomponente überwacht und kontrolliert die managementfähigen Geräte durch: Abfragen Erteilen von NM-Informationen z.b. HP OpenView, IBM Netview, theguard, HiVision NSD (Network Statistic Database) sammelt NM-Information von den Agenten Schnittstelle zum Benutzer: grafische Oberfläche zum Netz: über das Netz (Inband) oder Outband (z.b. über Modem) Folie 4-14
Manager-Agent-Modell NME (z.b. Hub) NMS (z.b. UNIX-Rechner) Monitor Manager- Software NSD Schnittstellen Schnittstellen Agent- Software NME (z.b. Bridge) Schnittstellen Agent- Software MIB MIB Proxy Agent NMS: Manager, NSD, Schnittstellen, Monitor NME: Agent, Managed Object, MIB, Schnittstelle NM-Protokoll Proxy-Agent NM-Protokoll (z.b. SNMP, CMIP) Schnittstellen X- Agent Proprietary- Manager Schnittstellen Folie 4-15 Beispiel HP OpenView mit HiVision Folie 4-16
Beispiel theguard Folie 4-17 Manager und Agenten in der Praxis Haupt-Subsystem Konfigurations- Management Leistungs- Management Fehler- Management Offenes Management-System Protokoll-Modul X Manager- Kernsystem Datenbank Y Manager Modul-Subsystem Zugriffmodul Zugriffmodul ö-switch ö-hub Zugriffmodul LANCOM-R. AP Agenten LANCOM-Router ö-hub WAN Remote-Link Switch ö-switch Folie 4-18
Manager-Software Die Manager-Software besteht aus mehreren miteinander kommunizierenden Prozessen: Kernprozess koordiniert die Verbindung zwischen den Prozessen. Haupt-Subsystem enthält die elementaren Managementprozesse Protokoll-Subsystem enthält Prozesse, um Geräte mit verschiedenen NM-Protokollen zu managen (z.b. SNMP, CMIP, MAP/TOP) Modul-Subsystem enthält Prozesse mit den gerätespezifischen Daten der zu verwaltenden Geräte Folie 4-19 Netzmanagement-Protokoll Kommunikationsprotokoll zum Transport der NM-Information zwischen Manager und Agent Beispiele: SNMP CMIP MAP/TOP... OPC Simple Network Management Protocol Common Management Information Protocol Manufacturing Automation Protocol Openness Productivity Connectivity Folie 4-20
Verschiedene Konzepte ISO/OSI-Lösung CMIP kostet viel Geld (Lizenz), ist sehr umfangreich (RAM) hat sich nicht im LAN durchgesetzt SNMP (IETF-Lösung, von IAB erarbeitet) sehr preisgünstig, einfach gehalten hat sich in Version 1 im LAN durchgesetzt Version 2 hat sich bei Herstellern nicht durchgesetzt Version 3 könnte sich auch im Zuge von IPv6 und UMTS durchsetzen, in Mailing-Gruppe Interesse vorhanden, teilweise bereits implementiert WEB-Management elegante, preisgünstige Lösung - ein Browser hat mittlerweile jeder - mit einigen Einschränkungen bei diversen Funktionen Folie 4-21 CMIP (Common Management Information Protocol) Kommunikationsprotokoll zwischen Manager und Agent geschaffen für die ISO/OSI-Protokollfamilie (ISO 9596) nutzt verbindungsorientierte Protokolle (mehr Overhead und Last) Agenten melden selbständig Ereignisse an den Manager Messages: SET GET (vergleichbar Get und GetNext bei SNMP) EVENT CREATE DELETE ACTION CMIS Common Management Information Service (ISO 9595) CMOT CMIP over TCP/IP (RFC 1006, 1095) CMOL CMIP/CMIS over Logical Link Layer Folie 4-22
SNMP (Simple Network Management Protocol) Kommunikationsprotokoll zwischen Manager und Agent geschaffen für die TCP/IP-Protokollfamilie fast konkurrenzlos bei privaten Netzen (LAN/WAN) nutzt verbindungslose Protokolle (UDP/IP) Agenten werden durch Polling (regelmäßig) aufgefordert, Ereignisse, Messwerte und Statistiken an den Manager zu melden Agenten melden unaufgefordert wichtige Ereignisse durch Traps Folie 4-23 TCP/IP Protokoll-Familie 7 6 5 FTP SMTP Telnet HTTP SNMP SNTP TFTP... 4 TCP UDP 3 ARP RARP IPSec ICMP 2 1 Ethernet, Token-Ring FDDI,... LAP, LAPB X.21 ISDN FTP File Transfer Protocol SMTP Simple Mail Transfer Protocol Telnet Remote Terminal Login LAP Link Access Protocol SNMP Simple Network Management Protocol TFTP Trivial File Transfer Protocol TCP Transmission Control Protocol UDP User Datagramm Protocol ARP Address Resolution Protocol RARP Reverse Address Resolution Protocol ICMP Internet Control Message Protocol IP Internet Protocol Folie 4-24
Management mit SNMP: Protokolle und Adressen SNMP Simple Network Management Protocol MIB-Instanz hmbasportadminstate.1.1.1 UDP User Datagramm Protocol UDP-Port 161 snmp IP Internet Protocol IP-Adresse 192.168.10.20 Ethernet V2 MAC-Adresse 00:80:63:aa:bb:c5 Folie 4-25 SNMP-Nachrichten Manager Agent GET REQUEST GET NEXT REQUEST SET REQUEST GET RESPONSE GET RESPONSE GET RESPONSE TRAP Folie 4-26
TCP/IP Well-known-Ports und -Services IP-Adresse + Port = Socket zur Adressierung des übergeordneten Protokolls/Dienstes UDP-Port = Kanal eines Prozesses z.b.: UDP-Port 162 für Trap-Dämon Socket 192.9.11.8.162 = Trap-Dämon des Rechners mit IP-Adresse 192.9.11.8 Protokoll Portnummer FTP 20 (Daten); 21 (Kontrolle) UDP-Port SSH 22 + Socket Telnet 23 IP-Adresse SMTP 25 TFTP 69 HTTP 80 SNMP 161 SNMP-Traps 162 HTTPS 443 Folie 4-27 SNMP-Datenpaket z.b. Ethernetpaket IP UDP SNMP Version 0 Community service PDU Type PDU Message SetRequest verbindungslose Vermittlung via UDP/IP die SNMPv1-Daten sind nicht verschlüsselt BER Basic Encoding Rules Folie 4-28
SNMP-Paket mit Analyzer Port 161 Community in Klartext MIB-Parameter: 1.3.6.1.2.... Folie 4-29 SNMP-Paketformat Version Community PDU Typ ReqID X Y variable Bindung Version: SNMPv1 = 0 Community: Octet String Typ: 0xA0 = get 0xA1 = get-next 0xA2 = get-response 0xA3 = set 0xA4 = trap X: Request = 0 Response - error status: Y: Request = 0 Response - error index: Typ=0xA4 SysOID Quelle gen spec ts variable Bindung 0 = noerror 1 = toobig 2 = nosuchname 3 = badvalue 4 = readonly 5 = generr zeigt erste fehlerhafte Variable in Request ts: time stamp Folie 4-30
SNMPv1 Security Schwache Authentifizierung: Community (Passwort) im Klartext Keine Verschlüsselung Keine Timeliness (Rechtzeitigkeit) Kein Schutz gegen Replay Zugriff-Beschränkung auf definierte IP-Adressen Folie 4-31 SNMPv1, SNMPv2 und SNMPv2c SNMPv1: Asynchrones Request/Response Protokoll über UDP mit 5 Basiskommandos: Get-Request, Get-Next-Request, Set-Request, Get-Response, Trap Nachteil: - kein Sicherheitsmanagement (Paket veränderbar, Reihenfolge ungesichert, Community maskierbar, Daten lesbar z.b.: Passwort) SNMPv2: - Verbessertes Sicherheitsmanagement (darf aus USA nicht exportiert werden) - Get-Bulk Request: Mehrere Werte auf einmal abfragen - Verteiltes Management über mehrere Konsolen - Größere Protokollvielfalt Nachteile: - Hohe Komplexität (Parameterflut, hoher Verwaltungsaufwand) - Hohe Grundlast ( Sicherheitsoverhead) - Sicherheitsmanagement darf aus USA nicht exportiert werden Folge: SNMPv2 wurde im Herbst 1995 eingestellt, Besinnung auf ursprüngliches Ziel einfaches Mangagement mit reduzierter Version SNMPv2 als Kompromiss, ohne Ballast wie: Security-Funktionen, Zeitsynchronisation, MIB-Views SNMPv2c (RFC 1901, 1906): Get-Bulk Request, Verteiltes Management, Gesamte neue MIB-Makros Nachteil: Neuer Sicherheitsmechanismus muss gefunden werden Folie 4-32
Communities Jeder Manager muss sich beim Lese- oder Schreib-Zugriff auf den Agenten mit der entsprechenden Community (vergleichbar dem Passwort) des Agenten ausweisen. Dies muss in der Management-Software ggf. für jedes Produkt einzeln eingestellt werden. Beispiel für Communities (im Auslieferungszustand): public read only nur Leserecht service read/write eingeschränkter Zugriff private read/write uneingeschränkt: alle MIB-Objekte Sicherheit z. B. mit Rail-Switch: User-Interface (über V.24 oder Telnet): Passwort public / private SNMP-Zugriff: Communities mit read only / read-write-berechtigung abhängig von der zugreifenden IP-Adresse Folie 4-33 SNMPv2-Paketformat Version Community PDU Typ ReqID X Y variable Bindung Version: SNMPv1 = 0 SNMPv2 = 1 (SNMPv3 = 3) Community: Octet String Typ: 0xA0 = get 0xA1 = get-next 0xA2 = get-response 0xA3 = set 0xA4 = trap 0xA5 = get-bulk 0xA6 = inform 0xA7 = v2-trap X: Request = 0 Response - error status: Y: Request = 0 Response - error index: 0 = noerror 1 = toobig 2 = nosuchname 3 = badvalue 4 = readonly 5 = generr zeigt erste fehlerhafte Variable in Request Folie 4-34
SNMPv2 GetBulk-Operation 0xA5 ReqID n m variable Bindung GetBulk liest eine Tabelle ein aus n nicht-wiederholbaren und m wiederholbaren Elementen, aufgeführt in variable Bindung Beispiel: Tabelle mit sysuptime (n=1) und inpackets und collisions der ersten 5 Ports (m=5) Folie 4-35 SNMPv3 Framework Modulares Konzept, dadurch keine neuen Releases mehr, nur neue Module Kompatibilität zu v1 und v2 möglich Neues Paketformat Version msgid MaxSize Flags SecModel SecParam SNMP-Daten Reportable Encrypted authenticated Neue Datentypen: 64-bit-Counter für große Mengen Sicherheitsaspekte Folie 4-36
SNMPv3 Security Authentifizierung: Einmalige Anmeldung mit Benutzername und Passwort danach Markierung der Pakete mit ID-String und Zeitkontrolle (Rechtzeitigkeit) zum Schutz der Pakete gegen Veränderung (Replay, Man-in-the-Middle) Verschlüsselung: z.z. per CBC-DES, aber jederzeit änderbar Zugriffkontrolle: per VACM. Zugriffrechte Lesen, Schreiben, Benachrichtigung über Benutzergruppen verwaltet CBC - Cipher Block Chaining DES - Data Encryption Standard Folie 4-37 SNMPv3 Authentifizierung und Verschlüsselung USM - User Security Model RFC 3414... definiert Verschlüsselungsalgorithmus (CBC-DES) und Authentifizierungsmethode (MD5 oder SHA-1) RFC 3826 zur Verschlüsselung mit AES noch nicht eingesetzt. Authentifizierung mit MD5 ist abhängig von Passwort und Engine-ID. VACM - View-based Access Control Model RFC 3415... definiert welche Anwender mit welchen Operationen (read-only / read-write) Zugriff auf welche Objekte haben. ist ähnlich der Community bei SNMPv1. Hier werden Gruppen angelegt, denen Anwender zugeordnet werden können. Dabei kann eine Gruppe auch nur auf bestimmte Objekte r/w-zugriff besitzen. Folie 4-38
SNMPv3 Security: SNMP Engine ID Bedeutung 80 00 00 F8 05 48 69 72 73 63 68 6D 61 6E 6E Enterprise-OID Herstellerkennung in Hex 0xF8 = 248 Hirschmann MSB = 1 Folie 4-39 SNMPv3-Paketformat (RFC 2572) msgversion msgid msgmaxsize msgflags msgsecuritymodel msgsecurityparameters contextengineid contextname PDU (im SNMPv2-Format) 48 byte Security-Parameter msgauthoritativeengineid msgauthoritativeengineboots msgauthoritativeenginetime msgusername msgauthenticationparameters msgprivacyparameters PDU kann - muss aber nicht - verschlüsselt sein msgversion = 3 - SNMPv3 msgid - vgl. ReqID Folie 4-40
Beispiel Management-Station/Administrator loggt sich ein mit User Name und Passwort Folie 4-41 Authentifizierung Agent Agent wird Authoritative Engine Folie 4-42
Authentifizierung bei SNMPv3 Anmeldevorgang per Web-IF: Login-Name Hash auf Basis des Passworts Folie 4-43 Security: Timeliness EngineBoots EngineTime LatestReceivedEngineTime AE verschickt als Response msgauthoritativeengineboots, msgauthoritativeenginetime. NAE gleicht ihre Werte snmpengineboots und snmpenginetime ab, wenn ein höherer Boots-Wert oder bei gleich hohem Boots- Wert eine höhere EngineTime empfangen wird. vermutlich authentisch, aber unbrauchbar nicht authentisch authentisch EngineTime -150 s 0 s msgauthenginetime - snmpenginetime Folie 4-44
SNMPv3-Nachrichten Agent GET REQUEST GET NEXT REQUEST GET Bulk REQUEST SET REQUEST RESPONSE RESPONSE RESPONSE RESPONSE RESPONSE Report Inform REQUEST TRAP (SNMPv2) Report Folie 4-45 Praxisübung SNMP-Paketformat Vorbereitung: Netz mit managebare Komponenten aufgebaut Wireshark und Java-Plug-in verteilt / auf FTP-Server bereitgestellt und installiert auf Studenten-Rechnern Durchführung: Prüfen Sie mit einem Ping, ob Sie einen der Switches erreichen! Starten Sie Wireshark und Ihren Web-Browser Starten Sie die Aufzeichnung per Wireshark und bauen Sie dann sofort per Browser eine Verbindung zu dem Switch auf! Login: admin ; Passwort: private Gehen Sie in ein beliebiges Menü (nun werden im Hintergrund Daten eingelesen), z.b. die Port-Statistik. Beenden Sie nun die Aufzeichnung! Interpretieren Sie die ersten Pakete! Folie 4-46
Der Proxy-Agent aus Sicht des Managers: Protokoll x Manager Protokoll x Protokoll y Proxy Agent Schnittstelle X-Agent Proprietary- Manager Schnittstelle...realisiert die Kompatibilität durch zwei NM-Protokolle (z.b. SNMP nach NetView - Manager) Folie 4-47 Traps entlasten Netz und Managementstation Ohne Traps: Sämtliche zu überwachende Attribute jedes Agenten müssen regelmäßig gepollt werden Netzlast und Belastung der Managementstation Mit Traps: Ereignismeldungen erfolgen sofort Polling kann auf ein Minimum beschränkt werden Zeit Traps gezieltes Polling nach Trap regelmäßiges Polling Mit Gauges: Traps auch für Messwertüberwachung, keine Überlastung durch den Messwertfluss! Zeit Folie 4-48
Traps unter Windows SNMP-Trap-Dienst Standard-Installation: implementiert und gestartet Unabhängig von SNMP-Dienst Empfängt Traps an Port 162 Verteilt Traps auf mehrere Trap- Empfänger deaktiviert : nur die erste Anwendung, die Port 162 öffnet, empfängt die Traps. SNMP-Dienst für Endgeräte-Agent Folie 4-49 Gauges Applikation: Mittelwerte der Zähler werden überwacht Gauges: zur Überwachung jedes MIB-Attribut Einstellparameter Abtastrate Schwellwerte Fensterbreite Mittelwertüberwachung eines Wertes: oberer Schwellwert überschritten trap Mittelwert sinkt unter die untere Schwelle trap + Freigabe des oberen Schwellwerttraps Untere Schwelle Obere Schwelle Folie 4-50
SMI Structure of Management Information RFC 2578 - SMIv2 Festlegung der Struktur (Baum) einer MIB und damit die Adressierung der Variablen Folie 4-51 Struktur der MIB MIB = Management Information Base root 1 tablea 2 tableb 3 tablec 1 tableaa 2 tableab 3 tableac 1 valuex 1 textstring 2 voltagedc 1 uptime 2 hubreset Objektklasse - Tabelle Object Identifier Object Descriptor generische Objektklasse - Wert oder Angabe Folie 4-52
SMI: Managed Objects Unterscheidung: Managed Object ist Verzweigung im MIB-Baum Generic Managed Object ist Blatt des Baums und hat einen Wert MO besteht aus 5 Feldern: Object: Name Object Descriptor Syntax Definition Access Status Beispiel: sysuptime OBJECT-TYPE SYNTAX TimeTicks ACCESS read-only STATUS mandatory DESCRIPTION "The time (in hundredths of a second) since the network management portion of the system was last re-initialized." ::= { system 3 } Folie 4-53 SMI Structure of Management Information (RFC 1155) Regeln für die Benennung und Definition von Managed Objects Datentypen bei SMIv1 Integer Octet String - für Texte max. Parameter-Wert Object Identifier Gauge NULL Counter NetworkAddress IpAddress - 4 byte Counter: 32 bit 0 t Gauge: 32 bit (im Vergleich zu Counter auch dekrementierbar) TimeTicks: 100stel Sekunde nach 497 Tagen rundgeschrieben Opaque: Octet String, selten genutzt Constructor-Typen Sequence (Liste) u. Sequence of (Tabelle) Neu bei v2: u.a. Counter64 wenn Counter32 innerhalb 1 Std. rundet max. min. Folie 4-54
ASN.1 Abstract Syntax Notation One - die Sprache der MIB einfache Befehle im Klartext lesbar Beispiel aus einer MIB: sysuptime OBJECT-TYPE SYNTAX TimeTicks ACCESS read-only STATUS mandatory DESCRIPTION "The time (in hundredths of a second) since the network management portion of the system was last re-initialized. ::= { system 3 } Folie 4-55 BER Basic Encoding Rules Festlegung, wie Parameter und deren Werte im SNMP-Paket (variable Bindung) transportiert werden Tag Länge Wert Tag (Kennung) Länge Wert Tag 1 byte: MSB 8 7 6 5 4 3 2 1 Tag-Klasse Constructed Tag-Nummer Folie 4-56
Instanz: Exakte Definition eines MIB-Attributes Instanz = exakte Spezifikation - "was und wo" Generische Objektklasse + Device-Nr. + Group-Nr. + Port-Nr. oder speziell für eine Quelladresse Generische Objektklasse + Device-Nr. + Ethernet- Quelladresse Beispiele: venmonhubreadableframes.1 generic object class Device hmmonportreadableframes.1.15.3 generic object class Device.Group.Port venmonsa2readableframes.1.111.22.33.4.55.66 generic object class Device.Ethernet-Adresse (dezimal!) Folie 4-57 Der MIB-Baum 0 ccitt 1 iso 2 joint-iso-ccitt 0 std 3 org 8802 Iso 8802 6 dod 1 ieee802dot1 1 internet 1 ieee802dot1mibs 1 directory 2 mgmt 3 experimental 4 private 6 snmpv2 1 8021paeMIB 2 lldpmib 1 mib II 1 enterprises Folie 4-58
MIB-II-Zweig 1 iso 3 org 6 dod 1 internet 1 directory 2 mgmt 3 experimental 4 private 1 mib II 1 system 2 interfaces 3 at 4 ip 5 icmp 6 tcp 7 udp 10 transmission 7 Ethernet like.. 1 enterprises 11 snmp 5 security 16 rmon 6 snmpv2 26 mau 15 fddi 1 statistics 2 history 11 Folie 4-59 dot-3-mib 1.3.6.1.2.1.10.7 Transmission Ethernet like 2 dot3statstable 5 dot3colltable 1 dot3statsentry 1 dot3statsindex 2 dot3statsalignmenterrors 3 dot3statsfcserrors 4 dot3statssinglecollisionframes 5 dot3statsmultiplecollisionframes 6 dot3statssqetesterrors 7 dot3statsdeferredtransmissions 8 dot3statslatecollisions 9 dot3statsexcessivecollisions Folie 4-60
RMON1-MIB (RFC 1757) 3 org 6 dod 1 internet Gruppe Erklärung 1 statistics Netzstatistikzähler 1 mib-2 2 history Zeitintervalle überwachen 16 rmon 3 alarm Schwellwertüberwachung 4 host Hostüberwachung 5 host TopN Top N der Hosttabelle 6 matrix Verkehrsbeziehungen 7 filter bestimmte Frames lösen Event aus 8 packetcap Abspeichern bestimmter Frames, Puffer-Verwaltung 9 event Auslösen und Protokollieren bestimmter Ereignisse RMON = kleinster gemeinsamer Nenner der Hersteller Folie 4-61 RMON-Zähler (1) etherstatsdropevents etherstatsoctets: zählt Bytes etherstatspkts: zählt Pakete etherstatsbroadcastpkts: zählt Broadcasts etherstatsmulticastpkts: zählt Multicasts etherstatscrcalignerrors: zählt CRC u. Alignment-Fehler etherstatsundersizepkts: Pakete kleiner als 64 byte etherstatsoversizepkts: Pakete länger als 1518 byte etherstatsfragments: Short-Frames mit ALE/FCS-Fehler, etherstatsjabbers, etherstatscollisions, etherstatspkts64octets, etherstatspkts65to127octets, etherstatspkts128to255octets, etherstatspkts256to511octets, etherstatspkts512to1023octets, etherstatspkts1024to1518octets Folie 4-62
RMON2 Selten implementiert 1.3.6.1.2.1.16. Gruppe 11 Protocol Directory 12 Protocol Distribution 13 Address Map 14 Network Layer Host 15 Network Layer Matrix 16 Application Layer Host 17 Application Layer Matrix 18 User History Collection 19 Probe Configuration 20 Conformance Macros Erklärung Folie 4-63 Standards: RMON-1- und RMON-2-MIB RMON 1 MIB RFC1271/RFC1757 Ethernet, RFC 1513 Token-Ring Design-Ziele RMON : Information bereitstellen: News an Netzmanagementstation per Event Langzeit-Statistiken: Analyse historischer Daten Top-Listen z. B. Top-Nutzer modulares Design: unabhängige MIB-Tabellen RMON 2: Stärken: Protokollanalyse, Echtzeit-Monitoring, Historie, konfigurierbar Probes müssen für Änderungen im Standard vorbereitet sein (CPU, RAM) Folie 4-64
SMON (RFC 2613) RMON-Gruppe 22 Funktion Copy Port (Port Mirroring) 1:1, N:1, N:M Switch Monitoring VLAN Monitoring (smonvlanstats, smonpriostats) Zähler - 32 bit und 64 bit für Pakete Non-Unicast-Pakete Oktetts pro VLAN und pro Priorität. Folie 4-65 sflow (RFC 3176) Grundlagen Für Analyse von Hochgeschwindigkeitskommunikation ab Gigabit, die nicht mehr verarbeitet werden kann sflow-entity in Agent Periodisches Ziehen von Proben zur Analyse Sampling-Rate Idee: periodischer Verkehr Leitet Proben-Pakete und Statistiken an anderes Gerät Collector zur Auswertung weiter, auch mehrere möglich Netflow Analysemöglichkeit für Cisco-Komponenten IP-Ströme dekodiert, tabellarisiert und periodisch an NMS zur Verarbeitung übermittelt Folie 4-66
Autotopology mit LLDP Link Layer Discovery Protocol gemäß IEEE 802.1AB Info-Austausch Punkt-zu-Punkt zwischen Nachbarn und NMS Chassis ID Port ID TTL Optionale Informationselemente Optional für Endgeräte, Switches etc. Folie 4-67 Netzmanagement bei WLANs Z.Z. (11/2012) keine öffentliche MIB zu WLAN-Parametern existent IETF: Control and Provisioning of Wireless Access Points CAPWAP Gruppe erarbeitet Lösung für Schnittstellen und Protokolle (WLAN-MIB noch nicht geplant) RFC 5834 Herstellerspezifische Lösungen Parameter: Funkdichte-Messung Funkstärke-Regelung Kanalansteuerung Folie 4-68
Praktikum Netzmanagement mit RMON Implementieren Sie den SNMP-Dienst auf ihrem Rechner, falls noch nicht geschehen nutzen Sie public als readonly-community und private als readwrite tragen Sie eine IP-Adresse als Trap-Ziel ein Installieren Sie HiVision Prüfen Sie die RMON-Zähler ihres Computers und ihres Kollegen Finden Sie heraus, welche RMON-Gruppen Ihr Rechner und der Switch unterstützt, an dem der Rechner angeschlossen ist. Folie 4-69 Boot-Server Rechner im Netz, der Software zum Download zur Verfügung stellt für: Update Upgrade Downgrade Konfiguration per zentrale Config-Files übliches Protokoll: TFTP Server benötigt TFTP-Software UNIX: bereits beim Betriebssystem dabei DOS/Windows: muss zugekauft werden mit TCP/IP-Stack oder per Share- oder Free-Ware separat erhältlich Standard-Boot-Pfade auf Server: /tftpboot/ (bei Sun) /usr/tftpdir/ (bei HP) Folie 4-70
Netzmanagement Klassifikation nach ISO Konfigurationsmanagement Leistungsmanagement Fehlermanagement Sicherheitsmanagement $ Abrechnungsmanagement Folie 4-71 Konfigurationsmanagement Komponente konfigurieren Zustand ermitteln, wie Netzteile und Lüfter i.o., Steckplätze,... Steckplatz/Modul konfigurieren auf Netze der Backplane schalten Reset Ports konfigurieren an-/abschalten auf Netze der Backplane schalten Port-Parameter, wie HDX/FDX, Geschwindigkeit, STP-Parameter Geräte-übergreifend einheitliche Parameter einstellen von zentraler Stelle aus, der Netzmanagementstation. Folie 4-72
Leistungsmanagement Performance Datenlast Lastverteilung (Paketgrößen) Ziel: Optimierung RMON 2 - history Folie 4-73 Leistungsmessung Überwachung auf Port-Ebene Leistungstest mit Paket-Generatoren, z.b. TCPspeed: kontinuierliche Änderung des Graphen ist i.o.; ruckhafte Änderung zeigt Verbindungsabbrüche Leistungstest mit Paket-Generatoren, wie Smartbits teure Hardware-Ausstattung, dadurch nur für wenige Netzbetreiber interessant Bewertung des Ergebnisses unbedingt nötig: ein Workgroup-Switch muss nicht bei 100 % Last non-blocking diese auch bewältigen können, da 100 % Last unwahrscheinlich ist. Korrekte Engpassermittlung: meist ist nicht das Netz der Engpass, sondern das Endgerät mit der entsprechenden Anwendung. Bsp.: Es gibt Anwendungen, die geraten bereits bei 10 % Netzlast in Schwierigkeiten. Verkehrsanalyse (Verbindungsmatrix) mit Analyzer Folie 4-74
Optimierung der Leistungsfähigkeit Reduzieren aller nicht nötigen Pakete durch einschränken der Protokolle auf dem Netz (IPX ist heutzutage nicht mehr nötig, da Novell 5 einen IP-Stack besitzt) Reduzieren der Broadcasts durch Broadcast-Limiter VLANs Subnetting Beseitigen nicht genutzter Funktionen und Geräte Kanalisieren von Multicasts Einsatz von Verwaltungsprotokolle: IGMP auf Schicht 3 und MMRP auf Schicht 2 Statische Filter auf MCs Folie 4-75 Fehlermanagement Fehlersuche mit NM Folie 4-76
Typische LAN-Fehler Probleme an Koax-Segmenten fehlender Abschlusswiderstand (Terminator) Erdungsfehler; Brummschleife überlange Kabelstrecken; zu viele Anschlussdosen Probleme an LWL- und Twisted-Pair-Verbindungen defekte Steckverbindungen (LWL, TP) beschädigte Kabel bei TP: fehlerhafte Aderbelegung defekte Spannungsversorgung Endgerät mit defekter NIC (Netzwerk-Karte) Kommunikationsprobleme, z.b. Broadcast-Stürme Leistungsgrenze erreicht Paketverluste und Verzögerungen Folie 4-77 Fehlerursachen Anzeigen mögliche Ursachen Reguläres Kollisionsprodukt Defekter LAN-Controller / Transceiver Defekter Repeater / Sternkoppler Zu viele Repeater Netzausdehnung zu groß EMS - Elektro- Magnetische Störungen Sternkoppler- Kaskadierung zu hoch Jitter / Verkabelungsschwächen Autonegotiation-Problem ALE Alignment Error x x x x x CD Collision Detection x CDLA Collision Detection Late x x x x x CDLO Collision Detection Long x x x x CDSH Collision Detection Short x x CRC Cyclic Redundancy Check Error x x x x x x FRG Fragment x x x IFG Inter Frame Gap Error x x x x x LC Long Carrier x LL/S Low Light / Segmentation x x x PL Preamble Loss x x x RNT Runt x (x) (x) (x) SF Short Frame x x x x x SHEV Short Event / Spike x x x x Folie 4-78
Frame und Fehler PA SFD DA 7 5,6 1 0,8 6 4,8 SA T/L Daten FCS 6 4,8 2 1,6 46-1500 36,8-1200 0 4,8 9,6 11,2 48-1211,2 4 3,2 Oct. µs 51,2 - µs 1214,4 SP SHEV 0,7-8 µs 0,02-0,7 µs RNT 8-56 µs FRG 56-1220 µs L C > 1,229 ms - 24 Bits PL SF < 64 Oct. ab SFD FCS IFG < 4,7 µs PA Zeitangaben bezogen auf 10 Mbit/s Folie 4-79 Kurzbezeichnungen PA Preamble Field SFD Start Frame Delimiter DA Destination Address SA Source Address LF/TF Length / Type Field DF Data Field FCS Frame Check Sequence ALE Alignment Error: Bits nach SFD nicht durch 8 teilbar CRC Cyclic Redundancy Check:Prüfwert im FCS-Feld stimmt nicht FRG Fragment: Ereignis zwischen 56-1220 µs IFG Inter Frame Gap: Paketabstand < 4,7 µs (Soll: 9,6 µs) LC Long Carrier: Ereignis > 1,229 ms PL Preamble Loss: Fehlen von mind. 24 Preamble Bits RNT Runt: Ereignis zwischen 8-56 µs SHEV Short Event: Ereignis < 8 µs SF Short Frame: Paket < 64 Octets nach SFD SP Spike: Ereignis zwischen 0,02-0,7 µs Folie 4-80
Ereignisbehandlung Alarmierung des Netz-Administrators durch E-Mail SMS Pager Pop-Up-Fenster oder durch andere Automatisierter Start einer Anwendung Log Syslog-Server Folie 4-81 Sicherheitsmanagement Security Direkte Zugriffsicherheit am jeweiligen Gerät Lokaler oder Remote Zugang per Passwort gesichert, Traps bei Login an Management-Station Passwort Community bei jedem Befehl der Management-Station Zugriff auf definierte IP-Adressen eingeschränkt Intrusion Control Sicherheit gegen unberechtigtes Verbinden mit einem Gerät (MAC- Adresse): Port wird automatisch abgeschaltet und Alarm an Management-Station generiert durch Festlegen einer erlaubten MAC-Adresse pro Port IEEE 802.1X Authentifikation remote per RADIUS-Server Folie 4-82
Zugriff-Sicherheit Lokal (V.24) Passwort Community LAN Inband (Telnet / SNMP) Folie 4-83 SNMPv1 Sicherheit NMS: SNMP-Server Einstellungen: get-community: z.b. public set-community: z.b. private Access-Tabelle IP-Station NMS IP1 IP2 Community public + + - hirma - - - private + - - Set-Request mit Community private Get-Response Folie 4-84
SNMPv3 Sicherheit Authentifizierung mit MD5 oder SHA1 oder 2 Verschlüsselung der Daten per 3DES oder AES Timeliness gegen Man-in-the-middle Schutz gegen Replay Folie 4-85 Abrechnungsmanagement Accounting Ab Schicht 3 (Router) aufwärts von Bedeutung Teilnehmern werden die Kosten in Rechnung gestellt, die sie erzeugen, zumeist WAN-Kosten Generell könnten auch die LAN-Kosten aufgeteilt werden. Folie 4-86