# C.6 Võrguhaldus

Selle teema materjale läbi töötades:

• Õpid kirjeldama võrguhalduse põhimõtteid ja lihtsat võrguhalduse protokolli SNMP
• Saad ülevaate süsteemi- ja võrguhalduse vahenditest.

# C.6.1 Võrguhalduse põhimõtted

Selle alateema materjale läbi töötades õpid:

• Kirjeldama peamisi võrguhaldussüsteemi funktsioone ja hallatavaid parameetreid
• Võrdlema erinevaid võrguhaldussüsteemide arhitektuure.

# C.6.1.1 Võrguhalduse põhifunktsioonid

Võrgurakenduste muutumine elutähtsaks ettevõtete opereerimisel on põhjuseks, miks on vaja võrgus toimuvat pidevalt monitoorida ja tuvastada võimalikud probleemid kiirelt. Võrguprobleemid võivad ettevõttele maksma minna palju raisatud töötunde, rikkuda ärisuhteid ja ruineerida avalikku imagot. Seetõttu on hädavajalik omada tööriistu, mis suudavad tuvastada häired võrgu töös või võrguteenuse kättesaamatuks muutumise. Võrguhaldus peab võimaldama võrgu kontrolli, konfimist ja analüüsimist mõistliku hinnaga, et tagada võrguteenuse vajalik jõudlus ja kvaliteet.

Võrguhalduse üldnõuded:

• Tagada võrgu ja teenuste jätkuv töö ja avastada võimalikud probleemid
• Anda ülevaade võrguressurssidest ja näitama nende seosed
• Anda ülevaade vajalikest hooldustegevustest (tarkvara- ja seadmete uuendused)
• Võimaldada võrguseadmete keskset konfimist

Haldusfunktsioonidel on järgmised kategooriad:

• Konfiguratsioonihaldus
• Tõrkehaldus
• Jõudlushaldus
• Turvahaldus
• Kasutajate haldus
• Aruandluse koostamine

Tõrkehalduseks Fault Management / Breakdown Management nimetatakse võrguhaldust, mille ülesandeks on leida ja tuvastada tõrkeid võrkudes. Kaasaegsed vahendid sisaldavad ka võimalusi tõrgete parandamiseks ning ennetamiseks.

Tõrkehaldus sisaldab vähemalt kolme faasi:

• Tõrke leidmine ja tõrketüübi tuvastamine ja klassifitseerimine tähtsuse järgi
• Tõrkeallika isoleerimine
• Tõrketeate edastamine ja võimalusel parandamine

Tööriistad, mida saab kasutada tõrkehalduse protsessis on:

• Probleemi tuvastamistööriistad, mis informeerivad administraatorit veaolukorrast
• Veaanalüüsi tööriistad, mis suudavad vea põhjuse välja selgitada
• Laiendatud tööriistad, mis töötavad seadmete püsivara tasemel ja suudavad ka veaolukordi automaatselt lahendada. Näiteks marsruuteri tarkvara oskab tuvastada katkenud võrgutee ja marsruute võrguliikluse alternatiivset teed kasutades.

Joonis 6‑1. Tõrkehaldussüsteem (Allikas: Learning Materials for Information Technology Professionals (EUCIP-Mat))

Samas ei saa kõiki selliseid lahendusi klassifitseerida üldisteks võrguhaldusvahenditeks, vaid tegemist on teatud spetsiifiliste tehnoloogiatega seotud lahendustega.
Kaasaegsed võrguhaldustööriistad on graafilise liidesega ja võimaldavad erinevaid probleemidest teatamise mehhanisme. Et efektiivselt hallata tuvastatud probleemide lahendamist on oluline integreerida tõrkehaldus kasutajatoe ja probleemijuhtimise protseduuridega.

Võrguhaldustegevus peab olema toetatud konfiguratsioonihaldus protsessiga, kaughaldusvõimalustega ja võimalusega häälestada ettevõtte võrguseadmete konfiguratsiooniparameetreid. Sel kujul on võimalik arhiveerida erinevaid juhtumeid ja võrguseadmeid keskserveris ning sisse viia regulaarne hooldustegevus võrguseadmetele.
Väga oluline on ka turvaseisukohalt võimalus kontrollida kasutusel konfiguratsiooni igapäevaselt ja võrrelda seda ootuspäraste tulemustega. Selline praktika võimaldab kiirelt tuvastada võimalikud ründed seadmetele. Seetõttu peab iga võrguhalduslahendus sisaldama ka tööriistad konfiguratsioonihalduseks. See võib olla lihtsakoeline süsteem, mis suudab vaid tuvastada seadmed või ka keerukam, mis suudab seadmete logifaile kontrollida, tuvastada vead konfiguratsioonis ja koostada aruandluse seadmete kasutusstatistikast.

Jõudlushaldus (Performance Management) on võrguhaldus, mis võimaldab jälgida võrgusõlmede ja seadmete koormust ning teha nii kindlaks võimalike võrkude kitsaskohti. Selleks analüüsitakse võrguseadmeid ja nende kasutust ning ka võrgu infrastruktuuri vastavust nõuetele. Sellised tegevused toetavad ka võimekuste planeerimise protsessi, andes sellele vajalikku sisendinfot, et defineerida poliitikad seadmete efektiivseks kasutamiseks.

Jõudlushaldus hõlmab:

• Seadmete kasutusstatistika kogumist
• Teadustamiskünnise (Notification Threshold) defineerimist
• Võimalikud testimis- ja simuleerimistegevused
• Aruandluse koostamine

Jõudlushalduse rakendamiseks on vaja hinnata:

• Edastatavate andmete hulka ajaühikus ja summaarselt
• Seadmete või teenuste reageerimisaeg tipptunnil, mis arvutatakse päringuaja, töötlemisaja ja vastamisaja summeerimisega.
• Tagasilükatud päringute protsent ülekoormuse tõttu
• Käideldavus, mis mõõdetakse kahe järjestikuse veaolukorra keskmisest ajavahest
• Tuvastada madala koormusega aeg hoolduse tegemiseks

Võrkude turvahaldus (Security management) kasutab erinevaid võrguhaldusvahendeid ja –süsteeme võimalike rünnete ning muude turvaohtude tuvastamiseks, ennetamiseks ning tõrjumiseks.

Võrgu turvamine saab alguse info defineerimist, mis on kriitiline ettevõtte turvalisuse tagamiseks või puudutab töötajate isikuandmete privaatsust. Järgmiseks on vaja identifitseerida juurdepääsukanalid nagu terminaliteenused, FTP, HTTP serverid, võrkude jagamine ja kõik mis seotud nende teenuste avalikuks tegemisega kaasaarvatud asjassepuutuvad infrastruktuuriteenused nagu DNS.

Andmete turvamine võib olla teostatud erinevatel tasemetel:

• Andmelingi kihis kasutades krüptograafiat
• Võrgukihis, lubades valitud liikluse, filtreerides pakette
• Rakenduskihis, läbi turvalise ja kindla autentimisprotseduuri

Samal ajal peab võrguhaldus arvestama, et ei oleks takistatud tööks vajalike teenuste toimimine ja kättesaadavus. Ehk siis tuvastama teenusetõkestamise ründed. Turvahaldus peab tõkestama võimalikud ründed ja andmete varastamise katsed või andmete muutmise katsed ja teenuste tõkestamise ohud. Selleks peab turvahaldussüsteemi infrastruktuur olema varustatud kontrolli ja jälgimissüsteemidega, mis suudavad tuvastada info kasutuse kiirelt ja efektiivselt. Kontrollisüsteemid hoiavad ära autoriseerimata juurdepääsu, jälgides ja informeerides administraatorit võimalikest rünnetest ja autoriseerimata juurdepääsu katsetest.

Tööriistu võrgu kaitseks saab eristada passiivseteks ja aktiivseteks, vastavalt sellele kuidas toimib nende jälgimismehhanism. Passiivsed võimaldavad võrgu hetkeseisu kontrollida teatud ajaintervallide tagant aga aktiivsed mõõdavad pidevalt teenuste ja seadmete kasutust reaalajas ning reageerivad kahtlastele juhtumitele toimumise hetkel nii teadete kui ka konfiguratsioonimuudatuste kaudu.

Jälgida on vaja ka üksikute kasutajate võrguressursside kasutust. Selle info põhjal on võimalik tuvastada kasutajatepõhine võrgukoormus ja vajadusel reageerida ja prioritiseerida võrguliiklus efektiivselt, et takistada võrgus ummistusi. Näiteks tuleb anda prioriteet VoIP liiklusele ja piirata failide allalaadimisele jagatavad võrguliikluse mahtu.
Vastavalt sellele millise võrgumeediumi kaudu liigub võrguhalduse liiklus jagunevad võrguhaldussüsteemid kas välispidiseks (offline), kui halduse jaoks on eraldi võrguinfrastruktuur või seespidiseks (inline), kui võrguhaldus toimub samal võrgumeedial kus muu aktiivne võrguliiklus. Näiteks on võrguliikluse parameetrite mõõtmiseks on kohane kasutada halduse jaoks sama võrku, mida mõõdetakse.

# C.6.1.2 Võrguhalduse parameetrid

Võrguhalduse jälgitavad parameetrid:

• Levimisaeg propagation time on aeg andmepaketi ülekandmiseks allikast kuni sihtpunktini. Ajaintervall mõõdetakse hetkest kui andmed väljastatakse võrgumeediale. See aeg sõltub kasutatavast võrgumeediast (fiiberoptika, keerdpaar, jne.), võrgu läbilaskevõimest (100 Mbit, 1 Gbit, 10 Gbit, jne) ja alg- ning sihtpunkti vahelisest kaugusest.
• Järjekorra viide Queing Delay on keskmine ajaintervall mil andmepakett ootab seadme järjekorras enne teele saatmist või saabumisel enne rakendusele edastamist.
• Viide Delay on ajaintervall andmepaketi jõudmiseks allikast sihtpunktini. See sisaldab kõiki vahepealseid viivitusi nagu levimisaeg ja järjekorra viide.
• Ribalaius Bandwidth kirjeldab võrguühenduse ülekandevõimet ehk andmehulka, mida saab üle kanda ajaühikus. Seda mõõdetakse Mbit/s, kbit/s.
• Pudelikaela läbilaskevõime Bottleneck Bandwidth mõõdab kõge aeglasema võrgulüli ülekandekiirust paketi teekonnal.
• Läbilase Throughput mõõdab andmehulka, mis on võimalik saata üle võrguühenduse ajaühikus.
• Latentsusaeg Latency on andmepaketi liikumisaeg allikast sihtpunktini.
• Paketikadu Packet Loss pakettide protsent, mis läheb teel kaduma.
• Värin Jitter on viivituse varieerumine paketikaupa. Mõõdetakse millisekundites.

Tasemel võrguhaldussüsteemi platvorm võimaldab jälgida neid parameetreid reaal-ajas ja sisaldab ka mõõdikute graafilist esitamist. Need platvormid toetuvad arhitektuuridele, mis on ühised kõigile protokollidele ja sisaldavad agendi, halduse andmebaasi MIB ja haldus- ning jälgimistööjaama.

Joonis 6‑2. Võrguhaldussüsteemi konsool (Allikas: Learning Materials for Information Technology Professionals (EUCIP-Mat))

# C.6.1.3 Erinevad võrguhalduse arhitektuurid

Põhimõttelised elemendid võrguhaldussüsteemis on järgmised:

• Võrguhalduskonsool
• Hallatavad seadmed koos agentidega
• Võrguhaldusprotokoll

Joonis 6‑3. Võrguhaldussüsteemi komponendid (Allikas: Learning Materials for Information Technology Professionals (EUCIP-Mat))

Võrguhaldusrakendusega seotud elemendid on:

• Võrguhalduskonsool
• Hallatavad seadmed ja nende agent

Võrguhalduskonsool on võrguhalduse arhitektuuri tähtsaim element. See on harilikult seotud tööjaamaga, millel on vajalikud liidesed võrguhalduseks ja haldussüsteemi mootor. Konsooli kaudu pääseb administraator juurde haldamissüsteemi infole, reaal-ajas võrguparameetritele ja seadmete konfiguratsiooniandmetele. koos agentidega varustatud seadmetega ja andmebaasiga ongi võrguhaldussüsteem, et saada ülevaate võrguseadmete seisukorrast

Joonis 6‑4. Võrguhalduskonsool (Allikas: Learning Materials for Information Technology Professionals (EUCIP-Mat))

Hallatavate seadmete hulka kuuluvad kõik aktiivsed võrguseadmed nagu tööjaamad, serverid, jagurid, lülitid, lüüsid ja marsruuterid. Need seadmed sisaldavad vastavat haldustarkvara moodulit ehk agenti, mis kogub jõudlus- ja tööinfot. Agendid salvestavad selle info MIB'is. Agendid, MIB ja konsool on võrguhaldussüstem. MIB on vastavalt defineeritud andmebaas, millesse kogutakse kokku agentidelt saabunud info. MIB info vahendamine võrguhaldussüsteemiga toimub läbi võrguhaldusprotokolli, näiteks SNMP (Simple Network Management Protoćol). Agendid, tuvastades probleemi seadmega, saadavad kohe häire haldusüksusele. Viimane aktiveerib selle peale ühe või rohkem tegevusi, näiteks saadab operaatorile teate, salvestab sündmuse, sulgeb süsteemi, proovib välja selgitada vea põhjust automaatselt. Haldusüksus võib koguda ka täiendavat infot agentidelt kas automaatselt või operaatori vahendusel.

Võrguhaldussüsteemi arhitektuur võib olla kas jagatud (distributed) või tsentraliseeritud (centralised).

Tsentraliseeritud võrguhaldussüsteemi korral on kogu haldussüsteem koondunud ühte võrgualasse, milleks on sageli ettevõtte halduskeskus. Agendid jagatakse üle interneti ja need saadavad andmeid nagu ping ja SNMP päringute vastused kesksele haldusüksusele. Andmete saatmine võib toimuda kas eraldatud võrgumeediumi või töövõrgu kaudu.

Jagatud võrguhaldussüsteem tähendab, et võrguhaldusteenused ja agendid on jagatud üle interneti. Sel kujul saab kasutada hierarhilist haldust, mille puhul hierarhias allpool paiknevad võrguhaldussüsteemid saadavad andmeid tsentraliseeritud haldussüsteemidele. Sellisel juhul saab kasutada madalamal astmel andmete filtreerimist enne info edastamist tsentraalsele haldussüsteemile ja nii piirata võrguhalduse ülemäärast andmeliiklust üle interneti. Teine eelis jagatud süsteemides on, et andmekogumine jätkub ka siis kui süsteemi üksikud osad töötamast lakkavad. Puuduseks jagatud võrguhaldussüsteemi puhul on arhitektuuri ja haldamise keerukus.

# C.6.1 Kordamisküsimused

# C.6.2 Lihtne võrguhaldusprotokoll (SNMP)

Selle alateema materjale läbi töötades õpid kirjeldama SNMP protokolli peamisi komponente ja teenuseid.

# C.6.2.1 SNMP põhikomponendid

SNMP põhikomponendid on järgmised.

# SNMP olemus

Vajadus jälgida võrgukoormust ja seadmete konfiguratsiooniandmeid tõstatab vajaduse andmekogumise tarbeks vajalike protokollide defineerimiseks.

SNMP (Simple Network Management Protocol) on võrguhaldusprotokoll, mis koosneb komplektist operatsioonidest, mis võimaldavad administraatoritel muuta või kontrollida võrguseadmete parameetreid. Näiteks võib administrator kasutada SNMP'd et lülitada välja marsruuteri võrguliides või tuvastada selle töökiirust. SNMP eelkäijaks oli SGMP (Simple Gateway Monitoring Protocol). Viimase puhul oli tegemist protokolliga marsruuterite haldamiseks.

Põhjused, miks just SGMP aluseks valiti olid:

• Vähendada agentide fuktsioonide keerukust, mis omakorda vähendab tarkvaraarenduskulu, teeb võimalikuks sama tehnoloogiat rakendada eri seadmetel ja tagab lihtsa funktsioonide laiendatavuse ilma vajaduseta agente otseselt muuta.
• Infomõõdikute lihtne lisamise võimalus
• Sõltumatus spetsiifilisest võrguarhitektuurist
• Ühenduseta võrguprotokolli toetus kiireks infovahetuseks
• Sõltumatus teistest võrguteenustest

# SNMP versioonid

IETF (Internet Engineering Task Force) on vastutav organisatsioon, kes defineerib võrgustandardeid ja sealhulgas SNMP. See organisatsioon publitseerib RFC (Request for Comments) dokumendid, mis on spetsifikatsiooniks paljudele protokollidele, mis eksisteerivad IP sfääris: http://www.ietf.org/rfc.html

Dokumendid liiguvad kavandi staatusest kuni kinnitatud staatusesse, saades nii standardi staatuse.

SNMP erinevad versioonid on:

SNMP Versioon 1 (SNMPv1) on esialgne versioon SNMP protokollist. Seda defineerib RFC 1157. SNMPv1 turvalisus baseerub kogukondadel. Kogukondi on kolm: jälgimine (lubatud ainult lugemisoperatsioon), juhtimine (lubatud lugemis- ja kirjutamisoperatisoon) ja Trap (ainult katkestuste edastamise õigus). Parool edastatakse krüpteerimata kujul. Tegemist on standardiga, mida paljud seadmetootjad rakendavad.

SNMP Versioon 2 (SNMPv2) on viidatud kui kogukonna-stringi-baasil SNMPv2. Tehniliselt on selle versioon SNMPv2c. Seda defineerib RFC 3416, RFC 3417 ja RFC 3418.

SNMP Versioon 3 (SNMPv3) on kõige viimasem SNMP versioon. Selle peamine erinevus eelmistega on võrguhalduse turvalisus. Ta lisab tugeva autentimise võimaluse ja krüpteeritud ühenduse haldusüksuste vahel. Selle standardi defineerivad järgmised dokumendid: RFC 3410 kuni RFC 3418 ja RFC 2576.

# Haldurid ja agendid

SNMP põhiüksused on haldurid ja agendid.

Haldur on server, millel töötab teatud liiki tarkvarasüsteem, mis suudab läbi viia võrguhaldusülesandeid. Halduritele viidatakse sageli kui võrguhalduskeskustele (NMS – Network Management Station). NMS võtab vahetab infot (Poll) ja võtab vastu katkestusi (Trap) agentidelt. Poll on võrguterminoloogias agendile infopäringu saatmine. Kogutud infot saab kasutada võrguprobleemide lahendamisel.

Trap on meetod kuidas agent saab teatada NMS'ile häireolukorrast. Trap'e saadetakse asünkroonselt, mitte vastuseks halduri päringule. Haldur otsustab, mis saadetud info peale edasi teha. Näiteks kui internetiühendus katkeb võib marsruuter saata selle kohta Trap teate haldurile ja haldur saadab selle peale sõnumi (SMS, e-post, jne.) administraatorile.

Agent on tarkvaraprogramm, mis töötab hallataval võrguseadmel. See võib olla eraldi rakendus või võib see olla integreeritud operatsioonisüsteemi (näiteks marsruuteri või UPS'i püsivarasse).

Poll ja Trap võivad toimuda samaaegselt.

# Haldusinfostruktuur ja MIB'id

Haldusinfostruktuur (SMI – Structure of Management Information) võimaldab defineerida hallatavad objektid ja nende käitumise.Agendil on tema valduses objektide kogum, mida ta jälgib. Üks selline objekt on marsruuteri tööseisund. Objektide nimekiri defineerib selle info, mida NMS saab kasutada, et tuvastada seadme tervislik seisund, millel agent töötab.

Haldusinfo andmebaas (MIB – Management Information Base) on hallatavate objektide andmebaas, mida agent jälgib. Erinevat liiki staatuse ja statistikainfo, mida NMS saab kasutada, on defineeritud MIB'is. Kui SMI võimaldab defineerida hallatavad objektid siis MIB on konkreetse objekti defineering kasutades SMI süntaksit. Igal võrguseadmel on oma lokaalne MIB, kus salvestuvad seadmega seotud andmed.

Agent võib kasutusele võtta mitu MIB'i aga kõik agendid kasutavad üht spetsiifilist MIB'i, mida nimetatakse MIB-II (RFC 1213). See standard defineerib muutujad sellistele mõõdikutele nagu võrguliidese statistika ja muudele süsteemiga seotud parameetritele. Peamine eesmärk MIB-II'l on varustada võrguhaldust seadmete infoga ja see ei kata kõiki seadme spetsiifilisi haldusvõimalusi.

Eraldi spetsiifiliste seadmete (ATM, FDDI, jne) ja teenuste (e-post, DNS, jne) haldamiseks ja info kogumiseks on defineritud oma MIB'id ja vastavad RFC'd on näiteks:

• ATM MIB – RFC 2515
• Frame Relay DTE Interface Type MIB – RFC 2115
• RADIUS Authentication Server MIB – RFC 2619
• DNS server MIB – RFC 1611

Võrguseadmete tootjatel on õigus defineerida oma MIB'id oma kasutuseks. Näiteks uue marsruuteri agent võib kasutada MIB-II standardis defineeritud muutujaid ja tõenäoliselt kasutab ta MIB'e vastavalt kasutatavatele võrguliideste tüüpidele ning lisaks võib marsruuter sisaldada uusi omadusi, mida saab jälgida aga mis ei ole kaetud standardses MIB'is. Seega saab seadme tootja defineerida oma MIB'i, mis defineerib seadme spetsiifilised objektid.

MIB'i kasutamiseks koos võrguhaldussüsteemiga peab agent vastavat MIB'i toetama. Seega on mõtekas laadida haldurisse vaid need MIB'id, mis on agentide poolt toetatud.

# Objektide nimetamine

Hallatavad objektid on organiseeritud puukujulisse hierarhiasse. Sellel struktuuril baseerub SNMP nimeskeem. Igal objektil oma OID identifikaator , mis unikaalselt defineerib hallatava objekti. Nimed on esitatud kahel kujul: numbriliselt ja inimese poolt loetavas formaadis. Mõlemal juhul on tegemist pikkade ja ebamugavate nimedega ning SNMP rakenduse arendusel on vaja arvestada kuidas esitada nimeruumis navigeerimine kasutajatele mugavalt.

Objekti ID koosneb täisarvude seeriatest, vastavalt puu hargnemisele ja on eraldatud punktidega. Inimese poolt loetav kuju on nimede seeriad, mis eraldatud punktidega.

# C.6.2.2 SNMP teenused

SNMP teateid info kogumiseks vahendatakse andmeühikutega PDU (Protocol Data Unit) formaadis.

Igal allpoolloetletud SNMP operatsioonil on standardne PDU formaat:

• Get
• GetNext
• GetBulk (SNMPv2 ja SNMPv3)
• Set
• GetResponse
• Trap
• Notification (SNMPv2 ja SNMPv3)
• Inform (SNMPv2 ja SNMPv3)
• Report (SNMPv2 ja SNMPv3)

Joonis 6‑5. SNMP operatsioonid (Allikas: Learning Materials for Information Technology Professionals (EUCIP-Mat))

Get päring on algatatud NMS'i poolt, mis saadab selle päringu agendile. Agent võtab päringu vastu ja töötleb seda.Agent saadab päringule vastuse kasutades Getresponse operatsiooni ja NMS töötleb saabunud andmed. Üks osa Get päringust on muutuja, millega defineeritakse MIB objekt, mida päringu saatja teada soovib. Muutuja on seotud OID nimega.

GetNext operatsioon võimaldab edastada käskude jada, et seadmelt kätte saada grupp erinevadi muutujaid. GetResponse vastab päringutele.

GetBulk võimaldab kohale tõmmata suuremaid tabelisektsioone korraga.
SetRequest teade saadetakse agentidele, et luua, salvestada või muuta mingit väärtust. Agent vastab Response teadetega.

Agentidele saadetud päringute protsessimise staatusest annavad tagasisidet veateated vastavate koodidega.

Trap abil saab agent teatada NMS'i häireolukorrast. Näiteks võivad Trap teated sisaldada eeldefineeritud infot:

• Külm start (Cold Start) – hallatav seade taaskäivitus, mis võib kasa tuua seadme ümberkonfigurerimise
• Kuum start (Warm Start) – hallatav seade tegi taaskäivituse ilma alglaadimiseta
• Ühendus puudub (Link Down) – üks võrguliides ei tööta
• Ühendus olemas (Link Up) – liides on veaolukorrast taastunud
• Autentimisviga (Authentication Failure) – tööjaam üritab seadmega ühenduda aga ei suuda korrektselt autentida

SNMP Notification on standardiseeritud Trap tagasiside PDU vorming.

SNMP Inform on kinnitus Trap teate vastuvõtmisest.

SNMP Report on SNMP sõnumitöötluse häiretega seotud info vahetamiseks.

# C.6.2.3 SNMP piirangud

SNMP algversiooni puudusteks võib loetleda:

• Sõnumivahetuse tagasisidekinnituse probleemid Trap alarmide puhul kuna kasutab transpordiks UDP ühenduseta protokolli

• Üleliigne võrgukoormus, mis tuleneb sõnumivahetusest agentide ja haldurite vahel

• Puudulik turvalisus autentimisel ja krüpteerimisvõimaluste puudumine. Autentimine SNMPv1 ja SNMPv2 versioonides toimub krüpteerimata parooli abil, mis saadetakse agendi ja halduri vahel. Sel kujul võib pahatahtlik kasutaja parooli pealt kuulata ja hiljem kasutada seda seadme poole pöördumiseks ja selle info lugemiseks või seadme ümberkonfigureerimiseks.

Joonis 6‑6. SNMP sõnumivahetuse teekond (Allikas: Learning Materials for Information Technology Professionals (EUCIP-Mat))

Probleemidele pakuvad lahendusi versiooniuuendused SNMPv2 ja SNMPv3.

SNMPv2 toob kasutusele haldusinfostruktuuri (SMI) mõiste, millest oli juttu eespool ja mis aitab paremini struktureerida SNMP objekte erinevate tootjate poolt.
SNMPv2 toob sisse ka jagatud arhitektuuriga võrguhalduse mõiste, mille puhul on võrguhalduses rohkem kui üks halduri funktsiooni täitev üksus ja see võimaldab laiendatud võrguhaldust, mis võimaldab omakorda halduse liiasust (redundancy) ja balansseeritud ülesannete jaotust. SNMPv2 puhul saab kasutada tsentraliseeritud võrguhaldust koos jagatud võrguhaldusega. Eksisteerivad süsteemid, mis võivad täita nii agendi kui ka halduri rolli. Praktikas tähendab see seda, et agent võib toimida nii NMS päringule vastamisega kui ka vahendada päringuid, mis edastatud teistele seadmetele.

Joonis 6‑7. SNMPv2 arhitektuur (Allikas: Learning Materials for Information Technology Professionals (EUCIP-Mat))

NMS võib nõuda agendilt andmete pärimist teise süsteemi MIB'ist. Sellisel juhul vahendab agent teise süsteemi andmed, võttes endale ajutiselt halduri rolli. Sõnumivahetused on topelt küsimuse/vastuse vormis ja ei vaja ühendusega protokolli.

SNMPv2 defineerib ka uued sõnumivahetusoperatsioonid: GetBulk, Notification, Inform ja Report (vt. eespool sõnumite selgitust).

Joonis 6‑8. PDU formaat erinevatele päringutele (Allikas: Learning Materials for Information Technology Professionals (EUCIP-Mat))

Sõnumite vastustes on defineeritud veakoodid, mis annavad teada pärinu protsessimise staatusest. GetBulk lahendab probleemi suurte andmemassiivide edastamiseks.

SNMPv3 lahendab turvalisusega seotud probleeme, mis on SNMP protokolli suurim nõrkus alates protokolli loomisest, tuues juurde kolm võtmeteenust: autentimine, konfidentsiaalsus ja juurdepääsukontroll. Enne SNMPv3 kasutuselevõttu oli SNMP protokoll pigem seadmetelt info kogumiseks kui seadmete konfigureerimiseks, sest puudu jäi turvalisusest. SNMPv3 muudab ka defineeringut halduritele ja agentidele – mõlemad on nüüd defineeritud SNMP üksusteks (SNMP entities). Iga üksus sisaldab SNMP töötlusseadme ja ühe või rohkem rakendust. Sellega seoses on muutunud ka kogu arhitektuuri definitsioon. See definitsioon võimaldab eraldada erinevad SNMP süsteemi osad tehes nii turvalisuse rakendamise võimalikuks.

SNMPv3 töötlusplokk sisaldab järgmisi mooduleid:

• Dispetšer (Dispatcher) , mille töö on saata ja vastu võtta sõnumeid, tuvastada nende versioon ja edastada sõnumitöötlusmoodulile. Dispetšer saadab ka SNMP sõnumeid teistele üksustele.
• Sõnumitöötlusmoodul (Message Processing Subsystem) valmistab sõnumid ette saatmiseks ja eraldab vastuvõetud sõnumist andmed. See moodul võib sisaldada eraldi töötlemismooduleid eri versioonide jaoks.
• Turvamoodul (Security Subsystem) pakub autentimis ja privaatsusteenuseid. Autentimine kasutab kas kogukonna paroole (SNMPv1 ja SNMPv2) või SNMPv3 kasutajapõhist autentimist. Viimane kasutab MD5 ja SHA algoritme kasutajate autentimiseks. Privaatsusteenus kasutab DES algoritmi et krüpteerida ja dekrüpteerida SNMP sõnumid.
• Juurdepääsukontrollimoodul (Access Control Subsystem) kontrollib juurdepääsu MIB objektidele. Võimalik on seadistada, mis kasutajad milliseid objekte näevad ja milliseid operatsioone nad saavad objektidega teha.

SNMP rakendused:

• käsu generaator (Command generator) – genereerib get, getnext, getbulk ja set päringuid ja töötleb vastuseid. Seda rakendust kasutab NMS päringute saatmiseks seadmetele.
• Käsule vastaja (Command responder) – vastab käsu generaatori päringutele. Seda rolli täidab SNMPv1 ja SNMPv2 puhul agent ja SNMPv3 puhul seadme vastav üksus.
• Teate saatja (Notification originator) – genereerib SNMP trap'e ja teateid. Seda viib läbi seadmel rakendatud üksus
• Teate vastuvõtja (Notification receiver) – Võtab vastu trap'e ja inform sõnumeid. Seda kasutab NMS.
• Puhvri vahendaja (Proxy forwarder) – aitab edastada sõnumeid üksuste vahel.

Joonis 6‑9. SNMPv3 arhitektuur (Allikas: Learning Materials for Information Technology Professionals (EUCIP-Mat))

PDU sõnum, mida genereerib SNMP rakendus läbib SNMPv3 töötlusmooduli, mis koosneb dispetšerist, sõnumitöötlusmoodulist, turvamoodulist ja juurdepääsumoodulist

SNMPv3 turvasüsteemi autentimismehhanism kontrollib vastuvõetud sõnumi saaja autentsust. Sellega tagatakse, et sõnumit ei ole muudetud, viivitatud või korratud ülekandel. Selle saavutamiseks kombineerib SNMP räsifunktsiooni salajase võtmega vastavalt HMAC (Hashed Message Authentication Code) lähenemisele. Autentimiseks luuakse räsi MD5 ja SHA1 algoritmidega ja kasutades HMAC algoritmi arvutatakse sõnumi räsi. Autentimise salasõna või salajane võti lisatakse andmetele enne räsi arvutamist. Salajane võti peab olema teada saatjale ja vastuvõtjale ja peab olema vähemalt 8 tähemärki pikk.

Andmete krüpteerimine tehakse CBS-DES algoritmiga ja krüpteerimise läbiviimiseks peavad saatja ja vastuvõtja teadme salajast võtit.Võti salvestatakse seadme tabelis, mida nimetatakse USM kasutaja tabel (USM User Table). Viimane salvestab kõik kasutajad, kellel on juurdepääs süsteemile SNMP kaudu. Seal sisalduvad järgmised elemendid: kasutaja nimi, autentimisprotokoll, autentimisvõti, privaatsusprotokoll, privaatsusvõti.

# C.6.2 Kordamisküsimused

# C.6.3 Süsteemi- ja võrguhaldusrakendused

Selle alateema materjale läbi töötades õpid:

• Kirjeldama erinevusi süsteemi- ja võrguhalduse tööriistade vahel
• Määratlema mõned laialtkasutatavad tarkvararakendused süsteemi- ja võrguhalduseks
• Määratlema võrguhaldustarkvara opereerimiseks vajalikud infrastruktuurinõuded.

# C.6.3.1 Erinevused süsteemi- ja võrguhaldusrakendustel

Võrguhalduse teostamiseks on vajalikud mitmed rakendused, mis võimaldavad võrguliiklust analüüsida ja konfigureerida võrguseadmeid. Probleemide korral saavad administraatorid nende rakenduste kaudu vea asukoha lokaliseerida ja detailse info probleemi olemusest. Võrgutööriistad on füüsilise võrgukihi analüüsimiseks ja protokollide analüüsimiseks. Füüsilise kihi analüüsimise riistad kontrollivad ülekandemeediumi korrasolekut ja protokollianalüüsimisega tuvastatakse pakettide ja ülekantavate andmete puutumatus.

Süsteemihalduse eesmärk on erinevate seadmete konfiguratsioonihalduse protsessi tegevused ja sealhulgas:

• Info kogumine andmebaasi iga süsteemi osa kohta
• Erinevate süsteemiosade seoste analüüsimine
• Süsteemi toimivuse kontroll peale iga konfimuudatust
• Pidev IT infrastruktuuri monitoorimine ja analüüs

Näitena nimekiri erinevatest süsteemihaldusrakendustest:

• System Center Configuration Manager: http://www.microsoft.com/systemcenter/en/us/configuration-manager/cm-overview.aspx
• System Center Operations Manager: http://www.microsoft.com/systemcenter/en/us/operations-manager/om-overview.aspx
• Syam Software: http://syamsoftware.com/main/products/products.php
• Landesk Configuration Manager: http://www.landesk.com/products/configuration-manager.aspx
• Nagios: http://nagios.sourceforge.net/docs/3_0/monitoring-windows.html

Süsteemihaldus ja võrguhaldus võivad kasutada erinevaid rakendusi ja jagada omavahel infot üle andmebaaside. Samas võivad mõlemad haldused olla realiseeritud ka ühte rakendusse integreerituna.

# C.6.3.2 Levinud võrguhaldusrakendused

Võrguhaldustööriistad võivad olla lihtsad utiliidid mingi konkreetse andmeühenduse kontrollimiseks. Sellised on reeglina juba operatsioonisüsteemidesse integreeritud, et kontrollida teatud võrguliiklust või on saadaval ka vabavara utiliite, mida selliseks otstarbeks kasutada.

Näiteks on allpool nimekiri erinevatest utiliitidest, mis seotud võrguliikluse kontrollimisega:

• ARP – võimaldab kontrollida aadressilahenduse protokolli puhvrit
• Ping – ühenduse kontrollimiseks erinevate süsteemide vahel kasutades ICMP (Internet Control Message Protocol) protokolli. Võimaldab muuta pakettide suurust ja TTL väärtust. Tuvastab teel kaduma läinud pakettide protsendi ja viivitusnäitajad.
• Tracert/traceroute – loob nimekirja marsruuteritest, mida kasutatakse sihtpunktiga ühendumisel
• Ipconfig/ifconfig – näitab TCP/IP seadeid lokaalses arvutis. Võimaldab ka DNS nimepuhvrit juhtida ja vaadata süsteemi MAC aadressi.
• Network monitor/TCPdump – võimaldab jälgida võrguliiklust pakettide tasemel
• Netstat – võrgu statistika ja erinevate portidega seotud info vaatamiseks
• Sysinternals: http://technet.microsoft.com/en-us/sysinternals/default.aspx - hulk erinevaid utiliite Windows'i baasil arvutitele ja sealhulgas ka võrguutiliite
• Telnet – avatud portide kontrollimiseks

Võrguhaldustarkvarad on täislahendused võrgu haldamiseks, mis võivad töötada SNMP protokolli baasil ja selliseid rakendusi pakuvad erinevad võrguseadmete tootjad (näiteks HP, IBM, Cisco, jne) või spetsiaalsed haldustarkvaratootjad. Võrguhalduseks on saadaval ka avatud lähtekoodiga rakendused.

Enamasti on kasutusel jagatud arhitektuuri baasil rakendused, mille puhul haldav server kogub lokaalse domeeni kohta info kokku ja tsentraalne haldussüsteem kogub kokku info jagatud serveritelt, analüüsib infot ja otsustab edasised tegevused. Operatsioonid toimuvad üle SNMP ja igasugused kõrvalekalded süsteemi normaalsest funktsioneerimisest võetakse automaatselt uurimise alla.

Kokkuvõtvalt võivad võrguhaldussüsteemi funktsioonid olla näiteks järgmised:

• Lokaalse ja laivõrgu seadmete automaatne lokaliseerimine
• Automaatne alarmide analüüs ja võrguprobleemi tuvastus ning info kogumine, mis eelnesid probleemile
• Profülaktiline haldus analüüsides eelnevalt kogutud infot
• Kriitiliste haldusandmete varundamine kui esinenud vigade tase on ületatud

Näiteid erinevatest võrguhaldustarkvaradest:

• Spiceworks: http://www.spiceworks.com/
• OpenNMS: http://www.opennms.org/
• Nagios: http://www.nagios.org
• Zabbix:: http://www.zabbix.com/

# C.6.3.3 Infrastruktuuri nõuded võrguhaldusrakenduste kasutamiseks

Suure võrgu haldamiseks peab NMS süsteem olema piisavalt võimas. Võrkude suurus võib varieeruda mõnest seadmest kuni tuhandete seadmeteni. Sõnumivahetus ja sõnumite töötlemine vajab võimast riistvara. Nõu serveri riistvarakonfiguratsiooni kohta tuleks esmalt uurida võrguhaldussüsteemi tootjalt. Enamikel tootjatel on olemas ka spetsiaalsed valemid, mille järgi vajalik riistvarakonfiguratsioon välja arvutatakse. Valem sisaldab hallatavate seadmete arvu, infohulga, mida tahetakse koguda ja infopäringute sageduse. Näiteks oletagem, et meil on 1000 seadet ja tahame neilt koguda andmeid iga minuti tagant ja infohulk ühe seadme kohta on 1 kB. See teeb 1 MB minutis, 1,4 GB päevas ja 40 GB kettaruumi kuus. Seda andmemahtu saab vähendada kui vähendada andmete kogumise intervalli, valida välja ainult kriitilise tähtsusega seadmed, mida jälgida (serverid, lülitid, marsruuterid, jne) ja kärpida kogutud info mahtu ainult kõige olulisemate andmete kogumisega.

# C.6.3 Kordamisküsimused

# Soovitatavad praktilised harjutused

• Kasutades võrguutiliite kuva või tuvasta järgmised seaded (Linux ja Windows):

  • kontrolli ruutimisteed vabalt valitud aadressile
  • kahe võrgupunkti vahelist latentsust
  • keskmist paketikadu

• Vali mõni võrguhaldustarkvara toode ja tuvasta riistavaranõuded haldussüsteemi installeerimiseks

# Lisamaterjalid

• EUCIP programmi materjal: Learning Materials for Information Technology Professionals (EUCIP-Mat)

• Essential SNMP, 2nd Edition by Douglas Mauro, Kevin Schmidt

• Terminid: http://vallaste.ee/, http://en.wikipedia.org