Opinnäytetyön Loppuseminaari 18.4.2013 klo 8 Opinnäytetyön nimi: Nagios Verkonvalvonta & IP SLA Ville Leppänen & Tomi Tähti TI09TIVE Toimeksiantaja yritys: Nuuka Solutions Ohjaava opettaja: Martti Kettunen Työ liittyy hankkeeseen: Suunnitteilla oleva hanke Sopimus opinnäytetyöstä tehty: Kyllä Arvioitu valmistumispäivä: 31.5.2013
Lähdeluettelo Cisco IOS IP Service Level Agreements User Guide http://www.cisco.com/en/us/technologies/tk648/tk362/tk920/technologies_ white_paper09186a00802d5efe.html IP SLAs Configuration Guide, Cisco IOS Release 12.4T http://www.cisco.com/en/us/docs/ios-xml/ios/ipsla/configuration/12-4t/sla- 12-4t-book.pdf IP SLAs Multiple Operation Scheduling http://www.cisco.com/univercd/cc/td/doc/product/software/ios124/124cg/h sla_c/hsmulti.pdf ITU-T:n X.700 standardi. Saatavissa (pdf): http://www.itu.int/rec/dologin_pub.asp?lang=e&id=t-rec-x.700-199209- I!!PDF-E&type=items Nagiosgraph. Saatavissa: http://nagiosgraph.svn.sourceforge.net/viewvc/nagiosgraph/trunk/nagiosgrap h/readme.html Opinnäytetyön nimi Olli Opiskelija 10.5.2013 2
Lähdeluettelo Musardo M. 2010. Working with cisco IP SLA: Measuring IPSLA in enterprise networks Puska, M. 1999. Lähiverkkojen tekniikka Pro Training. Gummerus Kirjapaino Oy, Jyväskylä. Hakala M. & Vainio M. 2005. Tietoverkon rakentaminen. Docendo Finland Oy, Jyväskylä. Jaakohuhta H. 2005. Lähiverkot Ethernet, Ethernet-tekniikan soveltaminen käytännössä. Edita Prima Oy, Helsinki. Mauro D. & Schmidt K. 2005. Essential SNMP, 2nd Edition. O Reilly Media. Saatavissa: http://it-ebooks.info/book/367 Kocjan W. 2008. Learning Nagios 3.0. Packt Publishing Ltd. Opinnäytetyön nimi Olli Opiskelija 10.5.2013 3
Johdanto Taustaorganisaatioita ovat Kymenlaakson ammattikorkeakoulu sekä Nuuka Solutions Opinnäytetyö jakautui alun perin Nagios verkonvalvontaan sekä verkon suorituskyvyn monitorointiin IP SLA:n avulla Palaverissa Nuuka Solutionsin kanssa keskustelimme verkonvalvonnan tarpeista ja kyseisen palaverin jälkeen opinnäytetyöaiheet päätettiin yhdistää Tavoitteena on saada verkonvalvonta toimintakuntoon siten, että sen avulla voidaan monitoroida perustason palveluita, laiteresursseja sekä yhteyksien toimivuutta Opinnäytetyön nimi Olli Opiskelija 10.5.2013 4
Verkonhallinta Verkonhallintaan kuuluu erilaiset työkalut ja menetelmät verkonvalvontaan ja hallintaan Yleisimpiä hallinnassa käytettyjä työkaluja ovat SNMPprotollaan perustuvat verkonhallintaohjelmat yhdessä Telnet tai WWW pohjaisten laitteistojen laitehallintaohjelmien kanssa Verkonhallinnan osa-alueisiin kuuluu vikatilanteiden, käytön, kokoonpanon, suorituskyvyn sekä turvallisuuden hallinta Vikatilanteiden hallinta (Fault Management) kattaa vikojen havaitsemisen, eristämisen ja epätavallisten sekä poikkeavien operaatioiden korjaamisen OSIympäristössä Käytön hallinta (Accounting Management) mahdollistaa OSI-ympäristön resurssien käytön hallinnan sekä kulutuksen Opinnäytetyön nimi Olli Opiskelija 10.5.2013 5
Verkonhallinta Kokoonpanon hallinta (Configuration Management) tunnistaa, omaa määräysvaltaa ja kerää sekä toimittaa dataa avoimille järjestelmille yhteenliitettyjen palveluiden valmistelemisen, alustamisen, käynnistämisen, sulkemisen sekä jatkuvan toiminnan varmistamisen vuoksi Suorituskyvyn hallinta (Performance Management) sallii resurssien käyttäytymisen OSI-ympäristössä sekä kommunikaatioaktiviteettien tehokkuuden arvioimisen Turvallisuuden hallinnan (Security Management) tarkoituksena on tukea tietoturvakäytäntöjä Muita painopisteitä ovat esimerkiksi dokumentointi ja raportointi Opinnäytetyön nimi Olli Opiskelija 10.5.2013 6
IP SLA IP SLA on suorituskyvyn monitorointiin tarkoitettu ohjelmisto, mikä löytyy lähes kaikista Ciscon IOS - pohjaisista reitittimistä ja kytkimistä Mittausoperaatioilla voidaan mitata lähes kaikkia sekä yhdensuuntaisia että edestakaisia suorituskykyparametreja, joilla voidaan mitata myös verkkopalveluiden saatavuutta ja palvelimien vasteaikoja IP SLA Responder palvelun käyttäminen kohdelaitteessa tarkentaa mittaustuloksia varsinkin ICMP-pohjaisissa mittauksissa, koska niissä lisästatistiikkaa ei ole saatavilla Palvelun ollessa käytössä prosessointiaika saadaan eliminoitua mittaustuloksesta aikaleimojen avulla Kaikki mittausoperaatiot eivät vaadi Responderpalvelua ja sitä voidaan käyttää vain Ciscon kohdelaitteissa Opinnäytetyön nimi Olli Opiskelija 10.5.2013 7
IP SLA Keskeisiä mittausoperaatioita, joita voidaan suorittaa: UDP Jitter, jolla voidaan mitata meno- ja paluureittien yksisuuntaista pakettien välistä viiveen vaihtelua, pakettien hävikkiä, viivettä ja koko reitin edestakaista viivettä ICMP Echo, jonka avulla voidaan mitata vasteaikaa päästä päähän Ciscon laitteen ja minkä tahansa IPlaitteen välillä ICMP Path Echo havaitsee laitteet verkkoreitin varrelta traceroute-ominaisuuden avulla ja kerää tiedot hyppy kerrallaan Muita mittausoperaatioita ovat HTTP, TCP Connect, FTP, DHCP, DNS sekä DLSw+ Opinnäytetyön nimi Olli Opiskelija 10.5.2013 8
IP SLA Verkon suorituskyvyn mittaamiseksi IP SLA:lla täytyy tehdä seuraavat vaiheet: Käynnistetään Responder-palvelu, jos halutaan tarkempia tuloksia Määritetään haluttu mittausoperaatio Määritetään mittausoperaatiolle halutut asetukset Määritetään raja-arvot, jos sellaisia halutaan käyttää Jaksotetaan mittausoperaatio tai ryhmä mittausoperaatioita suorittamaan mittaukset halutuin aikavälein Tarkastetaan mittaustulokset Ciscon laitteen komentoriviltä tai keräämällä tiedot laitteen MIB:stä SNMP-protokollaa hyödyntävän verkonvalvontasovelluksen avulla Opinnäytetyön nimi Olli Opiskelija 10.5.2013 9
Nagios Nagios on avoimen lähdekoodin Linux/Unix pohjalla toimiva järjestelmän- ja ver-konvalvontaohjelmisto Joitain tärkeimpiä Nagioksen ominaisuuksia: Verkkopalveluiden monitorointi (esimerkiksi SMTP, POP3, HTTP ja PING) Isäntäkohteen järjestelmäresurssien monitorointi (esimerkiksi prosessorikuormitus ja levytilan käyttö) Yksinkertainen ja joustava lisäosatuki, joka mahdollistaa omien palvelun tarkistukseen tehtyjen lisäosien käytön ja kehityksen Yhdensuuntaistetut palvelutarkastukset Ilmoitusviestien lähettäminen kohteiden tai palveluiden hälytysarvojen ylittymisestä käyttämällä sähköpostia, hakulaitetta tai muuta käyttäjän määrittämää yhteydenottotapaa Vapaaehtoinen Web-käyttöliittymä, jolla voidaan tarkkailla esimerkiksi verkon tilaa, hälytysviesti- ja ongelmahistoriaa sekä lokitiedostoja Opinnäytetyön nimi Olli Opiskelija 10.5.2013 10
Nagios Edistyneempiin toimintoihin kuuluu Ilmoitusviestien lähettäminen kohteiden tai palveluiden hälytysarvojen ylittymisestä käyttämällä sähköpostia, hakulaitetta tai muuta käyttäjän määrittämää yhteydenottotapaa Graafiset kuvaajat kerättyjen tietojen pohjalta käyttämällä nagiosgraph-lisäosaa Nagioksen viralliset lisäosat sisältävät normaalitarpeisiin tarvittavat ominaisuudet ja toimintatavat kuten verkkopalveluiden tilan tarkistamisen SNMP-protkollaa hyödyntäen Nagios tekee tarkistuksia kohteisiin tai palveluihin suorittamalla lisäosien avulla ulkoisia komentoja, joista saadaan vastaukseksi palautuskoodi Jokainen palautuskoodi sisältää oman ulostulonsa tietona, joka kertoo tarkistetun kohteen tai palvelun tilan Opinnäytetyön nimi Olli Opiskelija 10.5.2013 11
SNMP SNMP:n ydin on yksinkertainen ryhmä operaatioita, jotka antavat järjestelmän ylläpitäjälle mahdollisuuden vaihtaa joidenkin SNMP-pohjaisten laitteiden tiloja SNMP käyttää UDP-protokollaa siirtoprotokollana tiedon välittämisessä ja kuljettamisessa SNMP:tä käyttäviin laitetyyppeihin kuuluu esimerkiksi Unix-järjestelmät, Windows-järjestelmät, tulostimet, modeemit ja älykkäät virtalähteet SNMP-versiot SNMPv1 ja SNMPv2 ovat käytetyimpiä versioita, joiden tietoturva toimii yhteisö-periaatteella SNMPv3:n tärkeimpiin uudistuksiin kuuluu parannetut tietoturvaominaisuudet Opinnäytetyön nimi Olli Opiskelija 10.5.2013 12
Työosuus Opinnäytetyön nimi Olli Opiskelija 10.5.2013 13
Työosuus VPN-yhteys Nuukan verkkoon SSH:n avulla yhteys Linux-koneeseen Graafisen käyttöliittymän sekä VNC-palvelimen asennus Nagioksen sekä lisäosien asennus Nagiokseen tarvittavat perustason määritykset Valvottavien kohteiden ja palveluiden lisääminen Graafisen kuvaajan sekä automaattisten hälytysviestien toimintakuntoon määrittäminen Linux-koneen palomuurin sääntöihin HTTP-liikenteen salliminen, jotta Web-käyttöliittymä saatiin esiin suoraan verkkoselaimen avulla VPN-yhteyden kautta Opinnäytetyön nimi Olli Opiskelija 10.5.2013 14
Tulosten tarkastelu ja päätelmät KyAMK:n ICT-laboratoriossa tehtyjen paikallisten testien perusteella valvonta toimii kuten pitääkin Todellisen testiympäristön tuloksia emme saaneet, koska Nuuka Solutions ei ehtinyt asettamaan valvottavia laitteita paikoilleen ja avaamaan meille yhteyksiä niihin Vaikka emme todellisen testiympäristön tuloksia saaneet, niin tiedämme paikallistestien perusteella, että käyttämämme ICMP Echo-mittausoperaatio antaa likimääräisiä arvoja, koska emme olisi saaneet Responder-palvelua käyttöömme Nagioksen omien palveluiden graafiset kuvaajat toimivat ja näyttävät tarkasti mittaustulokset päivän, viikon ja kuukauden aikajaksoilla, joten niiden pitäis toimia myös etävalvottavissa laitteissa Tutkittuamme snmpset-komentoa, onnistuimme määrittämään IP SLA-mittausoperaation päälle Cisco reitittimeen syöttämällä määritykset objektitunnusten avulla MIB-tietokantoihin Opinnäytetyön nimi Olli Opiskelija 10.5.2013 15
Jatkokehitysmahdollisuudet Tarkempien IP SLA -mittauksien kannalta kohdelaitteeseen pitäisi saada käynnistettyä IP SLA Responder palvelu, jota hyödyntäen olisi hyvä kokeilla erilaisia mittausoperaatioita, joita ei muuten kannata käyttää tulosten epätarkkuuden vuoksi UDP Jitter tarvitsee Responder-palvelua toimiakseen ja kyseisellä operaatiolla voi saada erittäin laajasti erilaisia mittaustuloksia, jotka voivat olla paljon kattavampia kuin ICMP-mittausoperaation tulokset Snmpset-komento ja määrityksien tekeminen objektitunnusten avulla suoraan MIB-tietokantoihin on erittäin hyvä jatkotutkimuskohde, joka sisältää laajasti erilaisia mahdollisuuksia Myös syslogien hakeminen SNMP:n avulla on tutkimuksen arvoinen aihepiiri Opinnäytetyön nimi Olli Opiskelija 10.5.2013 16