Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Julio 2009
INFORME FINAL
Profesor Gua
Profesor Correferente
Julio 2009
ACTA DE APROBACION
La Comisin Calificadora designada por la Escuela de Ingeniera Elctrica
ha aprobado el texto del Informe Final del Proyecto de Titulacin,
desarrollado entre el ......... semestre de ...... y el ...... semestre de ........, y
denominado
ESTUDIO E IMPLEMENTACION DE ADMINISTRACION DE
REDES DE AREA LOCAL BAJO EL
PROTOCOLO SNMPv3
Francisco Alonso
Profesor Gua
Segundo Revisor
Secretario Acadmico
en
durante
mi
todo
paso
momento
por
la
Universidad.
Especial agradecimiento a mi
Abuela que desde los cielos
mira
meta.
este
cumplimiento
de
INDICE
Pag.
INTRODUCCION
CAPITULO 1
OBJETIVOS DEL PROYECTO
1.1
OBJETIVOS
1.1.2
Objetivos generales
1.1.3
Objetivos Particulares
1.1.4
CAPITULO 2
PROTOCOLOS DE ADMINISTRACION DE REDES
2.1
2.1.1
2.1.2
2.1.3
2.1.4
2.1.5
CAPITULO 3
SNMPv3, ADMINISTRACION Y PROTECCION
3.1
3.1.1
3.2
3.2.1
Modularidad
3.2.1.1
3.2.1.2
3.3
3.3.1
Seccion msgGlobalData
3.3.2
Seccion msgSecurityParameters
3.3.3
3.4
3.5
CAPITULO 4
PROCESO DE GESTION DE FALLAS
4.1
4.2
CLASIFICACION DE ALARMAS
4.2.1
4.2.2
4.3
4.4
4.5
4.6
4.7
MANTENIBILIDAD Y DISPONIBILIDAD
CAPITULO 5
IMPLEMENTACION: IDENTIFICACION DE VARIABLES
5.1
VARIABLES DE FALLAS
5.2
INDICADORES
5.2.1
Fase de Medicion.
CAPITULO 6
IMPLEMENTACION: SOFTWARE Y HARDWARE UTILIZADO
6.1
SOFTWARE
6.1.1
Catastro de Software
6.2
HARDWARE
6.2.1
Catastro de Hardware
CAPITULO 7
PRIMERAS PRUEBAS: FUNCIONAMIENTO SNMPv1, v2
7.1
ESCENARIO DE RED
7.1.1
7.1.2
Enrutamiento Dinmico
7.1.3
Determinacin de Direcciones IP
7.2
7.3
PRUEBAS DE FUNCIONAMIENTO
7.3.1
7.3.2
CAPITULO 8
SEGUNDAS PRUEBAS: FUNCIONAMIENTO SNMPv3
8.1
CONFIGURACION SNMPv3
8.2
8.2.1
8.2.2
8.2.3
8.2.4
8.2.5
8.3
8.3.1
Scripts Generados
GLOSARIO DE TERMINOS
ITIL
ITU
ISO
SLA
OLA
UDP
PDU
Script
SNMP
MIB
SMI
NOC
NMS
EMS
TRAP
INFORM : Mensaje de alerta al igual que el Trap, pero este necesita de ser
respondido por parte del administrador.
RFC
LISTADO DE FIGURAS
Figuras
Figura 1.- Entes participes en SNMP
Figura 2.- Estructura de un OID
Figura 3.- MIB-II y sus grupos de varibles.
Figura 4.- Juego de peticin y respuestas entre agentes y gestor
Figura 5.- Mecanismo de Proteccion SNMPv3
Figura 6.- Arquitectura Entidad Gestor
Figura 7.- Arquitectura Entidad Agente
Figura 8.- Vista General Estructura Mensaje SNMPv3
Figura 9.- Flags de seguridad
Figura 10.- Topologia de Red de Pruebas SNMPv3
Figura 11.- Topologia de Red Descubierta
Figura 12.- Pantalla principal del Administrador
Figura 13.- Trfico por las Interfaces de un dispositivo de Red
Figura 14.- Historiales de Procesos, Memoria y CPU
Figura 15.- Eventos y Reportes generados en una red Administrada
Figura 16.- Comandos de Administracion creados
Figura 17.- Resultado de un cambio de informacion por comando SET.
Figura 18. Respuesta en consola del Router ante una modificacion. Se
indica Configuracion from 192.168.1.2 (administrador) by snmp
Figura 19.- Valor de la Temperatura de la CPU en grados Celcius
Figura 20.- Valor de la Temperatura Umbral de operacin de la CPU.
Figura B-1.- Instalacion de zenpack
Figura B-2.- Gestor de Instalacion
Figura B-3.- Gestor de Instalcion completa
Figura C-1.- Centro de Operaciones de Red montado
Figura C-2.- Consola de Topologia de Red
Figura C-3.- Consola de Gestion de Eventos
Figura C-4.- Consola de Depuracion de Router y Reportes del Sistema
de Gestion
Figura C-5.- Consola de Pruebas de Script SNMPv3
Pag.
INTRODUCCION
CAPITULO 1
OBJETIVOS DEL PROYECTO
1.1
OBJETIVOS GENERALES
El objetivo general es investigar, estudiar, entender, comprender y aplicar
OBJETIVOS PARTICULARES
Estudio de la ultima version de el protocolo de administracion de red,
especificamente SNMPv3.
Estudio de las buenas practicas y recomendaciones para un sistema de
Administracion de red, con un enfoque a las gestion de fallas.
Implementacion de SNMPv3 en una red de pruebas, utilizando equipos de
red como router, switch, servidores, sistema de administracion distribuida.
CAPITULO 1
PROTOCOLOS DE ADMINISTRACION DE REDES
1.1
CMOT
CMOT
Es un protocolo enfocado a las redes TCP/IP basado en su versin
SNMP
Uno de los protocolos ms utilizados en la administracion de redes IP en
conseguida.
Debido al uso masivo de SNMP en la administracion de redes, segn
Network Computing un 68% de la totalidad usa SNMP, este proyecto se enfoca
plenamente en este protocolo.
protocolo
para
su
correcto
funcionamiento
necesita
de
que son
Es el ms utilizado en el mundo.
CAPITULO 3
SNMPv3, ADMINISTRACION Y PROTECCION
Modificacin
flujo
Mensajes:
Protege
contra
repeticin,
retardos,
mal-intencionada
diera
ordenes
no
deseadas
perturbando
el
3.2
Message
Processing,
Security
SubSystem,
Access
Control
PDU Dispatcher
Es el responsable de recibir las PDU desde el modulo aplicaciones y
Message Processing
Es el sub-sistema encargado de preparar y extraer los datos de los
Security SubSystem
Es el modulo encargado de velar por el cumplimientode los modelos de
Command Generator
Modulo encargado de recibir las PDU SNMP Get, GetNext, GetBulk o
Command Responder
Modulo encargado de recibir las PDU SNMP Get, GetNext, GetBulk o
SetRequest dirigidas al motor local, y una vez que son atendidas genera las
correspondientes respuestas.
c)
Notification Originator
Modulo encargado de monitorizar un sistema determinado, el cual tiene
saber a quien mandar este mensaje que versin ocupar y que seguridad dar.
d)
Receptor Notification
Este sub-sistema recibe los mensajes de notificacin del modulo anterior y
genera respuestas a los del tipo Inform y solo recepcion de los tipo Trap[12].
e)
Proxy Forwarder
Este es quien reenva mensajes SNMP, al momento que un equipo tiene
3.3
puede recibir una entidad de otras entidades el rango de este es de 484 a 2311
d)
msgFlag: Es el nivel de seguridad que contiene tres Flags en sus tres bit
fue usado por el remitente para preparar el mensaje y por ende el modelo de
seguridad a usar por el receptor del mensaje para procesar el mensaje, a
continuacin valores permitidos para este campo (vase Tabla 3-2).
intercambio de mensajes.
e)
CAPITULO 4
PROCESO DE GESTION DE FALLAS
4.1
problemas en la red. Es por eso que se debe contar con un sistema de alarmas,
el cual es una herramienta con la que el administrador se auxilia para conocer
que existe un problema en la red. Tambin conocido como sistema de monitoreo,
se trata de un mecanismo que permite notificar que ha ocurrido un problema en
la red. Esta propuesta se basa en la utilizacin de herramientas basadas en el
protocolo estndar de monitoreo, SNMP, en este caso SNMPv3.
Cuando una alarma ha sido generada, sta debe ser detectada casi en el
instante de haber sido emitida para poder atender el problema de una forma
inmediata, incluso antes de que el usuario del servicio pueda percibirla.
Las alarmas pueden ser clasificada desde de puntos de relevancia como
lo es, el tipo de alarma y la severidad de la alarma.
4.2
4.3
identificar las causas que han originado una falla. La alarma indica el lugar del
problema, pero las pruebas de diagnstico adicionales son las que ayudan a
determinar el origen de la misma. Una vez identificado el origen, se tienen que
tomar las acciones suficientes para reparar el dao.
4.4
Creacion de Reportes
Un reporte es creado despues de haber recibido una notificacion sobre la
Seguimiento a reportes
La administracin de reportes debe permitir al administrador dar
Manejo de reportes
El administrador debe ser capaz de tomar ciertas acciones cuando un
reporte est en curso, como escalar[16] el reporte, solicitar que sea cancelado
un reporte que no ha sido cerrado an, poder hacer cambios en los atributos del
reporte, como lo es el telfono de algn contacto, poder solicitar hora y fecha de
la creacin o finalizacin de un reporte, etc.
d)
Finalizacin de reportes
Una vez que el problema reportado ha sido solucionado, el administrador
o la gente responsable del sistema de reportes, debe dar por cerrado el reporte.
Una prctica importante, es que antes de cerrar un reporte el
administrador debe asegurarse que efectivamente el problema reportado ha sido
debidamente corregido.
4.7
MANTENIBILIDAD Y DISPONIBILIDAD
La mantenibilidad de un sistema es la probabilidad de que un equipo que
a)
slo cuando falla por completo (falla catastrfica) o cuando su costo de servicio
es extremadamente alto.
c)
CAPITULO 4
IMPLEMENTACION
4. VARIABLES DE FALLAS
Son los objetos de la MIB utilizados para programar alarmas para ciertos
eventos con el fin de mantener el estado correcto y el buen funcionamiento de
una red.
Controlar que estos valores se mantengan en valores dentro de un umbral
de seguridad permiten que la propia red avise las instancias en la cual podran
suceder fallos o que estos ya han sucedido y necesitan del auxilio del
administrador.
4.1
que contiene OID de las interfaces, mostrada en la siguiente figura (Ver figura 1).
interfaces (mib-2 2)
ifEntry (1)
ifIndex (1)
ifDescr (2)
ifType (3)
ifMtu (4)
ifSpeed (5)
ifOutUcastPkts (17)
ifOutNUcastPkts (18)
ifOutDiscards (19)
ifOutErrors (20)
ifOutQLen (21)
ifSpecific (22)...........
(5-2)
n con ifOperStatus.ifIndex=ON
(5-3)
N de Muestras Realizadas
(5-4)
perdidos
Interfaces.ifTable.ifEntry.ifInDiscards.ifIndex
Interfaces.ifTable.IfEntry. ifInErrors.ifIndex
Interfaces.ifTable.ifEntry.ifInUnknownProtos.ifIndex
paquetes
entrantes
Interfaces.ifTable.ifEntry.ifInUcastPkts.ifIndex
Interfaces.ifTable. ifEntry.ifInNUcastPkts.ifIndex
k= es el instante de muestreo.
Igual calculo se debe realizar con los paquetes salientes en cada interfaz
correspondiente a las mediciones WAN y enlaces a Usuarios.
CAPITULO 6
IMPLEMENTACION: SOFTWARE Y HARDWARE UTILIZADO.
6.1
SOFTWARE
Para poder iniciar la etapa de monitoreo y gestin es necesario tener el
NET-SNMP
Utilidad (Suite) para recoleccin de informacin desde las MIB usando el
ZENOSS-CORE 2.4
Es una herramienta y un sistema de monitoreo y gestin de redes
ZOPE
Servidor de aplicaciones web de codigo abierto escrito en lenguaje
Python, el cual esta conformado por Objetos en vez de archivos como el comn
de los servidores web. Zope posee un sistema de almacenamiento (Base de
Datos) basado en objetos llamado ZODB (Zope Object DataBase).
d)
MYSQL
Sistema de gestin de base de datos, MySQL es de cdigo abierto,
ampliamente utilizado para aplicaciones web, como en este caso que ser
utilizado para el montaje y funcionamiento de Zenoss-Core 2.4.
e)
PYTHON
Proyecto
de
cdigo
abierto,
es
un
lenguaje
de
Programacin
f)
RRDtool
Round Robin Database tool, es una herramienta que ocupa una tcnica
de Round Robin para manejo de datos, esta tcnica trata la base de datos como
si fuese un crculo, sobrescribiendo los datos almacenados con anterioridad una
vez alcanzada la capacidad mxima de la misma. Esta capacidad mxima
depender de la cantidad de informacin que se quiera conservar como historial.
Su finalidad principal es el tratamiento de datos temporales y datos
seriales como temperaturas, transferencias en redes, cargas del procesador, etc.
g)
MRTG
Multi Router Traffic Grapher, es una herramienta escrita en C, utilizada
web para libre descarga bajo la licencia GPL, sobre esta plataforma se instalan
todas las aplicaciones antes mencionadas.
6.2
HARDWARE
Para la implementacion de la red de pruebas, se montaron equipos de red
1 GB
Disco Duro: 80 GB
Sistema Operativo: Debian Lenny 5.0 GNU/Linux
d) Equipo para Monitoreo
PC de Escritorio Dell Vostro, ubicados en el laboratorio de digitales B, ahora
laboratorio de redes.
e) Catastro de Conectores
UTP 5 Para conexin de red Ethernet
Serial 242 Para conexin de simulacion de wan
CAPITULO 7
PRIMERAS PRUEBAS SIMULACION Y FUNCIONAMIENTO SNMP
7.1
ESCENARIO DE RED
7.3
PRUEBAS DE FUNCIONAMIENTO
as
detectando
mediante
estos
dos
protocolos
los
elementos
c)
d)
aplicacin que lleva el registro total de los eventos generados en toda su red de
administracin (ver Figura 15) almacenndolos en una bitcora la cual luego de
un tiempo es almacenada en la base de datos MySQL en una tabla llamada
Events como Historial de Administracin.
CAPITULO 8
SEGUNDAS PRUEBAS: FUNCIONAMIENTO SNMPv3
8.1
CONFIGURACION SNMPv3
Para llevar a cabo las pruebas de esta versin del protocolo, se realizan
comando simple, ver Figura 16, para comprar la escritura en forma remota de un
objeto de la MIB II.
8.2.1 Script Prueba de Nivel de Seguridad
Para poder demostrar el sistema de seguridad implementado en la nueva
version de SNMPv3, se crea un script que realiza las mismas consultas que en el
script de Anlisis Preventivo, pero con la salvedad que en esta ocacion se
incluyen datos erroneos en la identificacion y en la clave de ingreso a la MIB del
equipo remoto a escuestar.
8.2.2 Script Prueba de Privacidad
En este pequeo script se realiza la prueba de privacidad en el envio de
mensajes, en donde con encriptacion DES, se encripta el mensaje snmp
enviado, asi probando que el nivel de Privacidad, incluye por defecto al nivel de
Autenticacin.
8.3
Figura 18. Respuesta en consola del Router ante una modificacion. Se indica
Configuracion from 192.168.1.2 (administrador) by snmp
ENERGIA
snmpwalk -v 3 -u U4 -l authNoPriv -a MD5 -A password4 172.10.10.2
enterprises.9.9.13.1.5.1.3
snmpwalk -v 3 -u U4 -l authNoPriv -a MD5 -A password4 172.10.10.2
enterprises.9.9.13.1.5.1.4
8.3.1.2 Script Prueba de Privacidad
El siguiente script es el generado para pruebas de encriptacion para
consultar informacion a un equipo de red.
PRIVACIDAD
Description: COMPROBACION UTILIZANDO ENCRIPTACION "DES"
snmpwalk -v 3 -u U4 -l authPriv -a MD5 -A password4 -x DES -X password4
172.10.10.2 enterprises.9.9.13.1.4.1.2
8.3.1.3 Script Anlisis Preventivo
Las siguientes lineas son parte del script creado para realizar una
analisis preventivo a un equipo de red.
TEMPERATURA
snmpwalk -v 3 -u U3 -l authNoPriv -a MD5 -A password3 172.10.10.2
enterprises.9.9.13.1.3.1.3
snmpwalk -v 3 -u U3 -l authNoPriv -a MD5 -A password3 172.10.10.2
enterprises.9.9.13.1.3.1.4
VENTILACION
snmpwalk -v 3 -u U3 -l authNoPriv -a MD5 -A password3 172.10.10.2
enterprises.9.9.13.1.4.1.2
snmpwalk -v 3 -u U3 -l authNoPriv -a MD5 -A password3 172.10.10.2
enterprises.9.9.13.1.4.1.3
ENERGIA
snmpwalk -v 3 -u U3 -l authNoPriv -a MD5 -A password3 172.10.10.2
enterprises.9.9.13.1.5.1.3
snmpwalk -v 3 -u U3 -l authNoPriv -a MD5 -A password3 172.10.10.2
enterprises.9.9.13.1.5.1.4
TEMPERATURA
a) Temperatura Actual
b) Temperatura Fabricante
VENTILACION
c) Numero de Ventiladores = #FAN
d) Funcionamiento de Cada Ventilador
INTEGER = 1 -> Normal
INTEGER = 2 -> Warning
INTEGER = 3 -> Critical
INTEGER = 4 -> Shutdown
INTEGER = 5 -> No Presente
INTEGER = 6 -> No Funcionando
ENERGIA
e) Estado de la energia que alimenta el dispositivo
INTEGER = 1 -> Normal
INTEGER = 2 -> Warning
INTEGER = 3 -> Critical
INTEGER = 4 -> Shutdown
INTEGER = 5 -> No Presente
INTEGER = 6 -> No Funcionando
f) Tipo de Energia que Alimenta al Equipo
INTEGER = 1 -> Se Desconoce
INTEGER = 2 -> AC
INTEGER = 3 -> DC
INTEGER = 4 -> External Suply
INTEGER = 5 -> Interna Redundante Output
CONCLUSIONES
Al momento de dar por finalizado este Proyecto de Titulo, se generan
conclusiones relacionadas con los dos topicos mas relevantes de este. Los
principales topicos son el de el Protocolo de Administracion de Red SNMPv3 y el
de la Gestion de Fallas.
La administracion de red al ser un campo muy amplio, es complejo
identificar las prioridades, todo tipo de proceso y decisiones realizadas en la
administracion se basaran en las buenas praticas que se hayan implementado y
en el enfoque de la empresa donde este implementado.
En relacion a SNMPv3, las conclusiones desprendidas luego realizar el
estudio e implementacion son las siguientes.
1)
quienes pueden rescatar datos desde un equipo de red, asi mediante el subsistema de la entidad del Gestor, puede definirse que vistas de objetos pueden
ser incresadas y que permisos necesita esta para ser accedida.
4)
los equipos Cisco en forma remota via telnet o de forma local conectandose
directamente a su puerta de consola.
5)
REFERENCIAS
BIBLIOGRAFICAS
[01]
[02]
[03]
[04]
[05]
[06]
[07]
[08]
[09]
[10]
[11]
[12]
[13]
[14]
[15]
[16]
[17]
BIBLIOGRAFIA
1.-
2.-
3.-
4.-
5.-
6.-
7.-
8.-
9.-
10.-
ANEXOS
APENDICE A
CONFIGURACION SNMPv3
APENDICE A
CONFIGURACION SNMPv3
En los equipos de red Cisco existen por defecto dos vistas creadas y dos
grupos relacionadas con estas vistas. Las vistas predefinidas son dos:
everything, que abarca toda la MIB, y restricted, que incluye slo los grupos
system, snmpStats y snmpParties. En versiones SNMPv1 y v2c con solo permiso
de lectura.
Para poder dar una configuracin SNMPv3 se seguir las siguientes
lineas de comando tato para switch como para router Cisco.
network 172.10.0.0
network 192.168.0.0
exit
snmp-server user userone groupone v3
snmp-server user usertwo grouptwo v3
snmp-server user userthree groupthree v3 auth md5 user3pass
snmp-server user userfour groupfour v3 auth md5 user4pass priv des56
user4priv
snmp-server group TRAP v3 priv
snmp-server group groupone v3 noauth
snmp-server group grouptwo v3 noauth read myview
snmp-server group groupthree v3 auth
snmp-server group groupfour v3 priv
snmp-server view myview mib-2 included (da acceso)
snmp-server view myview 1.3.6.1.4.1.9.9.13.1.3.1.6 included
snmp-server view myview 1.3.6.1.4.1.9.9.13.1.3.1.3 included
snmp-server view NORMAL iso included
snmp-server view RESTRICTED ifEntry.*.3 included
snmp-server host 192.168.1.2 traps
snmp-server host 192.168.1.2 traps version 3 priv TRAP
snmp-server host 192.168.1.2 traps version 3 auth public
snmp-server community public RW
snmp-server enable traps
ROUTER 3
En
Config t
interface Ethernet0/0
ip address 192.168.2.1 255.255.255.0
no shutdown
exit
interface Serial0/0
ip address 172.10.20.2 255.255.255.0
no shutdown
interface Serial0/1
ip address 172.10.40.1 255.255.255.0
clockrate 64000
no shutdown
exit
router rip
version 2
network 172.10.0.0
network 192.168.0.0
network 192.168.2.0
exit
snmp-server community public RW (esto no poner para snmp v1 o v2)
snmp-server trap
ROUTER 4
En
Conf t
interface FastEthernet0/0
ip address 192.168.2.1 255.255.255.0
no shutdown
exit
interface Serial0/0
ip address 172.10.30.2 255.255.255.0
no shutdown
exit
interface Serial0/1
ip address 172.10.40.2 255.255.255.0
no shutdown
exit
router rip
version 2
network 172.10.0.0
network 192.168.1.0
network 192.168.2.0
exit
snmp-server community public RW
snmp-server enable traps snmp authentication linkdown linkup coldstart
warmstart
snmp-server enable traps
snmp-server host 192.168.1.2 version 3 auth public
APENDICE B
INSTALACION Y CONFIGURACION ZENOSS-CORE
APENDICE B
INSTALACION Y CONFIGURACION ZENOSS-CORE
http://apt.debianchile.org/debian-multimedia/
stable
main
deb-src
#apt-get update
#wget -O - http://backports.org/debian/archive.key | apt-key add #gpg --keyserver hkp://subkeys.pgp.net --recv-keys 16BA136C
#gpg --export | apt-key add -
#apt-get update
apt-get install flashplugin-nonfree
reiniciar equipo
INSTALACION DE ZENPACK
Vamos a la pagina oficial de zenoss, (http://www.zenoss.com), buscamos
la pestaa comunity, zenpack.
Se busca el zenpack que se quiere descargar e instalar en zenoss,
algunos serian , router, switch, cisco, ibm, http, ftp, dns, dhcp...
APENDICE C
FOTOGRAFIAS CENTRO DE OPERACIONES DE RED
MONTADO EN EL LABORATORIO
APENDICE C
FOTOGRAFIAS CENTRO DE OPERACIONES DE RED
MONTADO EN EL LABORSTORIO