====== Okruženje za implementaciju NMS alata ===== Sa stanovišta menadžmenta računarske mreže postoje potrebe za definisanjem preporuka za arhitekturu odnosno topologiju same mreže, kao i načina implementacije NMS (Network Management System) u realnim okruženjima. Pod pojmom menadžment mreže ovde podrazumevamo protokole koji se koriste za pristup uređajima radi konfigurisanja, održavanja, nadgledanja i sl, među kojima su najkorišćeniji telnet, ssh, remote desktop protocol (RDP), SNMP.\\ \\ Preporuke treba da prikažu „idealna“ okruženja (za slučaj da takvih mogućnosti ima), i što je bitnije, da ukažu na realna okruženja i različite topologije samih mreža, kao i mogućnosti implementacije NMS-a u takvim okruženjima.\\ ===== 1. Out-of-band management ===== Out-of-band menadžment (OOBM) predstavlja koncept razdvajanja menadžmenta uređaja (servera, mrežnih uređaja, ups-eva itd.) od produkcionog saobraćaja (data traffic). Cilj ovog koncepta jeste bezbedan pristup uređajima u svrhu njihovog nadgledanja i održavanja.\\ Opšte definicije OOBM nalažu postojanje kompletno izdvojene fizičke infrastrukture, što uključuje:\\ \\ • izdvojenu računarsku mrežu (mrežne uređaje);\\ • linkove (kablove između uređaja nad kojima se vrši menadžment i samih OOBM mrežnih uređaja);\\ • menadžment interfejse na svim uređajima (fizički odvojeni interfejsi od interfejsa koji se koriste za produkcioni saobraćaj);\\ • Konzolni računar(i) (računar koji se nalazi u OOBM-u i koji se koristi za pristup uređajima kroz sam OOBM)\\ \\ Na slici 1, prikazana je opšta topologija OOBM-a. U „centru“ topologije se nalaze mrežni uređaji na koje su povezani svi uređaji nad kojima se predviđa OOBM. OOBM pristup uređajima se može obavljati na različite načine opisane u poglavljima 1.1 i 1.2.\\ \\ {{:image008.gif|}}\ ==== 1.1 OOBM servera ==== Za OOBM pristup serverima mogu se koristiti dva koncepta:\\ \\ • OOBM pristup korišćenjem specijalizovanog intefejsa za ovu namenu (HP iLO, Dell DRAC);\\ • OOBM pristup korišćenjem jednog od mrežnih interfejsa\\ \\ U konceptu korišćenja specijalizovanog interfejsa za OOBM, podrazumeva se korišćenje i specijalizovanog softvera svakog od proizvođača (da li Dell DRAC zahteva specijalizovani softver?). Uobičajeno je da pristupom ovim portovima mogu da se obavljaju menadžment funkcije poput telnet, ssh, RDP, VNC i drugih pristupa. ## dodatno izanalizirati\\ \\ U slučaju korišćenja jednog od mrežnih interfejsa, podrazumeva se da taj interfejs ne sme biti istovremeno korišćen za drugu namenu (pored OOBM-a). Ovaj metod omogućava nivo pristupa uređajima identičan nivou pristupa korišćenjem In-band menadžmenta, sa tim da postavlja zahteve za dodatnim mrežnim intefejsom na serverima. ##Koje su preporuke po pitanju broja intefejsa? ==== 1.2 OOBM mrežnih uređaja ==== U zavisnosti od proizvođača mrežnih uređaja, za OOBM se mogu koristiti sledeći interfejsi:\\ \\ • Konzolni port\\ • Specijalizovan OOBM port\\ • AUX port\\ \\ Konzolni port je za razliku od specijalizovanog OOBM porta i AUX porta, zastupljen kod mrežnih uređaja najvećeg broja proizvođača, zbog čega se ovaj način pristupa preporučuje ukoliko se teži uniformnom rešenju. Ovo rešenje podrazumeva i korišćenje terminal servera za pristup samom portu.\\ Uređaji koji imaju OOBM port omogućavaju pristup po IP adresi (layer 3).\\ AUX port omogućava korišćenje modemske veze (dial-in) za direktan pristup uređajima.\\ ##ovde treba jos objasnjenja \\ ==== 1.3 OOBM uređaja na udaljenim lokacijama ==== Kako „po definiciji“ OOBM podrazumeva korišćenje nezavisnih linkova i uređaja, u situacijama kada je potrebno vršiti OOBM uređaja na udaljenim lokacijama potrebno je:\\ \\ • Na lokaciji sa koje se vrši OOBM, obezbediti uređaje za zasebnu vezu ka udaljenim lokacijama (npr. modemi za dial-up pristup);\\ • Zasebne (nezavisne od produkcionog saobraćaja) WAN linkove ka svim udaljenim lokacijama;\\ • Uređaje na udaljenim lokacijama koji imaju OOBM vezu ka portovima uređaja (navedenim u poglavlju 2). Ovi uređaji su modemi (pristup AUX portu), terminal serveri (pristup konzolnom portu), vpn serveri (OOBM port za IP pristup) i sl.\\ \\ Na slici 2, prikazani dati su primeri povezivanja udaljenih uređaja u OOBM mrežu. \\ \\ {{:image009.gif|}}\\ Slika 2.\\ ===== 2. Not-so-OOBM ===== U okruženjima u kojima nije moguće implementirati OOBM u potpunosti preporuka je da se koriste raspoložive tehnike i koncepti a koji uključuju:\\ \\ Za pristup uređajima radi menadžmenta (telnet, ssh, RDP...)\\ \\ • Korišćenje logičke segmentacije mreže (VLAN-ovi), pri čemu bi se koristio zaseban VLAN za menadžment;\\ • Korišćenje NAT-a za pristup uređajima do kojih nije moguće prići direktno iz OOBM ili kroz izdvojeni VLAN.\\ \\ Pristup menadžment servera uređajima radi nadgledanja, prenosa konfiguracija i sl.\\ • Korišćenje dodatnog mrežnog interfejsa za pristup uređajima u VLAN-u za menadžment;\\ • Korišćenje dodatnog mrežnog interfejsa za pristup uređajima do kojih nije moguće prići direktno kroz OOBM ili izdvojeni VLAN. Ovaj interfejs može imati javnu IP adresu (ovo može biti i interfejs koji služi za web pristup).\\ \\ ##VLAN1 za menadzment uredjaja, VLAN A za menadzment servera kroz nase uredjaje. ##VLAN na serverima?!?!!? ===== 3. Implementacija NMS-a ===== Pri implementaciji NMS-a potrebno je razmotriti komunikaciju između NMS server i uređaja koji nad kojim se vrše “funkcije menadžmenta”. Razlikujemo slučajeve u kojima se komunikacija obavlja kroz OOBM i kada komunikacija mora da se obavlja i van okvira izdvojene mreže za menadžment. ==== 3.1 OOBM okruženje ==== Komunikacija NMS-a sa uređajima koja se obavlja kroz OOBM podrazumeva bezbednu komunikaciju između interfejsa NMS servera koji se nalazi u OOBM-u i interfejsa uređaja koji su takođe u OOBM-u.\\ Sa aspekta servera, ovo podrazumeva komunikaciju NMS – interfejs servera namenjen isključivo za menadžment.\\ Sa aspekta mrežnih uređaja, potrebno je obezbediti Layer 3 vezu što dovodi do toga da je:\\ • kod rutera potrebno obezbediti dodatni xEthernet interfejs (teško za očekivati)\\ • kod L2/L3 svičeva je potrebno da se određeni xEthernet port postavi u VLAN namenjen za menadžment i isti poveže u OOBM mrežu.\\ ==== 3.2 Not-so-OOBM okruženje ==== Komunikacija između NMS-a sa uređajima koji su van OOBM-a, možemo svrstati u dve grupe:\\ • Uređaji koji nemaju interfejs u OOBM-u, ali imaju intefejs koji se nalazi u menadžement VLAN-u\\ • Uređaji koji nemaju interfejs u OOBM-u ni u menadžment VLAN-u, već se do pristupa uređajima mora komunicirati rutiranjem (Layer 3)\\ === Menadžment VLAN === U slučajevima Layer 2 WAN mreže, kada postoji menadžment VLAN, potrebno je obezbediti komunikaciju NMS-a sa uređajima u tom VLAN-u. Ovo se može obaviti na dva načina:\\ • Dodatni intefejsi NMS servera koji su direktno povezani u menadžment VLAN (i imaju IP adresu iz tog VLAN-a). Ovo rešenje zahteva da NMS server ima najmanje 3 fizička interfejsa.\\ • Korišćenjem intefejsa NMS-a koji se nalazi o OOBM delu mreže i funkcijom statičkog NAT-a (zbog potreba komunikacije od uređaja ka NMS-u, na primer SNMP trap).\\ === Layer 3 baziran menadžment === Ovo se odnosi na mrežne uređaje i može se svrstati u grupu „specijalnih slučajeva“, obzirom da se ne očekuje da se mrežna topologija pravi tako da se uređaja mora doći kroz layer 3, odnosno rutiranjem. Ovakav scenario se javlja u situacijama kada je potrebno da se vrši menadžment nad uređajem koji se nalazi „iza“ uređaja druge institucije (nad kojim nemamo ingerencije).\\ Ovde opet imamo dva scenarija:\\ • NMS komunicira sa uređajem preko statičkog NAT-a (interfejsom koji se nalazi u OOBM-u)\\ • NMS komunicira sa uređajem preko interfejsa koji je ujedno interfejs za web pristup samom NMS-u.\\ ===== 4. Mendžment sa udaljenih lokacija =====