Capítulo 9: gestión de...

Redes de computadoras

Traducción y adaptación Alejandra Stolk 2018 Kurose and Ross, Computer Networking: A Top Down Approach, 6th edition, Addison-Wesley, 2012

Capítulo 9:gestión de redes

Computer Networking: A Top Down Approach 6th edition Jim Kurose, Keith RossAddison-WesleyMarch 2012

Estas clases son de Kurose y Ross

Gracias a Kurose y Ross que pusieron este material a nuestra disposición

La traducción y adaptación es de Alejandra Stolk para la materia Redes de Computadoras

All material copyright 1996-2012 J.F Kurose and K.W. Ross, All Rights Reserved



Chapter 9: gestión de redesObjetivos del capítulo Introducción a la gestión de redes

Motivación Componetes principales

El entorno de gestión estándar de Internet MIB: base de información de gestión SMI: lenguaje de definición de datos SNMP: protocolo simple de gestión de red Seguridad y administración

Servicios de presentación, protocolo: ASN.1



Chapter 9: la ruta

¿Qué es la gestión de redes? El entorno de gestión estándar de Internet

MIB: base de información de gestión SMI: lenguaje de definición de datos SNMP: protocolo simple de gestión de red Seguridad y administración

ASN.1



¿Qué es la gestión de redes?

La Gestión de Redes consiste en todas las actividades, métodos, procedimientos y herramientas que pertenezcan a la operación, administración, mantenimiento y aprovisionamiento de sistemas conectados por la red

“La gestión de redes incluye el despliegue, integración y

coordinación del hardware, software y los elementos

humanos para monitorizar, probar, sondear, configurar,

analizar, evaluar y controlar los recursos de la red para

conseguir los requerimientos de tiempo real, desempeño

operacional y calidad de servicio a un precio razonable”



¿Qué es la gestión de redes?La Gestión de Redes se encarga de tres grandes aspectos:

Disponibilidad

Confiabilidad

Rendimiento

Disponibilidad

La disponibilidad es la característica de una red para estar siempre accesible a sus usuarios. La métrica empleada para medir la disponibilidad es el porcentaje de tiempo que un sistema es capaz de realizar las funciones para las que está disenñado.




Disponibilidad

En lo que se refiere a los sistemas, la disponibilidad es el porcentaje de tiempo que ese servicio está activo y en funcionamiento.

Se emplea la siguiente fórmula para calcular los niveles de disponibilidad:

Porcentaje de disponibilidad = (total de tiempo – la suma del tiempo fuera de servicio)/total de tiempo




Disponibilidad

La disponibilidad suele medirse en “nueves”. Por ejemplo, una solución cuyo nivel de disponibilidad sea de “tres nueves” es capaz de realizar su función prevista el 99,9%, lo que equivale a un tiempo de inactividad anual de 8,76 horas por anño sobre una base de 24x7x365 (24 horas al día, siete días a la semana, 365 días al anño).




RendimientoEl rendimiento de una red se refiere a la cantidad de paquetes de datos que llegan de forma íntegra desde un nodo hacia otro en la red. En el camino, los paquetes de datos pueden alterarse (generalmente por interferencias en la conexión física, ataques de hombre en el medio, pérdidas de paquetes, entre otros). Un elevado porcentaje de paquetes íntegros significan un buen rendimiento de la red.




RendimientoDe acuerdo con la definición establecida por la ITU-T la gestión del rendimiento se refiere a ofrecer formas de evaluar e informar sobre el comportamiento de los equipos de telecomunicaciones y la eficacia de la red o de un elemento de red.

La gestión del rendimiento debe recopilar y analizar datos estadísticos con el objeto de ayudar en la planificación, el aprovisionamiento, el mantenimiento y la medición de la calidad de una red.




Confiabilidad

La confiabilidad en el contexto de la gestión de redes se refiere a la confianza que pueden tener nuestros usuarios de que su red estará arriba y funcionando correctamente. La medida de confiabilidad suele utilizarse para calcular la probabilidad de que se produzca un error en un único componente de la plataforma de red. Una medida empleada para definir la confiabilidad de un componente o del sistema es el tiempo medio entre errores (MTBF por sus siglas en inglés).




Confiabilidad El MTBF es el intervalo de tiempo promedio, normalmente expresado en miles o en decenas de miles de horas, que transcurre hasta que se produce un error en un componente y es preciso repararlo. El MTBF se calcula mediante la ecuación siguiente:

MTBF = (total de tiempo – el tiempo fuera de servicio)/número de fallas




ConfiabilidadUna medida relacionada es el tiempo medio de reparación (MTTR). El MTTR es el intervalo de tiempo promedio (normalmente expresado en horas) que se tarda en reparar un componente que ha sufrido un error. La confiabilidad de todos los componentes de la plataforma de red y sus servicios (por ejemplo, hardware de servidor, sistema operativo, software de aplicación y funciones de red) puede afectar a la disponibilidad de una solución.




ConfiabilidadUn sistema es más confiable si es tolerante a errores. La tolerancia a errores es la capacidad de un sistema para seguir funcionando cuando se produce un error en parte del sistema. Para conseguir tolerancia a errores hay que disenñar el sistema con un alto grado de redundancia de hardware. Si se produce un error en un único componente, el componente redundante asumirá su función sin que se produzca un tiempo de inactividad apreciable.




Gestión de configuracionesPara los lograr alta disponibilidad, rendimiento y confiabilidad la red que administramos deber estar en orden, es decir, cualquier elemento de nuestra red debe estar documentado y cualquier cambio que ocurra en ella debe notificarse y planificarse de acuerdo a nuestros acuerdos de calidad de servicio o SLA.

Documentar, documentar, documentar, las redes son organismos complejos, interconectados,

cambiantes, y dinámicos,




Gestión de configuraciones




¿Qué documentar?Debemos documentar desde cosas tan sencillas como: A que está conectado cada puerto? Dependiendo de tu red, su tamanño y complejidad puede ser un archivo simple de texto con una línea por cada puerto en un switch:

health-switch1, puerto 1, Sala 29 – Oficina Rector

health-switch1, puerto 2, Sala 43 – Recepcionista

health-switch1, puerto 3, Sala 100 – Sala del curso

health-switch1, puerto 4, Sala 105 – Oficina de profesor

…..

health-switch1, puerto 25, enlace a dorsal-de-saludEsta información puede estar disponible a su personal de la red, de los centros de atención a usuario, a través un wiki, por software, etc.




Para poder mantener los tres grandes objetivos de una red debemos tener la capacidad de conocerla, en el contexto de la Gestión de Redes el monitoreo se refiere a la capacidad del equipo de administración de conocer el comportamiento de la red un momento dado y de forma histórica.

El monitoreo se realiza a través de recolectores activos y pasivos que son alojados en servidores que luego son analizados y mostrados a los administradores a través de herramientas centralizadoras de la información.

Monitoreo de la gestión de red




Al conocer el patrón de tráfico de tu red podrás establecer el uso de protocolos conocidos y así podrás tomar en cuenta aspectos cómo QoS (Calidad de servicio) que finalmente inciden en mejorar el rendimiento y disponibilidad de los servicios de red.

Monitoreo de la gestión de red




La seguridad ha tomado cada vez más un papel relevante en la Gestión de Redes, para que una red se confiable debemos asegurar la integridad de los paquetes que se envían y reciben en la red, es decir, que debemos evitar ataques que puedan manipular los paquetes, negar el envío de paquetes, o retardarlos al punto de que sean descartados.

Seguridad en la gestión de red




En la arquitectura de Gestión de Redes usaremos herramientas de seguridad informática que nos ayudarán a determinar el patrón “normal” de tráfico en una red así como herramientas de detección de intrusos o anomalías que alertaran lo más temprano posible cualquier irregularidad en la red.

Desde la perspectiva de alto nivel de una red encontraremos principalmente 3 categorías de ataques que:

De reconocimiento: se refiere a los intentos de un atacante por encontrar elementos activos en la red. Normalmente, es el primer paso de una atacante en el que se dedica a identificar sus víctimas potenciales.

Intrusión: se refiere al momento en el que el atacante entra en el sistema y lo manipula. La identificación de estos ataques se realiza a través de detectores de intrusos, se pueden prevenir a través de cortafuegos.





Denegación de servicio: estos ataques tienen el objetivo de dejar inaccesible la red, el sistema o una aplicación específica. Normalmente, su objetivo son equipos de red (e.g. switchs, enrutadores, entre otros). La identificación de estos ataques es compleja, sin embargo, el nivel de cpu, memoria, tiempo de respuesta por lo general se ven afectados.





● Planificación● Configuración● Eficiencia● Fallos● Seguridad● Tarificación● Cumplimiento de los Acuerdos de Nivel de Servicio (SLAs en inglés)

Los SLAs dependen de una política local, contratos entre el cliente y un prestador de servicios entre otros.

¿Porqué realizar gestión de redes?




Planificación de capacidadSaber cuándo actualizar ● ¿Ya están demasiado viejos tus equipos?

Problemas en los equipos de red

Aumentos de ancho de banda● ¿Es el uso de tu ancho de banda demasiado alto?● ¿A dónde va tu tráfico?● ¿Necesitas una conexión más rápida, más proveedores?

Modificación de las políticas de red de la institución

Mantener un estado de cambios y así conocer el comportamiento de tu red

¿Qué podemos justificar/detectar realizando gestión de redes?




¿Qué espera la administración?

¿Qué esperan sus usuarios o clientes?

¿Qué espera el resto del Internet?

¿Qué es aceptable? 99.999% disponibilidad?

¿Podemos lograr una disponibilidad de 100%? es “muy difícil”

Al momento de planificar la gestión de redes debes contestar las siguientes preguntas:




Para lograr una disponibilidad de 99.9% debes tomar en cuenta los siguientes números:

Para una disponibilidad de 99.99% mensual:

30.5 x 24 = 762 horas al mes

(762 – (762 x .999)) x 60 = 45 minutos

Esto permite sólo 45 minutos de mantenimiento al mes!

¿Qué pasa si tienes que bajar los equipos 1 hora/semana?

(762 - 4) / 762 x 100 = 99.4 %

¿Cuáles son las expectativas de las disponibilidad de tu red?




● Servicios y sistemasDisponible, alcanzable

● Recursos Planificación de expansión, mantener disponibilidad

● Rendimiento Tiempo de ida y vuelta (rtt), banda de ancha

● Cambios y configuraciones Documentación, control de revisión, logging (registro de datos)

¿Qué podemos monitorear de una red?




A través de un Network Operations Center (Centro de Operaciones de Red)● Monitorizar y gestionar la red ● Levantar información sobre la disponibilidad actual, histórica y planeada de los

sistemas.● Conocer el estado de la red y estadísticas de operación

¿Cómo se lleva a cabo la gestión de redes?




A través de un Network Operations Center (Centro de Operaciones de Red) Monitorizar y gestionar la red Levantar información sobre la disponibilidad actual, histórica y planeada de

los sistemas. Conocer el estado de la red y estadísticas de operación

¿En el núcleo?

¿Extremo a extremo?

¿Desde el Internet?

¿Cómo se lleva a cabo la gestión de redes?

¿Cómo se mide la disponibilidad?




¿Qué es “normal” para tu red? Si nunca has medido tu red vas a necesitar saber algunas cosas como:

La carga típica de los enlaces (mediante herramientas cómo: Cacti, MRTG)

El nivel típico de “jitter” entre los puntos de extremo ( mediante herramientas cómo: Smokeping)

Porcentaje típico de uso de los recursos

El nivel típico de “ruido”:

• Escaneos de la red

• Paquetes perdidos

• Informes de errores o fallos

Recopilando datos



Infraestructura para la gestión de redesdefiniciones:

Los dispositivos gestionadoscontienen

agentes de datos en dondela data es

recolectadaen objetos

de la base de gestión de información (MIB)



Infraestructura para la gestión de redes

1) Entidad de gestiónEs una aplicación instalada en un servidor central de gestión (en inglés NetworkManagement Station - NMS) ubicado en el NOC (en inglés Network Operation Center) dela red. Es el componente principal de la actividad de gestión de red controlando lacolección, procesamiento, análisis y presentación de la información del estado dedispositivos y aplicaciones de la red. Es en este punto donde el administrador interactúacon los dispositivos de red.

2) Dispositivo gestionadoEs un componente de la red administrada (hardware o software). Puede ser un switch,router, server, hosts, impresora, DNS server, otros. Dentro de un dispositivo gestionadohay diversos objetos gestionados tales como: carga CPU, estado de una interface de red,espacio de memoria, y muchos otros. La información sobre los objetos gestionados en undispositivo se recoge en una base de información de administración (en inglésManagement Information Base – MIB).En cada dispositivo gestionado se ejecuta un proceso que tiene la lista de objetosgestionados y es capaz de comunicarse con la entidad de gestión enviando la información solicitada por esta, o avisando de manera espontánea el cambio en el comportamiento de algún objeto gestionado. Este componente se conoce dentro de la arquitectura de gestión de red como agente de gestión.



Infraestructura para la gestión de redes

2) Dispositivo gestionado

En cada dispositivo gestionado se ejecuta un proceso que tiene la lista de objetosgestionados y es capaz de comunicarse con la entidad de gestión enviando la información solicitada por esta, o avisando de manera espontánea el cambio en el comportamiento de algún objeto gestionado. Este componente se conoce dentro de la arquitectura de gestión de red como agente de gestión.

3) Protocolo de gestión de red

Se ejecuta entre la entidad de gestión y los dispositivos gestionados permitiendo consultar el estado de estos y tomar acciones indirectas a través de los agentes de gestión.Adicionalmente los agentes usan el protocolo de gestión de red para informar a la entidad de gestión de cualquier evento que pueda ocurrir (por ejemplo fallas en alguno de los objetos gestionados, violación de los umbrales de rendimiento, otros)



Chapter 9: la ruta



ASN.1



Estándares para la gestión de redes

OSI CMIP protocolo de

información común de gestión

disenñado en los 1980’s: el estándar unificador de la gestión de red

muy lenta su adopción

SNMP: Simple Network Management Protocol

va a las raíces de Internet (SGMP)

comenzó siendo muy sencillo implantado y adoptado

rápidamente crecimiento: tamanño,

complejidad Actualmente vamos: SNMP V3 Es el estándar de facto para la

gestión de redes



Revisión de SNMP : 4 partes clave

Base de información de gestión (MIB): almacén de información distribuida de datos de gestión de

red Estructura de la información de gestión (SMI):

definición de un lenguaje común de objetos de gestión MIB Protocolo SNMP

gerente de transporte <→ info de los objetos gestionados, comandos

Capacidad de administración y seguridad son las contribuciones más importates en la versión

SNMPv3



SMI: lenguaje de definición de datos

propósito: sintaxis, semántica de datos de gestión bien definidos, sin amigüedad

Tipo de bases de datos: sencilla, aburrida

OBJECT-TYPE tipo de datos, estado,

semántica del objeto gestionado

MODULE-IDENTITY grupos relacionados con

objetos en el módulo MIB

Tipos básicos de datos

INTEGERInteger32

Unsigned32OCTET STRING

OBJECT IDENTIFIEDIPaddressCounter32Counter64Guage32

Time TicksOpaque



SNMP MIB

Tipo de objeto

Tipo de objeto Tipo de objeto

Objetos específicos vía SMITIPO-OBJETO construct

MIB módulo específicado vía SMI identidad-módulo

(100 MIBs estandarizados, más los específicos del vendedor)

MÓDULO



SMI: objeto, ejemplo módulos

OBJECT-TYPE: ipInDelivers MODULE-IDENTITY: ipMIB

ipInDelivers OBJECT TYPE SYNTAX Counter32 MAX-ACCESS read-only STATUS current DESCRIPTION “El número total de entrada datagramas con éxito entregado a usuarios de IP- protocolos (incluido ICMP)”::= { ip 9}

ipMIB MODULE-IDENTITY LAST-UPDATED “941101000Z” ORGANZATION “IETF SNPv2 Working Group” CONTACT-INFO “ Keith McCloghrie ……” DESCRIPTION “El módulo MIB para gestionar IP e implementaciones ICMP, pero excluyendo su manejo de Rutas IP.” REVISION “019331000Z” ………::= {mib-2 48}



Ejemplo MIB: módulo UDPID del objeto nombre tipo comentarios

1.3.6.1.2.1.7.1 UDPInDatagrams Counter32 nro total de datagramas entregados a este nodo

1.3.6.1.2.1.7.2 UDPNoPorts Counter32 nro total de datagramas sin entregar:

ninguna aplicación en el puerto

1.3.6.1.2.1.7.3 UDInErrors Counter32 nro total de datagramas sin entregar:

todas las otras razones

1.3.6.1.2.1.7.4 UDPOutDatagrams Counter32 nro total de datagramas

enviados

1.3.6.1.2.1.7.5 udpTable SEQUENCE una entrada para cada puerto

en uso por una app, entrega el nro de puerto y dirección IP



Nombrando en SNMPpregunta: ¿cómo nombrar cada posible objeto estándar

(protocolo, datos, más ...) en cada estándar de red posible?

respuesta: el árbol identificador de objetos ISO: nombres jerárquicos de todos los objetoscada punto de ramificación tiene nombre, número

1.3.6.1.2.1.7.1

ISOISO-ident. Org.

US DoDInternet

udpInDatagramsUDPMIB2management



AÁrbol identificador de objetos OSI



protocolo SNMPDos formas de transmitir información de MIB, comandos:

agente datos

Dispositivo gestionado

entidadgestora

agente datos

Dispositivo gestionado

entidadgestora

mensaje trampasolicitud

modo solicitud/respuesta modo trampa

respuesta



Protocolo SNMP: tipos de mensajes

GetRequestGetNextRequestGetBulkRequest

Mgr-to-agent: “get me data”(instance,next in list, block)

Tipo de mensaje Función

InformRequest Mgr-to-Mgr: here’s MIB value

SetRequest Mgr-to-agent: set MIB value

Response Agent-to-mgr: value, response to Request

Trap Agent-to-mgr: inform managerof exceptional event



Protocolo SNMP: formato de mensajes

….PDUtype(0-3)

RequestID

ErrorStatus(0-5)

ErrorIndex

Name Value Name Value

….PDUtype

4Enterprise Agent

Addr

TrapType(0-7)

Specificcode

Timestamp

Name Value

Cabecera Get/set Variables para get/set

Cabecera de la trampa Info de la trampa

SNMP PDU



Administración y seguridad en SNMP

cifrado: DES-cifra el mensaje SNMP autenticación: calcular, enviar MIC(m,k): calcula

el hash (MIC) sobre el mensaje (m), clave secreta compartida (k)

protección contra la reproducción: usa un contador

control de acceso basado en vista: La entidad SNMP mantiene una base de datos de

derechos de acceso, políticas para varios usuarios base de datos en sí accesible como objeto

gestionado!



Chapter 9: la ruta



ASN.1



El problema de presentación

P: ¿La copia perfecta de memoria a memoria resuelve "el problema de comunicación"?

R: no siempre!

problema: formato diferente de datos, almacenamiento

struct { char code; int x; } test;test.x = 256;test.code=‘a’

a0000000100000011

a

0000001100000001

test.codetest.x

test.code

test.x

host 1 format host 2 format



Un problema de presentación real:



Problema de presentación: soluciones potenciales

1. El emisor aprende el formato del receptor. El emisor se traduce en el formato del receptor. El remitente envía.

– Analogía de la vida real?– pros y cons?

2. El remitente envía. El receptor aprende el formato del remitente. Receptor traducir al formato de receptor local


3. El remitente traduce el formato independiente del host. Envía. El receptor se traduce al formato del receptor local.




Resolviendo el problema de presentación

1. Traducir formato de host local a formato independiente del host

2. Transmitir datos en formato independiente del host3. Traducir el formato independiente del host al formato de

host remoto



ASN.1: notación abstracta

ISO estándar X.680 usado extensivamente en Internet Como comer vegetales, sabes que es bueno para tí!!

Tipos de datos definidos, constructores de objetos como SMI

BER: Reglas básicas de codificación especificar cómo se transmitirán los objetos de datos

definidos por ASN.1 cada objeto transmitido tiene codificación tipo,

longitud, valor (TLV)



Codificación TLV

Idea: los datos transmitidos se autoidentifican T: tipo de datos, uno de los ASN.1- tipos definidos L: longitud de los datos en bytes V: valor de los datos, codificados bajo el estándar

ASN.1

1234569

boleanoenterocadena de botscadena de octetosnuloidentificador de objreal

etiqueta valor tipo



Codificación TLV: ejemplo

Capítulo 9: gestión de...

Documents

Transcript of Capítulo 9: gestión de...