38660

Реорганизация беспроводного сегмента сети ТНУ для обеспечения максимальной надежности, удобства использования и обслуживания

Дипломная

Коммуникация, связь, радиоэлектроника и цифровые приборы

Локальные компьютерные сети получили своё развитие в 70х годах ХХ века и продолжают развиваться. Общеобразовательные сети на примере локальной вычислительной сети Таврического Национального Университета обязаны иметь надежный и стабильный доступ к глобальной сети для обеспечения полноценного высококвалифицированного образования. Наличие беспроводного доступа к локальным ресурсам и глобальной сети является конкурентоспособным преимуществом ВУЗа позволяя равномерно распределить доступ к сети между учащимися тем самым уменьшить загруженность...

Русский

2013-09-28

11.94 MB

31 чел.

ВВЕДЕНИЕ

На сегодняшний день любая сфера человеческой деятельности сопряжена с необходимостью взаимодействия с компьютерной техникой объединенной в сеть. Локальные компьютерные сети получили своё развитие в 70х годах ХХ века и продолжают развиваться. Лишь немногие из них не имеют доступа в глобальную сеть интернет. Общеобразовательные сети, на примере локальной вычислительной сети Таврического Национального Университета, обязаны иметь надежный и стабильный доступ к глобальной сети для обеспечения полноценного высококвалифицированного образования.  С увеличением числа мобильных пользователей возникает острая необходимость в оперативном осуществлении коммуникаций между ними, в обмене данными, в быстром получении информации. Поэтому естественным образом происходит интенсивное развитие технологий беспроводных коммуникаций, особенно это актуально в отношении беспроводных сетей, или так называемых WLAN-сетей (Wireless Local Area Network). Наличие беспроводного доступа к локальным ресурсам и глобальной сети является конкурентоспособным преимуществом ВУЗа, позволяя равномерно распределить доступ к сети между учащимися, тем самым уменьшить загруженность компьютерных классов. Использование беспроводных технологий дает больше возможностей для организации соединений, но при этом беспроводная технология несет с собой гораздо больше угроз для несанкционированного доступа к данным. Следовательно, для обеспечения стабильной и безопасной работы требуются постоянные наблюдение за сетью и конечными точками сети и анализ полученных данных.

Целью работы является реорганизация беспроводного сегмента сети ТНУ для обеспечения максимальной надежности, удобства использования и обслуживания.

Для достижения поставленной цели были представлены такие задачи:

  1.  Изучить техническую и программную архитектуру сети ТНУ;
  2.  создать карту покрытия Wi-Fi сети, предложить рекомендации по улучшению покрытия и безопасности;
  3.  проанализировать существующее решение и внести коррективы в работу беспроводного сегмента сети;
  4.  разработать систему мониторинга  и оповещения в случае отказа оборудования;

Выполнение данных задач даст полную информацию о состоянии WLAN ТНУ, ее путях развития, слабых и сильных сторонах, а также позволит внедрить полученные наработки в структуру ЛВС ТНУ с целью облегчения диагностики и обслуживания сетевого оборудования.

1. ОБЗОР СЕТИ ТНУ

1.1 Архитектура локальной сети

В настоящее время в ТНУ имеется, более 1500 персональных компьютеров, располагающихся в 3 корпусах университета, удаленных факультетов в г. Симферополе и в удаленных центрах, институтах, факультетах и филиалах располагающихся в городах Крыма. Телекоммуникационная инфраструктура ТНУ включает в себя телекоммуникационный узел, располагающийся в главном корпусе ТНУ. К узлу сходятся все магистрали, объединяющие компьютеры в корпусах А, Б, В университета и компьютеры, находящиеся на уделенных факультетах в г. Симферополе.

Компьютерная сеть ТНУ строится по технологии Fast Ethernet на основе международного стандарта IEEE 802.3u. Для построения сети выбрана смешанная топология типа " звезда " и " линейная шина " с использованием сетевых концентраторов и коммутаторов.

В настоящее время компьютерная сеть Таврического национального университета им.В.И.Вернадского объединяет удаленные факультеты (иностранной филологии, физической культуры и спорта, славянской филологии и журналистики, психологии, украинской филологии и украиноведения, крымскотатарской и восточной филологии, философский), студенческий городок вуза, институт последипломного образования, Крымский экономический институт, Симферопольскую школу №23, Научно-исследовательский институт "Крымская астрофизическая обсерватория" Министерства образования и науки Украины, Крымский научный центр Национальной академии наук Украины и Министерства образования и науки Украины, Крымский филиал института археологии Национальной академии наук Украины, Крымское отделение института востоковедения им. А.Е. Крымского Национальной академии наук Украины, научно-исследовательский центр «Украинский институт спелеологии и карстологии», научно-образовательный центр Киевского института права НАН Украины, Крымский научно-методический центр управления образованием Академии педагогических наук Украины, научно-исследовательский институт проблем геодинамики, Республиканский центр детского и юношеского творчества и др. На Рисунке 1. представлена структурная схема компьютерной сети Таврического национального университета.

Рисунок 1. Структурная схема компьютерной сети Таврического национального университета

1.2. Архитектура беспроводной сети

Беспроводной сегмент сети ТНУ располагается в центральном здании университета. Главное здание делиться на 3 корпуса (корпус А, корпус Б, корпус В) и столовая. В каждом корпусе 5 этажей. На рисунке 1.1 представлено здание главного корпуса ТНУ.

Рисунок 1.1 Схема здания ТНУ главного корпуса

В качестве точек доступа были использованы наружные беспроводные станции TP-Link TL-WA5210G таблица 1.

Аппаратное обеспечение

Интерфейс

Один 10/100Мбит/с RJ45 порт с автоматическим определением (Auto MDI/MDIX, PoE).
Один внешний разъем типа Reverse SMA для подключения антенны.
Один вывод заземления.

Кнопки

Кнопка перезагрузки

Внешний источник питания

12В постоянного тока / 1.0A линейный блок питания

Стандарты беспроводной передачи данных

IEEE 802.11g, IEEE 802.11b

Антенна

Двунаправленная антенна 12дБи

Размеры (ШхДхВ)

265x120x83мм

Ширина луча антенны

По горизонтали: 60°. По вертикали: 30°.

Защита

Защита от статического электричества до 15кВ,
Защита от молний до 4000В,
Встроенный вывод заземления.

Параметры беспроводного модуля

Частотный диапазон

2.4-2.4835ГГц

Скороcть передачи сигналов

11g: до 54Мбит/с (динамическая)
11b: до 11Мбит/с (динамическая)

Мощность беспроводного сигнала

<20дБм (EIRP, для стран, использующих стандарты CE)
<27Бм (максимальная выходная мощность, для стран, использующих стандарты FCC)

Чувствительность (прием)

802.11g 54M: -76дБм 48M: -78дБм 36M: -82дБм 12M: -91дБм 9M:-92дБм 802.11b 11M:-90дБм 5.5M:-92дБм 1M:-98дБм

Режимы работы

Режим ТД и маршрутизатора, Режим ТД с маршрутизатором и клиентом (Клиент WISP)
ТД/ Клиент / Мост WDS / Режим ретранслятора

Функционал

WDS мост, статистика

Защита беспроводной сети

Включение/отключение SSID, фильтрация по MAC адресам
64/128/152-битовое WEP шифрование, WPA/WPA2/WPA-PSK/WPA2-PSK (AES/TKIP) шифрование

Радиус зоны покрытия

15км со встроенной антенной, максимум 50км (необходима более мощная антенна с регулируемым положением)

Дополнительные возможности

Поддержка РоЕ на расстоянии до 60 метров
4-х уровневый светодиодный индикатор

Таблица 1. Характеристики станции TP-Link TL-WA5210G

Выделим несколько технологических особенностей, при помощи которых будут реализовываться поставленные задачи:

Поддержка IEEE 802.11b/g, скорость беспроводного соединения до 54Мбит/с

Поддержка Layer 2 User Isolation

Поддержка Ping Watch Dog

Поддержка SNMP, удаленного управления

Внешний разъем RP-SMA для подключения антенн повышенной мощности.

1.2.2 Логическая топология беспроводной сети

Топологией беспроводной локальной сети была принята «звезда» с учётом планировки здания главного корпуса ТНУ рисунок 1.2.

Рисунок 1.2 Логическая топология беспроводной локальной сети

Для работы в сети был выделен диапазон адресов 192.168.19.1 – 192.168.19.255 .

Адреса распределяются следующим образом:

1) 192.168.19.1 – основной шлюз

2) 192.168.19.2 – 192.168.19.10 – для служебных нужд

3) 192.168.19.11 – 192.168.19.220 – для раздачи пользователям

4) 192.168.19.221 – 192.168.19.253 – для точек доступа

1.2.3 Физическая топология беспроводной сети

В процессе проектирования сети, учитывая особенности распространения, сигнала эмпирическим путём было рассчитано, что для оптимального покрытия здания беспроводной сетью понадобится 22 точки. Кабели соединяющие точки доступа с коммутаторами прокладываются по телефонным шахтам и под потолочными фальш панелями.

На первом этаже корпуса А используется 5 точек доступа. Две из которых установлены в малом и большом зале библиотеки, оставшиеся 3 распределены по учебным аудиториям. Для подключения точек доступа в читальных залах используется инфраструктура сети третьего этажа корпуса А. Физическая топология сети первого этажа корпуса А представлена в приложении А1 .

На третьем этаже корпуса А используется 5 точек доступа. Точки доступа установлены в аудиториях 301А, 315А, 323А. Две точки доступа установлены в кабинете  333А и направлены в противоположные стороны. Для устранения взаимного влияния излучения  точек доступа, в настройках антенн установлен разный тип поляризации волны (вертикальное и горизонтальное). Физическая топология сети третьего этажа корпуса А представлена в приложении А2 .

В корпусе Б используется 6 точек доступа. Точки доступа установлены по 2 штуки на первом, третьем и пятом этажах. На первом этаже корпуса Б точки доступа установлены в читальном зале библиотеки и в конференц-зале. На третьем и пятом этажах точки доступа установлены в аудиториях в конце и середине коридора. Физическая топология корпуса Б представлена в приложении Б1 .

В корпусе В используется 4 точки доступа. Токи доступа установлены на первом этаже в кабинете 110В, на третьем этаже в кабинете 315В и в столовой в большом и преподавательском зале. На точке доступа в большом зале столовой снижена мощность излучения для препятствования покрытия сети вне здания. Физическая топология корпуса В представлена в приложении В1 .

1.2.3 Удовлетворение требованиям Укрчастотнадзора

Согласно решения Национальной Комиссии по вопросам регулирования связи в Украине от  06.09.2007  N 914 «Про затвердження Переліку радіоелектронних засобів та випромінювальних пристроїв, для експлуатації яких не потрібні дозволи на експлуатацію»  на Украине для обеспечения широкополсного радиодоступа стандарта IEEE Std. 802.11b, IEEE Std. 802.11g без разрешения Украинского государственного центра радиочастот возможно исключительно в случае использования точки доступа с мощностью передатчика до 100 мВт при использовании стандартной (встроенной) антенны с коефициентом усиления до 6 dBi  в диапазоне 2400-2483,5 МГц, при использовании оборудования внутри помещения.

При монтировании оборудования (точки доступа или антенн) вне здания необходимо регистрировать передатчик и получить лицензию УДЦР.

Точка доступа TL-WA5210G отвечает требованиям Укрчастотнадзора и имеет сертификат соответствия УкрСЕПРО № UA1.153.0098608-11 от 25 июлья 2011 года.

2. АНАЛИЗ ПОКРЫТИЯ И ПРОПУСКНОЙ СПОСОБНОСТИ СЕТИ 

В беспроводных системах очень сложно предсказать распространение радиоволн и определить наличие интерференции без использования тестового оборудования. Даже если используются всенаправленные омни-антенны в действительности радиоволны не распространяются на одинаковое расстояние во всех направлениях. Вместо этого различные препятствия, как например стены, двери, лифтовые шахты, люди и т.п. вводят различный уровень затухания сигнала, что является причиной того, что диаграмма направленности антенны становится неоднозначной и непредсказуемой. В результате  необходимо радиообследование (TamoGraph Site Survey)  зоны покрытия Wi-Fi-сети  для полноценного понимания поведения и распространения радиосигналов в беспроводной сети.

TamoGraph Site Survey – мощный и удобный инструмент для сбора, визуализации и анализа данных в сетях Wi-Fi стандарта 802.11 a/b/g/n. Комплекс программных средств инспектирования для построения карты покрытия сети, анализа уровня сигнала, шумов и помех, пропускной способности TCP и UDP, распределения каналов, скорости передачи данных, шифрования и других параметров. Позволяет проводить радииобследование двух типов: активное и пассивное. Пассивное радиообследование позволяет собрать данные об уровне сигнала, уровне шума и интерференции. Активное радиообследование позволяет производить измерения фактических показателей пропускной способности и некоторых других параметров.

При помощи программного комплекса «TamoGraph Site Survey» были произведены измерения уровня сигнала и пропускной способности,  построены карты покрытия беспроводной сети главного корпуса ТНУ.

Опытным путём было выяснено что нижняя граница уровня сигнала при котором пользователь может без затруднения подключиться к беспроводной сети составляет -85дБ, скорость соединения при этом составляет 3 Мбит/с. В процессе проведения радиообследования было установлено, что стены отделяющие коридоры от учебных аудиторий и кабинетов имеют толщину около 50 сантиметров, выложены ракушечным кирпичом  в 2 слоя и дают ослабление уровня сигнала на 20 дБ. Стены между кабинетами выложены из красного кирпича и дают ослабление сигнала в 7 дБ. Подробные данные радиометрии представлены  в дополнении 2.

Анализ пропускной способности проводился при помощи измерительного программного комплекса «TamoGraph Site Survey» и встроенного в точку доступа TL-WA5210G измерителя пропускной способности канала. Анализ показал что максимальная канальная скорость составляет 24 Мбит в секунду. Канальная скорость в местах с уровнем сигнала менее 75 Дб составляет 2 Мбит в секунду, при этом задержка пакетов может колебаться в диапазоне от 300 до 500 миллисекунд, что явно недостаточно для потокового прослушивания музыкальных программ и голосового общения, но при этом можно вполне комфортно просматривать web-страницы.

Замечания

Полученные результаты свидетельствуют о частично-достаточном уровне покрытия. Стоит отметить, что выбранное оборудование не обеспечивает полную реализацию потенциала беспроводных сетей. Использование наружной станции налагает ряд ограничений на возможность эксплуатации в помещении. Немаловажным требованием в построении беспроводных сетей является соблюдение симметричного канала связи между клиентом и точкой. Одним из способов её достижения является снижение мощности сигнала передатчика точки, так как мощность мобильных клиентов находится в диапазоне 30-50 мВт, в то время как мощность ТД превышает данные значения двукратно. Из-за этого в зоне покрытия найдутся места, не обеспечивающие симметричный прием\передачу данных клиент\точка. Для получения стабильной связи, мощность станции должна соотноситься с мощностью беспроводного адаптера клиента.

Точка TL-WA5210G использует двунаправленную антенну, что значительно снижает эффективность зоны покрытия. При снижении мощности излучателя антенны происходит падение уровня пробивной силы сигнала, в результате чего получить устойчивый прием, находясь вне диапазона вещания антенны за стеной, или перекрытием практически невозможно. Данная станция имеет внешний разъем RP-SMA поэтому наиболее простое и эффективное решение, это установка внешнего всенаправленного антенного модуля, который позволит получить равномерное распространение сигнала, даже при низкой его интенсивности.

3.  АНАЛИЗ РАБОТЫ БЕСПРОВОДНОГО СЕГМЕНТА СЕТИ ТНУ

3.1 Безопасность

Главное отличие между проводными и беспроводными сетями связано с абсолютно неконтролируемой областью между конечными точками сети. В достаточно широком пространстве сетей беспроводная среда никак не контролируется. Современные беспроводные технологии предлагают ограниченный набор средств управления всей областью развертывания сети. Это позволяет атакующим, находящимся в непосредственной близости от беспроводных структур, производить целый ряд нападений, которые были невозможны в проводном мире.

Для дальнейшего изложения материала необходимо дать обзорную характеристику технологий и спецификаций, используемых при построении WLAN сетей.

Стандатры IEEE 802.11

Технология  Wi-Fi, фактически является брендом, предложенным и продвигаемым организацией Wi-Fi Alliance. Получил широкое распространение благодаря развитию в мобильных электронно-вычислительных устройствах. Эта технология описывается стандартом IEEE 802.11.

IEEE 802.11 — набор стандартов связи, для коммуникации в беспроводной локальной сетевой зоне частотных диапазонов 2,4; 3,6 и 5 ГГц.

Изначально стандарт IEEE 802.11 предполагал возможность передачи данных по радиоканалу на скорости не более 1 Мбит/с и опционально на скорости 2 Мбит/с. Один из первых высокоскоростных стандартов беспроводных сетей — IEEE 802.11a — определяет скорость передачи уже до 54 Мбит/с. Рабочий диапазон стандарта 5 ГГц.

Принятый в 1999 году стандарт IEEE 802.11b не является продолжением стандарта 802.11a, поскольку в них используются различные технологии: DSSS (точнее, его улучшенная версия HR-DSSS) в 802.11b против OFDM в 802.11a. Стандарт предусматривает использование нелицензируемого диапазона частот 2,4 ГГц. Скорость передачи до 11 Мбит/с.

Продукты стандарта IEEE 802.11b, поставляемые разными изготовителями, тестируются на совместимость и сертифицируются организацией Wireless Ethernet Compatibility Alliance (WECA), которая в настоящее время больше известна под названием Wi-Fi Alliance. Совместимые беспроводные продукты, прошедшие испытания по программе «Альянса Wi-Fi», могут быть маркированы знаком Wi-Fi.

IEEE 802.11b был распространённым стандартом, на базе которого было построено большинство беспроводных локальных сетей. Сейчас его место занял стандарт G, постепенно вытесняемый более совершенным N.

Проект стандарта IEEE 802.11g был утверждён в октябре 2002г. Этот стандарт предусматривает использование диапазона частот 2,4 ГГц, обеспечивая скорость передачи 54 Мбит/с и превосходя, таким образом, стандарт IEEE 802.11b, который обеспечивает скорость передачи 11 Мбит/с. Кроме того, он гарантирует обратную совместимость со стандартом 802.11b. Обратная совместимость стандарта IEEE 802.11g может быть реализована в режиме модуляции DSSS, и тогда скорость передачи будет ограничена одиннадцатью мегабитами в секунду либо в режиме модуляции OFDM, при котором скорость составляет 54 Мбит/с. Таким образом, данный стандарт является наиболее приемлемым при построении беспроводных сетей. С точки зрения безопасности, следует учитывать среду передачи сигнала, в беспроводных сетях получить доступ к передаваемой информации намного проще, чем в проводных сетях. Достаточно поместить антенну в зоне действия.

Методы аутентификации

Аутентификация - выдача определённых прав доступа абоненту на основе имеющегося у него идентификатора.

IEEE 802.11 предусматривает два метода аутентификации:

1. Открытая аутентификация (англ. Open Authentication):

Рабочая станция делает запрос аутентификации, в котором присутствует только MAC-адрес клиента. Точка доступа отвечает либо отказом, либо подтверждением аутентификации. Решение принимается на основе MAC-фильтрации, т.е. по сути это защита на основе ограничения доступа, что не безопасно.

2. Аутентификация с общим ключом (англ. Shared Key Authentication):

Необходимо настроить статический ключ шифрования алгоритма WEP (англ. Wired Equivalent Privacy). Клиент делает запрос у точки доступа на аутентификацию, на что получает подтверждение, которое содержит 128 байт случайной информации. Станция шифрует полученные данные алгоритмом WEP (проводится побитовое сложение по модулю 2 данных сообщения с последовательностью ключа) и отправляет зашифрованный текст вместе с запросом на ассоциацию. Точка доступа расшифровывает текст и сравнивает с исходными данными. В случае совпадения отсылается подтверждение ассоциации, и клиент считается подключенным к сети.

Схема аутентификации с общим ключом уязвима к атакам «Man in the middle». Алгоритм шифрования WEP – это простой XOR ключевой последовательности с полезной информацией, следовательно, прослушав трафик между станцией и точкой доступа, можно восстановить часть ключа.
IEEE начал разработки нового стандарта IEEE 802.11i, но из-за трудностей утверждения, организация WECA (англ. Wi-Fi Alliance) совместно с IEEE анонсировали стандарт WPA (англ. Wi-Fi Protected Access). В WPA используется TKIP (англ. Temporal Key Integrity Protocol, протокол проверки целостности ключа), который использует усовершенствованный способ управления ключами и покадровое изменение ключа.

WPA также использует два способа аутентификации:

  1.  Аутентификация с помощью предустановленного ключа WPA-PSK (англ. Pre-Shared Key) (Enterprise Autentification);
  2.  Аутентификация с помощью RADIUS-сервера (англ. Remote Access Dial-in User Service)Методы шифрования

В современных беспроводных сетях требуется обеспечить

конфиденциальность информации, для этого применяется шифрование данных. Чаще всего применяется три типа шифрования WEP,WPA,WPA2.

WEP-шифрование (англ. Wired Equivalent Privacy): аналог шифрования трафика в проводных сетях. Используется симметричный потоковый шифр RC4 (англ. Rivest Cipher 4), который достаточно быстро функционирует. На сегодняшний день WEP и RC4 не считаются криптостойкими.

Есть два основных протокола WEP:

40-битный WEP (длина ключа 64 бита, 24 из которых – это вектор инициализации, который передается открытым текстом);

104-битный WEP (длина ключа 128 бит, 24 из которых – это тоже вектор инициализации); Вектор инициализации используется алгоритмом RC4. Увеличение длины ключа не приводит к увеличению надежности алгоритма.

WPA-шифрование: Вместо уязвимого RC4, используется криптостойкий алгоритм шифрования AES (англ. Advanced Encryption Standard). Возможно использование EAP (англ. Extensible Authentication Protocol, расширяемый протокол аутентификации). Есть два режима: Pre-Shared Key (WPA-PSK) - каждый узел вводит пароль для доступа к сети; Enterprise - проверка осуществляется серверами RADIUS;

WPA2-шифрование (IEEE 802.11i): принят в в 2004 году, с 2006 года WPA2 должно поддерживать все выпускаемое Wi-Fi оборудование. В данном протоколе применяется RSN (англ. Robust Security Network, сеть с повышенной безопасностью). Изначально в WPA2 используется протокол CCMP (англ. Counter Mode with Cipher Block Chaining Message Authentication Code Protocol, протокол блочного шифрования с кодом аутентичности сообщения и режимом сцепления блоков и счетчика). Основой является алгоритм AES. Для совместимости со старым оборудованием имеется поддержка TKIP и EAP (англ. Extensible Authentication Protocol) с некоторыми его дополнениями. Как и в WPA есть два режима работы: Pre-Shared Key и Enterprise.

Из вышесказанного следует то, что текущие методы аутентификации  беспроводных сетей на основе стандартных протоколов (WEP, WPA, WPA2), а так же различных методов шифрования (PSK, AES, TKIP), не могут обеспечить какой либо уровень защиты в случае направленной атаки изнутри. Данные SSID находятся в свободном доступе, следовательно Wi-Fi сеть потенциально уязвима. Злоумышленник при помощи анализатора трафика (сниффер) в состоянии перехватывать пользовательский трафик с целью получения паролей и другой информации, в том числе cookie, которые могут содержать данные авторизации сторонних ресурсов, таких как почтовые сервисы и социальные сети.

Анализатор трафика, или сниффер (от англ. to sniff — нюхать) — сетевой анализатор трафика, программа или программно-аппаратное устройство, предназначенное для перехвата и последующего анализа, предназначенного для других узлов. Внутри одного сегмента сети Ethernet все пакеты рассылаются всем машинам, поэтому сниффер может анализировать, что проходит через его сетевую карту.

Перехват трафика может осуществляться:

обычным «прослушиванием» сетевого интерфейса (метод эффективен при использовании в сегменте концентраторов (хабов) вместо коммутаторов (свитчей), в противном случае метод малоэффективен, поскольку на сниффер попадают лишь отдельные фреймы);

подключением сниффера в разрыв канала;

ответвлением (программным или аппаратным) трафика и направлением его копии на сниффер;

через анализ побочных электромагнитных излучений и восстановление таким образом прослушиваемого трафика;

через атаку на канальном (MAC-spoofing) или сетевом уровне (IP-spoofing), приводящую к перенаправлению трафика жертвы или всего трафика сегмента на сниффер с последующим возвращением трафика в надлежащий адрес.

В начале 1990-х широко применялся хакерами для захвата пользовательских логинов и паролей, которые в ряде сетевых протоколов передаются в незашифрованном или слабозашифрованном виде. Снифферы применяются как в благих, так и в деструктивных целях. Анализ прошедшего через сниффер трафика позволяет:

обнаружить паразитный, вирусный и закольцованный трафик, наличие которого увеличивает загрузку сетевого оборудования и каналов связи;

выявить в сети вредоносное и несанкционированное ПО, например, сетевые сканеры, флудеры, троянские программы, клиенты пиринговых сетей и другие;

перехватить любой незашифрованный (а порой и зашифрованный) пользовательский трафик с целью получения паролей и другой информации;

Локализовать неисправность сети или ошибку конфигурации сетевых агентов.

На примере программной среды анализа трафика dSploit под управлением операционной системой Android было проведено исследование уровня безопасности беспроводного сегмента сети ТНУ. Подключившись к Wi-Fi используя общедоступные данные авторизации SSID, получили список возможных манипуляций с сетью, в том числе и атаки Man in the middle рисунок 1.3.

Рисунок 1.3 подключение к TNU Wi-Fi в интерфейсе dSploit 

Атака MITM в общем случае представляет собой термин в криптографии, обозначающий ситуацию, когда криптоаналитик (атакующий) способен читать и видоизменять по своей воле сообщения, которыми обмениваются корреспонденты, причём ни один из последних не может догадаться о его присутствии в канале.

Используя методы MITM, произвели анализ трафика на предмет выявления паролей стандартных протоколов и сервисов рисунок 1.4.

Рисунок 1.4 поиск паролей средствами MITM

Получили список данных пользователей, большей частью являющихся авторизацией прокси рисунок 1.5.

Рисунок 1.5 список данных пользовательских паролей

Учитывая тот факт, что обычно пользователи используют однотипные пароли для различных сервисов, есть возможность их взлома и хищения личных данных путем перебора. В дополнение, подключившись к одной точке, можно получить данные со всех точек сети с целью проведения целенаправленной атаки и сбора данных рисунок 1.6.

Рисунок 1.6 доступ к точкам доступа

Снизить угрозу сниффинга пакетов данных можно при помощи настройки коммутируемой инфраструктуры сети, другими словами вынести весь беспроводной сегмент в одну  независимую от локальной подсеть.

3.2 Настройка точек доступа и аутентификация

Доступ к глобальной сети Таврического Национального Университета реализован через Прокси-сервер и ряд сетевых фильтров, обеспечивая тем самым высокий уровень защиты от внешних угроз и несанкционированного доступа к внутренним локальным ресурсам. Тем не менее, данный метод в условиях развития беспроводных технологий обладает ярко выраженным недостатком, ввиду того, что требует от пользователя определенного уровня квалификации в настройке ПК с беспроводным интерфейсом. Более того, в современных мобильных ОС может отсутствовать возможность настройки прокси по умолчанию, а применение ПО сторонних производителей может привести к критическим ошибкам системы и её отказу.

Задачей данного проекта является создание безопасной и защищенной Wi-Fi сети без изменения политики доступа к сети интернет, при этом максимально упростить процедуру подключения пользователей.

Для выполнения поставленной задачи  требуется пересмотр конфигурации точек доступа и политики работы беспроводных клиентов. В настоящее время каждая ТД  имеет собственный, настроенный DHCP сервер, что иногда вызывает различного рода конфликты и увеличивает нагрузку CPU самой точки. Все сегменты WLAN сети обособленны друг от друга, поэтому при возникновении неисправностей диагностика и выявление сбойного модуля затруднена отсутствием централизованного управления.

Учитывая данные критерии, было решено осуществить перенос  функции DHCP на отдельный сервер в совокупности с установкой прозрачного прокси и разработкой глобальной среды мониторинга.

Настройка беспроводных станций

Стоит обратить внимание на особенности используемых точек доступа, таких как реализация технологий Watch Dog, Layer 2 User Isolation и поддержка протокола удаленного управления SNMP.

Сторожевой таймер (Watchdog timer) — аппаратно реализованная схема, или программа, следящая за состоянием автоматизированных систем. Основная задача таких таймеров – своевременный перезапуск «зависшего» оборудования с целью восстановления его работоспособности. Если в течение определенного времени или определенного в программе числа циклов операционная система устройства или порт микроконтроллера не отвечают на запросы таймера, устройству посылается команда сброса и перезагрузки. В некоторых случаях сторожевой таймер может посылать системе сигнал на перезагрузку («мягкая» перезагрузка), в других же — перезагрузка происходит аппаратно (замыканием сигнального провода RST или подобного ему).

Физически сторожевой таймер может быть:

  1.  Самостоятельным устройством.
  2.  Компонентом устройства, например, микросхемой на материнской плате.
  3.  Частью кристалла SoC.
  4.  Методы определение работоспособности оборудования, используемых в сторожевых таймерах:

Ping Push: В этом режиме IP WatchDog через определенные интервалы времени отправляет на заданный IP-адрес запросы PING, тем самым определяя, откликается ли на них контролируемое устройство. В случае, если отклик от устройства не был получен, сработают контакты реле и, к примеру, будет произведена его перезагрузка. Данный метод очень удобен для мониторинга состояния сетевых видеокамер, маршрутизаторов, сетевых коммутаторов и т.п.

Ping Request: В отличии от предыдущего режима, IP WatchDog не посылает запросы PING, а ожидает таковых от контролируемого устройства. Хорошо подходит для использования в серверных и телекоммуникационных стойках, на вышках сотовой связи.

Web Push: Суть заключается в том, что сторожевой таймер периодически запрашивает определенную Web-страницу с указанного пользователем адреса. Это очень удобный метод контроля работоспособности Web-серверов – при отсутствии или недоступности запрашиваемой страницы (известная всем «Ошибка 404») сервер будет своевременно перезапущен.

Web Request: В данном режиме IP WatchDog ожидает от контролируемого устройства запроса своей внутренней Web-страницы. Если страница не будет запрошена в течение определяемого пользователем интервала времени – устройство будет перезапущено. Метод так же удобен для контроля состояния Web-серверов.

RS232 Rx: В этом режиме сторожевой таймер будет ожидать от подключенного к нему устройства определенную последовательность символов, переданную посредством стандартного порта RS-232.

Станция TP-Link TL-WA5210G имеет поддержку watch dog ping push.

Опции позволяют задать наблюдаемый сервер, интервал отправки запроса, задержка срабатывания таймера и количество учтенных ошибок рисунок 1.7.

Рисунок 1.7 Настройка ping watch dog utility

Функция Layer 2 isolation  осуществляет изолирование трафика на втором уровне модели OSI, тем самым не допускает соединения между беспроводными станциями через WLAN. Работает только в режиме точки доступа(AP).

Разъем RP-SMA дает возможность установить внешний всенаправленный

антенный модуль, при установке которого увеличится симметрия сигнала (баланс прием\передача) рисунок 1.8.

Рисунок 1.8 Настройка Layer 2 isolation и внешнего антенного модуля

Протокол SNMP

Для успешного администрирования сети необходимо знать состояние каждого ее элемента с возможностью изменять параметры его функционирования. Обычно сеть состоит из устройств различных производителей и управлять ею было бы нелегкой задачей если бы каждое из сетевых устройств понимало только свою систему команд.

Поэтому возникла необходимость в создании единого языка управления сетевыми ресурсами, который бы понимали все устройства, и который, в силу этого, использовался бы всеми пакетами управления сетью для взаимодействия с конкретными устройствами.

Подобным языком стал SNMP - Simple Network Management Protocol. Разработанный для систем, ориентированных под операционную систему UNIX, он стал фактически общепринятым стандартом сетевых систем управления и поддерживается подавляющим большинством производителей сетевого оборудования в своих продуктах.

В силу своего названия «Простой Протокол Сетевого Управления» основной задачей при его разработке было добиться максимальной простоты его реализации.

В результате возник протокол, включающий минимальный набор команд, однако позволяющий выполнять практически весь спектр задач управления сетевыми устройствами, от получения информации о местонахождении конкретного устройства, до возможности производить его тестирование.

Основная концепция протокола – вся необходимая для управления устройством информация хранится на самом устройстве – будь то сервер, модем или маршрутизатор – в так называемой Административной Базе Данных ( MIB - Management Information Base ).

MIB – набор переменных, характеризующих состояние объекта управления. Эти переменные могут отражать такие параметры, как количество пакетов, обработанных устройством, состояние его интерфейсов, время функционирования устройства и т.п.

Каждый производитель сетевого оборудования, помимо стандартных переменных, включает в MIB какие-либо параметры, специфичные для данного устройства. Однако, при этом не нарушается принцип представления и доступа к административной информации –  все они будут переменными в MIB.

Поэтому SNMP как непосредственно сетевой протокол предоставляет только набор команд для работы с переменными MIB. Этот набор включает следующие операции: (таблица 1.1)

get-request

Используется для запроса одного или более параметров MIB

get-next-request

Используется для последовательного чтения значений. Обычно используется для чтения значений из таблиц. После запроса первой строки при помощи get-request get-next-request используют для чтения оставшихся строк таблицы

set-request

Используется для установки значения одной или более переменных MIB

get-response

Возвращает ответ на запрос get-request, get-next-request или set-request

trap

Уведомительное сообщение о событиях типа cold или warm restart или "падении" некоторого link'а.

Таблица 1.1 возможные операции с переменными MIB

Чтобы проконтролировать работу некоторого устройства сети, необходимо получить доступ к его MIB, которая постоянно обновляется самим устройством, и проанализировать значения некоторых переменных.

Важной особенностью протокола SNMP является то, что в нем не содержатся конкретные команды управления устройством. Вместо определения всего возможного спектра таких команд, безусловно загромоздившего бы сам протокол, который считается все-таки простым, определены переменные MIB, переключение которых воспринимается устройством как указание выполнить некоторую команду.

Таким образом, удается сохранить простоту протокола, но вместе с этим сделать его довольно мощным средством, дающим возможность стандартным образом задавать наборы команд управления сетевыми устройствами. Задача обеспечения выполнения команд состоит, таким образом, в регистрации специальных переменных MIB и реакции устройства на их изменения.

Структура MIB древовидна, изображена на рисунке 1.9.

Рисунок 1.9 структура MIB

Каждому элементу соответствует численный и символьный идентификатор. В имя переменной включается полный путь до нее от корневого элемента root. Например, время работы устройства с момента перезагрузки хранится в переменной, находящейся в разделе system под номером 3 и называется sysUpTime. Соответственно, имя переменной будет включать весь путь: iso(1).org(3).dod(6).internet(1).mgmt(2).mib-2(1).system(1).sysUpTime(3); или на языке чисел: 1.3.6.1.2.1.1.3. Следует заметить, что при этом узлы дерева разделяются точками.

Существует стандартная ветвь MIB, относящаяся к разделу управления mgmt, которую обычно поддерживают все сетевые устройства рисунок 2.

Рисунок 2 графическое представление древа MIB

Наряду с этим каждый производитель или организация может разработать свой собственный набор переменных и "подвесить" их к дереву MIB. Однако, это делается только в строго определенном ее месте. Если организация разрабатывает свою базу MIB, то на стадии экспериментов переменные могут помещаться в раздел experimental. Для официальной регистрации структуры данных некоторой организации ей необходимо получить собственный номер в разделе private-enterprises. Все переменные, адресуемые вниз по ветви данной организации, относятся к продуктам только данного производителя.

Как уже было сказано, каждое сетевое устройство содержит в себе информацию, необходимую для управления им. Эта информация некоторым образом размещена в регистрах устройства. Для обработки запросов управляющей станции, приходящих в виде SNMP пакетов, служит специальный модуль, называемый Агентом Управления. Агент принимает SNMP пакеты и выполняет соответствующие им действия, т.е. посылает значение запрашиваемой переменной, устанавливает значение переменных, выполняет периодическое обновление информации MIB, выполняет в ответ на установку соответствующих переменных некоторые операции.

В роли Управляющей Станции может выступать рабочая станция администратора сети, если на ней запустить какой-либо пакет управления, поддерживающий протокол SNMP. Он позволяет администратору получать конкретную информацию о какой либо стороне функционирования элементов сети.

Существует 3 версии протокола, рассмотрим их подробнее.

Главное отличие SNMP v.3 от SNMP v.1 и SNMP v.2 в том, что SNMP v.3 предоставляет в значительной степени более высокий уровень безопасности, чем предыдущие версии. В таблице 1.2 представлена хронология развития протокола SNMP.  В SNMP v.1 и SNMP v.2 авторизация пользователя выполняется посредством «строки сообщества»  – Community String, которая действуют как пароль. Удаленная пользовательская программа SNMP и агент SNMP должны использовать одни и те же Community Strings. Пакеты SNMP от любой станции, которая не была авторизована, игнорируются.

SNMP v.3 использует более сложный процесс авторизации, который разделяется на две части. Первая часть используется для поддержания списка пользователей и их атрибутов, которым разрешено управлять по протоколу SNMP. Вторая часть описывает, что каждый пользователь из данного списка может делать при управлении по SNMP.

Коммутатор позволяет указывать и настраивать группы пользователей в данном списке с одинаковым набором привилегий. Для указанных групп может быть установлена версия SNMP. Таким образом, можно создать группу SNMP, которой разрешено просматривать информацию, предназначенную только для чтения, в то время как другой группе назначен более высокий уровень безопасности, предоставляющий привилегии чтения/записи,  посредством SNMP v.3.

Используя SNMP v.3 можно позволить или запретить индивидуальным пользователям или группам SNMP-менеджеров выполнять конкретные функции SNMP-управления. Разрешенные или запрещенные функции определяются с помощью идентификатора объекта Object Identifier (OID), ассоциированного с конкретной MIB. Кроме того, в SNMP v.3 доступен уровень безопасности, в котором SNMP-сообщения могут быть зашифрованы (при использовании уровней авторизации HMAC-SHA-96 или HMAC-MDA-96).

Название

Дата

Наименование документа

STD-15

май 1990 г

Simple Network Management Protocol (RFC-1157)

STD-16

май 1990 г

Structure and Identification of Management Information for TCP/IP-based Internets (RFC-1155)

SNMPv2

RFC 1902

январь 1996 г

Structure of Management Information for Version 2 of the Simple Network Management Protocol (SNMPv2)

RFC 1903

январь 1996 г

Textual Conventions for Version 2 of the Simple Network Management Protocol (SNMPv2)

RFC 1904

январь 1996 г

Conformance Statements for Version 2 of the Simple Network Management Protocol (SNMPv2)

RFC 1905

январь 1996 г

Protocol Operations for Version 2 of the Simple Network Management Protocol (SNMPv2)

RFC 1906

январь 1996 г

Transport Mappings for Version 2 of the Simple Network Management Protocol (SNMPv2)

RFC 1907

январь 1996 г

Management Information Base for Version 2 of the Simple Network Management Protocol (SNMPv2)

RFC 1908

январь 1996 г

Coexistence between Version 1 and Version 2 of the Internet-standard Network Management Framework

Таблица 1.2 хронология развития протокола SNMP

SNMPv3

RFC 2570

апрель 1999 г

Introduction to Version 3 of the Internet-standard Network Management Framework

RFC2571

апрель 1999 г

An Architecture for Describing SNMP Management Frameworks

RFC2572

апрель 1999 г

Message Processing and Dispatching for the Simple Network Management Protocol (SNMP)

RFC2573

апрель 1999 г

SNMP Applications

RFC2574

апрель 1999 г

The User-Based Security Model for Version 3 of the Simple Network Management Protocol (SNMPv3). Безопасность уровня сообщений (MD5 и SHA + DES CBC)

RFC2575

апрель 1999 г

View-based Access Control Model (VACM) for the Simple Network Management Protocol (SNMP)

Таблица 1.2 хронология развития протокола SNMP

На рисунках 2.1 и 2.2 представлена настройка Community Strings на TP-Link TL-WA5210G. В данной работе будет задействован только пассивный режим (чтение), этого достаточно для организации системы мониторинга по протоколу SNMP.

Рисунок 2.1 настройка листа доступа  Community

Рисунок 2.2 настройка Community в режим чтения

4. ПРАКТИЧЕСКАЯ ЧАСТЬ

В качестве сервера будет использоваться PC с двумя сетевыми интерфейсами и операционной системой Debian 6 Squeeze, который будет выступать в роли посредника между внутренней сетью ТНУ и беспроводным её сегментом.

4.1 Установка и настройка dnsmasq и Squid серверов

Задача DHCP адресации возложена на программу dnsmasq, являющеюся легко конфигурируемым DNS, DHCP и TFTP сервером. Он предназначен для поддержки в небольших сетях (обычно до 50 компьютеров). Главное преимущество dnsmasq – небольшое потребление ресурсов, как следствие высокая популярность в аппаратных роутерах на базе Linux и возможность использования на практически любом оборудовании. Как недостаток – невозможность применения в больших корпоративных сетях ввиду низкой масштабируемости.

Максимально упрощение доступа к интернету через Wi-Fi сеть с сохранением уровня безопасности, возможно при использовании прозрачного прокси сервера.

Прокси-сервер – программный комплекс в компьютерных сетях позволяющий клиентам выполнять косвенные запросы к других сетевым службам, другими словами выполняет роль «прокладки» между браузером пользователя и WWW сервером. Через него проходят все запросы пользователя по протоколу http и ответы серверов пользователю. Он может фильтровать проходящий траффик по тем или иным признакам, а так же разграничивать доступ к интернету по протоколу http.

Прозрачный прокси – схема связи, при которой трафик, или его часть, перенаправляется на прокси-сервер неявно (средствами маршрутизатора) рисунок 2.3. При этом клиент может использовать все преимущества прокси-сервера без дополнительных настроек браузера (или другого приложения для работы с интернетом). Таким образом, функция прозрачного прокси дает возможность пользователям работать, не настраиваясь на прокси-сервер, а администраторы освобождаются от необходимости вручную настраивать браузеры пользователей.

Рисунок 2.3 схема связи прозрачного прокси

В данной работе в качестве прозрачного прокси будет использоваться  прокси-сервер Squid. Squid так же используется на основном сервере ТНУ с которого осуществляется выход в глобальную сеть (Mordor), что значительно снизит риск программных конфликтов между узлами.

Squid – это полнофункциональное приложение кэширующего прокси сервера, которое предоставляет сервисы кэширования и прокси для HTTP, FTP и других популярных сетевых протоколов. Squid может осуществлять кэширование и проксирование SSL запросов и кэширование результатов DNS поиска, а также выполнять прозрачное кэширование. Squid также поддерживает широкий набор кэширующих протоколов, таких как ICP (кэширующий интернет протокол), HTCP (гипертекстовый кэширующий протокол), CARP (протокол кэширования маршрутизации) и WCCP (кэширующий протокол перенаправления контента).

Прокси сервер Squid –  решение широких требований к кэширующему и прокси серверу, которое масштабируется для сетей от уровня регионального офиса до корпорации, когда обеспечивается расширяемый разделяемый механизм контроля доступа и отслеживания критических параметров через протокол SNMP. Был Разработан сообществом как программа с открытым исходным кодом (распространяется в соответствии с GNU GPL). Выполнение запросов представлено в виде  неблокируемого процесса ввода/вывода. Благодаря кроссплатформенности совместим с большинством протоколов и операционными системами на основе: AIX, BSDI, FreeBSD, Linux, HP-UX, IRIX, Mac OS X, Microsoft Windows, NetBSD, NeXTStep OSF и Digital Unix, OpenBSD, SCO, Unix SunOS/Solaris. В сочетании с некоторыми межсетевыми экранами и маршрутизаторами squid может работать в режиме прозрачного прокси.

В этом режиме маршрутизатор вместо того, чтобы сразу пересылать HTTP-запросы пользователя HTTP-серверу в Интернете, перенаправляет их прокси-серверу, который может работать как на отдельном хосте, так и на самом маршрутизаторе. Прокси-сервер обрабатывает запрос (с возможной отдачей содержимого из кеша), это содержимое направляется к запросившему пользователю, для которого оно выглядит как «ответ» сервера, к которому адресовался запрос. Таким образом, пользователь может даже не знать, что все запросы и ответы прошли через прокси-сервер.

Установка DHCP-сервера

1. Скачиваем и устанавливаем пакет dnsmasq:

sudo apt-get install dnsmasq

2. Редактируем файл конфигурации /etc/dnsmasq.conf:

sudo nano /etc/dnsmasq.conf

3. Раскоментируем строку ответственную за исходящий интерфейс:

#interface=eth0 > interface=eth0

Eth0 – имя сетевой карты к которой будут подсоединяться точки доступа и пользователи из WLAN сети.

4. Дальее в этом же файле, раскомментируем или добавляем свою строку: #dhcp-range=  ответственную за выдачу dhcp адресов.

#dhcp-range=  > dhcp-range=192.168.29.50,192.168.0.250,3h

Данная запись означает, что всем пользователям подключающимся к сети, будут автоматически выдаваться ip-адреса, c 192.168.29.50 по 192.168.29.250. И аренда этих адресов будет составлять 3 часа. Диапазон адресов с 192.168.29.2 по 192.168.29.50 зарезервирован под ТД со статической адресацией. Dnsmasq перед выдачей конкретного ip выполняет команду ping на предмет использования, следовательно ситуация с конфликтом ip адресов исключена.

5. Перезапускаем сервис dnsmasq:

sudo /etc/init.d/dnsmasq restart

Установка прозрачного прокси

1. Устанавливаем squid и если потребуется, другие пакеты зависимостей, запрос которых происходит автоматически:

sudo apt-get install squid

2. Редактируем файл настроек squid:

sudo nano /etc/squid/squid.conf

3. Ищем параметр http_port , и выставляем ему следующее значение.

http_port 3128 transparent

Функция transparent – от англ. “прозрачный” результате и получим “прозрачный” прокси. 3128 – порт протокола http.

4. В этом же файле ищем параметр visible_hostname и выставляем ему следующее значение:

visible_hostname (tnu_transp_proxy)

где (tnu_transp_proxy)–  имя хоста, в случае не если поле оставить пустом, возможны множественные конфликты.

5. Теперь ищем параметр acl our_networks и редактируем его должным образом:

acl our_networks src 192.168.29.0/255.255.0.0

http_access allow our_networks

Данными строками мы разрешаем доступ к прокси для компьютеров из нашей сети 192.168.29.0.

6. Необходимо настроить авторизацию прозрачного прокси на материнском (Mordor), для этого редактируем строку cache_peer:

cache_peer 80.245.119.130 parent 8080 default login=user:password

6. Перезапускаем сервис squid:

sudo /etc/init.d/squid restart

7. На финальном этапе требуется создать правило перенаправления портов в фаерволе сервера dnsmasq/squid:

sudo iptables -t nat -A PREROUTING -i eth0 -d ! 192.168.0.0/24 -p tcp -m multiport --dport 80,8080 -j DNAT --to 192.168.0.1:3128

8. Чтобы снова, при каждом включении сервера, не запускать по новой правило для файервола, выполняем следующее:

1). Запускаем правило для файервола:

2). Сохраняем список всех правил файервола в файл:

sudo iptables-save /etc/iptables.rules

3). Редактируем файл /etc/network/interfaces

sudo nano /etc/network/interfaces

и после блока интерфейса WLAN сети (eth0) вставляем строку

pre-up iptables-restore < /etc/iptables.rules

Таким образом, удалось снизить использование ресурсов точек доступа, за счет отключения вспомогательных функций, тем самым повысив отказоустойчивость отдельных модулей и всей системы в целом при использовании централизованного управления. Удалось перераспределить функции настройки Wi-Fi интерфейса ПК на прозрачный прокси-сервер, что увеличит удобство работы пользователей и исключит человеческий фактор при ошибочном конфигурировании.

4.2 Разработка системы мониторинга

Существует большой класс программных комплексов, целью которых является вести постоянное наблюдение за компьютерной сетью в поисках медленных или неисправных систем и при обнаружении сбоев сообщать о них сетевому администратору с помощью почты, телефона или других средств оповещения. Эти комплексы можно охарактеризовать как «системы мониторинга» сети. Часто на мониторинг нескольких серверов, маршрутизаторов и принтеров может быть потрачено довольно много времени, поэтому вполне логично, чтобы автоматизировать эту задачу путем внедрения системы мониторинга сети. Сравним некоторые из самых популярных и перспективных решений и дадим короткий обзор их функций и возможностей.  В обзор включены лишь продукты с акцентом на мониторинг IP-сети, возможностью оповещения о процессе мониторинга и веб-интерфейсом.

NetXMS ( netxms.org )

Это проект с открытым кодом, работающий на ОС Windows или Linux и с широким выбором баз данных: MS SQL, IngreSQL, MySQL, Oracle и встроенный SQLite. NetXMS использует SNMP, а также его собственный агент для Windows или Linux, который обнаруживает узлы сети автоматически. Минимум сложностей с установкой, по сравнению с большинством подобных систем. Добавление устройств и изменение конфигурации может быть произведено только через клиентское программное обеспечение. Используется разный веб-интерфейс для стандартных веб-браузеров и мобильных устройств, который отображает только те события, которые добавил пользователь.

Плюсы: кроссплатформенность, клиентские агенты, поддержка различных баз данных, автоматическое обнаружение.

Минусы: требует использования специального клиентского программного обеспечения для настройки, не получил широкого распространения.

 

OpenNMS  ( opennms.org )

Это самый старый опенсорсный сетевой монитор. OpenNMS проект для Linux построен на Java, Tomcat, PostgreSQL и RRD Tool. Был разработан для управления большими сетями предприятий. Добавление IP-хостов очень легкое. Есть возможность просматривать ответы ICMP пакетов. Веб-интерфейс неплох, но необходима его полная структурная реорганизация. Возможны проблемы с Java, т.к. он зависит от конкретной версии Tomcat. Плюсы: бесплатный с открытым исходным кодом, мониторинг большого количества IP-хостов, основной мониторинг очень прост, возможность мониторинга времени отклика ICMP.

Минусы: веб-интерфейс требует переработки, линейный список устройств, только IP-мониторинг, Java код трудно отлаживать и исправлять.

PathView Cloud ( apparentnetworks.com )

Коммерческий облачный проект. Т.е., нет надобности в реальном  оборудовании для мониторинга. Сбор данных производится через агентов под названием Network Sequencers. PathView в состоянии контролировать соответствие SLA и работоспособность VoIP. Небольшое количество хостов можно контролировать бесплатно.

Плюсы: нет  необходимости в оборудовании, прост в настройке.

Минусы: Наличие платной лицензии

 

Paessler PRTG Monitor ( paessler.net )

Коммерческий Windows проект с оконным и веб-интерфейсом. Устанавливается в течение нескольких минут и не зависит от внешних веб или SQL-серверов. Агент имеет простой интерфейс с возможностью самостоятельного его изменения. Сетевые устройства отображаются древовидной форме.

Плюсы: очень простая установка, изменяемый интерфейс.

Минусы: - мониторинг только Windows.

 

Servers Alive  ( woodstone.nu )

Один из старейших  Windows мониторов. Позволяет быстро автоматически проверять пинг, TCP, службы Windows, ответ веб-сервера и свободное дисковое пространство на нескольких хостах. Программа установки не представляет сложности, пользовательский интерфейс удобен. Нет базы данных, нет графиков, нет SNMP, обнаружения устройств, веб-интерфейса и модели клиент-сервер. Цена продукта 199/299$.

Плюсы: Простота и удобство использования для обычного пинга и мониторинга служб, хорошо подходит для проверки нескольких устройств.

Минусы: Нет графиков, логов, поддержки SNMP, развитие проекта зашло в тупик.

Spiceworks Desktop ( spiceworks.com )

Свободный сетевой монитор с возможностью наблюдения до 250 серверов, работающий на Windows. Быстрая установка. Агент можно редактировать с помощью SNMP, SSH и WMI. Есть возможность оповещения и отчетности.

Плюсы: Хороший пользовательский интерфейс, простота в установке.

Минусы: Нет графиков и мониторинга производительности.

 

Nagios ( nagios.org )

В настоящее время наиболее широко применяемый опенсорсный сетевой монитор. Nagios превосходит обычные мониторы IP и SNMP. Благодаря широкому набору плагинов, большому количеству доступных операционных систем он завоевал доверие многих системных администраторов. С помощью нагиоса можно мониторить как *nix так и Windows клиенты.

Процесс установки соответствует стандартам Linux. Веб-интерфейс Нагиоса консервативен, но тем не менее  он справляется со своей задачей.

Самые простые задачи управления и настройки, такие как добавление новых устройств производятся путем редактирования конфигурационных файлов в Linux. Nagios может оповещать о «упавших» серверах по электронной почте или по jabber.

Плюсы: бесплатный, открытый исходный код, очень мощное средство мониторинга, дополнительные плагины.

Минусы: старомодный веб-интерфейс, управляется через конфигурационные файлы (в некоторых случаях можно отнести к плюсам).

Zabbix ( zabbix.org )

Сетевой монитор для Linux, основан на PHP и MySQL. Имеет удобный веб-интерфейс. Система управления подходит как для   малых так и для средних размеров сети. Система оповещения для пользователей и групп.

Плюсы: опенсорсный проект, хорошо разработанный веб-интерфейс, хорошая система оповещения, активное сообщество.

Минусы: Больше подходит для больших сетей с 1000 + узлов, мониторинг не в реальном времени, сложные шаблоны и правила оповещения.

На основе данного обзора было принята реализация системы мониторинга  при помощи Zabbix.

Подробный обзор Zabbix

Zabbix создан в 1998 году как проект внутреннего программного обеспечения Алексеем Владышевым. Спустя 3 года, в 2001 году, он был выпущен публично под лицензией GPL. На это ушло более трех лет до выхода первой стабильной версии, 1.0, которая была выпущена в 2004.

Система служит для мониторинга и отслеживания статусов разнообразных сервисов компьютерной сети, серверов и сетевого оборудования. Это открытое решение распределенного мониторинга корпоративного класса, предоставляющее возможность проводить мониторинг многочисленных параметров сети а также состояния и работоспособности серверов. Zabbix использует гибкий механизм уведомлений, что позволяет пользователям настраивать оповещения по почте практически для любого события. Это дает возможность быстро среагировать на возможные проблемы сервера. Система предлагает отличные возможности отчетности и визуализации данных, базируясь на собранных данных.

Система мониторинга поддерживает опрос данных и их получение. Все отчеты и статистика Zabbix, также как и параметры настроек, доступны через веб-интерфейс.  Веб-интерфейс отслеживает состояние сети и жизнедеятельность серверов, а также дает возможность оценивать их работоспособность из любого места.

Хорошо настроенный Zabbix может играть важную роль в мониторинге ИТ инфраструктуры. По мере ознакомления с Zabbix, становится очевидным то, что это отличная система контроля, которая достаточно проста в использовании (при грамотно отлаженном интерфейсе) однако, крайне полезна для крупных компаний с множеством серверов.

Архитектура Zabbix

В основе развития Zabbix были поставленные такие задачи как простота работы на пользовательском уровне, использование малой части вычислительных ресурсов насколько это возможно, при этом обеспечивать быструю реакцию и документировать каждый аспект программного обеспечения.

Zabbix предоставляет возможность эффективного и надежного мониторинга распределенной IT инфраструктуры. Настройку всей распределенной установки можно выполнить из одного места, а именно через общий веб-интерфейс.

Zabbix поддерживает вплоть до 1000 Нод в режиме распределенной установки. Каждая Нода отвечает за мониторинг своей собственной территории. Нода может быть настроена локально и через Мастер Ноду, которая имеет копию конфигурационных данных всех Дочерних Нод. Настройку Дочерних Нод можно осуществить в режиме оффлайн, т.е. при отсутствии связи между Мастер и Дочерней Нодой.

Иерархическое представление распределенного мониторинга позволяет иметь древовидную структуру Нод. Каждая Нода пересылает необходимую информацию только своей Мастер Ноде.

Все Ноды могут работать даже в случае проблем со связью. История собранных данных и событий хранится локально. Когда связь восстанавливается, тогда Дочерние Ноды будут выборочно отправлять данные Мастер Ноде.

Новые Ноды могут быть прикреплены к или откреплены от распределенной установки Zabbix без какой либо потери их функциональности. При этом нет необходимости перезапускать какую либо Ноду.

Каждая Нода имеет свои собственные настройки и работает как обычный Zabbix сервер.

Структура zabbix

На рисунке 2.4 представлена структурная схема zabbix.

Рисунок 2.4 структура zabbix

Zabbix сервер – это ядро программного обеспечения. Сервер может удаленно проверять сетевые сервисы, является хранилищем, в котором хранятся все конфигурационные, статистические и оперативные данные, и он является тем субъектом в программном обеспечении Zabbix, который оповестит администраторов в случае возникновения проблем с любым контролируемым оборудованием.

Zabbix прокси – собирает данные о производительности и доступности от имени Zabbix сервера. Все собранные данные заносятся в буфер на локальном уровне и передаются Zabbix серверу, к которому принадлежит прокси-сервер. Zabbix прокси является идеальным решением для централизованного удаленного мониторинга мест, филиалов, сетей, не имеющих локальных администраторов. Он может быть также использован для распределения нагрузки одного сервера. В этом случае, прокси только собирает данные, тем самым на сервер ложится меньшая нагрузка на ЦПУ и на ввод/вывод диска.

Zabbix агент – контроль локальных ресурсов и приложений (таких как жесткие диски, память, статистика процессора и т.д.) на сетевых системах, эти системы должны работать с запущенным Zabbix агентом. Агенты являются чрезвычайно эффективными из-за использования родных системных вызовов для сбора информации о статистике.

Веб-интерфейс – интерфейс является частью Zabbix сервера, и, как правило (но не обязательно), запущен на одном физическом сервере, что один Zabbix сервер. Работает на PHP, требует веб сервер.

Возможности:

  •  Распределенный мониторинг вплоть до 1000 узлов. Конфигурация младших узлов полностью контролируется старшими узлами, находящихся на более высоком уровне иерархии.
  •  Сценарии на основе мониторинга
  •  Автоматическое обнаружение
  •  Централизованный мониторинг лог-файлов
  •  Веб-интерфейс для администрирования и настройки
  •  Отчетность и тенденции
  •  SLA мониторинг
  •  Поддержка высокопроизводительных агентов (zabbix-agent) практически для всех платформ
  •  Комплексная реакция на события
  •  Поддержка SNMP v1, 2, 3
  •  Расширение за счет выполнения внешних программ
  •  Гибкая система шаблонов и групп
  •  Возможность создавать карты сетей

Мониторинг  Zabbix

Виды мониторинга:

Simple checks — может проверять доступность и реакцию стандартных сервисов, таких как SMTP или HTTP без установки какого-либо программного обеспечения на наблюдаемом хосте.

ZABBIX agent — может быть установлен на UNIX-подобных или Windows хостах для получения данных о нагрузке процессора, использования сети, дисковом пространстве и т. д.

External check — выполнение внешних программ. ZABBIX также поддерживает мониторинг через SNMP.

Если углубиться, то процесс мониторинга выглядит примерным образом:

  1.  Сервер и агент следят за размером наблюдаемого журнала и временем последнего изменения (для logrt) в двух счетчиках.
  2.  Агент начинает читать лог-файл с той позиции, в которой он остановился последний раз.
  3.  Количество уже проанализированных данных (счетчик размера) и время последнего изменения (счетчик времени) хранятся в базе данных Zabbix и отправляются агенту, чтобы указать ему с какой именно позиции следует начинать читать лог-файл.
  4.  Всякий раз, когда лог-файл становится меньше, чем известное агенту значение счетчика размера, счетчик обнуляется и агент начинает читать лог-файл с самого начала, принимая во внимание счетчик времени.
  5.  Все файлы, соответствующие формату имени файла в соответствующей папке, анализируются каждый цикл и агент пытается получить следующую строку из лог-файла (для logrt).
  6.  Если в папке существует несколько соответствующих файлов с тем же временем последнего изменения, то агент будет лексикографически читать наименьший из этих файлов.
  7.  Zabbix агент обрабатывает новые записи лог-файла один раз на Период обновления в секундах.
  8.  Zabbix агент отправляет не более чем maxlines записей из лог-файла в секунду. Это ограничение предотвращает перегрузку сети и ресурсов процессора и переопределяет значение по умолчанию предусмотренное параметром MaxLinesPerSecond в файле настроек агента.

Подготовка к установке zabbix

Установка будет производится из исходиков, для этого необходимо скачать исходный код Zabbix с официального сайта.

1. Разархивируем скачанный архив. Для этого переходим в директорию с архивом и вводим комманду:

$ tar -zxvf zabbix-2.0.0.tar.gz

2. Следующим этапом необходимо подготовить систему к установке zabbix. Понадобятся следующие пакеты:

Snmp

libsnmp-dev

snmpd

libcurl4-openssl-dev

fping

Этих пакетов достаточно для того, чтобы zabbix смог опрашивать узлы на доступность и собирать информацию по SNMP.

3. Если данные пакеты не установлены в системе, установим их:

sudo apt-get install snmp libsnmp-dev snmpd libcurl4-openssl-dev fping

4. После того как все необходимые пакеты установлены, необходимо создать группу zabbix и пользователя zabbix:

groupadd zabbix

useradd -g zabbix zabbix

5. Теперь нужно подготовить базу данных. Zabbix может работать как с MySQL, так и с PostgreSQL. (поддерживает и другие, с полным списком можно ознакомиться в официальной документации). Производитель рекомендует использовать в качестве сервера базы данных PostgreSQL, если в мониторинге задействовано более 50 узлов.

Создаем базу данных в MySQL:

shell> mysql -u <имя пользователя> -p

<пароль>

mysql> create database zabbix character set utf8

mysql> quit

6. Теперь переходим в директорию с разархивированными исходниками zabbix. В  директории ./database/mysql/ находятся три файла:

schema.sql

images.sql

data.sql

7. И запускаем их исполнение:

mysql -u <пользователь> -p < schema.sql

или из самого mysql:

mysql>use zabbix

mysql>source schema.sql

По аналогии запускаем и остальные файлы images.sql и data.sql

Порядок обязателен.

На этом этап подготовки к установке завершен. Теперь можно приступить к самой установке zabbix.

Установка zabbix

1. Переходим в директорию с кодом zabbix и запускаем:

sudo ./configure --enable-server --enable-proxy --enable-agent --with-mysql --with-net-snmp  --with-libcurl 

2. Подключаем сам zabbix сервер, zabbix агент, поддержку snmp и zabbix прокси.

Запускаем установку:

 

sudo make install

 

На этом установка завершена. Осталось произвести конфигурацию сервера и агента zabbix.

Первоначальная настройка zabbix

1. Для работы zabbix сервера необходимо произвести первоначальные настройки. Открываем файл конфигурации /usr/local/etc/zabbix_server.conf и редактируем его:

DBName=[имя базы данных]

DBUser = [имя пользователя доступа к MySQL]

DBPassword = [пароль доступа к базе данных]

2. Теперь настроим агент zabbix. Если zabbix агент находится на той же машине, где и zabbix сервер, то ничего менять не надо. Если же zabbix агент находиться на другой машине, то открываем /usr/local/etx/zabbix_agentd.conf ищем строку Server=127.0.0.1 и заменяем на Server=[адрес zabbix сервера]

Запускаем zabbix сервер и агент командами:

zabbix_server

zabbix_agentd

Установка web интерфейса zabbix

Удовлетворив все требования zabbix , переходим  к следующему шагу.

На этом этапе необходимо выбрать тип базы данных (MySQL), указать адрес сервера (localhost), название базы данных, логин и пароль для доступа к базе данных:

После ввода всех данных жмем «Test connection», если тест прошел успешно, переходим к следующему шагу, если же нет – проверяем  введенные данные. Далее вводим информацию по zabbix серверу: адрес, порт, название.

Переходим дальше. На этом шаге проверяем всю введенную информацию

Если вся информация введена правильно – переходим к установке, нет –  возвращаемся.

Все прошло успешно. Файл zabbix.conf.php должен быть открыт на запись. Жмем «Finish». И переходим к окну авторизации.

По умолчанию логин - Admin, пароль - zabbix. На этом установка завершена.

Основные понятия

Основным элементом Zabbix является узел сети.

Узел сети –  элемент сети над которым осуществляется наблюдение.

Для удобства можно объединять узлы сети в группы узлов сети.

Группа узлов сети –  логическое объединение узлов сети, может содержать как узлы сети, так и шаблоны.

Шаблон – набор различных элементов (элементы данных, триггеры, графики). Шаблон позволяет увеличить скорость развертывания мониторинга путем присоединения к узлу сети.

Элемент данных – непосредственно часть данных, получаемая от узлов сети. Элементы данных можно объединить в логические группы – группа элементов данных.

Триггер – логическое выражение, которое задает порог проблемы. При выполнении данного выражения триггер переходит из статуса “Ок” в статус “Проблема”.

Событие – ситуация, которая заслуживает особого внимания, например, при изменении состояния триггера.

Действие – реагирование на событие.

Оповещение – это сообщение, которое будет отправлено пользователю или группе пользователей.

Zabbix может производить оповещения (отправка email, jabber).

При возникновении некоторого условия (задается администратором) zabbix может выполнить на наблюдаемом узле удаленную команду.

Zabbix может производить мониторг web-сервера, для этого он выполняет так называемый web-сценарий.

Интерфейс

Интерфейс zabbix состоит из информационной области и двух меню рисунок 2.5.

Рисунок 2.5 интерфейс zabbix

Первое меню относится к самому мониторингу Zabbix и состоит:

Мониторинг – открывает основную панель мониторинга.

Инвентаризация – инвентаризационная информация об узлах сети.

Отчеты – панель отчетов.

Настройка – открывает окно настройки самого мониторинга (настройка узлов сети, групп узлов сети, триггеров, шаблонов, событий и т.д.).

Администрирование – окно настройки внешнего вида Zabbix, типа аутентификации, пользователей, способов оповещения, самих оповещений и др.

Второе меню состоит из:

Помощь – ссылка на документацию по Zabbix.

Поддержка – ссылка на поддержку Zabbix.

Печать – вывод на экран различной информации по пользователям.

Профиль – настройка текущего профиля пользователя.

Выход из системы.

Настройка мониторинга SNMP устройств

1. Для начала требуется создать узел сети:

Переходим в меню: Настройка > Узлы сети и жмем на кнопку «Создать узел сети»

2. Далее требуется заполнить поля узла сети:

Имя узла сети –название узла, за которым будет производиться слежение.

Видимое имя – название узла, которое будет отображаться.

В группах – группа, в которой будет находиться узел.

Интерфейс агента – ip адрес или доменное имя узла.

Теперь нужно в «Интерфейсы SNMP» нажать «Добавить» и ввести ip адрес узла или доменное имя узла, а также при необходимости изменить порт для работы SNMP.

Наблюдение через прокси –

Состояние – Под наблюдением (для включения мониторинга для данного узла).

Также можно ввести инвентарные данные и другие данные для узла. Жмем «Сохранить».

На этом создание узла завершено. Теперь требуется создание элементов данных, мониторинг которых будет осуществляться на данном узле. В нашем случае это состояние порта.

Создание элементов данных

1. Переходим Настройка > Узлы сети и выбираем вновь созданный узел. И переходим в Элементы данных.

2. Жмем «Создать элемент данных» .

3. В полях вводим:

Узел сети – находиться название узла сети для которого создается элемент данных. Если в этом поле не тот узел, то жмем по «Выбрать» и выбираем необходимый узел.

Имя – вводим имя элемента данных. В нашем случае это port_status.

В поле Тип – тип элемента данных, в нашем случае это SNMPv2 агент.

В поле ключ вводим необходимый OID. При этом действии необходимо обратиться к документации по оборудованию, а точнее к MIB. Данные OID используемые zabbix представлены в таблице 1.3. В нашем случае – это 1.3.6.1.2.1.2.2.1 и дальше номер порта, производится запрос статуса интерфейса.

В поле интерфейс узла сети требуется указать интерфейс для SNMP, который мы был создан при создании узла.

В поле SNMP OID указываем такое же значение, как и в поле ключ 1.3.6.1.2.1.2.2.1.1.

В поле SNMP Community указываем пароль для доступа к считываю информации по SNMP(в нашем случае tnu_test). В поле «порт» указываем порт по которому работает SNMP, по умолчанию это порт 161.

В поле тип информации – Числовой(целое положительное), так как полученная информация будет 1 – когда порт в коннекте, 2 – когда порт не в коннекте, 5 – когда порт в статусе admin down (выключен административно).

В поле «Тип данных» – десятичный, получаемые данные целые десятичные.

Поле «единица измерения» оставляем пустым.

Поле «пользовательский множитель» оставляем пустым.   

В поле «интервал обновления» устанавливаем интервал обновления в секундах, по умолчанию 30 секунд.

Остальные поля также оставляем не заполненными.

Жмем сохранить. На этом настройка опроса статуса порта завершена.

Специальные OID в Zabbix

Специальный OID

Идентификатор

Описание

ifIndex

1.3.6.1.2.1.2.2.1.1

Уникальное значение для каждого интерфейса. От 1 до ifnumber.

fDescr

1.3.6.1.2.1.2.2.1.2

Текстовая строка содержащая информацию о интерфейсе. Эта строка может включать в себя название компании производителя, имя продукта, аппаратную версию интерфейса.

ifType

1.3.6.1.2.1.2.2.1.3

Тип интерфейса, например, 6 - ethernet; 9 - 802.5 маркерное кольцо; 23 - PPP; 28 - SLIP.

ifMtu

1.3.6.1.2.1.2.2.1.4

Mtu для конкретного интерфейса. Размер наибольшей датаграммы, которую может отправить/получить интерфейс, указывается в байтах

ifSpeed

1.3.6.1.2.1.2.2.1.5

Текущая скорость интерфейса в битах за секунду.

ifPhysAddress

1.3.6.1.2.1.2.2.1.6

Физический адрес интерфейса или строка нулевой длины для интерфейсов без физического адреса (напр. последовательный).

ifAdminStatus

1.3.6.1.2.1.2.2.1.7

Текущее административное состояние интерфейса.

ifOperStatus

1.3.6.1.2.1.2.2.1.8

Текущее рабочее состояние интерфейса.

ifInOctets

1.3.6.1.2.1.2.2.1.10

Полное число полученных байтов, включая символы заголовков.

fInUcastPkts

1.3.6.1.2.1.2.2.1.11

Количество пакетов одноадресной рассылки, доставленных на верхний уровень стека протокола.

ifInNUcastPkts

1.3.6.1.2.1.2.2.1.12

Количество пакетов НЕ одноадресной рассылки (broadcast и multicast), доставленных на верхний уровень стека протокола.

ifInDiscards

1.3.6.1.2.1.2.2.1.13

Количество входящих, но отвергнутых пакетов, даже если не было обнаружено ошибок, мешающих доставке пакетов на верхний уровень стека протокола. Одна из возможных причин для отвержения пакета могло быть освобождение места в буфере.

ifInErrors

1.3.6.1.2.1.2.2.1.14

Количество входящих пакетов, полученных с ошибкой, из за которой пакеты не были доставлены на верхний уровень стека протокола.

ifInUnknownProtos

1.3.6.1.2.1.2.2.1.15

Количество пакетов, полученных через интерфейс, но отвергнутых из за неизвестного или не поддерживаемого протокола.

ifOutOctets

1.3.6.1.2.1.2.2.1.16

Полное количество отправленных октетов с интерфейса, включая символы заголовков.

ifOutUcastPkts

1.3.6.1.2.1.2.2.1.17

Полное количество пакетов, которые пытался отправить верхний уровень стека протокола, и которые адресованы НЕ на broadcast или multicast адреса на этом суб-уровне, включая те которые были отвергнуты или не отправлены.

ifOutNUcastPkts

1.3.6.1.2.1.2.2.1.18

Полное количество пакетов, которые пытался отправить верхний уровень стека протокола, и которые адресованы на broadcast или multicast адреса на этом суб-уровне, включая те которые были отвергнуты или не отправлены.

ifOutDiscards

1.3.6.1.2.1.2.2.1.19

Количество исходящих пакетов, которые были отвергнуты даже если не было обнаружено ошибок, мешающих отправке. Одна из возможных причин отвержения пакета могло быть освобождение места в буфере.

ifOutErrors

1.3.6.1.2.1.2.2.1.20

Количество исходящих пакетов, которые не могут быть отправлены из за ошибок.

ifOutQLen

1.3.6.1.2.1.2.2.1.21

Длина очереди исходящих пакетов (количество).

Таблица 1.3 Специальные OID в Zabbix

Если все сконфигурировано должным образом можно увидеть визуальное

подтверждение в виде зеленого квадрата «SNMP».

После того, как опрос состояния порта настроен необходимо создать правило (триггер), после срабатывания которого zabbix сообщит о наличии проблемы.

Создание триггера

1. Переходим Настройка > Узлы сети и выбираем узел для которого будем создавать триггер рисунок. Дальше переходим по ссылке «Триггеры».

2. Пока триггеров нет. Жмем «Создать триггер»

3. В поля вводим:

Имя  – задаем название нашего триггера (Port_Status).

Выражение жмем «Добавить» и в открывшемся окне:

Элементы данных – жмем «Выбрать» и выбираем наш элемент данных port_status, в поле «Функция» выбираем необходимую функцию, в нашем случае, Last value = N (это означает, что при получении значения равного N мой триггер сработает) и в поле “N” устанавливаем значение 2 (т.к. если порт не в коннекте, то OID вернет значение 2.

Жмем «Вставить».

Важность установлена на  «Предупреждение».

Необходимо поставить галочку «активно» для активации данного триггера.

Жмем «Сохранить».

На этом настройка триггера завершена. Теперь zabbix проверяет статус порта узла сети, используя SNMP.

На этом настройка детального мониторинга узла завершена. С помощью SNMP можно настроить мониторинг множества параметров оборудования. Такие как температура, нагрузка на процессор, фактическая скорость на порту. В следующей статье мы настроим мониторинг скорости на порту и создадим график, который будет отображать данную скорость. А на этом пока все.

А в данной статье мы настроим мониторинг скорости на порту, научимся создавать графики, использовать множители в элементах данных, а также закрепим знания по созданию элементов данных.

Проверка загрузки канала

И так, у нас есть узел сети, который может работать по SNMP (данный узел настроен, мы знаем пароль на чтение информации по SNMP). Настроим мониторинг скорости на порту

Переходим в настройки нашего узла и создаем 2 элемента данных: первый собирает информацию о входящей скорости, второй собирает информацию о исходящей скорости.

На имеющемся оборудовании OID 1.3.6.1.2.1.2.2.1.16.x отвечает за количество отправленных байт, что соответствует спецификации протокола SNMP, где x – это номер порта с которого мы снимаем статистику.

Создаем элемент данных:

Имя – upload.

Тип - SNMPv2 агент.

Ключ – 1.3.6.1.2.1.2.2.1.16.1, снятие статистики исходящих  пакетов с порта.

Интерфейс узла сети – выбираем интерфейс SNMP, который мы указали при создании узла сети.

SNMP OID – вводим 1.3.6.1.2.1.2.2.1.16.1.

SNMP community – вводим пароль на считывание информации по SNMP (tnu_test).

Тип информации – Числовой(с плавающей точкой).

Единица измерения –bps (bit per second).

Пользовательский множитель – ставим галочку. Множитель считается по формуле 8/t, где t – интервал проверки в секундах. Например мы считываем информацию каждые 40 секунд, тогда множитель=8/40=0.2 Вписываем в поле множитель 0.2.

Интервал обновления – 40.

Хранение значения – Дельта (простое изменение), т.к. нужно получать не общее количество, а разницу, между текущей проверкой и предыдущей.

В поле Состояние – активно.

Жмем «Сохранить».

Таким образом создан элемент данных для нашего узла, который получает количество байт и преобразовывает эти данные в скорость.

По аналогии создаем второй элемент данных, единственное отличие будет в названии и в использовании OID: 1.3.6.1.2.1.2.2.1.10 – получает количество принятых байт.

Создание графика загрузки канала

Создадим график загрузки порта, используя созданные элементы данных: входящая и исходящая скорость.

1. Для этого в настройках нашего узла переходим по ссылке графики. Жмем по «Создать график»

В открывшемся окне:

В поле «Имя» – название графика.

В полях «Ширина» и «Высота» задаем размеры нашего графика

В поле «Тип графика» выбираем тип графика: нормальный, стэкируемый, круговой, расширенный круговой.

В полях «Показывать легенду», «Показывать рабочее время», «Показывать триггеры», «Процентная линия (слева)», «Процентная линия (справа)» ставим галочку напротив тех элементов, которые должны отображаться на графике.

В полях «МИН значение оси y» и «МАКС значение оси y» выбираем, как будут определяться минимальное и максимальное значение: вычисляемое, фиксированное или элемент данных.

В поле «Элементы данных» добавляем те элементы данных значения, которых будут отображаться на графике.

Создадим график с именем «Загрузка», а все остальные данные оставим по умолчанию. А в поле «Элементы данных» жмем по «Добавить».

В открывшемся окне выбираем элемент данных, отвечающий за мониторинг исходящего трафика, и жмем выбрать. В поле «Функция» выбираем, что отображать внизу графика: все, минимальное значение, максимальное значение или среднее значение. В поле «Стиль отрисовки» выбираем как будет рисоваться график. В поле «Расположение оси Y» указываем, где будет располагаться ось Y. В поле «Цвет» выбираем цвет графика.

В нашем случае выбрано, чтобы показывались все функции (внизу графика), стиль отрисовки – градиентная линия, расположение оси Y по левой стороне. Аналогично и для другого элемента данных, единственная разница – в цвете отображения.

После добавления всех элементов данных и их настройки жмем «Сохранить».

Ждем 40 секунд (значение интервала обновления) и наблюдаем результат.

На этом настройка детального мониторинга завершена.

5. ОХРАНА ТРУДА

5.1. Воздействие электрического тока

Анализ несчастных случаев в промышленности свидетельствует о том, что из общего количества несчастных случаев со смертельным исходом на производстве 20-40% случается вследствие поражения электрическим током, причем 80% смертельных поражений напряжением до 1000 В.

При прохождении электрического тока через человека различают:

1. Термическое воздействие (ожоги)

2. Электрохимическое  воздействие (разрушение крови и лимфы)

3. Биологическое  воздействие – нарушение внутренних   биологических процессов организма, связанных с его жизненных процессов  (судороги)

4. Механические   воздействия – разрывы и повреждения  тканей организма – мышц, кровеносных  сосудов, сосудов легочной ткани, а также мгновенного взрывоподобного образования пара при перегреве тока жидкости и крови.

По силе воздействия различают:

1. Электрическая травма – местные повреждения тканей (ожоги, металлизация кожи, электроофтальмия (ожог сетчатки глаз), разрыв тканей.

Два вида: прохождением тока через человека и не связанных с прохождением тока (поражения связываются с ожогами, ослеплением электрической дугой, падением и как следствие – существенными механическими повреждениями.)

2. Электрический удар – судорожные сокращения мышц нарушение и даже полное прекращение работы сердца и легких, которые можно разделить на группы:

  1.  просто  судороги (обычно с сильной болью);
  2.  судороги с  потерей сознания, но сохранением  дыхания и работы сердца;
  3.  судороги с  потерей сознания и нарушением дыхательной  и сердечной деятельности;
  4.  клиническая смерть - остановка сердца при прохождении тока через сердце и остановка дыхания  при прохождении тока через мышцы груди.

5.2. Факторы поражения электрическим током

  1.  С ростом силы тока опасность поражения возрастает. Различают пороговые значения тока (при частоте 50 Гц):
  2.  пороговый  ощутимый ток — 0,5—1,5 мА при переменном токе и 5—7 мА при постоянном токе;
  3.  пороговый  неотпускающий ток, который вызывает  при прохождении через тело человека  непреодолимые судорожные сокращения  мышц руки, в которой зажат проводник - 10-15 мА при переменном токе и 50—80 мА при  постоянном токе;
  4.  пороговый  фибрилляционный ток — 100 мА при переменном токе и 300 мА при постоянном токе.

Электрическое сопротивление тела человека — это сопротивление току, который проходит по участку тела между двумя электродами, прилагаемыми к поверхности тела. Оно состоит из сопротивления тонких внешних слоев кожи, которые контактируют с электродами, и сопротивления внутренних тканей тела.

Величина электрического сопротивления тела зависит от состояния рогового слоя кожи, наличия на ее поверхности влаги, загрязнений, повреждений, от места прикладывания электродов, частоты тока, величины напряжения, длительности действия тока.

Наличие на роговом слое порезов, царапин, влаги, потовыделений уменьшают сопротивление тела, вследствие чего увеличивается опасность поражения.

Сопротивление тела человека в практических расчетах принимается равным 1000 Ом.

Из-за наличия в сопротивлении тела человека емкостной составляющей рост частоты прилагаемого напряжения сопровождается уменьшением полного сопротивления тела и ростом тока, который проходит через тело человека. Можно было бы допустить, что рост частоты приведет к повышению опасности.

Однако это предположение справедливое только в диапазоне частот до 50 Гц. Дальнейшее повышение частоты, невзирая на рост тока, который проходит через тело человека, сопровождается снижением опасности поражения, которая полностью исчезает при частоте 450—500 Гц,

Однако эти токи сохраняют опасность ожогов при возникновении электрической дуги и при прохождении их непосредственно через тело человека.

Значение фибрилляционного тока при частотах 50—100 Гц практически одинаковы, при частоте 200 Гц фибрилляционный ток увеличивается приблизительно в два раза по сравнению с его значением при 50—100 Гц, а при частоте 400 Гц — более, чем в 3 раза.

Относительно безопасной частотой тока считается частота до 50 Гц и напряжение до380 В. Самый опасный случай возникает в случае появления градиентов напряжения - когда разные участки тела находятся под разным напряжением.

Постоянный ток приблизительно в 4 - 5 раз менее опасен, чем переменный ток частотой 50 Гц.

Постоянный ток, проходя через тело человека, вызывает меньшие сокращения мышц. Сравнительная оценка постоянного и переменного токов справедлива только для напряжений до 500 В. Считается, что при более высоких напряжениях постоянный ток становится более опасным, чем переменный частотой 50 Гц.

Продолжительность прохождения тока через организм существенно влияет на исход поражения: с увеличением длительности действия тока возрастает вероятность тяжелого или смертельного исхода. Рост силы тока с увеличением времени его действия объясняется снижением сопротивления тела человека вследствие местного нагревания кожи.

5.3. Квалификация помещений по степени поражения

По характеру среды помещения делятся на:

  1.  нормальные – сухие помещения, в которых отсутствуют признаки жарких и запыленных помещений  и помещений с химически активной средой.
  2.  сухие – относительная влажность воздуха -60%
  3.  влажные – относительная влажность воздуха 60 - 75%
  4.  сырые – относительная влажность воздуха в  течение длительного времени превышает  75%, но не достигает 100%
  5.  особо сырые  – относительная влажность около 100% (стены, потолок, предметы покрыты  влагой);
  6.  жаркие – температура воздуха в течении длительного времени превышает +30°С;
  7.  запыленные – выделяющаяся в помещении пыль оседает на проводах и проникает внутрь машин, аппаратов; помещения могут быть с токопроводящей и не токопроводящей  пылью;
  8.  с химически активной средой – помещении постоянно или в течении длительного времени выделяется пар или откладываются отложения, которые разрушительно действуют на изоляцию и токопроводящие части оборудования.

5.4. Условия поражения человека электрическим током

Анализ опасности поражения электрическим током сводится к определению тока, протекающего через тело человека при различных возможных вариантах попадания его под напряжение. Электрические сети бывают постоянного и переменного токов. Сети переменного тока бывают однофазные и многофазные. Наиболее распространенные – трехфазные. По режиму нейтрали трансформатора или генератора могут быть с изолированной или глухозаземленной нейтралью.

При прикосновении к одному из фазных проводов сети с изолированной нейтралью в нормальном режиме сила тока, проходя через человека, зависит от сопротивления потерь и емкости сети относительно земли. Замыкание одной из фаз на землю значительно повышает опасность однофазного прикосновения, поскольку в этом случае человек оказывается под напряжением, близким к линейному. Более опасным является двухфазное прикосновение.

Трехфазные электрические сети с глухозазамленной нейтралью имеют малое сопротивление между нейтралью и землей. Таким образом, прикосновение к исправной фазе при замыкании на землю второй фазы более опасно, чем прикосновение к фазе в нормальном режиме работы трехфазной сети с глухозаземленной нейтралью, а наиболее опасным является двухфазное прикосновение

Однофазные сети и сети постоянного тока могут быть изолированными от земли, иметь заземленный полюс или среднюю точку.

Наиболее опасным является двухполюсное прикосновение при любом режиме нейтрали относительно земли, поскольку в этом случае ток, протекающий через человека определяется только его сопротивлением.

Комплекс мероприятий, устранение и ограничение опасного воздействия от статического электричества на ИМС и полупроводниковые приборы.

Для снижения степени электризации и ускорения стекания зарядов заземления, увлажнение и химическое нанесение специальной поверхностной пленки, антистатического вещества, антистатические браслеты, кольца, пинцеты, подключенные к заземляющие шины через резистор в 1ом 10%. Через гибкий изолированный проводник, соединенный с браслетом разъемом, но исключающим возможность случайного разъединения.

При работе с паяльником допускается включение через понижающий трансформатор, имеющий электростатический экран между обмотками с одним заземленным выводом вторичной обмотки.

При выполнение технологических операций рекомендуется использовать магнитные или вакуумные инструменты.

Для измерения электростатических потенциалов предусматриваются средства измерения, которые должны иметь входное сопротивление = 100 ом и емкость = 10 пф.

Заземления токоведущих частей производится в целях защиты работающих от поражения электрическим током в случае ошибочной подачи напряжения к месту работы. Накладывать заземления на токоведущие части необходимо непосредственно после проверки отсутствия напряжения. Переносные заземления сначала нужно присоединить к земле, а затем после проверки отсутствия напряжения наложить на токоведущие части. Снимать переносные заземления следует в обратной наложению последовательности: сначала снять их с токоведущих частей, а затем отсоединить от земли.

Приложение А1

Физическая топология сети корпуса А 1й этаж.


Приложение А 2

Физическая топология сети корпуса А 3й этаж


Приложение Б 1

Физическая топология сети корпуса Б.


Приложение В 1

Физическая топология сети столовой корпуса В.


Физическая топология беспроводной сети корпуса В.


Приложение 2 Корпус А уровень сигнала

Первый этаж

Второй этаж


Третий этаж

Четвёртый этаж


Корпус Б 

Подвал и первый этаж

Второй и третий этаж

Четвёртый и пятый этажи.


Корпус В

Первый второй и третий этажи


Четвёртый этаж

Столовая


Уровень сигнала вне здания главного корпуса


ПРИЛОЖЕНИЕ 3 Сертификат соответствия

 


 

А также другие работы, которые могут Вас заинтересовать

22096. СОЦИАЛЬНО-ПЕДАГОГИЧЕСКАЯ ДЕЯТЕЛЬНОСТЬ С ПОДРОСТКАМИ, СКЛОННЫМИ К СУИЦИДАЛЬНОМУ ПОВЕДЕНИЮ 61 KB
  Суицидальное поведение включает в себя кроме самого суицидального акта еще и покушения попытки и проявления. Суицидальные попытки молодежи в подавляющем большинстве имеют оттенок манипулятивности в чем проявляется принципиальное отличие суицидального поведения у лиц этой возрастной категории. К внешним формам суицидального поведения относят: суицидальные попытки; завершенный суицид.Личко выделяет три типа суицидального поведения у подростков: демонстративное аффективное и истинное.
22097. МЕТОДИКА И ТЕХНОЛОГИИ СОЦИАЛЬНО-ПЕДАГОГИЧЕСКОЙ ДЕЯТЕЛЬНОСТИ 73.5 KB
  Выражение соц. технология появилась в 7080е годы в связи с необходимостью разработки социальных проблем в обществе. Социальнопедагогическая технология – совокупность приемов и методов применяемых соц.
22098. ОСОБЕННОСТИ СОЦИАЛЬНО-ПЕДАГОГИЧЕСКОЙ ДЕЯТЕЛЬНОСТИ С ПОДРОСТКАМИ С АДДИКТИВНЫМ ПОВЕДЕНИЕМ 80.5 KB
  Основные понятие и виды аддиктивного поведения 2. Этапы становления аддиктивного поведения. Основные понятия и виды аддиктивного поведения. Аддиктивное поведение одна из форм деструктивного поведения которая выражается в стремлении к уходу от реальности путем изменения своего психического состояния посредством приема некоторых веществ или постоянной фиксации внимания на определенных предметах или активностях видах деятельности что сопровождается развитием интенсивных эмоций.
22099. Особенности социально-педагогической профилактики молодежного вандализма 63 KB
  В угоду идеологическим стереотипам явление вандализма достаточно долго связывали у нас в стране с €œне нашим€ образом жизни термин €œвандализм€ до 80х годов использовался только для обозначения противоправных действий подростков в зарубежных странах а коль проблема стыдливо умалчивалась естественно она не изучалась. Данные статистики показывают что характерной чертой вандализма является то что в его актах участвуют прежде всего молодые люди. Пик молодежного вандализма приходится на 11 – 13 лет и занимает заметное место в структуре...
22100. ГРУППА СВЕРСТНИКОВ КАК ФАКТОР СОЦИАЛИЗАЦИИ. МОЛОДЕЖНАЯ СУБКУЛЬТУРА 50 KB
  В процессе социализации личности группа сверстников выполняет следующие функции: приобщение к культуре и нормам данного общества; научение полоролевому поведению; научение поведению соответствующему этнической религиозной региональной социальной принадлежности членов группы; помощь членам группы в достижении автономии от общества; создание условий для развития самосознания самоопределения а также для самореализации и самоутверждения. Любой класс дифференцируется на подгруппы по разным признакам: социальному расслоению по...
22101. ДЕВИАЦИЯ КАК СОЦИАЛЬНО-ПЕДАГОГИЧЕСКАЯ ПРОБЛЕМА 306 KB
  Девиантное поведение – один из видов отклоняющегося поведения связанный с нарушением социальных норм и правил поведения. выделил следующие стадии развития отклоняющегося поведения: неодобряемое поведение эпизодические шалости озорство; порицаемое поведение систематические проступки осуждение со стороны воспитателей; девиантное поведение; делинквентное предпреступное поведение; преступное поведение; деструктивное поведение. Девиантные поступки вначале бывают ситуативными спровоцированные обстоятельствами затем изменения в...
22102. Детская беспризорность 37 KB
  Причины Беспризорность вызывается причинами социальноэкономического характера такими как войны революции голод стихийные бедствия и другие изменения условий жизни влекущие за собой сиротство детей. Детская беспризорность в России Гражданская война Резко увеличилось число беспризорных детей после Первой мировой войны и Гражданской войны. В 1919 году образован Государственный совет защиты детей во главе с А.
22103. ТЕОРИИ ДЕВИАЦИЙ 34 KB
  При работе с клиентами в обязанности школьного социального педагога входит: обеспечение педагогической направленности содержания форм методов используемых в ходе работы; изучение медикопсихологопедагогических условий влияющих на личность его интересы потребности; организация социальнопедагогической деятельности в социуме различных видов сотрудничества детей и взрослых; содействие детям и взрослым в решении личных и социальных проблем; предотвращение правонарушений; реабилитация клиентов; представление и защита интересов...
22104. Методы абстрактного синтеза 40 KB
  Задача абстрактного синтеза заключается в составлении таблиц переходов и выходов автоматов по заданным условиям его функционирования представленным в форме регулярных выражений. Построенный по этим таблицам автомат обычно содержит лишние внутренние состояния. На втором этапе производится минимизация количества внутренних состояний заданного автомата. Синтезируемый автомат может быть задан либо как автомат Мура либо как автомат Мили.