Методы удаленного управления сетью

«ЛЮБАЯ КУХАРКА МОЖЕТ УПРАВЛЯТЬ ГОСУДАРСТВОМ». КОГДА РЕЧЬ ИДЕТ О СЛОЖНОЙ СЕТЕВОЙ ИНФРАСТРУКТУРЕ, ЭТОТ АФОРИЗМ ВРЯД ЛИ СРАБОТАЕТ. ПОПРОБУЕМ РАЗОБРАТЬСЯ В РАЗЛИЧНЫХ ПОДХОДАХ К УПРАВЛЕНИЮ СЕТЕВЫМ ОБОРУДОВАНИЕМ.

Введение

Легко провести параллели между работой менеджера-управленца и системного администратора, только у второго в качестве подчиненных выступают не люди, а сетевые устройства. При проектировании большой сети передачи данных сетевой инженер оценивает характеристики того или иного сетевого устройства точно так же, как HR-менеджер подбирает команду, обладающую квалификацией, достаточной для успешной реализации проекта.

Одной из важнейших характеристик устройства является его «коммуникабельность» - специалистам, которым в дальнейшем придется обслуживать сеть, должно быть удобно управлять устройством, а сетевое железо, в свою очередь, должно оповещать своего «менеджера» о разного рода проблемах, будь то перегрузки, падение канала, нелегальная попытка доступа и пр.

Существует несколько стандартных способов для удаленного управления и мониторинга. Стоит отметить, что зачастую устройства разных производителей обладают различным набором протоколов-интерфейсов для общения с управляющей средой. Рассмотрим как общепризнанные, так и завоевывающие все большую популярность протоколы администрирования.

Command Line Interface (CLI)

Способ управления устройствами, при котором администратор вводит команды, работая с единственным интерфейсом - командной строкой (Command Prompt), - был известен еще на заре современных ПК. Где-то в 50-ых годах прошлого века CLI сформировался как идеология менеджмента.

Суть конфигурирования с помощью CLI напоминает процесс программирования с той лишь разницей, что команды вводятся последовательно и текст не компилируется, а обрабатывается ЦПУ устройства и, если нужно, сохраняется в памяти. Стоит отметить, что с языками программирования код конфигурирования роднит и то, что зачастую он имеет древовидную структуру.

Как правило, метатип корректной команды, вводимой с помощью CLI, можно представить в виде схемы, где список конфигурируемых параметров более высокого уровня зависит от того, какие параметры более низкого уровня уже присутствуют в строке.

Развитие интерфейса CLI шло полным ходом. Было произведено много усовершенствований и добавлено полезных мелочей, к которым люди быстро привыкли. К примеру, реализация функции «помощь». Теперь администратору не обязательно помнить всю команду целиком - достаточно в теле незавершенной строки поставить вопрос, и реализация CLI сама подскажет возможные добавления. Тяжело представить работу без использования возможности просмотра ранее введенных команд путем нажатия кнопки «вверх».

Существуют три основных способа подключения к CLI: Console, Telnet, SSH. Подключение с помощью консоли в большинстве случаев используется для начальной конфигурации или для экстренного вмешательства в непосредственной близости от устройства, поэтому мы не будем подробно рассматривать этот способ.

Telnet

Разработанный в 1969 году протокол Telnet (TELetype NETwork) являлся одним из первых протоколов, стандартизированных такой организацией как IETF (Internet Engineering Task Force). Цель протокола – обеспечить соединение типа «клиент-сервер» для передачи в основном символьной информации. Главным плюсом этого протокола является его повсеместная распространенность – подавляющее большинство операционных систем по умолчанию содержат в релизе Telnet-клиент. Протокол разрабатывался почти 40 лет назад, когда никто не думал о безопасности, и, как следствие, главный недостаток Telnet – абсолютная незащищенность. Информация, вводимая пользователем, передается посимвольно в открытом виде. Администрирование любых сетевых устройств требует авторизации, а в случае использовании Telnet даже неопытный злоумышленник может легко перехватить пароль, а значит, и доступ к железу.

SSH

Как ответ на стремительный рост масштабов мировой компьютерной сети, в 1996 году был разработан пакет протоколов, позволяющих безопасно подключаться к серверу с целью настройки или мониторинга. Конфиденциальность информации, переданной с помощью SSH (Secure Shell), обеспечивается за счет использования разнообразных алгоритмов шифрования.

Преимуществами использования CLI является то, что как Telnet, так и SSH-сервер почти не отнимают ресурсов, что делает доступным использование CLI даже на самых простых устройствах. Сохранение полного конфигурационного файла может как упростить конфигурацию однотипных устройств, так и, к примеру, помочь инженеру быстро выявить логические проблемы настройки оборудования – весь конфигурационный материал представляет собой относительно компактную распечатку команд. Главной проблемой является высокая сложность конфигурации и отсутствие стандартизации. Иногда, чтобы сделать первоначальные настройки, требуется знать специальный язык, на котором «общается» конкретное устройство конкретного вендора. Также вполне реальна ситуация, когда обновление программного обеспечения сетевого устройства может привести к несовместимости старой конфигурации и потребует от администратора изучения, а, возможно, и переучивания на новый язык общения. Следствием является плохая масштабируемость сетей, состоящих из оборудования разных производителей.

GUI

При рассмотрении различных способов конфигурирования нельзя не обратить внимания на один из самых популярных в последнее время интерфейсов – GUI (Graphical User Interface). Суть процесса конфигурирования заключается в том, что пользователь посредством интернет-браузера заходит на web-сервер, запущенный на сетевом устройстве, и изменяет параметры через графические формы и меню. В силу того, что большинство людей, обладающих компьютерами, когда-либо встречалась с HTML-like формами, опция конфигурирования через GUI очень быстро прижилась как раз в сетевых устройствах домашнего пользования. После покупки домашнего CPE (Customer-premises equipment) оборудования достаточно открыть браузер и, сделав несколько щелчков мышью, настроить сетевое соединение. В большинстве домашних устройств для передачи данных используется протокол HTTP, что с одной стороны не сильно нагружает ЦПУ устройства, но с другой, как и в случае использования Telnet, не обеспечивает должной сохранности передаваемого контента.

Как уже отмечалось, главное преимущество GUI – наглядность и простота использования. Стоит отметить тенденцию повсеместного признания GUI. Подавляющее большинство крупнейших мировых производителей в последние 2-3 года включают в свои разработки поддержку GUI, что делает очень удобным точечную конфигурацию отдельных параметров, особенно на устройствах уровня агрегации или ядра. В качестве протокола общения уязвимый для перехвата информации HTTP уступает место своей более защищенной версии – протоколу HTTPS (Secure HTTP). HTTPS, являющийся по сути надстройкой, осуществляющей HTTP-транзакции через защищенный механизм SSL (Secure Socket Layer)/TLS(Transport Layer Security), зарекомендовал себя как крайне надежный способ удаленной интеракции, что делает его использование крайне привлекательным. Также бесспорным плюсом является возможность наглядного мониторинга процессов без применения дополнительного программного обеспечения или аппаратных устройств. Вся функциональность может быть реализована непосредственно в CPE.

Среди недостатков GUI можно выделить два – плохая масштабируемость и повышенные требования к аппаратным возможностям CPE. Действительно, если требуется администрировать много однотипных устройств, GUI вряд ли будет хорошим инструментом. Оптимальным решением в подобной ситуации является использование разного рода конфигурационных скриптов. Также порой встречаются устройства, где производители элементарно «перегрузили» web-интерфейс пользователя. Есть несколько примеров, когда реализация управления на Java совместно с не очень мощным процессором приводила к тому, что при переключении страниц с параметрами приходилось ждать по несколько минут, что перекрывает все преимущества такого способа конфигурирования.

Самым оптимальным является совместное использование GUI и CLI. Хорошим тоном у производителей стало включение в web-интерфейс специальной вкладки, где инженер может, не проходя через CLI, посмотреть весь конфигурационный файл. Также, особенно при реализации управления дорогих сетевых узлов, вендоры стараются давать доступ через GUI только к небольшой части параметров. Для более тонкой настройки администратор все равно должен воспользоваться командным способом конфигурирования. Это снижает аппаратные требования для развертывания web-интерфейса и в то же время упрощает работу обслуживающим специалистам.

SNMP

Когда стоит задача конфигурации не нескольких десятков устройств, где возможно ограничиться использованием GUI, или нескольких сотен, которые под силу конфигурировать через CLI, а нескольких тысяч устройств, соединенных в сложные топологии, приходится прибегать к более сложным средствам управления. Для сетей такого масштаба на сегодняшний день есть, пожалуй, только одно универсальное решение – SNMP (Simple Networks Management Protocol). Хоть название и обещает простоту реализации протокола, практика показывает, что для полноценного использования SNMP требуется багаж теоретических знаний и опыт практической работы с устройствами от конкретных производителей.

Стандартизированный IETF (Internet Engineering Task Force) в 80-ых годах прошлого века, протокол SNMP пережил две трансформации. Версия SNMP v2 скорее усовершенствовала форму и типы информационного взаимодействия. Поскольку в v1 и v2 все пароли и информация о группах передавались в открытом виде, любой злоумышленник мог без труда взять под контроль всю сеть провайдера, администрируемую через SNMP. Именно поэтому в релизе SNMP v3 был сделан упор на добавление функции безопасных (зашифрованных) транзакций. Идеология работы протокола состоит в том, что на сетевых устройствах запущенны программы-агенты, воспринимающие информацию от конфигурационного сервера NMS (Network Management Server). Агент отвечает на запросы сервера (в том числе и запросы по мониторингу), а также выполняет директивы сервера по перенастройке тех или иных параметров.

Общается NMS с оборудованием различных производителей за счет того, что первый этап работы сервера – обучение языку удаленных устройств. Делается это через интеграцию сервера со специальными базами MIB (Management Information Base) – файлами, поставляемыми производителями вместе с устройствами.

Главное, что отличает два устройства от разных производителей – это конфигурируемые параметры: их название и тип. Именно эта информация и содержится в так называемых OID (Object ID). Объектная древовидная структура данных с наследованием позволяет гибко определять не только тип параметра у конкретного устройства, но и то, к какому классу и производителю относится администрируемое оборудование. Наведением порядка и контролем за тем, чтобы различные производители не использовали одни и те же типы параметров, занимается такая серьезная организация как IANA (Internet Assign Number Authority).

Отдельно хочется отметить тенденцию к переходу некоторых производителей от GUI к SNMP путем разработки специальных утилит. Пользователь инсталлирует на компьютер некий софт, являющийся по сути NMS, и через него управляет сетевым оборудованием так, как бы он делал это через GUI. Вся разница в том, что на самом устройстве запущен не HTTP-сервер, а SNMP-агент, что может позитивно сказаться на экономии ресурсов администрируемого оборудования.

Главные недостатки использования SNMP - сложность настройки и практически полное отсутствие стандартных интерфейсов. Есть стандартные MIB-файлы, с помощью которых возможно настраивать/мониторить элементарную функциональность. Для использования же хоть сколько-нибудь существенного функционала зачастую необходимо доставать проприетарные MIB-файлы и компилировать их на NMS, что не всегда удобно.

Бесспорными преимуществами SNMP являются хорошая масштабируемость и открытость стандарта. Большинство провайдеров предпочитают нанимать свою команду программистов и создавать собственную NMS, что частично нивелирует все отрицательные моменты.

TR-069

В последнее время неуклонно прослеживается тенденция смещения функции контроля и настройки конечных сетевых устройств от пользователей к провайдерским службам, предоставляющим услуги интернета, IP-телефонии, IPTV и пр. Для обеспечения контроля тысяч пользовательских устройств необходима либо гибкая идеология и ориентация на одного производителя, либо разработка всеобщих концептов унифицированного конфигурирования, поддерживаемых большинством игроков на рынке пользовательских CPE. Некоторые производители, доминирующие в том или ином сегменте рынка, предлагают свои собственные протоколы для удаленной настройки, но вряд ли кто-то из современных провайдеров решит полностью положится только на одного вендора. В конечном итоге и провайдеры, и вендоры ощутили потребность разработки нового стандарта управления, который был бы достаточно универсальным и удобным и для провайдеров, и в то же время не был бы слишком обременительным в реализации для производителей сетевого оборудования.

Функции стандартизатора взял на себя dslforum – консорциум, состоящий из 200 крупнейших IT-компаний. В мае 2004 года dslforum опубликовал Technical Report 069 (TR-069), являющийся спецификацией так называемого CWMP (CPE WAN Management Protocol) – протокола уровня L5. Он был создан для удаленного конфигурирования (в том числе и первичного), мониторинга и изменения текущей прошивки (firmware) таких устройств как DSL-модемы, маршрутизаторы, STB (Set-top box), а также всевозможных устройств VoIP (Voice over IP).

В качестве инструмента передачи информации TR-069 использует SOAP (Service Oriented Protocol) – надстройку над HTTP(HTTPS), созданную в качестве среды для универсального обмена данными и запуска удаленных процедур. Все сообщения передаются в формате XML.

Ключевая часть всей идеологии – расположенный на территории провайдера ACS (Auto-Configuration Server), осуществляющий не только обработку запросов устройств на конфигурирование, но также способный подключать, в зависимости от выбранных политик, дополнительные сервисы и осуществлять полный мониторинг.

Спецификация TR-069 не самодостаточна и включает в себя довольно большое количество ссылок на предыдущие стандарты. После TR-69 на свет появились несколько Technical Reports, описывающих конфигурируемые параметры и прочие тонкости для разных групп сетевых устройств:

TR-98 – Проработка параметров и выработка концепции для конфигурирования DSL устройства.
TR-104&TR-110 – Полная спецификация для протокола, обслуживающего устройства VoIP.

Несмотря на то, что как стандарт TR-069 появился совсем недавно, уже сейчас большое количество домашних CPE могут предложить пользователям опции для настройки на определенный TR-069-сервер.

Главное преимущество протокола заключается в универсальности и простоте использования. Это то, чего не хватило, например, SNMP, чтобы стать безоговорочным лидером не только для обслуживания провайдерских сетей, но и для удовлетворения нужд клиентских устройств пользователя. Провайдеру не обязательно подстраивать сервер конфигурирования под конкретного пользователя, используя MIB-фалы, созданные производителем конечного оборудования. Все интерфейсы стандартизованы, что требует минимальных усилий при обеспечении работоспособности.

Заключение

После продолжительной эволюции протоколов окончательно сформировались несколько лидирующих методов удаленного сетевого менеджмента, являющихся фактически идеальным решением в своем определенном сегменте. Причем на высоком уровне абстракции можно утверждать, что каждый из подходов прошел две стадии – уязвимую (развивающуюся) и защищенную (развитую).

Казалось бы, за столько лет в области администрирования сетевым сообществом было сделано очень многое, однако, как ни парадоксально, открытых вопросов не убавилось. Какой метод управления наиболее выгоден на стыке задач? Можно ли выбрать идеальный метод администрирования, подходящий как для большой сети, так и для домашних сетевых устройств? Пока не найдены ответы на эти вопросы, не приходится ожидать окончательных безоговорочных стандартов в данном сегменте сетевых протоколов.

Обсуждение статьи

Логин: Пароль: Регистрации на сервере не требуется. Если у вас есть форумный логин, вы можете использовать его. Если нету, то вы можете зарегистрироваться на forum.itspecial.ru Обсуждение этой статьи на forum.itspecial.ru Для отправки сообщения введите код, указанный на картинке Заголовок Сообщение Guest guest@gameland.ru Отправлено: 12.05.2010 9:27:33 RE: Методы удаленного управления сетью Best wish for you! What I Like About You replica watches from our online watches store franck muller watch With the high technology, Guest guest@gameland.ru Отправлено: 10.06.2010 15:18:06 RE: Методы удаленного управления сетью Статья - полное говно - практического использования 0. Guest guest@gameland.ru Отправлено: 10.06.2010 15:19:21 RE: Методы удаленного управления сетью ... странно что протокол GSNMTP не описан Guest guest@gameland.ru Отправлено: 18.08.2010 12:39:48 RE: Методы удаленного управления сетью Ничего полезного Guest guest@gameland.ru Отправлено: 11.10.2010 4:49:58 RE: Методы удаленного управления сетью The printing machinery network (www.yja.com.cn), founded in 2001, is now the largest domestic printing machinery industry vertical B2B e-commerce websites. Value-added telecommunication business license Numbers for: hubei B2-20050125. For printing and china printing machine related enterprise products trade and information exchange interaction bridge erection. It has comprehensive application foreground and spread value for label printing machine,flexo printing machine.And it is the biggest online printing machinery display platform. The printing machinery network make full use of the advantages of the Internet, distinctive "Network + publications" , facing the whole country and the world, to provide professional enterprise online, offline various forms of professional trade service. Страницы: << 1 >>

Теги: администрирование, удаленный доступ

Keywords: zPOSTz zTELECOMz z10061z
Для Авторов: edit delete