NETTVERK2

Honelako gehiago

Datasikkerhet

by Kalle Karlsen

Datasikkerhet

by Robert Romuld

Datasikkerhet

by Birgit Roman

Data- og elektronikk

by Arne Nornes

NETTVERK2

8

Katalogtjenester

7

Web, FTP

6

IP Tables

5

4

DNS

DNS 2

DNS BIND

DNS generelt

Navnetjenere

Oppbygging

Navnegiving av maskiner

Maskiner bruker binære tall (for maskin nr: 2 150 090 753)

➢ Maskinen: 1000 0000 0010 0111 1100 1000 0000 0001

➢ Gruppert 4 bit: 1000 0000 0010 0111 1100 1000 0000 0001

➢ Heksadesimalt: 8 0 2 7 C 8 0 1

➢ Desimalt byte: 128. 39. 200. 1

➢ Navn: grm-core-gw.uia.no.

➢ Mennesker liker best å huske navn

3

virtualisering

Begrepet

• Virtualisering oppsto på 60 tallets stormaskiner
• Var nødvendig for at flere skulle kunne bruke maskin samtidig
• Fortsatt tilgjengelige i dag (eg IBMs z/VM http://www.vm.ibm.com/)
• Aktuelt med flere operativsystem 

https://openwebinars.net/blog/que-es-la-virtualizacion/

3.10 Virtual machine manager

Virtual machine manager

• Front end for virtualisering utviklet av RedHat
• Kan bruke KVM, XEN eller QEMU

3.9 VirtualBox

Virtualbox

• Er nå kjøpt opp av Oracle (Via Sun)
• Gir full virtualisering
• Åpen kildekode for Linux og Windows OS
• Kan kjøre mange forskjellige gjesteOS
• Kan administrere virtuelle nettverk

3.8 Hyper-v

3.7 Detektere virtualiseriong

3.1 Grunner til virtualisering

Grunner til virtualisering 

• Bedre utnyttelse av kapasitet på tjenere
• Flere operativsystem og tjenester på samme maskin
• Fordeling av belastning på flere maskiner (i én)
• Enklere sikkerhetskopiering
• Enklere migrasjon
• Kan bruke utdaterte operativsystem for noen program
• Kan isolere maskiner (én eller flere i et nett); sandkasser
• Kan eliminere problemer med HW 

https://www.nextu.com/blog/virtualizacion

ventajas:

se aprovecha al maximo el hardware actual

al ser archivos facilita su copia y/o restauracion en caso de averia

portabilidad / se puede mover entre direferentes sistemas

por tanto hay ahorro de costes

3.2 Eksempler på virtualisering

eksempler på virtualisering

• Wine (Wine is Not an Emulator)
• Til å kjøre enkeltprogram (typisk: Windowsprogram på Linux)
• (Cygwin http://www.cygwin.com/ kan brukes for å kjøre linux kommandoer i Windows)
• PVM (Parallel Virtual Machine)
• Samler mange maskiner til én (virtuell)stor
• http://www.csm.ornl.gov/pvm/pvm_home.html
• Java (og Windows .NET)
• JVM er en abstrakt maskin definert med registre, stakk, instruksjonsett osv
• Server virtualisering
• Det vi skal fokusere på her 

wine : https://es.wikipedia.org/wiki/Wine

PVM: https://www.csm.ornl.gov/pvm/pvm_home.html

3.3 Cloud Computing

Cloud computing 

• Det er mange som tilbyr 'maskiner til leie'
• Det betyr at man setter opp sin egen tjener og styrer den fullt ut selv (oftest en virtuell maskin)
• SAAS Software As A Service
• Har tatt virtualisering videre og tilbyr bare programmet
• Det eneste man trenger lokalt kan da være en web-leser. Se f.eks. Amazons Elastic Computer Cloud (EC2) https://aws.amazon.com/ec2/
• Open Stack (IaaS - Infrastructure as a Service) openstack.org

Cloud Computing

¿Qué es Cloud Computing? De una manera simple, la computación en la nube (cloud computing) es una tecnología que permite acceso remoto a softwares, almacenamiento de archivos y procesamiento de datos por medio de Internet, siendo así, una alternativa a la ejecución en una computadora personal o servidor local. En el modelo de nube, no hay necesidad de instalar aplicaciones localmente en computadoras.

La computación en la nube ofrece a los individuos y a las empresas la capacidad de un pool de recursos de computación con buen mantenimiento, seguro, de fácil acceso y bajo demanda.

 https://www.salesforce.com/mx/cloud-computing/

3.6 Problemer med x86

Problemer med x86

Kun kjernen kan gjøre noen instruksjoner

Andre program må utføre systemkall

Problem med flere kjerner på samme hardware 

Binary translation

Kan la upriviligerte kommandoer gå dirkete

Emulerer priviligerte instruksjoner

Oversetter den binære koden direkte

Minnehåndtering

De virtuelle maskinene har direkte tilgang til minnet, men de 'ser' ikke alt

x86 med forberedt virtualisering

Både Intel og AMD har forbedret CPU slik at virtualisering kan finne sted (etter 2006)

Intel har kalt teknologien VT-x

AMD har kalt den SVM eller AMD-V

Har forbedret måten priviligerte kall kan håndteres

Har forbedret måten minnet aksesseres på for gjestesystemer

3.5 VMM (virtual machine monitor) Hypervisor

VMM (virtual machine monitor), Hypervisor

• Kan være koblet rett til hardware, som OS (type1)
• IBMs z/VM, XEN (Citrix), VMWs vSphere (ESXi)
• Maskinen er da dedikert til virtualisering
• Kan kjøres som et vanlig program under vertmaskinens OS (type 2)
• VMWs workstation ++, VirtualBox 

----------------------------------------------------------

https://en.wikipedia.org/wiki/Virtual_Machine_Manager

El hipervisor, también llamado monitor de máquina virtual (VMM), es el núcleo central de algunas de las tecnologías de virtualización de hardware más populares y eficaces, entre las cuales se encuentran las de Microsoft: Microsoft Virtual PC, Windows Virtual PC, Microsoft Windows Server e Hyper-V.

Existen tres tipos principales de hipervisores en el mercado:

1. Hipervisores de tipo 1 (También llamados nativos, unhosted o bare-metal): en ellos el hipervisor se ejecuta directamente sobre el hardware físico; el hipervisor se carga antes que ninguno de los sistemas operativos invitados, y todos los accesos directos a hardware son controlados por él.
2.  Hipervisores de tipo 2 (también llamados hosted): en ellos el hipervisor se ejecuta en el contexto de un sistema operativo completo, que se carga antes que el hipervisor. Las máquinas virtuales se ejecutan en un tercer nivel, por encima del hipervisor.
3. Hipervisores híbridos: en este modelo tanto el sistema operativo anfitrión como el hipervisor interactúan directamente con el hardware físico.

Eksempler ➢ VMW ESX(i) trenger ikke OS VmW Workstation & Fusion(mac) ➢ Virtualbox - Full virtualisering ➢ Xen - Paravirtualisering => full virtualisering ➢ Microsoft Hyper-v - (Paravirtualisering =>) full virtualisering ➢ Bochs og QEMU - HW emulering ➢ KVM (Kernel Virutal Machine) ➢ Linux kjernen (etter 2.6.20) har mulighet til å fungere som en hypervisor på moderne prosessorer

3.5.5 KVM virtualisering

3.5.4 Hardware virtualisering

3.5.3 Paravirtualisering

3.5.2 Full virtualisering som progr.

3.5.1 Full virtualisering

3.4 Hva som hindrer virtualisering

2

2.4 Backup service

14 Hendelses-styring

Hendelses-styring Reactive management

➢ Hendelse

➢ Detektering og registrering

➢ Klassifikasjon og initiell støtte

➢ Undersøkelse og diagnose

➢ Løsning

➢ Hendelse lukkes og loggføres

➢ Hendelsesovervåking, sporing og kommunikasjon

13 Kundesenter - hendelsesstyring

hendelsesstyring

➢ Ett sted å henvende seg til

➢ Kundetelefon

➢ Help-desk

➢ Kundesenter

➢ Den omvendte pyramiden

➢ Førstelinjen gir førsteintrykket

➢ Resten av org skal støtte 1.linje

12 Tilgjengelighet

Tilgjengelighet

➢ 8 timer nedetid vil gi i %

➢ 66,6 % oppetid pr dag

➢ 95,2% oppetid pr uke

➢ 98,9% oppetid pr måned

➢ 99,9% oppetid pr år

➢ MTBF (Mean Time Between Failures)

➢ Feilrate

➢ Konsekvenser av feil

➢ Varighet av hver hendelse

11 Tilgjengelighetsstyring

Tilgjengelighetsstyring

➢ Skal sikre at tjenestene oppleves som tilgjengelige

• Oppetid – tid tjenesten er tilgjengelig på nettet
• Pålitelighet – fungerer uten at feil oppstår
• Feilsituasjon – hvordan håndteres feil
• Reetablering – hvordan kommer man tilbake til normalsituasjon

10 Beredskapsplan

Beredskapsplan

➢ Skal beskrive tiltak som minsker skadevirkning ved en katastrofe

➢ Skal forenkle arbeidet som må utføres under 'unntakstilstanden'

➢ Skal bidra til at arbeidet med å komme tilbake til normal situasjon skal gå så raskt som mulig

9 Katastrofeplanlegging

Katastrofeplanlegging

➢ Kriseplan for nettverket ved f.eks.

• Jordskjelv
• Brann
• Strømstans

➢ Innhold:

• Plan for gjenoppbygging av nettverket
• nytt utstyr
• lokaler

➢ Grundig sikkerhetskopiering i flere generasjoner

• arbeidsstasjoner
• off-site lagring

8 Risikoreduserende tiltak

Risikoreduserende tiltak

➢ Sannsynlighetsreduserende tiltak

• Brannmurer
• Antivirus
• Autentisering
• Fysisk sikring

➢ Konsekvensreduserende tiltak

• Backupsentraler
• UPS

7 ROS

ROS

➢ Identifisere verdier

➢ Fastsettelse av uønskede hendelser

➢ Vurdering av konsekvenser

➢ Vurdere risiko

➢ Utarbeide tiltak

6 Risiko og sårbarhet

Risiko

➢ Sannsynlighet for at noe uønsket skal skje

➢ Konsekvens av hendelsen 

5 IT-service

➢ IT sees ofte på som en service

➢ SLA Service Level Agreement

• Vanskelig å se grad av oppfyllelse uten SLA
• Definere kvantitet og kvalitet på tjenestene

➢ ITIL Information Technology Infrastructure Library

4 Backup system

BackupSystem

➢ Grandfather, father son system

• Tar backup hver dag => son
• Tar én daglig ut hver uke => father
• Tar én ukentlig ut hver måned => grandfather
• Krever relativt mange tape (bør kanskje ha med oldefar også)

➢ Hanoi tårn algoritmen

• Forskjellig rotering

3 Backupstrategi

Backupstrategi

Følgende momenter må med i en backupstrategi:

➢ Frekvens

➢ Antall kopier

➢ Hva skal kopieres?

• dynamiske/statiske data

➢ Lagringstid

➢generasjoners backup

➢ Lagringssted

• Off site - On site

➢ Tidspunkt for backup

➢ Strategi for arbeidsstasjonene, mobile enheter

• individuelt ansvar
• opplegg for sikkerhetskopiering til filtjener
• fullstendig styrt nettverksbackup

➢ Sjekk av at backup og tilbakelegging fungerer (det gjør det nemlig ikke alltid!)

2 Sikkerhetskopiering - Backup

Sikkerhetskopiering - Backup

➢ Hvorfor?

• ➢ Disker krasjer før eller siden

Hva koster det?

Konsekvensanalyse

• ➢ Brukere er uheldige - de sletter data
• ➢ Virus og annen ”ondsinnet kode” ødelegger data og maskiner (e.g. krypteting; ransomware)

➢➢ Konsekvensene

• Tapt arbeidstid 
• Tapt informasjon
• Tapt ”goodwill” hos kunder
• Konkurs

1 Sikkehetskopiering

Sikkerhetskopiering

➢Firma som mister dataene sine går konk!

➢Vitale data må man ta sikkerhetskopi av

• ➢ Kunne rekonstruere data
• ➢ Kunne komme i gang igjen raskt

2.3 SUBNETTMASKER , IP , DHCP

3 IP v6

3.30 Neighbor Discovery Protocol

Neighbor Discovery Protocol

➢Erstatter ARP i IPv4

➢Neighbor cache i stedet for ARP tabell

➢Bruker ICMPv6 (RFC 4443)

➢Oppdager linklag adresser (MAC) til noder

på samme link, med IPv6 adresse (ffo2::1)

➢Oppdager rutere (ffo2::2)

➢Kan få fatt i nettverks prefiks

➢Kan detektere dupliserte adresser

➢Ser hvilke naboer som kan nåes

3.29 ICMPv6

3.28 UDP under IPv6

3.27 TCP under IPv6

3.26 TCP under IPv6

3.25

3.24 nye protocoler

Nye protokoller

➢ TCPv6

➢ UDPv6

➢ ICMPv6

➢ ND - Neighbor Discovery Protocol

➢ DHCPv6 (RFC 3315)

3.23 mange adresser på samme maskin , automatisk

Mange adresser på samme maskin, automatisk ➢ Loooback er alltid med ::1 ➢ Link local autogenerert adresse fe80::/64 ➢ Forskjellig praksis i forskjellige operativstystem ➢Linux (vanligvis): EUI-64 ➢Windows (etter xp): randomisert ➢ Multicast adresser (broadcast) med scope ’on node’ og ’on link’ (større scope må settes spesielt) ff01::1, ff02::1 ➢ Andre adresser som settes, unicast og multicast

3.22 multicast adresser

3.21 Link local unicast adresser

Link Local unicast adresser

• Er ment for bruk i nettverkssegmenter der alle kan nå hverandre (et broadcast domene)
• Rutere skal ikke sende videre pakker med link-local adresser
• Adresser begynner med 1111111010.. => fe80::/10 + 64 bit adresse
• Kan da bli f.eks.

fe80::8a51:fbff:fe4d:ef5c

• Kan også sette nodeadresser på andre måter

3.20 Unique Local Unicast

3.19 generering av EUI-64

3.18 Unicast adresser

Unicast adresser

Identifiserer ett grensesnitt (maskinadresse)

Kan være delt i nett og grensesnitt ID (tilsv CIDR i IPv4)

Noder trenger ikke bry seg om subnett i utgangspunktet, dette er en oppgave for rutere

Alle adresser unntatt de som starter med (binært) 000 skal ha grensesnitt ID på 64 bit. Dvs at subnettet er på 64 bit også

EUI-64 brukes av og til for ID

MAC adresse på 48 bit oversettes til 64 bit

3.13 Mer om entensions headers

Mer om extension headers

➢ Neste lags hode (TCP, UDP, SCTP)

➢ Fragmentering defineres med egne extension headers

➢ Maximum Transmitted Unit (pakkelengde) bestemmes kun av avsender, som sender stadig mindre pakker inntil den ikke får ICMPv6 ’Packet too big’ tilbake

➢ Det kan være en hel kjede av headere, siden den jo har et eget felt for next header

➢ Next header se mer i RFC 2460

Nest header felt (8bit)

3.11 Payload Length felt (16bit)

3.10 Flow label felt (20bit)

3.9 Traffic calss felt (8bit)

3.8 IP version felt ( 4bit)

3.7 IPv4 VS IP v6

3.6 Adresseing

Adressering

➢ Kan også skrive IPv6 adresser direkte uten bruk av DNS, men må ofte pakke inn adressen i [] siden kolon brukes til andre ting

➢ Skriver man [2001:67c:21e0::16]:80 eller 195.88.55.16:80 i en nettleser får man opp det samme som om man skriver www.vg.no

3.5 IP v6

IP v 6

➢ Prefiks notasjon angir hvor mange bit som brukes til nettverksadressen

2001:0db8:85a3:0000:0000:8a2e:0370:7334/64

➢ Her er det angitt at de 64 første bit gir nettverket, da blir de 64 siste bit maskinadressen (vanlig).

➢ Maskinadressen blir noen ganger komponert ut fra (den 48 bits) MAC adressen, EUI-64

3.17 tildeling av adresseblokker

Tildeling av adresseblokker

• Typisk vil RIR kunne allokere en /32 blokk til en ISP eg 2001:df8:1::/32
• ISP kan da selge 65536 /48 blokker til større kunder eg 2001:df8:1:1::/48
• Kunder har da mulighet for å lage 65536 lokale bedriftsspesifikke subnettverk eg 2001:df8:1:1:1/64
• UiA har f.eks. 2001:700:1500::/48 i Kristiansand og 2001:700:1501::/48 i Grimstad 

3.14 HOP limit felt (8bit)

3.16 reserverte adresser

3.15 Source og destination adress (128bit)

3.4 IP v6 nummerering

3.3 Problemer i IP v4

Problemer i IP v4

➢ For få IP nummer

• IPv4 er som et 9 siffers telefonnummer mot IPv6 38 siffer

➢ Delt ut litt fritt

➢ NAT var en nødløsning

➢ NAT fører til mange problemer

• IPSec kan ikke lage Authentication Headers
• Ikke ende til ende sikkerhet
• Problem med telefoni og andre protokoller
• NAT på flere nivå, kan gi mangel på porter

3.2 IP v6

IP v6

RFC 2460+ fra 1998 (Erstatter RFC 1883 fra 1995)

➢ IPv4 er fra 1981, men allerede i 1993 begynte man å se at 232 ville bli for få adresser, og fikk RFC 4632 som beskriver CIDR

➢ Første antatte kollaps ble spådd i 1994, men IANA gav ut sine siste adresser 31/1-2011 (APNIC; SØ-Asia gikk tom 15/4-2011, RIPE; Eurasia 14/9-2012, LACNIC; Latinamerika 10/6-2014, ARIN; Nord-Amerika 24/9-2015

➢ IPv6 ble påbegynt implementert i 1999

➢ Innføring av Ipv6 har gått tregt,

• 01/2015 var 13,6% av topp 1000 domenene tilgjengelig på IPv6. I
• 01/2016 var det ca 16% 08/2018 => 25,8%

➢ Først i 2017 hadde alle 13 root servere AAAA adresse 

3.1 protokollstabler

2 DHCP

DHCP

➢DHCP laget av IETF (Engineering Task Force) i 1993, som erstatter for BOOTP protocol

➢ Automatisk tildeling av IP nummer, nettverksmaske og andre IP parametre

➢ Kan tildele permanent eller for tidsbestemte perioder

➢ Samme hver gang

➢ Nytt hver gang

➢ Portnummer

➢ Klient sender til udp port 67 fra udp 68

➢ Tjener svarer til udp port 68 fra udp 67

Gangen i DHCP tildeling

1 Subnetting / IP nummer

Subnetting IP nummer

• IP nummer (v4, RFC 791 fra 1981, med oppdateringer!) har begrensninger
• Formen er 32 bit, skrevet slik 255.0.255.0

Binært: 11111111.00000000.11111111.00000000

Gir mulige adresser 2564 = 4 294 967 296

➢ I starten delte man nettet i klasser

➢ Ga motivasjon for Ipv6 med adresser på 128 bit

➢ Subnetting gjorde Ipv6 mindre presserende (Classless Inter-Domain Routing RFC 1518 & 4632)

1.4 SUBNETTING praktisk oppgave

Subnetting praktisk oppgave :

a) Du har fått et IP-segment 192.168.12.128 med subnettmaske 255.255.255.192. Sett opp en oversikt over adresse for default gateway, broadcast og node-/maskinadresse for dette nettverket. Hvor mange vanlige IP-adresser (utenom default gateway) får du i dette nettverket?

192 = 11000000 binært. DVS at de 6 siste bit (nullene) er til Maskinadresser. Nettverksadressen er 192.168.12.128 (De siste 8 bit binært: .10 000000) Default gateway er 192.168.12.129 (De siste 8 bit binært: .10 000001) Broadcast er 192.168.12.191 (De siste 8 bit binært: .10 111111) Maskinadresser blir fra 192.168.12.130 til 192.168.12.190 61 adresser

b) Du får beskjed om å dele nettverket i a) opp i fire subnett. Forklar hvordan du vil gjøre dette ved å oppgi subnettmaske og nettverksadresse for de fire nye subnettene.

Siden det skal deles opp i fire, må det bli to flere bit i masken; og binært må tallet da bli: 1111 0000 som er 240 desimalt. Masken er da 255.255.255.240 Første subnett blir da . . .128 (.1000 0000) til . . .143 (.1000 1111) Neste blir fra . . .144 (.1001 0000) til . . . 159 (.1001 1111) Neste blir fra . . .160 (.1010 0000) til . . .175 (.1010 1111) Neste blir fra . . . 176 (.1011 0000) til . . .191 (.1011 1111)

1.3 Nøkkeltall til nettverksmasker

1.2 RESERVERTE IP adresser

1.1 Opprinnelig inndeling av IP numer

Subnetting Opprinnelig inndeling av IP nummer

➢ Både nettverksadresse og maskin (host) har adresse i samme format

➢ A nett

Adresser som starter med 0 (dvs [0-127].x.x.x har satt av de første 8 bit til nettverksadresse (128 stk) og de resterende 24 til hostid (16777216stk)

➢ B nett

Adresser som starter med 10 (dvs [128-191].x.x.x har 16 bit til nettverksadresse (65536stk) og 16 til hostid (65536stk)

➢ C nett

Adresser som starter med 110 (dvs [192-223].x.x.x har 24 bit til nettverksadresse (16777216stk) og 8 til hostid (128stk)

➢ Den første adressen er nettverksadressen og den siste er broadcast – kan nå alle på en gang

2.1 B Protokoller

2 Der globale SMI-treet

Aqui hay una foto

SMIv2 RFC 2578 http://www.rfc-editor.org/ http://www.alvestrand.no/objectid/top.html 

MIB

MIB

(MIB-II RFC1213 http://www.rfc-editor.org/ ) 

1. En MIB består av flere objekter
2. Hvert objekt identifiseres av en OID (Object Identifier)
3. Hvert objekt plasseres inn i “det globale SMI-treet”
4. Hver undergruppe inneholder forskjellig informajon om nettverksenheten 

Eksempel: System

➢ sysDescr – en tekststreng som representerer objektet (1)

➢ sysObjectID – typenummer fra leverandør (2)

➢ sysUpTime – antall hundredeler siden nettverksenheten startet (bootet) (3)

➢ sysContact – navn på ansvarlig for enhet (4)

➢ sysName – et tekstlig navn for enheten (5)

➢ sysLocation – beskriver hvor enheten er fysisk plassert (6)

➢ sysService – Forteller hvilket lag i OSI-modellen enheten jobber på (7) 

1 SNMP

SNMP (Simple Network Management Protocol)

Tre versjoner:

1. SNMP-1
2. SNMP-2
3. SNMP -3

Viktige forskjeller:

1. Med SNMP-1 NMS må alltid spørre agentene om informasjon (polling).
2. SNMP-1 støtter ikke flere NMS’er i et sammenkoplet system.
3. Med SNMP-2 er det mulig for en agent å ta kontakt med NMS dersom en kommer over en terskelverdi eller dersom det går en alarm.
4. Med SNMP-2 er det mulig å ha flere agenter tilknyttet hver nettverksenhet. Hver agent rapporterer til sin NMS.
5. Med SNMP-3 kan man kryptere overføringene

Virkemåte ved henting av informasjon

• NMS sender en ”GET”-kommando til agenten
• Agenten returnerer den aktuelle verdien
• NMS oppdaterer MIB ved hjelp av ”SET”-kommandoen 

http://en.wikipedia.org/wiki/Snmp Se referanser til aktuelle RFC-er! 



SNMP-3

• Med SNMP-3 kan man kryptere overføringene

SNMP-2

• Med SNMP-2 er det mulig for en agent å ta kontakt med NMS dersom en kommer over en terskelverdi eller dersom det går en alarm.
• Med SNMP-2 er det mulig å ha flere agenter tilknyttet hver nettverksenhet. Hver agent rapporterer til sin NMS.

SNMP-1

• Med SNMP-1 NMS må alltid spørre agentene om informasjon (polling).
• SNMP-1 støtter ikke flere NMS’er i et sammenkoplet system.

3 Andre interessante Grupper

Andre interessante grupper 

➢sysInterfaces

informasjon om nettverkskort (hastighet, status, etc)

➢ICMP (Internet Control Message Protocol RFC 792)

• 1.3.6.1.2.1.5 i SMI-treet
• teller pakker
• registrerer feilsendinger
• redirect – retter opp feil i rutere
• nyttig til overvåking av nettverket
• Kommandoene ping og traceroute (tracert) bruker ICMP

SMON (Switch MONitoring

SMON (Switch MONitoring) 

➢SMON ble godkjent av IETF i juni 1999.

• Utvidelse av RMON
• muliggjør overvåking av svitsjer

➢SMON II

• Kan I likhet med RMON 2 også jobbe på lag 3 I OSI modellen

SMI-treet for RMON-2

SMI-treet for RMON-2

Protocol directory lister opp hvilke protokoller proben støtter. Protocol Distribution bryter pakker ned til data.

Address mapping oversetter mellom MAC- og nettverksadresser. Network layer host teller trafikken i begge retninger for hver nettverksadresse som overvåkes av proben. Network layer matrix teller trafikken som sendes mellom par av nettverksadresser. Application layer host teller trafikk i begge retninger for hver protokoll som sendes mellom par av nettverksadresser.

Application layer matrix teller trafikk i begge retninger som sendes mellom par av nettverkadresser.

User history bruker alarm- (3) og historie-gruppa (2) og fremskaffer historier sortert på brukere.

Probe configuration brukes for å configurere proben.

RMON conformance beskriver kravene for konformitet med RMON-2 MIB.

RMON-2

RMON-2 

• Jobber også på lag 3 - rutere er dermed med
• Da kan man overvåke nettverket på større avstand (over WAN gjennom rutere), for eksempel web-trafikk
• RMON-2 legger til 10 nye grupper

SMI-tree for RMON (1..6.1.2.1.16)

SMI-tree for RMON (1.3.6.1.2.1.16) 

Statistics (1)presenterer forskjellig statistikk for ulike medier.

History (2)presenterer historiske data for enheten tilbake i tid.

Alarm (3)setter alarmer når verdier går over sine definerte terskler. Host (4)fremskaffer statistikk om forskjellige MAC-adresser som er synlige i nettverket.

HostTopN (5)lager en rangert liste over spesielle maskiner (MAC-adresser) ut fra gitte kriterier.

Matrix (6) lager statistikk om kommunikasjon mellom to og to enheter.

Filter (7)gir muligheter for å filtrere ut pakker som inneholder en spesiell kombinasjon.

Packet Capture (8)gir mulighet for å lagre pakker som stemmer med filterne.

Event (9)gir mulgheter for å produsere spesielle ”eventer” og å lagre dem.

TokenRing (10)gir ulike parametre som er spesielle for Token Ring nettverk. 

RAMON (remote MONitoring)

➢ RMON er en utvidelse av MIB-2

➢ Også to versjoner av RMON (RMON-1 og RMON-2)

➢ Agenten (probe) samler selv inn informasjon uten forespørsel fra NMS (slik som ved SNMP)

• Fordel dersom en skal overvåke (det blir svært mange forespørsler)
• Ved brudd i kommunikasjon mellom NMS og agent mister en i motsatt tilfelle data for den perioden det er brudd
• Begrepet REMOTE monitoring dekker funksjonaliteten

2.1 A Driftfilosofi protokoller

4 MRTG (Multi Router Traffic Grapher)

GNU software (gratis, åpen kildekode)

Måler trafikkbelastning 



Grønn kurve: Ut fra server (Novell)

Blå kurve: Inn til server

UNIX/LINUX/NT 

5 Viktige begrep for nettverksadministrasjon

NMS - Network Management System

Styre-/kontrollkonsollet - tar imot og presenterer data for brukerne

SNMP - Simple Network Management Protocol

Protokoll (regelverk) som styrer hvordan tilgang til informasjon i MIB

skal være

MIB - Management Information Base

• Database med informasjon om nettverket
• To versjoner: (MIB-1 og) MIB-2

SMI - Structure of Management Information

Beskrivelse av data-struktur på en MIB

Agent

Hjelpere ute på nettverket som tilrettelegger enhetene slik at informasjonen blir lesbar og tilgjengelig for SNMP 

3 IT Operation Analytics

System for å samle inn, analysere og varsle om driftsforhold

1. Kan være log-basert
2. ELK (Elastic Search, Logstash & Kibana), Splunk
3. Kan være agentbaset
4. Nagios, HP Operations Analytics
5. Kan være integrert i program
6. AppDynamics

Se lister med eksempler: http://www.itoa-landscape.org/ITOA50/ http://www.slac.stanford.edu/xorg/nmtf/nmtf-tools.html

http://www.itoa-landscape.org/News/too-many-tools-spoil-the-itoa-broth.html 

4 AppDynamics

https://www.appdynamics.com/ 

3 HP Operations Analytics

2 NAGIOS

• Nagios (http://www.nagios.org/)

Åpen kildekode

• Overvåkingssystem

-Mange moduler

-Kan lage egne 

1 Splunk

https://www.splunk.com/ 

2 Drift av nettverk

Drift av nettverk 

ISO/IEC 7498-4 Nettverksdrift/håndtering

➢ Feilhåndtering

➢ Brukshåntering (brukerkonti) ➢ Konfigurasjonshåndtering

➢ Ytelseshåndtering

➢ Sikkerhetshåndtering 

5 Sikkerhetshåndtering

Sikkerhetshåndtering

• kontrollere riktig tilgang til ressurser
• hindre sabotaje ( fysisk eller data )
• hindre at sensitive data kommer på avveie .
• identifisere sårbare punkt og ressurser
• metoder
• overvåke pålogging og bruk
• nekte tilgang til noen ressurser for noen
• oppdeling av nettverket , redundans
• logge brukt og misbruk

4 Ytelsehåndtering

Ytelseshåndtering

• Måle parametre som påvirker ytelse

1. throughput
2. responstid
3. linjebruk

• måle ytelsesdata
• analysere ytelsesdata
• fastsette ytelsesdata
• proaktivt analysere for når terskler nåes

3 Konfigurasjonshåndtering

Konfigurasjonshåndtering

• database over alle konfigurasjoner og ENDRINGER av disse.
• Dener grunnlag for å se om konfigurasjon er grunn til problemer

1. opertivsystem
2. drivere
3. programvare
4. oppdatering osv.

2 Brukshåndtering (konti)

BRUKSHÅNDTERING (KONTI)

• Må registrere bruk av ressurser
• Grunnlag for fordeling av ressurser
• kvotefastsettelse
• prioritering
• Bruksmønster
• kostnadsfordeling

1 Feilhåndtering

FEILHÅNDTERING

• OPPDAGE FEIL
• LOGGE FEIL
• VARSEL OM FEIL
• GANGEN I ARBEIDET:

1. OPPDAGE SYMPTOMER
2. ISOLERE PROBLEM
3. FIKSE PROBLEM
4. PRØVE UT LØSNINNG
5. ARKIVERE SYMPTOMER => LØSNING

1B Proactive management

Forebyggende drif

Rett feil før den inntreffer!

• Utopi - driftsfilosofi, ikke driftsmetode
• 
  

Kapasitetsplanlegging

• Forutse og planlegge for endringer som påvirker nettets ytelse
• Simulatormodeller - test ut endringer på en modell før de iverksettes.
• Lastgeneratorer - simuler forventet belastning på eksisterende nettverk (stresstesting).

System-tuning

• Måle nettverksparametre
• belastning, feilrate, etc
• Analysere
• Presentere/alarmere
• Ytelsesmonitorer - måler eksempelvis trafikkbelastning.
• Nettverks(pakke-)analysatorer - måler feilprosent i Ethernet, typer pakker, etc.
• Statistikk-funksjoner. 

1A Reactive management

Brannslukkingsmetoden

Nettverket er nede!!!

• (Ikke alltid så dramatisk – kan være noe annet; at noen ikke får skrevet ut)
• Det som er dramatisk: NEDETID - og det koster!!

Feil må rettes fort!

Hva koster nedetid?

• 100 inaktive brukere (konsulenter) i 1 time ≈ 800.000,-
• Tapt salg
• Tapt goodwill overfor kunder
• Irritasjon og sure brukere

Klassifisering av feil:

• Brukerfeil
• Programvarefeil
• Maskinvarefeil
• Kablingsfeil