Протоколы управления сетевыми устройствами
DCImanager поддерживает использование протоколов SNMP, NETCONF, SSH, Telnet, eAPI , Nx-API для управления коммутаторами, маршрутизаторами, распределителями питания, источниками бесперебойного питания. С помощью этих протоколов DCImanager получает доступ к информации, которая хранится на управляемых устройствах.
SNMP
Общие сведения об SNMP
SNMP (Simple Network Management Protocol) — простой протокол сетевого управления . Наиболее распространённый протокол.
Аутентификация в SNMP версий 1 и 2 сводится к паролю (Community), который пересылался в открытом виде. В SNMPv3 используются протоколы проверки подлинности MD5 и SHA и протоколы конфиденциальности CBC_DES и CFB_AES_128. DCImanager поддерживает MD5 для аутентификации и DES для шифрования уведомлений.
SNMP-уведомления
SNMP-протокол позволяет собирать статистику с оборудования при помощи SNMP-уведомлений. SNMP-уведомления (SNMP-trap) — технология, при которой оборудование отправляет особые уведомления (traps) на станцию управления сетью. DCImanager является такой станцией. SNMP-уведомления генерируются и отправляются при возникновении определённых событий на оборудовании. Такими событиями могут быть: включение и выключение порта, авторизация пользователя, правка конфигурационных файлов и т.д. Благодаря SNMP-уведомлениям снижается нагрузка на оборудование.
В DCImanager технология SNMP-уведомлений в общем виде реализована следующим образом:
- Панель управления запускает встроенный демон, который ожидает получения SNMP-уведомлений от оборудования.
- При получении уведомлений демон определяет оборудование, к которому они относятся, передаёт их соответствующему обработчику.
- Обработчик анализирует уведомления и при необходимости обновляет интерфейс.
В DCImanager возможна обработка только событий включения/выключения портов. Ограничение связано с тем, что большинство производителей оборудования, среди которых Cisco и Juniper, не отправляют SNMP-уведомления при изменении режима порта или переключения VLAN. Таким образом на основе SNMP-уведомлений невозможна синхронизация изменений, касающихся VLAN и режима порта, которые выполнены администратором вручную на оборудовании. При этом, если через интерфейс переключить режим порта или VLAN, то после успешного выполнения команды в интерфейсе будет актуальная информация. При работе с SNMP-уведомлениями доступна кнопка Оборудование → Коммутаторы или Маршрутизаторы → Опросить, которая позволяет получить информацию с коммутатора с помощью стандартного механизма опроса.
NETCONF
NETCONF — протокол сетевого управления устройствами. Предоставляет механизмы установки, управления и удаления конфигурации сетевых устройств посредством удаленного вызова процедур RPC. Содержимое запросов NETCONF представляет собой валидный XML.
SSH
SSH — сетевой протокол. Используется для удалённого доступа к устройствам по шифруемому каналу. Подключение осуществляется под пользователем удалённого устройства. Для аутентификации используется пароль либо SSH-ключи.
Telnet
Telnet — сетевой протокол для получения удалённого доступа к оборудованию. Использует менее безопасные сетевые службы по сравнению с SSH.
eAPI
eAPI — интерфейс, который позволяет получить удалённый доступ к оборудованию Arista. Использует протокол HTTP. Содержимое запросов представляет собой JSON.
Nx-API
Nx-API — протокол сетевого управления устройствами. Позволяет получить удалённый доступ к оборудованию, использует протоколы HTTP и HTTPS.
Вопросы построения сети. ЛВС: стандарты и протоколы (часть 2)
Протоко́л (др.-греч. πρωτόκολλον; от πρώτος «первый» + κόλλα «клей») изначально — документ, фиксирующий какое-либо событие, факт или договорённость.
Wikipedia
Разберемся в базовых протоколах с стандартах
Группа стандартов Ethernet IEEE 802.3
Для подключения клиентских устройств рекомендуется поддержка следующих стандартов:
Для подключения активного сетевого оборудования между собой рекомендуется поддержка следующих стандартов:
- IEEE 802.3z (1 Гбит/с);
- IEEE 802.3ae-2002 (10 Гбит/с);
- IEEE 802.3ba (40 Гбит/с) — да, время пришло.
Питание по PoE (Power over Ethernet)
Если для подключения оконечных сетевых устройств нужно active PoE, то необходимо предусмотреть коммутаторы доступа с поддержкой нужных стандартов active PoE. Для наглядности ниже таблица по основным характеристиками active PoE:
Мощность на PSE (Power Supply Equipment), Вт
Мощность на PD (Powered Device), Вт
Следует различать две характеристики мощности:
- PSE (Power Supply Equipment) — мощность, которую коммутатор готов выдать на порт;
- PD (Powered Device) — мощность, которая дойдет до оборудования (с учетом потерь).
VLAN (Virtual Local Area Network)
Не рекомендуется использовать VLAN 1 для передачи пользовательских данных. Рекомендуется использовать диапазон VLAN’ов с 2 по 1000 включительно.
Деление устройств на VLAN’ы рекомендуется выполнять из соображений получения общего сетевого доступа для последующего применения ACL. В большинстве случаев это существенно упростит задачу конфигурирования межсетевого экрана.
Протоколы обмена базой данных VLAN’ов
Протоколы обмена базой данных VLAN’ов рекомендуется отключить. Примеры протоколов обмена базой данных VLAN’ов:
Саму возможность передачи сообщений протоколов для обмена базой данных VLAN’ов также лучше отключить (использование transparent mode также не рекомендуется, т.к. это создает среду для передачи сообщений данного протокола).
DTP (Dynamic Trunking Protocol)
DTP рекомендуется отключить, тип порта рекомендуется указать явно как access или trunk.
LACP (Link Aggregation Control Protocol)
Для объединения нескольких физических каналов в один логический рекомендуется применять протокол LACP (IEEE 802.3ad) с целью предотвращения возможных L2 петель в сети, которые могут быть вызваны ошибкой конфигурации или коммутации, в случае использования статически заданной агрегации портов.
STP (Spanning Tree Protocol)
Для минимизации использования проприетарных протоколов в сети, рекомендуется применение открытого протокола MSTP (Multiple Spanning Tree Protocol, IEEE 802.1s) с грамотным построением дерева STP. Перечислим основные рекомендации, которые помогут ничего не забыть:
- На всех портах типа access рекомендуется включить port edge с двумя целями: a) Отсутствие лишних сообщений STP TCN в L2 домене при выключении / включении устройства в порт коммутатора; b) Быстрое включение передачи пользовательских данных при включении устройства в порт коммутатора;
- На всех портах типа access рекомендуется включить stp guard root, а также bpdu guard, чтобы при появлении BPDU-пакета порт переходил в состояние error disabled;
- На downlink портах коммутаторов ядра распределения рекомендуется включить технологии root guard;
- Для настройки портов сторонних подключений, таких как провайдер Интернета, рекомендуется включить фильтрацию BPDU (bpdu lter);
- Uplink порты коммутаторов распределения к резервному коммутатору ядра должны быть в роли Alternate;
- Нежелательно использование half duplex портов;
- На всех trunk портах рекомендуется явно указать тип порта point-to-point, чтобы гарантировать быструю сходимость протокола STP;
Storm-control
Рекомендуется предусмотреть механизм контроля широковещательных (broadcast), многоадресных (multicast) штормов. Максимальный уровень broadcast или multicast трафика рекомендуется выставить на 10 процентов от полосы пропускания интерфейса. При достижении порогового значения будет хорошо, если система как минимум будет отправлять SNMP trap и syslog сообщение.
DHCP snooping
На всех коммутаторах (и на всех VLAN-ах) рекомендуется включить DHCP snooping. Все порты коммутаторов должны быть недоверенными, кроме uplink портов и портов подключения к DHCP серверу.
Dynamic ARP inspection
На всех VLAN’ах, где включен DHCP snooping и нет оконечных сетевых устройств со статическими настройками IP-адресации, рекомендуется включить Dynamic ARP inspection.
Для стабильной работы протокола некоторые производители предусматривают использование FTP или TFTP серверов для резервного хранения базы данных механизма Dynamic ARP inspection. Таким образом, в случае перезагрузки коммутатора оборудование сможет восстановить базу данных из резервной копии на FTP/TFTP сервере.
LLDP (Link Layer Discovery Protocol, IEEE 802.1AB)
Активное сетевое оборудование чаще всего будет поддерживать протокол LLDP, который позволяет сетевым устройствам анонсировать в сеть информацию о себе и о своих возможностях, а также собирать эту информацию о соседних устройствах. Протокол LLDP рекомендуется выключить на портах подключения к сторонним сетевым устройствам, например, к оборудованию оборудованию провайдеров.
Proxy ARP (RFC 1027) лучше отключить или использовать осознанно, так как это позволяет не использовать адрес шлюза в сетевых настройках оконечных сетевых устройств, что может дать ложные представление о корректности сетевых настроек. Например, если в сетевых настройках принтера нет адреса шлюза по умолчанию или он некорректный, но Proxy ARP позволит принтеру корректно работать. При замене оборудования или выключении Proxy ARP неправильно настроенные устройства не будут работать корректно.
VRRP (Virtual Router Redundancy Protocol)
Для объединения двух маршрутизаторов в один виртуальный маршрутизатор и назначения общего виртуального IP-адреса, рекомендуется использовать открытый протокол VRRP (RFC 5798).
OSPF (Open Shortest Path First)
Для осуществления обмена IP маршрутами между L3 устройствами сети рекомендуется использовать протокол OSPF (RFC 2328, RFC 5709). Для достижения максимально быстрой сходимости протокола OSPF рекомендуется использование протокола BFD (Bidirectional Forwarding Detection, RFC 5880, RFC 5881) совместно с OSPF. BFD позволяет сократить время обнаружения проблемы на канале до 50 мс.
Для обеспечения безопасности протокола OSPF рекомендуется обеспечить шифрование передаваемых служебных сообщений протокола OSPF методом MD5 или hmac-sha-256 (наиболее приоритетный метод).
Наиболее общие настройки сетевого оборудования
Доступ на активное сетевое оборудование
- Для аутентификация на оборудование рекомендуется применение RADIUS сервера. В случае недоступности RADIUS сервера должна применяться локальная аутентификация;
- Пароль от локальной учетной записи рекомендуется хранить на оборудовании в зашифрованном виде;
- Для подключения к сетевому оборудованию рекомендуется использовать SSHv2, HTTPS, API;
- В целях безопасности доступы по HTTP и telnet рекомендуется закрыть;
- Порт для подключения по протоколу SSH рекомендуется заменить со стандартного TCP/22 на кастомный TCP/XXXX. Эта мера не так значительна, но мы стараемся использовать все возможности для увеличения времени потенциального взлома;
- Для доступа на активное сетевое оборудование рекомендуется предусмотреть ACL (Access- Control List), определяющие адреса устройств, с которых разрешено подключаться к оборудованию;
Типы портов (L2)
Access порт – это порт, который передает и принимает только нетегированные фреймы.
Trunk порт – это порт, который передает и принимает тегированные фреймы, без тега передается и принимается только native VLAN.
Гибридный порт – передает и принимает тегированные и нетегированные фреймы, при этом в качестве нетегированного фрейма можно передавать не native VLAN. Может потребоваться при подключении некоторых типов оконечных устройств, таких как IP-телефоны, точки доступа Wi-Fi (в режиме local switched).
Рекомендации по настройке access и гибридных портов:
- port edge;
- stp root guard;
- stp bpdu guard;
- DHCP-snooping untrust;
- ARP-inspection (только если устройство получает IP-адрес динамически);
- rate-limit (multicast, broadcast);
- switch off SNMP trap, SYSLOG;
- выключить DTP negotiation;
- IEEE 802.1x (при необходимости авторизации);
- Port-Security (при необходимости).
Рекомендации по конфигурации trunk портов между коммутаторами
- В качестве native VLAN рекомендуется использовать дефолтный VLAN 1;
- Рекомендуется включить SNMP trap и логирование SYSLOG (изменение статусов Up, Down);
- На всех trunk портах рекомендуется явно указать тип порта point-to-point;
- На всех trunk портах рекомендуется разрешить все VLAN’ы, которые используются на коммутаторе.
Рекомендации к конфигурации ACL
Для уменьшения “площади атаки” рекомендуется разработать и внедрить правила ACL между различными сегментами сети. Трафик, не разрешенный в явном виде, рекомендуется блокировать. Для простоты управления и визуализации правил удобно использовать матрицу правил, например: