Размещено на http://www.allbest.ru/

Размещено на http://www.allbest.ru/

Аннотация

Выпускная квалификационная работа на тему: «Разработка полигона для освоения систем мониторинга компьютерных сетей».

Автор: Зелин Мурад Романович.

Ключевые слова: мониторинг, компьютерные сети, виртуализация, лабораторный практикум, удаленный доступ, VPN.

Объект исследования - информационная система для проведения лабораторных практикумов.

Целью является разработать полигон для организации лабораторных практикумов по дисциплине «управление и мониторинг компьютерных сетей».

В работе проведен анализ организации лабораторных практикумов на данный момент, выявлены проблемные места, предложены методы решения данных проблем. Проведен анализ рынка программного обеспечения, способного решить поставленные задачи. Развернута информационная система с одним из рассмотренных программных продуктов. Проведена работа по созданию в полученном полигоне лабораторных практикумов. Проведены тестовые испытания информационной системы.

Практическая ценность данного проекта: полигон является эффективным средством проведения практических занятий по дисциплинам ИКТ, в том числе - по курсу «Управление и мониторинг компьютерных сетей».



Введение

Мониторинг компьютерной сети - процесс отслеживания работоспособности и основных характеристик (нагрузка, температура, используемая память и т. д.) узлов компьютерной сети. Данный процесс позволяет своевременно принять меры, по устранению проблем, снизив потери предприятия из-за недоступности тех или иных сервисов.

Своевременный доступ к информации является одним из трех составляющих информационной безопасности (доступности, целостность, конфиденциальность). Современные системы мониторинга при правильной настройке позволяют не только выявлять недоступность узлов, но и включают в себя элементы систем обнаружения вторжения (слежка за появлением угроз из вне), следят за производительностью сети, выявляя перегруженные устройства и каналы связи, позволяют следить за сервисами. Так же современные системы мониторинга имеют возможность оповещения о проблеме с помощью электронной почты, SMS сообщений и даже звонков на телефон. Многие из предложений имеют Web-интерфейс, позволяющий выводить информацию о состоянии узлов и статистику по разнообразным характеристикам в удобном для чтения человеку виде.

Разрабатываемый в данной работе полигон позволит студентам изучать системы мониторинга локальных сетей. При этом к персональным компьютерам студентов будет предъявляться не высокие системные требования. Полигон позволит производить виртуализацию серверного оборудования под управлением операционных систем семейства UNIX и Windows и сетевого оборудования разных производителей(Cisco Systems, F5, MicroTik и т.д.).

Администрирование систем мониторинга на предприятиях чаще всего передают под ответственность сетевых инженеров, так как грамотные настройки требуют углубленных знаний в сфере локальных сетей.

Таким образом, данная область IT требует отдельного изучения в образовательных учреждения подготавливающих специалистов в данной области. В нашем университете на изучение систем мониторинга отведен отдельный предмет.

В ходе прохождения данного курса были выявлены некоторые проблемы.

Целью данной работы является более детальное изучение данных проблем, научное обоснование и поиск решения данных проблем, и создание прототипа информационной системы, которая в будущем может быть применена для практического использования будущими студентами.

Актуальность данной работы заключается в следующем:

1. Сложность управления сетевыми структурами, в силу этого - необходимость освоения и последующее внедрение специалистами средств управления и мониторинга компьютерных сетей.

2. Сложность освоения систем мониторинга на физической инфраструктуре:

· Сетевая инфраструктура для проведения практических работ должна представлять из себя фрагмент действующей локальной сети;

· Так как практические занятия по данной дисциплине длятся один учебный семестр, возникает простой приобретенного физического оборудования.

· Сложность сопровождения такой инфраструктуры.

3. Возможность организации удаленного доступа к элементам инфраструктуры практикума (дистанционное выполнение практикума.

Практическая ценность данного проекта: полигон является эффективным средством проведения практических занятий по дисциплинам ИКТ, в том числе - по курсу «Управление и мониторинг компьютерных сетей».

Преимущества, получаемые при использовании полигона:

· Уменьшение затраченного времени на подготовительный процесс (развертывание виртуальных машин на персональных компьютерах студентов);

· Сэкономленное время, за счет выполнения пункта выше, можно потратить на более глубокое изучение систем мониторинга и их возможности;

· Возможность увидеть преимущества систем мониторинга на больших локальных сетях;

· Выбор из некоторого множества шаблонов инфраструктур необходимой инфраструктуры (наблюдаемые узлы с заданной функциональностью и заданные системы мониторинга);

· Так как разрабатываемый полигон может виртуализировать не только серверное оборудование, но и сетевое оборудование, его можно использовать для практических занятий по изучению локальных сетей и их администрирования. При этом не потребуется закупать дорогостоящее оборудование, достаточно приобрести лицензии на использование образов оборудования. У многих компаний образы распространяются бесплатно.

· Выполнение практических работ в режиме удаленного доступа.

информационный мониторинг компьютерный программный



Глава 1. Анализ проблемы изучения систем мониторинга

На изучение дисциплины «Управление и мониторинг компьютерных сетей» по программе выделено 48 часов аудиторной и 142 часа самостоятельной работы. Предмет изучается на втором курсе магистратуры.

В ходе выполнения практических работ по данной дисциплине студент должен установить и настроить виртуальные машины на основе систем виртуализации VirtualBox. Данная работа требует больших затрат по времени, так как установка самого ПО VirtualBox и запуск виртуальных машин на основе ОС (в работе требуется ОС семейства Windows и Linux) занимает несколько часов. Так же данное программное обеспечение предъявляют высокие системные требования к компьютеру, на котором оно запущено (оперативной памяти, долговременной памяти). И если компьютер студента не обладает нужными мощностями, процесс выполнения работы становится сложнее из-за задержек.

Вторая проблема возникает после того как студент развернул систему мониторинга и ему требуется протестировать ее работу. В ходе практических работ проверка выполняется с помощью запущенной параллельно виртуальной машины, на которой настроены средства передачи информации на сервер (на примере системы мониторинга Zabbix: Zabbix-agent и Zabbix-server). Но многие функции систем мониторинга проявляют свои преимущества, когда сеть состоит из большого количества устройств.

Для решения данных проблем требуется создать сетевую инфраструктуру, состоящую из наблюдаемых узлов и узла с системой мониторинга. В зависимости от задач лабораторной работы на наблюдаемых узлах могут быть установлены различные ОС с различными службами и программным обеспечением.

Изначальная концепция полигона состояла в следующем: есть набор шаблонов виртуальных машин, на основе которых создаются рабочие варианты виртуальных машин. Рабочие виртуальные машины могут объединяться в сетевые инфраструктуры. В состав сетевой инфраструктуры включается узел с установленной системой мониторинга. На полученной инфраструктуре проводятся практические занятия по изучению системы мониторинга и отработке технологии управления компьютерной сетью.

Есть шаблоны готовых инфраструктур с различным числом узлов и различными ОС. На их основе создаются рабочие варианты сетевых инфраструктур, в состав сетевой инфраструктуры включается узел с установленной системой мониторинга.

И есть шаблоны готовых сетевых инфраструктур, в состав которых включен узел с конкретной системой мониторинга. На основе таких шаблонов создаются рабочие варианты сетевых структур для изучения конкретной системы мониторинга.

Есть несколько шаблонов серверных узлов на виртуальных машинах, на которых установлены различные системы мониторинга. На основе шаблонов серверных узлов создаются рабочие серверные узлы с системами мониторинга, которые включаются в локальную сеть сетевой инфраструктуры.

Из различных шаблонов создается индивидуальная сетевая инфраструктура, которая используется для выполнения практических работ по тематике управления и мониторинга компьютерных сетей.



Глава 2. Обзор и анализ существующих на рынке программных продуктов для обучения в области мониторинга компьютерных сетей

Программного обеспечения по изучению именно систем мониторинга нет. Но есть программное обеспечение позволяющее эмулировать работу сетевых узлов. В данной главе рассмотрены некоторые из них.

2.1. Программа-симулятор Cisco Packet Tracer

Лидер рынка в сфере оборудования для локальных систем Cisco Systems очень серьезно относится к подготовке инженеров, умеющих работать с их оборудованием. Выстроена серьезная система сертификации специалистов и написано большое количество литературы по подготовке к данной сертификации.

Рисунок 2.1 - Логотип программного обеспечения Cisco Packet Tracer

Cisco Packet Tracer программа-симулятор, созданная для образовательных целей. Студент, работающий с данным ПО, получает возможность построить модель сети, практиковаться в настройке оборудования (Cisco IOS).

Программа имеет возможность симулировать серии маршрутизаторов Cisco 800, 1800, 1900, 2600, 2800, 2900 и коммутаторов Cisco Catalyst 2950, 2960, 3560, межсетевой экран ASA 5505. В упрощенном виде есть возможность включить симуляцию серверов DHCP, HTTP, TFTP, DNS и т.д.

Рисунок 2.2 - Интерфейс и пример сконструированной локальной сети с помощью Cisco Packet Tracer

Преимущества данного решения:

· Низкие системные требования;

· Удобный и понятный интерфейс;

· Симуляция оборудования Cisco;

· Позволяет создавать интерфейсы для проверки выполняемости работы.

Недостатки:

· Поддержка только оборудования Cisco;

· Функционал симулируемого оборудования урезан по сравнению с реальным оборудованием Cisco;

· Нет возможности создать виртуальную машину или сервер с набором программ не входящих в программное обеспечение.

Вывод: Cisco Packet Tracer хороший инструмент для начального изучения локальных сетей на базе оборудования Cisco System. Функционала данной программы достаточно чтобы подготовиться и успешно сдать первую ступень сертификации Cisco (CCNA). Но из-за отсутствия возможности создавать виртуальные машины со своим набором программного обеспечения использовать данный продукт в рамках данной работы не представляется возможным.

2.2. Эмулятор Graphical Network Simulator (GNS3)

Данное программное обеспечение в отличии от Cisco Packet Tracer является эмулятором, а не симулятором локальной сети. GNS3 позволяет запускать на компьютере модель устройства со всеми основными характеристиками используя образ прошивки, в то время как симуляторы повторяют поведение оборудования. Именно поэтому оборудование, эмулированное с помощью GNS3, имеет полный функционал.

Рисунок 2.3 - Логотип программного обеспечения GNS3

Так же очень важным преимуществом является возможность эмулировать работу оборудования разных производителей. Данная функция используется инженерами технической поддержки для того, чтобы собрать модель реальной сети и посмотреть, что произойдет с сетью после внесенных изменений.

Следующая очень важная функция - интеграция с программами виртуализации VMWare и VirtualBox. Это позволяет создать и присоединить к эмулируемой сети полноценные виртуальные машины с набором программного обеспечения который нам нужен.

GNS3 можно подключить к реальной локальной сети. Если эта сеть подключена к интернету, то с помощью VPN можно настроить удаленный доступ к развернутой лабораторной работе. Так же это позволяет проверить способность уже рабочей сети на масштабируемость.

Недостатками данного программного обеспечения является неспособность эмулировать коммутаторы. Связано это с тем, что реальные коммутаторы работают на ASIC микросхемах, которые и обеспечивают быструю обработку кадров. Эмулировать работы данных микросхем на процессорах обычных компьютеров на данный момент невозможно. Процессор маршрутизаторов в свою очередь очень похож характеристиками на процессор компьютеров, что и дало возможность без проблем эмулировать данные устройства.

Эмуляция дала большое количество преимуществ, но из-за нее возник очень серьезный недостаток - высокие требования к системным ресурсам. Особенно сильно расходуется оперативная память. Это связано с тем, что GNS3 работает с реальными прошивкам оборудования.

Так как GNS3 является бесплатным продуктом, и получает финансирование только от спонсорских пожертвований, бюджет данного производителя ПО не очень большой. Это сказывается на стабильности ПО. Огромное количество ошибок, связанные с нехваткой средств и времени на полноценное тестирование, пытаются решить частым выпуском обновлений, которые избавляют от старых ошибок, но порождают новые.



Рисунок 2.4 - Интерфейс и пример сконструированной локальной сети с помощью GNS3.

2.3. Эмулятор оборудования EVE-NG

Emulated Virtual Environment Next Generation - программное обеспечение нового поколения для эмуляции работы оборудования. Предназначен для построения виртуальной модели локальных сетей. Способен, как и GNS3, запускать модели маршрутизаторов используя образы данного оборудования.



Рисунок 2.5 - Логотип программного обеспечения EVE-NG

Минимальные системные требования, приведенные в официальной документации, представлены в таблице 2.1.

Таблица 2.1 - Минимальные системные требования EVE-NG

Ресурс	Построение маленькой домашней лаборатории
	Версия для персональных компьютеров	Версия для запуска в виде виртуальных машин
Процессор	Intel i5/i7(4 логических процессора), включенная технология виртуализации в BIOS	4/1(Количество процессоров / количество ядер на процессор), поддержка технологии виртуализации VT-x/EPT
Оперативная память	8 Гб	6 Гб и более
Место на жестком диске	40 Гб	40 Гб или больше

Так же в официальной документации указаны платформы и программное обеспечение c помощью которых можно запустить EVE-NG:

· VMware Workstation 12.5 или новее

· VMware Player 12.5 или новее

· VMware ESXI 6.0 или новее

· Ubuntu Server 16.04 LTS

Преимущества EVE-NG:

· Полностью бесплатная версия EVE-NG Community. Так же есть расширенная версия продукта Professional Edition. Но она уже требует платную лицензию.

· В отличии от GNS3 разработчики EVE-NG создали образ, который эмулирует работу L2 оборудования. Данный образ назвали EOS-коммутатор. Команды управления данным коммутатором взяты из L2 коммутаторов компании Cisco.

· Число запускаемых узлов ограничено только ресурсами выделенными для EVE-NG.

· Продукт является мультивендорным. На официальном сайте EVE-NG приведен внушительный список оборудования, который можно эмулировать (https://www.eve-ng.net/documentation/supported-images).

· Функция создания учетных записей и разграничения доступа пользователей к системе.

· Низкие требования к персональному компьютеру. Дизайн приложения «click and play», как написано на официальном сайте, требует от ПК студента установленный браузер и специальное расширение, которое можно скачать на сайте. Почти все вычислительные процессы производятся на сервере, на котором развернуто приложение.

Для запуска образов EVE-NG использует три технологии:

· IOL

· Dynamips

· QEMU



Рисунок 2.6 - Интерфейс и пример сконструированной локальной сети с помощью EVE-NG

2.3.1. Эмулятор Cisco IOS для Unix - IOL

IOL (часто используют другое название IOU) - программное обеспечение для эмуляции Cisco IOS на устройствах под управление операционной системой семейства UNIX. Изначально данной технологией могли пользоваться только сотрудники компании Cisco Systems. Работала она на операционной системе Solaris. Позже данную технологию переписали для Linux и назвали IOL (Cisco IOS on Linux).

Данная технология позволяет эмулировать максимальное количество функций оборудования Cisco Systems и содержит минимальное количество ограничений.

2.3.2. Аппаратный эмулятор QEMU

QEMU - свободно распространяемое программное обеспечение с открытым кодом для эмулирования аппаратного обеспечения различных платформ. Данная программа написана французским программистом Фабрисом Белларом.

Список эмулируемых платформ приведен в таблице 2.2.

Таблица 2.2 - Платформы, эмулируемые программным обеспечением QEMU

Режим запуска отдельных программ	Режим запуска полноценной ОС
X86	Те же, что и в режиме запуска отдельных программ
ARM	AMD64(x86-64)
SPARC (32 bit)	EM64T
PowerPC
MIPS
M68k
RISC-V

2.3.3. Dynamips - эмулятор оборудования компании Cisco Systems

Dynamips - программное обеспечение, позволяющее эмулировать оборудование компании Cisco Systems. Работает почти на всех устройствах под управлением ОС Linux, Mac OS и Windows.

Данную технологию использует GNS3. Соответственно именно с этой технологией связаны основные недостатки: высокие системные требования и невозможность эмулировать коммутаторы.



Глава 3. Темы для изучения с помощью разрабатываемого полигона

Цели курса «Управление и мониторинг компьютерных сетей» следующие:

1. Обеспечить студентов базовыми знаниями принципов построения современных корпоративных систем.

2. Заложить основы для последующих курсов, посвященных управлению корпоративными системами.

3. Познакомить студентов с современными реализациями управляющих структур корпоративных систем.

4. Обучить студентов применению средств мониторинга компьютерных сетей.

Разрабатываемый полигон поможет студентам получить практические навыки по настройке и организации мониторинга локальных сетей.

Предлагаемые темы для изучения:

1. Установка Zabbix сервера.

Для выполнения данной работы в EVE-NG будет выделена виртуальная машина с установленной на ней ОС Linux. Студенту потребуется получить доступ к данному устройству, произвести начальные настройки ОС, установку MySQL, Apache, PHP, Zabix-server.

2. Установка и настройка Zabbix-agent.

В ходе выполнения данной работы потребуется две виртуальные машины, работающих на ОС Windows и Linux. От студента требуется получить удаленный доступ к данным виртуальным машинам, установить на них Zabbix-agent, настроить связность данных устройств с Zabbix-server, настроить шаблон для данных устройств на Zabbix-server, настроить оповещения.

3. Настройка мониторинга с помощью SNMP.

От студента требуется изучить протокол SNMP, настроить на Zabbix-server получение данных с помощью протокола SNMP.

4. Настройка получения данных от сторонних программ.

Часто некоторые данные о системе невозможно получить с помощью встроенных средств Zabbix. Для этого используют сторонние приложения. От студента требуется выбрать стороннюю программу, которую можно использовать для снятия данных, написать скрипт для выборки нужных данных, изменение конфигурационного файла Zabbix-agent, для настройки отправки выбранных данных на Zabbix-server, настроить шаблон на принятие данных от компьютера.

5. Проверочная работа.

В данной работе студенту будет выдана виртуальная машина, подключенная к заранее настроенной локальной сети с разнообразными устройствами. Требуется выбрать методы мониторинга устройств в локальной сети, обосновать свой выбор, настроить мониторинг данных устройств, визуализацию собранных данных, комплексные экраны.



Глава 4. Установка тестового стенда EVE-NG

Для выполнения проекта полигона используется EVE-NG. Данный продукт существует в трех версиях: Community, Professional и Learning Center.

Ниже приведена таблица сравнения версий.

Таблица 4.1 - Сравнение функций разных версий EVE-NG

Функции	Community	Professional	Learning center
Цена	Бесплатно	99 € в год	99 € в год + доп. Плата за каждого пользователя.
Роли пользователей	Только администратор	Только администратор	Администратор, пользователь, редактор
Резервация папки за пользователем	Нет	Нет	Да
Управление правами редактирования	Нет	Нет	Да
Срок действия учетной записи	Нет	Нет	Да
Ограничение времени на выполнение лабораторной работы	Нет	Да	Да
Запуск нескольких лабораторных работ одним пользователем	Нет	Да	Да
Количество сетевых узлов в лабораторно работе	63	1024	1024
Локальный захват Wireshark	Да	Нет	Нет
Локальный клиент Telnet и VNC	Да	Да	Да
Возможность использование внешнего клиента Wireshark	Нет	Да	Да
Онлайн соединение администратора к выполняемой студентом работы	Нет	Да	Да
Запуск и управление лабораторными работами, выполняемыми студентами, администратором	Нет	Да	Да
Подробная статистика об использовании ресурсов сервера каждым студентом	Нет	Да	Да



В данной таблице указаны основные различия между версиями. Для тестового варианта полигона будет использоваться бесплатная версия Community.

В официальной документации EVE-NG указаны следующие платформы, на которых можно развернуть продукт:

· VMware Workstation 12.5 или новее

· VMware Player 12.5 или новее

· VMware ESXI 6.0 или новее

· Ubuntu Server 16.04 LTS

Тестовая версия разворачивается на VMware Workstation 14. Пробную бесплатную версию можно скачать на официальном сайте компании VMware: https://www.vmware.com/products.html.

Минимальные системные требования к компьютеру: Оперативной памяти 4 ГБ, 4 ядра, постоянной памяти 40 ГБ.

После установки и первого запуска мы увидим окно вида представленного на рисунке 4.1.

Рисунок 4.1 - Начальное окно среды виртуализации VMware Workstation

На официальном сайте EVE-NG размещен для скачивания образ виртуальной машины с на базе Ubuntu Server 16.04 LTS с установленной EVE-NG: http://www.eve-ng.net/downloads/eve-ng-2

После запуска виртуальной машины откроется окно, представленное на рисунке 4.2. В данном окне эмуляции консоли сервера происходит процесс аутентификации. На ненастроенной виртуальной машине по умолчанию используются следующие учетные данные:

· Логин: root

· Пароль: eve

Рисунок 4.2 - Процесс аутентификации при первом запуске виртуальной машины

После прохождения процесса аутентификации запустится процесс первоначальной настройки. В первом же поле (рисунок 4.3) нужно обязательно ввести новый надежный пароль для учетной записи root. В следующем окне требуют повторить пароль, чтобы убедиться, что введенный пароль является осознанным, а не случайно выбранной, последовательностью символов.



Рисунок 4.3 - Поле ввода нового пароля учетной записи «root»

В следующем окне, представленном на рисунке 4.4, система требуется ввести значение конфигурации «Hostname». Данная конфигурация представляет из себя набор символов, которые выводятся в консольном окне при запросе команд от человека.

Рисунок 4.4 - Поле ввода конфигурации «Hostname»



В следующем окне (рисунок 4.5) требуется определить метод получения IP-адреса виртуальной машины. Вариантами ответа являются: «Static» и «DHCP».

Рисунок 4.5 - Выбор метода получения IP-адреса

DHCP (англ. Dynamic Host configuration Protocol) - протокол динамического распределения IP-адресов в сети. Распределение адресов осуществляется DHCP сервером, который выдает IP-адрес, маску подсети, адрес DNS сервера и др. на время. После времени окончания аренды адреса сервер проверяет в сети ли устройство. Если ответ положительный, аренда адреса продлевается. При отрицательном ответе адрес возвращается в список свободных адресов.

При выборе варианта «Static» все сетевые настройки виртуальной машины придется ввести вручную.

На практике обычно используют следующий план действий для снижения вероятности совершения ошибки при настройке:

1. На DHCP сервере IP-адрес, предназначенный для данной виртуальной машины, выводят из обращения (он никогда не попадет в список свободных адресов);

2. Статус данного адреса настраивают в значение «Выделенный» и закрепляют за данной виртуальной машиной с помощью MAC-адреса.

3. На Виртуальной машине выбирают пункт DHCP.

4. Таким образом, виртуальный сервер будет всегда получать один и тот же IP-адрес и актуальные настройки DNS серверов.

Выполнив все эти действия, IP-адрес тестовой виртуальной машины оказался следующим: 192.168.0.11/24. Фиксированный адрес понадобится позже.

После этого процесс базовой настройки окончен. Виртуальная машина автоматически перезагрузится. После перезагрузки снова потребуется пройти процесс аутентификации. На рисунке 4.6 показан процесс проверки доступности сети интернет.

Рисунок 4.6 - проверка подключения к сети интернет

Далее следует провести обновление системы до последней актуальной версии. Для этого следует ввести 2 команды:

root@eve-ng:#apt update

root@eve-ng:#apt upgrade

Процесс обновления может занять некоторое время.

После того как система скачает обновления выйдет следующее окно, представленное на рисунке 4.7.

Рисунок 4.7 - Окно обновления системы

Выбираем пункт: “keep the local version currently installed”

После этого командой “reboot” производится перезагрузка виртуальной машины.

Так же в официальной документации рекомендуется использовать программное обеспечение Docker. Данное программное обеспечение предназначено для автоматизации развёртывания и управления приложениями в средах с поддержкой контейнеризации. Позволяет «упаковать» приложение со всем его окружением и зависимостями в контейнер, который может быть перенесён на любую Linux-систему с поддержкой cgroups в ядре, а также предоставляет среду по управлению контейнерами.

Установить производится командой:

· apt install eve-ng-dockers.

На этом установка тестовой системы закончена.

Для работы студенту следует скачать пакет интеграции для EVE NG. Данный пакет включает в себя:

· Wireshark 2.2.5

· UltraVNC 1.2.12

· putty 0.68

· plink 0.68

Все эти программы позволят автоматически подключаться к устройствам через WEB оболочку системы и сильно упрощают работу пользователей.

Далее для построения полигона требуется загрузить на развернутую виртуальную машину образы сетевых устройств. Загруженные образы в EVE-NG должны храниться в следующих директории: /opt/unetlab/addons/.

В данной директории расположены 3 папки:

· qemu

· ios

· dynamips

Папки названы по соответствию с технологиями, которые запускают образы, помещенные в данную папку. Подробнее о технологиях написано в предыдущих главах.

Каждый образ, загруженный в EVE-NG, должен находиться в строго определенной папке.

Для примера загружен образ от компании MicroTik.

После того как образ скачен требуется загрузить его на виртуальную машину. Для этого используем программу WinSCP. Переходим в директорию /opt/unetlab/addons/qemu и создаем папку “mikrotik-X”, где Х это номер версии прошивки. В созданную папку загружаем образ Mikrotik RouterOS. Переименовываем это файл в «hda.qcow2». После загрузки образа нужно запустить уже установленный в системе скрипт по обновлению прав. Сделать это следует следующей командой: /opt/unetlab/wrappers/unl_wrapper -a fixpermissions.

Удаленный доступ реализован с помощью программного обеспечения OpenVPN - свободная реализация технологии виртуальной частной сети (VPN) с открытым исходным кодом для создания зашифрованных каналов типа точка-точка или сервер-клиенты между компьютерами. Она позволяет устанавливать соединения между компьютерами, находящимися за NAT и сетевым экраном, без необходимости изменения их настроек. OpenVPN была создана Джеймсом Йонаном.

Схема сети подключения представлена на рисунке 4.8.

Рисунок 4.8 Схема сети с удаленным подключением

На устройствах «PC Student» и «EVE-NG server» запущено приложение OpenVPN client. Данное приложение формирует зашифрованный канал связи с «OpenVPN server». Информация о формируемом канале хранится в сертификате, предварительно выданным центром сертификации. Центр сертификации, в целях безопасности, рекомендуется разворачивать на устройстве полностью изолированном от каких-либо локальных сетей в помещении, в котором присутствуют системы обеспечения физической безопасности.

Данный сервер развернут в дата-центре расположенный в Москве. Сервисов предоставляющих данные услуги в стране достаточно много. Цена на их услуги не высоки и их может позволить себе любой.

Для данной работы арендована машина под управлением ОС Ubuntu 16.04 64bit с системными требованиями:

· оперативная память: 512 МБ

· Постоянная память: 20ГБ SSD

· Процессор: 1 ядро с частотой 2 ГГц

Компания предоставляющая машину в начале предоставляет учетную запись root. По правилам информационной безопасности следует сделать следующие действия:

1. Изменить пароль учетной записи root

2. Создать отдельную учетную запись с правами sudo и в дальнейшем работать с помощью ее.

Процесс изменения пароля показан на рисунке 4.9.

Рисунок 4.9 Изменение пароля на OpenVPN server.

Создание новой учетной записи представлено на рисунке 4.10.

Рисунок 4.10. Создание новой учетной записи.

Установка OpenVPN и пакета easy-rsa, который позволит нам развернуть свой собственный сертификационный центр, производится командой:

#sudo apt-get install openvpn

#sudo apt-get install easy-rsa

Далее скопируем шаблонную директорию easy-rsa домашнюю директорию:

#make-cadir /home/MZelin/openvpn-ca

#cd ~/openvpn-ca

Настроим переменные центра сертификации. Для этого откроем файл vars:

#nano vars

В открывшемся файле требуется изменить поля, используемые по умолчанию при формировании сертификатов, заполнив их своими данными. По умолчанию данные поля выглядят следующим образом:

export KEY_COUNTRY="US"

export KEY_PROVINCE="CA"

export KEY_CITY="SanFrancisco"

export KEY_ORG="Fort-Funston"

export KEY_EMAIL="me@myhost.mydomain"

export KEY_OU="MyOrganizationalUnit"

export KEY_NAME="server"

Следующим шагом требуется выполнить команду очистки среды сертификационного центра. Из директории ~/openvpn-ca/ следует выполнить команду:

#./clean-all

Следующая команда запускает процесс создания ключа и сертификата корневого центра сертификации. Поскольку все переменные в файле vars были введены заранее, все необходимые значения будут введены автоматически. Данный процесс представлен на рисунке 4.11.



Рисунок 4.11. Процесс создания ключа и сертификата корневого центра сертификации.

Далее следует создать сертификат, пару ключей и некоторые дополнительные файлы для процесса шифрования информации.

Создание сертификата и ключей для сервера выполняется следующей командой и представлено на рисунке 4.12:

~/openvpn-ca$ ./build-key-server server



Рисунок 4.12. Создание сертификата и пары ключей для сервера.

Генерация ключей Диффи-Хелмана, используемые при обмене ключами выполняется следующей командой и может потребовать несколько минут:

~/openvpn-ca$./build-dh

Далее следует сгенерировать подпись HMAC для усиления способности сервера проверять целостность TSL:

openvpn --genkey --secret keys/ta.key

При подключении клиента требуется сформировать сертификат и пару ключей для пользователя. Для тестового стенда требуется создать два клиентских подключения (для EVE-NG сервера и для подключаемого пользователя). Для этого нужно ввести следующие команды из директории ~/openvpn-ca:

$ source vars

$ ./build-key EVE-NG_server

Скопируем сформированные файлы и пример конфигурации в директорию: /etс/openvpn:

$ cd ~/openvpn-ca/keys

$ sudo cp ca.crt ca.key server.crt server.key ta.key dh2048.pem /etc/openvpn

$gunzip -c /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz | sudo tee /etc/openvpn/server.conf

Проведем настройку конфигурации OpenVPN:

$ sudo nano /etc/openvpn/server.conf

В открывшемся файле следует изменить строки:

tls-auth ta.key 0 # This file is secret (удалить «;» в начале)

key-direction 0 (добавить строку)

cipher AES-128-CBC (удалить «;» в начале)

auth SHA256 (добавить строку)

user nobody (удалить «;» в начале)

group nogroup (удалить «;» в начале)

Далее требуется настроить и включить перенаправление IP:

$sudo nano /etc/sysctl.conf

В открывшемся файле изменим строку:

net.ipv4.ip_forward=1 (удалить «#» в начале строки).

Для применения настроек используется команда:

$sudo sysctl -p

Запуск сервиса OpenVPN выполняется следующей командой:

$sudo systemctl start openvpn@server

Автозапуск сервиса включается следующей командой:

$ sudo systemctl enable openvpn@server

Настройка OpenVPN клиентов начинается с создания файла, при запуске которого будут автоматически генерироваться, и сохраняться в определенной директории сертификаты и ключи шифрования.

1. Создание и настройка прав доступа директории, в которой будут храниться файлы конфигурации клиентов:

$mkdir -p ~/client-configs/files

$chmod 700 ~/client-configs/files

2. Копирование и конфигурация файла примера в созданную до этого директорию:

$cp /usr/share/doc/openvpn/examples/sample-config-files/client.conf ~/client-configs/base.conf

$nano ~/client-configs/base.conf

В открывшемся файле требуется изменить следующие поля:

remote «публичный адрес OpenVPN server» 1194

proto udp

user nobody(удалить «;» в начале)

group nogroup(удалить «;» в начале)

#ca ca.crt (добавить в начале «#»)

#cert client.crt (добавить в начале «#»)

#key client.key (добавить в начале «#»)

cipher AES-128-CBC (дописать)

auth SHA256 (дописать)

key-direction 1 (дописать)

# script-security 2 (добавить в начале «#»)

# up /etc/openvpn/update-resolv-conf (добавить в начале «#»)

# down /etc/openvpn/update-resolv-conf (добавить в начале «#»)

Последние 3 строки будут раскомментированы, если клиент работает на ОС Linux.

3. Создание скрипта «make_config.sh» в директории ~/client-configs.

nano ~/client-configs/make_config.sh

Настройка прав исполнения данного скрипта:

$chmod 700 ~/client-configs/make_config.sh

4. Создание файла конфигурации OpenVPN client:

$cd ~/client-configs

$./make_config.sh client1

5. Переносим данный файл на EVE-NG server раскоментируем строки:

script-security 2

up /etc/openvpn/update-resolv-conf

down /etc/openvpn/update-resolv-conf

6. Подключение к OpenVPN серверу:

$sudo openvpn --config EVE-NG_server.ovpn

После этого сервер подключается к OpenVPN серверу.

На персональном компьютере студента требуется скачать по ссылке https://openvpn.net/community-downloads/ программное обеспечение, скопировать в папку C:\Program Files\OpenVPN\config конфигурационный файл «student1.ovpn» и запустить подключение.



Глава 5. Подготовка шаблонов лабораторных работ для изучения систем мониторинга

Темы, изучаемые в лабораторных работах, описаны в третьей главе данной работы.

5.1 Установка Zabbix сервера

Подготовка шаблона для первой лабораторной работы начинается с создания виртуальной машины на базе ОС Linux. Для этого аналогично примеру описанному в прошлой главе в директории «/opt/unetlab/addons/qemu» создаются папки с названиями, согласно формату «linux-X», где Х - название и номер версии операционной системы (например, «linux-ubuntu-server-16.04.02»).

В созданную папку загружаются образ операционной системы, в формате «.iso». Данный образ обязательно требуется переименовать в «cdrom.iso». Так же требуется создать виртуальный жесткий диск, на который производится установка операционной системы. Данная процедура выполняется уже написанными программистами команды разработчиков EVE-NG. Администраторы требуется лишь ввести следующие команды:

§ /opt/qemu/bin/qemu-img create -f qcow2 virtioa.qcow2 30G

§ /opt/unetlab/wrappers/unl_wrapper -a fixpermissions.

После выполнения данных команд создастся файл «virtioa.qcow2» размером 30 Гб. Размер можно указывать любой в зависимости от требуемых целей.

После этого требуется зайти на Web-интерфейс EVE-NG под своим логином и паролем. В открывшемся окне создается лабораторная работа (рисунок 5.1).



Рисунок 5.1 Создание лабораторной работы в web-интерфейсе EVE-NG.

В созданной лабораторной работе добавляется виртуальная машина нажатием пунктов меню «Add an object» - «Node». В открывшемся списке требуется выбрать «Linux». В официальной документации EVE-NG рекомендуемые настройки для запуска виртуальных машин на базе разных версий операционных систем (Таблица 5.1).

Таблица 5.1 - Рекомендуемые системные требования для запуска виртуальных машин на базе ОС Linux

Версия ОС	Количество ядер	Оперативная память	Количество портов	Используемая для подключения консоль
Kali 2018-amd64	1	8192	1	std
Ubuntu server 14.04.4	1	4096	1	telnet
Mint-18.3-cinnamon-64bit	1	2048	1	vnc
Ubuntu desktop 16.04.4	1	2048	1	vnc

На рисунке 5.2 показано меню добавления виртуальной машины в лабораторную работу.



Рисунок 5.2. Меню добавления виртуальной машины в лабораторную работу

После добавления виртуальной машины, требуется запустить ее. Первый запуск инициализирует установку ранее закачанной ОС на созданный виртуальный диск. Данная процедура может занять некоторое время. После установки, файл «cdrom.iso» требуется удалить. Далее система, при добавлении виртуальных машин в лабораторную работу, будет использовать виртуальный диск «virtioa.qcow2».

Таким образом шаблон для выполнения первой лабораторной работы готов. Студенту для ее выполнения требуется сделать следующие шаги:

· Создать лабораторную работу.

· Добавить устройство на ОС Linux.

· Провести процесс установки Zabbix сервера на созданную виртуальную машину согласно указаниям в официальной документации программного обеспечения Zabbix.

5.2. Установка и настройка Zabbix-agent

Для второй лабораторной работы требуются виртуальные машины на ОС Linux и Windows. Первая была добавлена в систему во время подготовки шаблона к первой лабораторной работе. Процесс добавления виртуальной машины на ОС Windows идентичен добавлению виртуальной машины на ОС Linux.

Но существует второй вариант добавления виртуальных машин в EVE-NG. В системе есть функция присоединения виртуальных машин развернутых на базе стороннего программного обеспечения, например VMware Workstation. Для этого требуется выполнить следующие действия:

1. Развернуть виртуальную машину в VMware Workstation.

2. Определить VMnet для виртуальной машины

3. Добавить сетевой адаптер в EVE-NG и определить его в тот же VMnet.

Следует отметить, что данный способ используется, когда EVE-NG развернут в VMware.

Для развертывания виртуальной машины требуется скачать образ ОС в формате «.iso», и, следуя инструкциям VMware Workstation, выполнить процесс создания виртуальной машины.

Далее перейти в настройки созданной виртуальной машины, в меню «сетевой адаптер». В подменю «Network connection» выбрать «Custom: Specific virtual network» => «VMnet 1» (рисунок 5.3).



Рисунок 5.2. Настройки сетевого адаптера виртуальной машины на ОС Windows

В настройках виртуальной машины, на которой развернута EVE-NG, требуется добавить еще один сетевой адаптер и назначить такие же настройки что и на рисунке 5.2.

Далее запустив виртуальные машины и соединив их с помощью интерфейсов «Cloud» в web-интерфейсе EVE-NG получим связь двух виртуальных машин по схеме, изображенной на рисунке 5.3.



Рисунок 5.3. Сетевая схема подключения виртуальных машин второй лабораторной работы.

5.3. Настройка мониторинга с помощью SNMP

SNMP (англ. Simple Network Management Protocol -- простой протокол сетевого управления) -- стандартный интернет-протокол для управления устройствами в IP-сетях на основе архитектур TCP/UDP. К поддерживающим SNMP устройствам относятся маршрутизаторы, коммутаторы, серверы, рабочие станции, принтеры, модемные стойки и другие.

Использование SNMP позволяет мониторить устройства, на которые нет возможности установить Zabbix-agent.

Для создания узла сети с SNMP интерфейсов нужно зайти на Web-интерфейс Zabbix-сервера. Далее нажать на кнопки: Configuration => Hosts => Create host (в правом верхнем углу).

По умолчанию настроен «Agent interface». Его нужно удалить, нажав кнопку «Remove» как показано на рисунке 5.4.



Рисунок 5.4. Удаление Agent interface

Добавляем интерфейс с помощью кнопки «Add» напротив «SNMP interface».

Рисунок 5.5. Добавление SNMP interface

Заполняем поле «Host name», добавляем IP-адрес устройства в «SNMP interface».

Так как адреса объектов устройств определяются в цифровом формате, их сложно запомнить. Для упрощения применяются базы управляющей информации (MIB). Базы MIB описывают структуру управляемых данных на подсистеме устройства; они используют иерархическое пространство имён, содержащее идентификаторы объектов (OID-ы). Каждый OID состоит из двух частей: текстового имени и SNMP адреса в цифровом виде. Базы MIB являются необязательными и выполняют вспомогательную роль по переводу имени объекта из человеческого формата (словесного) в формат SNMP (цифровой). Очень похоже на DNS сервера. Так как структура объектов на устройствах разных производителей не совпадает, без базы MIB практически невозможно определить цифровые SNMP адреса нужных объектов.

Для определения OID для начала нужно установить пакет приложений Net-SNMP. Для этого на устройстве Zabbix-сервер нужно набрать следующую команду:

#apt-get install snmp snmpd

В данной работе уже добавлялись образы оборудования MikroTik. Студенту для выполнения данной работы требуется добавить устройство MikroTik, включить на нем протокол SNMP и настроить мониторинг данного устройства.

5.4. Настройка получения данных от сторонних программ

Данная лабораторная работа призвана научить студентов создавать свои данные для мониторинга, которые не представляется возможным получить с помощью агентов или SNMP. Такими данными в Zabbix, например, является температура процессора.

Для настройки мониторинга температуры устройства используется сторонние приложение «OpenHardwareMonitorConsole» и функция «UserParameter» Zabbix-агента.

OpenHardwareMonitorConsole - это свободно распространяемое ПО с открытым кодом позволяющая выводить показатели системы. Существуют версии с графическим интерфейсом и с консольным интерфейсом.

Функция «UserParameter» позволяет передавать на сервер любые значения, которые требуется для администратора. Часто специалисты технической поддержки собирают статистику о выходных данных тех или иных программ.

Для выполнения данной работы студенту требуется создать исполняемый файл в формате «.bat», добавить в конфигурационный файл указание на выполнение данного файла и ключ, добавить данный ключ и параметр на Zabbix-сервере.

Пример содержания исполняемого файла:

@echo off

for /F "usebackq tokens=7-10" %%a in (`C:\OpenHardwareMonitorConsole\OpenHardwareMonitorReport.exe`) do echo %%b %%c %%d| find "/intelcpu/0/temperature/2" >nul && set temper=%%a

echo %temper%

Пример указания на выполнение и ключ параметра в конфигурационном файле Zabbix-агента:

UserParameter=Temperature.CPU[*], C:\OpenHardwareMonitorConsole\CPUTempurature.bat

5.5. Проверочная работа

Проверочная работа - это отдельную лабораторную работу, к которой можно подключиться через выделенный интерфейс Cloud. В данной лабораторной работе будут настроены несколько виртуальных машин с настроенными Zabbix-агентами, где это представляется возможным, с включенным SNMP. Студенту требуется грамотно определить, какими методами целесообразней мониторить то или иное устройство, создать отдельную лабораторную работу, добавить в данную лабораторную работу Linux-сервер, соединить данный сервер с помощью интерфейса «Сloud» с лабораторной работой в которой запущены устройства для проверочной работы, установить Zabbix-сервер, настроить мониторинг локальной сети.

Схема локальной сети проверочной работы представлена на рисунке 5.6.



Рисунок 5.6. Схема локальной сети проверочной работы

CloudNet - это элемент программного обеспечения EVE-NG представляющая из себя виртуальный сетевой интерфейс для связи с внешними (относительно данной лабораторной работы) ресурсами. Часто используется для связи данной сети с сетью интернет. В данной работе с помощью данного инструмента, студент сможет подключать свою виртуальную машину к данной лабораторной работе.

vIOS Cisco 10.0.0.1 - виртуальный маршрутизатор под управлением ОС IOS, разработанной компанией Cisco Systems. IP-адрес данного устройства: 10.0.0.1. Включены службы SNMP.

MicriTik 10.0.0.2 - виртуальный маршрутизатор под управлением ОС RouterOS от компании MicroTik. IP-адрес данного устройства: 10.0.0.2. Включены службы SNMP.

Switch - коммутатор для подключения к локальной сети оконечных устройств.

LinuxServer 10.0.0.3 - виртуальная машина под управление ОС Linux. IP-адрес данного устройства: 10.0.0.3. На данном устройства установлен Zabbix-agent.

VPC 10.0.0.4 - виртуальный персональный компьютер, образ которого разработан компанией EVE-NG. Данный образ имеет базовые функции оконечного устройства в локальной сети, при этом не занимает много системных ресурсов. Данное устройство в данной работе симулирует простейшие устройства современных офисов, такие как принтеры, МФУ и др. Для их мониторинга обычно достаточно настроить проверку с помощью протокола ICMP.

Windows Server 10.0.0.5 - виртуальная машина под управлением ОС Windows. IP-адрес данного устройства: 10.0.0.5. Установлен Zabbix-агент, включена служба SNMP.



Глава 6. Контроль и приемка информационной системы

Процесс контроля и приемки информационной системы проводятся на основе документа «Программа и методика испытаний» (Приложение 1).

В документе «Задание на выполнение магистерской диссертации» приведены требования к надежности.

С помощью встроенных инструментов настроены следующие функции:

· Автозапуск сервера при подаче питания;

· Автозапуск VPN соединения между сервером, на котором установлена система EVE-NG, и VPN сервером;

· Автозапуск всех приложений для корректной работы полигона.

В результате испытаний при перезагрузке система возвращалась полностью в рабочее состояние примерно за 3-5 минут, что является приемлемым результатом для данной системы.

Проверка удаленного доступа к системе. Удаленный доступ работает через сеть интернет по протоколу HTTP. На рисунке 6.1 показано подключение к системе через браузер Google Chrome. Для этого подключившись к VPN, как описано выше, требуется ввести адрес 10.95.77.104.

Рисунок 6.1. Удаленный доступ к системе с помощью HTTP.

Для конфигурирования администратором, используя тот же адрес, можно использовать протокол SSH. Для этого используют любое ПО эмулятор терминала (например, Putty).

Рисунок 6.2. Удаленное подключение по протоколу SSH.

Запуск виртуальных машин решено проверить на примере проверочной работы, так как в ней больше всего устройств. Запустив все требуемые виртуальные машины, получили статистику загрузки, показанную на рисунке 6.3.

Рисунок 6.3. Статус системы при запуске проверочной работы.

Таким образом, видно, что для запуска одного экземпляра сетевой инфраструктуры ресурсов достаточно. Если данная система останется на данном устройстве, то для выполнения проверочной работы студенту будет не достаточно браузера.

Студенту придется развернуть виртуальную машину на своем персональном компьютере, и подключаться с использованием виртуальных интерфейсов.



Заключение

Целями данной работы являлись:

1. Увеличить эффективность образовательного процесса;

2. Изучить предложения и провести выбор программного обеспечения для организации образовательного процесса;

3. Разработать концепцию полигона и набор практикумов реализуемых в нем;

4. Развернуть полигон и продемонстрировать эффективность данного подхода.

В первой главе проведен анализ существующего образовательного процесса по дисциплине «Управление и мониторинг компьютерных сетей», описаны основные проблемы, с которыми встречаются студенты, описана концепция разрабатываемого полигона.

Во второй главе рассмотрены программные продукты, существующие на рынке, которые можно использовать для эмуляции сетевых инфраструктур, рассмотрены их преимущества и недостатки, описаны некоторые механизмы виртуализации, используемые данными продуктами.

Третья глава посвящена разработке и описанию списка лабораторных практикумов, позволяющих получить студенту практические навыки управления и мониторинга компьютерных сетей. Для примера используется система мониторинга Zabbix. На практике студент имеет возможность изучать и экспериментировать с системами мониторинга других производителей.

Глава четыре описывает процесс развертывания и настройки сервера с программным обеспечением EVE-NG, которое позволяет развернуть сетевые инфраструктуры с помощью разнообразных технологий виртуализации, показан процесс добавления виртуальных машин в систему, процесс настройки удаленного доступа на сервер.

В пятой главе показан процесс реализации ранее оговоренных лабораторных работ в развернутом полигоне.

В итоговой главе проведены некоторые тестовые испытания системы для проверки способности самовосстановления работы системы, удаленного доступа и процесса создания виртуальных машин.

Полученный в ходе работы полигон предоставляет следующие возможности:

· Создание и развертывание виртуальных машин эмулирующих работу сетевого оборудования разных производителей;

· Формирование пользователем сетевой инфраструктуры, необходимой для проведения практических занятий;

· Выполнение практических работ в режиме удаленного доступа;

Разработанный полигон так же способен помочь студентам получить практические навыки не только по системами мониторинга, но и администрирование компьютерных сетей и операционных систем.

Для использования данной технологии и концепции образовательного процесса в реальных условиях требуется развертывание на серверах с большей мощностью. Но данная система способна уменьшить расходы образовательного учреждения на покупку реального оборудования для практических работ, урезать расходы на технический персонал обслуживающий лаборатории (для обслуживания данного полигона потребуется один системный администратор).



Литература

1. Юлдиз Джеркалз. «EVE-NG Professional Cookbook» - EVE-NG LTD, 2018 - 226 c.

2. Андреа Далле Вакке. Zabbix. Практическое руководство. - «Издательство ДМК», 2017 - 356 с.

3. Олифер В.Г., Олифер Н.А. Новые технологии и оборудование IP-сетей СПб.: БХВ-Санкт-Петербург. 2000. 512 с.

4. Уилсон Эд. Мониторинг и анализ сетей. Методы выявления неисправностей. - М.: ЛОРИ, 2002. - 364 с.

5. Информационное обеспечение систем управления. Учебное пособие/Голенищев Э.П., Клименко И.В. - Ростов н/Д: Феникс, 2009.

6. Гультяев А. Виртуальные машины. Несколько компьютеров в одном. - СПб.: Питер, 2006. 120 с.

7. Немет Э., Снайдер Г., Хейн Т., Уэйли Б. Unix и Linux: руководство системного администратора, 4-е изд.: Пер. с англ. -- М.: ООО “И.Д. Вильямс”, 2012. -- 1312 с.

8. Таненбаум Э. Современные операционные системы. - СПб.: Питер, 2015. 1120 с.

9. Кофлер М. Linux. Установка, настройка администрирование. - Питер СПб, 2014, 768 с.

10. Роббинс А. Bash. Карманный справочник для системного администратора. - Вильямс, 2017, 152 с.

11. Andrea Dalle Vacche, Stefano Kewan Lee. Zabbix Network Monitoring Essentials - PACKT Publishing, 2013, 231 c.

12. Wendel Odom. CCNA Routing and Switching. Official Cert Guide. - ciscopress.com, 2018, 1452 c.

...