Волнения первого раскрытия
Введение
Первое раскрытие сети – это лучшее время. Это похоже на первую главу романа или первый день отдыха в экзотической стране. Советую сетевым менеджерам уповать на свой опыт, ибо грядет тяжелая работа, как за днем неизбежно следует ночь.
Первое раскрытие часто производится в отсутствие seedfile. Домены управления по умолчанию представляются набором подсетей, соединенных с системой NNM, где возможно только полное раскрытие. Часто эта среда является испытательной лабораторией. Целью раскрытия является проверка корректности взаимодействия сетевой инфраструктуры с NNM. В такой игре легко обнаружатся все очевидные проблемы.
В отсутствие seedfile домен управления пополняется слой за слоем вновь раскрытыми подсетями, которые управляются вручную. В осторожном и контролируемом режиме NNM нацеливается на интересующие области. Проще устанавливать местоположение проблемных устройств и иметь с ними дело, когда они раскрываются медленно и осторожно. NNM создает реестр сетевого и системного оборудования и вскрывает все типы конфигурационных проблем.
В большой сети нельзя позволить себе роскошь управляемого вручную автоматического раскрытия на каждой накопительной станции, поскольку это занимает слишком много времени. Вместо этого можно "словчить" с файлом seedfile, который часто представляет собой список маршрутизаторов внутри домена управления. Пользуясь опытом предыдущего раскрытия, можно установить фильтр раскрытия, чтобы обеспечить раскрытие только желательного оборудования. В seedfile часто бывают пропущены некоторые маршрутизаторы, а иногда перечисляются такие маршрутизаторы, которых нет в домене управления; поэтому в процессе раскрытия обычно работы приостанавливаются вручную для коррекции seedfile и очистки базы данных от нежелательных устройств.
Иногда кажется, что процесс раскрытия заторможен, и новые устройства появляются не так быстро, как обычно. В этом случае следует дать системе NNM указание опрашивать ближайшие маршрутизаторы и коммутаторы. Это заставит netmon немедленно приступить к сбору их ARP-кэшей, что, возможно, позволит идентифицировать IP-адреса подозрительных устройств. Иногда помогает простое выполнение ping.
Неоднородные строки сообществ SNMP – это проклятие сети и напасть для администратора, который должен включать их в конфигурацию NNM. Процесс раскрытия под управлением NNM не будет работать с неправильными строками сообществ. Лучше иметь "public" в качестве стандартной строки сообщества, а для реализации защиты устройств применять списки контроля доступа. В основном это проблема крупной сети. В небольших сетях с неоднородными строками сообществ управляться гораздо проще.
Раскрытие напрямую связано с демоном netmon. В файле netmon.lrf можно установить опции -q и -Q для управления размером очередей ping и SNMP. За выполнением netmon можно проследить в графической форме, используя выпадающее меню Performance:Network Polling Statistics. Можно также наблюдать за очередью опросов ICMP с помощью команды
snmpget localhost nnmICMPSecsUntilNextPoll
а за очередью опросов SNMP – с помощью команды
snmpget localhost nnmSNMPSecsUntilNextPoll
Когда раскрытие стабилизируется, подсхема Internet (иначе называемая Internet Submap) NNM часто переполняется, в то время как на LANscape пиктограммы сжимаются почти до точек. С загромождением схемы можно бороться путем контейнеризации подсхемы Internet и настройки параметров раскрытия уровня 2.
Для контейнеризации подсхемы Internet требуется стратегия обеспечения согласованности схемы для всех резервных управляющих станций. В противном случае в сбойных ситуациях пользователи столкнутся с различными схемами.
Настройки схем отнимают значительную часть времени и усилий. Схемы следует сохранять и копировать при любых изменениях подсхемы Internet.
Конструкторы схем в большой компании должны обмениваться производственным опытом. В ситуации взаимозависимости управляющих и накопительных станций изменения, выполненные в одном месте, влияют, по крайней мере, на управляющие станции.
Раскрытие без seedfile
А если администратор вообще не собирается определять seedfile и хочет запустить NNM и позволить ему начать раскрытие без этого файла? Что в таком случае представляет собой домен управления? Это локальная подсеть, в которой располагается система NNM. При раскрытии будет использоваться таблица маршрутизации, таблица интерфейсов и ARP-кэш системы NNM. Таблица маршрутизации будет подразумевать локальные маршрутизаторы. Таблица интерфейсов будет подразумевать локальные подсети, так что в действительности в исходном домене управления может присутствовать несколько подсетей. ARP-кэш обеспечит список IP-адресов, являющихся кандидатами на автоматическое раскрытие.
Когда уляжется шум, в принятой по умолчанию подсхеме Internet будут показаны управляемые локальные подсети, подсоединенные к системе NNM, управляемые маршрутизаторы, присутствующие в каждой подсети, и все неуправляемые (пшеничного цвета) подсети (действующие и вспомогательные), присутствующие на других интерфейсах этих маршрутизаторов. В этой точке процесс автоматического раскрытия остановится и сконцентрируется только на управляемых подсетях. Если не определены какие-либо фильтры раскрытия, то в конце концов может быть раскрыто любое устройство, IP-адрес которого обнаруживается в APR-кэше уже раскрытого локального SNMP-устройства. Как правило, ARP-кэши маршрутизаторов и серверов являются богатыми источниками данных о локальных IP-адресуемых устройствах.
Процедура автоматического раскрытия также умеет пользоваться информационными базами управления (Management Information Base, MIB) устройств подключения к среде (Media Access Unit, MAU), повторителей и мостов интеллектуальных концентраторов, мостов и коммутаторов. Для всех подобных устройств NNM сможет выяснить, каким образом связаны их физические порты, даже если эти устройства не имеют IP-адресов. В результате может получиться очень точное представление физической топологии.
Зачем ограничивать раскрытие только локальными подсетями? Возможно, следует подтвердить корректность базовой установки NNM, проверить работоспособность автоматического раскрытия и сделать это на локальной подсети, не затрагивая остальную, критически важную в производственных целях часть корпоративной сети. Желательно убедиться в том, что коммутаторы Ethernet работают должным образом, и что в NNM точно представлена физическая топология.
Раскрытие, управляемое вручную
Теперь, когда раскрыт исходный домен управления, следующим шагом могло бы быть осторожное управление (с использованием выпадающего меню Edit:Manage Objects ) несколькими подсетями, подсоединенными к локальным маршрутизаторам. Это соответствующим образом расширяет домен управления, что побуждает NNM к автоматическому раскрытию внутри этих новых подсетей. Если предположить, что в NNM уже определены строки сообществ SNMP, в новых управляемых подсетях, несомненно, будут раскрываться новые маршрутизаторы, а в подсхеме Internet новые маршрутизаторы будут наращиваться новыми подсоединенными к ним неуправляемыми подсетями. Осторожно продвигаясь и обеспечивая сходимость процесса автоматического раскрытия, можно вручную провести NNM через желательный домен управления. Этот процесс может добавить несколько часов к процессу раскрытия, но это контролируемый, дружественный процесс, который в любой момент может быть повернут вспять путем отказа в управлении (с использованием выпадающего меню Edit:Unmanage Objects ) нежелательными частями схемы сети.
Другое преимущество раскрытия, управляемого вручную, заключается в том, что в этом случае проще опознаются любые ненадежные агенты SNMP. Например, если вы только что управляли подсетью, а через минуту (после того, как раскрытие стабилизировалось) демон netmon выдает дамп памяти, сразу становится ясно, где находится проблемное устройство.
Если желательно изучить влияние процесса автоматического раскрытия на загрузку ЦП маршрутизатора Cisco, можно проследить за переменной MIB busyPer и обратить внимание на то, как возрастает и уменьшается ее значение, когда NNM обрабатывает ARP-кэш, таблицу маршрутизации и таблицу интерфейсов этого маршрутизатора. Можно использовать для этой цели браузер MIB ( Tools:SNMP MIB Browser ) и нажать на кнопку "graph", чтобы автоматически собрать данные и оформить их в виде диаграммы. Этот тип данных полезен для того, чтобы сетевые менеджеры поняли, как повлияет NNM на работу их маршрутизаторов, и убедились в том, что он никак не повредит их нормальному функционированию.
Еще одним преимуществом раскрытия, управляемого вручную, является то, что при этом встретятся все виды ошибок, одна за другой. Может быть упущена пиктограмма, может оказаться неправильной строка сообщества, в коммутаторе могут использоваться старые встроенные программы, ограничивающие возможности NNM для автоматического построения схемы, или устройство может некорректно проникать через фильтр раскрытия из-за опечатки.
Последнее преимущество раскрытия, управляемого вручную, состоит в том, что определяются трудно раскрываемые устройства. Например, для устройств, которые не взаимодействуют с другими устройствами или удаленными подсетями, не будет записей в ARP-кэшах локальных маршрутизаторов. В таких случаях только ручной тестовый опрос (pinging) этих устройств в системе NNM позволит NNM раскрыть их. Это связано с тем, что демон netmon слушает неформатированный (raw) сокет ICMP (Internet Control Message Protocol), отлавливает действия по тестовому опросу и собирает IP-адреса отвечающих устройств.
На начальной стадии, когда NNM раскрывает новые подсети и маршрутизаторы и начинает ими управлять, желательно дать NNM возможность перестроить подсхему Internet. Однако в определенный момент, когда эта схема становится перенасыщенной, следует отключить функцию автоматического построения схемы для подсхемы Internet и переместить пиктограммы в подходящие позиции. Это достаточно безопасно, поскольку процесс раскрытия полностью контролируется.