Решение задач vipnet linux. vipnet_linux решение задач. Руководство администратора

ViPNet Coordinator Linux. Руководство администратора
|
119
пользователь может их отключить, и в этом случае команда iplir check включает их снова.

iplir info
– показывает информацию о локальном или удаленном защищенном узле (см. «
Программа просмотра информации о защищенном узле
» на стр. 136).

iplir view
– позволяет просматривать журнал трафика (см. «
Программа просмотра журнала регистрации IP-пакетов
» на стр. 128) локального или удаленного защищенного узла.

iplir passwd
– позволяет сменить пароль пользователя ViPNet (см. «
Программа смены пароля пользователя
» на стр. 140).

iplir config [команда]
– позволяет производить сохранение, восстановление, удаление и просмотр списка конфигураций ViPNet (см. «
Программа работы с конфигурациями ViPNet
» на стр. 142).

ViPNet Coordinator Linux. Руководство администратора
|
120
Система защиты от сбоев
Назначение системы защиты от сбоев
121
Состав системы защиты от сбоев и принципы ее работы
122
Управление системой защиты от сбоев
124
Настройка системы защиты от сбоев
125
6

ViPNet Coordinator Linux. Руководство администратора
|
121
Назначение системы защиты от сбоев
Система защиты от сбоев предназначена для создания отказоустойчивого решения на базе ПО ViPNet Coordinator Linux. Данная система имеет два режима функционирования:
1 Одиночный режим (режим одиночного Координатора).
2 Режим кластера (режим кластера горячего резервирования серверов).
При работе в одиночном режиме, который устанавливается автоматически при инсталляции ПО ViPNet Coordinator Linux, система защиты от сбоев выполняет функции, обеспечивающие постоянную работоспособность основных служб, входящих в состав
ПО:

постоянный контроль состояния служб и ведение статистики использования системных ресурсов;

обнаружение факта сбоя службы и осуществление последующих попыток восстановления работоспособности сбойного приложения;

предотвращение внутренних сбоев в работе самой системы защиты от сбоев;

предотвращение сбоев при обработке пакетов драйвером сетевой защиты iplir.
Режим кластера горячего резервирования обеспечивает передачу функций вышедшего из строя сервера другому (резервному) серверу. При работе в режиме кластера система защиты от сбоев также выполняет функции одиночного режима, т.е. обеспечивает постоянную работоспособность основных служб, входящих в состав ПО. Подробное описание режима кластера горячего резервирования приведено в документе «ViPNet
Coordinator Linux . Система защиты от сбоев. Руководство администратора». В данном документе содержится описание одиночного режима работы системы защиты от сбоев.

ViPNet Coordinator Linux. Руководство администратора
|
122
Состав системы защиты от сбоев и принципы ее работы
Система защиты от сбоев состоит из драйвера и программы-демона, работающей в фоновом режиме. Драйвер watchdog работает на низком уровне и в большинстве случаев сохраняет работоспособность даже в случаях, когда система уже не реагирует на внешние события. В зависимости от настройки параметра reboot
(см. «
Настройка системы защиты от сбоев
» на стр. 125) программа-демон failoverd при запуске регистрируется в драйвере и периодически опрашивает его, подтверждая работоспособность системы.
Если по истечении заданного промежутка времени драйвер обнаруживает, что опроса не было, то он перезагружает систему. Перед этим он делает попытку записать на диск кэш- буферы системы, чтобы не возникло ошибок в файловой системе, однако это не всегда возможно. При корректной остановке программы-демона (например, для изменения настроек системы защиты от сбоев) она сообщает драйверу об этом, и драйвер перестает следить за временем опроса, так что система не будет перезагружена. Такой механизм обеспечивает предотвращение внутренних сбоев в демоне failover d
При старте ОС демон системы защиты от сбоев failoverd осуществляет старт подконтрольных служб, а также дальнейшее слежение за ними. Демон failoverd постоянно контролирует работоспособность следующих служб ViPNet:

управляющий демон (iplircfg);

транспортный модуль MFTP (mftpd).
Контроль работы этих служб осуществляется путем их регистрации в системе защиты от сбоев в момент старта с установкой периода оповещения. В процессе работы контролируемая служба (приложение) периодически определяет свое состояние и оповещает о нем систему слежения. Если контролируемое приложение в течение периода оповещения не сообщило о своем состоянии или сообщило о внутреннем сбое, то система защиты от сбоев идентифицирует сбой приложения и инициирует процедуру восстановления работоспособности этого приложения. Для этого сначала делается попытка корректной остановки сбойного приложения. Если эта попытка оказывается неудачной, то осуществляется принудительная «некорректная» остановка приложения.
После этого система защита от сбоев перезапускает остановленное приложение.
В процессе работы демон failoverd ведет статистику сбоев для каждого контролируемого приложения, в том числе и для самого себя. Если обнаруживается, что для какого-либо из приложений произошло 5 сбоев подряд, т.е. в течении 5-и попыток восстановления

ViPNet Coordinator Linux. Руководство администратора
|
123
работоспособности приложение не смогло корректно стартовать, то делается вывод о полной неработоспособности приложения. В этом случае, в зависимости от настроек системы защиты от сбоев (см. «
Настройка системы защиты от сбоев
» на стр. 125), производится либо перезагрузка ОС, либо остановка сбойного приложения и прекращение слежения за ним.
Система защиты от сбоев отслеживает также сбои, которые могут произойти в потоках обработки пакетов драйвера сетевой защиты iplir. Для этого как следящее, так и контролируемые приложения при старте осуществляют специальный запрос к драйверу iplir. Если в ответ на этот запрос был получен код ошибки, соответствующий сбою одного из потоков обработки пакетов в драйвере, то контролируемое приложение сообщает факт внутреннего сбоя следящему приложению, которое в свою очередь отрабатывает стандартную логику, описанную выше. Помимо старта, управляющий демон осуществляет периодические запросы к драйверу iplir и в процессе своей работы
(запрос информации о журнале пакетов). При этом логика обнаружения сбоев в потоках обработки пакетов такая же, как при старте контролируемого приложения. Описанный механизм позволяет оперативно (от нескольких десятков секунд до нескольких минут – в зависимости от производительности компьютера и ряда других внешних факторов) отследить факт сбоя в работе драйвера и осуществить корректирующие действия
(перезагрузить компьютер в случае включения соответствующей настройки). Однако этот механизм не сможет отследить все возможные сбои в драйвере iplir, например, зависание одного из потоков обработки и т.д. Поэтому его нельзя расценивать как универсальное средство от любого типа сбоев уровня драйверов.
Если контролируемое приложение было корректно остановлено администратором системы с помощью соответствующей команды (
iplir stop или mftp stop
), то оно производит дерегистрацию в системе защиты от сбоев, слежение за ним отключается. В этом случае для дальнейшей работы администратор должен вручную запустить приложение (соответственно командой iplir start или mftp start
).
Если при запуске демона failoverd выясняется, что какие-либо из подконтрольных демонов были остановлены вручную, то об этом выдается предупреждение в syslog, а также на терминал, если он есть. Предупреждение выдается также в случае, если в течение 10-и проверок подряд одного демона он находится в режиме ручной остановки.

ViPNet Coordinator Linux. Руководство администратора
|
124
Управление системой защиты от сбоев
Набор действий администратора по управлению системой защиты от сбоев в одиночном режиме работы сведен к минимуму: администратор может запустить или остановить демон failoverd. Управление производится с помощью управляющего скрипта failover, который помещается при установке в каталог
/sbin
Запуск системы защиты от сбоев производится командой failover start
. При этом запускается демон failoverd. Остановка системы производится командой failover stop
При этом демон failoverd завершает работу, сообщая об этом драйверу.
При загрузке системы автоматически загружается драйвер watchdog и выполняется команда failover start
. В результате загружается демон failoverd, который в свою очередь производит старт остальных контролируемых служб ПО ViPNet Coordinator
Linux (iplircfg, mftpd).
Примечание. При выполнении команды failover start вручную в одиночном режиме перезапуск контролируемых приложений не производится.
Запрос информации о текущем состоянии системы защиты от сбоев производится командой failover info
(см. «
Программа просмотра информации о состоянии системы защиты от сбоев
» на стр. 138).

ViPNet Coordinator Linux. Руководство администратора
|
125
Настройка системы защиты от сбоев
Администратор может настраивать параметры работы системы защиты от сбоев путем редактирования файла failover.ini
, расположенного в каталоге
/еtc
Файл конфигурации системы защиты от сбоев состоит из нескольких секций. Каждая секция начинается со строки, содержащей имя секции в квадратных скобках. Каждая секция содержит несколько параметров. Строка с параметром начинается с имени параметра, затем идет знак «=» и пробел, затем значение этого параметра. Для настройки системы в одиночном режиме работы служат следующие параметры:

Секция
[misc]
содержит параметр, отвечающий за действия системы при обнаружении полной неработоспособности любого из контролируемых приложений: o reboot
– указывает, должен ли демон failoverd включать механизм регистрации в драйвере watchdog и должна ли производиться перезагрузка ОС в случае, если какое-либо из контролируемых приложений не может восстановить свою работоспособность (см. «
Состав системы защиты от сбоев и принципы ее работы
» на стр. 122). Может принимать значение yes или no
. Значение yes включает механизм перезагрузки системы, no
– выключает. Параметр является обязательным.
При установке предыдущих версий ПО ViPNet Coordinator Linux (до 2.8.18) параметр reboot устанавливается автоматически в зависимости от значения параметра usewatchdog секции
[watchdog]
(данная секция является устаревшей и удаляется из файла конфигурации при установке текущей версии ПО ViPNet
Coordinator Linux). Если параметр watchdog был включен (имел значение on
), то в качестве значения параметра reboot устанавливается yes
, в противном случае
– no

Секция
[debug]
определяет параметры ведения журнала устранения неполадок демона failoverd. Она содержит следующие параметры: o debuglevel
– уровень протоколирования, число от -1 до 5. Значение параметра
-
1
отключает ведение журнала.
Значение по умолчанию
3
o debuglogfile
– идентификатор, определяющий место хранения журнала.
Формат данного идентификатора следующий:
<спецификатор протокола>:<спецификатор URL для данного протокола>
. Подробное описание возможных значений данного параметра приведено ниже. Значение параметра по

ViPNet Coordinator Linux. Руководство администратора
|
126
умолчанию file:/var/log/failover.debug.log
, что соответствует записи журнала в указанный файл.
Перед редактированием файла конфигурации failover.ini нужно остановить демон failoverd командой failover stop
, а после редактирования запустить его снова командой failover start

ViPNet Coordinator Linux. Руководство администратора
|
127
Консольные утилиты
Программа просмотра журнала регистрации IP-пакетов
128
Программа просмотра информации о защищенном узле
136
Программа просмотра информации о состоянии системы защиты от сбоев
138
Программа смены пароля пользователя
140
Программа расклеивания дистрибутива ключевых баз
141
Программа работы с конфигурациями ViPNet
142
7

ViPNet Coordinator Linux. Руководство администратора
|
128
Программа просмотра журнала регистрации IP-пакетов
Программа dbviewer предназначена для просмотра журнала регистрации IP-пакетов, который ведется управляющим демоном. При работе с программой просмотра предоставляется возможность вывести записи журнала, отобранные по следующим параметрам:

интервал дат;

сетевой интерфейс, на котором был обработан пакет;

IP-протокол;

направление пакета – входящий или исходящий;

тип события;

диапазон или одно значение IP-адреса отправителя и/или получателя пакета;

диапазон или одно значение местного порта для TCP, UDP;

диапазон или одно значение удаленного порта для TCP, UDP;

имя пользователя защищенной сети – отправителя и/или получателя пакета.
Программа dbviewer после установки помещается в каталог
/sbin
. Она запускается из управляющего скрипта iplir с помощью команды iplir view
. После запуска программы экран терминала принимает следующий вид:

ViPNet Coordinator Linux. Руководство администратора
|
129
Рисунок 2: Задание параметров поиска в журнале регистрации IP-пакетов
По умолчанию предполагается просмотр собственного журнала. Если необходимо просмотреть журнал удаленного узла, надо включить опцию External Node, после чего появится запрос пароля администратора сети ViPNet. Если введен правильный пароль, справа от опции External Node появится кнопка Select. По этой кнопке открывается окно со списком защищенных узлов, в котором надо выбрать нужный узел. Для успешного подсоединения к удаленному узлу необходимо, чтобы узел был доступен на уровне
TCP/IP и на нем работала программа управления. Если подсоединиться не удается, программа сообщает об этом и завершает свою работу.
Для поиска записей в журнале регистрации IP-пакетов можно задать следующие параметры:

Date/time interval – интервал дат и времени, в котором будет производиться поиск записей о регистрации пакетов, в формате ДД.ММ.ГГГГ ЧЧ:ММ:СС.

Records num – количество выводимых записей.

Interface – сетевой интерфейс (выбирается из списка доступных интерфейсов).
Доступным считается интерфейс, у которого существует журнал IP-пакетов. Поиск пакетов будет производиться в журнале выбранного интерфейса. В качестве параметра может быть указано имя интерфейса или значение All для работы со всеми интерфейсами.

Protocol – протокол для поиска среди всех пакетов только пакетов по заданному IP- протоколу.

ViPNet Coordinator Linux. Руководство администратора
|
130
В качестве параметра может быть указано имя протокола или значение All для работы со всеми протоколами.

Direction – направление прохождения пакета, может принимать одно из следующих значений: o
All – входящие и исходящие пакеты; o
Incoming – входящие пакеты; o
Outgoing – исходящие пакеты.

Check reverse – признак включения в журнал ответных пакетов от получателя отправителю.
Имеет смысл при указании конкретного IP-адреса (IP Filter) или узла (Node Filter) в качестве отправителя и/или получателя пакетов.

Flag filter – признаки для поиска среди всех пакетов только пакетов c одним или несколькими из заданных признаков: o
Drop – блокированные пакеты; o
Encrypted – зашифрованные пакеты; o
Broadcast – широковещательные пакеты; o
NAT – транслированные пакеты; o
Forward – транзитные пакеты.

Event – событие для поиска среди всех пакетов только пакетов с заданным событием.
Выбирается из списка, по умолчанию поиск производится среди всех событий.

IP Filter – показывает окно для задания следующих параметров запроса: o
Source IP address – All, диапазон или одиночное значение для допустимого IP- адреса отправителя пакета; o
Destination IP address – All, диапазон или одиночное значение для допустимого
IP-адреса получателя пакета; o
Source port – диапазон или одиночное значение для допустимого номера порта отправителя (0-65535) для протоколов TCP, UDP; o
Destination port – диапазон или одиночное значение для допустимого номера порта получателя (0-65535) для протоколов TCP, UDP.

Node Filter – показывает окно для задания параметров запроса по узлу отправителя и/или получателя: Source и/или Destination.

ViPNet Coordinator Linux. Руководство администратора
|
131
Рисунок 3: Задание параметров запроса по узлу отправителя и/или получателя
Для непосредственного выбора узла отправителя или получателя необходимо использовать соответствующие кнопки: Select source Node или Select destination
Node. При этом открывается окно со списком защищенных узлов и возможностью поиска в этом списке.
Рисунок 4: Список защищенных узлов для выбора отправителя или получателя
Окно выбора узлов содержит список всех защищенных узлов ViPNet, связанных с данным узлом. Узлы в списке отсортированы в алфавитном порядке. В левом столбце отображается шестнадцатеричный идентификатор узла. Помимо узлов, список содержит служебный элемент All, выбор которого соответствует фильтрации по всем узлам.

ViPNet Coordinator Linux. Руководство администратора
|
132
Для поиска узлов нажмите кнопку Search. При этом в отдельном окне отображается подстрока поиска с возможностью ручного ввода и выбора ранее введенной подстроки из выпадающего списка. В качестве критерия поиска можно использовать как имя узла, так и уникальный идентификатор узла, то есть поиск будет осуществляться на соответствие вхождения введенной подстроки как в