Решение задач vipnet linux. vipnet_linux решение задач. Руководство администратора
Скачать 1.91 Mb.
|
Name, так и в ID. Кнопка Search next предназначена для быстрого поиска следующего элемента списка, удовлетворяющего ранее выбранной подстроке поиска. Для выполнения запроса журнала по заданным параметрам нажмите кнопку Find, расположенную в нижней части основного окна (см. Рисунок 2 на стр. 129). Для завершения просмотра журнала нажмите кнопку Exit. Список записей, найденных в журнале регистрации IP-пакетов, выводится в окне View results (см. Рисунок 5 на стр. 133). Записи упорядочены по времени регистрации пакета. Список состоит из следующих колонок: Дата и время регистрации события. Интерфейс, на котором зарегистрировано событие. Направление движения зарегистрированного пакета: «<» исходящие, «>» входящие и флаги события: o C – шифрованный пакет; o B – широковещательный пакет; o D – блокированный пакет; o T – транзитный (маршрутизируемый) пакет; o R – пакет будет обработан правилами NAT открытой сети; o N – пакет был обработан правилами NAT открытой сети. Протокол. IP-адрес источника. Местный порт для протоколов TCP и UDP. IP-адрес назначения. Порт удаленного компьютера для протоколов TCP и UDP. ViPNet Coordinator Linux. Руководство администратора | 133 В нижней части окна отображается информация по выбранному в списке событию: Название события, присвоенного IP-пакету (см. « События, отслеживаемые ПО ViPNet Coordinator Linux » на стр. 175). Интерфейс. Протокол. Размер пакета. Показывается суммарный размер всех пакетов, относящихся к данному событию, если счетчик больше единицы. Для зашифрованных пакетов показывается полный размер пакетов со всеми служебными заголовками, необходимыми для работы защищенной сети. Число пакетов, относящихся к данному событию. Узел отправителя. Узел получателя. Рисунок 5: Вывод списка найденных записей Для любой выбранной в списке записи можно просмотреть более детальную информацию, для этого нажмите клавишу Enter. ViPNet Coordinator Linux. Руководство администратора | 134 Рисунок 6: Детальная информация о событии Полученный список пакетов можно экспортировать в текстовый файл, для этого в окне View Results нажмите кнопку F2. При этом предлагается выбрать файл, в который будет экспортирован журнал, или ввести его имя вручную. В файл экспорта записываются все поля, которые выводятся в окне View Results. Информация о размере пакетов поддерживается, начиная с версии 2.8-157. При установке этой или более поздней версии поверх более старой журналы пакетов преобразуются к новому формату, однако информация о размере для пакетов, записанных старой версией, будет недоступна и отображается как N/A (Not available). При удаленном просмотре журнала более старой версии информация о размере пакетов также недоступна и не показывается. Это происходит и при удаленном просмотре журнала новой версии с компьютера, где установлена старая версия. В нижней части окна со списком найденных в журнале записей (см. Рисунок 5 на стр. 133) расположены поля Total In и Total Out, в которые помещается информация о суммарном размере входящих и исходящих пакетов соответственно. Суммарный размер считается для всех пакетов, которые были получены в результате запроса. Если для каких-либо записей журнала пакетов информации о размере пакетов нет, то эти записи не учитываются при подсчете объема трафика. В этом случае после размера в соответствующем поле (Total In и/или Total Out) отображается звездочка – признак того, что не весь трафик учтен. Если же во всех найденных записях нет информации о размере пакетов, то в соответствующем поле (Total In и/или Total Out) отображается N/A (звездочка не отображается). ViPNet Coordinator Linux. Руководство администратора | 135 Единицы измерения при отображении суммарного размера выбираются следующим образом: если суммарный размер меньше 100 килобайт, то размер отображается в байтах и к числу добавляется суффикс «b»; если суммарный размер больше 100 килобайт, но меньше 100 мегабайт, то размер отображается в килобайтах и к числу добавляется суффикс «Kb»; если суммарный размер больше 100 мегабайт, то размер отображается в мегабайтах и к числу добавляется суффикс «Mb». ViPNet Coordinator Linux. Руководство администратора | 136 Программа просмотра информации о защищенном узле Программа предназначена для просмотра системной и статистической информации, получаемой от локального или удаленного защищенного узла. Системная информация включает в себя версию управляющего демона и драйвера, установленных на компьютере, идентификатор и имя узла, общие сведения о каждом интерфейсе (IP-адрес, режим безопасности и т.п.). Статистическая информация включает в себя информацию об обработке входящих и исходящих IP-пакетов для заданного интерфейса. Примечание. Слово Disabled , присутствующее в информации об интерфейсе, указывает на его недоступность. Для недоступных интерфейсов не выводится информация об IP-адресах и статистическая информация. Программа называется iplir_remote_info и помещается после установки в каталог /sbin . Она запускается из управляющего скрипта iplir командами iplir info и iplir ifinfo . При запуске программа считывает конфигурационный файл /etc/iplirnetpsw . В первой строке этого файла должно быть указано доменное имя или IP-адрес узла, информацию о котором нужно просматривать. Остальные строки игнорируются. По умолчанию после инсталляции ПО файл /etc/iplirnetpsw содержит одну строку с адресом 127.0.0.1, то есть предполагается просмотр информации о себе. Если в файле /etc/iplirnetpsw указан IP-адрес удаленного узла, то после запуска программа запрашивает пароль администратора сети ViPNet. По команде iplir info программа выводит системную и статистическую информацию для первого сетевого интерфейса в системе. Выводится следующая статистическая информация: Non-encrypted packets passed (Обработано незашифрованных IP-пакетов) – количество принятых и отправленных незашифрованных пакетов. Non-encrypted packets dropped (Блокировано незашифрованных IP-пакетов) – количество входящих и исходящих блокированных незашифрованных пакетов. Encrypted packets passed (Обработано зашифрованных IP-пакетов) – количество принятых расшифрованных и отправленных зашифрованных пакетов. ViPNet Coordinator Linux. Руководство администратора | 137 Encrypted packets dropped (Блокировано зашифрованных IP-пакетов) – количество входящих и исходящих блокированных зашифрованных пакетов. Non-encrypted broadcast packets passed (Обработано незашифрованных широковещательных сообщений) – количество принятых и отправленных незашифрованных широковещательных сообщений. Non-encrypted broadcast packets dropped (Блокировано незашифрованных широковещательных сообщений) – количество входящих и исходящих блокированных незашифрованных широковещательных сообщений. Encrypted broadcast packets passed (Обработано зашифрованных широковещательных сообщений) – количество принятых и отправленных зашифрованных широковещательных сообщений. Encrypted broadcast packets dropped (Блокировано зашифрованных широковещательных сообщений) - количество входящих и исходящих блокированных зашифрованных широковещательных сообщений. Для просмотра информации о других сетевых интерфейсах (в том случае, если на компьютере установлено несколько сетевых адаптеров) необходимо использовать команду iplir ifinfo . При этом вначале надо использовать команду iplir info , которая показывает список интерфейсов узла, и затем использовать команду iplir ifinfo , задав в ней имя нужного интерфейса, например iplir ifinfo eth1 Адрес узла, информацию о котором нужно получить, можно задать не только в файле /etc/iplirnetpsw , но также непосредственно в командах iplir info и iplir ifinfo . В команде iplir ifinfo адрес узла должен быть указан после имени интерфейса, например iplir ifinfo eth1 10.0.2.40 ViPNet Coordinator Linux. Руководство администратора | 138 Программа просмотра информации о состоянии системы защиты от сбоев Программа предназначена для просмотра информации о текущем состоянии системы защиты от сбоев (см. « Система защиты от сбоев » на стр. 120). Данная информация включает в себя: версию ПО ViPNet Coordinator Linux и демона failoverd, установленных на узле; идентификатор и имя узла; режим работы системы защиты от сбоев (одиночный или режим кластера горячего резервирования серверов); локальное время на узле; общую загрузку CPU; текущую информацию о состоянии управляющего демона, демонов mftpd и failoverd. Программа называется failover_info и помещается после исталляции ПО в каталог /sbin . Обычно она запускается из управляющего скрипта failover командой failover info . При таком запуске программа считывает конфигурационный файл /etc/iplirnetpsw . По команде failover info программа выводит информацию на текущую консоль. Если демон failoverd остановлен, то выводится только сообщение о режиме работы: Failover is in Если демон failoverd запущен, то при работе в одиночном режиме выводится следующая информация: Versions: ViPNet 3.6.0 (475), daemon 1.3 (14) Workstation configured for ID 10E1079E (Vipnux-_1_3) The workstation works in a single mode of protection against failures Workstation time (utc: 1174558030) Thu Mar 25 13:07:10 2010 failover mode * single – режим работы системы защиты от сбоев; ViPNet Coordinator Linux. Руководство администратора | 139 failover uptime * 6d 0:23 – время работы демона failoverd; total cpu * 0% – общая загрузка CPU в системе; failover state * works – состояние демона failoverd; failover cpu * 0% – загрузка CPU демоном failoverd; iplir state * works – состояние управляющего демона iplircfg; iplir cpu * 0% – загрузка CPU демоном iplircfg; mftp state * stopped – состояние демона mftpd; mftp cpu * 0% – загрузка CPU демоном mftpd. При выводе информации используются следующие обозначения режимов: single – одиночный режим работы; active – активный режим кластера горячего резервирования серверов; passive – пассивный режим кластера горячего резервирования серверов. Используемые обозначения состояний: works – приложение работает корректно (с точки зрения системы защиты от сбоев); stopped – приложение остановлено пользователем; unknown – состояние приложения неизвестно. Данное состояние может быть определено в случае, если был идентифицирован сбой контролируемого приложения, попытка его перезапуска, но данных о его корректном старте пока нет. Формат вывода информации при работе в режиме кластера горячего резервирования серверов приведен в документе «ViPNet Coordinator Linux. Система защиты от сбоев. Руководство администратора». ViPNet Coordinator Linux. Руководство администратора | 140 Программа смены пароля пользователя Программа предназначена для смены пароля пользователя ViPNet. Поскольку пароли при начальной установке назначаются администратором сети ViPNet, у пользователя может возникнуть необходимость изменить пароль после установки. Программа называется iplirpasswd и помещается после установки в каталог /sbin Обычно она запускается из управляющего скрипта iplir командой iplir passwd . Перед сменой пароля необходимо остановить службы ViPNet (управляющий демон iplircfg, демон системы защиты от сбоев failoverd, транспортный модуль mftpd). После смены пароля необходимо запустить службы ViPNet. При смене пароля программа запрашивает у пользователя старый пароль. Если введенный пароль неверен, программа завершает свою работу. Если пароль верен, пользователю предлагается ввести новый пароль в режиме экранирования символов, т.е. при вводе символы пароля не отображаются на экране. В случае успешной смены пароля программа выводит соответствующее сообщение и завершает свою работу. При этом новый пароль шифруется (независимо от того, был или не был зашифрован старый пароль) и сохраняется в файле /etc/iplirpsw в зашифрованном виде. ViPNet Coordinator Linux. Руководство администратора | 141 Программа расклеивания дистрибутива ключевых баз Программа unmerge предназначена для расклеивания дистрибутива ключевых баз ViPNet. Ключевые базы, которые передаются администратору сетевого узла администратором сети ViPNet, представляют собой один файл с расширением .dst , который затем нужно расклеить с помощью утилиты unmerge . После инсталляции ПО эта утилита помещается в каталог /sbin Программа unmerge имеет следующий формат: unmerge [-f] <файл_дистрибутива> <каталог_распаковки> , где -f – необязательный ключ для распаковки без подтверждения очистки каталога; <файл_дистрибутива> – файл, содержащий дистрибутив ключевых баз ViPNet; <каталог_распаковки> – каталог для распаковки. Программа unmerge расклеивает заданный файл дистрибутива в заданный каталог. Если каталог не существует, то он автоматически создается. Если каталог существует и он не пустой, то выдается соответствующее предупреждение и запрашивается подтверждение на продолжение. В случае согласия перед распаковкой из указанного каталога удаляются все данные. В случае отказа программа завершает работу. Если указан необязательный ключ –f , то подтверждение на очистку каталога не запрашивается – программа автоматически удаляет из каталога все данные. ViPNet Coordinator Linux. Руководство администратора | 142 Программа работы с конфигурациями ViPNet В настоящее время конфигурационные файлы, справочники и ключевые базы в ViPNet Coordinator Linux никак не защищены от случайного искажения в них информации в результате ошибок ПО или ошибочных действий пользователя. В частности, это может привести к тому, что в некоторых случаях после обновления ключевых баз и/или справочников конфигурационные файлы искажаются, и работа системы нарушается. Во избежание таких ситуаций в состав ViPNet Coordinator Linux включена система сохранения файлов конфигурации, справочников и ключевых баз (в дальнейшем - конфигурация) таким образом, чтобы пользователь мог сохранить текущую конфигурацию, загрузить одну из ранее сохраненных или удалить имеющуюся сохраненную конфигурацию. При этом перед проведением обновления в зависимости от настроек транспортного модуля MFTP текущая конфигурация может быть сохранена автоматически (автосохраненная конфигурация). Загрузка сохраненной пользователем конфигурации происходит только вручную по команде пользователя, при этом текущая конфигурация теряется. Однако перед загрузкой пользователю предлагается сохранить текущую конфигурацию для возможного использования в будущем. Удаление сохраненных пользователем конфигураций также производится только вручную. Существует два типа конфигурации: Частичная конфигурация (partial). Частичная конфигурация включает в себя все конфигурационные файлы компонентов ViPNet, в том числе файлы iplir.conf , mftp.conf , failover.ini , policy.conf и т.д. Полная конфигурация (full). Полная конфигурация включает в себя все файлы частичной конфигурации, а также все справочники и ключевые базы ViPNet. В полную конфигурацию не включаются: временные служебные файлы, файлы журналов и очередь конвертов MFTP. Для управления конфигурациями в состав ПО ViPNet Coordinator Linux входит специальная утилита /sbin/iplir-config-manager . Она запускается из управляющего скрипта iplir , расположенного в каталоге /sbin ViPNet Coordinator Linux. Руководство администратора | 143 Внимание! Непосредственный вызов утилиты iplir-config-manager пользователем крайне нежелателен! Для работы с конфигурациями предназначены следующие команды: iplir config list [<версия>] – просмотр текущего набора сохраненных конфигураций в следующем формате: «Уникальное имя конфигурации», версия ПО ViPNet, с помощью которой была создана данная конфигурация (может отсутствовать), тип конфигурации, дата и время сохранения, дата и время загрузки. Например: "Config_1", full, saved on 21.03.2008 at 11:49, never loaded "Config_2", part, saved on 21.03.2008 at 11:49, never loaded "autosave-2005-03-24-17-05-31", full, saved on 24.03.2008 at 17:05, loaded at 01.04.2005 at 12:45 "rollback-2006-10-12", version 2.8.16, part, saved on 12.10.2006 at 11:30, never loaded версия - необязательный параметр, позволяющий фильтровать запрашиваемые конфигурации по версии ПО ViPNet, с помощью которой была создана данная конфигурация. Задается в следующем формате: Major.Minor.Subminor . Если данный параметр присутствует, то выводится информация только о тех конфигурациях, у которых версия ПО меньше или равна заданному параметру. В случае автосохранения имя конфигурации начинается со слова autosave . В случае rollback-конфигурации (см. « Откат на предыдущую версию ПО ViPNet Coordinator Linux » на стр. 51) имя конфигурации начинается со слова rollback iplir config save <имя> [<тип>] – сохранение текущей конфигурации заданного типа. имя – имя, под которым нужно сохранить конфигурацию. тип – тип конфигурации ( full или partial , по умолчанию full ). Если уже существует сохраненная конфигурация с заданным именем, созданная текущей установленной версией ПО, то утилита iplir config запрашивает пользователя, нужно ли перезаписать имеющуюся конфигурацию. |