Решение задач vipnet linux. vipnet_linux решение задач. Руководство администратора

ViPNet Coordinator Linux. Руководство администратора
|
144

iplir config load <имя> [<версия>]
– восстановление конфигурации с заданным именем имя и версией версия
. Перед восстановлением конфигурации утилита iplir config спрашивает пользователя, хочет ли он сохранить текущую конфигурацию.
Рекомендуется согласиться и ввести имя, под которым будет сохранена текущая конфигурация до восстановления. Если пользователь отказывается сохранять текущую конфигурацию, то программа во избежание ошибок требует ввести специальную фразу.
Например:
Save current configuration [Y/n]? n
You are about to overwrite your existing configuration.
This is unsafe. To continue, type
>>> Yes, do as I say in response to the prompt:
>>>
В этом случае пользователю необходимо ввести фразу «
Yes, do as I say
» для продолжения восстановления. В противном случае надо нажать клавишу Enter, чтобы отменить восстановление. версия
– необязательный параметр, позволяющий указать версию ПО, к которой относится конфигурация. Задается в следующем формате:
Major.Minor.Subminor
Если параметр не указан, то команда относится только к сохраненным конфигурациям без информации о версии ПО. В случае, если в базе данных содержатся несколько конфигураций с одинаковыми именами, но различными версиями ПО, то для однозначной идентификации восстанавливаемой конфигурации данный параметр необходимо указать, иначе утилита выдаст соответствующее сообщение об ошибке.
При попытке восстановления конфигурации утилита iplir config сравнивает текущую версию ПО ViPNet и версию, к которой относится конфигурация. Если текущая версия ПО равна или больше версии, к которой относится конфигурация, то производится восстановление без дополнительного подтверждения. В противном случае пользователю сообщается, что конфигурация относится к более новой версии
ПО, и, возможно, потребуется вручную отредактировать файлы конфигурации, чтобы они были корректно восприняты (см. «
Откат на предыдущую версию ПО
ViPNet Coordinator Linux
» на стр. 51). Затем пользователю задается вопрос, действительно ли он хочет восстановить эту конфигурацию. При отрицательном ответе конфигурация не восстанавливается.

iplir config delete <имя> [<версия>]
– удаление сохраненной конфигурации с заданным именем имя
. В качестве имени можно указывать символы подстановки
(wildcards) «*» и «?», которые обозначают любое количество символов и любой один символ соответственно. Таким образом, можно производить удаление конфигураций по маске имени. Например:

ViPNet Coordinator Linux. Руководство администратора
|
145
iplir config delete “Config_*”
iplir config delete “autosave-2005-08-??-*” 2.8.16
Если под заданный шаблон имени подходит более одной конфигурации, то выдается предупреждение и у пользователя запрашивается подтверждение на удаление.
Внимание! При использовании символов подстановки они должны обязательно экранироваться с помощью двойных кавычек. В противном случае команда может быть неправильно интерпретирована оболочной (shell) операционной системы, что может привести к некорректным результатам работы. версия
– необязательный параметр, позволяющий указать версию ПО, к которой относится конфигурация. Задается в следующем формате:
Major.Minor.Subminor
Если параметр не указан, то команда относится только к сохраненным конфигурациям без информации о версии ПО. В случае, если параметр версия не указан, а параметр имя указан в виде маски (используются символы подстановки), будут удалены все конфигурации, попадающие под заданную маску имени, независимо от версии ПО.
Перед проведением операций сохранения и восстановления конфигураций должны быть остановлены все службы ViPNet. Если это условие не выполняется, то скрипт iplir выдаст соответствующее сообщение и не будет выполнять никаких действий.

ViPNet Coordinator Linux. Руководство администратора
|
146
Тонкая настройка ПО ViPNet
Coordinator Linux
Для чего нужна тонкая настройка
147
Изменение основных номеров устройств, используемых драйверами
148
Фрагментирование шифрованных ViPNet-пакетов
149
Настройка максимального размера очереди пакетов в драйвере
150
Управление числом потоков в драйвере
151
Настройка системного времени ОС Linux при использовании ПО ViPNet
152
Ручное переназначение виртуальных адресов узлов
153
8

ViPNet Coordinator Linux. Руководство администратора
|
147
Для чего нужна тонкая настройка
Сведения о тонкой настройке предназначены только для квалифицированных системных администраторов, которым может потребоваться настроить ViPNet на работу в различных нестандартных условиях.
В состав ViPNet входят следующие драйверы:

drviplir
– основной сетевой драйвер;

itcswd
– драйвер watchdog;

itcscrpt
– крипто-драйвер.
В некоторых ситуациях, описанных ниже, бывает необходимо, чтобы какой-либо из этих драйверов работал в режиме, отличном от режима по умолчанию. Это делается путем передачи драйверу параметров при его загрузке командой insmod
. Имя параметра для передачи драйверу имеет вид:
<имя_драйвера>_<имя_параметра>
. После имени параметра указывается знак равенства, после которого следует значение параметра.
Для загрузки драйверов ViPNet с параметрами следует добавить нужный параметр для переменной, содержащей набор параметров соответствующего драйвера. Эти переменные задаются в файле
/etc/iplirSKnums
. Для драйвера drviplir параметры задаются в переменной
DRVIPLIR_PARAMS
, для драйвера itcswd
- в переменной
ITCSWD_PARAMS
, для драйвера itcscrpt
- в переменной
ITCSCRPT_PARAMS.

ViPNet Coordinator Linux. Руководство администратора
|
148
Изменение основных номеров устройств, используемых драйверами
Все драйверы ViPNet используют динамически выделяемые основные номера устройств
(
major device number
). При этом, получив динамический номер, они самостоятельно создают специальный файл (
device node
), посредством которого прикладные программы обращаются к драйверу. Таким образом, прикладные программы никак не зависят от используемого драйвером основного номера устройства.
Однако при совместной работе драйверов ViPNet с другими драйверами, которые не используют механизм динамического выделения основных номеров устройств, может получиться так, что динамически выделенный драйверу ViPNet номер совпадет с номером, используемым другим драйвером. Если обнаруживается такая ситуация, то существует возможность задать драйверам ViPNet статические номера устройств, которые они будут использовать. Для задания статических номеров устройств используется параметр
<имя_драйвера>_major
. Значением такого параметра должен быть основной номер устройства, которое должен использовать драйвер. Например, если требуется загрузить драйвер drviplir так, чтобы он использовал номер 250, необходимо добавить в переменную
DRVIPLIR_PARAMS
следующую запись: drviplir_major=250
Разумеется, нужно задавать всем драйверам ViPNet разные номера.

ViPNet Coordinator Linux. Руководство администратора
|
149
Фрагментирование шифрованных
ViPNet-пакетов
В предыдущих версиях ПО драйвер ViPNet уменьшал размер MTU на всех интерфейсах, которые обрабатываются ViPNet. Это делалось во избежание фрагментирования пакетов вследствие добавления служебных данных ViPNet.
Начиная с версии 2.8-284, драйвер ViPNet использует новую технологию управления
MSS для TCP-соединений, которая позволяет избежать фрагментирования пакетов без изменения MTU на интерфейсе. Поэтому параметр drviplir_mtudiff больше не используется драйвером. При обновлении старой версии ПО ViPNet данный параметр удаляется из файла
/etc/iplirSKnums
!

ViPNet Coordinator Linux. Руководство администратора
|
150
Настройка максимального размера очереди пакетов в драйвере
В процессе обработки сетевых пакетов драйвер ViPNet использует специальную очередь, в которую помещаются все входящие и исходящие пакеты со всех сетевых интерфейсов.
По мере обработки пакетов размер очереди может как увеличиваться, так и уменьшаться в зависимости от интенсивности трафика, количества интерфейсов, производительности компьютера и т.д. Для того, чтобы избежать лишнего расхода оперативной памяти, приводящего к нестабильной работе системы, размер очереди имеет ограничение, которое по умолчанию равно 2048. Если в очереди содержится максимальное количество пакетов, то остальные входящие и исходящие пакеты будут блокироваться до тех пор, пока в очереди не появится свободное место. При достижении размера очереди 90% от максимального драйвер информирует пользователя об этом специальным сообщением. В типичных случаях сетевого трафика вероятность возникновения таких ситуаций очень мала. Однако в некоторых частных случаях, например при достаточно интенсивном UDP- трафике, очередь может переполняться. Для предотвращения появления таких ситуаций предусмотрен параметр drviplir_pqsize
, позволяющий изменять ограничение на размер очереди драйвера. Данный параметр нужно добавить в переменную
DRVIPLIR_PARAMS
файла
/etc/iplirSKnums
, например: drviplir_pqsize=4096
. В этом случае ограничение на размер очереди станет равно 4096.

ViPNet Coordinator Linux. Руководство администратора
|
151
Управление числом потоков в драйвере
Начиная с версии 3.6.0, системным администраторам предоставляется возможность управлять числом потоков в драйвере ViPNet. Для этого используется параметр threads_count
, задаваемый в переменной
DRVIPLIR_PARAMS
. По умолчанию threads_count=1
, что соответствует работе драйвера в однопоточном режиме.
Чтобы включить многопоточность, необходимо либо удалить из переменной
DRVIPLIR_PARAMS
параметр threads_count
, либо явно указать в этом параметре число потоков. При отсутствии в переменной
DRVIPLIR_PARAMS
параметра threads_count число потоков будет равно количеству процессоров в системе.
При переходе на текущую версию ПО с более ранних версий автоматически устанавливается однопоточный режим.

ViPNet Coordinator Linux. Руководство администратора
|
152
Настройка системного времени ОС
Linux при использовании ПО ViPNet
Если в процессе работы ПО ViPNet администратору узла потребовалось изменить системное время, то перед изменением обязательно необходимо остановить следующие службы ViPNet: демон системы защиты от сбоев (
failoverd
), управляющий демон
(
iplircfg
) и транспортный модуль (
mftpd
), а после установки нового времени запустить их снова вручную. Данные службы периодически считывают и используют при анализе текущее системное время, поэтому если изменить время в процессе их функционирования, то может нарушиться логика работы отдельных подсистем. Наиболее опасен в данной ситуации перевод системных часов назад.

ViPNet Coordinator Linux. Руководство администратора
|
153
Ручное переназначение виртуальных адресов узлов
В стандартном режиме работы управляющий демон автоматически назначает виртуальные адреса (см. «
Общие принципы назначения виртуальных адресов
» на стр.
76) новым сетевым узлам, добавленным в связи. При этом виртуальные адреса для уже существующих узлов не изменяются. В случае удаления узла из связей соответствующий виртуальный адрес остается неиспользуемым, и образуется «дырка» в текущем диапазоне виртуальных адресов. В некоторых случаях данный алгоритм является неэффективным, например, если необходимо в силу определенных причин использовать ограниченный диапазон виртуальных адресов. В таком случае администратору необходим механизм, который позволит произвести повторное назначение виртуальных адресов узлам с заполнением «дырок», образовавшихся ранее при удалении связей с узлами.
Для повторного назначения виртуальных адресов узлов можно использовать параметр startvirtualiphash
(см. «
Секция [virtualip]
» на стр. 75), который содержит хэш стартового виртуального адреса (параметр startvirtualip
). С помощью данного параметра управляющий демон при старте определяет, был ли изменен стартовый виртуальный адрес, и в случае, если стартовый виртуальный адрес был изменен, производит переназначение виртуальных адресов для всех узлов. Чтобы повторно переназначить виртуальные адреса без изменения стартового виртуального адреса, необходимо остановить управляющий демон и удалить строку, содержащую параметр startvirtualiphash
, а после этого снова запустить управляющий демон. В этом случае произойдет переназначение виртуальных адресов для всех сетевых узлов, начиная с адреса, указанного в параметре startvirtualip
. При этом все образовавшиеся ранее
«дырки» будут заполнены.

ViPNet Coordinator Linux. Руководство администратора
|
154
Протоколирование событий, ведение и просмотр журналов
Сбор информации о состоянии ПО ViPNet с использованием протокола SNMP 155
Контроль дампов аварийного завершения программы ViPNet Linux
158
Журналы устранения неполадок ПО ViPNet Linux
160
9

ViPNet Coordinator Linux. Руководство администратора
|
155
Сбор информации о состоянии ПО
ViPNet с использованием протокола
SNMP
ViPNet Coordinator Linux имеет возможность взаимодействия с сервером SNMP, что позволяет удаленно получать информацию о времени работы системы, интерфейсах и их режимах, количестве пропущенных и блокированных пакетов и т.д., а также уведомлять удаленную станцию сетевого менеджмента (NMS) о наиболее важных событиях в системе.
В настоящее время ПО ViPNet взаимодействует только с сервером ucd-snmp
, который распространяется свободно и поставляется вместе с ViPNet Coordinator Linux. Исходный код этого сервера, а также все необходимые для работы подсистемы SNMP файлы находятся в дистрибутиве ПО ViPNet Coordinator Linux в подкаталоге snmp
Чтобы включить поддержку SNMP, выполните следующее:

Если на компьютере уже установлен какой-либо демон SNMP, удалите его.

Войдите в каталог distribute
, где находится распакованный дистрибутив ключевых баз, и распакуйте файл архива ПО командой tar xzvf distribute.tar.gz

Запустите скрипт install-snmp из подкаталога snmp каталога дистрибутива. Это необходимо делать с правами пользователя root
. Этот сценарий компилирует демон
SNMP таким образом, чтобы в нем была доступна статистика ViPNet, и устанавливает его в
/usr/local/sbin
Для успешной компиляции необходимо, чтобы на компьютере были установлены все программные пакеты, которые перечислены в системных требованиях (см.
«
Системные требования
» на стр. 30). В процессе компиляции пользователю задаются вопросы об электронном адресе (e-mail) администратора, местонахождении системы и т.п. – на них нужно ответить соответствующим образом.

Если планируется использовать оповещения (SNMP Traps), то после установки создайте (если он отсутствует) и отредактируйте файл
/usr/local/share/snmp/snmpd.conf
, добавив в него следующие строки: informsink <хост-получатель>

ViPNet Coordinator Linux. Руководство администратора
|
156
trapsink <хост-получатель>
trap2sink <хост-получатель> где вместо
<хост-получатель>
надо указать имя или IP-адрес компьютера, который будет получать оповещения.

Запустите
/usr/local/sbin/snmpd
. Если требуется запускать демон snmpd каждый раз при загрузке системы, то необходимо настроить запуск вручную – установочный сценарий не делает этого.
Для получения информации по протоколу SNMP используется специальное ПО сетевого менеджмента (NMS), например HP OpenView. Перед началом работы с данным узлом необходимо импортировать в NMS специальный MIB-файл ViPNet, который описывает используемые ViPNet объекты SNMP. Этот файл называется
VIPNET-MIB.txt
. Действия, которые нужно проделать для такого импорта, зависят от используемой NMS и должны быть описаны в документации на нее.
После импорта MIB-файла с данной NMS можно получать информацию о состоянии ПО
ViPNet на узле. Для этого должна использоваться ветка
.iso.org.dod.internet.private.enterprises.infotecs.vipnet
(.1.3.6.1.4.1.10812.1)
ПО ViPNet использует следующие объекты (для всех объектов возможно только чтение данных):

.1.3.6.1.4.1.10812.1.1.1 – сетевой идентификатор ViPNet для данного узла;

.1.3.6.1.4.1.10812.1.1.2 – название данного узла;

.1.3.6.1.4.1.10812.1.1.3 – имя пользователя, пароль которого был введен для запуска
ViPNet;

.1.3.6.1.4.1.10812.1.1.4 – время работы системы;

.1.3.6.1.4.1.10812.1.2.1 – число сетевых интерфейсов в системе;

.1.3.6.1.4.1.10812.1.2.2 – последовательность (sequence) объектов, описывающих сетевые интерфейсы;

.1.3.6.1.4.1.10812.1.2.2.1 – каждый из объектов, описывающих сетевые интерфейсы.
В него входят следующие поля: o
.1.3.6.1.4.1.10812.1.2.2.1.1 – номер интерфейса; o
.1.3.6.1.4.1.10812.1.2.2.1.2 – системное имя интерфейса; o
.1.3.6.1.4.1.10812.1.2.2.1.3 – режим работы интерфейса в ViPNet;

ViPNet Coordinator Linux. Руководство администратора
|
157
o
.1.3.6.1.4.1.10812.1.2.2.1.4 – число пропущенных входящих нешифрованных пакетов; o
.1.3.6.1.4.1.10812.1.2.2.1.5 – число блокированных входящих нешифрованных пакетов; o
.1.3.6.1.4.1.10812.1.2.2.1.6 – число пропущенных исходящих нешифрованных пакетов; o
.1.3.6.1.4.1.10812.1.2.2.1.7 – число блокированных исходящих нешифрованных пакетов; o
.1.3.6.1.4.1.10812.1.2.2.1.8 – число пропущенных входящих шифрованных пакетов; o
.1.3.6.1.4.1.10812.1.2.2.1.9 – число блокированных входящих шифрованных пакетов; o
.1.3.6.1.4.1.10812.1.2.2.1.10 – число пропущенных исходящих шифрованных пакетов; o
.1.3.6.1.4.1.10812.1.2.2.1.11 – число блокированных исходящих шифрованных пакетов.
ПО ViPNet использует следующие оповещения (SNMP Traps):

.1.3.6.1.4.1.10812.1.3.1 – запуск управляющего демона;

.1.3.6.1.4.1.10812.1.3.2 – остановка управляющего демона;

.1.3.6.1.4.1.10812.1.3.3 – запуск демона mftpd;

.1.3.6.1.4.1.10812.1.3.4 – остановка демона mftpd;

.1.3.6.1.4.1.10812.1.3.7 – запуск демона failoverd (только в активном режиме);

.1.3.6.1.4.1.10812.1.3.8 – остановка демона failoverd (только в активном режиме);

.1.3.6.1.4.1.10812.1.3.9 – переключение демона failoverd из пассивного режима в активный.
Как правило, NMS позволяет настроить определенную реакцию на каждое из оповещений (отсылка e-mail, sms и т.п.).