jueves, 20 de octubre de 2011

CONFIGURACIÓN DE SWITCH-ROUTER



CONFIGURACIÓN DE SWITCH-ROUTER

Sobre la ruptura de divisiones entre las funciones de switch y router en las capas 2, 3 y 4.
Este capítulo se fundamenta en productos Cisco para redes IP.

1- LOS COMPONENTES
1.1- LAYER 2: HUB, BRIDGE y SWITCH.
1.1.1- HUB. Se han difundido los concentradores Hub con las redes 10BaseT debido a la facilidad de extensión de la red.

LAN mediante una configuración jerárquica en estrella. Se trata de una topología mixta con un columna Backbone de coaxial o fibra óptica y concentradores para usuarios en estrella.

Un Hub es un concentrador, cuya versión más simple es un elemental conector tipo "T" (concentrador de 3 puertas pasivo).

La primer generación de Hub activos solo ofrece funciones de repetidor-regenerador de señal digital. Disponen de hasta 8/12 puertas activas. En la segunda generación de Hub se introducen las funciones de gestión de red. Mediante el protocolo SNMP se obtienen los estados de las puertas (se trata de un concentrador inteligente Smart Hub). Permite la generación de segmentos virtuales de LAN (puertas de acceso múltiple). Disponen de un microprocesador para la gestión y memoria MIB (base de datos de gestión).

La tercera generación de Hub poseen un  backplane de alta velocidad (por ejemplo con celdas ATM). Posee puertas de diferentes técnicas para permitir modularidad LAN, FDDI, Router y Gestión. Incorpora funciones de conmutación para todas las necesidades de una empresa (Enterprice Switching). Las funciones de gestión permiten la desconexión de nodos con alarma y aislación de puertas para pruebas locales. Además permite la conexión horaria de puertas, el análisis de protocolo y obtener el estado de carga de enlaces.

1.1.2- BRIDGE. Permiten interconectar distintas LAN del mismo tipo o generar varias desde una misma. Permite una mayor disponibilidad al generar LAN autosuficientes. Reducen el tráfico entre secciones de red LAN. Permiten solucionar problemas de congestión de paquetes mediante aislación de tráfico. Se puede generar una red de bridge con conmutación de paquetes (Routing) en el ámbito de capa MAC. Introduce retardo para medios de acceso de menor velocidad. Produce latencia de 1 mseg aproximadamente.
Normalmente un bridge posee dos puertas y un switch posee más de dos puertas. Un bridge puede utilizarse solo (como filtro entre dos secciones de LAN en la misma localización) o de a pares (uno en cada extremo para unir dos redes LAN distantes mediante un canal de comunicación dedicado como ser Nx64 kb/s en una WAN).

1.1.3- SWITCH. Un hub es un medio de interconexión plano (Shared Media) a nivel de capa 2. Un bridge es un filtro de direcciones MAC con dos puertas. Un switch consiste en una operación de Bridge de tipo multipuerta. Simultáneamente con la creación de los switch se ha generado la operación VLAN (Virtual LAN) que consiste en agrupar los usuarios en la red en varias LAN por separado.

El switch funciona en el ámbito de capa 2 (MAC), procesan las direcciones MAC en una LAN y no modifican el contenido del paquete. Inspecciona la dirección de fuente y destino del paquete (MAC Address) para determinar la ruta de conmutación.

La tabla de rutas se realiza mediante un compilador de direcciones MAC. La misma es dinámica y se actualiza sobre la base de la lectura de las direcciones contenidas en los paquetes que ingresan al switch (aprendizaje mediante lectura de direcciones). Cuando un switch recibe un paquete con dirección desconocida lo emite a todas las puertas (técnica conocida como Flooding).

Contiene suficiente memoria buffer para los momentos de demanda máxima (cola de espera). El overflow del buffer produce descarte de paquetes. Generalmente son estructuras no-bloqueantes y permiten que múltiples conexiones de tráfico se desarrollen simultáneamente. Permiten una estructura de red jerárquica en lugar de plana (uso de Hub). Un switch LAN dispone de varias puertas de interfaz con un ancho de banda dedicado, cada puerta representa un host o un segmento de red diferente. Trabajan sobre redes LAN del tipo Ethernet, token ring y FDDI.

Los switch tienen diversas estructuras de matriz de conmutación (Switch Fabric). El switch basado en un bus implementa un backplane monolítico donde se intercambia el tráfico de todos los módulos. El switch basado en memoria  shared utiliza 1213-(2) memorias RAM de alta velocidad para interconexión de módulos sobre el backplane. El switch punto-a-punto interconecta cada módulo con los demás no mediante un bus sino mediante conexiones individuales.

1.2- LAYER 3: ROUTER Y SWITCH.
1.2.1- ROUTERS. Funciona en el ámbito de capa 3 y por ello requiere un análisis del protocolo Internet IP. Debe soportar distintos tipos de protocolos; por ejemplo TCP/IP, DECnet, IPX (Novell), AppleTalk, XNS (Xerox). Interconectan LAN entre sí o una LAN con WAN (X.25, Frame Relay, ATM).
Permiten mejorar la eficiencia de la red ya que toleran distintos caminos dentro de la red. El Router puede segmentar datagramas muy largos en caso de congestión, en cambio no pueden ensamblar datagramas. Un router se utiliza muchas veces como conversor de interfaz (LAN hacia G.703 para 2 Mb/s o V.35 para Nx64 kb/s). En conexiones de datos de baja velocidad el router puede ser colocado en el extremo del circuito de acceso al usuario para obtener supervisión de línea. En este caso, mediante el protocolo SNMP asociado a UDP/IP se puede gestionar el punto de acceso de usuario (función PING
por ejemplo).

Los router se pueden interconectar a alta velocidad mediante interfaces de 100 Mb/s (mediante pares o fibra óptica) y 1000 Mb/s (mediante Gigabit Ethernet) para formar redes de alta velocidad. En este caso el medio de transporte entre router es una conexión LAN extendida (MAN). Normalmente el protocolo IP usado en una LAN puede ser transportado mediante una red SDH, una red ATM o directamente sobre interfaz LAN por fibra óptica. Cuando la estructura de red usada es la descripta se observa una unión entre el concepto de switch LAN y router.

Algunas ventajas de los switch de capa 2 frente a los routers han determinado la idea de difundir el switch y usar el router solo una vez ("un switch cuando se puede, un router cuando se debe"). El switch tiene menor latencia, mayor capacidad de tráfico (throughput), fácil administración (concepto de gestión "plug and play") y menor costo por puerta. Los switch de capa 2 crean redes planas, en esencia se trata de un bridging. Un switch de capa 3 simula totalmente las operaciones de routing.

1.2.2- SWITCH-IP   (Layer 3 Switching). Se entiende por switch de capa 3 al equipo que realiza la operación de enrrutamiento mediante acciones de hardware; en tanto que es un router cuando las mismas se realizan mediante acciones de software. El switch-IP se fundamenta en circuitos custom del tipo ASIC (Application-Specific Integrated Circuit). Un switch de fines de los años `90 contiene 3 ASIC (para resolución de direcciones; para memoria de sistema y para memoria de puertas Gigabit). Con estos puede enrutarse 40 Mpps, soportar 1,5 millones de rutas y tomar decisiones a nivel de capa 2, 3 y 4.

Una diferencia de importancia entre un switch y un router es que este último permite optimizar la ruta cuando la red es muy grande. Permite además disponer de caminos alternativos y reconfigurar la tabla de rutas. Hacia fines de la década de los años `90 la diferencia entre router y switch se han reducido y reciben nombres combinados con ambas funciones.

La capacidad de procesamiento de un switch o un router se mide en Gb/s o Mpps (millones de paquetes por segundo) como capacidad de la matriz de conmutación. Cuando la suma de las entradas al equipo es igual a la capacidad de la matriz de conmutación se dice que es no-bloqueante. Cuando es inferior se dice que se sobre-escribe el equipo y se supone que el tráfico no satura a la matriz.

1.3- LAYER 4: SWITCH
Se han reconocido hasta ahora dos tipos de switch: el switch de nivel 2 (funciona como un bridge de varias puertas) y el de nivel 3 (funciona como un router orientado al hardware). El switch de nivel 4 realiza funciones de conmutación de paquetes tomando en cuenta el socket (IP address y TCP/UDP port). De esta forma se puede tener acceso al tipo de servicio (capa de aplicación) transportado y realizar operaciones de prioridad (política de QoS) del tráfico con mayor precisión.

2- CONFIGURACIONES Y PROTOCOLOS
En los ítems que siguen se estudian los diferentes protocolos y herramientas disponibles en los actuales equipos que reúnen
las funciones de switch y router en una combinación de capas 2, 3 y 4.
2.1- CONFIGURACIONES POSIBLES
Sobre los equipos switch-router se puede configurar una amplia variedad de funciones que permiten asegurar el
funcionamiento normal y en caso de fallas, además de asegurar la calidad del servicio y la seguridad. En la Tabla 01 se
enumera una lista de funciones a ser configurables en los switch; en la Tabla 02 se enumeran las configuraciones en los
routers. Más adelante se indican los protocolos asociados a algunas de estas funciones.
Tabla 01. Funciones configurables en los switch-LAN.
CONFIGURACIÓN DESCRIPCIÓN
Port del switch Las configuraciones posibles sobre la port del switch son:
-Velocidad. Se trata de 10 o 100 Mb/s sobre la puerta RJ45. La configuración de velocidad se
realiza en forma manual (fija) o automática.
-Operación dúplex. Normalmente Ethernet funciona en forma half-dúplex; para un mejor
rendimiento de la red se puede realizar en forma full-dúplex (los port de tipo Gigabit-Ethernet
solo son full-dúplex).
-Nombre del port. Identifica una puerta del switch con su función o elemento conectado.
-Prioridad de acceso al bus del switch (normal o alta).
Control de flujo Está solo disponible sobre las puertas Gigabit-Ethernet. Se trata de tramas de pausa que
inhiben la transmisión de paquetes desde una puerta por un período de tiempo. Las tramas de
pausa no son conmutadas a través del sistema. Las port en un enlace Gigabit-Ethernet deben
tener el mismo seteo, en cuanto a control de flujo, operación dúplex y reporte de falla remota.
Tabla de direcciones La  Address Table se construye en forma automática de forma que la entrada de un paquete
implica la memorización de la dirección MAC de origen.
Protección EtherChannel. Opera sobre Fast y Gigabit Ethernet. Se pueden configurar varios enlaces paralelo para agregar
tráfico. Se trata de un enlace de mayor velocidad y en caso de falla de uno de ellos el enlace
continúa funcionando. Utiliza el protocolo PagP (Port Aggregation Protocol) para la creación
automática de EtherChannel. De esta forma, en caso de corte una sola línea abastece al medio,
reduciendo la performance pero manteniendo el servicio.
Protection Spanning-Tree Se trata de configurar la red de switch con enlaces en loop. Los loops están prohibidos en
Ethernet pero mediante el protocolo STP (Spanning-Tree Protocol) se puede configurar la red
en forma automática para detectar los loops e interrumpirlos hasta que una falla los habilite
como necesarios. Las posibles configuraciones son:
-El STP se puede habilitar para cada VLAN en particular.
-A los port se les asigna una prioridad y un costo para que STP determine el mejor camino.
-Se puede determinar el estado de la port (bloqueado, deshabilitado, forwarding, etc). Desde el
estado de bloqueo al de forward se pasa por listening y learning.
-PortFast es una función que habilita a pasar desde el bloqueo a forward sin pasar por los
estados intermedios.
-UplinkFast permite una rápida convergencia para cambios con enlaces redundantes. Otra
variante es BackboneFast.
VLAN  La función  VLAN  (Virtual LAN) permite dividir la LAN en grupos virtuales para limitar el
tráfico de multicast y broadcast. La configuración se realiza seleccionando: la port del switch,
la dirección MAC, un grupo de direcciones IP, etc.
-El protocolo VTP (VLAN Trunk Protocol) minimiza los riesgos de violaciones de seguridad y
especificaciones en la generación de VLAN.
-La función VMPS (VLAN Management Policy Server) permite asignar puertos de VLAN en
forma dinámica.
-Las funciones de  ISL  (InterSwitch Link) o  IEEE 802.1Q  permite la formación de enlaces
punto-a-punto en la red de switch.
-La función  InterVLAN permite la conexión entre componentes de distintas VLAN. Esta
función debe ser desarrollada por un router de capa 3. Se puede usar un módulo de router
anexo al switch; en Cisco se denomina RSM (Route Switch Module).
ATM-LANE Cuando el switch permite la conexión mediante troncales de tipo ATM, la configuración de las
LAN se denomina LANE  (LAN-Emulation). El LANE trabaja en el modelo cliente-servidor.
Se debe configurar el ingreso de un LEC (LANE Client), el PVC, la función de multiprotocolo
MPOA, etc.  CONFIGURACIÓN DE  SWITCH-ROUTER
1213-(4)
Servicios Multicast  El servicio multicast se provee mediante el protocolos  IGMP  (Internet Group Management
Protocol) y otros asociados. Un host puede ser inscripto en el grupo de multicast y el switch
debe inscribir dicha dirección MAC en la lista de direcciones adheridas. Se puede configura el
grupo multicast, habilitar el protocolo IGMP (o  CGMP propietario de Cisco) consultar
estadísticas.
Supresión multi-broadcast Esta función permite la supresión de tráfico multicast y broadcast cuando el mismo inunda la
red. Este tráfico ciertas veces degrada la performance. Se puede configurar midiendo el ancho
de banda (basado en hardware) o el número de paquetes (basado en software) en una período
de tiempo (mayor a 1 seg). La medición se realiza por port del switch.
Multilayer switch Esta técnica se conoce de diversas formas (Tag switching o MPLS, Netflow o MLS) e intenta
reducir el tiempo de procesamiento mediante el análisis del primer paquete y la asignación de
un tag o label en MPLS o la conmutación de ports del switch en MLS. En MLS el switch
enruta (capa 3) el primer paquete y crea una MLS-cache para mantener los flujos bajo proceso
(en capa 2). Es necesario rescribir las direcciones MAC. En la configuración se debe tener en
presente el  accounting, criptografía, NAT, CAR, etc. Se puede configurar la función de
exportación de datos (estadísticas de tráfico por cada usuario, protocolo, port y tipo de
servicio).
Filtro de protocolo Esta función previene cierto tráfico de protocolo sobre un port. Por ejemplo, si una PC está
configurada para IP y IPX, pero solo emite IP es eliminado del tráfico IPX. Cuando emita un
paquete IPX será nuevamente colocado en el grupo de IPX.
Lista de IP permitidas Esta función permite limitar el tráfico entrante al switch del tipo Telnet y SNMP. El tráfico
ping y traceroute continúa trabajando normalmente.
Seguridad de port Se trata de indicar las direcciones MAC que pueden ser conectadas a una Port. Si la dirección
MAC de origen es distinta la conexión se inhibe y se genera una reporte SNMP.
SNMP/RMON Es posible configurar la función de reporte Trap en el protocolo SNMP del switch y habilitar
las funciones de grupos (estadística, historia, alarmas y eventos).
Chequeo de conectividad Se trata de efectuar las operaciones  Ping  y  Traceroute. Permiten detectar la presencia del
componente conecta en el port y trazar (descripción paso-a-paso) la ruta que dispone hasta el
elemento bajo estudio en una red remota.
Analizador de port  La función  SPAN  (Swithed Port Analyzer) realiza un espejado de tráfico desde una o más
puertas hacia otra donde se coloca un analizador de red.
Reportes por puerta Se trata de la función  Switch TopN Report. Se puede coleccionar datos estadísticos de cada
port. Los datos son: utilización de la puerta, número de Bytes y paquetes de entrada/salida,
tráfico multicast y broadcast en la puerta, número de errores y de overflow del buffer.
Autentificación Sobre el switch se pueden configurar mecanismos de autentificación para la entrada a las líneas
de comando. Se trata de una autentificación local mediante password o mediante un server de
acceso a la red del tipo  TACACS+  (Terminal Access Controller Access Control System).
TACACS es una familia de protocolos de control de acceso basado en TCP o UDP (port 49).
Utiliza el modelo client/server. Resume los procesos de autentificación, autorización y
contabilidad (accounting). Como autentificación puede usar los protocolos para  PPP (PAP,
CHAP o EAP) o Kerberos. La autorización es la acción para determinar que acciones pueden
ser desarrolladas, mientras que el accounting es la acción de memorizar que hace el usuario.
Sobre el switch se puede configurar la clave de criptografía MD5, setear el número de login
permitidos, setear el intervalo de timeout de respuesta del server.
Configuración de DNS  DNS (Domain Name System). Este sistema permite organizar la información de routing entre
una denominación (seudónimo) simple de recordar y el número de dirección IP verdadero (se
denomina resolución de nombre). El nombre completo tiene como máximo 63 caracteres. De
ellos 3 caracteres indican el domino (edu-educación, com-comercial, gov-gubernamental, orgorganización, mil-militar, etc) y 2 el país (ar-Argentina, it-Italia, etc). La tabla de dominios
memorizada en el servidor se denomina DNS Cache. DNS opera sobre UDP por lo cual no
existe una conexión propiamente dicha; solo sirve para resolver la relación entre dominio en
formato de texto y la dirección IP asignada. Con posterioridad, la conexión es establecida
sobre TCP hacia el servidor (por ejemplo de web).
Configuración redundantes Pueden ser instalados módulos de supervisión redundantes (se realizan funciones de
conmutación entre módulos, puesta en sincronismo, verificación de estado, etc). Puede
trabajarse con software de sistemas imágenes.
Archivos de configuración Pueden ser creados archivos con la configuración de un switch. Los mismos pueden ser usados
en caso de falla absoluta del mismo o para descargarse en un switch similar nuevo.
Sincronización de tiempo  Mediante el protocolo NTP (Network Time Protocol de RFC-1305) se puede llevar la hora del
UTC (Coordinated Universal Time) obtenida en general desde el sistema GPS (Global
Position System). Se trata de un modelo cliente-servidor. Existen servidores públicos de NTP  CONFIGURACIÓN DE  SWITCH-ROUTER
1213-(5)
Tabla 02. Funciones configurables en los router.
 CONFIGURACIONES GENERALES
Routing Se configura las distintas posibilidades de protocolos de routing: RIP, IGRP, OSPF, BGP, etc.
Se pueden configurar rutas estáticas, direccionamiento secundario o filtrado de rutas.
Multicast Se configura las funciones de multicast para grupos de usuarios. Se dispone de protocolos de
gestión de grupos  IGMP  (Internet Control Message Protocol) y los de routing asociados
(PIM, DVMRP o CMF).
Direcciones  Se configura las funciones NAT/PAT para la traslación automática de direcciones IP y ports
de TCP entre la Internet y el sistema autónomo AS. Se configura la función de asignación de
direcciones IP automática mediante DHCP (Dynamic Host Configuration Protocol).
Caching Se refiere a la conexión de una memoria Cache al router de borde de la red para reducir el
tráfico de paquetes web (http). Se configura el protocolo  WCCP (Web Cache Control
Protocol) para la conexión entre router y cache.
Protección hot-standby  HSRP  (Hot Standby Routing Protocol). Este protocolo de Cisco entrega una protección hot
standby automática entre dos routers. Cuando el router de trabajo falla el otro toma el control.
Un router configurado con HSRP posee 4 estados posibles: activo, standby, speaking (recibe y
emite mensajes  hello) y  listening (solo recibe mensajes  hello). HSRP trabaja mediante el
intercambio de 3 tipos de mensajes multicast:
-Hello. Este mensaje se envía cada 3 seg para indicar información de estado y prioridad. El
router con mayor prioridad es el que trabaja en un instante; los otros se encuentran en hot
standby.
-Coup. Este mensaje indica que un router pasa de la función standby a la función activo.
-Resign. Este mensaje es emitido por el router activo cuando pasa al estado  Shutdown o
cuando un router de mayor prioridad ha enviado un mensaje hello.
Protección EtherChannel De carácter similar al Switch.
 CALIDAD DE SERVICIO QoS
Control de congestión  Se trata de mecanismos de control de colas de espera en buffer. Se dispone de las variantes:
-FIFO  (First In, First Out). El primer mensaje en entrar es el primero en salir. Este es el
mecanismo de QoS por Default y es válido solo en redes con mínima congestión.
-PQ (Priority Queuing). Este mecanismo de control de congestión se basa en la prioridad de
tráfico de varios niveles. Se configuran las prioridades y se monitorea la cola de espera.
-CQ (Custom Queuing). Este mecanismo se basa en garantizar el ancho de banda mediante una
cola de espera programada. Se reserva un espacio de buffer y una asignación temporal a cada
tipo de servicio.
-WFQ  (Weighted Fair Queuing). Este mecanismo asigna una  ponderación a cada flujo de
forma que determina el orden de tránsito en la cola de paquetes. La ponderación se realiza
mediante discriminadores disponibles en TCP/IP (dirección de origen y destino y tipo de
protocolo en IP, número de Socket -port de TCP/UDP-) y por el ToS en el protocolo IP.
Control de tráfico Se trata de mecanismos para descarte de paquetes en caso de congestión en la red.
-WRED  (Weighted Random Early Detection). Trabaja monitoreando la carga de tráfico en
algunas partes de las redes y descarta paquetes en forma random si la congestión aumenta
(TCP se encarga del control de flujo reduciendo la velocidad de transferencia).
-GTS (Generic Traffic Shaping). Provee un mecanismo para el control del flujo de tráfico en
una interfaz en particular. Trabaja reduciendo el tráfico saliente limitando el ancho de banda
de cada tráfico específico y enviándolo a una cola de espera.
Políticas de enrutamiento  El  PBR  (Policy-Based Routing) permite mejorar la QoS mediante la determinación de
políticas. Se debe configurar un mapa de rutas para verificar la adaptación del paquete. Se basa
en dirección IP, port TCP, protocolo, tamaño del paquete, etc.
CAR  (Committed Access Rate) permite generar una política de QoS basada en los bits de
precedencia de IP. Se denomina señalización en banda.
Reservación de banda La señalización fuera de banda se logra mediante el uso de un protocolo externo denominado
RSVP  (Resource Reservation Protocol). Sobre el mismo se configura su habilitación y la
operación multicast.
Fagmentación-interleaving Se trata de fragmentar un paquete extenso en pequeños y el intercalado de los mismos para
reducir la ocupación prolongada por parte de un paquete. Trabaja con el protocolo  MLP
(Multilink point-to-point Protocol) sobre enlaces con PPP.
Compresión en tiempo-real  Comprime el encabezado de paquetes para la operación con RTP (Real-Time Protocol).
SEGURIDAD
IPsec Provee seguridad entre pares en tunel.  Permite la autentificación de acceso, integridad de
datos, privacidad, etc.
Firewall El módulo de firewall se instala como un software sobre el router o en un servidor de acceso.
Permite realizar las siguientes funciones:
-Control de acceso. Crea un perímetro de defensa diseñado para proteger las reservas CONFIGURACIÓN DE  SWITCH-ROUTER
1213-(6)
corporativas. Acepta, rechaza y controla el flujo de paquetes basado en identificadores de capa
3 o aplicaciones. El principio de funcionamiento es: "todas las conexiones son denegadas a
menos que estén expresamente autorizadas".
-Logging. Es el inicio de las conexiones entrantes y salientes. El uso de un sistema proxy y
cache incrementa la velocidad de respuesta de estas operaciones.
-Funciones de NAT (Network Address Translator) para direcciones públicas y privadas.
-Autentificación. Involucra a 3 componentes: el servidor, el agente y el cliente.
-Reportes. Ofrece un punto conveniente para monitorear (Audit and log) y generar alarmas.
AAA  (Authentication, Authorization, Accounting). Se configuran las opciones de autentificación
(login y password), autorización (RADIUS, etc) y cuentas (billing  y reportes).
2.2- PROTOCOLOS DE SOPORTE
2.2.1- STP  (Spanning-Tree Protocol). STA es desarrollado originalmente en Digital DEC y luego fue incorporado a IEEE
802.1d. En las redes construidas mediante Switch-Ethernet se debe cuidar que no ocurran loop debido a que los caminos
duplicados pueden generar paquetes duplicados. El uso de STA permite eliminar el problema de los loops y mantener las
ventajas derivadas de la redundancia de enlaces (este párrafo puede leerse como generar pequeños anillos que permitan una
reconfiguración en caso de corte de un enlace principal).
Este protocolo permite identificar los loop y mantener activa solo una puerta del switch. Por otro lado utiliza un algoritmo
que permite identificar el mejor camino libre-de-loops en la red de switch. Para lograr este objetivo, se asigna a cada puerta
un identificador consistente en la dirección MAC y una prioridad. La selección de la puerta se puede asignar en términos de
prioridad (valor entre 0 y 63; por default es 32) y costo (0 a 65535).
El STP consiste en un intercambio de mensajes de configuración en forma periódica (entre 1 y 4 seg). Cuando se detecta un
cambio en la configuración de la red (por falla o cambio de costo de la port) se recalcula la distancia (sumatoria de costos)
para asignar una nueva puerta. Las decisiones se toman en el propio switch. En condiciones normales se selecciona un switch
para que trabaje como Root Switch para determinar un topología de red estable (es el centro lógico de la topología en Tree).
Por default el switch que posee la dirección MAC más baja es el seleccionado como root.
Los mensajes disponibles se denominan Bridge-PDU y son de dos tipos: Configuration y Topology-change. Los campos del
mensaje de configuración incluyen 35 Bytes y el de cambio de topología solo los 4 Bytes iniciales. Por ejemplo, el mensaje
de configuración contiene los siguientes campos de información.
3 Bytes  Indica el Identificador de Protocolo (2) y la Versión (1).
1 Byte  Identifica el Tipo de Mensaje (0 para configuración y 128 para cambio de topología).
1 Byte  Flag para indicar el cambio de configuración de la red.
12 Bytes  Se identifica la raíz (Root) mediante 8 Bytes y con 4 Bytes se identifica el costo de la ruta.
10 Bytes  Se identifica el switch mediante 8 Bytes y con 2 Byte se identifica la puerta del mismo.
4 Bytes  2 Bytes para identificar el tiempo de emisión del mensaje (Age) y 2 Byte para el tiempo máximo de vida.
2 Bytes  Indica el período de intercambio de  mensajes de configuración Hello.
2 Bytes  Indica el tiempo de espera para emitir un mensaje en caso de detectar un cambio de configuración.
La port que utiliza la función STP se encuentra en algunos de los siguientes estados: bloqueado (no participa de la
transmisión), listening (es un estado transitorio luego del bloqueo y hacia el forwarding), learning (es otro estado transitorio
antes de pasar al forwarding), forwarding (transmite las tramas en forma efectiva) y dehabilitado (se trata del estado nooperacional). Si todas las port tienen la misma prioridad el forward lo realiza la port de menor número.
2.2.2- PagP (Port Aggregation Protocol). Es utilizado para la creación automática de enlaces del tipo EtherChannel. Este
protocolo determina en forma automática los enlaces paralelos e informa a las puertas involucradas. De esta forma se
paralelan los canales para evitar la duplicidad de tráfico del tipo multicast y broadcast. Configura también las distintas
puertas para que sean interpretadas por el protocolo STP.
2.2.3- Protocolos para VLAN. El protocolo VTP (VLAN Trunk Protocol) trabaja en la capa 2 para mantener la consistencia
cuando se adicionan, borran y redenominan las VLAN. Permite minimiza los riesgos de violaciones de seguridad y
especificaciones. Se define un dominio (el grupo de switch donde se aplica las funciones de VTP) y un switch puede actuar
de servidor o cliente de VTP.
La función VMPS (VLAN Management Policy Server) permite asignar puertos de VLAN en forma dinámica (conocido como
Dynamic Port VLAN Membership). Esta función toma en cuenta la dirección MAC de origen cuando un equipo se conecta a
la red. De esta forma una VLAN puede estar configurada para equipos en particular sin importar la posición física en la red.
VMPS abre un socket sobre UDP para solicitar al server el mapeo en la VLAN. CONFIGURACIÓN DE  SWITCH-ROUTER
1213-(7)
Adicionalmente se dispone de la función  ISL  (InterSwitch Link) propietaria de Cisco o  IEEE 802.1Q como standard
industrial. Ambos permiten la formación de enlaces (trunk) de tipo punto-a-punto entre varias puertas de switch. Los trunk
transportan información de múltiples VLAN para la extensión de las mismas a través de diversas redes. La negociación para
los trunk se realiza mediante el protocolo DTP (Dynamic Trunking Protocol)
2.2.4- IGMP (Internet Group Management Protocol). Este protocolo standarizado en la RFC-1112 para la versión 1 y en
RFC-2236 para la versión 2 se utiliza para la gestión de enlaces multicast. Las direcciones IP pueden ser individual (unicast)
o grupal para algunos miembros o todos los de la red (multicast o broadcast). El grupo multicast puede ser permanente o
transitorio (armado para un evento en especial).
El protocolo IGMP determina un servicio sin conexión con el mismo criterio de "best effort" de IP unicast. Se denomina
MBONE  (Multicast Backbone) a un set de routers y subredes interconectadas que soportan el servicio IP multicast. El
protocolo permite la comunicación entre routers y host conectados en la red. Las operaciones de multicasting en las redes
LAN son soportadas por protocolos standard y propietarios. Por ejemplo, en IEEE 802.1p se definen los protocolos para
registración GMRP (Group Multicast Registration Protocol) y gestión de direcciones GARP  (Group Address Registration
Protocol).
Los protocolos que se utilizan para el routing en los servicios multicast son derivados de los utilizados para direcciones
unicast. De esta forma se toman como origen el RIP y OSPF. Los algoritmos de routing disponibles son: algoritmo
broadcasting en reversa RPB o multicast en reversa RPM; algoritmo Spanning Trees o el Core-Based Trees. Las variantes de
protocolos de routing son las siguientes:
-PROTOCOLO DVMRP (Distance Vector Multicast Routing Protocol).  Este protocolo está definido en RFC-1075. Es
derivado del RIP y utiliza una variante del algoritmo  RPB  (Reverse Path Broadcasting). El RIP provee un solo tipo de
métrica por lo que el OSPF (mantiene más de un tipo) tiene mejor performance. Sin embargo, DVMRP es más simple que
MOSPF. Y se utilizó anticipadamente. DVMRP se encuentra sobre IGMP en el modelo de capas. La principal diferencia
entre RIP y DVMRP es que, en tanto RIP calcula el próximo paso hacia el destino, en DVMRP se calcula la cantidad de
pasos hacia el origen. DVMRP requiere de una periódica actualización para detectar nuevos receptores en el grupo y por ello
tiene un problema de escala.
-PROTOCOLO MOSPF (Multicast OSPF). Se define en RFC-1584 como extensión del OSPF de la RFC-1583 y solo
trabaja asociado al protocolo OSPF. El MOSPF provee el servicio de multicast pero no el servicio de tunelización del mismo
(tampoco lo hace el DVMRP). En un protocolo de routing de tipo unicast la ruta se define en base a la dirección de destino,
en tanto que en MOSPF se define en base al origen y los destinos. La definición de ruta se realiza en base al costo basado en
la métrica de estado de enlace. Una vez definida la ruta se forma el árbol en la red y se descarta cada ruta individual. Se
define una única ruta, no existe alternativas de igual-costo. MOSPF permite modificar la ruta basado en el ToS del datagrama
IP. La optimización de ruta para un grupo no asegura la optimización en el uso de la red.
-PROTOCOLO PIM (Protocol Independent Multicast). Si bien es independiente del protocolo de routing de tipo unicast
implementado, requiere del mismo para formar la tabla de rutas. Este protocolo mejora la deficiencia de DVMRP aplicando
dos técnicas: modo-denso (protocolo diseñado para operar en un medio con miembros de distribuidos con alta densidad y
ancho de banda elevado) o modo-distribuido (baja densidad de miembros -no significa pocos miembros- y ancho de banda
reducido). El uso de una o de otra depende de la distribución de routers en la red.
2.2.5- MPS-MPLS  (Multilayer Switching-Multiprotocol Layer Switching). Sobre este título se reportan varias tecnologías
concurrentes. Se trata de optimizar la velocidad de conmutación en los switch y routers.
-MPS-NETFLOW SWITCHING. Esta técnica de Cisco combina las acciones de router y switch para mejorar la performance
a alta velocidad (por ejemplo en Gigabit Ethernet). El primer paquete de la secuencia es enrutado en forma normal en capa 3;
la información obtenida sirve para crear un camino (flow forwarding) y los paquetes siguientes son procesados mediante un
switch de nivel 2 (se trata de una operación orientada con-conexión). El camino se genera en base a las direcciones IP y las
ports de TCP/UDP. La información está contenida en un cache que se crea a tal efecto.
Esta técnica de switch entre capas 2/3 se complementa en el Core de la red con Tag Switching o MPLS. Por otro lado, se
utiliza este método para obtener información de performance de tráfico y proveer seguridad. Esta técnica utiliza los
protocolos de routing normales y no requiere otros diseños especiales. Netflow entrega estadísticas de tráfico por cada
usuario, protocolo, port y tipo de servicio. Esta estadísticas son útiles para análisis y diseño de la red y la facturación por
departamentos en una empresa. La estadística de tráfico puede contener: la hora Time-Stamp del inicio y final, las direcciones
IP y port de origen y destino, número de interfaz de entrada y salida, número de paquetes y total de bytes de la transacción.
-MPLS-TAG.SWITCHING. Es un diseño de Cisco para el Core (Backbone) de una red IP cuando se trabaja a alta velocidad
(por ejemplo, Gigabit Ethernet). Es un avance de la técnica MPLS. La arquitectura Tag Switch se encuentra en RFC-2105
del año 1997. Con posterioridad la denominación Tag se reemplazó por Label; Tag Switching se cambió por MPLS; el CONFIGURACIÓN DE  SWITCH-ROUTER
1213-(8)
protocolo TDP por LDP. Luego que la tabla de rutas converge (usando protocolos de routing convencionales) los distintos
router asignan una etiqueta Tag para cada ruta posible (dicho tag se encuentra como header de capa 2 o 3). El tag es corto y
de longitud fija que es mejor manejado que la tabla de rutas (se puede asimilar al identificador de trayecto virtual VPI de
ATM). Los tag generados localmente en el router se intercambia con los otros mediante un protocolo TDP (Tag Distribution
Protocol). Este protocolo permite distribuir, requerir y actualizar la información de tag.
El tag switching consiste de dos componentes: el forwarding (responsable de la transferencia de paquetes) y el control. La
información de tag se memoriza en una base de datos de información realizada a tal efecto y denominada  TIB  (Tag
Information Base). Los paquetes que circulan en la red llevan el tag de identificación y no requieren de acciones de tabla de
rutas. El tag puede ser una simple ruta unicast o multicast, o un identificador de flujo de tráfico (por ejemplo, para el caso de
Netflow donde se identifica el flujo mediante direcciones IP, ports
Publicado por en No hay comentarios:

martes, 18 de octubre de 2011

MOM (Operations Manager de Microsoft)



Es una completa herramienta de gestión totalmente parametrizable y adaptable a cualquier entorno que permite desarrollar soluciones de gestión en diversas áreas:
 

Gestión de capacidades
 Gestión de problemas
 Gestión de cambios
  Gestión de nivel de servicio
 Seguridad
 Gestión de disponibilidad
 Tenea Tecnologías ofrece servicios completos de gestión y
  monitorización de redes Microsoft.

Tenea Tecnologías ofrece servicios completos de gestión y monitorización de redes Microsoft.

Arquitectura y Diseño de modelos de gestión de redes Microsoft:

 Análisis del sistema de gestión necesario
 Definición de roles del sistema
 Determinar colecciones de agentes a utilizar
 Diseño de procesos de recolección de datos
 Desarrollo de criterios de clasificación de alarmas
 Definición de tareas, scripts y diagnósticos
 Definición de procedimientos a realizar ante eventos críticos
 Definición de perfiles de administración y de gestión
 Definición de consolas para la monitorización en función de los perfiles
  de administración y gestión
 Definición de mejores prácticas para la gestión avanzada de servicios
 Definición de reportes periódicos y a pedido
Administración y Explotación del Sistema:

 Monitorización de los sistemas
 Gestión de procesos de recolección de datos
 Tratamiento de alarmas
 Transformación e interpretación de los datos de rendimiento
 Reporting
 Desarrollo de procedimientos de actuación sobre alarmas, cambios y problemas
Publicado por en No hay comentarios:

SLA (Service Level Agreement)


EL modelo de Acuerdo de Nivel de Servicios (Service Level Agreement, SLA) consiste en un contrato en el que se estipulan los niveles de un servicio en función de una serie de parámetros objetivos, establecidos de mutuo acuerdo entre ambas partes, así, refleja contractualmente el nivel operativo de funcionamiento, penalizaciones por caída de servicio, limitación de responsabilidad por no servicio, etc....
Este modelo no ha de estar relacionado necesariamente con la contratación de servicios a terceras partes, sino que puede implantarse a nivel interno, transformando una determinada unidad de negocio en centro de servicios que provea a la propia compañía.
En esta parte del contrato se describe y obliga a un nivel específico de calidad en el suministro.
Los principales puntos a cubrir deben ser:
  • Tipo de servicio.
  • Soporte a clientes y asistencia.
  • Provisiones para seguridad y datos.
  • Garantías del sistema y tiempos de respuesta.
  • Disponibilidad del sistema.
  • Conectividad.
  • Multas por caida del sistema.
Estos puntos son importantísimos a la hora de formalizar de forma contractual una operación.

Implatanción de acuerdos de nivel de servicio con proveedores
Para implantar con éxito un SLA han de tenerse en cuenta un serie de factores clave, de los que va a depender en gran medida la obtención de los resultados deseados:
  • Aspectos críticosLos aspectos más críticos, son la definición de procedimientos estándares y los mecanismos de evaluación y seguimiento.
  • En la implatación de un SLA se deben seguir una serie de puntos 1. Definición de Objetivos: mejora de la eficacia, reducción de costes, formalización de la relación
    2. Identificar expectativas: qué es lo que espera la organización de este
    acuerdo
    3. Adecuada planificación temporal
    4. Optimización/rediseño de procesos (revisar los procesos si el SLA no asegura ningún cambio o como mínimo formalizarlos)
  • Errores más frecuentes en la implatación
    • Definir niveles de servicio inalcanzables
    • Regulación excesiva
    • Error en la definición de prioridades
    • Complejidad técnica
    • Irrelevancia (si un SLA no tiene ningún efecto sobre el cliente, el objetivo
      no tiene sentido).
Publicado por en No hay comentarios:

Systems Management Server (SMS) Overview


Systems Management Server (SMS) Overview

SMS 2.0 is a Microsoft BackOffice systems management tool that can both operate in and manage an assortment of network environments. Systems Management Server (SMS) enables network environments and network resources to be centrally controlled. The core control point or center of Systems Management Server is the SMS Administrator console. This is a snap-in to the Microsoft Management Console (MMC). The industry standard for Web-Based Enterprise Management (WBEM) is the core of SMS data collection and presentation.
The main functions of SMS are listed here:
  • Resource discovery
  • Hardware and software inventory
  • Software distribution
  • Software metering
  • Network Analysis
  • Remote support through the Remote Tools feature
The SMS Administrator console is used to access and initiate these SMS 2.0 functions. A process known as resource discovery must be performed first to find computers, network hardware, and groups and users.
The main SMS components are listed here:
  • SMS site: A SMS site specifies the computers, other networking hardware, users and groups, and all resources which will be managed through SMS. The SMS environment is made up of one or multiple SMS sites. You define a SMS site based on IP subnet address.
    understanding systems management server sms Understanding Systems Management Server (SMS)
An SMS site consists of the following SMS components
  • SMS site server
  • SMS site systems
  • SMS clients and resources
The structure that links multiple sites together is called a hierarchy. The hierarchy is created by linking sites together so that parent-child relationships can be formed:
  • Parent site: This is a SMS site that contains one or multiple additional site beneath it.
  • Child site: This is a SMS site that has a parent site residing over it in the hierarchy.
There are also two different types of sites that assist in organizing the administration of the SMS environment:
  • Primary site
  • Secondary site
SMS site server: This is the Windows server on which SMS 2.0 is installed and running. The SMS site server is the main access point between the SMS database and administrators. The SMS server manages the SMS site and component attributes. The SMS site server must be installed on a domain controller or on a member server. It cannot be installed on a stand-alone server.
SMS site system: This is a Windows server that carries out one of multiple SMS roles for the SMS site. When installing SMS, the default configuration is that all SMS roles are installed on an SMS site server.
The SMS roles are:
  • Logon points: This is a SMS site system that is the initial connection point between a SMS site and client computer. Functions performed by logon point includes:
    • Collection of discovery information on the client.
    • Determines the site assignment of the client.
    • Pass the client a list of client access points (CAPs).
  • Client access points (CAPs): This is a SMS site system that operates as the exchange point between SMS clients and the SMS site server. At the CAP; inventory, and status information and discovery information is gathered. Advertisement information can be retrieved from the CAP.
  • Distribution points: This is a SMS site system that installs the following components which deal with running a package at a SMS client computer:
    • Package files
    • Programs
    • Scripts
  • Software metering servers: This is a SMS site system which enables administrators to perform a number of management activities:
    • Grant/deny licenses for applications running on an SMS client.
    • Monitor and track application usage on SMS clients.
    • Restrict application usage on SMS clients.
  • SMS client: This is a computer running a Microsoft operating system listed below. A SMS client is installed through the SMS client component software, an is assigned to a SMS site.
    • Microsoft Windows Server 2003
    • Windows XP Professional
    • Microsoft Windows 2000
    • Microsoft Windows NT 4.0
    • Microsoft Windows NT 3.51, Service Pack 5 or above.
    • Microsoft Windows 98
    • Microsoft Windows 95

Understanding the Resource Discovery Methods

Before you can use the SMS Administrator console to manage network resources, SMS has to first discover the network resource that you want to manage. SMS 2.0 still considers computer clients as being one of the main resources that needs to be discovered and then added to the SMS database.
Network resources that SMS can discover and add to the SMS database are listed here:
  • Client computers
  • IP hosts
  • Routers
  • Switches
  • Hubs
  • Other site systems
  • File servers
  • Print servers
  • Global groups
  • Domain users
  • All other networking devices that have IP addresses
When SMS discovers a network resource, a record for that particular resource, called a discovery data record (DDR), is created and then included in the SMS database. The specific information discovered on a particular resource is determined by the nature of the resource.
Typical information discovered on resources includes:
  • NetBIOS name of a computer
  • IP address of a computer or other networking device
  • IP subnet of a computer.
  • MAC address
  • Operating system
  • SMS unique identifier
  • Domain information
  • User name information
There are seven methods that can be used to discover network resources. These resource discovery methods are discussed below:
  • Site system discovery; includes the following two discovery methods:
    • Windows NT Server Discovery
    • NetWare Bindery Server Discovery
    These discovery methods automatically create discovery records for the servers that are assigned one of the site system roles (logon point, client access point, distribution point). The site system discovery methods are automatically started by the WINNT Server Discovery Agent and the NetWare Bindery Server Discovery Agent SMS threads. This basically means that you cannot configure the site system discovery method through the SMS Administrator console.
  • Logon discovery; includes the following two discovery methods:
    • Windows Networking Logon Discovery
    • NetWare Bindery Logon Discovery
    • NetWare NDS Logon Discovery
    The Windows Networking Logon Discovery methods create discovery records for each resource supported by SMS that logs on to the network. The NetWare Bindery and NetWare NDS Logon Discovery methods create discovery records for NetWare client resources.
    With the logon discovery method, you use the SMS Administrator console to perform the following tasks:
    • Assign logon points.
    • Enable the logon process through changing the logon scripts of the users.
    With logon discovery, the discovery data record (DDR) contains the information listed here. The exact information included is determined by the type of client.
    • SMS unique identifier
    • NetBIOS name
    • IP addresses and IP subnets
    • IPX addresses and IPX network numbers.
    • MAC addresses
    • Resource domain
    • Operating system name
    • Last logon user name
  • Windows NT User Account discovery: This method deals with discovering domain user accounts and then adding the information to the SMS database. When you configure this discovery method in the SMS Administrator console, you can specify which domain should be utilized to discover the information. A DDR is created for each user account that is discovered.
  • Windows NT User Group Discovery: This method deals with discovering domain global group accounts and then adding the information to the SMS database. Whn you configure this discovery method in the SMS Administrator console, you can specify which domain should be utilized to discover the information. A DDR is created for each group account that is discovered.
  • Network Discovery: The Network Discovery method can find the following:
    • Domain controllers
    • Routers
    • Computers
    • Subnets
    • DHCP servers
    • SNMP enabled devices' IP addresses
    • SNMP community strings
    • Network addresses
    • Numerous devices on the network
    Before a DDR can be generated, the Network Discovery method has to have IP address and subnet mask information.
  • Heartbeat Discovery: The Heartbeat Discovery method rediscovers already discovered network computers. The purpose of Heartbeat Discovery it to ensure that the DDRs for computers remain updated or current in the SMS database. By default, Heartbeat Discovery is enabled, and you can use the SMS Administrator console to configure the Heartbeat Discovery method. It is though only active on those computers that have SMS clients installed.
  • Manual Discovery: If you need to manually create a DDR for a specific client, then you can use the Manual Discovery method.

Understanding Client Installation Methods

As seen in the previous section of this Article, there are different resource discovery methods. So too are there different client installation methods. While the client installation processes differ somewhat, the underlying tasks performed are still the same:
  • Bootstrap
  • Discovery
  • Assignment
  • Installation
The client agents that can be installed and enabled on SMS client are listed here:
  • Advertised Programs Client Agent
  • Hardware Inventory Client Agent
  • Event to Trap Translator Client Agent
  • Software Inventory Client Agent
  • Software Metering Client Agent
  • Remote Tools Client Agent
The different client installation methods are listed below:
  • Logon client installation method; includes the following logon client installation types:
    • Windows Networking Logon Client Installation
    • NetWare Bindery Logon Client Installation
    • NetWare NDS Logon Client Installation
  • Windows NT Remote Client Installation
  • Manual client installation
The above client installation methods are used to install client agents. You can perform client installation before a computer resource is discovered. A logon discovery method is associated with a client installation method. To install a client agent, a user needs to be logged on to the network at computer. This is the case for all methods other than the Windows NT Remote Client Installation method.

Hardware and Software Inventory Overview

Inventory collection is categorized as follows:
  • Hardware inventory: Involves collecting data on the hardware properties of installed client computer hardware:
    • Disk model
    • Processor type and speed
    • Firmware manufacturer and version
    • Capacity
    • Free space
    • Amount of RAM
    • Monitor type and resolution
    You can configure which hardware properties information should be collected by SMS. The Hardware Inventory Client Agent or simply Hardware Inventory Agent collects the actual hardware properties information from the client. The hardware inventory is stored in the SMS database. When it comes to a secondary site server, you can also enable the Hardware Inventory Client Agent on a secondary site server. The secondary site server would then pass hardware inventory information to its associated primary site, and it is then eventually added to the SMS database.
  • Software inventory: Includes the following components:
    • Inventory collection; collects and writes file statistical information to the site database. /li>
    • File collection; locates the inventoried files in a directory on the SMS site server. Administrators can access the information by using the SMS Administrator console.
    The Software Inventory Client Agent, also called Software Inventory Agent, runs automatically on the client based on how the schedule for collecting information is defined. The Software Inventory Client Agent collects the following types of information:
    • Filename
    • File version
    • File size
    • Product name
    • Product version
    • Product language
    • Date/time when the file was created.

Software Distribution Overview

SMS software distribution is used to perform the following functions:
  • Install software on SMS client computers from a network distribution share.
  • Remove software on SMS client computers.
  • Copy software on SMS client computers.
  • Perform maintenance tasks.
For a SMS client computer to receive packages:
  • The SMS client computer must have the Advertised Programs Client Agent installed.
  • The SMS client computer must be a member of a collection.
The typical tasks for distributing packages are listed here:
  • Specify the CAPs for the package.
  • Specify the distribution points for the package.
  • Create the necessary collections.
  • Collect the necessary source files, installation scripts etc.
  • Create the SMS package.
  • Define one program for the package. This is the minimum requirement. You can define multiple programs for a package.
  • Advertise the programs to one or multiple collections.
  • Distribute the package to the specified distribution points.
  • Run the program being advertised on the client.
Using SMS to install software on SMS client computers from a network distribution share involves the following process:
  • You have to create a SMS package that includes the location of the source files and the package definition file (.pdf). The package definition file includes the information that would be needed to create the SMS package. The SMS package includes command-line executables as well. These executables runs on the SMS client computers to manage how the SMS package executes.
  • You then have to distribute the SMS package to the distribution points that you have identified.
  • Lastly, you have to create an SMS advertisement that will inform the SMS clients on the available software.
The package definition file (PDF) includes the information needed for the following:
  • Create the software distribution package for an application.
  • Create the programs in the software distribution package.
With SMS 2.0, the Definition Wizard and Distribute Software Wizard contain the PDFs. The Distribute Software Wizard is used to provide the information on distributing the software. When executing the Distribute Software Wizard, you have to select which package should be distributed. This involves selecting the Create new package from a definition option and then specifying the PDF that should be imported.
The Definition Wizard is used to create the package and program. Using the Create Package from Definition Wizard involves the steps listed here:
  • Create the package source files.
  • Create a package for the application by using the PDF and the Create Package from Definition Wizard.
  • Define the distribution points for the package.
  • Advertise the program(s) of the package to clients.

SMS Software Metering Overview

The SMS Software Metering feature was introduced with SMS 2.0, to enable administrators to perform the following functions:
  • Monitor how applications are being utilized by the SMS clients.
  • Specify restrictions on applications based on permissions or on time of day.
  • Track license usage
  • Recognize when unauthorized applications are being utilized.
You can use Software Metering in either of the following modes:
  • Offline mode: In offline mode, software usage is tracked without enforcing software compliance. The characteristics of offline mode are:
    • Tracks applications running on client computers.
    • Programs not intended to be monitored are excluded.
    • Prevents applications from being used, based on the computer name, or user account or group account.
    • Uses software usage data to generate usage data reports.
  • Online mode: In online mode, software usage is tracked with the enforcement of software compliance. The characteristics of online mode are:
    • Tracks applications running on client computers.
    • Programs not intended to be monitored are excluded.
    • Prevents applications from being used, based on the computer name, or user account or group account.
    • Prevents applications from being used when there is no authorization.
    • Includes support for software license check-in and check-out for remote users.
    • Assesses and balances license usage in sites and between sites.
    • Includes a callback queue feature that allows users to utilize an application once a license becomes available.
    • Uses software usage data to generate usage data reports.
The following components are involved in the software metering process:
  • Site server: This is the place where you configure the components that support software metering, and specify which applications are included or excluded from the software metering process. The site server is also where you specify how many licenses are available, and the balancing of license information.
  • Software metering server: The software metering server performs the following functions:
    • Obtains configuration information from the site server.
    • Obtains license information from the site server.
    • Maintains and stores software usage information received by client agents.
    • Replies to client requests for application access and licenses.
  • Software metering database server: Used to store software metering information. The software metering database server is a separate database to the SMS database. To view information in the software metering database server, you need to use the Software Metering tool.
  • SMS client running the Software Metering Client Agent: Clients that have the Software Metering Client Agent installed participate in the software metering process. The Software Metering Client Agent is configured by means of the site server.
    The main functions of the Software Metering Client Agent are listed here:
    • Pass software usage information to the software metering database server.
    • Request licenses for clients.
    • Update component information on the client.

Network Analysis Overview

The tool which you can utilize to both monitor and log network activity as it occurs on the network is Network Monitor. You can use the information obtained from Network Monitor to optimize network traffic as well. Network Monitor stems directly from the Windows NT Network Monitor. Network Monitor is included with Windows Server 2003 and with SMS 2.0 .
The key administration tasks which you can perform using Network Monitor are summarized below:
  • You can capture frames directly from the network which you are monitoring.
  • You can configure capture filters to specify the type of information which should be captured by Network Monitor.
  • You can view captured frames immediately once the capture is complete, or at some later stage.
  • You can filter captured frames by creating display filters. This allows you to find specific information in a capture.
  • You can create triggers if you want certain actions performed when the content of a packet(s) match a predefined condition.
  • You can edit captured frames and pass them on.
  • You can capture frames from a remote computer.
There are two versions of Network Monitor available:
  • The basic Network Monitor version which is included with Windows Server 2003.
  • The full Network Monitor version which is included with Microsoft Systems Management Server (SMS).
With the full version of Network Monitor included with SMS 2.0, you can monitor network activity and capture frames on all devices on the network segment. The features listed below are solely available when the full Network Monitor version of SMS 2.0 is utilized:
  • Capture frames from a remote computer
  • Edit captured frames and pass them on.
  • Resolve device names to MAC addresses.
  • You can also determine the following information:
    • The user who is consuming the most bandwidth
    • The protocol that is consuming the most bandwidth
    • The devices which are routers
Network Monitor in SMS 2.0 includes experts and monitors:
  • Network Monitor experts: These are analysis tools that assist with analyzing the captured network data. The different Network Monitor experts are:
    • Average Server Response Time; this expert determines the average time taken by each server to reply to a request.
    • Property Distribution; calculates the protocol statistics for a protocol property in a capture session.
    • Protocol Coalesce Tool; for a transaction that was fragmented, this expert combines the frames to form a new capture file.
    • Protocol Distribution; determines which protocols created the majority of the traffic in a capture.
    • TCP Retransmit; indicates those TCP frames which were transmitted multiple times during a capture session.
    • Top Users; determines which senders and receivers created the majority of the traffic in a capture.
  • Network Monitor monitors: These are monitor tools used to capture frames for monitoring specific network traffic patterns. The different Network Monitor experts are:
    • ICMP Redirect Monitor; this monitor creates events whenever Internet Control Message Protocol (ICMP) frames are redirected by:
      • A router not authorized to redirect the frames
      • A router incorrectly configured.
    • IP Range Monitor; creates an event when a frame's IP address is not within a valid address range. The IP address is basically unauthorized.
    • IP Router Monitor; creates an event when a particular IP router fails.
    • IPX Router Monitor; creates an event when a particular IPX router fails.
    • Rogue Monitor; creates an event when an unauthorized DHCP server or WINS server is detected on the network.
    • Security Monitor; creates an event when there are unauthorized users capturing frames through Network Monitor.
    • SyncAttack Monitor; monitors the network for all suspicious connections made to servers on the network.

SMS Remote Tools Overview

SMS Remote tools enable administrators to control remote client computers. The Remote Tools set provides the following features:
  • Remote control
  • Remote reboot
  • Remote chat
  • Remote execute
  • File transfer
  • Windows diagnostics
  • DOS diagnostics
  • Ping test
With SMS 2.0 Remote Tools are categorized as follows:
  • Remote Diagnostics: Provides the capabilities listed here:
    • Control a client computer's mouse and keyboard
    • Execute a program
    • Copy files
    • Reboot
    • View the configuration settings of client computers.
  • Remote Functions: Indicates whether the SMS administrator or the local user manages the level of access of the administrator.
Remote tools can be installed on the following components when you run SMS 2.0 Setup
  • SMS primary site
  • SMS secondary site
  • On a Windows server as a SMS Administrator console
Before clients can use Remote Tools, the following requirements have to be met:
  • Remote access to the client must be allowed.
  • The client must be a SMS client.
  • The client must have the Remote Tools Agent must be installed. The Remote Tools Agent must be enabled/running.
  • The SMS Administrator console computer and the SMS client must use the same protocol:
    • TCP/IP
    • IPX
    • NetBEUI

SMS 2.0 Tools Overview

The SMS 2.0 tools have been categorized into a number of broad categories. While there are some tools that can be included in more then one category, the tool falls within the category which best matches the actual tool.
The main factors considered to categorize the various SMS 2.0 tools are listed here:
  • Installation considerations for installing the tool.
  • Purpose or function of the SMS tool.
  • Area which the tool deals with or services.
When you install SMS tools, you can install the tools based on category. This essentially enables you to simultaneously install the entire set of tools within the specific category.
The SMS tool categories are:
  • System Setup Tools; includes the following system setup SMS tools:
    • Administrator Console Setup (v20Admin.ini, v20Admin.sms): Used to install the SMS 2.0 Administrator console on a computer that is not the site server.
      To use the Administrator Console Setup tool, you have to perform the following process:
      • Create a disk image of the SMS 2.0 compact disc.
      • Locate the disk image on a package source directory.
      • Copy V20Admin.ini to the SMSSetupBin directory of the package source directory which was created.
      • Use v20Admin.sms as the PDF and the created package source directory to create software distribution package.
      • Create an advertisement for the specific package
      • Indicate which computers the SMS 2.0 Administrator console should be installed for.
      • The package will then install SMS 2.0 Administrator console for these computers.
    • Client Preload (CliStage.ipf): Used to install SMS client software on the computer prior to the particular computer being added to a SMS site.
    • Query Backup and Restore (QryEdit.exe): Used to back up SMS queries and restore SMS queries. The Query Backup and Restore tool can be used to export a query from one SMS site and then import the query to a different SMS site. The tool though only works for user defined queries. You cannot use the Query Backup and Restore tool on the default SMS 2.0 queries.
  • Site Maintenance and Administration Tools; includes the following site maintenance and administration SMS tools:
    • Delete Group Class (DelGrp.exe): Used to delete a group class and its associated tables from the SMS site database.
    • License Reports (LicenseReports.mdb): Used to access the data in the software metering database and create reports which utilize this data.
    • Load Site Boundary (SiteBndy.exe): Used to load site boundaries through the usage of a text file. Therefore, before the Load Site Boundary tool can be utilized, you have to create a text file that contains the list of site boundaries which should be loaded. The default configuration is that all site boundaries defined in the text file are added to the existing site boundaries.
    • Load Network Discovery (NDiscLdr.exe): Used to load network resources for Network Discovery through a text file. Once again, to use the Load Network Discovery tool, you first have to create a text file that contains the network resources which should be loaded. You can define the following resources:
      • Subnets
      • Domain
      • DHPC servers
      • SNMP devices.
    • Make Collection (Makecoll.exe): Used to create a new collection from a text file of either NeBIOS computer names or IP addresses. Before you can use the Make Collection tool, you have to create a text file that includes the list of NetBIOS computer names or IP addresses for the new collection.
    • Preferred Server (Localsvr.exe, SetSMSsvr.exe): LocalSvr.exe is used to query the SMS site database for the network abstraction layer (NAL) paths of distribution point groups and client access points (CAPs). The SetSMSSvr.exe tool is used to locate the paths in the client registry, to indicate to the client what the preferred distribution point groups and CAPs are.
    • Query Extract (SMSExtract.xlt, SMSExtract.xls, SMSExtract.mdb): Used to extract SMS query results into a Microsoft Excel workbook or Microsoft Access table.
    • Site Utilities (Preinst.exe): Used to perform the following functions:
      • Stop SMS services at a SMS site.
      • Identify problems or issues in a site.
      • Repair a SMS site.
  • Client Maintenance Tools; includes the following client maintenance SMS tools:
    • APM Spy (APMSpy.exe): A command-line tool installed and executed on the client to view internal Advertised Program Manager data for a client in a format which can be read.
    • Client Cleaner (20CliCln.bat): Used to remove a SMS 2.0 client and its associated SMS client components.
    • Client Utilities (Cliutils.exe): Used to perform the following functions on a SMS client:
      • Start a SMS client component.
      • Stop a SMS client component.
      • Specify a Start Cycle event for a particular SMS client component.
      • Register an application to be started by the client launchers.
      • Display schedule information for a client component
    • Process Viewer (Pview95.exe): Used to display information on processes on the local or remote Windows computers using a GUI.
    • Set Client Event Tool (SetEvnt.exe): Used to initiate client component events on a SMS client. The Client Event tool forces the Client Configuration Installation Manager (CCIM) and Copy Queue to cycle on the client, by default. You can though specify other client component events as well.
    • Set Preferred Distribution Point and CAP Tool (PrefServ.exe): Used to define the preferred distribution point and CAP for the SMS client.
    • Set New ID Tool (Newuid.exe): Used to allocate a unique SMS identifier (ID) to the client.
    • Zap (Zap.exe): Used to delete a file which cannot be deleted or which is in use.
  • Log File, Schedule File, and Error Code Tools; includes the following SMS tools:
    • Convert Schedule and Read Schedule Tools (SchedCnv.exe and ReadSche.exe): Used for troubleshooting purposes, to display schedule string in a format which can be read.
    • Dump Error Messages (Error32.exe) : Used to display error messages for Win32 error codes.
    • Dump Scheduler Data (DumpSend.exe): Used to display data from a Scheduler send request (.srq) file.
    • Log Span (LogSpan.exe): Used to view SMS log file activity for a specified time period.
    • NAL Logging (Turn_on_nal.reg): Used to enable/disable NAL logging on the SMS server or on the SMS client. It is recommended that you disable NAL logging after the information was retrieved so that the log file size can be decreased again.
    • SMS Trace and Tracer (Smstrace.exe, Tracer.exe): Used to view log file data as it is added to the log file. The SMS Trace and Tracer tools can be installed on the SMS server or SMS client. Before you can use the tools though, you have to enable logging in the SMS Service Manager.
  • Discovery and Inventory Tools; includes the following discovery and inventory SMS tools:
    • Dump Discovery Data (Discdump.exe): Used to obtain network discovery information from the local client discovery data record (DDR).
    • Inventory Synchronizer (InvSyncexe): Used to pass a hardware inventory resynchronization or software inventory resynchronization request to a client.
    • MIF Checker (MIFCheck.exe): Used for the following purposes:
      • Display the Management Information Format (MIF) file in a format that can be read.
      • Verify the MIF file's syntax.
      • Report MIF file syntax errors and semantic errors.
      • Parse a MIF file.
    • MIF Form Generator and MIF Entry (Mifgen.exe, Mifwin.exe): Used to extend the client's computer inventory to contain further information. This is done through the creation of custom groups for storing the additional information.
    • MOF Manager (MofMan.exe): Used to modify the hardware classes and attributes collected for hardware inventory.
    • Software Inventory Viewer (SinvView.exe): Used to for the following purposes:
      • Display and view data processed through the SMS Software Inventory Processor.
      • View data from full inventory files.
      • View data from delta inventory files.
      • View data from the software inventory history file.
    • Software Distribution Tools; includes the following software distribution SMS tools:
      • Advertisement Info (AdvInfo.exe) : Used to display the header information contained in a package file or an advertised programs offer file, including the following:
        • Name
        • Version
        • Package ID.
        • Language
        • MIF file information
        • Disk space requirements
        • Command line for the executable file
      • Configure Client Desktop (SetStart.exe): Used to configure a program shortcut on the Start menu or desktop of the client.
      • Delete PDF (DeletPDF.exe): Used to remove package definition files (PDFs) from a SMS site database.
      • Make CAP (MakeCAP.exe): Used to assign a client access point (CAP) role to a specific server.
      • Make Distribution Point (MakeDist.exe): Used to assign a distribution point role to a specific server.
      • Make Distribution Point Group (MakeDPG.exe): Used to create a distribution point group by using a text file.
      • PDF Wizard (Pdfwiz.exe): Used to create a PDF from a package ID.
      • Test Application (TestApp.exe): Used for the testing of software distribution packages.
    • Remote Control Tools; includes the following remote control SMS tools:
      • Remote Control Settings (RCCliopt.exe): Used to configure the following parameters for a remote client:
        • Default protocol
        • Lana number
        • Specify the Update Enabled setting to enable/disable multisite Remote Control security settings.
      • Set NIC Tool (Multinic.exe): Used to configure the network interface card (NIC) a client binds to.
      • Stop Remote Control (StopRC.exe): Used to stop the Remote Control Client Agent running on a client that uses a RAS account to connect to the network.
    • Scalability Tools; includes the following scalability SMS tools:
      • Site Properties Manager (SMSSPMan.exe): Used to create a hierarchy of sites. The tool allows you to import/export site properties using a GUI. The GUI enables you to easily copy site properties configuration from one site to another site.
      • SMS Console Load Simulation (UILoad.exe): Used to simulate the effect of running multiple SMS Administrator consoles concurrently on a computer. The tool enables you to determine what the load will be on a SMS site when multiple SMS Administrator consoles are being utilized.
      • SMS Object Generator (SMSObgn.exe, SMSObldr.exe): For testing system performance, the SMS Object Generator tool is used to generate data which reflects the actual/expected load on a SMS site
    • SMS 1.2 Interoperability Tools: includes the following interoperability SMS tools:
      • Add/Remove 1.2 Console (V12Admi.ipf): Use this tool to add/remove the SMS 1.2 Administrator console from a computer which currently has the SMS 2.0 Administrator console installed.
      • PGC Migration Wizard (SMS_MPGC.exe): Used to upgrade the PGC application from SMS 1.2 to SMS 2.0.
Publicado por en No hay comentarios:
Suscribirse a: Comentarios (Atom)