Előző 14.1 Mérő szerver típusok specifikumai Következő

14.1.7 IPSec mérő szerverek

Az IPSec mérő szerver aktív és discovery-re képes PVSR modul. A mérő szerver figyelembe veszi az eszköznél beállított timeout és újrapróbálkozás értékeket, a szerver ezeket használja az eszköz SNMP lekérdezéséhez. Az eszközöknek az alap attribútumaikon kívül az alábbi további paramétereik vannak (zárójelben megadva az adott paraméter név kódját, lásd 7.5.6 Nem SNMP adatgyűjtők paraméterei):

  • IP cím (IPSEC EQ 1 IP): Egysoros szöveg mező, amely a nem adminisztrátor felhasználók számára nem látható. A mező az eszköz IP címe, a normál SNMP eszközökhöz hasonlóan
  • Community (IPSEC EQ 2 COMM): Egysoros szöveg mező, amely a nem adminisztrátor felhasználók számára nem látható. A mező az eszköz community jelszava, a normál SNMP eszközökhöz hasonlóan, ha nincsen megadva, akkor public-ként értelmezett
  • SNMP verzió (IPSEC EQ 3 SNMP): Legördülő mező, amely a nem adminisztrátor felhasználók számára nem látható. A mező az eszköz lekérdezéséhez használt SNMP verzió, a normál SNMP eszközökhöz hasonlóan

 

IPSec mérő szervereknél  mérés definíciók felvételkor egy megadott változó készletből lehet gazdálkodni. A rendszer alapból ezeknek megfelelően tartalmaz 48 mérés definíciót, de természetesen ezeket szabadon is lehet változtatni. A változó nevek az alábbiak:

  • Alap Cisco IPSec változók: Több általános Cisco IPSec változó is részét képezi a mérő szervernek, ezek mindegyike nem táblázatos változó. A változó nevek megegyeznek a Cisco MIB szerinti változó nevekkel. A visszaadott értékek megegyeznek a MIB-ben található definícióval, kivéve az octet forgalmak esetében, ahol bit/sec értékben érkeznek a mérő szerverből az adatok. A kezelt változók:

cikeGlobalInDropPkts / cikeGlobalOutDropPkts, cikeGlobalInP2SaDelRequests / cikeGlobalOutP2SaDelRequests, cikeGlobalInP2Exchgs / cikeGlobalOutP2Exchgs, cikeGlobalInP2ExchgInvalids / cikeGlobalOutP2ExchgInvalids, cikeGlobalInP2ExchgRejects / cikeGlobalOutP2ExchgRejects, cikeGlobalAuthFails, cikeGlobalSysCapFails, cikeGlobalDecryptFails, cikeGlobalInitTunnelFails, cikeGlobalRespTunnelFails, cikeGlobalNoSaFails, cikeGlobalHashValidFails, cikeGlobalInitTunnels, cikeGlobalInNotifys / cikeGlobalOutNotifys, cikeGlobalInOctets / cikeGlobalOutOctets, cikeGlobalInPkts / cikeGlobalOutPkts, cikeGlobalActiveTunnels, cipSecGlobalInAuths / cipSecGlobalOutAuths, cipSecGlobalInAuthFails / cipSecGlobalOutAuthFails, cipSecGlobalInDrops / cipSecGlobalOutDrops, cipSecGlobalInDecrypts / cipSecGlobalOutEncrypts, cipSecGlobalInDecryptFails / cipSecGlobalOutEncryptFails, cipSecGlobalInDecompOctets / cipSecGlobalOutUncompOctets, cipSecGlobalInReplayDrops, cipSecGlobalSysCapFails, cipSecGlobalProtocolUseFails, cipSecGlobalNoSaFails, cipSecGlobalInOctets / cipSecGlobalOutOctets, cipSecGlobalInPkts / cipSecGlobalOutPkts, cipSecGlobalActiveTunnels

  • sysUptime: A rendszer sysUptime értékének a századrészét adja vissza, azaz az uptime értékét másodpercben
  • Alap VPN3000 változók: Több általános VPN3000 változót is kezel a mérő szerver, ezek mindegyike nem táblázatos változó. A változó nevek megegyeznek a MIB szerinti változó nevekkel. A visszaadott értékek megegyeznek a MIB-ben található definícióval. A változók:

alActiveSessionCount, alGeneralGaugeActiveSessions, alGeneralGaugeCpuUtil, alHardwareCpuTemp, alHardwareCageTemp, alActiveLanToLanSessionCount, alMaxSessionCount, alActiveManagementSessionCount, alActiveRemoteAccessSessionCount, alGeneralGaugeThroughput

  • Táblázatos változók: A mérés definíciókban tipikusan #VÁLTOZÓ.PORT#-ként vagy #VÁLTOZÓ.AZONOSÍTÓ#-ként szerepelnek, de természetesen a .PRE formájuk is használható. Mindegyik változó egy adott felhasználó névhez, illetve Lan2Lan esetében IP címhez tartozó összes aktuális session-re vonatkozó adatot tartalmaz:
    • sessionCount: Az adott felhasználó névvel aktuálisan hány session létezik
    • alActiveSessionOctetsSent: Küldési forgalom, bit/sec mértékegységgel
    • alActiveSessionOctetsRcvd: Fogadott forgalom, bit/sec mértékegységgel
    • alActiveSessionConnectTime: Hány másodperce tart a kapcsolat. Csak akkor értelmezett, ha egy kapcsolata van csak jelenleg a felhasználónak
    • alActiveSessionProtocol: A session protokoll MIB változó tartalma, a telepített mérések a Lan2Lan session-ök megkülönböztetésére használják
  • Szöveges változók: Az eddigi változók nem csak a képletekben, hanem a feltétel, szorzó vagy leíró OID mezőben is szerepelhettek. Ezek a változók azonban szövegeses, ezért csupán a feltétel vagy a leíró OID-ban szerepelhetnek:
    • alActiveSessionUserName: A kapcsolódó felhasználó neve vagy IP címe

 

A session szintű változók esetében a mérő szerver összesíti az ugyanazon felhasználóhoz tartozó különböző, és esetleg egyidejű session-öket. A session-öket az alActiveSessionUserName változóval lekérdezett felhasználó név alapján rendeli össze, azzal a különbséggel, hogy az összerendelés előtt kisbetűsíti a kapott értékeket, illetve a mérések discovery-je esetében is kisbetűs mérés index-eket állít elő. Példa: ha egy felhasználó be van jelentkezve DOMAIN\\USER és domain\\User névvel is, akkor session sorrend szerint a legelső név lesz felajánlva felhasználó névnek (például DOMAIN\\USER), de a mérések index-e mindenképpen domain\\user lesz. Ennek megfelelően, ha nem discovery-vel, hanem kézzel kerülnek felvételre a mérések, akkor azt csupa kisbetűs index-szel érdemes megtenni, ha azt akarjuk, hogy egy esetleges későbbi kézi módosítás során a re-discovery-vel figyelt mérések közé kerülhessen a mérés, illetve hogy véletlenségből egy későbbi módosítás során nehogy valaki felvegye a discovery-vel felfedezett csupa kisbetűs index-ű mérést is. Bár ez a mérő szerver számára nem jelentene problémát, és ugyanazon érték jelenne meg mindkét esetben, a felhasználók számára zavaró lehet.

 

A mérő szerver alapesetben regisztrálja az installáció során az általa ismert méréseket. Ezek nagy része megegyezik a rendelkezésre álló változó-listával, ahol lehet, ott az in és out változókat egy mérésbe összevonva: Aktív IKE tunnel, Aktív IPSec tunnel, Aktív session, Aktív session használat, CPU használat, IKE authentikációs hibák, IKE csomagok, IKE dekriptálás hibák, IKE eldobott csomagok, IKE értesítések, IKE exchanges, IKE forgalom, IKE hash validációs hibák, IKE invalid exchanges, IKE lokálisan inicializált tunnel, IKE lokálisan sikertelenül inicializált tunnel, IKE nem létezõ Security Association hibák, IKE rendszer kapacitás hibák, IKE távolról sikertelenül inicializált tunnel, IKE törlés kérések, IKE visszautasított exchanges, IPSec Anti-Replay eldobott csomagok, IPSec authentikációk, IPSec csomagok, IPSec decompressed forgalom, IPSec dekriptálás, IPSec eldobott csomagok, IPSec forgalom, IPSec nem létezõ Security Association hibák, IPSec protokoll használat hibák, IPSec rendszer kapacitás hibák, IPSec sikertelen authentikációk, IPSec sikertelen dekriptálás, Lan2Lan session, Management session, Maximum session, Remote session, Throughput használat, Uptime

 

A hőmérséklet változók esetében csak a pozitív értékek kerülnek nyilvántartásra: Cage hõmérséklet és CPU hõmérséklet.

 

A session szintű változók esetében kétféle variációjú mérés típus kerül telepítésre. Mindegyik esetében megtalálható a forgalom, a csatlakozási idő és a session darab szám. A különbség csupán a discovery jellegében van:

  • LanToLan Session eltelt idő, LanToLan Session forgalom, LanToLan Session szám: Csak a LanToLan típusú kapcsolatok esetében jelenik meg a discovery során. Mivel a rendszer időnként újra végez discovery-t, ezért a mérő szerver megjegyzi egy lokális file-ban a korábban már látott felhasználó neveket illetve IP címeket, így a következő eszköz módosítás vagy automatikus rediscovery esetén sem kerülnek törlésre a mérések. Mivel ez a lista egy file-ban található a tmp könyvtár alatt, ezért csak akkor használható, ha a mérő szerver egyedül van a mérés csoportjában
  • Nem LanToLan Session eltelt idő, Nem LanToLan Session forgalom, Nem LanToLan Session szám: Megegyezik az előző esettel, kivéve hogy csak a nem LanToLan esetben jelenik meg

 

Mint a fentiekből látható, az IPSec mérő szerver nyújt UPTIME adatokat, és mint mérés is megjeleníti őket.

 

A mérő szerver telepítéskor létrehoz egy „Default IPSec” eszköz template-et is, melynek segítségével a globális változók és a LanToLan session változók vehetők fel. Ugyancsak létrejön több grafikon template is:

  • IPSec LanToLan forgalom IN: az LanToLan típusú session-ök input forgalma, egymás fölé rajzolva oszloposan
  • IPSec LanToLan forgalom OUT: az LanToLan típusú session-ök output forgalma, egymás fölé rajzolva oszloposan

 

A 14.1.2 SNMP mérő szerverek fejezetben található adatgyűjtő specifikus oldalak ezeknél az eszközöknél is használhatóak, a Processzek és a Diszkek oldalak kivételével.