5Mbps 2Mbps 21Mbps 48Mbps ROUTER AMB_MATRIZ CISCO SWITCH AMB_BORDE CISCO SWITCH AMB_TELEMATICA 3COM ROUTER AMB_CLINICA MIKROTIK ROUTER AMB_RED DE DATOS MIKROTIK ROUTER AMB_CEDIA MIKROTIK ROUTER AMB_ADMINISTRATIVO MIKROTIK SWITCH AMB_FINANCIERO 3COM NO ADMIN SWITCH AMB_LABORATORIO 3COM NO ADMIN SWITCH AMB_LAN 3COM NO ADMIN SWITCH AMB_WIFI 1 3COM NO ADMIN SERVIDOR THUNDERCACHE SWITCH AMB_CLINICA 3COM SWITCH AMB_CLINICA-TELEMATICA 3COM SWITCH AMB_WIFI CLINICA 3COM NO ADMIN SWITCH AMB_LAN CLINICA 3COM NO ADMIN SERVIDOR CACTI IPPA.25/29 IPPA.201/29 IPS.5/24 IPS.2/24 IPRC.1/28 IPPA.28/29 IPRD.1/24 IPPA.204/29 IPS.3/24 IPS.4/24 IPLA.1/24 ETH0:IPAP.50/24 GW=IPAP.1/24 ETH1:IPS.8/24 ETH2: IPRD.5/24 ETH3:IPRC.2/28 ETH4:IPLA.50/24
Gráfica 3. 6 Direccionamiento IP LAN MATRIZ UNIANDES, hasta el año 2014 Fuente: Elaborado por el Investigador
4 IPAP.2/24 SWITCH AMB_WIFI 1 3COM NO ADMIN ROUTER AMB_CEDIA MIKROTIK AP AMB_SALA DE AUDIENCIAS PROXIM AP AMB_PATIO ACROPOLIS PROXIM AP AMB_PARQUE DE LA PAZ PROXIM AP AMB_HALL OFICINAS PROXIM AP AMB_SISTEMAS D-LINK AP TERRAZA-SALA DE PROFESORES PROXIM AP PARED POSTERIOR-TELEMATICA PROXIM AP LABORATORIO-SISTEMAS PROXIM AP DERECHO PROXIM AP AMB_AUDITORIO PROXIM AP AMB_VICECANCILLERIA ADMINISTRATIVA PROXIM SWITCH AMB_ENTRADA DE SERVICIOS 3COM NO ADMIN SWITCH AMB_PROVEEDURIA 3COM NO ADMIN AP AMB_DEPORTES D-LINK SWITCH AMB_CLINICA-TELEMATICA 3COM SWITCH AMB_WIFI 2 3COM RADIO AMB_COMPLEJO URBIQUITI RADIO AMB_ESTACION COMPLEJO URBIQUITI IPAP.16/24 IPAP.14/24 IPAP.8/24 IPAP.11/24 IPAP.12/24 IPAP.3/24 IPAP.4/24 IPAP.5/24 IPAP.18/24 IPAP.7/24 IPAP.6/24 IPAP.41/24 IPAP.40/24 IPRC.1/28 IPS.4/24
Gráfica 3. 7 Direccionamiento IP Access Point UNIANDES, hasta el año 2014 Fuente: Elaborado por el Investigador
3.3.4.3 Configuración de las tarjetas de red del servidor CACTI UNIANDES
Una vez instalado el CACTI, el investigador configuró cinco tarjetas de rede virtuales con el software de la máquina virtual Workstation, con los siguientes datos de direccionamiento IP y mascara de red en las tarjetas de red del servidor CACTI descritas en la Tabla 3.2. Que además muestra el detalle del por qué se crearon las tarjetas de red.
4
TARJETA
DE RED DIRECCION IP DESCRIPCION
ETH0
IPAP.50/24 GW:IPAP.1/24
IP acceso a los Access Point y acceso a Internet para la
administración de los Routers con IPs públicas. Es la IP por defecto.
ETH1 IPS.8/24
IP acceso a los switch administrables.
ETH2 IPRD.5/24
IP acceso al Router Mikrotik RED de DATOS.
ETH3 IPRC.2/28
IP acceso al Router Mikrotik CEDIA.
ETH4 IPLA.50/24
IP acceso a la red LAN de Datos con la sedes UNIANDES.
Tabla 3. 2 Direccionamiento IP de las tarjetas de red del servidor CACTI, hasta el año 2014 Fuente: Elaborado por el Investigador
La única ruta por defecto “Default Gateway IP” que tiene el CACTI, es la primera IP valida de la red IPAP.0/24 en la tarjeta de red ETH0, con la siguiente dirección
IPAP.1/24, como se muestra en la Figura 3.2. , para que cuando no encuentre
una IP localmente la busque en el Internet, el resto de tarjetas son configuradas con su correspondiente dirección IP y no se configura Gateway.
Figura 3. 2 Configuración de la tarjeta de red ETH0 y ETH1 del servidor CACTI UNIANDES, hasta el año 2014
Fuente: Servidor CACTI UNIANDES
No es posible administrar los Routers que tiene las IPs públicas asignadas por el proveedor de la red CEDIA, debido a que tienen restricción de puertos, por lo que
4
el investigador usó el direccionamiento LAN configurado en los Routers Mikrotik RED DE DATOS y Router CEDIA, para poder tener acceso esos routers
Para configurar las tarjetas de red se debe aplicar el siguiente comando en el terminal de consola CENTOS 5.10:
Aparecen las siguientes ventanas donde se debe escoger Network Configuration , Edit Devices y tomo las tarjetas para que sean configuradas como se muestra en la Figura 3.3.
Figura 3. 3 Acceso a la configuración de las tarjetas de red, hasta el año 2014 Fuente: Servidor CACTI UNIANDES
Para reiniciar un servicio de red , una vez configuradas las IPs se debe aplicar el comando:
[root@localhost ~]# setup
4
Para ver las IPs configuradas en las tarjetas de red, desde el CENTOS 5.10, se debe aplicar el siguiente comando en el terminal de consola:
3.3.4.4 Enrutamiento estático del servidor CACTI UNIANDES
Para que se pueda alcanzar a cada elemento de red, el servidor CACTI debe saber por cual interface de red debe salir, la única manera de lograrlo es configurar rutas estáticas en el servidor, para lo cual se debe aplicar el siguiente comando en el terminal de consola CENTOS 5.10:
El formato del comando a ingresar es el siguiente:
El investigador agregó las siguientes rutas para el servidor CACTI UNIANDES: touch /var/lock/subsys/local
route add -net IPS.0 netmask 255.255.255.0 gw IPS.8 route add -net IPRD.0 netmask 255.255.255.0 gw IPRD.5 route add -net IPRC.0 netmask 255.255.255.240 gw IPRC.2 route add -net IPLA.0 netmask 255.255.255.0 gw IPLA.50 route add -net IPPA.201 netmask 255.255.255.248 gw IPLA.50 route add -net IPPT.153 netmask 255.255.255.248 gw IPLA.50 route add -net IPPI.233 netmask 255.255.255.248 gw IPLA.50 route add -net IPPP.33 netmask 255.255.255.248 gw IPLA.50 route add -net IPPS.57 netmask 255.255.255.248 gw IPLA.50 route add -net IPPB.193 netmask 255.255.255.248 gw IPLA.50 route add -net IPPR.241 netmask 255.255.255.248 gw IPLA.50
Para editar el archivo rc.local, se presiona la tecla “i” , y para grabar un cambio se
presiona la techa Esc+:wq. Si se quisiera salir del archivo rc.local sin grabar se
presiona Esc+:q!
[root@localhost ~]# vi /etc/rc.d/rc.local
[root@localhost ~]# ifconfig
4
Las rutas estáticas que son alcanzables por el gateway IPLA.50 sirven para la activación del protocolo NETFLOW propietario de Cisco, que se explica en el punto 3.3.4.12 de la presente tesis.
Se debe tener presente que intrínsecamente existe una ruta por defecto, que para alcanzar a una IP que no se encuentre dentro de las rutas estáticas debe buscar en el internet, esas son el resto de routers Cisco de las sedes Tulcán, Ibarra, Riobamba, Puyo, Santo Domingo, Quevedo, Babahoyo que cuentan con IPs públicas de la CNT EP además de los routers locales que cuentan con IP Publicas del mismo proveedor ( CNT EP ), estos son el router Cisco Ambato Matriz , Router Mikrotik Telemática y Mikrotik Administrativo.
Si se requiere ver la tabla de enrutamiento del servidor CACTI, se debe emplear el siguiente comando:
3.3.4.5 Acceso al servidor CACTI por una IP pública
Para que se tenga acceso desde internet al servidor CACTI, por motivos de visualización de un grupo determinado de usuarios, el investigador con apoyo del
administrador de red, levanto la siguiente dirección http://IPPA.204:8108/cacti/ ,
donde el administrador de red , realizó una NAT12 de la IP privada IPAP.50 a
IPPA.204:8108 en el router Mikrotik ADMINISTRATIVO. El investigador configuró lo siguiente en el servidor CACTI:
Agregar el puerto 8108 en el httpd del servidor CACTI con siguiente comando en el terminal de CENTOS 5.10:
12 NAT (Network Address Translation - Traducción de Dirección de Red) es un
mecanismo utilizado por routers IP para intercambiar paquetes entre dos redes que asignan mutuamente direcciones incompatibles
[root@localhost ~]# netstat -r
4
Para editar el archivo httpd.conf, se presiona la tecla “i” , y para grabar un cambio
se presiona la techa Esc+:wq. Si se quisiera salir del archivo httpd.conf sin grabar
se presiona Esc+:q!
La Figura 3.4 muestra la configuración de la agregación del puerto 8108 en el servidor CACTI.
Figura 3. 4 Configuración del puerto 8108 en el servidor CACTI para acceso público, hasta el año 2014
Fuente: Servidor CACTI UNIANDES
Se debe dar permisos en el CENTOS 5.10 para el puerto 8108, para lo cual se debe ir a System - Administration – Security Level and Firewall – Firewall Options – Other ports, agregar el puerto 8108 con protocolo tcp y en la pestaña SELinux tomar la opción permitir como se muestra en la Figura 3.5.
4
Figura 3. 5 Permisos de seguridad en CENTOS 5.10 para el puerto 8108, hasta el año 2014 Fuente: Servidor CACTI UNIANDES
Y finalmente el CACTI cuenta con una protección de seguridad para acceder al servidor, se le debe indicar que IPs son autorizadas, las IPs deben ser
configuradas en cacti.conf con el siguiente comando en CENTOS 5.10:
Para editar el archivo cacti.conf, se presiona la tecla “i” , y para grabar un cambio
se presiona la techa Esc+:wq. Si se quisiera salir del archivo cacti.conf sin grabar
se presiona Esc+:q!
La Figura 3.6 Muestra un ejemplo de acceso al servidor CACTI para usuarios que sean parte de la red 192.168.92.0/24
4
Figura 3. 6 Ejemplo de acceso al servidor CACTI para usuarios de la red 192.168.92.0/24, hasta el año 2014
Fuente: Servidor CACTI UNIANDES
3.3.4.6 Instalación de Plugins en el servidor CACTI UNIANDES
Los Plugins son módulos de software que se le agregar al servidor CACTI, para que tenga nuevas características de acuerdo a las necesidades del administrador de red, una gran fortaleza del CACTI es su posibilidad de utilizar otras herramientas en su interface web. El Investigador en virtud de los requisitos y necesidades de la red LAN y WAN UNIANDES, estudiadas anteriormente, ha visto la necesidad de implementar los siguientes Plugins:
Plugin Settings Plugin Monitor Plugin Graphs Plugin Thold Plugin Mikrotik Plugin Flowviewer Plugin Weathermap
Los cuáles serán explicados a detalle más adelante.
Para la descarga de los Pluging , se lo realiza de la siguiente página web
4
3.3.4.7 Plugin Settings
El Plugin Settings proporciona servicios de infraestructura común para arquitectura del CACTI, permitiendo utilizar Mailer API para enviar correos electrónicos transaccionales, del estado de los dispositivos de la red LAN y WAN UNIANDES, así como correos de saturación de un determinado tráfico. El Plugin
Settings también activa el sistema de nombre de dominio DNS13.
Para instalar el Plugin Settings, se abre un terminal del CENTOS 5.10 para cambiar a la carpeta plugins con el siguiente comando:
Figura 3. 7 Cambiar a la carpeta plugins, hasta el año 2014 Fuente: Servidor CACTI UNIANDES
Se debe utilizar el comando wget para descargar el Plugin Settings con el
siguiente comando:
Figura 3. 8 Descarga del Plugin Settings v0.7, hasta el año 2014 Fuente: Servidor CACTI UNIANDES
13Domain Name System o DNS (en español: sistema de nombres de dominio) es
un sistema de nomenclatura jerárquica para computadoras, servicios o cualquier recurso conectado a Internet o a una red privada.
# cd /usr/share/cacti/plugins
4
Antes de instalar el Plugin Settings se debe eliminar el prefijo “plugin” que viene por defecto al descargar el Plugin Settings con el siguiente comando:
Figura 3. 9 Eliminación del prefijo “plugin” en Settings v0.7, hasta el año 2014 Fuente: Servidor CACTI UNIANDES
Con el fin de extraer el Plugin Settings , el investigador utilizó el comando “tar - zvxf nombre-plugin”, como se muestra en el siguiente comando:
Figura 3. 10 Extraer el Plugin Settings v0.7, hasta el año 2014 Fuente: Servidor CACTI UNIANDES
Una vez que el Plugin Settings se ha extraído, se debe eliminar el archivo comprimido con el comando:
# mv plugin:settings-v0.7-1.tgz settings-v0.7-1.tgz
# tar –zvxf settings-v0.7-1.tgz
4
Figura 3. 11 Eliminación del archivo comprimido Settings v0.7.tgz , hasta el año 2014 Fuente: Servidor CACTI UNIANDES
Se debe confirmar que el archivo comprimido settings-v0.7-1 haya sido eliminado, con el siguiente comando:
Para la activación de Plugin Settings v0.7 se debe ir a la página principal del CACTI – Console – Plugin Management y realizar un click en Actions hasta que se muestre como la Figura 3.12
Figura 3. 12 Activación del Plugin Settings, hasta el año 2014 Fuente: Servidor CACTI UNIANDES
3.3.4.7.1 Configuración de Settings MAIL/DNS
Para la configuración de MAIL/DNS se debe ir a Console – Settings – Mail/DNS El investigador utilizó el GMAIL como el envío de reportes con la siguiente configuración:
Test Email
Esta es una cuenta e-mal utilizada para el envío de un mensaje de prueba para asegurarse de que todo está funcionando correctamente.
# ls
4 Mail Sevices
Qué servicio de correo utiliza con el fin de enviar correo
From Email Address
Esta es la dirección de correo electrónico de origen
From Name
Este es el nombre real que aparecerá en el mensaje
Word Wrap (Ajuste de línea)
Este es el número de caracteres que se permitirá en el correo electrónico de forma automática . ( 0 = desactivado)
Sendmail Path
Esta es la ruta a envío de mail en su servidor. ( Sólo se utiliza si se selecciona el envío de mail como Mal Service )
SMTP Hostname
Este es el nombre de host / IP del servidor SMTP que enviará el correo electrónico.
SMTP Port SMTP
Monitoreo Cacti Uniandes
120
/usr/sbin/sendmail
4 Este es el puerto del servidor SMTP que utiliza SMTP.
SMTP Username
Este es el nombre de usuario que autentica con la hora de enviar a través de SMTP. (Dejar en blanco si no se requiere autenticación. )
SMTP Password
Este es el password para autenticarse al enviar vía SMTP. (Dejar en blanco si no se requiere autenticación. )
********** (es la clave del acceso al mail), se la debe ingresar dos veces. Primary DNS IP Address
Introduzca la dirección IP del DNS primario utilizada para las búsquedas inversas.
Secondary DNS IP Address
Introduzca la dirección IP del DNS secundario para utilizar las búsquedas inversas.
DNS Timeout
Introduce el tiempo de espera del DNS en milisegundos. Cacti utiliza una resolución de DNS
Para el cambio al correo del administrador, debe tener una cuenta en GMAIL, quien informo que si la tenía para las alarmas de los routers Mikrotik, basta con modificar el mail con su correspondiente usuario y contraseña.
465
borisfer.sanchez
4.4.4.4
8.8.8.8
4
La Figura 3.13 Muestra la configuración realizada en el servidor CACTI UNIANDES
Figura 3. 13 Configuración de Mail/DNS Plugin Settings, hasta el año 2014 Fuente: Servidor CACTI UNIANDES
Ahora se debe pedir permisos al firewall de CENTOS para que se pueda usar Mail (SNMP) y poder enviar correos.
Para lo cual se tiene que ir a System – Administration – Security Level Configuration, se da click en Mali(SNMP) y en otros puertos , se agrega el puerto 465 con TCP, para poder usar GMAIL, la Figura 3.14 muestra la configuración del nivel de seguridad realizada en CENTOS 5.10 .
4
Figura 3. 14 Permisos en CENTOS 5.10 para Mail (SNMP) y agregación del puerto 465, hasta el año 2014
Fuente: Servidor CACTI UNIANDES
En la configuración de Settings Mail/DNS se hace un click en Send a test Emal , para comprobar que lo configurado es correcto y debe aparecer así:
Figura 3. 15 Test de prueba de Settings Mail/DNS, hasta el año 2014 Fuente: Servidor CACTI UNIANDES
En la cuenta del GMAIL se debe recibir una mail enviado por el servidor CACTI, del test realizado.
4
3.3.4.8 Plugin Monitor
El Plugin Monitor permite tener de un vistazo de todos los elementos de red monitorizados por el CACTI, dispone de alerta audible, admite establecer permisos de usuarios para ver los elementos de red y permite deshabilitar la supervisión de un elemento, si el administrador considera necesario.
Para instalar el Plugin Monitor, se abre un terminal del CENTOS 5.10 para cambiar a la carpeta plugins con el siguiente comando
Se debe utilizar el comando wget para descargar el Plugin Monitor con el
comando:
Antes de instalar el Plugin Monitor se debe eliminar el prefijo “plugin” que viene por defecto al descargar el Plugin Monitor con el siguiente comando:
Figura 3. 16 Eliminación del prefijo “plugin” en Monitor v1.3, hasta el año 2014 Fuente: Servidor CACTI UNIANDES
Con el fin de extraer el Plugin Monitor , el investigador utilizó el comando “tar -zvxf nombre-plugin”, como se muestra en el siguiente comando:
# cd /usr/share/cacti/plugins
# wget http://docs.cacti.net/_media/plugin:monitor-v1.3-1.tgz
# mv plugin:monitor-v1.3-1.tgz monitor-v1.3-1.tgz
4
Figura 3. 17 Extraer el Plugin Monitor v1.3, hasta el año 2014 Fuente: Servidor CACTI UNIANDES
Una vez que el Plugin Monitor se ha extraído, se debe eliminar el archivo comprimido con el siguiente comando:
Figura 3. 18 Eliminación del archivo comprimido monitor-v1.3-1.tgz, hasta el año 2014 Fuente: Servidor CACTI UNIANDES
Se debe confirmar que el archivo comprimido monitor-v1.3-1 haya sido eliminado, con el siguiente comando:
Figura 3. 19 Listado después de eliminar plugin:monitor-v1.3-1.tgz, hasta el año 2014 Fuente: Servidor CACTI UNIANDES
Para la activación de Plugin Monitor v0.1.3-1 el investigador fue a la página principal del CACTI – Console – Plugin Management y realizó un click en Actions hasta que se muestre como la Figura 3.20
# rm -rf monitor-v1.3-1.tgz
4
Figura 3. 20 Activación del Plugin Monitor v1.3, hasta el año 2014 Fuente: Servidor CACTI UNIANDES
3.3.4.8.1 Ingresar un nuevo dispositivo al servidor CACTI UNIANDES
Para que se pueda ingresar un nuevo dispositivo, este debe ser alcanzable desde el servidor CACTI UNIANDES, siguiendo la siguiente configuración:
En el CACTI se debe ir a Console – Devices – Add
Opciones de Host Generales
Description: Una descripción significativa (nombre del dispositivo), aquí el investigador sugiere se mantenga el formato de descripción aplicado en la implementación de cada elemento de red, el cual se muestra a continuación:
ELEMENTO DE RED_SEDE_DESCRIPCION
Dónde:
ELEMENTO DE RED: son los routers, switch, Access Point, etc., representados por un nemónico, así el router se lo representa con R, el switch con SW, el Access Point con AP y los radios con NSM5 (Nano estación M5).
SEDE: son cada una de las sedes que conforman la UNIANDES, se las representa con un nemónico como se muestra en la Tabla 3.3 de la siguiente manera: SEDES NEMÓNICO AMBATO AMB TULCAN TLC IBARRA IBR PUYO PYO SANTO DOMINGO STD BABAHOYO BBH RIOBAMBA RBB QUEVEDO QVD
Tabla 3. 3 Nemónico de Sedes UNIANDES, hasta el año 2014 Fuente: Elaborado por el Investigador
4
DESCRIPCION: Una descripción rápida del elemento de red, que el administrador
identifique a simple vista.
La Figura 3.21 muestra un ejemplo de la descripción del router de CNT que da el servicio de Internet y datos en la sede matriz Ambato UNIANDES y el listado de las descripciones que se aplicaron en el servidor CACTI UNIANDES, para los elementos de red.
Figura 3. 21 Descripción para crear un dispositivo y lista de elementos de red UNIANDES, hasta el año 2014
Fuente: Servidor CACTI UNIANDES
Hostname: Nombre de host o dirección IP para el dispositivo como se muestra en la Figura 3.22.
4
Figura 3. 22 Dirección IP para crear un dispositivo, hasta el año 2014 Fuente: Servidor CACTI UNIANDES
Host Template: Elija la Plantilla de Host (elemento de red) que se utiliza para definir las plantillas de gráfico predeterminado y solicitud de datos asociadas a este host.
El investigador determinó en la implementación del monitoreo de la red UNIANDES, que el Template a utilizar dependerá de la marca del elemento de red, donde si es un equipo Cisco se debe utilizar el template “Cisco Router” y si las marcas son 3COM, MIKROTIK, PROXIM, D-LINK y URBIQUITI, se debe utilizar el template “Generic SNMP – enable Hots”, la Figura 3.23 muestra los dos tipos de template utilizados en la implementación de los elementos de red UNIANDES.
Figura 3. 23 Template para crear un dispositivo, hasta el año 2014 Fuente: Servidor CACTI UNIANDES
Number of Collection Threads: Es el número de procesos concurrentes a utilizar para el sondeo del dispositivo. Se usa el que viene por defecto como se aprecia en la Figura 3.24.
Figura 3. 24 Número de procesos concurrentes para crear un dispositivo, hasta el año 2014 Fuente: Servidor CACTI UNIANDES
Disable Host: Marque esta casilla para desactivar todos los controles para este host. Va sin activar, como se muestra en la Figura 3.25.