Embed Size (px)
Citation preview
Avaliação da aplicação Cisco Prime LMS
Marcelo Andrey Scottini
Curso de Especialização em Redes e Segurança de Sistemas
Pontifícia Universidade Católica do Paraná
Curitiba, Fevereiro de 2013
Resumo
O presente artigo tem como objetivo demonstrar a ferramenta Cisco Prime LMS (Lan
Management Solution), ferramenta proprietária da empresa Cisco Systems que engloba
diversas funcionalidades para simplificar a configuração, monitoração, troubleshooting e
gestão de uma rede Cisco. A ferramenta foi projeta para coletar informações dos
equipamentos através de diversos protocolos, dentre os mais conhecidos: SNMP, CDP, SSH e
Telnet e dessa formar montar uma base de dados com informações da rede. O mesmo tem
como finalidade capacitar o usuário na implantação e na utilização dos principais módulos
da ferramenta.
1. Introdução
Em uma rede de grande porte, onde podem existir camadas de alta disponibilidade e
diversos equipamentos de borda, fica extremamente complicado gerenciar todos os problemas
e melhorias sem ter uma visão macro e centralizada da rede.
O administrador deve conhecer o comportamento da rede, precisa visualizar
rapidamente problemas físicos, como por exemplo, uma porta com drop de pacotes, um
switch off-line, um equipamento com sua capacidade de processamento alta, dentre outros.
Possuir um log de eventos com um histórico satisfatório de armazenamento para consultas, já
que normalmente o buffer dos equipamentos não possui tal capacidade, manter um inventário
atualizado com detalhes de hardware e software: tamanho de memória, modelo do
equipamento, IOS utilizado. Manter um backup das configurações com versões anteriores,
possuir uma auditoria do que foi alterado e por qual usuário, executar deploys para diversos
equipamentos de forma automática, conhecer os dispositivos conectados nos equipamentos de
borda e possuir uma gama de relatórios que podem ser gerados com qualquer informação
desejada.
No mercado podemos encontrar diversas ferramentas que podem fazer todas essas
tarefas, porém a Cisco Systems possui uma ferramenta chamada Cisco Prime Lan
Management Solution que fornece todas essas funcionalidades para os equipamentos da
marca.
2. O que é Cisco Prime LMS?
Cisco Prime LMS é um ferramenta que aposentou o antigo CiscoWorks LMS, os
componentes integrados foram mantidos (Device Fault Manager, Campus Manager, Resource
Manager Essentials, Internetwork Performance Monitor, CiscoView, Common Services,
CiscoWorks Health and Utilization Monitor), porém com um novo conceito de gerenciamento
do clico de vida. Possui uma interface mais amigável, melhor organização dos menus e novas
funcionalidades. A ferramenta permite a gestão de uma rede cabeada baseada nos
equipamentos Cisco através de um navegador e foi construída nos padrões web 2.0.
Figura 1: Complete Lifecycle Management
3. Instalação
Para instalação da ferramenta foi escolhida a plataforma Linux que hospeda a
aplicação. Inicialmente é necessário baixar no site da Cisco.com o Open Virtualization
Archive (OVA), que é um arquivo .ova, para fazer o deploy no ambiente do VMware. Em
outras plataformas como, por exemplo, o Windows, é necessário preparar o Sistema
Operacional conforme documentação da Cisco para poder instalar perfeitamente o Cisco
Prime LMS, no caso do Linux a aplicação é instalada por um script.
Figura 2: Download Cisco Prime LMS
Depois do download é necessário utilizar o arquivo baixado para importar o virtual
appliance para dentro do ambiente de virtualização. Na ferramenta de gerenciamento das
maquinas virtuais do VMware Sphere, selecione File > Deploy OVF Template e localize o
arquivo .ova, nas próximas janelas será escolhido o nome, o disco onde será armazenado e
como será provisionado o espaço alocado do virtual appliance, não é necessário modificar
memória ou CPU que já vem com a configuração de hardware necessária.
Figura 3: Deploy virtual appliance
Com o término do deploy, basta iniciar o novo servidor e acessar a console. A primeira tela é
do script para instalação da aplicação Cisco Prime LMS. Nessa tela serão informados o
hostname, IP, máscara de rede, gateway, domínio, DNS e NTP para o host ter a comunicação
necessária com a rede, além do usuário/senha da console e da interface web, depois todo o
processo de instalação da ferramenta é automatizado.
Os comandos na CLI da aplicação são parecidos com um switch Cisco, porém também é
possível acessar o shell do Linux.
Figura 4: Instalação Cisco Prime LMS
Após término da instalação, o acesso à ferramenta é através do navegador. Digite
https://hostname.dominio.com
Figura 5: Tela de login
4. Ambientação com a interface
Antes de iniciar vamos verificar o menu principal da Ferramenta:
My Meny
Monitor
Inventory
Configuration
Reports
Admin
Na figura abaixo foi destacado o menu legado do antigo CiscoWorks.
Figura 6: Menu principal
5. Descoberta dos equipamentos
Antes de iniciar a descoberta dos equipamentos precisamos preparar as configurações nos
dispositivos. Configurar uma comunidade SNMP e também o IP do Cisco Prime LMS que
receberá informações de syslog.
snmp-server community PUBLIC RO
snmp-server community PRIVATE RW
logging 172.16.100.135
Para iniciar o uso da ferramenta é necessário aplicar as credencias dos equipamentos que
serão utilizadas pela ferramenta para comunicar com os dispositivos. Dentre as credenciais,
são configurados o usuário de telnet/ssh, enable secreat e SNMP. Para aplicar as credenciais
navegue até o menu Admin > Network > Device Credential Settings > Default Credential
Sets. Nessa janela será criada um perfil padrão com as credenciais.
Figura 7: Configuração das credenciais
Com as credenciais configuradas podemos iniciar a descoberta dos equipamentos
acessando no menu ADM > Network > Discovery Settings > Custom Discovery Settings.
Nessa janela será configurado o modo de descoberta que pode ser pelo protocolo CDP, tabela
de roteamento, Ping sweep, SNMP, dentre outros. Com o término da configuração é
necessário clicar no botão Start Discovery. O tempo para descobrir todos os equipamentos
depende do tamanho da rede. É interessante agendar a descoberta para estar sempre com o
parque de equipamentos atualizados, acesse no menu ADM > Network > Schedule e defina o
melhorar dia e horário.
Figura 8: Configuração de descoberta
6. Gerenciamento
Com o termino da descoberta já possuímos a base alimentada por diversas informações
dos equipamentos da rede. Primeiro vamos verificar o Dashboard do inventário e visualizar as
principais informações dos equipamentos gerenciados. Nague no menu Inventory >
Dashboards > Inventory:
Figura 9: Inventário
Nessa janela podemos visualizar o Hardware Summary, um gráfico tipo pizza da
distribuição dos equipamentos, como roteadores, switches, wireless. Clicando em uma fatia
você será levado a um relatório completo dos equipamentos daquela categoria, no relatório
será mostrado informações como nome, modelo, serial, memória, dentre outros. No Software
Summary podemos verificar os IOS que estão rodando nos equipamentos. Na aba Device
Change Audit podemos auditar toda configuração alterada pelos administradores e por
ultimo no User Tracking Summary é a coleta dos hosts conectados na rede cabeada,
podemos verificar diversas informações dos equipamentos conectados na rede, como
hostname, IP, mac-address, switch e porta do switch que o equipamento esta conectado.
Figura 10: Auditoria da configuração alterada
7. Monitoramento
Na opção de monitoramento podemos observar uma séria de informações sobre os
equipamentos, desde uma porta down, um equipamento sem comunicação, consumo de
memória, CPU, erros em interfaces, principais dispositivos que estão enviando mensagens de
syslog e monitorar todas essas informações em tempo real se for necessário. Navegue ao
menu Monitor > Dashboards > Monitoring.
Figura 11: Dashboard de monitoração
8. Configurações
A ferramenta permite coletar a configuração dos equipamentos para backup e comparação
de versões. Esse recurso é de grande valor para comparar versões após alguma alteração
errada e também para montar um relatório dos principais erros de configuração e assim de
uma forma centralizada facilitar a resolução de problemas. Para agendar a coleta das
configurações dos equipamentos navegue no meu Admin > Collect Settings > Config.
Figura 12: Coleta da configuração
No menu Navigator > Config Collection Settings habilite o Periodic Polling para
acontecer diariamente, pois é uma funcionalidade que verifica o que foi alterado sem a
necessidade de baixar toda configuração e utiliza menos recursos de rede, no Periodic
Collection toda configuração é coletada e depois comparada o que utiliza mais recursos de
rede e deve ser configurada semanalmente. Essas configurações não são habilitadas por
padrão e devem ser agendas para manter as configurações atualizadas. Para verificar as
configurações navegue no menu Configuration > Configuration Archive > Summary.
Figura 13: Sumário de coleta das configurações
Com a coleta realizada podemos por exemplo, verificar uma lista de dispositivos que estão
com a configuração no startup-config diferente da running-config, navegue no menu
Configuration > Compliance > Out-Of-Sync Summary.
Figura 14: Configurações Out-Of-Sync
Outra funcionalidade interessante é a comparação entre configurações, navegue no menu
Configuration > Configuration Archive > Compare configs.
Figura 15: Comparação entre configurações
9. Deploy
É possível realizar atualização de IOS para diversos equipamentos simultaneamente ou
alterar uma configuração em um único deploy, navegue no menu Configuration > Tools >
NetConfig > Deploy
Figura 16: Deploy de configuração
Clique no botão Create para iniciar um novo deploy. Na próxima janela deve ser
escolhido os equipamentos desejados e depois pode ser usado as configurações pré-definidas
ou se o usuário souber os comandos pode criar uma tarefa customizada. Nas próximas janelas
será finalizado a configuração para iniciar a execução e alterar a configuração de diversos
equipamentos ao mesmo tempo.
Figura 17: Deploy de configuração
10. Resolução de problemas e correção de configuração
Com as configurações coletadas é gerado um relatório de todas as discrepâncias e
melhores práticas que podem ser utilizadas, além disso é informado ao usuário o que pode ser
feito para sanar o problema. Navegue no menu Configuration > Dashboard >
Configuration.
Figura 18: Relatório de discrepância e melhores práticas
Clique no número de discrepâncias ou melhores praticas para ver um relatório de
explicação e uma possível solução
Figura 19: Resolução de problemas
11. Relatórios diversos
Nesse ponto é onde essa ferramenta pode ganhar pontos em relação a outras similares, o
número de reports é muito completo. Alguns como relatório de hardware com informações
diversas, de software, syslog, hosts conectados e outros.
Figura 20: Menu principal dos relatórios
Alguns exemplos são bastante interessantes, por exemplo, o relatório de End-of-life e
End-of-sale, navegue no menu Reports > Hardware > EoS/EoL Hardware. Na janela
escolha os dispositivos e execute a o report. Após gerar o report clique no link View.
Figura 21: Relatório de EoS/EoL
No exemplo abaixo podemos verificar um Switch 2950 que teve seu EoS em 2006 e EoL
em 2011.
Figura 22: Relatório de EoS/EoL
Outro relatório muito importe é o PSIRT (Security Incident Response Team), podemos
verificar todas as vulnerabilidades que determinado IOS possui, navegue no menu Reports >
PSIRT Summary. Da mesma forma que o relatório anterior escolha os dispositivos e execute
a verificação.
Figura 23: Relatório de Segurança
Um relatório que certamente não encontraremos em outra ferramenta é no menu Reports
> Cisco.com > Contract Connection. Podemos visualizar os contratos que os equipamentos
estão cobertos pelo suporte da Cisco e quais podem estar descobertos para posteriormente
remediação.
12. Conclusão
Conforme o artigo apresentado, a ferramenta é uma poderosa solução para centralizar toda
a informação necessária ao administrador de rede. Dessa forma é possível agir pró-ativamente
na mitigação de problemas e solucionar com rapidez e eficiência. Por ser uma aplicação
específica da Cisco possui algumas funcionalidades únicas. Pode perder mercado por seu alto
valor de compra, porém para grandes corporações que possuem um parque homogêneo da
Cisco é um software indispensável.
Referência
[1]
http://www.cisco.com/en/US/prod/collateral/netmgtsw/ps6504/ps6528/ps11200/deployment_
guide_c07-683965.html
[2]
http://www.cisco.com/en/US/docs/net_mgmt/ciscoworks_lan_management_solution/4.2/user/
guide/admin/preface.html
