CENTAR INFORMACIONOG SISTEMA UNIVERZITET CRNE GORE

Analiza saobraćaja i
upravljanje uređajima na
osnovu netflow podataka u
AMUCG
Milan Čabak, Vladimir Gazivoda, Božo Krstajić
5/1/2014
Contents
Sažetak .......................................................................................................................................................... 2
Uvod .............................................................................................................................................................. 3
1. Analiza mrežnog saobraćaja ................................................................................................................. 4
1.1. Flow tehnologije............................................................................................................................ 4
1.2. NetFlow mrežna analiza ................................................................................................................ 4
2. Konfiguracija FNF eksportera ................................................................................................................ 5
2.1. Konfiguracija FNF zapisa ............................................................................................................... 5
2.2. Definisanje FNF eksportera ........................................................................................................... 6
2.3. Kreiranje flow monitora ................................................................................................................ 6
2.4. Aktiviranje i deaktiviranje flow monitora ..................................................................................... 7
2.5. Prikaz i uklanjanje FNF zapisa sa eksportera................................................................................. 8
3. Instalacija i konfiguracija FNF kolektora ............................................................................................... 9
4. Primjer upravljanja mrežnim uređajem u AMUCG ............................................................................. 16
4.1. Proces upravljanja ....................................................................................................................... 16
4.1.1. Flow kolektor ...................................................................................................................... 16
4.1.2. NMS/Trap kolektor ............................................................................................................. 18
4.1.3. Mehanizmi upravljanja........................................................................................................ 20
4.1.4. Eksporter ............................................................................................................................. 22
5. Primjena predloženog rešenja upravljanja u AMUCG ........................................................................ 24
6. Zaključak.............................................................................................................................................. 26
Literatura .................................................................................................................................................... 28
Spisak skraćenica ........................................................................................................................................ 29
Sažetak

Dokument opisuje metode monitoringa i upravljanja u računarskim mrežama. Kvalitet i

dostupnost servisa računarske mreže zavisi od uspješnosti monitoring sistema i sistema upravljanja.

Dokument će predstaviti flow kolektor za prikupljanje i analizu podataka o ostvarenom mrežnom

saobraćaju, načine na koji prikuplja, analizira i vrši njihov prikaz, koji se dobijaju od strane eksportera sa
mrežnih uređaja. Dizajnirano i testirano rešenje za analizu mrežnog saobraćaja biće prezentovano i
iskorišćeno za realizaciju sistema upravljanja mrežnim uređajima na osnovu kvalitativne analize mrežnog
saobraćaja.

Nadalje, u dokumentu će biti analizirane neke od osnovnih tehnika upravljanja računarskom mrežom.
Biće predloženo rješenje koje će, na osnovu podataka dobijenih kvalitativnom analizom mrežnog
saobraćaja, slati upozorenja i automatizovati akcije koje će biti pokrenute sa ciljem izmjene
konfiguracije mrežnih uređaja.
Uvod

Složenost današnjih računarskih mreža se ogleda u raznovrsnosti mrežnih tipova, medijuma,

tehnologija, servisa i velikog broja korisnika. Mrežnim administratorima su potrebni automatizovani alati
koji će prikupljati informacije o mrežnim elementima i uspješno upravljati ovim složenim sistemom.

Potreba za alatima koji vrše kvalitativnu analizu mrežnog saobraćaja je sve izraženija kako bi se imao što
bolji uvid u kategoriju saobraćaja koji prolazi kroz mrežne linkove. U današnjim mrežama se ne možemo
osloniti samo na informacije o kvantitetu saobraćaja, tj. zauzetosti linkova. Potrebne su informacije o
tome ko ili šta, kada i kako koristi mrežne resurse. Monitoring mreže je kompleksan i zahtjevan zadatak
od velike važnosti za mrežne administratore.

Monitoring predstavlja prikupljanje i analizu podataka o mrežnom saobraćaju. Na osnovu prikupljanih

podataka se mogu pokrenuti određeni mehanizmi koji će upravljati mrežnim uređajima i sistemom u
cjelini.
1. Analiza mrežnog saobraćaja

U savremenim računarskim mrežama od velike važnosti je posjedovanje alata za analizu

mrežnog saobraćaja. Prikupljanjem podataka sadržanih u flow eksportima, od strane rutera ili svičeva
može se dobiti kvalitativna analiza mrežnog saobraćaja, kao i odgovori o tome ko ili šta, kada i kako
koristi mrežne resurse. Ovo znanje je od važnosti za mrežne administratore u pogledu donošenja
ispravnih odluka koje mogu doprinijeti čitavoj organizaciji. Postoje razne metode, a u dokumentu će biti
predstavljena flow orjentisano softversko rešenje koje koristi distribuirane tehnike prikupljanja
podataka. Za razliku od hadverskih monitoring uređaja, flow orjentisane softverske tehnike imaju
prednosti u pogledu manjih ulaganja, lakoće instalacije i ostvarivanja rezultata u vrlo kratakom
vremenskom periodu.

1.1.Flow tehnologije

Prilikom izbora tehnologije treba voditi računa koje verzije flow tehnologija su podržane od
strane mrežnih uređaja u računarskoj mreži. Implementacija flow orjentisane tehnologije zahtjeva
uređaj koji po svojim specifikacijama ima podržanu flow tehnologiju. Razni proizvođači razvijaju različite
verzije flow tehnologija koje su u stvari varijacije jedne iste tehnologije. Stoga imamo NetFlow
tehnologiju podržanu većinom od strane Cisco uređaja [1], sFlow Allied Telesis i mnogi drugi, JFlow
Juniper, Netstream Huawei, IPFIX Nortel mrežni uređaji.

Odabir flow tehnologije zavisi od raspoloživosti uređaja u mreži i tehnologija. Ove tehnologije se vrlo
malo razlikuju, ali treba voditi računa iz razliga što različiti softveri koji se bave kolektovanjem ovih
podataka podržavaju jednu ili više različitih flow tehnologija. Flow tehnologije različitih proizvođača
međusobno nisu kompatibilne. Ulažu se napori da se uradi standardizacija flow tehnologija.

1.2.NetFlow mrežna analiza

Svaki IP paket, koji se proslijedi od strane mrežnog uređaja (eksportera), se ispituje u cilju
pronalaženja seta IP podataka. Ti podaci su identifikatori IP paketa i određuju da li je paket jedinstven ili
je dio seta paketa koji se prenose mrežom. Zaglavlje IP paket se sastoji od seta 5 do 7 atributa. Atributi
IP paketa koji se koriste od strane NetFlow tehnologije su: izvorišna IP adresa, odredišna IP adresa,
izvorišni port, odredišni port, tip servisa (ToS polje), interfejs mrežnog uređaja.

Flow informacije su veoma korisne za razumjevanje mrežnog ponašanja. Izvorišna adresa omogućuje
razumjevanje ko stvara saobraćaj, destinaciona adresa govori o tome kome je saobraćaj namjenjen, port
ukazuje koja aplikacija vrši komunikaciju, tip servisa određuje prioritet saobraćaja, dok grupisani paketi i
podaci prikazuju količinu ostvarenog saobraćaja. Dodatne informacije koje su uključene u flow su:
vrijeme u cilju razumjevanja trajanja komunikacije i računanja paketa, naredni hop i sabnet maska
izvorišne i odredišne IP adrese za izračunavanje prefiksa.
2. Konfiguracija FNF eksportera

Eksporter je mrežni uređaj sa aktivnim NetFlow servisom. Eksporter nadgleda pakete koji
prolaze kroz uređaj (interfejse koji se nadgledaju) i kreira flow od tih paketa. Prikupljene informacije se
eksportuju u formi flow zapisa do NetFlow kolektora.

Fleksibilni NetFlow (FNF), za razliku od tradicionalnog NetFlow-a (TNF), omogućava prilagođavanje i

fokus na određenim informacijama u mreži. FNF ima više dodatnih
polja, što omogućava organizaciji da nadgleda više specifičnih informacija, tako da ukupan broj
informacija koji se izvozi je smanjen, pritom omogućavajući poboljšanu skalabilnost i agregaciju.

2.1.Konfiguracija FNF zapisa

Fleksibilni NetFlow (FNF) zahtjeva eksplicitnu konfiguraciju flow zapisa sa svim neophodnim i
dodatnim poljima. Sledeći primjeri konfiguracije odnose se na Cisco ASR 1002 mrežne uređaje [2].

Definisanje osnovnih i dodatnih FNF polja se vrši na mrežnom uređaju na sledeći način:

flow record [naziv zapisa]

description [opis zapisa]

match [tip polja] [vrijednost polja]

collect [tip polja] [vrijednost polja]

Primjer 1. Konfiguracija FNF zapisa sa osnovnim i dodatnim poljima:

flow record Record-FNF

description Flexible NetFlow
match ipv4 tos
match ipv4 protocol
match ipv4 source address
match ipv4 destination address
match transport source-port
match transport destination-port
match interface input
match flow direction
match application name
collect routing source as
collect routing destination as
collect routing next-hop address ipv4
collect ipv4 dscp
 collect ipv4 id
collect ipv4 source prefix
collect ipv4 source mask
collect ipv4 destination mask
collect transport tcp flags
collect interface output
collect counter bytes
collect counter packets
collect timestamp sys-uptime first
collect timestamp sys-uptime last

2.2.Definisanje FNF eksportera

NetFlow podaci koji se čuvaju priivremeno na mrežnom uređaju, detaljno se analiziraju pošto se
eksportuju na kolektor. Definisanje FNF eksportera je neophodno ukoliko se podaci eksportuju do
eksternog kolektora. FNF eksporter na mrežnom uređaju se konfiguriše na sledeći način:

flow exporter [naziv eksportera]

description [opis eksportera]

destination [IP adresa NetFlow kolektora]

source [naziv interfejsa]

transport [UDP ili TCP] [broj porta]

export-protocol [naziv protokola]

Primjer 2. Konfiguracija FNF eksportera na mrežnom uređaju:

flow exporter Export-FNF

description FNF v9
destination 10.0.1.100
source GigabitEthernet0/0/2
transport udp 9996
export-protocol netflow-v9
option interface-table
option application-table

2.3.Kreiranje flow monitora

Flow monitor sadrži predhodno definisani flow zapis i jedan ili više definisanih eksportera, koji
prikupljaju i analiziraju dobijene podatke. FNF monitor na mrežnom uređaju se konfiguriše na sledeći
način:
flow monitor [naziv flow monitora]

description [opis flow monitora]

record [naziv predhodno definisanog zapisa]

exporter [naziv predhodno definisanog eksportera]

cache timeout active 60 [vrijeme eksportovanja “long-lived” zapisa]

Primjer 3. Konfiguracija FNF monitora na mrežnom uređaju:

flow monitor Monitor-FNF

description FNF Traffic Analysis
record Record-FNF
exporter Export-FNF
cache timeout active 60

2.4.Aktiviranje i deaktiviranje flow monitora

Poslednji korak konfiguracije je dodjeljivanje flow monitora interfejsima na uređaju čime se

aktivira monitoring saobraćaja i eksport podataka do eksternog kolektora koji je predhodno definisan.
Aktiviranje flow monitora na mrežnom uređaju se izvršava na sledeći način:

interface [naziv interfejsa]

ip flow monitor [naziv flow monitora] input

ip flow monitor [naziv flow monitora] output

Primjer 4. Aktiviranje flow monitora:

interface GigabitEthernet0/0/1
description Gateway Interface
ip flow monitor Monitor-FNF input
ip flow monitor Monitor-FNF output

Ukoliko je potrebno stopirati eksport podataka sa eksportera i zaustaviti monitoring saobraćaja,

neophodno je primjeniti sledeće komande:
Primjer 5. Deaktiviranje flow monitora:

interface GigabitEthernet0/0/1
description Gateway Interface
no ip flow monitor Monitor-FNF input
no ip flow monitor Monitor-FNF output
 2.5.Prikaz i uklanjanje FNF zapisa sa eksportera

Na eksporteru moguće je direktno prikazati FNF podatke i izvršiti njihovo brisanje, kao i
uklanjanje prikupljenih statistika. Za direktan prikaz podataka na eskporteru moguće je koristiti i razne
filtere za prikaz traženih informacija.

Primjer 6. Prikaz FNF zapisa na eksporteru:

show flow monitor Monitor-FNF cache

Primjer 7. Uklanjanje FNF podataka sa eksportera:

clear flow exporter Export-FNF statistics

clear flow monitor Monitor-FNF cache
3. Instalacija i konfiguracija FNF kolektora

Manageengine NetFlow Analyzer kolektor prikuplja i analizira flow podatke dobijene od

eksportera sa mrežnog uređaja. Prednosti korišćenja NetFlow Analyzer softvera ogledaju se u skalabilnoj
arhitekturi koja podržava veliki broj uređaja, mogućnosti centralizovanog i decentralizovanog rešenja i
većeg broja podržanih flow tehnologija [3]. Ne zahtjeva kompleksne hadverske kolektore, a pritom radi
na Windows i Linux 32 i 64 bit-nim operativnim sistemima i pruža besplatnu analizu saobraćaja do dva
interfejsa na jednom ili dva različita uređaja. Radi se o komercijalnom rešenju što znači da za njegovo
korišćenje treba posjedovati licencu za monitoring više od dva interfejsa (cijena licence zavisi od broja
interfejsa). Kolektor se može testirati 30 dana bez ograničenja, a nakon isteka testnog perioda nastavlja
sa radom uz mogućnost nadgledgledanja do dva interfejsa [4].

Prvi korak implementacije kolektora je odabir hadvera odnosno hosta na kojem će biti izvršena
instalacija operativnog sistema i kolektora. Testiranja su pokazala da NetFlow Analyzer podjednako
dobro radi na Windows i Linux platformama. Odabir hosta zavisi od broja interfejsa koji se nadgledaju.
Veći broj mrežnih uređaja i interfejsa zahtjeva bolju hadversku konfiguraciju. Instalacija na Windows i
Linux operativnim sistemima podjednako je jednostavna. Nakon instaliacije operativnog sistema i
kolektora potrebno je konfigurisati i aktivirati flow monitor na eksporteru sa kojeg pristižu podaci koje
kolektor obrađuje. Detalji konfiguracije su opisani u predhodnom poglavlju ovog dokumenta.

Drugi korak se sastoji od podešavanja parametara na kolektoru. Podešavanje podrazumjeva unos

arhitekture mreže u vidu podmreža (IP Grupe), kako bi kasnije bio omogućen lakši pregled prikupljenih
podataka.

Upotebom NetFlow Analyzer kolektora moguće je dobiti informacije o količini ostvarenog mrežnog
saobraćaja, aplikacijama, izvorišnim i destinacionim adresama koje učestvuju u konverzaciji, kao i detalje
vezane za korišćene protokole, portove i druge karakteristike mrežnog saobraćaja u odabranom
vremenskom periodu, slika 1. i slika 2. Osim ovih informacija moguće je dobiti pregled ostvarenih
konekcija određenog hosta, ostvarenog saobraćaja pojedinačnih IP grupa, interfejsa, prcentualnu
zastupljenost protokola, aplikacija.

Pored statističkih podataka moguće je kreiranje raznih vrsta upozorenja prilikom ostvarivanja zadatih
parametara, što će biti detaljnije opisano u narednom poglavlju dokumenta.
 Slika 1. Pregled ostvarenog mrežnog saobraćaja

Prikazom odabrane IP grupe sa slike 1. uočava se host koji je u vremenskom period od sat vremena
ostvario 48% ukupnog saobraćaja ili 481.81 MB podataka. Odabirom IP adrese dobija se spisak hostova
sa kojima host iz mreže komunicira i protokola po kojima se odvija komunikacija.

Slika 2. Pregled ostvarenih konekcija odabranog hosta

Odabirom hosta sa slike 1. i detaljnijim uvidom u komunikaciju na slici 2. se može zaklučiti da host
komunicira sa raznim hostovima na Interentu uglavnom po standardim portovima 80 i 443. Navedeni
primjer pokazuje da se veoma efikasno može ustanoviti ko ili šta, kada i kako koristi mrežne resurse u
kratkom vremenskom periodu.
Kapaciteti računarskih mreža su ograničeni i svako neadekvatno korišćenje resursa može dovesti do
drastičnog pada u performansama. Adekvatnim monitoringom smanjuje se vrijeme koje je potrebno
mrežnim administratorima da ustanove potencijalne izvore problema. Moguće je utvrditi IP adresu
hosta, tip aplikacije, port, protokol, ostvareni saobraćaj u određenom veremenskom intervalu. Flow
tehnologije omogućavaju da sve informacije od interesa vrlo brzo i jednostavno procesuiraju i dobiju u
obliku izvještaja u prilagodljivim formatima bilo da se nadgleda mreža u realnom vremenu ili se vrše
analize iskorišćenosti mrežnih resursa u različitim periodima dana, nedelje ili mjeseca.

NetFlow Analyzer pored opcije kreiranja IP Grupa omogućava kreiranje i grupa sa uređajima ukoliko
postoji više uređaja koji eksportuju flow informacije, obavještajnih profila koji upozoravaju na specifična
dešavanja u mreži koja su od interesa, raznih izvještaja čije se kreiranje zakazuje u određeno doba dana,
nedeljno ili mjesečno, profila koji prikazuju razne informacije i korisničkih naloga [5]. Kreiranje grupa
uređaja, omogućava grupisanje više desetina ili stotina uređaja zavisno od veličine mreže i broja uređaja
koji vrše eksportovanje podataka. Ukoliko se nadgledaju interfejsi sa različitih uređaja kao jedna cjelina
moguće je kreirati grupu interfesja. Kreiranje grupe interfejsa je jako zgodno, jer sa više uređaja je
moguće nadgledati one interfejse koji su od interesa.

Kreiranjem IP Grupa dobija se prikaz za zasebne podmreže koje se posmatraju. IP Grupa se može
dodjeliti određenom administratoru koji je zadužen za jednu ili više podmreža, dok vodeći administrator
može imati uvid u sve IP Grupe i pogled na cjelokupnu mrežu na globalnom nivou.

Slika 3. Kreirane IP Grupe

Podmreže (IP Grupe) su prikazane na slici 3., čiji saobraćaj se nadgleda sa odabranih interfejsa.
Odabirom IP grupe dobija se spisak hostova IP grupe, slika 1. sa ukupnim saobraćajem koji je ostvario
svaki od hostova. Detaljniju statistiku moguće je dobiti izborom IP adrese određenog hosta i čime se
dobija uvid u vrstu saobraćaja koju odabrani host ostvaruje, preko kojih portova i koje aplikacije se
koriste za ostvarivanje komunikacije, slika 2.

NetFlow Analyzer ima veliki broj funkcionalnosti koje administratorima mreže mogu donjeti velike
prednosti i uštedu vremena prilikom otklanjanja anomalija u mreži i pronalaska takozvanih “uskih grla”
koja su kritična za njeno ispravno funkcionisanje.

Slika 4. Interfejsi na uređajima sa kojih se vrši eksport podataka

Prikaz interfejsa na uređajima koji vrše eksport flow podataka dat je na slici 4. Na primjeru sa slike 4.
slanje podataka obavlja se sa dva interfejsa. Može se nadgledati zauzetost interfejsa u datom trenutku,
kao i broj primljenih flow paketa od strane kolektora. Izborom interfejsa može se dobiti uvid u detaljniju
statistiku.

Slika 5. Najzastupljeniji protokoli

Prikaz najčešće korišćenih protokola u mreži za odabrani vremenski period dat je na slici 5. Slika 5.
prikazuje zastupljenost TCP ptotokola od 94%, dok UDP protokol zauzima svega 3% ukupnog saobraćaja.

Slika 6. Najzastupjenije aplikacije

Zastupljenost određenih aplikacija za odabrani vremenski period od sat vremena prikazan je na slici 6.
Od ukupno saobraćaja 67% ili 12.54 GB podataka su ostvarile HTTP aplikacije, dok su aplikacije koje
koriste sigurni HTTPS protokol ostvarile 19%, odnosno 3.56 GB podataka.

Slika 7. Top konverzacije hostova u mreži

Hostovi koji su ostvarili najveće količine saobraćaja u mreži u vremenskom periodu od sat vremena,
prikazani su na slici 7.

Nadalje, postoji mogućnost odabira podataka koji se nadgledaju, kreiranjem odgovarajućih profila i
filtera, slika 8.

Slika 8. Kreiranje profila za prikaz podataka

Kreiranje posebnih profila omogućava praćenje samo onih informacija koje su od značaja [6]. Moguće je
odabrati uređaj sa kojeg se nadgledaju podaci, interfejs, vrstu izvještaja, vremenski period u okviru kojeg
se vrši nadgledanje podataka i kreiranje filtera. Filteri omogućavaju dobijanje detaljnijih prikaza
podataka, izdvajanje i prikaz iz velikog broja informacija, podataka koji su od interesa za nadgledanje.
Može se odabrati prikaz samo određenih aplikacija, izvorišne i odredišne adrese koje ih koriste ili mreže,
kao i prikaz na osnovu protokola koji su uključeni u konfiguraciju, slika 9.

Slika 9. Prikaz podataka uz pomoć filtera

Flow tehnologijom i kolektorom kao što je NetFlow Analyzer moguće je ostvariti punu kontrolu
(monitoring) nad računarkom mrežom.

Uz flow tehnologiju moguće je upotrijebiti druge mogućnosti mrežnih uređaja da ograničavaju protoke
na svojim interfejsima, hostovima ili protokolima, čime se ostvaruje kontrola nad mrežom [7][8]. Detalji
o ovoj metodi i njenoj implementaciji u okviru AMUCG biće prezentovani u narednom poglavlju.
4. Primjer upravljanja mrežnim uređajem u AMUCG

Upravljanje mrežnim uređajima koje ima primjenu u AMUCG biće pokazano na sledećem
primjeru. Upravljanje ima za cilj ograničavanje protoka IP grupa i/ili hostova koji krše pravila o korišćenju
Akademske mreže Univerziteta Crne Gore [9].

Nadgledanje protoka i analiza saobraćaja

Flow informacije Trap poruke

Flow kolektor

Eksporter Mehanizami upravljanja NMS / Trap kolektor

Automatizovane akcije
Program/Skripta

Akcije administratora
Administrator

Slika 10. Šematski prikaz procesa upravljanja mrežnim uređajem

Šematski prikaz sa slike 10. je ilustracija procesa upravljanja mrežnim uređajem sa ciljem boljeg
razumjevanja elemenata, procedura i koraka uključenih u proces upravljanja, koji će biti predstavljeni u
primjeru.

4.1.Proces upravljanja

Elementi prikazanog sistema uključeni u proces upravljanja su: flow kolektor, NMS/trap
kolektor, mehanizmi upravljanja i eksporter.

4.1.1. Flow kolektor

Flow informacije sa eksportera (rutera) proslijeđuju se do flow kolektora koji prikuplja, analizira i
prikazuje podatke. Na flow kolektoru se definiše alarm, koji na osnovu prekoračenja zadatih parametara
šalje trap poruke do trap kolektora [10].

Nadgledanje protoka i analiza saobraćaja na flow kolektoru

Prikaz protoka informacija za odabranu IP grupu nalazi se na slici 11. Na osnovu prikupljenih
informacija sa uređaja na flow kolektoru se kreira alarm koji će u slučaju ispunjenja zadatih parametara
aktivirati definisanu akciju.
 Slika 11. Prikaz protoka informacija za odabranu IP grupu

Definisanje akcije upozorenja o prekoračenju praga vrijednosi

Akcija upozorenja o prekoračenju praga vrijednosti može se definisati na osnovu više

parametara koji su već opisani u radu. Za primjer će biti uzeti parametri koji se najčešće biraju prilikom
kreiranja upozorenja o prekoračenju praga vrijednosti.

Slika 12. Definisanje akcije upozorenja o prekoračenju praga vrijednosi

Zadati parametari na koji će biti proslijeđena trap poruka do trap kolektora prikazani su na slici 12.
Prekoračenje praga vijednosti protoka IP grupe od 5 Mbps aktiviraće alarm. Alarm treba da bude
zabilježen tri puta u vremenskom intervalu od 10 minuta kako bi se izbjegla moguća lažno pozitivna
upozorenja. Odabrana akcija je sljanje trap poruke do trap kolektora na definisanoj lokaciji koji osluškuje
na portu 162, slika 12.

Slika 13. Alarm prekoračenja praga vrijednosti

Alarm o prekoračenju zadatih parametara sa primjera, može se vidjeti na slici 13. Prekoračenje protoka
od 5 Mbps, kao što je zadato primjerom, ostvareno je tri puta u periodu od 10 minuta, što je
prouzrokovalo kreiranje alarma i slanje trap poruke do trap kolektora.

4.1.2. NMS/Trap kolektor

Trap kolektor prima trap poruku proslijeđenu od strane flow kolektora i na osnovu analize
primljene trap poruke pokreće predviđene akcije [10]. Akcije mogu biti poluautomatizovane (slanje
email poruke administratoru) i/ili automatizovane (pokretanje definisanog programa i izmjena
konfiguracije na uređaju).

Prijem trap poruke od strane trap kolektora

Izgled interfejsa trap kolektora sa primljenim trap porukama prikazan je na slici 14.
 Slika 14. Interfejs trap kolektora sa primljenim trap porukama

Interfejs je dosta jednostavan i sadrži samo osnovna polja i informacije. Port na kojem trap kolektror
osluškuje trap poruke, ukupan broj primljenih trap poruka i trap poruke sa informacijama o pošiljaocu,
tipu poruke i vremenu prijema.

OID promjenljive sadržane u trap poruci

Trap kolektor na osnovu podataka iz MIB baze flow kolektora prevodi i analizira OID informacije
dobijene u vidu trap poruka, slika 15.
 Slika 15. Primljena trap poruka

Promjenljive sadržane u trap poruci sadrže vrijednosti iz predhodno definisananog alarma, slika 12.

Slika 16. Trap poruka sa OID vrijednostima

Na slici 16. prikazana je trap poruka sa primjera, ali ovoga puta OID vrijednosti su u svom izvornom
obliku i nisu zamjenjene vrijednostima iz MIB baze. Ovako prikazane OID vrijednosti mnogo je teže
protumačiti i povezati sa odgovarajućom vrijednošću OID promjenljive.

4.1.3. Mehanizmi upravljanja

Nadalje, za primljenu trap poruku na trap kolektoru nepohodno je primjeniti

poluautomatizovanu ili automatizovanu akciju.

Definisanje akcije na trap kolektoru za odabranu trap poruku

Na osnovu trap poruke na trap kolektoru određuje se automatizovana akcija koja uključuje
pokretanje programskog koda ili poluautomatizovana akacija koja će obavjestiti administratora o
određenom alarmu. Poluautomatizovana akcija zahtjeva više vremena koje protekne od momenta slanja
email poruke do primjene akcija koje uključuju izmjenu konfiguracije na uređaju od strane
administratora.

Neophodno je podesiti za koju vrijednost OID promjenljive iz MIB baze će biti pokrenuta predhodno
odabrana akcija. Vrijednost “Watch” polja treba podesiti na “Varbind Value”, kako bi se na osnovu
odabrane promjenljive iz trap poruke pokrenula definisana akacija. Polje “Equals” treba da sadrži OID
promjenljive, vrijednost i znak jednakosti u formatu “<OID promjenljive>:<vrijednost>:[<uslov>]”, slika
17.

Slika 17. Definisanje akcije za primljenu trap poruku

Programski kod automatizovane akcije

Trap kolektori mogu da primaju trap poruke i da pokrenu skriptu ili eksterni program, ali sa trap
kolektorom nije moguće proslijediti set CLI komandi do uređaja. Da bi se uređaju proslijedile komande
potrebno je napisati odgovarajuću skriptu ili program koji će putem SSH komunikacije izvršiti autorizaciju
na uređaju zadati odgovarajući set komandi i zatim raskinuti komunikaciju. Pisanje odgovarajućih
programa, koji bi automatizovali proces odgovora na upozorenja koja se generišu na zadate parametre
na strani flow kolektora, zahtjeva programersko iskustvo i poznavanje različitih programskih jezika.
Takođe pisanje odgovarajućih skripti koje bi se pokretale na osnovu upozorenja, zahtjeva osnovno
poznavanje programskih jezika, kao što je na primjer Visual Basic Script.

Za ostvarivanje komunikacije između menadžer aplikacije i uređaja u primjerima je korišćen program

PUTTY. PUTTY pretstavlja besplatan Telnet i SSH klijent. Uz pomoć PUTTY programa brzo i lako se može
ostvariti komunikaciju sa uređajem i zadati odgovarajuće CLI komande. Pri tome moguće je koristiti SSH
sigurniji vid autorizacije i komunikacije sa uređajem. Problem nastaje kod same automatizacije cijelog
procesa. Potrebno je zadati set komandi koje će se izvršiti na uređaju, bez intervencije administratora.
Za prevazilaženje ovog problema u primjerima će se koristiti Visual Basic Script (VBS) programski jezik.

Visual Basic skripta (Programski kod 1) koju će pokrenuti trap kolektor ima za cilj da pokrene PUTTY
program, ostvari SSH komunikaciju sa uređajem, uspješno ostvari sesiju sa adekvatnim podacima za
pristup i zada set naredbi samom uređaju, nakon čega treba da raskine komunikaciju sa uređajem.
Visual Basic scripta će sadržati nekoliko komandi. Na početku skripte se kreira odgovarajući objekat
(Programski kod 1). Zatim se uspostavlja sesija komandom WshShell.Run u sklopu koje pod znacima
navoda se navodi putanja do PUTTY programa, korisničko ime i lozinka koja se koristi za pristup uređaju
putem SSH konekcije [12]. Posle komande za ostvarivanje sesije poziva se komanda WScript.Sleep 5000
koja će uvesti odgovarajuću pauzu od 5000ms ili 5 sekundi, dok se ne uspostavi sesija sa uređajem i
otpočne zadavanje prvih komandi. WshShell.AppActivate komanda zadaje ime odgovarajućem prozoru
koje se pojavljuje u naslovnoj liniji programa. WshShell.SendKeys komanda zadužena je za slanje CLI
komandi uređaju nakon uspostavljanja sesije. Potvrda odgovarajuće komande se izvršava tako što se u
vitičastim zagradama navodi naziv odgovarajućeg tastera koji treba aktivirati na tastaturi, na primjer
{ENTER}, {ESC}, {DELETE}, ukoliko je potrbno poslati naredbu za SPACE taster tada je potrebno ostaviti
prazan prostor između znakova navoda “ “.

Programski kod 1. je automatizovani program koja će se primjeniti za pristiglu trap poruku sa ciljem
ograničavanja protoka IP grupe primjenom definisanih ACL polisa na uređaju [15][16].

Programski kod 1. Ograničenje propusnog opsega IP grupe na ruteru

set WshShell = WScript.CreateObject("WScript.Shell")

WshShell.Run " C:\ putty.exe 192.168.1.1 -l korisnik -pw lozinka "
WScript.Sleep 5000
WshShell.AppActivate "192.168.1.1 - PuTTY"
WshShell.SendKeys "enable{ENTER}"
WshShell.SendKeys "password{ENTER}"
WshShell.SendKeys "configure terminal{ENTER}"
WshShell.SendKeys "int GigabitEthernet 0/3{ENTER}"
WshShell.SendKeys "access-list rate_limit_3000 extended permit ip x.x.x.2 any{ENTER}"
WshShell.SendKeys "access-list rate_limit_3000 extended permit ip any x.x.x.2{ENTER}"
WshShell.SendKeys "exit{ENTER}"
WshShell.SendKeys "exit{ENTER}"

Po izvršenju programskog koda 1. IP grupa će biti ograničena na definisani protok, kako dalje
neracionalno iskorišćavanje protoka ne bi uticalo na ostale korisnike akademske mreže.

Uz malo vještine, poznavanja osnova programiranja i CLI komandi IOS-a, moguće je automatizovati veliki
broj akcija koje će se izvršiti automatski bez prisustva administratora, na osnovu poruka upozorenja
dobijenih analizom flow informacija sa mrežnih uređaja, uz pomoć sistema za automatsko upravljanje
mrežnim uređajima, predstavljenog u ovom dokumentu.

4.1.4. Eksporter

Konačno, nezavisno da li se primjenjuju automatizovane akcije ili akcije administratora na

eksporteru, odnosno ruteru, vrši se izmjena konfiguracije u vidu dodavanja novog zapisa u ACL listi
[13][14].
 Slika 18. ACL lista na eksporteru (ruteru)

Primjenom programskog koda 1. navedena IP grupa sa primjera je dodata u ACL listu čime je automatski
ograničen njen protok, slika 18.

Primjenom predloženog primjera navedenoj IP grupi je ograničen protok, ali ne i uskraćen servis. Na ovaj
način je omogućeno racionalnije korišćenje resursa akademske mreže za sve njene korisnike, shodno
pravilima o koriščenju Akademske mreže Univerziteta Crne Gore.
5. Primjena predloženog rešenja upravljanja u AMUCG

Članovi Akademske mreže Univerziteta Crne Gore (AMUCG) su: organizacione jedinice i
unutrašnje organizacione jedinice UCG, naučne, istraživačke i obrazovne institucije Crne Gore,
biblioteke, studentski i učenički domovi i ostale neprofitne institucije koje su u službi akademske
zajednice Crne Gore.

Na osnovu pravila o koriščenju Akademske mreže Univerziteta Crne Gore, pod aktivnostima koje
ugrožavaju funkcionalnost AMUCG i predstavljaju nedozvoljeno korišćenje resursa, smatra se svaka
aktivnost kojom se izaziva neugovoreno ili neopravdano opterećenje resursa AMUCG ili resursa drugih
mreža, kao i povećano angažovanje osoblja na održavanju tih resursa, unutar AMUCG ili korišćenjem
iste.

Trenutni protok akademske mreže prema spoljnim linkovima je maksimalno iskorišćen. Svako
nedozvoljeno korišćenje resursa može prouzrokovati otežano korišćenje servisa AMUCG. Iz pomenutih
razloga neophodno je vršiti konstantan monitoring i uz predhodno upozrenje ograničiti protok mrežama
članicama AMUCG i hostovima koji se ne pridržavaju pravila o koriščenju Akademske mreže Univerziteta
Crne Gore.

Ograničene protoka pokazano na primjeru iz predhodnog poglavlja primjenjuju se u najvećem broju

slučajeva u toku radnih sati kada je protok akademske mreže pod najvećim opterećenjem. Da bi se
izbjegla degradacija mrežnih servisa i moguća zagušenja mrežama i/ili hostovima za koje se utvrdi da
krše pravila o korišćenju resursa akademske mreže se ograničava protok. Primjena ovog pravila je
strožija za vrijeme radnih sati, dok po prestanku radnog vremena neka od ograničenja prestaju da važe
čime mreže i/ili hostovi mogu da koriste protok akademske mreže bez ograničenja. Akademska mreža
Univerziteta Crne Gore zadužena je za pružanje Internet usluga svim njenim članicama, međutim princip
ograničenja protoka razlikuje od Internet servis provajdera koji ograničenja vrše na nivou korisnika.
Ovom metodom ograničenja svaki korisnik od svog Interent servis provajdera dobija zagarantovan
protok koji u većini slučajeva može da koristi neograničeno zavisno od vrste odabranog paketa usluga. U
akademskoj mreži ovakav vid ograničenja nije moguć, iz prostog razloga, jer raspoloživi ptotok nije
moguće izdjeliti do nivoa korisnika (hosta).

Ograničenjima se može postaviti vrijeme trajanja koje će biti aktivno u okviru radnih sati. Takođe, može
se ograničiti pristup samo određenim servisima i/ili serverima. Protok je moguće ograničiti u jednom ili
oba smjera aktivacijom zadatih komandi navedenih u programskim kodovima predstavljnih u ovom
radu. Osim ograničenja u toku radnih sati moguće je, na osnovu uvida u količinu ostvarenog saobraćaja
za određeni mjesec, mreži ili hostu postaviti ograničenje protoka do kraja kalendarskog mjeseca u kome
je ostvarena prekomjerna količina mrežnog saobraćaja prema spoljnim linkovima. Za saobraćaj ostvaren
unutar akademske mreže treba imati više razumjevanja i takav saobraćaj u većini slučajeva ne podliježe
ograničenjima. Međutim, ukoliko se utvrdi da se sprovode radnje koje mogu ugroziti akademsku mrežu,
saobraćaj se blokira na firewall-u uređaja.
Implementacijom opisanog sistema sa podacima dobijenim kvalitativnom analizom mrežnog saobraćaja,
moguće je realizovati jednostavna i složenija upravljanja računarskom mrežom promjenom konfiguracije
mrežnih uređaja.
6. Zaključak

Implementacija opisanog monitoring sistema proizašla je iz potrebe administratora akademske

mreže UCG za kvalitativnom analizom mrežnog saobraćaja. Tradicionalni SNMP monitoring ima najveći
udio u analizi toka mrežnog saobraćaja [17][18]. Glavni nedostatak SNMP monitoringa ogleda se u
nedovoljnom broju informacija koje je moguće prikupiti o ostvarenom protoku sa ciljem rešavanja
problema u mreži. Broj servisa i korisnika se konstantno povećava, shodno tome podaci o ostvarenom
protoku koje se prikupljaju sa interfejsa mrežnih uređaja u najvećem broju slučajeva ne pružaju dovoljno
informacija koje su od značaja za upravljanje mrežom. Jedan od ciljeva ovog dokumenta je analiza i
pronalaženje adekvatnog monitoring rešenja i njihova implementacija u WAN mreži kao što je
Akademska mreža UCG.

Prilikom implementacije monitoring sistema prevazđene su prepreke u vidu kompatibilnosti tehnologija

sa raspoloživim mrežnim uređajima i testiranim softverskim rešenjima. Nakon analize i testiranja više
flow tehnolgija, kao najbolje rešenje za konkretnu mrežu, odabran je eksport podataka sa Cisco ASR
1002 uređaja.

Tokom rada je testirano više flow kolektora od kojih je izabran NetFlow Analyzer, ne samo zbog svoje
funkcionalnosti, već i činjenice da je jedini testirani kolektor koji je na adekvatan način uspio da analizira
i prikaže informacije dobijene od strane odabranog uređaja. NetFlow Analyzer predstavlja odlično
rešenje za analizu toka podataka sa velikim brojem dodatnih funkcionalnosti koje mogu biti od velike
pomoći administratorima za upravljanje mrežom.

U drugom dijelu dokumenta, predložen je i realizovan jednostavan sistem automatskog upravljanja koji,
na osnovu upozorenja dobijenih od strane kolektora za prikupljanje i analizu mrežnog saobraćaja,
pokreće automatizovane akcije za upravljanje mrežnim uređajima pa i mrežom u cjelini. Predloženi
sistem omogućava kombinovani vid upravljanja koji se sastoji od niza automatskih procedura i/ili
direktnog djelovanja administratora.

Prezentovani primjeri automatizovanih procedura pokazuju da se mogu realizovati jednostavna i

složenija upravljanja računarskom mrežom promjenom konfiguracije mrežnih uređaja. Neki od primjera
se svakodnevno srijeću u računarskim mrežama i predstavljaju rutinske procedure koje administratori
realizuju (dinamičko ograničenje protoka interfejsu ili hosta, upravljanje portovima, ..).

Konačno, predloženi sistem upravljanja mrežom, koji koristi flow monitoring sistem, našao je svoju
primjenu u akademskoj mreži UCG i može biti dobra osnova za razvijanje složenijeg sistema. Sistem se
trenutno nalazi u testnoj fazi i primjena automatizovanih procedura se nadgleda od strane
administratora. Kako se računarska mreža, kao sistem, neprestano mijenja tako su neophodne i izmjene,
modifikacije i inovacije programskih kodova koji su osnova sistema upravljanja, a uloga administratora je
nezamjenljiva. Primjena ovog ili sličnih sistema upravljanja računarskom mrežom će podići nivo kvaliteta
servisa.
 Budućnost savremenih računarskih mreža ne može se zamisliti bez alata za kvalitativnu analizu
saobraćaja i njihovo korišćenje u svrhe upravljanja. Razvojem računarskih mreža, mrežnih aplikacija i
povećanjem broja korisnika stvara se sve veća potreba za racionalnim korišćenjem resursa. Propusni
opseg računarskih mreža i drugi resursi se permanentno povećavaju, ali nijesu neograničeni i besplatni.
Svako neplansko iskorišćavanje resursa dovodi do problema u radu mreže i njenih servisa, a i ekonomske
gubitke. Usavršavanjem alata za automatsko upravljanje mrežnim uređajima dovešće do razvoja
pametnih mreža koje će smanjiti ili, u nekim segmentima, isključiti potrebu za intervencijom
administratora. Ovi sistemi, na osnovu podataka dobijenih kvalitativnom analizom saobraćaja, mogu
predvideti i otklaniti veliki broj potencijalnih incidenata u računarskoj mreži koji mogu ugroziti njenu
funkcionalnost.
Literatura

[1] Cisco Systems, “Introduction to Cisco IOS NetFlow“, Tehnical Overview, October 2007

[2] Cisco Systems, “Application Monitoring Using NetFlow Deployment Guide “, Cisco Systems, Inc.,
August 2012

[3] Manageengine, “Enterprise Network Traffic Informatics“, CIO’s Hand Guide

[4] ManageEngine, “University Campus Network Monitoring using NetFlow Analyzer - A case study“,
ZOHO Corp., USA, 2010

[5] ManageEngine, “Bandwith Monitoring & Traffic Analysis - User Guide“, ZOHO Corp, USA, 2010

[6] ManageEngine, “Healthcare IT Risk Mitigation - A Network - Centric Approch“, White Paper, NetFlow
Analyzer

[7] Čabak Milan, Božo Krstajić, “Primjer automatskog upravljanja mrežnim uređajima u AMUCG“, XVII
Naučno-stručni skup Informacione Tehnologije 2012, Crna Gora, Žabljak, Februar 2012

[8] Čabak Milan, Božo Krstajić, “Primjer monitoringa i upravljanja računarskom mrežom primjenom
FLOW tehnologija”, 19. telekomunikacioni forum TELFOR 2011, Srbija, Beograd, Novembar 2011

[9] Centar informacionog sistema UCG, “Pravila o koriščenju Akademske mreže Univerziteta Crne Gore”

[10] TrapReceiver.com , “Trap Receiver User Manual“

[11] Cisco Systems, “Understanding Simple Network Managment Protocol (SNMP) Traps“, Cisco Systems,
Inc., October 2006

[12]Cisco Systems, “PIX/ASA 7.x: SSH/Telnet on the Inside and Outside Interface Configuration Example“,
Cisco Systems, Inc., West Tasman Drive, San Jose, USA, October 2008

[13] Cisco Systems, “ PIX/ASA 7.x and Later: Bandwidth Management(Rate Limit) Using QoS Policies“,
Cisco Systems, Inc., West Tasman Drive, San Jose, USA, September 2008

[14] Cisco Systems, “Configuring QoS“, ASDM User Guide, Cisco Systems, Inc., Chpt 26, September 2006

[15] Cisco Systems, “Configuring IP Access Lists“, Cisco Systems, Inc., December 2007

[16] Nancy Navato, “Easy Steps to Cisco Extended Access List“, GSEC Practical Assignment Version 1.2e,
SANS Institute, 2001

[17] Cisco Systems, “Simple Network Management Protocol“, Internetworking Technologies Handbook,
Cisco Systems, Inc., Chpt 56, September 2003

[18] Asante Networks, Inc., “Simple Network Managment Protocol - Introduction to SNMP“, April 2005
Spisak skraćenica

ACL Access Control List

AMUCG Akademska Mreža Univerziteta Crne Gore

CLI Command Line Interface

FNF Flexible NetFlow

IP Internet Protocol

MIB Management Information Base

NMS Network Monitoring System

OID Object Identifier

SNMP Simple Network Management Protocol

SSH Secure Shell

TCP Transmission Control Protocol

TNF Traditional NetFlow

ToS Type of Service

UCG Univerzitet Crne Gore

UDP User Datagram Protocol

VBS Visual Basic Script

WAN Wide Area Network