Avaliação da aplicação Cisco Prime LMS Marcelo Andrey Scottini Curso de Especialização em Redes e Segurança de Sistemas Pontifícia Universidade Católica do Paraná Curitiba, Fevereiro de 2013 Resumo O presente artigo tem como objetivo demonstrar a ferramenta Cisco Prime LMS (Lan Management Solution), ferramenta proprietária da empresa Cisco Systems que engloba diversas funcionalidades para simplificar a configuração, monitoração, troubleshooting e gestão de uma rede Cisco. A ferramenta foi projeta para coletar informações dos equipamentos através de diversos protocolos, dentre os mais conhecidos: SNMP, CDP, SSH e Telnet e dessa formar montar uma base de dados com informações da rede. O mesmo tem como finalidade capacitar o usuário na implantação e na utilização dos principais módulos da ferramenta. 1. Introdução Em uma rede de grande porte, onde podem existir camadas de alta disponibilidade e diversos equipamentos de borda, fica extremamente complicado gerenciar todos os problemas e melhorias sem ter uma visão macro e centralizada da rede. O administrador deve conhecer o comportamento da rede, precisa visualizar rapidamente problemas físicos, como por exemplo, uma porta com drop de pacotes, um switch off-line, um equipamento com sua capacidade de processamento alta, dentre outros. Possuir um log de eventos com um histórico satisfatório de armazenamento para consultas, já que normalmente o buffer dos equipamentos não possui tal capacidade, manter um inventário atualizado com detalhes de hardware e software: tamanho de memória, modelo do equipamento, IOS utilizado. Manter um backup das configurações com versões anteriores, possuir uma auditoria do que foi alterado e por qual usuário, executar deploys para diversos equipamentos de forma automática, conhecer os dispositivos conectados nos equipamentos de borda e possuir uma gama de relatórios que podem ser gerados com qualquer informação desejada. No mercado podemos encontrar diversas ferramentas que podem fazer todas essas tarefas, porém a Cisco Systems possui uma ferramenta chamada Cisco Prime Lan Management Solution que fornece todas essas funcionalidades para os equipamentos da marca.
2. O que é Cisco Prime LMS? Cisco Prime LMS é um ferramenta que aposentou o antigo CiscoWorks LMS, os componentes integrados foram mantidos (Device Fault Manager, Campus Manager, Resource Manager Essentials, Internetwork Performance Monitor, CiscoView, Common Services, CiscoWorks Health and Utilization Monitor), porém com um novo conceito de gerenciamento do clico de vida. Possui uma interface mais amigável, melhor organização dos menus e novas funcionalidades. A ferramenta permite a gestão de uma rede cabeada baseada nos equipamentos Cisco através de um navegador e foi construída nos padrões web 2.0. Figura 1: Complete Lifecycle Management 3. Instalação Para instalação da ferramenta foi escolhida a plataforma Linux que hospeda a aplicação. Inicialmente é necessário baixar no site da Cisco.com o Open Virtualization Archive (OVA), que é um arquivo.ova, para fazer o deploy no ambiente do VMware. Em outras plataformas como, por exemplo, o Windows, é necessário preparar o Sistema Operacional conforme documentação da Cisco para poder instalar perfeitamente o Cisco Prime LMS, no caso do Linux a aplicação é instalada por um script. Figura 2: Download Cisco Prime LMS
Depois do download é necessário utilizar o arquivo baixado para importar o virtual appliance para dentro do ambiente de virtualização. Na ferramenta de gerenciamento das maquinas virtuais do VMware Sphere, selecione File > Deploy OVF Template e localize o arquivo.ova, nas próximas janelas será escolhido o nome, o disco onde será armazenado e como será provisionado o espaço alocado do virtual appliance, não é necessário modificar memória ou CPU que já vem com a configuração de hardware necessária. Figura 3: Deploy virtual appliance Com o término do deploy, basta iniciar o novo servidor e acessar a console. A primeira tela é do script para instalação da aplicação Cisco Prime LMS. Nessa tela serão informados o hostname, IP, máscara de rede, gateway, domínio, DNS e NTP para o host ter a comunicação necessária com a rede, além do usuário/senha da console e da interface web, depois todo o processo de instalação da ferramenta é automatizado. Os comandos na CLI da aplicação são parecidos com um switch Cisco, porém também é possível acessar o shell do Linux. Figura 4: Instalação Cisco Prime LMS
Após término da instalação, o acesso à ferramenta é através do navegador. Digite https://hostname.dominio.com Figura 5: Tela de login 4. Ambientação com a interface Antes de iniciar vamos verificar o menu principal da Ferramenta: My Meny Monitor Inventory Configuration Reports Admin Na figura abaixo foi destacado o menu legado do antigo CiscoWorks. Figura 6: Menu principal 5. Descoberta dos equipamentos Antes de iniciar a descoberta dos equipamentos precisamos preparar as configurações nos dispositivos. Configurar uma comunidade SNMP e também o IP do Cisco Prime LMS que receberá informações de syslog.
snmp-server community PUBLIC RO snmp-server community PRIVATE RW logging 172.16.100.135 Para iniciar o uso da ferramenta é necessário aplicar as credencias dos equipamentos que serão utilizadas pela ferramenta para comunicar com os dispositivos. Dentre as credenciais, são configurados o usuário de telnet/ssh, enable secreat e SNMP. Para aplicar as credenciais navegue até o menu Admin > Network > Device Credential Settings > Default Credential Sets. Nessa janela será criada um perfil padrão com as credenciais. Figura 7: Configuração das credenciais Com as credenciais configuradas podemos iniciar a descoberta dos equipamentos acessando no menu ADM > Network > Discovery Settings > Custom Discovery Settings. Nessa janela será configurado o modo de descoberta que pode ser pelo protocolo CDP, tabela de roteamento, Ping sweep, SNMP, dentre outros. Com o término da configuração é necessário clicar no botão Start Discovery. O tempo para descobrir todos os equipamentos depende do tamanho da rede. É interessante agendar a descoberta para estar sempre com o parque de equipamentos atualizados, acesse no menu ADM > Network > Schedule e defina o melhorar dia e horário.
Figura 8: Configuração de descoberta 6. Gerenciamento Com o termino da descoberta já possuímos a base alimentada por diversas informações dos equipamentos da rede. Primeiro vamos verificar o Dashboard do inventário e visualizar as principais informações dos equipamentos gerenciados. Nague no menu Inventory > Dashboards > Inventory: Figura 9: Inventário Nessa janela podemos visualizar o Hardware Summary, um gráfico tipo pizza da distribuição dos equipamentos, como roteadores, switches, wireless. Clicando em uma fatia você será levado a um relatório completo dos equipamentos daquela categoria, no relatório será mostrado informações como nome, modelo, serial, memória, dentre outros. No Software Summary podemos verificar os IOS que estão rodando nos equipamentos. Na aba Device Change Audit podemos auditar toda configuração alterada pelos administradores e por ultimo no User Tracking Summary é a coleta dos hosts conectados na rede cabeada, podemos verificar diversas informações dos equipamentos conectados na rede, como hostname, IP, mac-address, switch e porta do switch que o equipamento esta conectado.
Figura 10: Auditoria da configuração alterada 7. Monitoramento Na opção de monitoramento podemos observar uma séria de informações sobre os equipamentos, desde uma porta down, um equipamento sem comunicação, consumo de memória, CPU, erros em interfaces, principais dispositivos que estão enviando mensagens de syslog e monitorar todas essas informações em tempo real se for necessário. Navegue ao menu Monitor > Dashboards > Monitoring. Figura 11: Dashboard de monitoração 8. Configurações A ferramenta permite coletar a configuração dos equipamentos para backup e comparação de versões. Esse recurso é de grande valor para comparar versões após alguma alteração errada e também para montar um relatório dos principais erros de configuração e assim de uma forma centralizada facilitar a resolução de problemas. Para agendar a coleta das configurações dos equipamentos navegue no meu Admin > Collect Settings > Config.
Figura 12: Coleta da configuração No menu Navigator > Config Collection Settings habilite o Periodic Polling para acontecer diariamente, pois é uma funcionalidade que verifica o que foi alterado sem a necessidade de baixar toda configuração e utiliza menos recursos de rede, no Periodic Collection toda configuração é coletada e depois comparada o que utiliza mais recursos de rede e deve ser configurada semanalmente. Essas configurações não são habilitadas por padrão e devem ser agendas para manter as configurações atualizadas. Para verificar as configurações navegue no menu Configuration > Configuration Archive > Summary. Figura 13: Sumário de coleta das configurações Com a coleta realizada podemos por exemplo, verificar uma lista de dispositivos que estão com a configuração no startup-config diferente da running-config, navegue no menu Configuration > Compliance > Out-Of-Sync Summary.
Figura 14: Configurações Out-Of-Sync Outra funcionalidade interessante é a comparação entre configurações, navegue no menu Configuration > Configuration Archive > Compare configs. Figura 15: Comparação entre configurações 9. Deploy É possível realizar atualização de IOS para diversos equipamentos simultaneamente ou alterar uma configuração em um único deploy, navegue no menu Configuration > Tools > NetConfig > Deploy Figura 16: Deploy de configuração
Clique no botão Create para iniciar um novo deploy. Na próxima janela deve ser escolhido os equipamentos desejados e depois pode ser usado as configurações pré-definidas ou se o usuário souber os comandos pode criar uma tarefa customizada. Nas próximas janelas será finalizado a configuração para iniciar a execução e alterar a configuração de diversos equipamentos ao mesmo tempo. Figura 17: Deploy de configuração 10. Resolução de problemas e correção de configuração Com as configurações coletadas é gerado um relatório de todas as discrepâncias e melhores práticas que podem ser utilizadas, além disso é informado ao usuário o que pode ser feito para sanar o problema. Navegue no menu Configuration > Dashboard > Configuration.
Figura 18: Relatório de discrepância e melhores práticas Clique no número de discrepâncias ou melhores praticas para ver um relatório de explicação e uma possível solução Figura 19: Resolução de problemas 11. Relatórios diversos Nesse ponto é onde essa ferramenta pode ganhar pontos em relação a outras similares, o número de reports é muito completo. Alguns como relatório de hardware com informações diversas, de software, syslog, hosts conectados e outros.
Figura 20: Menu principal dos relatórios Alguns exemplos são bastante interessantes, por exemplo, o relatório de End-of-life e End-of-sale, navegue no menu Reports > Hardware > EoS/EoL Hardware. Na janela escolha os dispositivos e execute a o report. Após gerar o report clique no link View. Figura 21: Relatório de EoS/EoL
No exemplo abaixo podemos verificar um Switch 2950 que teve seu EoS em 2006 e EoL em 2011. Figura 22: Relatório de EoS/EoL Outro relatório muito importe é o PSIRT (Security Incident Response Team), podemos verificar todas as vulnerabilidades que determinado IOS possui, navegue no menu Reports > PSIRT Summary. Da mesma forma que o relatório anterior escolha os dispositivos e execute a verificação. Figura 23: Relatório de Segurança Um relatório que certamente não encontraremos em outra ferramenta é no menu Reports > Cisco.com > Contract Connection. Podemos visualizar os contratos que os equipamentos estão cobertos pelo suporte da Cisco e quais podem estar descobertos para posteriormente remediação.
12. Conclusão Conforme o artigo apresentado, a ferramenta é uma poderosa solução para centralizar toda a informação necessária ao administrador de rede. Dessa forma é possível agir pró-ativamente na mitigação de problemas e solucionar com rapidez e eficiência. Por ser uma aplicação específica da Cisco possui algumas funcionalidades únicas. Pode perder mercado por seu alto valor de compra, porém para grandes corporações que possuem um parque homogêneo da Cisco é um software indispensável. Referência [1] http://www.cisco.com/en/us/prod/collateral/netmgtsw/ps6504/ps6528/ps11200/deployment_ guide_c07-683965.html [2] http://www.cisco.com/en/us/docs/net_mgmt/ciscoworks_lan_management_solution/4.2/user/ guide/admin/preface.html