Manual red border-1.6.1

Índice de contenido
1 Introducción...................................................................................8
1.1 Componentes........................................................................8
1.2 Modo de funcionamiento.......................................................8
1.3 El papel del MSB..................................................................10
1.3.1 Servicios......................................................................10
1.4 Características.....................................................................11
1.5 Instalación...........................................................................12
1.5.1 Creación de accesos directos......................................12
1.5.2 Microsoft Windows......................................................12
1.5.3 UNIX/Linux...................................................................13
1.5.4 MacOS X......................................................................13
2 Instalación del MSB.....................................................................14
2.1 Pasos de instalación............................................................15
3 Ventana Principal.........................................................................32
3.1 Creación de Terminales.......................................................33
3.2 Funciones............................................................................34
3.2.1 Menú Archivo...............................................................35
3.2.2 Menú Edición...............................................................35
3.2.3 Menú Ver.....................................................................36
3.2.4 Menú Herramientas.....................................................36
- 1 -

3.2.5 Menú Ayuda.................................................................40
3.3 Noticias................................................................................41
4 Ventana de Terminal....................................................................42
4.1 Manejo.................................................................................42
4.1.1 Menú Archivo...............................................................43
4.1.2 Menú Módulo...............................................................44
4.1.3 Menú Transmitir...........................................................44
4.1.4 Menú Herramientas.....................................................45
4.1.5 Menú Asociado al Módulo Activo.................................46
5 Módulos principales.....................................................................47
5.1 Sistema................................................................................47
5.1.1 Sistema.......................................................................47
5.1.2 SSH..............................................................................49
5.1.3 Logs.............................................................................50
5.1.4 Estado.........................................................................51
5.1.5 Módulos.......................................................................52
5.2 Objetos................................................................................52
5.2.1 Tabla Principal.............................................................56
5.2.1.1 Barra de Herramientas........................................56
5.2.1.2 Tabla de Datos.....................................................57
5.2.2 Elementos de red........................................................59
5.2.3 Servicios......................................................................61
- 2 -

5.2.4 Protocolos....................................................................62
5.2.5 ICMP.............................................................................62
5.2.6 MAC.............................................................................62
5.2.7 Grupos.........................................................................62
5.3 Cortafuegos.........................................................................63
5.3.1 Configuración..............................................................65
5.3.2 Reglas de Filtrado........................................................66
5.3.3 Listas Blancas..............................................................72
5.3.4 Listas Negras...............................................................73
5.3.5 Funciones de Menú.....................................................73
5.4 Tráfico..................................................................................74
5.4.1 Netflow........................................................................74
5.4.2 Sonda..........................................................................75
5.4.3 Colector.......................................................................76
5.5 Colector...............................................................................76
5.5.1 Configuración..............................................................77
5.5.1.1 Parámetros de configuración..............................78
5.5.1.2 Configuración de sondas.....................................78
5.5.1.3 Configuración de usuarios..................................79
5.5.2 Informes......................................................................80
5.5.3 Alertas.........................................................................81
5.5.4 Snapshot.....................................................................82
- 3 -

5.5.5 Sondas.........................................................................83
5.5.5.1 Dashboard...........................................................85
5.5.5.2 Tráfico IN.............................................................86
5.5.5.3 Tráfico OUT..........................................................88
5.5.5.4 IN+OUT...............................................................88
5.6 Alertas.................................................................................88
5.6.1 Configuración..............................................................89
5.6.1.1 Parámetros de configuración..............................90
5.6.1.2 Configuración de sondas.....................................91
5.6.1.3 Configuración de usuarios..................................92
5.6.2 Informes......................................................................93
5.6.3 Snapshot.....................................................................94
5.6.4 Alertas.........................................................................95
5.6.4.1 Dashboard...........................................................98
5.6.4.2 Top.......................................................................99
5.6.4.3 Temporal............................................................101
5.6.4.4 Tiempo Real......................................................103
5.7 BladeControl......................................................................106
5.7.1 Configuración............................................................106
5.7.1.1 Configuración general.......................................106
5.7.1.2 Configuración de los Módulos de Control.........107
5.7.1.3 Configuración de los Switches..........................108
- 4 -

5.7.2 Imágenes...................................................................109
5.7.3 Servicio Virtual..........................................................110
5.7.4 Estado MSB...............................................................112
5.7.5 Estado de los Blades.................................................113
5.7.6 Estado de la Red.......................................................114
5.7.7 Switches....................................................................114
5.7.8 Monitorización...........................................................116
5.7.9 Información...............................................................117
5.7.10 Logs.........................................................................118
5.8 Útil.....................................................................................119
5.8.1 Sistema de Ficheros..................................................120
5.8.2 Supervisión................................................................121
5.8.3 CPU............................................................................122
5.8.4 Carga.........................................................................122
5.8.5 Memoria....................................................................123
5.8.6 Swap..........................................................................123
5.8.7 Procesos....................................................................124
5.8.8 Usuarios....................................................................124
5.8.9 NFS............................................................................124
5.8.10 Globo.......................................................................125
5.8.10.1 Escáner...........................................................125
5.8.10.2 Tareas..............................................................126
- 5 -

6 PUF/FAQ.....................................................................................128
7 Anexo A: Configuración de traps del MM .................................138
8 Anexo B: Creación de los usuarios SNMP en el MM..................140
9 Anexo C: Configuración inicial de la red...................................142
10 Anexo D: Creación de los usuarios SNMP en Switch...............144
11 Anexo E: Actualización del firmware de los Switches Nortel
mediante telnet.............................................................................149
La documentación contenida en este documento puede ser
cambiada sin previo aviso.
Marcas comerciales: redBorder, redBorder SE, redBorder networks
y el logotipo de redBorder son marcas comerciales de redBorder
S.L.
Las demás marcas registradas y nombres comerciales que puedan
utilizarse en este documento se refieren a las empresas que
figuran en las marcas y en los nombres de sus productos.
redBorder S.L. renuncia a cualquier interés sobre la propiedad de
marcas y nombres comerciales que no sean los suyos.
Copyright 2008 redBorder S.L.
www.redboder.net
- 6 -

1 Introducción
El sistema redBorder SE es una solución de aprovisionamiento de
imágenes pensada para su funcionamiento en sistemas críticos de
alto rendimiento sobre chasis en blade.
Permite controlar de manera gráfica, segura y centralizada una
infraestructura desplegada de sistemas centrales de gestión y
servicios a través de una interfaz gráfica multiplataforma
(redConsole).
El producto está pensado para funcionar sobre las distribuciones
más importantes basadas en Linux (SuSE, Red Hat 5.X y Centos
5.X) ofreciendo soporte para las imágenes más comunes (CP
Secure Plataform, Red Hat, Debian, IMSS, IWSS, Zeus, etc.) en
entornos críticos.
1.1 Componentes
redBorder SE consta de los siguientes componentes:
• redConsole.- Entorno gráfico de gestión y configuración
propietario desarrollado en JAVA.
• MSB.- Sistema de gestión y aprovisionamiento de
imágenes configurable a través de redConsole.
• Hardware.- Hardware específico para los requisitos
concretos del proyecto o cliente. Los chasis actualmente
soportados son: IBM BladeCenter E, H y S.
1.2 Modo de funcionamiento
1) El administrador inicia la aplicación gráfica en el ordenador
de administración.
2) La aplicación gráfica se conecta a un MSB remoto de
manera segura mediante el protocolo SSH v2.
- 8 -

3) Una vez autenticada, la aplicación se descarga la base de
datos del terminal y las plantillas asociadas a cada uno de
los módulos configurados.
4) Se generan los elementos gráficos con los datos
almacenados en la base de datos de configuración
descargada.
5) El administrador modifica la configuración del sistema con
la interfaz gráfica, alterando los valores almacenados en la
base de datos local.
6) Uniendo los valores almacenados en la base de datos de
configuración a las plantillas de sistema se generan los
ficheros de configuración necesarios.
7) Se transmiten al MSB mediante la sesión SSH v2 la nueva
base de datos y los nuevos ficheros de configuración.
8) Se reinician en el MSB los servicios necesarios de manera
automática.
Este sistema de funcionamiento presenta las siguientes ventajas:
Los ficheros de configuración de cada MSB se almacenan en el
propio sistema, permitiendo su configuración desde cualquier
equipo que tenga la aplicación redConsole instalada.
Se obtiene una visión de conjunto de la red desplegada, a
diferencia de las soluciones basadas en una interfaz web que
presentan una visión excesivamente local.
No se requiere ningún tipo de servicio o demonio propio en el
sistema, ya que se utiliza el servidor SSH. Manteniendo este
servidor convenientemente actualizado evitamos problemas de
seguridad inherentes al desarrollo de una aplicación nueva.
El sistema funciona de manera fluida incluso cuando se está
accediendo a equipos con escaso caudal de acceso, ya que una
vez descargadas la base de datos y las plantillas, todo el
funcionamiento es en local, en la máquina del administrador.
- 9 -

Las empresas autorizadas pueden modificar las plantillas del
sistema para personalizar los ficheros de configuración generados.
El sistema es muy flexible y permite su modificación con rapidez.
No es necesario desarrollar complicados analizadores para cada
aplicación, basta con uno genérico. Se desacopla el desarrollo de la
interfaz gráfica de la integración de la aplicación a controlar
(plantillas), siguiendo el modelo MVC.
1.3 El papel del MSB
La complejidad de las instalaciones actuales requiere de sistemas
autónomos capaces de asegurar la disponibilidad de los servicios a
un nivel adecuado. El papel de administrador debe ser más de
supervisor que de guardián de los sistemas, relegando las tareas
más tediosas y rutinarias de la administración.
En la solución redBorder SE, el MSB intenta cubrir ese papel.
Consiste en un sistema basado en Linux con las herramientas
necesarias para asegurar una alta disponibilidad, gestión de
imágenes y servicios adecuados. Para ello el MSB está duplicado,
instalado por tanto en dos blades, y configurado en modo
activo/pasivo, de manera que si falla el maestro (nodo activo) el
esclavo ocupará su lugar (nodo pasivo).
1.3.1 Servicios
El sistema está compuesto por el chasis y los servidores blades
además de la electrónica de apoyo. Los servidores blades son los
equipos sobre los que correrán las aplicaciones llamadas servicios
(Security Service Blade, SSB) y los nodos de gestión llamados MSB
(Management Service Blade). Cuando un blade es insertado en un
chasis gestionado por la solución redBorder SE, el MSB detecta su
presencia, activando y configurando todos los aspectos necesarios
de la electrónica y los sistemas para que el blade inicie la imagen
necesaria y arranque el servicio configurado para dicho blade en
función de su ubicación (bahía ocupada) y prioridad.
Si un servicio cae por algún motivo, es responsabilidad del MSB la
detección de dicha caída (si está dentro de unos parámetros
- 10 -

controlados) para respaldar e iniciar dicho servicio en otro blade
que esté disponible, siempre en función de la configuración de
ubicaciones y prioridades definidas por el administrador.
1.4 Características
A continuación se listan algunas de las características más
importantes. Su sistema no tiene por qué incluirlas todas ya que
dependen del tipo de licencia obtenida:
• Sistema de objetos.- Para facilitar las labores de
administración del equipo, la configuración de los distintos
módulos se realiza utilizando objetos definidos de manera
centralizada. Existen objetos de red, servicios, protocolos y
mensajes ICMP.
• Cortafuegos con control de estado.- Los cortafuegos
dinámicos o con control de estado ofrecen mejores niveles
de seguridad que los cortafuegos estáticos usados hasta
ahora. Mediante la correcta configuración del cortafuegos
podrá proteger el MSB ante accesos no autorizados.
• Gestión del Tráfico.- El MSB puede disponer de tantas
sondas de tráfico como desee. Estas sondas recolectarán
información de tráfico de una interfaz concreta para ser
analizada por el administrador. Se recomienda, al menos,
la monitorización de cada una de interfaces del MSB para
un correcto estudio del mismo.
• Volcado de configuración.- Permite almacenar en un
único fichero la base de datos de configuración del sistema
para clonar otros equipos o como copia de seguridad.
• Logs remotos.- Por defecto el sistema almacena los logs
en local. Si dispone de un servidor compatible syslog,
puede configurar el MSB para que envíe los logs a ese
equipo usando el protocolo UDP/TCP o un túnel SSL.
• Servidor SSH.- El sistema de administración gráfica se
conecta al cortafuegos a través del protocolo de
comunicaciones seguras SSH v2.
- 11 -

1.5 Instalación
redConsole, la aplicación de gestión de redBorder SE, requiere para
su funcionamiento de una máquina virtual JAVA v1.5 o superior
correctamente configurada. Asegúrese de que sea así antes de
proceder.
Para instalar la aplicación tan sólo necesitará ejecutar el programa
'setup.jar', bien haciendo doble clic sobre el archivo (si así lo
permite el sistema operativo), o bien ejecutando el comando:
admin@server $> java -jar setup.jar
Lo primero que aparecerá será la selección del idioma de la
instalación.
A continuación aparecerá el acuerdo de licencia, indispensable
para la instalación del software. Si la acepta, el instalador le pedirá
el directorio donde instalar el programa.
Una vez introducido el directorio, el programa comienza su
instalación. Tras esto, será necesario indicar el grupo de programas
y si se quiere un acceso directo en el escritorio (versión Windows).
Pulsando “Siguiente” se finaliza la instalación.
1.5.1 Creación de accesos directos
Una vez realizado el proceso de instalación de los binarios, podrá
acceder al programa de diversas formas según el sistema
operativo de la máquina cliente.
1.5.2 Microsoft Windows
Podrá acceder a la aplicación redConsole mediante el grupo de
programas que seleccionó en la instalación, el icono de acceso
directo del escritorio (si así lo solicitó) o directamente por línea de
comandos (se verá más adelante).
- 12 -

1.5.3 UNIX/Linux
Debido a la diversidad de escritorios existentes en Unix/Linux se
hace necesario el uso de la línea de comandos para estandarizar la
ejecución. Sin embargo ciertos escritorios, como gnome o kde,
facilitan la creación de entradas en los menús de aplicaciones o la
creación de iconos de enlace directo en el escritorio, haciendo su
ejecución semejante al entorno Windows de Microsoft. Queda en
manos del administrador de la máquina cliente realizar tales
entradas.
Para el inicio de la aplicación deberá ejecutar en el directorio de
instalación del programa el siguiente comando:
admin@server $> java -jar redborder.jar
1.5.4 MacOS X
La ejecución de la aplicación en este sistema no es diferente de la
de cualquier sistema Unix.
- 13 -

2 Instalación del MSB
El MSB es el elemento clave del sistema de redBorder SE. Es quien
proporcionará las imágenes al resto de blades y quien monitorizará
el buen funcionamiento del chasis.
El sistema base en el que está instalado es compatible Red Hat®
Enterprise Linux 5 (RHEL5 o CentOS5). Sobre dicho sistema se
instalarán una serie de paquetes que aseguren el buen
funcionamiento de redBorder SE.
El proceso de instalación se debe realizar en dos fases principales:
• Instalación del sistema base y los paquetes mínimos
necesarios.
• Instalación de redBorder SE y su configuración.
Los requisitos para una correcta instalación de redBorder SE son
los siguientes:
• bash
• perl
• net-snmp, net-snmp-libs, net-snmp-utils
• pcre
• freetype
• libart_lgpl
• gnutls
• postgresql, postgresql-server
• xinetd
• tftp-server
- 14 -

• dhcp
• nfs-utils-lib, nfs-utils
• portmap
• libpcap
• ntp
• rrdtool
• drbd
• heartbeat
Todos estos paquetes son instalados automáticamente con el DVD
de instalación.
2.1 Pasos de instalación
La instalación de redBorder SE implica la configuración previa de
varios elementos del chasis:
• Configuración inicial del Módulo de Gestión (MM/AMM)
• Configuración inicial de los switches
• Instalación de redBorder SE
Si el chasis está correctamente instalado, antes de proceder a la
instalación del sistema operativo y del software de redBorder SE,
hay que realizar los siguientes pasos:
• Configuración de los módulos de gestión.
• Direccionamiento IP.
• Verificación del firmware mínimo necesario.
• Configuración del servicio SNMP.
- 15 -

• Configuración de los módulos de E/S.
• Direccionamiento IP
• Verificación del firmware mínimo necesario.
• Configuración del servicio SNMP.
Para que la comunicación interna entre los MSB sea correcta,
deberá configurar los switch para permitir el tráfico de la VLAN de
gestión entre los puertos involucrados en dicha comunicación. Por
ejemplo, tomando como VLAN interna la 10 en los blades 1 y 2:
/* Configuration dump taken 1:07:03 Sun Jan 1, 2000
/* Version 1.2.4, Base MAC address XX:XX:XX:XX:XX:XX
/c/port INT1
pvid 10
tagpvid ena
/c/port INT2
pvid 10
tagpvid ena
/c/l2/vlan 10
ena
name "VLAN 10"
def INT1 INT2
/c/l2/stg 1/clear
/c/l2/stg 1/add 1 10
/
script end /*
Para más detalles, será necesario que el lector consulte el Anexo A
"Configuración de traps del MM", Anexo B "Creación de usuarios
SNMP en el MM", Anexo C "Configuración inicial de la red" y Anexo
D "Creación de los usuarios SNMP en el switch".
- 16 -

Es necesario igualmente permitir que los puertos externos de los
switches puedan ser configurados vía SNMP: I/O Module Tasks →
Admin/Power/Restart → Select Module → External Ports → Enabled.
Una vez hechas estas modificaciones, si el chasis sobre el que está
trabajando es un IBM con un módulo de gestión avanzado (AMM),
será necesario guardar la configuración en la memoria del mismo
mediante el menú MM Control → Configuration Mgmt → Save
Configuration to Chassis:
La instalación del sistema redBorder SE sobre un sistema basado
en blades se puede realizar 'in situ' mediante la consola directa del
- 17 -

sistema de gestión o vía KVM virtual, habitual en los distintos
fabricantes. Por ejemplo, el sistema BladeCenter de IBM:
En sistemas Dell, por ejemplo, se usa la interfaz
iDrac, que lanza una consola virtual basada en java
parecida al applet de la consola de IBM.
Será necesario para la instalación indicar en el blade que el inicio
del sistema será por CD/DVD. Para ello se deberá configurar bien
en la BIOS del propio blade o bien vía el módulo de gestión del
chasis (MM/AMM en IBM o CMC en Dell por ejemplo).
Cuando se empiece a leer el CD/DVD, lo primero que nos saldrá en
la consola es la pantalla del instalador de Red Hat/CentOS (Sistema
base del MSB):
- 18 -

El sistema por defecto inicia el instalador en modo texto, el más
adecuado ya que el sistema operativo del MSB no necesita de
modo gráfico alguno. Basta, pues, con pulsar la tecla <ENTER>.
A partir de aquí la instalación es la de una distribución Red
Hat/CentOS normal en la que se han omitido aquellos pasos que no
son necesarios. Simplemente tendremos que: elegir el idioma, el
teclado, y la clave de root. No es necesario modificar más
parámetros para una instalación básica.
- 19 -

A continuación se muestran una serie de capturas de pantalla de la
instalación:
- 20 -

Una vez se haya completado la instalación, reiniciamos el MSB tal y
como se especifica en el instalador. Con esto hemos completado la
primera fase de la instalación: “Instalación del sistema base y los
paquetes mínimos necesarios”.
Tras el reinicio, deberá hacer login en el sistema introduciendo
'root' como nombre de usuario, y la clave que eligió en el momento
de la instalación.
En este momento, y al ser la primera vez que se inicia el sistema,
se invocará automáticamente el script de configuración del
sistema redBorder SE, comenzando con la aceptación de la
licencia:
Tras aceptar la licencia, se pararán algunos servicios que necesitan
ser reconfigurados y se pedirá si quiere que se busque alguna
configuración MSB existente. Esto será muy útil cuando lo que se
haya instalado sea el MSB de respaldo (el esclavo). Si el MSB es el
maestro, deberá decir que no. Es importante indicar que no se
debe ejecutar desde una sesión ssh, puesto que uno de los
servicios a reconfigurar es el de red.
La siguiente pantalla le pide si desea activar o desactivar el
soporte de los módulos de alertas y tráfico (explicados más
adelante). Normalmente son módulos no incluidos en las licencias
básicas y su activación sólo será útil si y sólo si ha adquirido las
licencias necesarias.
- 22 -

La siguiente pantalla presenta los parámetros de configuración de
la red externa, con valores por defecto. Dichos parámetros
representan los valores de red accesibles desde el exterior del
chasis necesarios para la gestión del sistema redBorder SE.
Lo mismo ocurre en la siguiente pantalla, salvo que se refiere a
valores de la red interna del chasis. El sistema redBorder SE
reservará un rango de direcciones IP internas para el servicio DHCP
necesario para el arranque vía PXE de los blades SSB.
- 23 -

A continuación deberá indicar los valores de servidores DNS, NTP
así como las interfaces de red (esto último mediante su dirección
MAC).
Deberá comprobar que el orden en que el sistema operativo ha
mapeado las interfaces de red es el correcto, es decir,
correspondan con el orden detectado por el módulo de gestión. En
el caso de IBM será por ejemplo:
Siguiendo con el ejemplo, la configuración del bonding quedaría
como sigue:
• bond0 eth0 -> 00:1a:64:33:19:34
eth1 -> 00:1a:64:33:19:36
• bond1 eth2 -> 00:0e:1e:00:1b:24
eth3 -> 00:0e:1e:00:1b:25
- 24 -

La siguiente pantalla presenta el tamaño por defecto seleccionado
para la partición dedicada al sistema DRBD, en unidades de PE
(extensiones físicas, cada extensión equivale a 32Mbytes).
Asimismo, Se presenta una clave precompartida por defecto para
el sistema DRBD, que el administrador puede usar o modificar si lo
desea. Cuando se realice la instalación en el segundo MSB la clave
la obtendrá automáticamente si decide activar la búsqueda de
configuraciones de MSB existentes, por lo que no es necesario
recordarla de una instalación a otra.
Se pedirá confirmación de la configuración creada.
- 25 -

Tras confirmar la creación del volumen lógico, se procederá
finalmente a la creación de la partición drbd y configuración de
todos los servicios involucrados en el sistema redBorder SE.
Nota: hay que asegurarse que la clave elegida en las
instalaciones de los dos MSB para la partición
compartida es la misma, ya que si no se indica lo
contrario la clave se genera aleatoriamente.
Finalmente se le pedirá confirmación para que el MSB actual se le
considere como maestro. Tras esto será necesario reiniciar.
- 26 -

Tras el reinicio, ya tiene su sistema redBorder SE totalmente
operativo y listo para aprovisionar imágenes una vez las tenga
creadas y configuradas.
Elementos a chequear para verificar el estado de la instalación:
• Ver si está levantado el servidor de DRBD. Nos debe
aparecer algo como lo siguiente:
[msb01]# /etc/init.d/drbd status
drbd driver loaded OK; device status:
version: 8.0.11 (api:86/proto:86)
GIT-hash: b3fe2bdfd3b9f7c2f923186883eb9e2a0d3a5b1b build by
buildsvn@c5-i386-build, 2008-02-13 19:40:55
m:res cs st ds p mounted fstype
0:shared WFConnection Primary/Unknown UpToDate/UpToDate C
/opt/rb/shared ext3
En la parte que dice UpToDate/Unknown significa que el nodo en el
que se ha ejecutado el drbd está actualizado y que el otro extremo
es desconocido. Esto es lógico si aún no hemos instalado el MSB de
respaldo.
• Verificar si heartbeat está iniciado:
[msb01]# /etc/init.d/heartbeat status
- 27 -

heartbeat OK [pid 320 et al] is running on msb01 [msb01]...
Evidentemente el PID puede variar de unas instalación a otra.
• Verificar los servicios virtuales levantados por heartbeat:
[msb01]# crm_mon
Defaulting to one-shot mode
You need to have curses available at compile time to enable
console mode
============
Last updated: Mon Jul 14 13:31:16 2008
Current DC: msb02 (22222222-2222-2222-2222-222222222222)
2 Nodes configured.
1 Resources configured.
============
Node: msb01 (11111111-1111-1111-1111-111111111111): online
Node: msb02 (22222222-2222-2222-2222-222222222222): offline
Resource Group: grp_drbd
rsc_drbd (heartbeat:drbddisk): Started msb01
rsc_drbdfs (heartbeat::ocf:Filesystem): Started msb01
rsc_ipvirt (heartbeat::ocf:IPaddr2): Started msb01
rsc_ipvirt_mgt (heartbeat::ocf:IPaddr2): Started msb01
rsc_fw (lsb:eneo_fw): Started msb01
rsc_nfs (lsb:nfs): Started msb01
rsc_nfslock (lsb:nfslock): Started msb01
rsc_apache (lsb:httpd): Started msb01
rsc_xinetd (lsb:xinetd): Started msb01
rsc_dhcp (lsb:dhcpd): Started msb01
rsc_snmptrapd (lsb:snmptrapd): Started msb01
rsc_rb_provd (lsb:rb_provd): Started msb01
rsc_rb_stats (lsb:rb_stats): Started msb01
rsc_collectd (lsb:collectd): Started msb01
rsc_prelude-lml (lsb:prelude-lml): Started msb01
rsc_nprobe (lsb:nprobe): Started msb01
rsc_flow-capture (lsb:flow-capture): Started msb01
rsc_pgsql (heartbeat::ocf:pgsql): Started msb01
rsc_prelude-manager (lsb:prelude-manager):Started msb01
Con esto vemos que todos los servicios han sido levantados en el
msb01.
Una vez instalado el MSB01 debemos conectarnos con la ayuda de
redConsole para empezar a configurar nuestros chasis. Aunque
- 28 -

puede proceder con la instalación del MSB02, como se hacía en
versiones anteriores, si configura adecuadamente el MSB01
automáticamente se clonará el MSB02 formando el cluster de
MSBs.
Si el cluster está bien montado debemos obtener la siguiente
salida:
[msb01]# /etc/init.d/drbd status
drbd driver loaded OK; device status:
version: 8.0.11 (api:86/proto:86)
GIT-hash: b3fe2bdfd3b9f7c2f923186883eb9e2a0d3a5b1b build by
buildsvn@c5-i386-build, 2008-02-13 19:40:55
m:res cs st ds p mounted fstype
0:shared Connected Primary/Secondary UpToDate/UpToDate
C /opt/rb/shared ext3
Lo cual significa que ambos extremos están actualizados.
[msb01]# crm_mon
Defaulting to one-shot mode
You need to have curses available at compile time to enable
console mode
============
Last updated: Mon Jul 14 13:31:16 2008
Current DC: msb02 (22222222-2222-2222-2222-222222222222)
2 Nodes configured.
1 Resources configured.
============
Node: msb01 (11111111-1111-1111-1111-111111111111): online
Node: msb02 (22222222-2222-2222-2222-222222222222): online
Resource Group: grp_drbd
rsc_drbd (heartbeat:drbddisk): Started msb01
rsc_drbdfs (heartbeat::ocf:Filesystem): Started msb01
rsc_ipvirt (heartbeat::ocf:IPaddr2): Started msb01
rsc_ipvirt_mgt (heartbeat::ocf:IPaddr2): Started msb01
rsc_fw (lsb:eneo_fw): Started msb01
rsc_nfs (lsb:nfs): Started msb01
rsc_nfslock (lsb:nfslock): Started msb01
rsc_apache (lsb:httpd): Started msb01
- 29 -

rsc_xinetd (lsb:xinetd): Started msb01
rsc_dhcp (lsb:dhcpd): Started msb01
rsc_snmptrapd (lsb:snmptrapd): Started msb01
rsc_rb_provd (lsb:rb_provd): Started msb01
rsc_rb_stats (lsb:rb_stats): Started msb01
rsc_collectd (lsb:collectd): Started msb01
rsc_prelude-lml (lsb:prelude-lml): Started msb01
rsc_nprobe (lsb:nprobe): Started msb01
rsc_flow-capture (lsb:flow-capture): Started msb01
rsc_pgsql (heartbeat::ocf:pgsql): Started msb01
rsc_prelude-manager (lsb:prelude-manager):Started msb01
Esta salida significa que ambos nodos están activos en el cluster.
- 30 -

3 Ventana Principal
redConsole es un entorno de administración centralizado para una
red desplegada de MSBs. Desde la ventana principal controlamos
todos los sistemas de manera agrupada.
Para lanzar la aplicación pulsaremos sobre el icono creado durante
el proceso de instalación tal y como se detalla en capítulos
anteriores.
La primera vez que se ejecuta redConsole, preguntará el idioma
por defecto de la aplicación, pudiéndose cambiar posteriormente a
través del menú Herramientas.
Después se muestra la ventana principal desde donde se
configuran las carpetas (agrupaciones de MSBs) y los MSBs a
administrar.
La ventana principal se compone de tres partes claramente
diferenciadas:
• Barra de Menú.- Recoge toda las funciones asociadas a la
ventana principal.
• Barra de Herramientas.- Incluye las funciones más
comunes.
• Árbol de Terminales.- En este cuadro se incluyen todos
los terminales que se desean configurar a través de la
aplicación redConsole en forma de árbol. Para mantener de
una forma estructurada los terminales se han considerado
tres niveles de organización:
• Primer Nivel (nivel de carpeta).- Especificamos un
grupo en el cual podremos insertar terminales. De esta
manera podemos ubicar los terminales en base a
alguna característica común (cliente, provincia, tipo de
hardware, tipo de contrato).
• Segundo Nivel (nivel de terminal).- Es el nivel
donde debemos introducir los terminales. Los
- 31 -

terminales no pueden estar en cualquier lado sino que
deben situarse en algún grupo o carpeta.
• Tercer Nivel (nivel de módulo).- Cada uno de los
terminales dispone de una serie de módulos (Sistema,
Objetos, Blade Control, etc). Este nivel sólo aparecerá
cuando nos conectemos con algún MSB.
3.1 Creación de Terminales
Cada terminal tiene una serie de opciones en común:
• Nombre del Terminal.- Se corresponde con el nombre
que le daremos al terminal para reconocerlo fácilmente.
• Puerto.- Como ya se ha comentado, la aplicación
redConsole interactúa con el terminal a través del
protocolo seguro SSH v2. Es por tanto en este punto donde
indicamos en qué puerto escucha el servidor SSH instalado
en redBorder SE. El puerto se puede variar pero por
defecto se toma el estándar (puerto 22).
• Dominio / IP.- En este cuadro especificamos la dirección IP
donde se encuentra el terminal. La dirección puede ser una
única dirección IP o un nombre de dominio, en cuyo caso la
interfaz resolverá el nombre de dominio introducido.
Podemos crear distintos MSBs/terminales cada uno con unas
características concretas. Para añadir un elemento basta con usar
el menú “Edición/Añadir”:
• Carpeta.- Son meramente organizativas, nos permiten
agrupar cualquier tipo de terminal.
• MSB.- Terminal para configurar. Este es el terminal más
importante.
• Colector.- Los colectores recogen toda la información
referente al consumo de ancho de banda en la red y nos
muestran información útil y legible en forma de gráficos.
- 32 -

• Alertas.- El MSB almacena todos los eventos ocurridos en
el mismo en una base de datos. A través de este terminal
podrá visualizar dichas alertas de una forma gráfica y
sencilla.
• Espejo.- Esta es una forma especial de terminal que
permite la configuración en espejo de varios MSB del
mismo tipo.
• MSB Virtual.- Es igual que el MSB en espejo pero en este
caso se permite sobreescritura de objetos con el fin de
lograr configuraciones más complejas.
Se pueden crear tantas carpetas y MSB como sean necesarias
(siempre y cuando la licencia lo permita). Es decir, podríamos
agrupar varios MSBs en una misma carpeta para representar su
pertenencia a una misma organización, provincia, tipo de
hardware, etc.
De esta manera logramos un control centralizado a través de
redConsole de todos los MSB contratados de una forma flexible y
ordenada.
3.2 Funciones
Una vez comprendidas las partes de las que se compone la
ventana principal veremos qué funciones podemos realizar. Existen
cuatro medios de actuación:
• Barra de Menú.- Situada en la parte superior de la
ventana.
• Barra de Herramientas.- Situada justo debajo de la
barra de menú.
• Menú Popup.- Menú contextual que aparece si pulsamos
el botón derecho del ratón sobre el árbol de terminales.
• Teclas de acceso rápido.- Que permiten una interacción
rápida con algunas funciones.
- 33 -

Como norma general, cualquier acción a realizar en cualquier
ventana, está recogida en el menú pero, para facilitar la
interacción con el usuario, se hace uso del resto de medios de
acción. El manual se centra en explicar todas las funciones del
menú y comentar cuáles de estas funciones se han considerado
como de uso común incluyéndose así en la barra de herramientas,
menú popup o teclas de acceso rápido.
3.2.1 Menú Archivo
• Salir.- Cierra y termina la aplicación redConsole. En caso
de tener algún terminal abierto cerrará las sesiones
establecidas con todos ellos antes de salir. Como cualquier
otra aplicación de entorno de escritorio podemos
igualmente cerrar la aplicación pulsando Alt+F4 o pulsando
con el ratón sobre el botón de “Cerrar ventana”.
3.2.2 Menú Edición
Se encarga de las funciones de edición de la parte principal de la
ventana, es decir, el árbol de terminales.
• Añadir.- Podemos añadir cualquier tipo de nodo en nuestro
árbol de MSBs. Para añadir ciertos terminales, se puede
hacer uso de la barra de herramientas.
• Eliminar.- Se encarga de la eliminación de los MSB del
árbol. Es importante notar que la eliminación de un
terminal no implica nada sobre su configuración real, sino
que simplemente elimina la referencia del terminal en
redConsole sin actuar sobre la máquina en remoto.
Siempre podrá volver a añadir el terminal y acceder a su
configuración si lo requiere. Existen dos posibilidades:
• Eliminar Actual.- Eliminará el nodo que tengamos
seleccionado. En caso de seleccionar una carpeta
eliminará todos los terminales de esa carpeta. Como
en cualquier explorador de ficheros, también podemos
eliminar el nodo seleccionado mediante la tecla
'suprimir'.
- 34 -

• Eliminar Todos.- Eliminará todos los nodos del árbol.
Como antes, siempre pedirá conformidad puesto que el
cambio es irreversible.
3.2.3 Menú Ver
Recogemos las funciones de visualización y edición de las
propiedades de cualquier nodo del árbol.
• Propiedades.- Función que permite modificar los
parámetros de un MSB (nombre, puerto y dirección) o
cambiar el nombre de un grupo de terminales (carpeta).
Para ello tendremos, previamente, que seleccionar el nodo
en cuestión. También podemos acceder a esta función a
través de la barra de herramientas o el menú popup o
mediante la tecla de acceso rápido F2.
3.2.4 Menú Herramientas
En este menú se recogen todas la funciones avanzadas asociadas
a un terminal, por tanto deberemos de tener seleccionado un
terminal sobre el que actuar.
• Conectar.- Se procede a la conexión con el terminal
mediante el protocolo SSH con la dirección y puerto
indicado en las propiedades del terminal. Ésta es quizás la
acción mas común de todas y por ello se incluye en la
barra de menú, en el menú popup e incluso haciendo doble
clic con el ratón sobre el terminal con el que queremos
conectar.
• Cargar Configuración Salvada.- Igualmente
conectaremos con el terminal pero esta vez cargaremos
ciertos datos de una configuración almacenada localmente.
Igualmente esta acción puede ser ejecutada a través del
popup.
• Ver Configuración Salvada.- A través de redConsole
podemos guardar configuraciones de nuestros terminales y
es a través de este menú como se pueden visualizar dichas
configuraciones en modo 'offline'.
- 35 -

• Puntos de restauración.- Cada vez que nos conectamos
con el terminal o cambiamos la configuración del mismo se
guarda de forma local una copia de seguridad o punto de
restauración. Por defecto se guardan hasta 30 puntos de
restauración diferentes. Esto nos permite visualizar, cargar
o comparar configuraciones anteriores a la actual lo que
facilita enormemente la administración del terminal.
• Cargar configuración.- Dos tipos: de Conexión anterior y
de Transmisión anterior.
• Conexión anterior.- Cada vez que conectamos con el
terminal se hace una copia de seguridad de los datos,
que por tanto recogen la configuración antes de
cualquier modificación que pudiera realizarse durante
la nueva conexión. Sólo se hará backup de la última
conexión, de tal manera que si vuelve a conectar con
el terminal perderá la copia de seguridad antigua, ya
que será reemplazada por otra nueva.
• Transmisión anterior.- Como ya sabemos, para hacer
efectiva una configuración de un terminal, debemos
transmitir dicha configuración. Es justo antes de este
momento cuando redConsole realiza otra copia de
seguridad antes de hacer efectiva la nueva
configuración. El momento en que se realiza cada
conexión y la durabilidad de las mismas se
comprenderá mucho mejor mediante el siguiente
diagrama.
- 36 -

Supongamos primero que redConsole dispone de una configuración
inicial que llamaremos conf1:
Momento
Configuración almacenada
redConsole
(activa)
Última
Conexión
Última
Transmisión
Inicio de la Aplicación conf1 - -
Conexión al Terminal conf1 conf1 -
Modificación de datos conf1 conf1 -
Transmisión de datos conf2 conf1 conf1
Modificación de datos conf2 conf1 conf1
Transmisión de datos conf3 conf1 conf2
Desconexión conf3 conf1 conf2
Podemos observar que las copias de seguridad sólo se efectúan en
la conexión y en la transmisión pudiendo recuperar datos
anteriores en caso de que lo deseemos. Como ya veremos también
es posible guardar la configuración en cualquier momento de
forma local y recuperarla a través del menú “Herramientas/Cargar
configuración local”.
• Licencia.- Este menú recoge las funciones básicas
relativas a la licencia del terminal:
• Importar Licencia.- Importa una licencia para el
terminal seleccionado a partir de un fichero.
- 37 -

• Ver licencia.- Muestra el tipo de licencia instalada en
el terminal.
• Obtener parámetros de la licencia.- Cuando no se
dispone de una licencia para el terminal seleccionado
debemos obtener una determinada información del
mismo con el fin de que se pueda generar una licencia.
Esta función muestra los parámetros necesarios para la
generación de una licencia válida para dicho terminal.
• Actualizar el terminal.- Actualiza el o los terminales
seleccionados.
• Reiniciar equipo.- Reiniciará el o los terminales
seleccionados.
• Cambiar contraseña.- Para configurar un terminal es
necesario conocer su contraseña. Mediante este menú
podemos cambiar la contraseña del terminal. Nota: la
contraseña por defecto es “marte”.
• Cambiar el Idioma.- Para cambiar el idioma de la
aplicación.
• SSH.- Menú asociado al protocolo de comunicación SSH:
• Terminal SSH.- Abre una ventana que nos permitirá
conectarnos por SSH con cualquier terminal. En caso
de tener un terminal seleccionado intentará conectar
con el mismo.
• Importar clave RSA.- Existen dos modos de
autenticación con el terminal mediante SSH: password
y clave RSA. Esta opción nos permite importar una
clave RSA del terminal con el que conectar. Nota: el
primer modo probado es siempre mediante clave RSA.
• Exportar clave RSA.- Permite copiar la clave RSA del
terminal seleccionado para copiarla en otro destino.
• Limpiar firmas RSA conocidas.- Cada vez que
redConsole abre una conexión con un terminal guarda
una firma digital única que identifica a dicho terminal.
- 38 -

Esto nos permite evitar ataques de suplantación de IP.
Mediante esta función eliminamos todas las firmas de
todos los terminales conocidos.
• Editor de claves RSA conocidos.- Esta opción nos
permite la edición individual de cada una de las llaves
RSA.
• Incluir imagen en los informes en PDF.- Selección de la
imagen a incluir en la creación de informes PDF.
• Borrar imagen de los informes PDF.- Elimina la
imagen almacenada para la creación de informes PDF.
• Configurar Proxy HTTP.- Es posible que para que
redConsole pueda conectarse con internet necesite de la
utilización de un proxy. Mediante esta opción podemos
indicar la ip del proxy, nombre de usuario y contraseña si
fuera necesario. redConsole se conecta al exterior por web
para dos funciones:
• Actualizar redConsole.
• Mostrar las noticias RSS de la aplicación.
• Noticias RSS antiguas.- Muestra las noticias RSS
antiguas o ya leídas de redConsole.
• Tips.- Muestra el clásico diálogo de sugerencias de la
aplicación.
3.2.5 Menú Ayuda
Existen tres funciones:
• Actualizar redConsole.- Permite la actualización de la
aplicación. Para ello es necesario disponer de un usuario y
contraseña. Póngase en contacto con su proveedor si no
dispone de unos valores válidos.
• Contenidos.- Abre el navegador mostrando el manual de
redConsole en PDF.
- 39 -

• Acerca de .- Típico menú de ayuda en el que encontrará
información de la versión y la empresa desarrolladora de la
aplicación.
3.3 Noticias
redConsole tiene un sistema de noticias integrado (usando
tecnología RSS) que aparece en la parte inferior de la ventana en
forma de líneas anaranjadas. Hay tres tipos de noticias
diferenciables por su respectivo icono:
• Noticias normales
• Actualizaciones
• Seguridad
Puede necesitar configurar el proxy en el menú “Herramientas”
para poder conectarse al servidor de noticias.
- 40 -

4 Ventana de Terminal
Nuestro objetivo es la configuración y gestión de un terminal de
forma remota. Para ello debemos conectar con cualquiera de los
terminales que dispongamos en la ventana principal obteniendo
así la ventana de terminal. Dicha ventana no es más que un reflejo
de la base de datos asociada al terminal conectado, presentándose
de una forma más cómoda y fácil de manejar.
Las comunicaciones llevadas a cabo con el terminal se realizan
mediante el protocolo de comunicaciones seguro SSH v2. La sesión
es iniciada en el momento de conexión con el terminal y no
termina hasta que no se cierra la ventana de terminal. Mientras se
disponga la ventana de terminal abierta existirá un medio de
comunicación establecido entre la aplicación y dicho terminal.
Para hacer notar cuándo la sesión SSH está abierta o mostrar qué
terminales tiene conectados, en el icono del terminal se mostrará
encendido un led verde simulando la conexión. En el caso de que
intentemos conectar con el terminal nuevamente, simplemente
mostrará la ventana de terminal asociada a la conexión anterior. Si
quisiéramos realmente volver a conectar deberíamos primero
desconectar del terminal, cerrando la ventana de terminal, para así
poder conectar nuevamente.
En esta ventana se configuran los módulos correspondientes a
cada terminal, los módulos serán tratados independientemente en
apartados posteriores. No es objetivo de este capítulo explicar
ahora cada uno de ellos sino explicar las características comunes.
4.1 Manejo
Para mostrar la configuración de cada uno de los módulos
debemos previamente seleccionar dicho módulo. Se puede realizar
a través de:
• Menú Módulo de la Barra de menú del Terminal.
• Haciendo click sobre los iconos de los diferentes módulos
en la Ventana principal.
- 41 -

Sólo se mostrarán los módulos que tenga instalado del terminal o
permita la licencia instalada en el mismo. La detección de qué
módulos tiene activados cada terminal se realiza en el periodo de
conexión, por lo que es posible disponer de varios terminales
contratados teniendo cada uno distintas funcionalidades. La
aplicación mostrará y configurará aquello que tenga contratado
cada terminal.
Cuando conectamos con varios terminales dispondremos de
ventanas y conexiones independientes entre todas ellas. Para
detectar con qué terminal está asociado una de las ventanas de
terminales disponible se muestra en la parte superior de la misma
la información del terminal conectado con el siguiente formato:
nombre – dirección - puerto ( grupo ) “Módulo
Activo”
De esta forma logramos un sistema de configuración centralizado
con el que podemos configurar y gestionar cualquier terminal
independientemente de su localización, estructura o
funcionalidades contratadas.
En este apartado veremos qué podemos realizar a través de la
Ventana de Terminal. Todas estas características son comunes a
todos los módulos activos en el terminal.
4.1.1 Menú Archivo
• Guardar Configuración.- Esta función tomará la
configuración de todos los módulos y la guardará en un
fichero especial. Previamente se verificará que la
configuración que se pretende guardar es coherente y no
tiene errores. Una vez verificados los módulos se
preguntará al usuario dónde desea guardar la
configuración. Los ficheros de configuración de redConsole
tendrán la extensión ".mgc" que será añadida
automáticamente en caso de no especificarla. Para volver a
una configuración salvada deberá de elegir la opción de
“Cargar configuración Local” en el Menú Herramientas de
la ventana principal seleccionando una de las
configuraciones salvadas previamente.
- 42 -

• Guardar Informe HTML.- Crea y guarda un informe
general (con los módulos que se hubieran indicado en la
opción "Propiedades del informe") en formato HTML.
• Guardar Informe PDF.- Similar al anterior, pero en un
documento PDF.
• Guardar Pantalla PDF.- Crea un informe PDF que se
presenta en la pantalla actual.
• Propiedades del informe.- Permite seleccionar los
módulos de los que se realizarán los informes.
• Salir.- Cerrará la Ventana de Terminal finalizando con la
sesión SSH que tenía abierta.
4.1.2 Menú Módulo
A través de este menú podemos cambiar de un módulo a otro para
mostrar su configuración. Sólo se mostrarán los módulos que tiene
activos en el terminal.
4.1.3 Menú Transmitir
Este función se encarga de la transmisión de la configuración
presente en la Ventana de Terminal al terminal conectado. Al igual
que en el caso de Guardar Configuración en el menú Archivo, antes
se realizará una comprobación de los datos detectando posibles
errores. Una vez transmitida la configuración se reiniciarán los
servicios implicados de forma automática y transparente al
usuario.
Para mantener una consistencia en los datos, en determinadas
circunstancias es necesario transmitir todos los módulos o,
excepcionalmente, reiniciar la máquina. En estos casos, antes de
realizar cualquier transmisión, se le preguntará al usuario si desea
continuar.
Todas las funciones de este menú están asociadas a la transmisión
de la configuración al otro extremo pero de diferentes maneras:
- 43 -

• Transmitir Actual.- Transmite el módulo que tenga
seleccionado en la Ventana de Terminal. El módulo Objetos
siempre se transmitirá puesto que es un elemento base.
• Transmitir Todos.- Transmite todos los módulos activos
en el terminal.
• Selección.- Transmitirá sólo aquellos módulos que tenga
seleccionados. Seleccionando este menú se abre un
desplegable en el que se muestran todos los módulos
activos mediante un selector. Se transmitirán todos
aquellos módulos que tengan dicho selector habilitado una
vez pulsando el “Transmitir” del desplegable del menú
“Selección”. Como puede observar el menú de Objetos
siempre esta seleccionado y no se puede modificar.
En caso de existir algún cliente conectado previamente, las
opciones anteriores no aparecerán habilitadas en el menú
Transmitir. Será necesario marcar primero la opción “Desbloquear”
para poder acceder a ellas. Esto se utiliza como mecanismo de
seguridad, para avisarnos de la existencia de otros clientes
conectados.
4.1.4 Menú Herramientas
• Reiniciar equipo.- Reinicia el terminal de forma remota.
Evidentemente perderá la sesión SSH, luego tendrá que
volver a conectar con el terminal si desea realizar más
cambios.
• Apagar equipo.- Apaga el terminal de forma remota.
• Comprobar estado.- Comprueba el estado del módulo
que se indique. En algunos casos da información que
puede ser útil para la monitorización del servicio.
• Ver modificaciones en la base de datos.- Muestra las
modificaciones de la base de datos desde el momento de
la conexión o desde la última transmisión (si es que se
hizo)
- 44 -

• Buscar.- Función que nos permite buscar un texto dentro
de redConsole en todos los módulos asociados al terminal.
Se muestra un diálogo en el que nos permite seleccionar
los módulos en los que se realizarán la operaciones de
búsqueda. Mediante la tecla de acceso rápido Ctrl+F
podemos acceder a esta función.
• Tips.- Muestra sugerencias acerca de redConsole pero en
este caso asociados al terminal conectado.
4.1.5 Menú Asociado al Módulo Activo
Este menú sólo esta disponible para ciertos módulos que lo
requieran. Recoge funciones asociadas al módulo en cuestión y por
ello serán tratadas en apartados posteriores.
- 45 -

5 Módulos principales
Los módulos principales son los incluidos en un terminal estándar,
aunque no siempre todos están activos ya que éstos dependen
tanto del hardware como de la licencia que se esté usando.
5.1 Sistema
El módulo de Sistema recoge toda la parte de configuración de la
máquina en sí. Constituye, junto con el módulo de Objetos, uno de
los módulos base del cual dependen el resto de módulos.
Debemos tener en cuenta que una modificación inadecuada en
este módulo podría suponer la pérdida de contacto con la máquina,
de ahí su importancia. Es por esta razón por la que debe prestar
especial cuidado a la hora de modificar ciertos parámetros.
El módulo de Sistema se divide en 5 partes:
• Resúmen.- Muestra un resúmen del estado del MSB
conectado.
• Sistema.- Parámetros básicos de sistema.
• SSH.- Configuración del servidor SSH del terminal usado
por redConsole para comunicarse con el MSB.
• Logs.- Visor de logs del MSB conectado.
• Estado.- Creación de informes básicos en HTML del estado
de la máquina.
5.1.1 Resúmen
Esta pantalla muestra un resúmen del estado del MSB conectado.
A modo de ejemplo tenemos:
- 46 -

Se divide en tres partes claramente diferenciadas:
• Estado del chasis.- Estado de los blades del chasis
controlado por el MSB.
• Estado del MSB.- Estado de la CPU y carga del MSB
conectado.
• Tabla de propiedades.- En esta tabla se recogen los
siguientes campos:
• Nombre del terminal.
• Usuarios conectados.
• Tiempo local del MSB.
• Uptime. Tiempo que lleva encendida la máquina y
la carga de la misma en modo texto.
• Versión del software de redBorder instalada en el
MSB.
• Validez de la licencia instalada en el MSB.
- 47 -

• Número de MSBs que forman el cluster.
• Estado de la partición DRBD del cluster.
5.1.2 Sistema
Este apartado se encarga de los siguientes parámetros:
• Nombre del Sistema.- Nombre interno del MSB.
• Fecha actual del Sistema.
• Hora de conexión.- Hora de conexión con el MSB.
• E-Mail del Administrador.- Se especifica el correo del
administrador al que se le enviarán alertas si es necesario.
• E-Mail de respuesta.- Se especifica el correo origen con
el que se enviarán los mensajes. Cuando el administrador
reciba una notificación via email conocerá el MSB al que
hace referencia gracias a este campo.
• Servidor SMTP (relay).- Servidor SMTP usado para
enviar cualquier correo de administración.
• Puerto.- Puerto de escucha del servidor SMTP
• Requiere autenticación.- Esta opción debe estar
marcada sólo si el servidor SMTP configurado requiere
autenticación.
• Usuario.- Nombre de usuario usado para la autenticación
con el servidor SMTP.
• Contraseña.- Contraseña utilizada para la autenticación
con el servidor SMTP.
- 48 -

5.1.3 SSH
El servidor SSH es una de las bases del sistema de configuración.
Todas las comunicaciones que se efectúan entre redConsole y el
MSB se hacen a través del protocolo de comunicaciones seguro
SSHv2.
Una modificación inadecuada del servidor SSH podría suponer la
pérdida de la conexión con el terminal para futuras sesiones.
- 49 -

Los parámetros configurables son:
• Puerto de escucha.- Es el puerto donde escuchará el
servidor SSH. Por defecto será el puerto 22. Al tratarse de
un puerto (servicio) se mostrará, como es lógico, la lista de
objetos servicio que tenga definido.
• Habilitar acceso por contraseña.- Si esta marcado, se
permitirá el acceso por contraseña y por clave RSA. En
caso de estar desmarcado sólo se permitirá el acceso por
clave RSA.
Aunque redBorder SE puede ser configurado desde cualquier
equipo de la red, es recomendable que el servidor SSH sólo
escuche en la interfaz de gestión y cortarlo para otras interfaces.
Este es el modo más seguro puesto que evita posible conexiones
SSH desde el exterior. Para ello, deberá realizar las acciones
adecuadas en el módulo de Cortafuegos.
Debemos tener en cuenta también el puerto de escucha del
servidor SSH. La modificación del puerto implicará una
modificación en las propiedades del terminal para conexiones
futuras.
Para reforzar la seguridad, es posible usar claves RSA/DSA para la
autenticación. Lo más seguro es crear claves RSA/DSA únicas para
cada administrador en caso de ser varios los administradores del
equipo, y desactivar el acceso por contraseña.
El servidor SSH también puede ser usado para una administración
a bajo nivel sólo disponible para usuarios avanzados.
5.1.4 Logs
Si los logs generados se guardan en el mismo equipo podemos
visualizarlos desde este panel. Para ello, debemos seleccionar
previamente el fichero de logs que deseamos visualizar. Tenemos
dos posibilidades:
• Analizar Log.- Muestra en el cuadro de texto inferior las
últimas líneas del fichero de logs.
- 50 -

• Guardar Log.- Descarga el fichero completo para
guardarlo en la máquina donde se ejecuta redConsole y lo
muestra en el cuadro de texto para su visualización.
Podemos usar esta opción para visualizar partes del fichero
más antiguas o para hacer una copia de seguridad del
mismo.
5.1.5 Estado
Esta pestaña permite crear un pequeño informe en HTML de varios
aspectos relacionados con el sistema.
- 51 -

Se puede elegir entre distintos temas:
• Información General.- Muestra información como la
fecha del sistema, el tiempo que lleva encendido y el
número de usuarios conectados.
• Información de Sistema.- Muestra el número de
procesos y el porcentaje de ocupación de la CPU.
• Información de Memoria.- Muestra información sobre la
memoria RAM, la memoria de intercambio y las particiones
que se encuentren en el sistema.
• Información de Red.- Muestra el número de reglas
iptables, las conexiones TCP y UDP y la tabla de rutas
estáticas así como las interfaces.
- 52 -

5.2 Objetos
El módulo de Objetos es una de las bases de redConsole puesto
que de él dependen el resto de módulos. Cuando un administrador
quiere configurar un dispositivo avanzado necesita gestionar
múltiples direcciones de red, subredes, puertos de servicios,
protocolos... Muchos de estos datos son comunes a varios o a
todos los servicios.
Por ejemplo, si el sistema de red que pretende configurar el
administrador contiene una subred correspondiente a la red local
(ej. 192.168.100.0/24) tendrá que utilizar dicha subred en todos los
servicios que dependan de la misma (ej. Cortafuegos). El
mantenimiento de dicha subred de forma manual sería complicado
y tedioso si consideramos una dependencia múltiple del mismo.
Cualquier modificación de dicha subred implicaría una modificación
de todos los ficheros de configuración de los que depende lo cual
puede resultar complicado y en ciertos casos prácticamente
inviable.
Esta es la razón principal por la que existe el módulo de Objetos.
En un único punto de la aplicación se definen esas subredes,
direcciones IP, puertos y mensajes ICMP, que de forma genérica se
tratarán como objetos por el resto de componentes. Los otros
módulos utilizarán dichos objetos como si de una base de datos se
tratara, y de esta manera cualquier modificación en el valor
almacenado en el objeto de la red local sólo implicaría la
modificación del objeto de red en el módulo de Objetos, no siendo
necesaria la alteración en el resto de módulos que lo utilicen.
Con todo esto, se puede observar la importancia de dicho módulo
para el resto de módulos. Siempre debe de haber una coherencia
entre los datos de este módulo y el resto, y por ello siempre se
transmite al terminal al hacer cualquier cambio en la
configuración.
Cada uno de estos objetos definidos en este módulo tendrá un
nombre para hacer referencia a los mismos en cualquier otro
módulo. Este nombre es totalmente configurable por el usuario
según sus necesidades.
- 53 -

¿Qué objetos podemos usar? Todo aquello que sea susceptible de
ser usado en cualquier otro módulo, se considerará un objeto. Para
esta versión se han considerado los siguientes objetos:
• Elementos de red.- Se corresponde con cualquier
dirección de red, ya sea una dirección IP simple (ej.
192.168.100.1), una dirección de subred
(192.168.100.0/24) o una lista de ambas. También es
posible utilizar un nombre de máquina para que la interfaz
realice una consulta DNS y escriba por nosotros el valor de
su IP. Es importante resaltar que NO se almacena el
nombre de la máquina, sólo su dirección IP.
• Servicios.- Para identificar un servicio IP debemos indicar
el número de puerto que utiliza. Por ejemplo, el puerto por
defecto del servicio SSH es el 22. De fábrica se especifican
la gran mayoría de puertos de los principales servicios,
pero puede necesitar crear objetos nuevos. También
podemos especificar rangos de puertos para aquellos
servicios que los usen.
- 54 -

• Protocolos.- Existen multitud de protocolos de red que
pueden ser usados, por ejemplo TCP y UDP. Este objeto
hará referencia al identificador de cada protocolo.
• Mensajes ICMP.- En el protocolo ICMP existen multitud de
tipos de mensajes, por ejemplo, el mensaje de “echo” y
“echo reply” (ping). Este tipo de objetos guardará el
identificador del mensaje ICMP.
• MAC.- Lista de direcciones MAC que queremos controlar de
manera personalizada.
- 55 -

• Marcas.- índices usados en los módulos de tráfico y
cortafuegos.
• Grupos.- Aquí se pueden definir grupos que engloben a
distintos objetos.
Independientemente de la naturaleza del objeto redConsole, cada
uno dispone de un nombre al que haremos referencia cuando
queramos usarlo. Evidentemente, en función del tipo de objeto que
sea, podremos usarlo en un lugar u otro. Para ello se hará uso de
desplegables en los que se muestren todos los objetos del tipo en
cuestión.
En todos los cuadros donde se requiera de un objeto, se mostrarán
de forma automática sólo los que tengan sentido según el
contexto.
Debido a su importancia en el resto de módulos existen ciertas
limitaciones:
• Un objeto no se podrá eliminar cuando esté en uso. Sólo
cuando se libere al objeto de dichos usos, podrá ser
eliminado.
• La modificación de un objeto que esté en uso implicará la
transmisión de todos los módulos.
Con todo esto, el módulo Objetos se divide en varias partes
(pestañas), que se corresponden con los tipos de objetos que se
pueden crear.
El uso de este tipo de tabla es común al resto de la aplicación. Es
por esta razón por la que se explicará la funcionalidad de esta
tabla para luego detallar los aspectos particulares de cada tabla en
otros módulos.
- 56 -

5.2.1 Tabla Principal
La tabla principal se compone de “barra de herramientas” y “tabla
de datos”.
5.2.1.1 Barra de Herramientas
En la parte superior se dispone de una barra de herramientas con
las funciones principales:
• Añadir.- Añadirá una fila al final de la tabla.
• Insertar.- Insertará una fila encima de la fila seleccionada.
En caso de no tener seleccionada ninguna fila la insertará
al principio.
• Editar.- Tomará la fila seleccionada para su edición.
También se edita haciendo doble clic con el ratón sobre la
fila seleccionada.
• Eliminar.- Se eliminarán aquellas filas seleccionadas
solicitando, por seguridad, una confirmación del usuario.
En caso de que exista un error y ciertas filas no hayan
podido ser eliminadas se mostrará mediante un diálogo de
error. Para eliminar una fila puede hacer uso de la tecla
Suprimir del teclado.
• Subir.- Subirá la fila seleccionada una posición hacia
arriba. Existen diferentes tablas en las que la posición de
las filas es importante, luego esta función nos podría valer
para organizar la tabla según nuestras necesidades. Existe
un acceso directo a esta función mediante la combinación
Alt+Up (flecha hacia arriba del cursor). Como ya veremos
esta combinación se puede usar en otros sitios en los que
tenga sentido subir o bajar (por ejemplo en el árbol del
QoS).
• Bajar.- Al igual que podemos subir una fila mediante esta
función bajaremos la fila de posición. Igualmente podemos
hacer uso del acceso directo Alt+Down (flecha hacia abajo
del cursor).
- 57 -

5.2.1.2 Tabla de Datos
Es el lugar donde se mostrará la información contenida en la tabla
ordenada por columnas y filas. Para facilitar la visualización de la
tabla se alterna, entre dos colores, el color de las distintas filas.
Como cualquier otra tabla dispone de dos partes: cabecera (donde
se muestra una información resumida del contenido) y cuerpo
(donde se presentan los datos).
Existen ciertas tablas que son sensibles a ser organizadas por
orden alfabético a nivel de columna. Tipos de ordenaciones:
• Definida por el usuario.- El usuario define su propia
ordenación según sus necesidades pudiendo subir o bajar
las filas con las funciones que vimos anteriormente.
• Ordenación ascendente.- Si hacemos clic con el ratón
sobre la columna de la tabla que queremos ordenar
modificará, de forma automática, el orden para que sea
ascendente. Podemos ver que se está aplicando este tipo
de ordenación observando la forma de la cabecera de la
columna ya que aparece con un triángulo justo al lado del
nombre indicando el orden ascendente.
• Ordenación descendente.- En caso en el que estemos
en orden ascendente y hagamos clic nuevamente sobre la
misma columna, el triángulo que aparecerá será un
triángulo invertido, denotando el orden descendente de la
misma.
El orden por defecto es el primero, en el que no se muestra ningún
triángulo en la cabecera. Como ya sabemos, para pasar de un
estado a otro basta con hacer clic sobre la cabecera en cuestión
formando un ciclo. Pasamos de orden definido por el usuario a
orden ascendente, y haciendo clic, de orden ascendente a
descendente, y si hacemos clic nuevamente, de orden
descendente al definido por el usuario, repitiendo así el ciclo.
Podemos incluso ordenar más de una columna a la vez
manteniendo pulsada la tecla ”Ctrl” mientras hacemos clic sobre
las cabeceras de las columnas que queramos ordenar.
- 58 -

Un uso común para la ordenación puede ser la de buscar una fila
determinada. La ordenación alfabética o numérica según el caso,
puede simplificar las tareas de búsqueda en tablas extensas. Para
tal fin, también puede hacerse uso de las teclas de acceso rápido.
Cuando se tenga seleccionada una celda (fila+columna), pulsando
cualquier tecla imprimible del teclado buscará la siguiente fila que
comience por dicha letra en la columna seleccionada. Para
sucesivas búsquedas basta con pulsar la tecla F3.
Relativo a la ordenación, en el caso en que tenga la tabla
ordenada, ya sea de forma ascendente o descendente, si sube o
baja una fila de posición, lo hará de manera relativa al orden
definido por el usuario.
También, en el caso de que la tabla esté ordenada, e inserte o
añada una fila, como parece lógico, la fila se colocará en el lugar
que le corresponda según la ordenación seleccionada.
Para facilitar la adición o edición de filas a la tabla se dispone de
un diálogo asociado a la misma. Este diálogo es diferente en
función de para qué se utilice en la tabla ya que aun teniendo
todas la tablas de este tipo una estructura similar, los datos que
contienen pueden ser totalmente diferentes. A medida que veamos
cada uno de los módulos en los que nos encontremos con tablas de
este tipo, se irán viendo las limitaciones de cada diálogo según
corresponda.
Puede crear puntos de retorno en las tablas
mediante la combinación de teclas Ctrl+F2. Para
volver a dicho punto de retorno basta con pulsar la
tecla de acceso rápido F2.
Existen ciertas filas que son consideradas como de
sistema que no pueden ser eliminadas o editadas
(al menos en parte). Estas filas sirven para mantener
una coherencia de los datos y las aplicaciones.
- 59 -

5.2.2 Elementos de red
La multitud de direcciones IP y subredes a utilizar hace necesario
definirlos como un objeto de red. Éste es quizás, el objeto más
usado en el resto de módulos debido a su importancia. Estos
objetos de red almacenarán bajo un mismo nombre varios tipos de
datos:
• Dirección IP.- Dirección de un equipo. Ej: 192.168.100.2
• Subred.- Dirección de una subred. Ej: 192.168.100.0/24
• Múltiples direcciones IP o Subredes.- Usados para
definir entornos más complejos según la necesidad del
administrador. Ej: 192.168.100.0/24,192.168.100.2
En este panel se especifican todos los objetos de red para el
terminal conectado. Por defecto aparecen dos objetos de red que
son:
• internet.- Se corresponde con la subred global 0.0.0.0/0
• localhost.- Se corresponde a la dirección reflexiva
127.0.0.1, es decir hace referencia a la propia máquina.
Para insertar o editar objetos de red hacemos uso de las funciones
de la tabla principal que vimos previamente. El diálogo es como
sigue:
Debemos indicar:
• Nombre.- Nombre único entre objetos de red, que será
usado para hacer referencia al objeto.
• Subred.- Tabla en la que se indican tantas direcciones IP o
de subred como sean necesarias.
Para añadir una dirección a la lista basta con introducir la dirección
en el cuadro que se indica y pulsar “Añadir” incluyéndose al final
de la lista.
Podemos añadir:
- 60 -

• Dirección IP.- Una dirección IP simple en el formato
habitual. Ej: 192.168.100.2.
• Dirección de Subred.- Una dirección de red con el
formato IP/Máscara. Ej: 192.168.100.0/24. Es posible que
no especifique una dirección de subred correcta, por
ejemplo: 192.168.100.200/25 en cuyo caso se calculará, de
forma automática, la dirección de red correcta con esa
máscara (192.168.100.128/25).
• Dominio.- Puede especificar cualquier nombre de dominio
de tal manera que redConsole resolverá la IP(s) que le
corresponda. redConsole debe ser capaz de resolverlo de
forma local o haciendo la petición a la red si lo requiere. En
caso de que no pueda resolver el nombre de dominio dará
un mensaje de error. Es importante notar que una vez
resuelta la IP, el valor que se usará será siempre el de la
dirección IP resuelta y nunca el del dominio. Esto es así ya
que el resto de módulos no trabajan con nombres de
dominio sino con direcciones IP.
El uso de los objetos de red con direcciones de subred o con
múltiples direcciones IP está limitado. Existen ciertos puntos en los
que se espera una dirección de red simple como puede ser la
dirección de escucha del proxy. No tendría sentido que un servicio
escuche en una dirección de subred o en múltiples direcciones IP.
¿Qué pasaría si un objeto de red que tuviera una
dirección IP simple pasara a una dirección de
subred? En todos aquellos puntos en los que
aparezca dicho objeto y se esperara una dirección
de red simple contendría datos erróneos. Es por esta
razón por la que, para mantener un sistema más
simple y estable, se limita justamente la acción
errónea. Es decir, en el caso en el que un objeto de
red con una IP (objeto de red simple) esté siendo
usado, no se podrá pasar a dirección de subred o
dirección de red múltiple (objeto de red complejo).
- 61 -

5.2.3 Servicios
Cualquier servicio de red queda definido por dos parámetros:
dirección IP de acceso y puerto de escucha del servidor. La
dirección de acceso se incluye en los objetos de red y el puerto en
los objetos de servicio.
Existen en la actualidad multitud de servicios. En la configuración
de fábrica se definen los puertos por defecto de los servicios
típicos de Internet. Estos objetos se consideran objetos de sistema
y por ello no se podrán eliminar o editar. También es posible definir
nuevos servicios sin más que indicar el número de puerto al que
hace referencia.
Existen servicios más complejos que no usan un puerto simple sino
un rango de puertos. Se pueden igualmente definir rangos de
puertos para ser usados en los objetos de red. Los rangos quedan
definidos mediante el siguiente formato (ambos puertos inclusive):
puerto_inicial:puerto_final
Como cualquier otro objeto se debe especificar un nombre para
poder usarlo en el resto de módulos. Igualmente se recomienda el
uso de un nombre acorde al servicio que se pretende definir para
facilitar su interpretación. Una vez definido el objeto podemos
usarlo en el resto de módulos sin más que seleccionar el servicio
apropiado según nuestras necesidades.
Como ocurre con los objetos de red el uso de los objetos de
servicio está limitado. Existen ciertos puntos en los que no es
posible usar objetos definidos como un rango de puertos. Por
ejemplo, el puerto de escucha del servidor SSH no tiene sentido
que sea un rango de puertos. Al igual que ocurría en el caso
anterior la aplicación redConsole sólo mostrará los objetos que
tengan sentido según el lugar donde lo utilice, por tanto el
administrador no se tendrá que preocupar de si puede o no usar un
objeto en un determinado lugar.
- 62 -

Por la misma razón que en los objetos de red, una vez definido un
objeto de servicio de tipo simple (un solo puerto) que esté siendo
usado no podrá cambiarlo a objeto de servicio complejo (con rango
de puertos).
5.2.4 Protocolos
En Internet existen multitud de protocolos siendo quizás los más
usados los protocolos TCP, UDP e ICMP. Todos los protocolos
disponen de un identificador de protocolos estándar siendo, por
ejemplo, 6 para el protocolo TCP, 17 para UDP y 1 para ICMP.
En la configuración de fábrica se definen todos los identificadores
estándar de protocolos aunque existe la posibilidad de añadir
nuevos protocolos introduciendo su identificador.
5.2.5 ICMP
Para el protocolo ICMP existen multitud de tipos de mensajes. Cada
uno de ellos dispone de un identificador único que le diferencia del
resto. El objeto ICMP guardará el identificador del mensaje ICMP.
De esta manera no tendremos que recordar el valor numérico
asociado al mensaje ICMP sino un nombre que indica el tipo de
mensaje.
Al igual que en el resto de objetos, se definen una serie de objetos
ICMP por defecto en la configuración de fábrica con los mensajes
ICMP más importantes. Estos objetos son considerados de sistema
y no se podrán eliminar o editar.
5.2.6 MAC
Permite definir objetos asociados a direcciones MAC para así poder
controlarlas de manera personalizada.
5.2.7 Grupos
Sirve para definir agrupaciones de distintos objetos.
- 63 -

5.3 Cortafuegos
Este módulo está incluido en el sistema base y es el encargado de
controlar todas las comunicaciones que atraviesan el MSB.
La interfaz gráfica debe separar la red, al menos, en dos partes:
una parte confiable (red interna) y otra parte no confiable (red
externa). Es deber del administrador decidir qué partes de la red
son confiables y qué partes no, y realizar las conexiones físicas
adecuadas con la máquina.
El cortafuegos, al controlar las comunicaciones en las que
interviene la interfaz redConsole, puede suponer un punto
peligroso para el sistema de configuración. En caso de no definir
correctamente las reglas podría provocar que redConsole no
pudiera comunicarse con el equipo. Es por esta razón por la que
este módulo debe ser tratado cuidadosamente.
Por defecto, en la configuración de fábrica, se permiten todas las
comunicaciones. Es tarea “PRIORITARIA” del administrador ajustar
la configuración a sus necesidades para mantener una seguridad
adecuada de su red.
El módulo de Cortafuegos se divide en 4 partes claramente
diferenciadas por pestañas:
• Configuración.- Panel general de configuración del
cortafuegos.
• Reglas de Filtrado.- Definición del árbol de reglas del
cortafuegos.
• Lista Blanca.- Conjunto de direcciones IP, redes o
servicios que serán siempre aceptados por el cortafuegos.
• Lista Negra.- Conjunto de direcciones IP, redes o servicios
que serán siempre denegados por el cortafuegos.
La mayoría de estos paneles tienen una estructura muy similar a la
de los paneles del módulo Objetos.
- 64 -

Antes de proceder a la explicación detallada de cada una de las
partes del cortafuegos es necesario disponer de una serie de
conocimientos básicos:
• Cortafuegos con control de estado.- El cortafuegos
realiza un control de todas las conexiones que lo
atraviesan. Cuando se inicia una comunicación que
controla el cortafuegos se recorren las reglas del mismo
hasta que una haga coincidencia. En caso de cumplirse, se
realizará la acción indicada en la regla. Si el paquete es
aceptado se guarda su estado en una tabla conocida como
“Tabla de control de estado del cortafuegos”. Cuando el
paquete llega a su destino y éste responde, la conexión de
la tabla anterior se pasa a estado asegurado.
Subsiguientes paquetes no tienen que atravesar de nuevo
todo el árbol de reglas del cortafuegos sino que existe una
primera regla que dice algo así: “si la conexión ya está
asegurada en la tabla de control de estado el paquete se
acepta directamente”. Esto tiene dos implicaciones:
• Mejora de rendimiento.- La gran mayoría de
paquetes hacen coincidencia en la primera regla del
cortafuegos por tanto se mejora enormemente la
eficiencia del mismo.
• No es necesario reescribir el camino de vuelta.-
Las reglas del cortafuegos se deben escribir pensando
en quién origina la comunicación ya que las respuestas
quedan implícitas.
• Iptables.- Es el nombre de la herramienta de espacio de
usuario mediante la cual el administrador puede definir
políticas de filtrado del tráfico que circula por la red.
El cortafuegos está basado en netfilter (subsistema
de cortafuegos) e iptables (herramienta de
configuración del espacio de usuario).
- 65 -

5.3.1 Configuración
El panel de Configuración es el encargado de todos los aspectos
generales del cortafuegos. De su configuración dependerán el
resto de paneles del mismo:
• Activar/Desactivar.- Podrá activar o desactivar el
cortafuegos activando o desactivando dicha casilla. En
caso de estar desactivado, el cortafuegos dejará pasar
todo el tráfico.
• Listas Blancas/Negras antes del control de estado.-
Los usuarios, redes o servicios que estén incluidos en la
lista negra serán rechazados al igual que los usuarios que
estén en la lista blanca serán siempre aceptados. ¿Dónde
se ponen dichas reglas?, ¿antes o después del control de
estado?.
• Después del control de estado.- Si un usuario es
incluido en la lista negra pero el usuario ya inició
sesión antes de dicha acción todos sus paquetes (los
de las conexiones que permanezcan abiertas) no
atravesarán las reglas del cortafuegos sino que serán
inmediatamente aceptados en la primera regla de
control de estado.
• Antes.- Si se ponen antes, todas las comunicaciones
atravesarán dichas reglas antes de llegar a la regla del
control de estado. Por tanto si un usuario es incluido en
la lista negra será denegado en todo caso. Por contra
empeoramos la eficiencia del cortafuegos ya que los
paquetes tienen que atravesar más reglas de media.
• Política por defecto.- En caso de no hacer coincidencia
con ninguna regla en el cortafuegos, se aplicará esta
política. Existen dos posibles valores:
• ACCEPT.- El paquete es aceptado.
• DROP.- El paquete se desecha silenciosamente y por
tanto no llega a su destino (no se envía una respuesta
negativa al emisor).
- 66 -

Por defecto toma el valor ACCEPT pero debe cambiarlo una
vez haya definido correctamente el cortafuegos. La política de
seguridad más adecuada es: “Todo se rechaza excepto lo que yo
acepto”.
• Tasa máxima de generación de Logs.- En caso de que
una regla haga coincidencia y tenga indicado hacer log,
escribirá en disco como máximo a la tasa indicada, por
defecto, 10 logs/segundo. Esto previene ataques por
desbordamiento de logs.
5.3.2 Reglas de Filtrado
Este panel es uno de los paneles principales del cortafuegos. Aquí
el administrador define el conjunto de reglas que serán aplicadas
en el cortafuegos.
Las reglas serán recorridas una a una hasta que haga coincidencia,
aplicándose la acción elegida. En caso de no haber coincidencia en
ninguna regla se tomará la acción por defecto definida en el panel
de Configuración.
Una de las novedades del cortafuegos es la posibilidad de definir
un árbol multinivel de reglas que mejoran la eficiencia del mismo.
Se pueden definir los siguientes campos:
• Acción.- Si la regla hace coincidencia en todos sus campos
se ejecutará la acción indicada en este campo. Existen 6
tipos de acciones:
• ACCEPT.- El paquete es aceptado.
• DROP.- El paquete es silenciado o ignorado sin dar
respuesta al emisor.
• REJECT.- Rechaza el paquete enviando una respuesta
de rechazo al emisor, mediante un mensaje ICMP.
• CONTINUE.- No hace nada con el paquete. Sigue a la
siguiente regla que corresponda. Esto sirve para crear
excepciones a reglas más globales o para hacer logs
sin realizar ninguna acción en ese punto.
- 67 -

• RETURN.- Vuelve a la regla padre de la cual proviene.
• Interfaz de entrada (IN).- Interfaz por la que entra el
paquete.
• Interfaz de salida (OUT).- Interfaz por la que sale el
paquete.
• Origen.- IP origen del paquete.
• Destino.- IP destino del paquete.
• Protocolo.-
• Puerto Origen.-
• Puerto Destino.-
Campos avanzados:
• MAC Origen.-
• Límite de Conexiones.- Si el número es menor o igual al
indicado la regla hará coincidencia (al menos este campo).
• Política IPSEC.- El tráfico proviene de una conexión VPN
(cifrado).
• LOG.- En caso de estar habilitado la regla hará log si hace
coincidencia con el paquete. Puede indicar un texto
descriptivo para reconocer fácilmente el log.
• Configuración de la Hora.- Definición del intervalo de
tiempo en que hará coincidencia la regla. Por defecto, no
hay limitación de tiempo.
• Comentarios.- El administrador puede incluir un
comentario asociado a la regla. Este texto no será tenido
en cuenta en la compilación de la regla.
Es importante notar que todos los campos son opcionales. En caso
de no indicarse cualquiera de los campos se tomará la opción más
general. Por ejemplo, si no se especifica la interfaz de entrada, se
tomará cualquiera interfaz de entrada.
- 68 -

Una peculiaridad de este cortafuegos es la definición de las reglas
en forma de árbol. Para ello tenemos dos tipos de regla:
• Regla Padre.- Regla que contiene reglas dentro. Las
reglas dentro de las de un padre se llaman reglas hija.
• Regla Hija.- Regla que cuelga de una regla padre. Las
reglas hijas pueden ser a su vez reglas padre o reglas hoja
(que no contienen reglas hija). Ejemplo:
Regla 1 (nivel 1)
Regla 2 (nivel 2)
Regla 3 (nivel 2)
Regla 4 (nivel 3)
Regla 5 (nivel 3)
Regla 6 (nivel 2)
• Reglas Padre: 1, 3
• Reglas Hoja: 2, 4, 5, 6
• Reglas Hija:
• Regla 2, 3, 4, 5 y 6 del padre 1
• Regla 4 y 5 del padre 3
La forma de proceder es la siguiente:
• El cortafuegos atraviesa las reglas de forma lineal (una
detrás de otra).
• Si se trata de una regla hoja:
• En caso de hacer coincidencia con el paquete aplica la
acción de la regla.
• Si no hace coincidencia, continúa por la siguiente regla
del mismo nivel.
- 69 -

• Si se trata de una regla padre:
• En caso de hacer coincidencia con el paquete en
cuestión recorrerá sus reglas hijas.
• Si no hace coincidencia continúa por la siguiente regla
del mismo nivel.
• Se aplicará la acción de la regla padre sólo si no hace
coincidencia con ninguna de sus reglas hijas.
Ejemplo 1:
ACCION IN OUT Origen Destino
DROP WAN
ACCEPT servidor1
ACCEPT servidor2
Supongamos los siguientes casos:
• Paquete que proviene de la LAN del servidor 1:
• El cortafuegos analiza la primera regla y detecta que
no hace coincidencia puesto que no proviene por la
WAN. Como es una regla padre no se mete dentro y
continuará por las reglas que sean.
• Paquete que proviene de la WAN hacia el servidor 2:
• El cortafuegos analiza igualmente la primera regla
(padre) y en este caso, sí hace coincidencia. Por tanto
nos metemos dentro de la regla padre.
• El cortafuegos comprueba la segunda regla y vemos
que no hace coincidencia luego continua por la
siguiente.
- 70 -

• El cortafuegos comprueba la tercera regla y sí hace
coincidencia. El paquete es aceptado.
• Paquete que proviene de la WAN hacia el servidor X:
• El cortafuegos analiza igualmente la primera regla
(padre) y sí hace coincidencia. Por tanto nos metemos
dentro de la regla padre.
• El cortafuegos comprueba la segunda regla y vemos
que no hace coincidencia luego continua por la
siguiente.
• El cortafuegos comprueba la tercera regla y vemos que
no hace coincidencia luego continua por la siguiente.
• Al no haber más reglas hijas, se aplica la política de la
regla padre. El paquete es rechazado.
Con todo esto, el bloque de reglas anterior se debe interpretar
como sigue:
• “Se rechazan todas las comunicaciones que provengan de
la WAN excepto las que vayan hacia el servidor 1 y hacia el
servidor 2”.
• También es importante notar que en las reglas hijas ya no
es necesario indicar la interfaz de entrada porque queda
implícito de su regla padre. Si no se cumple la regla padre
nunca entrará en los hijos.
• Igualmente este cortafuegos se puede comportar como un
cortafuegos estándar lineal. Las reglas serían las
siguientes:
Ejemplo 1:
ACCEPT WAN servidor1
- 71 -

ACCEPT WAN servidor2
DROP WAN
Como se puede observar el efecto es el mismo pero:
• Si la interfaz de entrada es la LAN atravesamos tres reglas
mientras que en el otro escenario sólo con una pasamos al
siguiente bloque de reglas.
• Más difícil de mantener. Si por lo que sea queremos
cambiar la interfaz de entrada tenemos que modificar tres
reglas mientras que con el otro escenario sólo debemos
modificar una.
Ejemplo 2:
ACCEPT WAN
DROP servidor1
DROP servidor2
Este ejemplo es el mismo que el anterior pero se ha cambiado la
política:
• “Se aceptan todas las comunicaciones que provengan de la
WAN excepto las que vayan hacia el servidor 1 y hacia el
servidor 2 que serán rechazadas”
Por tanto, con esta estructura en árbol conseguimos los siguiente
aspectos:
• Eficiencia.- Por término medio se atraviesan muchas
menos reglas que si fuera totalmente lineal.
• Flexibilidad.- El propio administrador puede definir su
árbol de reglas en función de sus necesidades y su tráfico
- 72 -

sin ninguna limitación. Aunque puede definir tantas reglas
padres como estime oportuno, no es recomendable poner
más de 4 o 5 niveles puesto que aun ganando en eficiencia
también el sistema es más complejo.
• Simplicidad.- No se tiene que reescribir campos evidentes
en muchas reglas. Por ejemplo: la interfaz de entrada en
las reglas hijas. Esto hace que sea más fácil su
mantenimiento.
Una vez comprendido el esquema de árbol propuesto se explicarán
nuevamente las acciones CONTINUE y RETURN que vimos en un
principio:
• CONTINUE.- En caso de que la regla haga coincidencia
continuará por la siguiente regla que corresponda. ¿Para
qué vale esta regla? Tiene dos usos principales en:
• Regla hoja con log activado.- Se hace log pero no toma
parte en la acción a ejecutar (se tomará más adelante).
• Regla padre.- La política CONTINUE hará que continúe
por las siguientes reglas en caso de que no haya
ningún hijo que haga coincidencia.
• RETURN.- Si hay coincidencia con la regla, volverá al
padre del cual proviene sin necesidad de continuar por las
reglas hijas.
5.3.3 Listas Blancas
En este panel se definen las direcciones IP, subredes, servicios o
conjuntos de ellos que serán aceptados por el servidor. Tanto las
listas blancas como las listas negras son independientes del árbol
de reglas de filtrado definido.
- 73 -

Si queremos que una subred siempre sea aceptada, sólo tenemos
que incluirlo en la lista blanca. De esta manera no nos tenemos
que preocupar en qué parte del árbol de reglas colocarlo.
5.3.4 Listas Negras
Este panel es exactamente igual al anterior en aspecto pero
justamente lo contrario en funcionalidad. Se definen las
direcciones IP, subredes, servicios o conjuntos de ellos que serán
automáticamente rechazados en el cortafuegos.
5.3.5 Funciones de Menú
El menú del módulo Cortafuegos se divide en:
• Información:
• Ver últimos logs.- Muestra los últimos logs del
cortafuegos.
• Traza Iptables.- Muestra la traza interna de reglas del
cortafuegos. Muestra las reglas iptables compiladas en
el cortafuegos a bajo nivel.
• Limpiar reglas del cortafuegos.- Borra todas las reglas
del cortafuegos y pone la política ACCEPT por defecto.
- 74 -

5.4 Tráfico
La correcta gestión y monitorización del ancho de banda disponible
en los enlaces se ha convertido en una prioridad fundamental para
muchas empresas.
El terminal incorpora una sonda NetFlow que envía la información
requerida a un colector. Dado que este estándar es muy popular,
existen múltiples colectores en el mercado, tanto libres como
comerciales.
5.4.1 Netflow
Este es el único panel del módulo Tráfico para la versión blade y se
encarga de la configuración de la sonda Netflow integrada en el
MSB. Como cualquier otra sonda, Netflow recolecta datos de la red
que enviará a un colector.
Puede encontrar abundante información sobre NetFlow en la
página de Cisco (http://www.cisco.com/warp/public/732/Tech/nmp/
netflow/). Igualmente, puede encontrar información sobre nprobe,
la sonda utilizada, en http://www.ntop.org/nProbe.html.
Se considera flujo al conjunto de paquetes que tienen la misma
dirección IP, puertos de origen y de destino, así como protocolo. La
información de los flujos es emitida cada cierto tiempo por la
sonda, y es en la configuración de ésta cuando podemos definir
cuándo emite esos flujos. Se ha de buscar un equilibrio entre un
alto número de flujos emitido (pocos paquetes por flujo, menor
latencia, mayor sobrecarga de la red, mayor consumo de CPU,
menor consumo de RAM) o un bajo número de flujos (muchos
paquetes por flujo, mayor latencia, menor sobrecarga de la red,
menor consumo de CPU, mayor consumo de RAM). Incluso en el
caso de la descarga de un fichero grande, la sonda emitirá varios
flujos relativos a dicha conexión.
A través de este panel configuramos la sonda nprobe integrada en
el terminal. El panel se divide en dos partes claramente
diferenciadas.
- 75 -

5.4.2 Sonda
Tenemos que especificar cómo la sonda Netflow ha de tratar los
datos. Se pueden configurar las siguientes propiedades:
• Activar/Desactivar.- La sonda Netflow se puede
desactivar haciendo que no se analice el tráfico y por tanto
no se envíe información al colector. Esto haría que se
consumieran menos recursos de CPU.
• Tiempo máximo de vida de los flujos (segundos).-
Especifica el tiempo máximo que se esperará para emitir
un flujo. Valor de fábrica 120 segundos.
• Tiempo máximo de inactividad de los flujos
(segundos).- Especifica el tiempo máximo que puede
estar un flujo sin cambiar. Si se alcanza este valor el flujo
es emitido. Valor de fábrica 30 segundos.
• Tiempo de verificación de flujos expirados
(segundos).- Especifica cada cuánto tiempo se verifica el
punto anterior. Valor de fábrica 30 segundos.
• Tamaño mínimo de flujo TCP (bytes).- Especifica el
tamaño mínimo que debe tener un flujo TCP para ser
emitido. Valor opcional. En caso de no indicarse se tomará
un tamaño mínimo ilimitado.
• Número mínimo de flujos por paquete (flujos).-
Número mínimo de flujos que debe tener un paquete antes
de ser emitido, excepto si ha expirado. Valor de fábrica 30
flujos.
• Retardo entre flujos (segundos).- Algunos colectores
son incapaces de recoger todos los flujos que le manda la
sonda. Mediante este parámetro introducimos un retardo
artificial. Valor por defecto 0 segundos.
• Activar/Desactivar LOGS.- Si habilitado, la sonda netflow
generará logs del sistema con los resultados del análisis.
• Numero de Hilos.- Número de hilos lanzados para el
análisis de tráfico.
- 76 -

5.4.3 Colector
En este apartado debemos indicar el número de sondas instaladas
en el terminal. Podemos crear tantas sondas como interfaces
disponga. Los campos son los siguientes:
• Interfaz.- Interfaz de análisis
• Colector Netflow.- Ip donde está escuchando nuestro
colector netflow.
• Puerto del Colector.- Puerto donde escucha el servidor
(por defecto 2055).
• Comentarios.-
5.5 Colector
El módulo Colector es el encargado de gestionar los flujos netflow
de las sondas configuradas. Una sonda es el terminal encargado de
monitorizar una determinada red con el fin de estudiar la
información de tráfico de la misma.
La sonda recopila información de la red de análisis enviando de
forma periódica paquetes netflow al terminal de tipo colector.
- 77 -

El terminal colector es el encargado de recibir los paquetes de
información netflow de cada una de las sondas para ser
almacenada en una base de datos común. redConsole se
encargará de hacer un estudio de dicha base de datos de una
forma análoga al análisis de eventos del módulo de Alertas.
Es importante, por tanto, tener clara la diferencia entre sonda y
colector. En un escenario habitual tendremos muchas sondas por
un único colector. Debido a la configuración cliente-servidor, un
colector puede ser a su vez sonda.
El módulo Colector se encarga de extraer la información de la base
de datos del colector y presentar unas estadísticas de tráfico de
cada una de las sondas que tiene configurada. Esto permite al
administrador tener información completa y detallada del tipo de
tráfico que circula por las sondas.
Al igual que el resto de módulos, el módulo Colector se subdivide
en pestañas que explicaremos a continuación.
Para poder configurar el módulo Colector hay que entrar como
administrador y una vez registrado aparecerá un primer panel de
configuración que a su vez se subdivide en 3 subpaneles.
- 78 -

5.5.1.1 Parámetros de configuración
Aquí se configuran los parámetros más generales del módulo
Colector:
• Activar/Desactivar.- Para activar o desactivar el módulo
Colector.
• Contraseña del administrador.- Es la contraseña del
administrador (usuario: eneo) de la base de datos. El
administrador es capaz de ver información de tráfico de
todas las sondas configuradas.
• Puerto de escucha de los flujos.- Es el puerto por el
cual el servidor va a recibir los paquetes netflow
provenientes de todas las sondas. Valor por defecto 2055.
• Localización de la base de datos.- Dirección donde se
encuentra el servidor de base de datos (PostgreSQL) que
almacena la información de los datos de tráfico de las
sondas.
• Puerto de escucha de la base de datos.- Por defecto
es el 5432 (PostgreSQL).
• Tamaño máximo del fichero temporal de flujos.- Por
defecto es 5 Mbytes.
• Nivel de logs.- Nivel de detalle de los ficheros de logs del
colector.
5.5.1.2 Configuración de sondas
A través de este panel se dan de alta las sondas aceptadas por el
colector. Una vez dadas de alta, se creará en la base de datos un
conjunto de tablas asociadas a la sonda que guardarán la
información del tráfico de dicha sonda.
Los parámetros necesarios son:
• Nombre de la sonda.- Nombre con el que se hará
referencia a la sonda en el resto del módulo. Una vez
creada la sonda, no puede modificarse su nombre.
- 79 -

• IP de la sonda.- El colector recibirá los paquetes netflow
de la ip configurada. Es la forma que tiene el colector de
discriminar entre sondas.
• Redes zona IN.- Redes locales que tenemos en el área
local de análisis. Esta información es necesaria para
detectar el sentido de la comunicación de la sonda
configurada.
• Redes zona OUT.- Redes externas a la sonda. En el panel
de tráfico de la sonda, que veremos más adelante, existe
una pestaña en la que se analiza el tráfico hacia cada una
de las redes externas definidas en esta columna.
• Máximo ancho de banda IN.- Es el máximo ancho de
banda del flujo de entrada. Esta información sólo tiene
carácter estadístico y no afecta para nada al
funcionamiento de la sonda.
• Máximo ancho de banda OUT.- Es el máximo ancho de
banda del flujo de salida.
• Comentarios.- Una pequeña descripción sobre la sonda.
Si pulsamos con el botón derecho del ratón sobre una sonda y
seleccionamos “Conectar”, veremos la información de tráfico de la
sonda seleccionada.
5.5.1.3 Configuración de usuarios
En un escenario con muchas sondas es posible la creación de
múltiples usuarios para una selectiva monitorización del colector.
La información de tráfico de las sondas supone un claro control de
la red y del uso de cada uno de los usuarios de la sonda de estudio.
Es por ello por lo que se pueden definir nuevos usuarios de acceso
a la base de datos pudiendo limitar las sondas a las que tiene
acceso dicho usuario.
Los datos necesarios para la creación de un usuario son:
• Nombre del usuario.
- 80 -

• Contraseña del usuario.
• Sondas a las que tienen acceso.
• Comentarios.
5.5.2 Informes
Es una herramienta para la generación periódica de informes
avanzados. Es el panel análogo al de Alertas pero en vez de
realizar un informe asociado a los eventos de las sondas, el
informe estará asociado al tráfico.
Para configurar los informes avanzados nos situamos en la pestaña
de Informes y añadimos un nuevo elemento.
Los parámetros que se pueden configurar son los siguientes:
• Sonda.- Sonda de la cual se quiere extraer el informe.
• Frecuencia.- El sistema generará informes de estudio de
tráfico de las sondas seleccionadas con la frecuencia
- 81 -

indicada. Podemos elegir entre 12 horas, 1 día, 2 días, 3
días, 4 días, 5 días, 6 días, 7 días.
• Nivel de detalle.- El nivel 1 representa el mínimo nivel de
detalle y el nivel 4 el máximo.
• Email.- Escribimos la dirección de correo donde llegará el
informe avanzado.
• Configuración del servidor FTP.- Para el caso de que se
active el envío por FTP. Se pondría la dirección del servidor
FTP, el usuario, la contraseña y la ruta remota del servidor
FTP donde se almacenará el informe.
5.5.3 Alertas
En este panel podemos escribir reglas de control de tráfico y
notificación de eventos. Si la regla se cumple se generará un
evento que será recogido por el sistema de gestión de eventos del
módulo alertas. De forma opcional dicha notificación también
puede hacerse por email.
Tenemos los siguientes parámetros:
• Sonda.- Sonda de la que se quiere chequear sus datos de
tráfico.
- 82 -

• Enviar notificación por email.- Activa el envío de un
correo al administrador indicando el origen de la alerta.
• Importancia.- Gravedad de la alerta. Puede ser low,
medium, high o info.
• Mínimo BW.- Indica el umbral mínimo de ancho de banda
en Kbps.
• Máximo BW.- Indica el umbral máximo de ancho de banda
en Kbps. Una regla se cumplirá si excede de los límites
indicados en la propia regla, tanto en el límite superior
como inferior.
• Intervalo de Tiempo:
• Inicio.- Hora del día a la que se comienza a chequear el
ancho de banda.
• Fin.- Hora del día a la que se deja de chequear el ancho
de banda.
• Filtro:
• Dirección.- Indica si la dirección del flujo de datos es
entrante (IN) o saliente (OUT), si no se indica nada se
toma la suma de los dos.
• Servicio.- Tipo de servicio.
• Red.- Equipo del cual se quiere medir el ancho de
banda.
5.5.4 Snapshot
En esta pestaña podemos realizar copias de seguridad de la base
de datos de tráfico pudiendo volver a un punto de restauración
anterior. Hace una “foto” de la base de datos en un momento
determinado, es decir, actúa como un sistema de backup de
nuestra base de datos.
- 83 -

Este panel es exactamente igual al del módulo Alertas pero en vez
de ser una base de datos de eventos de cada una de las sondas, es
una base de datos de tráfico de cada una de las sondas. Ir al
apartado correspondiente para más detalle.
5.5.5 Sondas
Para acceder a la información específica de alguna de las sondas la
seleccionamos previamente en el subpanel “Configuración sondas”
del panel principal de Configuración, y marcamos en la opción de
“Conectar” con el botón derecho del ratón, de esta forma se nos
mostrará un nuevo panel para esa sonda en concreto.
No sólo el administrador tiene acceso a este panel sino cualquier
usuario registrado que tenga permiso para leer la información de la
sonda. En este panel podemos ver todas las estadísticas de tráfico
de la sonda.
Al igual que en el módulo de Alertas, este panel se divide en dos
partes principales:
• Cuadro de mando.- Es una barra de herramientas
• Panel de estadísticas de alertas.- Existen diferentes
tipos de paneles de alertas como ya veremos más
adelante: DashBoard, Top, Trafico IN, Trafico OUT, Tráfico
IN+OUT.
• Ventana de tiempo de análisis.- Los posibles valores
que se pueden elegir son los siguientes: 1 hora, 3 horas, 8
- 84 -

horas, 12 horas, 24 horas, desde 8 AM, 1 semana, 1 mes y
1 año.
• Actualizar .- Refresca los valores de la base de datos.
• Auto.- Actualiza automáticamente los valores de la base
de datos, o bien se puede dejar en modo manual para que
se actualice sólo cuando pulsemos el botón “Actualizar”.
• Filtro.- Aquí podemos configurar un filtro más complejo.
Los parámetros que podemos filtrar son los siguientes:
• Tabla donde se quiere leer los datos de la base de
datos, puede ser diaria, semanal, mensual y anual.
• Fecha inicial.
• Fecha final.
• Origen de los flujos de datos.
• Destino de los flujos de datos.
• Protocolo.
• Puerto Origen de los flujos de datos.
- 85 -

• Puerto Destino de los flujos de datos.
Los filtros se pueden guardar en un fichero por si se
pretende aplicar en otro momento.
• Anular Filtros.- Elimina todos los filtros aplicados a las
estadísticas.
• Anular Último Filtro.- Elimina el último filtro de la
cascada de filtros aplicados a las estadísticas.
• Tiempo.- Si está activado, en las estadísticas de tiempo
aparecerá una columna más denominada “% de tiempo”.
Dicha columna representa el porcentaje de tiempo en que
la fila en cuestión aparece en la ventana seleccionada. Por
ejemplo: trafico web -> 80%. Esto indicará que el tráfico
web ha estado utilizándose el 80% del tiempo de la
ventana seleccionada.
• Selector.- que nos lleva a diferentes paneles. Tenemos los
siguientes paneles de tráfico: DashBoard, Tráfico IN, Tráfico
OUT, Tráfico IN+OUT.
Veamos en detalle cada uno de los paneles de Tráfico.
5.5.5.1 Dashboard
Este panel muestra, a modo de resumen, las tablas más
importantes de tráfico de la sonda seleccionada:
• Tráfico IN:
• Top Aplicación.
• Top Ip Origen.
• Top Ip Destino.
• Tráfico OUT
• Top Aplicación
• Top Ip Origen.
- 86 -

• Top Ip Destino.
5.5.5.2 Tráfico IN
Consideramos como trafico 'IN' aquel que entra a la red de
usuarios de la sonda. Este panel muestra información de todo el
tráfico entrante a la red interna de la sonda.
Esta subdividido en dos partes:
• Gráfica Temporal.
• Paneles Estadísticos.
En el módulo de Alertas existe un panel similar a este pero
representando información diferente.
Los datos de tráfico son agrupados en función de las siguientes
categorías:
- 87 -

• Aplicación.-
• Ip Origen.-
• Ip Destino.-
• Conversación.- Consideramos una conversación a una
misma comunicación cliente servidor, es decir: misma ip
origen, misma ip destino, misma puerto origen y mismo
puerto destino.
• Protocolo.-
• Red local.- En este panel aparecerán las redes locales
definidas para la sonda.
• Redes Externas.- En este panel aparecerán las redes
externas definidas para la sonda.
5.5.5.3 Tráfico OUT
Este panel es análogo al anterior pero representa información de
tráfico saliente de la sonda. Con esto, el concepto del panel es el
- 88 -

mismo luego remitimos al lector al apartado anterior para más
detalles.
Simplemente existe una salvedad: lo que es IP origen para trafico
IN será IP destino en tráfico OUT y viceversa.
5.5.5.4 IN+OUT
Es semejante a los paneles anteriores IN o OUT pero con la
diferencia que los datos que muestra son la suma del tráfico
entrante y el tráfico saliente. Es decir, muestra el flujo total
independientemente de la dirección del tráfico.
5.6 Alertas
El módulo de Alertas es una plataforma que gestiona todos los
eventos de todas nuestras máquinas de una forma fácil y eficiente.
Es el encargado de recibir los eventos de los dispositivos y
almacenarlos en una base de datos para su estudio y análisis.
A cada módulo software que sea capaz de emitir un tipo de
mensaje al detectar un evento lo llamaremos “sensor”.
En la actualidad existen multitud de tipos de sensores:
• sensores del cortafuegos
• sensores de autenticación
• sensores del kernel
• sensores IDS
• otros
Cada sensor podrá detectar una gran variedad de tipos de eventos
que dependerán del tipo de sensor. Por ejemplo:
• sensores del cortafuegos: paquete aceptado, rechazado,
silenciado, ...
- 89 -

• sensores de autenticación: login correcto, contraseña
inválida, usuario incorrecto, ...
• sensores del IDS: virus eicar, aplicación p2p, msn, escaneo
de puertos, ataque DoS, ...
• sensores del control del ancho de banda: servidor sin
tráfico, enlace caído, ...
• ...
Ante este escenario heterogéneo tanto de hardware, sistema
operativo, software y sintaxis de los mensajes que emiten los
sensores, los problemas fundamentales que resuelve esta
plataforma de gestión de eventos de seguridad son los siguientes:
• Normalización del formato de los mensajes de los distintos
sensores.
• Almacenamiento de los mensajes normalizados en una
base de datos común y centralizada.
• Consulta, modificación y clasificación de los mensajes.
• Generación de estadísticas y filtrado de los datos.
• Generación de informes detallados.
Para entrar en la configuración del módulo de Alertas tenemos que
registrarnos como administrador. A través de este panel definimos
los parámetros generales del módulo de Alertas teniendo las
siguientes partes:
- 90 -

5.6.1.1 Parámetros de configuración
• Activar/Desactivar.- Activar el módulo de Alertas.
• Contraseña del administrador.- Contraseña del
administrador de la base de datos donde se guarda la
información de las alertas.
• Puerto de escucha de los flujos.- Puerto por donde se
recibirán los mensajes IDMEF. Por defecto es el puerto 4690
• Localización de la base de datos.- Dirección IP donde
se encuentra la base de datos. Por defecto es la IP
127.0.0.1 o localhost (IP local)
• Puerto de escucha de la base de datos.- Puerto donde
escucha el servidor de base de datos, que en nuestro caso
es un servidor PostgreSQL (puerto por defecto 5432).
• Nivel de logs.- Indica el nivel de detalle de información
de depuración que escribirá el módulo de Alertas.
• Mantener detalles de las alertas.- Existirá un demonio
que eliminará la información más detallada de las alertas
tras el periodo de tiempo que se le indique.
- 91 -

5.6.1.2 Configuración de sondas
En esta sección definiremos las sondas que emitirán alertas a
nuestro módulo. Para que el colector acepte los eventos de un
terminal o sonda ha debido de ser previamente registrado en este
panel.
Dicha asociación se efectúa a través de certificado digital y de
forma cifrada con el fin de garantizar la protección de los eventos
en su viaje al colector.
A través de este panel se simplifica la interacción anterior entre
sonda y colector. Pondremos en contacto a las dos máquinas
involucradas con el fin de que intercambien los certificados para
establecer una asociación correcta.
Los pasos serán los siguientes:
1) redConsole se conecta al servidor por SSH y ejecuta un
demonio esperando una solicitud del cliente en un puerto
determinado (por defecto 5553)
2) redConsole se conectará al cliente por SSH:
3) Crea certificado digital válido
4) Se conecta con el servidor al puerto de escucha
anterior (5553) con el fin de establecer la asociación.
5) Una vez se han comunicado cliente y servidor, se
intercambian certificados y se establece la asociación con
la sonda.
6) Termina demonio del servidor.
7) Cierra conexión con el cliente.
Los datos necesarios son los siguientes:
• Nombre.- Nombre de la sonda con la que será reconocida
en el resto del módulo. Dicho nombre debe ser único y no
puede coincidir con el nombre reservado all (sonda
especial que engloba a todas).
- 92 -

• Tipo de servicio.- Indica el analizador de eventos de
alertas. En nuestro caso podemos elegir entre prelude-lml,
snort, assetscan, prelude-manager.
• IP del servidor.- IP en la que el servidor escuchará al
cliente, generalmente es la IP del servidor de alertas.
• Puerto.- Puerto de escucha del servidor. Por defecto 5553.
• Intervalo de chequeo.- El servidor se encarga de
comprobar si la sonda está activa o se ha caído mediante
mensajes periódicos (heartbeat). Valor por defecto 600
segundos.
• IP de la sonda.- IP de la sonda que envía mensajes IDMEF.
redConsole se conectará a dicha IP para generar los
certificados y establecer la asociación con el servidor.
• Puerto de escucha del servidor SSH.- Puerto de
escucha del servidor SSH que permite la configuración del
colector de alertas.
• Contraseña del cliente.-
5.6.1.3 Configuración de usuarios
En este panel se definen los usuarios que van a tener acceso a las
sondas configuradas en el panel anterior:
• Nombre del usuario.
• Contraseña del usuario.- Contraseña de acceso del usuario
a la base de datos.
• Sondas a la que tiene acceso el usuario.- El usuario creado
sólo podrá ver la información de alertas de las sondas
configuradas en esta columna.
• Descripción.
- 93 -

5.6.2 Informes
A través de este panel se puede programar la generación de
informes avanzados de forma periódica. Dichos informes pueden
ser enviados por email o ser almacenados en un servidor FTP
remoto.
Para configurar los informes avanzados nos situamos en la pestaña
de Informes y añadimos un nuevo elemento. Los parámetros que
se pueden configurar son los siguientes:
• Frecuencia.- Se generará el informe avanzado con la
frecuencia seleccionada. Podemos elegir entre 3 horas, 6
horas, 12 horas, 1 día, 2 días, 3 días y 4 días.
• Nivel de detalle.- Podemos seleccionar la información
que puede aparecer en los informes. Las opciones que
tenemos son: detalle temporal, sonda, gravedad, sensor,
clasificación, IP origen, IP destino, aplicación y protocolo.
• Email.- Escribimos la dirección de correo donde llegará el
informe avanzado. Si se deja en blanco no se utilizará este
mecanismo de envío.
• Configuración del servidor FTP.- Para el caso de que se
active el envío por FTP. Se deberá indicar la dirección del
servidor FTP, el usuario, la contraseña y la ruta remota del
servidor FTP remoto donde se almacenará el informe.
- 94 -

5.6.3 Snapshot
En esta pestaña podemos realizar copias de seguridad de la base
de datos de alertas pudiendo volver a un punto de restauración
anterior. Hace una “foto” de la base de datos en un momento
determinado, es decir, actúa como un sistema de backup de
nuestra base de datos.
En el primer panel podemos encontrar los botones de
configuración y en el segundo los puntos de restauración que se
han hecho hasta el momento.
Vamos a comentar cada uno de los botones del cuadro de mando:
• Actualizar.- Actualiza los puntos de restauración del
sistema.
• Crear.- Nos permite la creación de un nuevo punto de
restauración, el nombre se pone de forma automática de la
siguiente forma eneo_alert-(instante de creación).gz. Como
podemos apreciar las copias de seguridad se comprimen
en el servidor para que ocupen el mínimo espacio posible.
• Descargar.- Nos permite descargar la copia de seguridad
en el equipo del administrador.
- 95 -

• Eliminar.- Eliminaría el punto de restauración
seleccionado.
• Restaurar.- Permite volver a un punto de restauración
seleccionado.
No es aconsejable hacer dos restauraciones muy
consecutivas, sino dejar un tiempo aproximado de 5
minutos entre puntos de restauración para que el
sistema de backup pueda ejecutar los scripts
necesarios con suficiente tiempo.
Podemos crear tantas copias de seguridad como queramos
siempre considerando la limitación del espacio en disco duro.
5.6.4 Alertas
Es la única pestaña a la que todos los usuarios tienen acceso, no
sólo el administrador.
En esta sección podemos ver todas las estadísticas de las alertas
recibidas por cada uno de los sensores configurados.
El panel se subdivide, en un primer nivel, en dos partes principales:
• Cuadro de mando.- Barra de herramientas.
• Panel de estadísticas de alertas.- Existen diferentes
tipos de paneles de alertas como ya veremos más
adelante: DashBoard, Top, Temporal y Tiempo Real.
- 96 -

La barra de herramientas de la parte superior se subdivide en:
• Ventana de tiempo.- Podemos elegir entre: 5 min, 15
mins, 30 mins, 1 hora, 2 horas, 3 horas, 5 horas, 12 horas,
1 día, 2 días, 5 días, 1 semana, 1 mes y 3 meses.
• Actualizar.- Refresca la información de las estadísticas.
• Auto.- Si está activado, actualizará las estadísticas de
forma automática.
• Filtro.- En ciertos casos necesitamos filtrar la información
solicitada de una forma precisa. Se puede filtrar por los
siguientes parámetros usando las variables lógicas AND,
OR, AND NOT y OR NOT:
• Fecha de inicio.- Con precisión de minutos.
• Fecha de fin.- Con precisión de minutos.
• Gravedad.- Se puede elegir entre low, medium, info y
high. Destacar que la opción info no identifica ningún
- 97 -

tipo de gravedad sino que la alerta muestra
información del evento.
• Sonda.- Aquí aparecerán las sondas que hayamos
definido en la pestaña de administración.
• Sensor.- El sensor que lo detectó. Una sonda puede
tener varios sensores.
• Tipo de mensaje.- Identifica el tipo de alerta
(clasificación). Un sensor puede detectar distintos tipos
de eventos.
• Puerto destino.- Puerto destino al que va dirigido el
evento (aplicación).
• IP origen.- IP origen que generó el evento.
• IP destino.- IP destino que generó el evento.
• Protocolo.- Protocolo involucrado en el evento.
• Anular filtros.- Anula todos los filtros que se hayan
aplicado.
• Anular último filtro.- Anula el último filtro de la cascada.
Un selector donde podemos cambiar entre los distintos paneles de
estadísticas de alertas. Tenemos las siguientes opciones:
• DashBoard.- Es un panel de resumen donde se muestran
las estadísticas más generales del sistema de alertas.
• Top.- Es un panel donde se muestran estadísticas
desglosadas por grupos tales como terminal, sensor,
clasificación, aplicación, IP origen, IP destino, protocolo..
• Temporal.- En este panel se agrupan las alertas de 3
formas distintas:
• IP origen/IP destino.
• Clasificación/IP destino.
• Clasificación/IP origen.
- 98 -

• Tiempo real.- Panel donde se van mostrando las alertas
que van llegando en tiempo real.
Vamos a explicar más detenidamente cada una de las vistas.
5.6.4.1 Dashboard
Se subdivide en dos subpaneles:
• Panel de control.- Donde se muestran las 4 tartas
estadísticas más importantes:
• Top Gravedad
• Top Terminal
• Top Clasificación
• Top Aplicación
• Tiempo real.- Muestra información de las alertas que van
llegando en tiempo real. Destacar que este panel es el
mismo que el panel de tiempo real que explicaremos más
adelante.
- 99 -

5.6.4.2 Top
Es el panel más completo que podemos encontrar en el módulo de
Alertas. Está dividido en dos partes:
Parte superior:
• Gráfica Temporal.- Muestra cómo han sido recibidas las
alertas en una gráfica de tiempo.
Parte inferior:
• Estadísticas.- Muestra información detallada de las
estadísticas de las alertas recibidas para cada una de las
agrupaciones consideradas.
Todas las alertas son agrupadas en diferentes categorías:
• Gravedad.- Cada alerta es catalogada con una prioridad.
En este modo se muestran las alertas clasificadas por
gravedad. Existen cuatro tipos de gravedad:
• low.- Evento de gravedad baja.
• medium.- Evento de gravedad media.
• high.- Evento de gravedad alta.
- 100 -

• info.- Evento sin gravedad.
• Terminal.- Se considera como terminal el equipo del cual
se reciben eventos. Dicho equipo ha debido de ser
previamente registrado por el administrador.
• Sensor.- Cada terminal dispone de una serie de sensores
que son los que detectan los eventos. Como ya vimos
existen diferentes tipos de sensores para diferentes tipos
de eventos: sensor del cortafuegos, del IDS, de
autenticación. A través de este panel se muestran las
alertas agrupadas por sensor.
• Clasificación.- Cada uno de los sensores es capaz de
detectar multitud de tipos de eventos. Una 'clasificación' es
cada uno de los tipos de eventos detectados por un sensor.
• Aplicación.- El evento puede estar asociado a una
aplicación concreta. Por ejemplo eventos detectados por el
sensor de autenticación de ssh cuya clasificación es 'Admin
login failed' está asociado al puerto de escucha del
servidor ssh (por defecto 22). No todos los tipos de eventos
están asociados a una aplicación, considerándose en su
caso, el puerto 0 (sin_registro).
• IP origen.- Las alertas son agrupadas por la IP origen del
evento. De esta manera todos los eventos generados por
un mismo equipo son vistos de forma conjunta a través de
este panel.
• IP destino.- Es igual que el anterior pero considerando la
IP destino. Por ejemplo, un evento detectado por el sensor
del IDS para escaneos de puerto: en este caso la IP origen
del evento será quien origina el escaneo y la IP destino, el
equipo escaneado.
• Protocolo.- Igualmente los eventos pueden estar
asociados a un protocolo concreto. Por ejemplo: 'Admin
login failed' del sensor de autenticación está asociado al
protocolo tcp. Al igual que ocurre con la aplicación, es
posible que un evento no esté asociado a ningún protocolo
considerándose en su caso el protocolo 0.
- 101 -

En el panel de estadísticas existen cuatro elementos:
• Tarta principal.- Tarta que compara las cinco primeras
filas de la tabla inferior o las filas que tengamos
seleccionadas.
• Tabla de alertas.- Representa información de las alertas
agrupadas por la categoría en elegida.
• Visible/Total.- Representa de forma visual una
comparación entre las alertas visibles de la tabla y el resto.
Esta comparación depende del tamaño de la tabla y de la
posición de la barra de desplazamiento de la misma.
• Selección/Total.- Representa una comparación entre las
alertas seleccionadas de la tabla de alertas con el total de
alertas. Si no tiene seleccionada ninguna fila o sólo ha
seleccionado una, se tomarán las cinco primeras de la
tabla.
5.6.4.3 Temporal
A través de este panel vemos realmente las alertas que ha recibido
el analizador de eventos. Hasta ahora sólo se ha visto información
estadística sin hacer consideración al log completo.
Para simplificar la visibilidad de la alertas, éstas pueden ser
agrupadas en función de tres criterios:
• IP origen/IP destino.- Las alertas de una misma IP origen
y misma IP destino son agrupadas.
• Clasificación/IP destino.- Las alertas con misma
clasificación e IP destino son igualmente agrupadas.
• Clasificación/IP origen.- En este caso las alertas son
agrupadas para una misma clasificación e IP origen.
El panel Temporal se subdivide en dos partes principales:
• Gráfica Temporal.- Muestra el número de alertas en el
tiempo.
- 102 -

• Tabla de alertas.- Representa las alertas recibidas por el
analizador en la ventana de tiempo considerada. El
contenido de dicha tabla dependerá del tipo de agrupación
elegido y del filtro arrastrado de paneles anteriores.
Las columnas de dicha tabla representan:
• Tipo de mensaje.- Clasificación del evento.
• Máxima gravedad.- Representa la máxima gravedad del
grupo de mensajes contenidos en la fila en cuestión.
• IP origen.- Ip del usuario que origina el evento.
• IP destino.- Ip de destino del evento.
• Sensor.- Sensor que ha detectado el evento.
• Sonda.- Ip de la sonda que ha detectado el evento.
• Fecha de inicio.-
• Fecha de fin.-
A medida que se hace doble clic sobre una fila se irá
expandiendo el grupo de alertas.
- 103 -

5.6.4.4 Tiempo Real
En este panel se muestra una tabla con la información de las
alertas que van llegando al analizador de alertas en tiempo real. La
información que se muestra en la tabla no está agrupada.
• Tipo de mensaje
• Gravedad
• Completado
• IP origen
• IP destino
• Sonda
• Fecha de llegada
• Id.- identificador de la alerta dentro de la base de datos.
Para una información más detallada de una alerta basta con hacer
doble clic sobre dicha alerta. La información, que se mostrará en
un diálogo, es la siguiente:
- 104 -

• Sonda:
• Nombre
• Dirección
• Fechas:
• Fecha de creación
• Fecha de detección
• Fecha de análisis
• Tipo de mensaje:
• Impacto:
• Id. alerta
• Descripción
• Gravedad
• Tipo
• Completado
- 105 -

• Origen:
• Dirección
• Puerto
• Nombre de servicio, etc.
• Destino:
• Dirección
• Puerto
• Nombre de servicio, etc.
• Analizador:
• Id. analizador
• Nombre
• Modelo
• Versión
• Clase
• Fabricante
• Tipo S.O.
• Versión S.O.
• Datos adicionales
• Mensaje recibido de
• Mensaje original
- 106 -

5.7 BladeControl
El módulo BladeControl es el módulo, dentro de la interfaz de
redConsole, encargado de la configuración y monitorización de
todos los parámetros relacionados con el control de servidores
blades.
A través de este módulo podemos:
• Configurar qué servicios que serán ejecutados en cada uno
de los blades. Esto es lo que se conoce como
“provisioning”
• Configurar la red (802.11q) y otros parámetros
fundamentales de cada uno de los servicios.
• Configuración de los switches del chasis.
• Monitorización del estado del chasis.
A continuación se explican cada una de las pestañas que
conforman este módulo.
A través de este panel podemos realizar la configuración del chasis
al que estamos conectados (Ej. Módulos de gestión, Switches, etc).
- 107 -

Esta pestaña se subdivide en los siguientes apartados:
5.7.1.1 Configuración general
En este subpanel configuramos los parámetros generales del
sistema de blades. Estos parámetros son:
• Activar/Desactivar.- Aquí podemos activar o desactivar el
módulo completo del control de Blades.
• Monitorización del agente.- Si se activa esta casilla, el
sistema de aprovisionamiento se encargará de monitorizar
el perfecto funcionamiento del agente que está instalado
en cada uno de los blades. En el caso de que no funcione el
agente se reiniciará el blade porque se considerará caído.
• Contador de fallos en el agente.- Número de fallos
permitidos por el agente. Si el agente del blade falla, de
forma consecutiva, este número de veces considerará el
blade con problemas y lo reiniciará.
• Puerto de escucha del agente.- Puerto donde escucha
el agente.
- 108 -

• Red interna.- Red usada para la comunicación entre los
MSB y cada uno de los blades. Esta red es definida en
tiempo de instalación y no es editable a través de
redConsole. A no ser que utilice estructuras multichasis es
recomendable que dicha red interna (y la VLAN asociada)
no salga del chasis.
• Nivel de logs.- Aquí podemos configurar la cantidad de
logs que mostrará el sistema de blades. Podemos poner un
nivel “sin logs”, “bajo”, “medio” y “alto”.
• Nivel de emails.- Existen cuatro opciones: “Sin emails”,
Bajo, Medio y Alto. El administrador será notificado via
email anta fallo o cambios del sistema en función del nivel
elegido.
5.7.1.2 Configuración de los Módulos de Control
En este subpanel definimos los módulos de control (MM/AMM) de
los chasis gestionados por el MSB. Configuraciones con más de un
MM o AMM se conocen como configuraciones multichasis.
Se configuran los siguientes parámetros:
• Nombre del MM/AMM.-
• Tipo o modelo.- Modelo del chasis, Ej. IBM BladeCenter E.
• Tipo.- Debemos elegir el tipo de módulo de control.
Actualemnte se soportan dos tipos:
• MM.- Management Module (IBM). Dicho tipo está
soportado sólo por el BladeCenter E.
• AMM.- Advanced Management Module (IBM). Este
módulo es soportado por los BladeCenter E, S y H.
• IP de gestión.- IP del Módulo de Control. Debe espeficar
un módulo de control por chasis configurado por el MSB
conectado.En caso de disponer de multiples MM en un
mismo chasis deberemos de elegir la IP virtual.
- 109 -

• Tipo de conexión.- Debemos especificar el tipo de
conexión con el Módulo de Control. Actualmente existe un
único tipo soportado: SNMP. Las opciones de configuración
de dicho tipo son las siguientes:
• Versión SNMP.- Versión del protocolo SNMP que
vamos a utilizar para conectarnos al MM.
Actualmente se soportan las versiones 1, 2c y 3.
• Usuario SNMP.- Usuario o comunidad SNMP.
• Autenticación.- Tipo de autenticación SNMP, se
soporta noAuth, MD5 y SHA.
• Encriptación.- Tipo de encriptación SNMP, se
soporta noEncrypt y DES.
5.7.1.3 Configuración de los Switches
En este subpanel definimos los switches que están conectados al
chasis. El dialogo dependerá del tipo de chasis al que esté
conectado el switch a configurar. Por ejemplo para un switch
conectado a un Blade Center E, el diálogo será como sigue:
- 110 -

•
• Esquema de switches del chasis.- En función del chasis
elegido el esquema variará con el fin de facilitar la
configuración del administrador.
• Modelo del switch.- Tenemos las siguientes opciones:
• BNT_10G
• BNT_10G_Uplink
• BNT_1G_L2L3.
• IP de gestión del switch.- IP del Switch. Dicha IP ha
debido ser configurada en la página web del MM/AMM.
• Bond.- Bond al que pertenece dicho switch. En función de
la localización del switch debemos indicar un bond u otro.
- 111 -

• Tipo de conexión.- Debemos especificar el tipo de
conexión con el switch configurado. Actualmente existe un
único tipo soportado: SNMP. Las opciones de configuración
de dicho tipo son las siguientes:
• Versión SNMP.- Versión del protocolo SNMP que
vamos a utilizar para conectarnos al Switch.
Actualmente se soportan las versiones 1, 2c y 3.
• Usuario SNMP.- Usuario o comunidad SNMP.
• Autenticación.- Tipo de autenticación SNMP, se
soporta noAuth, MD5 y SHA.
• Encriptación.- Tipo de encriptación SNMP, se
soporta noEncrypt y DES.
5.7.2 Imágenes
En esta pestaña definimos las imágenes que se podrán instalar en
los blades. En la parte superior aparece una tarta gráfica que
indica el uso en disco de las imágenes instaladas. En la parte
inferior aparecen todas las imágenes en una tabla.
En el siguiente ejemplo se muestra que existen tres tipos de
imágenes instaladas en el MSB.
- 112 -

Podemos hacer las siguientes operaciones:
• Añadir.- Añade una imagen desde un fichero
local.Necesario paquete RPM poporcionado por redBorder.
• Descargar.- Solicita la descarga, al equipo local, de la
imagen seleccionada.
• Editar.- Muestra la propiedades de la imagen.
• Eliminar.- Elimina la imagen seleccionada del equipo
remoto.
5.7.3 Servicio Virtual
En este panel configuramos los servicios virtuales que van a
proporcionar el sistema de aprovisionamiento de imágenes. En el
primer subpanel se definen cada uno de los servicios. Los servicios
deben estar identificados unívocamente por el nombre, por tanto
no pueden existir dos servicios virtuales con el mismo nombre.
Tenemos los siguientes campos:
• Nombre.- Nombre del servicio virtual. Este nombre ha de
ser único puesto que identifica de forma unívoca el servicio
virtual creado.
• Imagen.- El servicio virtual creado tomará como base la
imagen seleccionada. Dicha imagen ha de ser alguna de
las imágenes disponibles en la pestaña anterior.
• Distribución de los Blades.- Una novedad en este
sistema es el algoritmo de distribución de blades. Está
basado en un mecanismo de prioridades, de tal forma que
el servicio con más prioridad en un blade será ejecutado.
• Comentarios.
• IP de Gestión.- En el momento del arranque el servicio
virtual tomará dicha IP para comunicarse con el MSB a
través de la red interna. En caso de no especificar ninguna
IP, se tomará una libre por DHCP.
- 113 -

• Pasarela.- Puerta de enlace predeterminada del servicio
virtual creado.
• Subred.- Definimos tantas VLAN como se deseen para la
imagen seleccionada.
• HD.- Uso del disco del servicio virtual. Existen cuatro
posibilidades:
• Sin disco.- El servicio no usará el disco del blade
si dispusiera de él.
• Disco Local.- El servicio virtual hará uso del disco
del blade si dispusiera de él.
• ISCIS.- Montará un disco externo por ISCSI.
• NFS.- Montará un disco externo por NFS.
• Comandos al inicio.- Los comandos insertados en esta
columna serán ejecutados en el inicio de la máquina. Esto
nos puede valer, por ejemplo, para levantar determinados
servicios en el arranque.
• Conexión NFS por TCP.- Si tenemos habilitada esta
opción nos indicará que la conexión NFS con el servidor
MSB se hará mediante el protocolo TCP. En caso de estar
deshabilitada utilizará un protocolo no orientado a
conexión, es decir UDP.
En el subpanel inferior se muestran los servicios virtuales y las
prioridades definidas. En el caso de que un blade esté definido en
más de un slot, éste se ejecutará en aquel donde sea más
prioritario. En el caso de que caiga el servidor pasará a ejecutarse
en el siguiente blade más prioritario y así sucesivamente.
En este panel inferior podemos indicar que un blade no será tenido
en cuenta en el sistema de aprovisionamiento de imágenes. Esto
es lo que se conoce como “stand alone”. En este caso es
responsabilidad del administrador configurar los switches porque
dicho blade está fuera del dominio redBorder SE.
A continuación se muestran varios ejemplo de configuración:
- 114 -

• Ejemplo1.- En este ejemplo se configuran dos imágenes
de tipo splatsmp-r70 asignando cada una de las imágenes
al blade 1 y 2 respectivamente. En este caso no existen
otros blades asignados a dichas imágenes y por tanto
nunca serán ejecutados en otros blades.
• Ejemplo 2.- Este es un ejemplo más complejo en el que se
han creado una imagen más denominada fw2. En este caso
el blade 14 es disputado por dos servicios: fw1 y fw2. Por
defecto fw1 se ejecutará en el blade 2 y el servicio fw2 se
ejecutará en el blade 4. En caso de haber fallos en alguno
de estos blades tienen un blade de backup (blade 14) en el
que pueden ser ejecutados. Si ambos servicios fallan, como
se puede observar por la tabla de prioridades, el servicio
que realmente tomará el blade 14 será el fw1. Por otro lado
el blade 10 esta en modo “stan alone” y por consiguiente
no será gestionado ni modificado por redBorder.
- 115 -

5.7.4 Estado MSB
Este panel nos informa del estado general de los MSB así como de
su conexión con el MM. Si existiese algún fallo lo indicaría
marcándolo en color rojo. Los valores sobre los que informa son:
• Estado del msb01
• Estado del msb02
• Conexión con el MM
• Interfaz maestra del bond0
• Interfaz maestra del bond1
• Estado de la conexión DRBD
• Estado del DRBD
Por ejemplo tenemos:
- 116 -

5.7.5 Estado de los Blades
En esta pestaña se muestra una representación teórica de los
blades y otra real.
- 117 -

El primer subpanel hace referencia a la representación teórica que
deberían tener los blades con la configuración definida por el
administrador. Aquí podemos hacer simulaciones de caídas de
blades y ver cómo actuaría el sistema. Este panel es muy útil
cuando se tiene una matriz de prioridades compleja.
En el segundo subpanel se muestra una representación real de los
blades. Es el estado actual en que se encuentran todos los blades
(el servicio que está ejecutando, si está apagado o encendido, si
está en modo standby, si existe el blade, etc). Si todo funciona
correctamente, entonces el subpanel de arriba debe coincidir con
el subpanel inferior.
5.7.6 Estado de la Red
En este panel se muestra una representación esquemática de la
configuración de red que poseen los blades. Podemos observar la
relación existente entre servicios virtuales, vlanes existentes y
puertos externos por los que son accesibles dichas vlanes.
- 118 -

5.7.7 Switches
En este panel podemos realizar la configuración de los switches
definidos en la pestaña inicial.
- 119 -

Está dividido en cuatro subpaneles:
• Configuración general.- Tenemos las siguientes opciones
asociadas al chasis indicado:
• Configuración de los Puertos.- Si está
deshabilitada, no se configurarán en ningún
momento los puertos externos del switch.
• Alta disponibilidad de los switches.- Si está
habilitada, se configurarán los switches del mismo
bond de tal forma que funcionen en alta
disponibilidad. Si caen los puertos externos del
switch maestro, el control pasará
automáticamente, a través del failover, al switch
esclavo que se convertirá en el nuevo switch
maestro.
• Configuración de ACL.- Si está habilitado se
permitirá la configuración de ACL para los switches
del chasis seleccionado.
• Mostrar configuración de los puertos
internos.- Si habilitado, se mostrarán en la tabla
inferior la configuración de los puertos internos a
modo informativo. En ningún caso se pueden
configurar los puertos internos a través de esta
pestaña puesto que las vlanes de los puertos
internos dependerá de la imágen que se esté
ejecutando en dicho blade.
• Modo STP.- Existen 4 modos posibles:
• STP
• RSTP
• Uplink Fast
• MSTP
- 120 -

• Representación del chasis.- En funcion del tipo de
MM/AMM configurado se representará una imagen u otra
que indique los módulos de entrada/salida disponibles en
dicho chasis.
• Selector de bond.- Indica el bond que queremos
visualizar.
• Configuración de los puertos del switch.- En esta
tabla se representa la configuración del bond seleccionado
para el chasis configurado. De esta tabla sólo podemos
editar los puertos externos y configurar las vlanes acorde a
nuestras necesidades. Los parámetros del puerto externo
que podemos modificar son:
• Des/habilitar puerto.- Aquí podemos abrir o
cerrar el puerto del switch.
Nota: Si se tiene un puerto habilitado habrá que
asegurarse que existe un cable conectado ya que,
en caso contrario, si se tiene la alta disponibilidad
activada, el sistema supone que el cable no funciona
correctamente o se ha caído y se activa por tanto el
failover.
• Nombre.- Nombre del puerto.
• VLAN.- VLANs que estarán definidas en ese puerto
externo.
• Tag.- Si está activado, indica que el puerto
soportará tráfico etiquetado.
• PVID.- Si se inserta una VLAN, esto significa que el
tráfico sin etiquetar se supondrá que viene por esa
VLAN. Es la VLAN predeterminada.
• STP.- Si habilitado el puerto soportará el tráfico
STP.
• Port Fast.- Si habilitado se activará la opción de
“Port Fast” en el puerto externo.
- 121 -

• Autonegociación.- Si habilitado, se permitirá la
autonegociación de dicho puerto externo.
• Control de flujo.- Existen varios modos
soportados:
• TxOnly
• RxOnly
• Both
• None
• Duplex.- Existen varios modos soportados:
• Full Duplex.
• Half Duplex.
• Auto
• Velocidad.-
• ACL.- Listas de control del acceso configuradas
para dicho puerto.
El dialogo mostrador para configurar los puertos externos es como
el siguiente:
- 122 -

5.7.8 Logs
En este panel se muestra información de los logs de los
módulos del chasis (MM/AMM y switches). Esta información es
consultada por SNMP, por tanto es necesario haber definido
anteriormente la conexión SNMP en el panel principal.
Este panel de logs está dividido en 2 subpaneles. El
primero muestra información estadísticas de los logs y el segundo,
todos los eventos asociados a un dispositivo. Para borrar los logs
del módulo pulsamos botón derecho y ejecutamos “Eliminar logs”.
Se muestran, a modo de ejemplo, los logs del módulo de control y
de los switches controlador por el MSB:
- 123 -

5.8 Útil
El módulo Útil es un módulo especial formado por herramientas
simples cuyo objetivo es facilitar al usuario la tarea de
administración del sistema.
Por ejemplo, podemos encontrar herramientas útiles:
• Escaneo de una red.
• Supervisar el correcto funcionamiento de los programas y
servicios que conforman el sistema.
• Localización geográfica aproximada de una IP.
• Monitorización de la CPU, memoria, red, usuarios,
procesos, etc.
• Información sobre el sistema de ficheros.
• Generación de alertas.
A continuación vamos a describir más detenidamente cada una de
las herramientas que nos proporciona el módulo Útil.
5.8.1 Sistema de Ficheros
Podemos observar que está dividido en dos paneles: el primero
muestra información del sistema de ficheros con tartas
estadísticas; el segundo panel muestra una tabla del sistema de
ficheros.
La tarta de la izquierda muestra el porcentaje de espacio en disco
duro de cada sistema de ficheros. La tarta de la derecha muestra el
porcentaje de espacio disponible de la partición seleccionada.
La tabla del panel inferior nos muestra información del estado del
sistema de ficheros. La información que nos presenta es:
• Sistema de fichero.- Dispositivo del sistema (partición).
• Tamaño.- Tamaño total de cada partición del sistema de
ficheros.
- 125 -

• Usado.- Espacio utilizado por la partición.
• Disponible.- El espacio disponible en disco de cada
partición del sistema de ficheros.
• Usado %.- Porcentaje de utilización.
• Montado en ....- Nos indica dónde está montada la
partición.
5.8.2 Supervisión
A través de este panel iniciamos una serie de chequeos de todo el
sistema. redConsole realiza los siguientes test:
• Test de Aplicación.- Comprueba que el proceso esté
operativo y funcionando.
• Test TCP.- Comprueba que las aplicaciones TCP son
accesibles. Por ejemplo: acceso a la base de datos o el
acceso al servidor SMTP configurado en el sistema.
La tabla está formada por las siguientes columnas:
- 126 -

• Módulo.- Indica el módulo donde se usa el programa o
servicio.
• Nombre del servicio.- Puede ser un programa o un
servicio.
• Descripción.- Descripción del servicio o programa.
• Control.- Existen determinados servicios críticos del
sistema que son siempre supervisados. Si uno de estos
servicios, por la razón que sea, cae, el programa que los
supervisa lo volverá a levantar. Esto asegurará el servicio
ante determinados fallos de software.
• Estado.- Indica el modo de funcionamiento del programa o
servicio. Puede tener los siguientes valores dependiendo
de si es un programa o un servicio:
• Programa.- Puede estar parado o ejecutándose.
• Servicio.- Puede estar cerrado o abierto.
Cuando el sistema detecta que el funcionamiento de
un programa o un servicio es incorrecto pone la fila
de color rojo. Si aparece de color azul nos indica que
el programa no está instalado en el sistema lo cual
indicará que la máquina no tiene actualizado el
firmware.
- 127 -

5.8.3 CPU
Este panel nos permite monitorizar en un gráfico cartesiano el
porcentaje de carga de CPU con respecto al tiempo.
5.8.4 Carga
En esta pestaña se da información de la carga diaria y semanal.
5.8.5 Memoria
En esta pestaña se da información de la memoria del sistema
diaria y semanal.
- 128 -

5.8.6 Swap
En esta pestaña podemos ver las estadísticas de la memoria de
intercambio (swap) en un día y en una semana.
5.8.7 Procesos
En esta pestaña se da información de los procesos en ejecución
diarios y semanal.
- 129 -

5.8.8 Usuarios
Este panel nos muestra dos gráficas cartesianas, la primera de
ellas da información sobre el número de usuarios conectados con
el sistema por SSH con respecto al tiempo de un día.
La segunda gráfica ofrece información semanal del número de
usuarios.
5.8.9 NFS
Podemos encontrar información del tráfico NFS del MSB. Una
gráfica diaria y otra semanal.
- 130 -

5.8.10 Globo
Esta herramienta nos permite localizar una IP en una posición
geográfica aproximada.
El botón “Limpiar” quita todas las IP localizadas
anteriormente.
5.8.10.1 Escáner
Este panel nos permite escanear los puertos TCP de un ordenador.
Existen dos tipos de escaneos:
- 131 -

• Escaneo rápido.- Se realiza un escaneo TCP de los 1024
primeros puertos.
• Escaneo normal.- Escaneo de todos los puertos TCP.
Importante: La ejecución de varios escaneos activos
puede saturar la red.
5.8.10.2 Tareas
Es una herramienta de administración de tareas para trabajo en
grupo. Permite al administrador crear notas y asignar tareas a los
administradores del MSB.
Todos los administradores, cuando conectan con el terminal,
pueden ver la lista de tareas pendientes asociadas al mismo.
- 132 -

Para crear una tarea son necesarios los siguientes parámetros:
- 133 -

6 PUF/FAQ
• ¿Dónde puedo conseguir información más detallada
de los pasos que realiza el sistema?
Puede obtenerla en los Logs que genera redBorder SE. Estos logs
se encuentra en "redborder/redborder.log". Para evitar el
crecimiento indefinido de dichos logs se produce una rotación de
logs a "redborder/redborder.log.old". Estos ficheros guardan una
traza de lo que se realiza mediante redConsole para detectar
posibles errores en la aplicación o de configuración del usuario.
• ¿Podemos usar la configuración salvada de un
terminal para configurar otro terminal?
Sí, pero cuando conectamos con el segundo terminal con la
configuración del primero tendremos que cambiar algunos
parámetros, como por ejemplo la IP. De hecho, éste es el modo de
replicar la configuración de dos equipos en alta disponibilidad o
crear configuraciones de base.
• ¿Qué pasa si los terminales tienen diferentes
módulos activos, podré usar la configuración
salvada de otro terminal?
Sí. El funcionamiento depende del terminal en el que se haya
salvado la configuración. Supongamos que tenemos igualmente
dos terminales 1 y 2, y que el terminal 1 dispone de 5 módulos
activos y el terminal 2 dispone de 4 (comunes con los anteriores).
Si tomamos la configuración salvada del terminal 1 para el
terminal 2, no habrá problema puesto que no se tendrá en cuenta
la configuración del modulo huérfano. Si tomamos la configuración
salvada del terminal 2 para usarla en el terminal 1 tampoco habría
problema, pero para el módulo huérfano se tomarán las opciones
por defecto. Cualquier caso es aceptable, pero siempre es
recomendable hacer la copia de seguridad del que incluye mayor
numero de módulos para que no exista pérdida de información.
• Si estamos configurando un terminal y aplicamos
una regla de cortafuegos que cierra el tráfico SSH
- 134 -

¿por qué puedo seguir transmitiendo con la ventana
de terminal abierta?
Debemos recordar que la sesión SSH se abre en el momento de
conexión y no se cierra hasta que no se cierra la ventana de
terminal. Por tanto la conexión ya estaba iniciada y es por ello por
lo que no pierde el contacto con el terminal aún indicándole que
corte las comunicaciones por SSH.
• ¿Que hago si tengo error de comunicación cuando
transmito los ficheros de configuración?
Es posible que la sesión SSH se haya perdido teniendo que
conectar de nuevo con el terminal. Si el error persiste es posible
que haya dejado la máquina en un estado inaccesible. Debe revisar
los logs de redConsole para detectar anomalías.
• ¿Puedo usar redConsole desde dos estaciones de
trabajo?
Sí. La configuración de cada equipo es local al mismo,
accediéndose a la misma información desde cualquier lugar. En la
actualidad no se implementan mecanismos de bloqueo entre
diferentes administradores.
• ¿Qué pasa si desde dos puntos se conectan a la vez
al mismo terminal?
No pasa nada puesto que se accede a la base de datos en modo
lectura y después se trabaja de forma local con los mismos. En
caso de transmitir la configuración se tomará aquella que se
transmita en último lugar.
• ¿Por qué no puedo eliminar un objeto redConsole si
está siendo usado en otras tablas?
Un objeto constituye una base muy importante del sistema de
configuración. Eliminar un objeto significaría eliminar todas las
dependencias del mismo, lo cual puede suponer dejar el sistema
en un estado inestable. Para eliminar un objeto deberá eliminar
previamente todas las referencias del mismo. Una parte
importante asociada a la integridad del sistema es justamente el
- 135 -

mantenimiento de estos usos de los objetos realizándose de forma
totalmente transparente al usuario.
• ¿Por qué no puedo pasar de un objeto de red simple
a otro más complejo si está siendo usado?
Existen ciertos puntos en los que se espera una IP única en vez de
una dirección de subred. Si modificamos el tipo de objeto de red de
simple a complejo podrían aparecer errores. Controlar si ese objeto
está siendo usado o no en cuadros en los que se espera sólo una IP
única complicaría demasiado el sistema. Uno de los principios de la
seguridad es la simplicidad, que mejora el mantenimiento y la
estabilidad. Es por esta razón por la que si un objeto de red es
simple y esta siendo usado, no se podrá cambiar a un objeto de
red complejo (subred o múltiple).
• Aparentemente la configuración de los dos MSB es
correcta y hay comunicación entre ellos, entonces
¿por qué el drbd de un sistema y de otro no
sincronizan?
Posiblemente las contraseñas que se dieron en la instalación no
coincidan, por lo que no consiguen autenticarse mutuamente,
impidiendo la consiguiente sincronización. Compruebe que las
contraseña sean las correctas en el fichero /etc/drbd.conf (shared-
secret). Si éste es el caso, para corregir la configuración será
necesario volver a ejecutar el script de instalación rb_install.sh.
• Al iniciar el MSB, una de las interfaces bond (o las
dos) no se ha levantado adecuadamente. ¿A qué es
debido?
Si al iniciar el MSB te indica que no ha podido levantar algún bond
es posible que se deba a que no ha configurado adecuadamente
las direcciones MAC de las tarjetas de red del MSB en el instalador
de redBorder SE. Verifique las MAC con el módulo de gestión y
vuelva a llamar al instalador rb_install.sh para cambiar la
configuración.
• Al ejecutar el script rb_install.sh el servicio
heartbeat no termina de pararse.
- 136 -

Si al ejecutar el instalador de redBorder (rb_install.sh) no es capaz
de parar heartbeat, debe abrir otra terminal y matar el proceso con
el siguiente comando:
killall heartbeat
• ¿Por no me responde el MSB a las peticiones PING
que le hago desde la red externa?
Por defecto, los MSB configuran reglas de cortafuegos básicas que
impiden cualquier acceso desde el exterior exceptuando el acceso
al servicio SSH.
• ¿Es necesario definir la VLAN interna, por ejemplo,
en los nodos de checkpoint a través de redConsole?
No. La VLAN interna es de gestión y se configura automáticamente
en el inicio del sistema, independientemente de la configuración
de red del sistema aprovisionado.
• ¿Dónde puedo conseguir documentación del sistema
creado en mi MSB?
Puede conseguir documentación en /opt/rb/misc/doc/readme.txt
donde se detalla cada uno de los ficheros incluidos en el sistema.
• ¿Cómo puedo modificar las políticas del cortafuegos
en modo slave?
Las políticas en modo “slave” están en el fichero
/opt/rb/etc/eneo_firewall/eneofw.ipt.default siguiendo la notación
básica de iptables-save.
• ¿Cómo saber qué están bien mapeadas las
interfaces en el MSB?
Ejecutamos los siguientes comandos en el MSB:
cat /proc/net/bonding/bond0 |
grep "Permanent HW addr: " | awk {'print$4'}
- 137 -

cat /proc/net/bonding/bond1 |
grep "Permanent HW addr: " | awk {'print$4'}
Y ver que el orden se corresponde con el que indica la web del MM.
Sección: System Status → Hardware VPD #
BladeCenter Server Mac Addresses
• ¿Cómo verificar el correcto funcionamiento de los
switches del chasis?
Para ello seguimos los siguientes pasos:
1) Nos conectamos via redConsole. Vemos los logs del switch
en la pestaña de “Logs” dentro del módulo Blade Control.
En caso de que no podamos visualizar los logs de los
- 138 -

switches, en la pestaña de “Configuración” buscamos si
existe alguna anomalía en los switches.
- MM Connection: Verifica si se tiene acceso desde el MSB
al MM.
- Switch Connection: Verifica si se tiene acceso desde el
MSB a los swicthes.
- Health: Verifica en los logs del MM el estado del switch.
- Power: Verifica si el switch está encendido.
- Open session: Verifica la apertura de una sesión SNMP
con el switch con los datos especificados en el
configurador.
- MIB: Verificación del modelo de swicth.
- Configuration: Comprueba que la contraseña es correcta.
- Access: Chequea si el usuario SNMP tiene privilegios de
lectura.
- Write: Chequea si el usuario SNMP tiene privilegios de
escritura.
- Firmware: Indica si la versión del firmware es correcto.
2) Si tenemos problemas a la hora de conectarnos a la
Interfaz gráfica de redBorder probamos con la web de
gestión del switch o mediante telnet. Podemos comprobar
que la configuración del switch es correcta (vlan, pvid,
trunk, stp, etc).
- 139 -

3) También podemos chequear el estado del switch desde la
interfaz web del MM.
• ¿Cómo verificar el correcto funcionamiento del
módulo de gestión (MM)?
Para verificar el estado del MM seguimos los siguientes pasos:
1) Si tenemos conexión a la GUI de redBorder, nos vamos a la
pestaña “Logs” en el módulo de Blade Control, en ella
podemos ver los logs del MM.
En la pestaña de configuración podemos chequear el MM
para verificar si está correctamente configurado.
- 140 -

Los parámetros verificados son:
- MM Connectivity: Verifica la conexión con el MM.
- Open session: Verifica la apertura de una sesión SNMP
con el switch con los datos especificados en el
configurador.
- MIB: Verificación del modelo de MM. Existen dos tipos de
modelos aceptados: MM y AMM.
- Configuration: Comprueba que la contraseña es correcta.
- Access: Chequea si el usuario SNMP tiene privilegios de
lectura.
- Writting: Chequea si el usuario SNMP tiene privilegios de
escritura.
- Traps: Verifica si la configuración de TRAPs del MM es
correcta
2) Si tenemos problemas al conectarnos a la GUI de redBorder
nos conectamos a la interfaz web de gestión del MM. Te
informará de todo los parámetros básicos y necesarios
para el correcto funcionamiento (IP, configuración SNMP,
etc).
- 141 -

• ¿Cómo verificar el correcto funcionamiento del MSB?
Hay que distinguir entre dos situaciones, con acceso vía
redConsole y con acceso vía ssh al MSB.
1) Verificamos el servicio encargado de la alta disponibilidad
de los MSB.
Acceso GUI: Nos vamos a la pestaña “Estado MSB” dentro
del módulo Blade Control y verificamos el subpanel inferior.
Acceso SSH: Ejecutamos el comando:
crm_mon
2) Verificamos el servicio DRBD encargado de sincronizar los
dos nodos MSB.
Acceso GUI: Nos vamos a la misma pestaña “Estado MSB”
y en el subpanel superior nos da información del estado del
DRBD.
Acceso SSH: Ejecutamos el comando:
cat /proc/drbd
3) Miramos los logs del MSB.
Acceso GUI: Nos vamos al módulo Sistema, pestaña
“Logs” y analizamos los logs.
Accesso SSH: Ejecutamos el comando:
tail -f /var/log/messages
Si no disponemos de acceso GUI ni SSH nos
conectamos a través del KVM.
- 142 -

7 Anexo A: Configuración de traps del MM
• Abrimos el navegador y nos conectamos con la ip del MM
• Dentro de la sección “MM Control” seleccionamos la opción
de “Alerts”
• Creamos un recipiente de alertas en cualquier hueco libre
con las siguientes opciones:
Es importante que desmarque la opción “Receive
critical alerts only” tal como viene en la figura.
El aspecto es como sigue:
- 143 -

• Seleccionamos la opción “Network Protocols” y añadimos
la IP virtual de los MSB como servidor de traps tal como se
indica en la figura siguiente.
Es importante que el nombre de la comunidad debe
ser “public”
- 144 -

8 Anexo B: Creación de los usuarios SNMP en el MM
• Abrimos el navegador y nos conectamos con la IP del MM
• Dentro de la sección “MM Control” seleccionamos la opción
de “Login Profiles”
• Creamos un usuario con los siguientes valores:
Es importante que el role de este usuario debe ser el
de Supervisor y debe tener acceso a todas las partes
del chasis.
• Configuramos SNMPv3 del usuario (al final de la página
anterior) con los siguientes valores:
- 145 -

• Al final el panel “Login Profiles” debe quedar como sigue:
- 146 -

9 Anexo C: Configuración inicial de la red
Es necesario configurar la red de los nodos de control en los
switches. Esto hay que hacerlo de forma manual y en la instalación
inicial del nodo de control. La forma de proceder va a ser la
siguiente:
• Nos conectamos a la web del switch. Por defecto:
• Usuario: admin
• Password: admin.
• Nos vamos el modo “Configure” de las pestañas
superiores.
• Hacemos click en la carpeta de Nortel Layer2-3 GbE Switch
Module o del swicth en cuestión.
• Vamos a la sección de Switch Ports.
- 147 -

• Configuramos en el puerto correspondiente al nodo de
control las VLANs necesarias para las comunicaciones
tanto internas como externas. Recordar que el PVID debe
ser configurado para la VLAN interna. En nuestro caso los
nodos de control son los puertos INT1 e INT2 y la VLAN
interna es la 144.
• Vamos a la sección “Layer 2” - Virtual LANs
• Debemos crear al menos:
• VLAN externa para la gestión de los MSB (ejemplo 143)
• VLAN interna para la comunicación interna de los
blades (ejemplo 144)
- 148 -

10 Anexo D: Creación de los usuarios SNMP en
Switch
Lo más común va a ser la utilización de usuarios SNMPv3 por sus
ventajas en cuanto a seguridad ya que las comunicaciones van
cifradas y autenticadas.
Para la creación de un usuario SNMPv3 en los Switches BNT (Blade
Networks) lo que vamos a hacer es utilizar el usuario por defecto
adminmd5. Al cual vamos a cambiar las contraseñas de
autenticación y de cifrado.
Nos conectamos por telnet al switch (por ejemplo 192.168.100.31)
siendo el password por defecto 'admin'.
#telnet 192.168.100.31
Trying 192.168.100.31...
Connected to 192.168.100.31.
Escape character is '^]'.
Nortel Layer2-3 GbE Switch Module(Copper).
Enter password:
System Information at 7:14:26 Thu Jan 1, 2070
Time zone: No timezone configured
Nortel Layer2-3 GbE Switch Module(Copper)
Switch has been up for 0 days, 7 hours, 14 minutes
and 26 seconds.
Last boot: (power cycle)
MAC Address: 00:18:b1:a3:6e:00 Management IP
Address (if 128): 192.168.100.31
Software Version 1.4.2.0 (FLASH image1), active
configuration.
PCBA Part Number: 317857-C
FAB Number: EL4542089
Serial Number: YK502032C642
Manufacturing Date: 0811
Hardware Revision: 1
Board Revision: 2
- 149 -

PLD Firmware Version: 1.0
Temperature Sensor 1 (Warning): 40.0 C (Warn at
77.0 C/Recover at 72.0 C)
Temperature Sensor 2 (Shutdown): 39.5 C (Warn at
90.0 C/Recover at 80.0 C)
Switch is in I/O Module Bay 1
-----------------------------------------------------
-------------
Note: The current running configuration includes
changes
that have NOT been saved to FLASH. Use "diff
flash"
to see them and "save" to make them permanent.
-----------------------------------------------------
-------------
-----------------------------------------------------
-------
[Main Menu]
Jan 1 7:14:27 192.168.100.31 NOTICE mgmt:
admin(admin) login from host 192.168.100.5
info - Information Menu
stats - Statistics Menu
cfg - Configuration Menu
oper - Operations Command Menu
boot - Boot Options Menu
maint - Maintenance Menu
diff - Show pending config changes [global
command]
apply - Apply pending config changes [global
command]
save - Save updated config to FLASH [global
command]
revert - Revert pending or applied changes
[global command]
- 150 -

exit - Exit [global command, always
available]
>> Main#
Ejecutamos:
cfg/sys/ssnmp/snmpv3/
Nos aparecerá el siguiente menú:
-----------------------------------------------------
-------
[SNMPv3 Menu]
usm - usmUser Table Menu
view - vacmViewTreeFamily Table Menu
access - vacmAccess Table Menu
group - vacmSecurityToGroup Table Menu
comm - community Table Menu
taddr - targetAddr Table Menu
tparam - targetParams Table Menu
notify - notify Table Menu
v1v2 - Enable/disable V1/V2 access
cur - Display current SNMPv3 configuration
Configuramos el usuario 1 (por defecto adminmd5) mediante el
siguiente comando:
usm 1
Nos aparecerá el siguiente menú:
- 151 -

-----------------------------------------------------
-------
[SNMPv3 usmUser 1 Menu]
name - Set USM user name
auth - Set authentication protocol
authpw - Set authentication password
priv - Set privacy protocol
privpw - Set privacy password
del - Delete usmUser entry
cur - Display current usmUser configuration
Cambiamos la contraseña de autenticación mediante el siguiente
comando:
authpw
Nos solicitará el password de nuevo la validación del usuario admin
(password por defecto 'admin') y si es correcto nos solocitará la
nueva contraseña de autenticación SNMP. El menu es como sigue:
Changing authentication password; validation
required:
Enter current admin password:
Enter new authentication password (max 32
characters):
Re-enter new authentication password:
New authentication password accepted.
Cambiamos la contraseña de cifrado mediante el siguiente
comando:
privpw
- 152 -

Igualmente nos pide la contraseña del usuario admin para
proceder a cambiar la contraseña de cifrado. El aspecto es como
sigue:
Changing privacy password; validation required:
Enter current admin password:
Enter new privacy password (max 32 characters):
Re-enter new privacy password:
New privacy password accepted.
- 153 -

11 Anexo E: Actualización del firmware de los
Switches BNT (BladeNetworks) mediante telnet
En este anexo se va a explicar la actualización del firmware del
Switch BNT L2/L3 Copper. Esta actualización es un tanto especial
debido a que se tiene que hacer en dos pasos. Hay que pasar por
una versión de firmware intermedia antes de pasar a la final.
Se explica esta actualización por que es una de las más complejas
que nos podemos encontrar. En el ejemplo se va a pasar de una
versión instalada 1.0 a una intermedia 1.2.5.1 y por último a una
versión final 1.4.2.
Es aconsejable informarse de los cambios que existen entre
firmwares y de las implicaciones que pueden existir al actualizar el
firmware de los switches.
A continuación presentamos todos los pasos:
• Nos conectamos por telnet al switch 192.168.143.8
telnet 192.168.143.8
• El switch permite cargar dos imágenes OS distintas
además de la imagen boot. Para saber cual es la imagen
boot activa ejecutamos
/boot/cur
En este ejemplo la imagen activa vamos a suponer que es la
imagen 2 (image2). Es importante saber cual es la imagen activa
para no sobreescribirla con el nuevo firmware.
• Procedemos a actualizar la image1 que es la que no esta
activa.
/boot/gtimg 1 IP
El 1 indica la imagen que no está activa. Ponemos la
IP del equipo donde se encuentra ese nuevo
- 154 -

firmware (por ejemplo la virtual del MSB). En el MSB
podemos conseguir las últimas versiones del
firmware de los switches BNT en las carpeta
/opt/rb/shared/pxe/firmware/. Existen varias carpetas
para cada tipo de switch soportado y para cada tipo
de MM.
• Una vez insertado el comando anterior nos piden que
insertemos el nombre del fichero dentro del servidor TFTP
que está instalado en el nodo de control. En nuestro caso,
al tratarse de un switch de BNT L2L3 debemos indicar:
/firmware/BNT_1G_L2L3/GbESM-AOS-1.2.5.1_OS.img
• Si se tratara del switch 10G de Nortel deberíamos haber
indicado /firmware/BNT_10G/GbESM-10G-AOS-
1.0.3.0_OS.img
• Pulsamos enter cuando nos pidan el nombre de usuario ya
que estamos utilizando TFTP. Y por ultimo confirmamos la
operación sin autenticación.
• Reiniciamos el swicth.
/boot/reset
• Nos conectamos por telnet una vez que se haya reiniciado
el switch.
• Ya tenemos la máquina con el nuevo firmware subido. Pero
no está activo, seguimos teniendo la imagen 2 activa. Para
activarlo ejecutamos el siguiente comando y le indicamos
la imagen 1.
/boot/image
• Reiniciamos nuevamente el switch
/boot/reset
- 155 -

• Nos conectamos por telnet una vez que se haya reiniciado
el switch.
telnet 192.168.143.8
• Ahora vamos a actualizar la imagen boot y para ello
ejecutamos el siguiente comando.
/boot/gtimg boot IP
Nota.- Ponemos la IP del equipo que tenga un
servidor TFPT con los firmwares de los switches, por
ejemplo el MSB.
• Una vez ejecutado nos pide el nombre del fichero.
Insertamos lo siguiente.
/firmware/BNT_1G_L2L3/GbESM-AOS-1.2.5.1_Boot.img
• Pulsamos enter cuando nos pida un nombre de usuario.
• Reiniciamos el switch
/boot/reset
• Nos conectamos nuevamente por telnet una vez que se
haya reiniciado el switch.
• Ya tenemos instalada la versión de firmware 1.2.5.1 en el
switch, para actualizar a la última 1.4.2 nos volvemos a
conectar por telnet al switch.
telnet 192.168.143.8
• Para saber las imágenes que tienen activas el switch
ejecutamos
/boot/cur
- 156 -

• En este ejemplo ahora tenemos la imagen activa image1.
Procedemos a actualizar la image2 que es la que no está
activa. Ejecutamos
/boot/gtimg 2 IP
Nota.- IP del servidor TFTP con las imágenes de
firmwares.
• Nos pide que insertemos el nombre del fichero dentro del
servidor TFTP.
/firmware/BNT_1G_L2L3/GbESM-AOS-1.4.2.0_OS.img
• Confirmamos la operación pulsando enter.
• Reiniciamos la máquina.
/boot/reset
• Nos conectamos de nuevo por telnet.
telnet 192.168.143.8
• Ya tenemos la máquina con el nuevo firmware subido. Para
activarlo ejecutamos lo siguiente.
/boot/image
• Reiniciamos nuevamente la máquina.
/boot/reset
• Nos conectamos por telnet
telnet 192.168.143.8
• Ahora vamos a actualizar la imagen del boot para ello
ejecutamos el siguiente comando.
- 157 -

/boot/gtimg boot IP
Nota.- La IP es la del servidor TFTP.
• Insertamos el nombre del fichero boot.
/firmware/BNT_1G_L2L3/GbESM-AOS-1.4.2.0_Boot.img
• Reiniciamos la máquina.
/boot/reset
- 158 -

Manual red border-1.6.1

Más contenido relacionado

La actualidad más candente

Destacado

Similar a Manual red border-1.6.1

Manual red border-1.6.1