Netzwerke sind ein Kernbestandteil eines jeden Datacenters. Neben den zahlreichen Monitoring-Lösungen wie Nagios oder Icinga gibt es aber auch für das Management von Netzkomponenten wie Routern und Switchen zahlreiche Open-Source-Tools die jedem Admin das Leben erleichtern können. Einige dieser Werkzeuge sollen in diesem Vortrag vorgestellt werden:

1. NetDot und RANCID
Jens Link
jl@jenslink.net
NetDot und RANCID
Jens Link (jl@jenslink.net) IPv6 1 / 24

2. Übersicht
1 Dokumentation
2 netdot
3 Rancid
Jens Link (jl@jenslink.net) IPv6 2 / 24

3. Wer bin ich?
Freiberuflicher Consultant
komplexe Netzwerke
Netzwerksecurity
Netzwerkmonitoring
Troubleshooting
Jens Link (jl@jenslink.net) IPv6 3 / 24

4. Übersicht
1 Dokumentation
2 netdot
3 Rancid

5. Dokumentation?! (I)
Wichtig!
Aber wird sie auch gemacht?
Wann?
Wird sie auch gepflegt?
Wirklich? ;-)
Jens Link (jl@jenslink.net) IPv6 5 / 24

6. Dokumentation?! (II)
Wie wird dokumentiert?
Doku existiert im Kopf des Admins
Office-Dateien, per eMail verschickt, ohne Datum und
Versionsnummern
Wiki / Ticketsysteme / ...
T-Shirt ;-)
Jens Link (jl@jenslink.net) IPv6 6 / 24

7. Dokumentation?! (III)
Probleme:
Pflege von Doku - Keiner macht es gerne, es gibt immer
“wichtigeres” zu tun
Änderungen “mal eben schnell” werden auch schnell wieder
vergessen
Daten werden mehr als einmal gepflegt
Jens Link (jl@jenslink.net) IPv6 7 / 24

8. Dokumentation?! (IV)
Mögliche Lösungen:
Praktikant / Azubi
Tools!
Jens Link (jl@jenslink.net) IPv6 8 / 24

9. Übersicht
1 Dokumentation
2 netdot
3 Rancid

10. netdot - NETwork DOcumentation Tool (I)
Vieles geht automatisch
Device Discovery via SNMP
Layer2 Topologie (CDP / LLDP), Spanning-Tree,
Forwarding-Tables, ....
IPv4 / IPv6 Adressverwaltung
Verkabelung
Kontakte
Jens Link (jl@jenslink.net) IPv6 10 / 24

11. netdot (II)
Voraussetzungen:
Perl
diverse Sachen aus CPAN
Apache /Mod-Perl
MySQL / Postgres
Jens Link (jl@jenslink.net) IPv6 11 / 24

12. netdot (III)
Vorteile gegenüber anderen Tools:
Freie Software
Sehr aktive Entwicklung und Mailingliste
Klare Roadmap
Vorschläge und Patches werden angenommen
Jens Link (jl@jenslink.net) IPv6 12 / 24

13. Exkurs: CDP / LLDP
CDP - Cisco Discovery Protocol
LLDP - Link Layer Discovery Protocol
Erkennen von Layer-2 Verbindungen ohne funktionierende Layer-3
Kommunikation.
r3#sh cdp neighbors
Capability Codes: R - Router, T - Trans Bridge, B - Source Route Bridge
S - Switch, H - Host, I - IGMP, r - Repeater
Device ID Local Intrfce Holdtme Capability Platform Port ID
r2 Fas 1/0 139 R S I 3640 Fas 1/0
r1 Fas 0/0 145 R S I 3640 Fas 2/0
Jens Link (jl@jenslink.net) IPv6 13 / 24

14. netdot Installation
Kein fertiges Paket bekannt
Installation aber recht einfach
Nett: make installdeps-apt-get
Jens Link (jl@jenslink.net) IPv6 14 / 24

15. Übersicht
1 Dokumentation
2 netdot
3 Rancid

16. Rancid (I)
Really Awesome New Cisco confIg Differ
Kann mehr als nur Cisco
Mischung aus Expect, Shell, Perl, awk, ....
Liest Konfiguration einen Gerätes per ssh / telnet aus
Speichert als Textdatei und im CVS / SVN (/ GIT)
Verschickt bei Änderungen Mails
Erkennt auch Änderungen an der Hardware (z.B. Austausch eines
SFPs)
Probleme: Passwörter werden u.U. nicht mit gespeichert, ebenso
evtl. Crypto-Keys, ...
Jens Link (jl@jenslink.net) IPv6 16 / 24

17. Rancid (II)
Konfiguration:
rancid.conf
TERM=network;export TERM
umask 027
TMPDIR=/tmp; export TMPDIR
BASEDIR=/var/lib/rancid; export BASEDIR
PATH=/usr/lib/rancid/bin:/usr/bin:/usr/sbin:/bin:/usr/local
export PATH
CVSROOT=$BASEDIR/CVS; export CVSROOT
LOGDIR=$BASEDIR/logs; export LOGDIR
RCSSYS=cvs; export RCSSYS
ACLSORT=YES; export ACLSORT
OLDTIME=4; export OLDTIME
LIST_OF_GROUPS="lan"
Jens Link (jl@jenslink.net) IPv6 17 / 24

18. Rancid (III)
Konfiguration:
/etc/aliases
....
rancid-lan: jens
rancid-admin-lan: jens
Jens Link (jl@jenslink.net) IPv6 18 / 24

19. Rancid (III)
Initialisierung:
netdot:/var/lib/rancid# bin/rancid-cvs
Jens Link (jl@jenslink.net) IPv6 19 / 24

20. Rancid (IV)
Konfiguration:
lan/router.db
192.0.2.1:cisco:up
192.0.2.10:cisco:up
192.0.2.15:cisco:up
192.0.2.17:cisco:down
192.0.2.99:cisco:up
192.0.2.100:juniper:up
Jens Link (jl@jenslink.net) IPv6 20 / 24

21. Rancid (V)
.cloginrc
add user 192.0.2.0/24 jens
add password 192.0.2.0/4 {geheim} {secret}
add method 192.0.2.0/24 ssh telnet
Jens Link (jl@jenslink.net) IPv6 21 / 24

22. Rancid (VI)
clogin (I)
jens@netdot:~$clogin -c ’"sh cdp neigh" 192.0.2.10
Capability Codes: R - Router, T - Trans Bridge, B - Source Route Bridge
S - Switch, H - Host, I - IGMP, r - Repeater
Device ID Local Intrfce Holdtme Capability Platform Port ID
r2 Fas 1/0 139 R S I 3640 Fas 1/0
r1 Fas 0/0 145 R S I 3640 Fas 2/0
Jens Link (jl@jenslink.net) IPv6 22 / 24

23. Rancid (VII)
clogin (II)
Neuer NTP-Server:
jens@netdot:/var/lib/ranci#bin/clogin -c
"conf t; no ntp server 10.10.20.10;
ntp server 10.10.10.9; end; wr; "
192.0.2.1 192.0.2.15 192.0.2.17
Jens Link (jl@jenslink.net) IPv6 23 / 24

24. Rancid (VIII)
..I have noticed a behaviour change since implementing
RANCID. The entire NOC team gets an email when a config
change is made. The result is everyone is cautious about
making changes on the fly, and any changes that are made
are quickly explained by the changer. Before, changes would
be made and if it broke something.....silence. So, at the very
least we have fewer **problems** that magically appear. –
Jason Lewis
Jens Link (jl@jenslink.net) IPv6 24 / 24