EDItran Proxy 4.1
Contents
1. 3 2 Optimizaci n MultiThreading Uno de los principales preocupaciones a la hora de dise ar EDitran PX ha sido la b squeda de la mayor eficiencia posible De sta manera EDitran PX est construido de manera que crea un hilo de ejecuci n por cada cliente conectado permitiendo tanto que una conexi n no afecte a las dem s como que se consiga la m xima eficiencia en sistemas multi procesador 3 3 TimeOut Existe un TimeOut independiente y previo a la conexi n con EDitran en el HOST que cerrar la conexi n a un cliente cuando ste se conecte pero no env e ning n dato De sta manera se evita que el HOST pueda ser atacado mediante un intento de DoS por falta de conexiones libres 3 4 Bombing Adem s de contar con un TimeOut EDltran PX cuenta con un sistema que evita el intento de conexiones m ltiples desde un mismo cliente con nimo de intentar un Dos Estas conexi nes no llegar n nunca al EDitran interno evitando cargarlo y adem s cuando se detecta un intento de bombing se deconecta la conexi n con el causante 3 5 Seguridad C mo ya se ha mencionado EDitranPX evita tener que colocar EDltran en la zona desmilitarizada o DMZ ya que all es donde ir EDitran PX De manera que se aumenta la seguridad ya que EDitran se mantiene en la red interna fuera de la DMZ 3 6 Validaci n de protocolo EDitran Una de las car ter sticas principales de EDitran PX es que conoce el protocolo de EDitran y de sta manera evit2. date LE 1 2 traza 7 then EDI _DEBUG 1 traza else EDI DEBUG Ed export EDI DEBUG SL gt gt Slott 2 gt sdo sleep 8 pid PS grep or grep SL grep v grep awk peint 52 TE TT eSpridi ls A sERen echo Proceso 1 arrancado return o0 else echo Proceso 1 NO ARRANCADO return 1 fi Edi i parada del proceso dado SLOPproc A pid PS grep pl I Grep g Grep awk print 2 TP opid I E Te hen kill 2 pid gt dev null 2 gt 41l if 1 5 0 1 then echo Proceso 1 detenido return 0 else echo Proceso 1 NO DETENIDO return 1 f1 else echo Proceso 1 no encontrado f1 sleep 4 estado del proceso dado statusproc pid PS grepusL Il GESpP v grep il awk pPpRINE 92 Tc F TOLO le UL CHEN return 0 else return 1 Indra Todos los derechos reservados EPR41USIA doc 4 EDltran Proxy EN UNIX Y WINDOWS gt gt Sd Out 26 09 2007 Pag 4 6 Manual de Instalaci n y usuario 4 EDitran Proxy EN UNIX Y WINDOWS fi HERRERO ARO AA AE traza force while do getopts tf opcion Case S opcion in f e done shift case JE de de e Se E Hb SE Se e E Ttraza l 7 P FORTE 7 2 Printer Operon anvalaidain gt sac texpr SOPTIND 1 SIl in start echo Arrancando sistema EDItran PX if z Sforce then statusproc ediproxyth if 1 56 e 0 7 E en echo S B Hay otro sistema EDItran PX arrancado
3. Y WINDOWS 4 9 Arranque y parada UNIX Para arrancar y parar EDitran Proxy ejecute EDIProxy start y EDIProxy stop ediproxy start 1h156 122 34 12 8888 En los entornos UNIX ediproxy es el script que se lista a continuaci n l s HERA ARACENA AREA OOOO OEA RE A Direccion de Comunicaciones C INDRA S A Enero 1999 sh shell script de arranque parada del sistema EDItranPX dd EDI IPC KEY BASE 8000 export EDI IPC KEY BASE FE HE HE E HE HE E HE HE E HE HE HE HE H H H SUN DEC y LINUX LD LIBRARY _PATH pwd LD_LIBRARY PATH export LD LIBRARY PATH FEEFERREEREREFERHEEHH FATX LIBPATH pwd export LIBPATH HERRIA AA T HP SHLIB_PATH pwd export SHLIB PATH texport X25 IFNAME A NXLO0O texport X25 IFNAME B NXL1 texport SNCE DES LIB SCICSREGION lib texport SNCE PROGRAM KEYS SCICSREGION ftesbatch NXEN2EDI HORAR ORAR ARA AEREA FDEC DTE CLASS DEFINITION FX25 DTE CLASS A 11c2 class a export X25 DTE CLASS A FX25 DTE CLASS B 11c2 class b export X25 DTE CLASS B da FSOCKS5 SERVER FSOCKS5 SERVER proxy indra es 1080 texport SOCKS5 SERVER PROC STAR MEd Prozy PROC STOP ediproxytk N tput mso B tput smso if ps ef gt dev null 2 gt 1 then PS ps ef else Indra Todos los derechos reservados EPR41USIA doc 26 09 2007 Pag 4 5 Manual de Instalaci n y usuario PS pPS X LL arranque del proceso dado Stareproct 4 rfe f 1 7 then Sono RR Arrange SAAT USER
4. men elegir la opci n Ejecutar Si la unidad donde se encuentra el producto para instalar fuera E teclee lo siguiente EXEDItranProxy exe Siga las instrucciones que vayan apareciendo por la pantalla Si se decide crear un servicio para el control del EDitranProxy tendr las siguientes caracter sticas aos servicio Proxy de EDltran Permitellamadas de EDltran a trav s de una pasarela Autom tico Sistema local 4 3 Configuraci n de EDitran Proxy WINDOWS En el mismo proceso de instalaci n se deben indicar las direcciones IP y puertos locales de escucha as como la direcci n IP del HOST y puerto de escucha del mismo aunque en cualquier momento se puede consultar la configuraci n o modificarla utilizando el comando confproxy ver secci n 4 6 4 4 Arranque y parada WINDOWS Si durante el proceso de instalaci n se ha elegido la opci n de crear un servicio el arranque se deber hacer desde el mismo Servicio Proxy de EDitran teniendo los permisos necesarios si no se eligi instalar crear el servicio se podr a arrancar desde una ventana de interfaz de comando cmd ejecutando el fichero Fediproxyth exe 4 5 Notificaciones syslog En los sistemas UNIX existe una manera est ndar y muy utilizada de enviar y mantener almacenar mensajes de log ese sistema se conoce como syslog En los sistemas UNIX existe un demonio syslogd que recibe las peticiones UDP en el puerto 514 de log y lo transfiero o almacena depend
5. 0000000000000404040 40404040404040404040404040404040404040404040404040404040404040404040404040 404040404040404040tF1F7F24BFO0F2F24BF1F6F44BF0F7F61E634040404040404040404040 40404040404040404040404040404040404040404040404040404040404040404040404040 40404040404040404040D6E2F3F9FOC2F1FOFOFOF9OF9F9OF4FOF2FOFOFOF9OF9IF9OF4FOC5C4C9 D 7D9F100000000000000000000000000000000000000000000000000000000000000000000 01B34040400000404040F0F8F3F2F5F8404040404040 PF2 SWITCH HEXADECIMAL CARACTER Si pulsamos PF2 se visualiza en mensaje en formato texto y adem s se incluye informaci n sobre la hora real de proceso no tiene porqu ser la misma que la de la traza y sobre la longitud del mensaje tratado no tiene porqu ser el mismo que el que est en red Indra Todos los derechos reservados EPR41USIA doc 26 09 2007 Pag 2 3 Manual de Instalaci n y usuario 16 06 2004 08 53 06 SESION TRAZA 2 DEFINICIONES Y CAMBIOS 0S 390 Z OS CONSULTA DE FICHEROS CONSULTA DE TRAZA SOODI SOOTI EDIPR1 EDITRAN 4 1 FECHA SSAAMMDD 20040616 HORA HHMMSS 083258 ENTRADA SALIDA E pies a Vs AD NN EE ETT 3 P E Eliana 172 022 164 076 TEN o OS390B100099940200099940EDI PR1 083258 HORA DE PROCESO DE MENSAJE 083258 LONGITUD DE MENSAJE TRATADO 000435 PF2 SWITCH HEXADECIMAL CARACTER Para trazas de m s detalle de INDRA codificar sistema operativo EDPR versi n sistema operativo spaces MULT y N mero cvcs m ximos 999
6. 00099930000000010000001 000099930000000010000001 000099930000000010PRUEBA 000099930000000010PRUEBA 000099930000000010000001 000099930000000010000001 000099930000000010PRUEBA 000099930000000010000001 FECHA HORA S CLA C NSM 31 01 09 19 09 S X11 31 01 09 19 13 E X11 31 01 09 19 56 E E00 31 01 09 19 56 S SOC 31 01 09 19 56 S CON 31 01 09 19 57 S X00 31 01 09 19 57 E E00 31 01 09 19 57 S SOC 31 01 09 19 57 S CON 31 01 09 19 57 S X00 31 01 09 20 17 E X00 31 01 09 20 18 S SAP 31 01 09 20 18 E X00 31 01 09 20 18 S SAP 31 01 09 20 22 E SAR 31 01 09 20 22 E SAR INDICACION LIBERACION INDICACION LIBERACION PETICION DE CONEXION PETICION CONEXION TCP PETICION CONEXION TCP INDICACION CONEXION PETICION DE CONEXION PETICION CONEXION TCP PET CONEXION TCP PROXY INDICACION CONEXION INDICACION CONEXION PETICION SESION INDICACION CONEXION PETICION SESION ACEPTACION PET SESION ACEPTACION PET SESION En cuanto a la consulta de la traza expandida se ha modificado lo que se muestra en pantalla para los mensajes de TCP a continuaci n se incluyen unos ejemplos Indra Todos los derechos reservados EPR41USIA doc 26 09 2007 Pag 2 5 Manual de Instalaci n y usuario Mensaje entrante para sesi n con proxy 31 01 2005 09 12 33 53 000000000000000000000000 E CON MENSAJE CONEXION SOCKET 00001 NRO ERROR LISTENER KI0E8A2L PUERTO 07777 IP REMOTA 172 022 164 069 31 01 2005 09 12 33 53 000099930000000010000001 E TAK CALL TAKESOCK
7. 0FD SOODI SOOTI EDIPR1 083258 S ETT 03827 OF O0FD SOODI SOOTI EDIPR1 083258 S STS T O DE ESPERA DE SAP SOODI SOOTI EDIPR1 083302 E SAP IND NOTIFICACION 00 SOODI SOOTI EDIPR1 083302 S SAR RESP NOTIFICACION 00 El significado de la traza previa es el siguiente por ejemplo para el mensaje marcado 1 En las columnas S y Comentario aparece un mensaje entrante E y se trata de un mensaje x B indicaci n de llamada 2 En la columna NSM LU aparece el puerto remoto 3827 3 En la columna Comentario aparece un cvc x 0FD 253 en decimal que es en realidad el n mero de tarea CICS transid ZTBB que trata la indicaci n de conexi n Es importante resaltar que si en un tiempo muy corto dicho n mero va pegando saltos muy grandes nos encontraremos Indra Todos los derechos reservados EPR41USIA doc 26 09 2007 Pag 2 2 Manual de Instalaci n y usuario 2 DEFINICIONES Y CAMBIOS OS 390 Z OS con que el CICS se encuentra muy cargado est ejecutando muchas tareas simult neamente Si se detectan problemas en el CICS revise el entorno local nro conexiones por listener la parametrizaci n de la definici n CICS a VTAM en concreto el par metro EAS n mero de comunicaciones activas simult neamente y la relaci n de os par metros Tclass de las transacciones con el par metro CMXT de la SIT las transid se pueden apuntar a una clase y en la SIT se limita en n mero de transid de cada una de las clases En la SIT est el par metro M
8. Configuracion Nombre o IP Nombre o IP Existen 0 IPs Forma de uso confproxy lt ip ip Permitida donde 1991 2004 INDRA actual del entorno local puerto del HOST 122 178 172 19 7777 puerto de escucha 147 22 71 3 7775 permitidas host gt lt puerto host gt lt ip local gt lt puerto local gt ip Permitida 1 2 ip Permitida n lt ip host gt Obligatorio Direccion IP del Host lt puerto host gt Obligatorio Puerto del Host lt ip local gt Obligatorio Direccion IP Local de escucha lt puerto local gt Obligatorio Puerto de escucha local ip Permitida n Opcional Ips permitidas Indra Todos los derechos reservados EPR41USIA doc 26 09 2007 Pag 4 3 Manual de Instalaci n y usuario 4 EDitran Proxy EN UNIX Y WINDOWS Dentro de ste comando existe un par metro opcional Aps permitidas que nos permiten limitar las direcciones desde las que se puede utilizar EDltran Proxy en nuestra red 4 7 Direcciones IP sin traza Pueden existir dentro de una organizaci n herramientas de monitorizaci n de la red como HP Openview Service Monitoring Daemon LANsurveyor pMonitor Estos sistemas intentan de forma peri dica conectarse con un servicio en alguna m quina de red para comprobar si ste continua todav a activo y aceptando conexiones Para evitar que se llene el fichero ediproxyth out de informaci n que no deseamos sobre estos sistemas existe la posibilidad de crear un fich
9. DE LA TRAZA EDITRAN 4 1 COMENTARIO 000099930000000010PRUEBA 000099930000000010PRUEBA 000099930000000010PRUEBA 000099930000000010PRUEBA 000099930000000010PRUEBA 000099930000000010PRUEBA 000099930000000010PRUEBA 000099930000000010PRUEBA 000099930000000010PRUEBA 000099930000000010PRUEBA 000000000000000000000000 000099930000000010000001 000099930000000010000001 000099930000000010000001 000099930000000010000001 000099930000000010000001 31 01 05 09 20 33 SESION FECHA HORA S CLA C NSM 31 01 09 12 05 S E00 31 01 09 12 07 E E00 31 01 09 12 07 S X00 31 01 09 12 08 E X00 31 01 09 12 29 E SAB 31 01 09 12 29 S E11 31 01 09 12 31 E E11 31 01 09 12 31 S X11 31 01 09 12 31 S CLO 31 01 09 12 32 E X11 31 01 09 12 33 E CON 31 01 09 12 33 E TAK 31 01 09 12 33 S X00 31 01 09 12 34 E X00 31 01 09 12 34 E SAP 31 01 09 12 34 S SAR CONSULTA DE LA TRAZA PETICION DE CONEXION PETICION DE CONEXION INDICACION CONEXION INDICACION CONEXION LIBERACION POR OPERADOR PETICION LIBERACION PETICION LIBERACION INDICACION LIBERACION CIERRA CONEXION TCP INDICACION LIBERACION INDICACION CONEXION TCP ACEPTA CONEX TCP PROXY INDICACION CONEXION INDICACION CONEXION PETICION SESION REMOTA ACEPTACION PET SESION EDITRAN 4 1 COMENTARIO 000099930000000010PRUEBA 000099930000000010PRUEBA 000099930000000010PRUEBA 000099930000000010PRUEBA 000099930000000010PRUEBA 000099930000000010PRUEBA 000099930000000010000001 000099930000000010000001 0
10. EDItran Proxy 4 1 CICS IMS Windows UNIX Manual de instalaci n y usuario Indra Enero 2005 EPR41USIA doc Indra La informaci n aqu contenida puede ser objeto de cambios sin previo aviso Las distintas versiones del producto pueden dar lugar a cambios adiciones o supresiones de informaci n en este manual La correspondencia acerca de este manual debe realizarse en la hoja de comentarios aqu incluida y debe ser dirigida a Indra Producto EDItran Avda de Bruselas 35 Edificio VIO 1 28108 Arroyo de la Vega Alcobendas Madrid Comentarios de usuario sobre esta documentaci n Exprese y h ganos llegar su opini n y comentarios acerca de la documentaci n entregada y as podremos corregirla en las posteriores versiones de este documento Indra Producto EDItran Proxy 4 1 CICS IMS Manual de instalaci n y usuario Referencia EPR41USIA doc Avda de Bruselas 35 Arroyo de la Vega Alcobendas 28108 MADRID Empresa Departamento Contacto Direcci n Manual de Instalaci n y usuario Indice 1 INTRODUCCION Y REQUERIMIENTOS iia 1 1 2 DEFINICIONES Y CAMBIOS 08 390 1 Z OS cccccccccccconononcnonononinocoonconccnccnnccncnccconcnonenononoconccocccncccnccncnnnos 2 1 2 NERSON CES eee e EEE a a e EEEE 2 1 Adsl DEFINICIONES AE E E A E E A E alo 2 1 Z d 2 CAMBIOS EN EDINO ruau a a a aaa a a e ER 2 1 2 1 3 DAA A e EAE E A EE T 2 4 2 1 4 Mensajes de error x amp O0 y liberaci n xA Ii dd 2 4 e A
11. ET SOCKET 00000 NRO ERROR 000000 TCPNAME TCPIPB5 IP ORIGEN 172 022 071 120 IP PROXY 172 022 164 069 31 01 2005 09 10 59 35 000000000000000000000000 E CON MENSAJE CONEXION SOCKET 00001 NRO ERROR LISTENER KI0E8A2L PUERTO 07777 IP REMOTA 172 022 071 120 31 01 2005 09 10 59 35 000099930000000010PRUEBA E TAK CALL TAKESOCKET SOCKET 00000 NRO ERROR 000000 TCPNAME TCPIPB5 IP ORIGEN 172 022 071 120 Indra Todos los derechos reservados EPR41USIA doc 26 09 2007 31 01 05 GESTOR DEL EDITRAN EDITRAN 09 12 40 CONSULTA DE LA TRAZA 4 1 CODIGO LOCAL CODIGO REMOTO APLICACION 31 01 05 GESTOR DEL EDITRAN EDITRAN 09 11 16 CONSULTA DE LA TRAZA 4 1 CODIGO LOCAL CODIGO REMOTO APLICACION 2 DEFINICIONES Y CAMBIOS 0S 390 Z OS Pag 2 6 Manual de Instalaci n y usuario Mensaje saliente para sesi n con proxy 31 01 2005 09 19 57 44 000099930000000010000001 S CON CALL CONNECT SOCKET 00001 NRO ERROR 000036 TCPNAME TCPIPB5 IP DESTINO 172 022 071 120 0777 7 IP PROXY 172 022 164 069 07777 31 01 2005 09 19 57 59 000099930000000010000001 S X00 X00000099930000000010000001L 03 31 01 2005 09 19 56 97 000099930000000010PRUEBA S CON CALL CONNECT SOCKET 00000 NRO ERROR 000036 TCPNAME TCPIPB5 IP DESTINO 172 022 071 120 0777 7 31 01 2005 09 19 57 16 000099930000000010PRUEBA S X00 X00000099930000000010PRUEBAL 01 Indra Todos los derechos reservados EPR41USIA doc 26 09 2007 31 01 05 GESTOR DEL EDITRAN EDI
12. En este caso se crean cola ts ZIBPEDPR MULT colas TS ZTBH MMSS minutos segundos spaces con datos sobre escrituras y lecturas de la red a ser analizados por INDRA 2 1 3 BACKUP El sistema de backup en caso de que falle una llamada es el siguiente Dir ip proxy local 1 1 Dir ip remota 1 Dir ip proxy local 1 1 Dir ip remota 2 Dir ip proxy local 1 1 Dir ip remota 3 Dir ip proxy local 2 1 Dir ip remota 1 Dir ip proxy local 2 1 Dir ip remota 2 Dir ip proxy local 2 1 Dir ip remota 3 Dir ip proxy local 3 1 Dir ip remota 1 Dir ip proxy local 3 1 Dir ip remota 2 Dir ip proxy local 3 1 Dir ip remota 3 2 1 4 Mensajes de error xQ00y liberaci n xA30 Consulte el manual IP41USIC cics Indra Todos los derechos reservados EPR41USIA doc 26 09 2007 Pag 2 4 Manual de Instalaci n y usuario 2 2 Versi n IMS 2 DEFINICIONES Y CAMBIOS 0S 390 Z OS Se requiere la misma instalaci n que para EDiltran TCP Para ver las definiciones consulte el manual IP41USII Los par metros afectados de los perfiles de EDitran P se enumeran en el citado manual y est n descritos en el manual de usuario de EDitran P consulte el manual EP41USU I En la consulta de la traza se han introducido nuevos mensajes que permiten identificar las sesiones que utilizan el proxy pero que son an logos a los mensajes que aparecen cuando se utiliza TCP nativo 31 01 05 09 13 00 SESION CONSULTA
13. R PR de forma que se sepa que este listener va a atender a este tipo de conexiones Si se dispone de EDitran TCP se definir otro listener asociado a otro puerto y otra transid con el mismo programa con SECEXIT EDITRAN EZAC y ALTER y LISTENER APPLID gt BMCIDATR APPLID of CICS System TRANID gt ZTBA Transaction Name of Listener PORT gt 07777 Port Number of Listener IMMEDIATE gt NO Immediate Startup Yes No BACKLOG gt 020 Backlog Value for Listener NUMSOCK gt 100 Number of Sockets in Listener MINMSGL gt 004 Minimum Message Length ACCTIME gt 060 Timeout Value for ACCEPT GIVTIME gt 010 Timeout Value for GIVESOCKET REATIME gt 000 Timeout Value for READ FASTRD gt YES Read Immediately Yes No TRANTRN gt NO Translate TRNID Yes No TRANUSR gt NO Translate User Data Yes No SECEXIT gt EDITR PR Name of Security Exit FASTRD DESAPARECE EN VERSIONES ALTAS DE ZOS En CICS ADEMAS de todos los programas EDitran TCP IP deben darse de alta los programas ZTBPO203 y ZTBPOTPR DEFINE PROGRAM ZTBPO203 GROUP EDITRAN LANGUAGE COBOL DATALOCATION ANY DEFINE PROGRAM ZTBPOTPR GROUP EDITRAN LANGUAGE COBOL DATALOCATION ANY 2 1 2 CAMBIOS EN EDItran P CAMPOS NUEVOS EDltran P PERFILES Para ver las definiciones consulte el manual ED41USUC cap tulo 1 3 1 cics Vea las pantallas de entorno local segunda pantalla y sesi n primera pantalla En el registro de entorn
14. S N exit 1 Ea fi for PROCESO in S PROC STAR do startproc SPROCESO done statusproc ediproxyth LE JE S 0 then echo Sistema EDItran PX arrancado exit 0 else echo S B Sistema EDItran PX NO ARRANCADOS N exit 1 fa 5EOp echo Deteniendo sistema EDItran PX for PROCESO in SPROC STOP do stopproc PROCESO done statusproc editranp eS 0 MENA echo B Sistema EDItran PX NO DETENIDOS 1NF exit 0 else echo Sistema EDItran PX detenido exit 1 fi status echo Estado sistema EDItran PX statusproc ediproxyth e 1 052 0 le Een echo S1 B S1stema EDItran PX arrancados N Indra Todos los derechos reservados EPR41USIA doc 26 09 2007 Pag 4 7 Manual de Instalaci n y usuario 4 EDitran Proxy EN UNIX Y WINDOWS exit 0 else echo Sistema EDItran PX detenido exit 1 El exit 0 gt printf Usage Ss t f start stop statusin 0 PELACE NE EAE Trazan printf Nt f Xt Tgnora otro EDItran PX arrancadoin printf tstart t Arranca el sistema EDItran PXin printf tstop t Detiene el sistema EDItran PXin printf tstatus t Obtiene el estado del sistema EDItran PXin exit 1 esac Indra Todos los derechos reservados EPR41USIA doc 26 09 2007 Pag 4 8 BARCELONA Avda Diagonal 218 3 08018 BARCELONA BILBAO Henao 4 4A 48001 BILBAO MADRID Avda de Bruselas 35 Arroyo de la Vega Alcobendas 28108 MADRID SEVILLA Avda San Francisco Javier 22 6 41018 SEVILLA
15. TR ORIN aa O O E E A 2 5 3 CARACTER STICAS PRINCIPALES sesesesesesossesesesesesesesesosescssceosseocsesercsesesssescsoeseecsesesesesesosesoseeeeosssoee 3 1 Jk MUELA TA FORM Acertar eaa a e EON Oae e a S a lle 3 1 Dala OPTIMIZACI N M OETI CAREADING kenu A A E E 3 1 J AIMCO A A io 3 1 io DOMB IN O AAA A AAA AAA AE AAA AA A RR 3 1 JD DEGURIDA Dina tr a aaa 3 1 XO VALIDACION DE PROTOCOLO E DITRAN 0 A aS 3 1 Js GENERACION DE SYSLOG ia coat 3 2 4 EDITRAN PROXY EN UNIX Y WINDOWS eeseesessessoseoseosessesecseoseosessossoosoosossossossossosossossoseosessessessoseoso 4 1 Act INSTALACI N DE EDITRAN PROXY EN UN DSi 4 1 4 2 INSTALACI N DE EDITRAN PROXY EN WINDOWS ooccoccnnccncconocnnccnnconoconiconncnnronarcnncnnronanonnrnnncnnccnnccnnocancnnss 4 1 4 3 CONFIGURACI N DE EDITRAN PROXY WINDOWS occnoccnnccncconocnnccnnconoconaconconccnnconnconccnnccnnononcnnoccnocnnacnncnnos 4 1 4 4 ARRANQUE Y PARADA WINDOWS 00 aii 4 1 ASe NOPFICACIONES Y LOG o ia 4 1 4 5 1 SOEC AS NAS MS a 4 2 4 6 CONFIGURACI N DE EDITRAN PROXY WINDOWS Y UNIX ococccnccnnccnoconoconocnnnonoconconaconccnnrcnnonononnrcnnaconocunonoss 4 2 As DIRECCIONES TE SIN TRAZA id tad Ad AAA 4 4 A IDIAGNOSTICOS DE LIBERACION A e Ads 4 4 A9 ARRANQUE Y PARADA UNIX a da le o da a a a A ta ea O 4 5 Indra Todos derechos reservados EPR41USIA doc 26 09 2007 Pag 1 1 EDitran Proxy 4 1 CICS IMS 1 INTRODUCCION Y REQUERIMIENTOS 1 INTRODUCCION Y REQUERIMIENTOS ED
16. TRAN 09 21 09 CONSULTA DE LA TRAZA 4 1 CODIGO LOCAL CODIGO REMOTO APLICACION 31 01 05 GESTOR DEL EDITRAN EDITRAN 09 21 28 CONSULTA DE LA TRAZA 4 1 CODIGO LOCAL CODIGO REMOTO APLICACION 2 DEFINICIONES Y CAMBIOS 0S 390 Z OS Pag 2 7 Manual de Instalaci n y usuario 3 Caracter sticas principales 3 Caracter sticas principales La implantaci n cada vez m s amplia del protocolo TCP IP en EDitran viene asociada a nuevas necesidades que surgen a ra z de la utilizaci n de Internet Internet aporta un gran n mero de ventajas a la comunicaci n entre extremos pero tambi n a ade una serie de incertidumbres como por ejemplo es el tema de seguridad de las comunicaciones Aqu surge la necesidad de utilizar productos como firewalls que nos permitan controlar en lo posible las incertidumbres de seguridad y de otros productos como EDitran PX espec ficamente desarrollado para EDitran y que evitar la mayor a de los ataques de DoS Denegaci n de Servicio bombing mintiendo as el HOST de los posibles peligros de situarlo en la zona desmilitarizada A continuaci n se detallar n algunas de las caracter sticas que hacer a EDItran PX un elemento imprescindible en una red p blica TCP IP 3 1 MultiPlataforma EDitran PX est disponible para los sistemas operativos Windows de Microsoft y para sistemas operativos UNIX como Solaris Linux Permitiendo de sta manera elegir la plataforma adecuada a cada necesidad
17. VALENCIA Col n 60 46004 VALENCIA
18. XT para indicar el n mero de transid CICS 4 En algunos casos aparecen unos d gitos que se corresponden con el CNID identificador de aplicaci n en caso de solicitud de llamada para que devuelva lo mismo en llamada aceptada 5 Otros tipos de mensaje son x0OF llamada aceptada x 30 liberaci n y x200 error adem s del propio x B que si tiene sentido S significa solicitud de llamada 6 En caso de EDitran Proxy la clave de mensaje es ETT Si seleccionamos el mensaje anterior traza expandida vemos el contenido completo de la llamada entrante entre otras cosas aparecen los campos anteriormente descritos x B x 5E3E34008s la clave de TT XOB indica sol lla X0EF30 es el puerto EDitran PROXY de windows unix 3827 X00FDGes el identificador del n mero de tarea 253 X B8 lndica el tipo de conexi n Y XOF0es la longitud de datos de usuario 15 X amp 0 0A son los datos de usuario x25 X 1F7 F6 es la ip de EDltran PROXY de windows unix 172 022 164 076 Xd E69 es el puerto remoto 7779 X6E2F3F0F0C2 en ebcdic OS390B es el DNS asociado a la ip final remoto 16 06 2004 CONSULTA DE FICHEROS EDITRAN 4 1 08 43 19 CONSULTA DE TRAZA SESION TRAZA SOODI SOOTI EDIPR1 FECHA SSAAMMDD 20040616 HORA HHMMSS 083258 ENTRADA SALIDA E O A A A A A PS A O AOS PS AE C5E3E3400B00000EF300FD00000000000000000000D70000000000000000000FC0A3300000 9999304544495458310A00000000000000000000000000000000000
19. ar que lleguen al EDitran interno conexiones que no cumplan el protocolo haciendo de sta manera un trabajo previo y liberando a EDitran del mismo Indra Todos los derechos reservados EPR41USIA doc 26 09 2007 Pag 3 1 Manual de Instalaci n y usuario 3 Caracter sticas principales 3 7 Generaci n de Syslog EDitran PX dispone de un sistema de generaci n de log propio y tambi n utiliza el syslog del sistema que permite almacenarlo o enviar el mismo log a otra m quina Para m s detalles consultar el apartado 4 5 Indra Todos los derechos reservados EPR41USIA doc 26 09 2007 Pag 3 2 Manual de Instalaci n y usuario 4 EDitran Proxy EN UNIX Y WINDOWS 4 EDitran Proxy EN UNIX Y WINDOWS Los elementos necesarios para el correcto funcionamiento del sistema EDitran Proxy en los entornos UNIX WINDOWS son e Protocolo TCP IP instalado e Software EDitran Proxy instalado y con licencia de uso 4 1 Instalaci n de EDltran Proxy en UNIX En los entornos UNIX el Software EDiltran Proxy se distribuye como un fichero tar comprimido con GNU Zip Por ejemplo si se ha recibido el fichero ediproxy sparc sun solaris tar gz deber ejecutar lo siguiente gunzip ediproxy sparc sun solaris tar gz tar xfediproxy sparc sun solaris tar 4 2 Instalaci n de EDItran Proxy en WINDOWS En Windows se proporciona un programa de instalaci n Para llevar a cabo la instalaci n se debe seleccionar el bot n de INICIO y al desplegarse el
20. citud de llamada X0B aceptaci n XOF y liberaci n X13 El socket es el n mero de tarea CICS y la lu es el puerto local remoto dependiendo de si es llamada entrante saliente Se incluye un mensaje x20 para visualizar errores consulte el log con causa diagn stico La documentaci n sobre ERRNO RETCODE y mensajes de error en la TCPCICS proporcionados por las macros utilizadas para SOCKET EXTENDIDOS se encuentra disponible en el ap ndice C del manual IBM TCP IP for MVS CICS TCP IP Socket Interface Guide and Reference Document Number SC31 7131 03 Program number 5655 HAL File Number S370 4300 30xx 50 Ver tambi n Document Number SC31 8518 00 Si no aparece el errno correspondiente puede que el error se trate de OS390 V2R5 OPEN EDITION de modo que venga en F1AF9000 IP Planning and Migration Guide 16 06 2004 CONSULTA DE FICHEROS EDITRAN 4 1 08 33 02 CONSULTA DE TRAZA SESION FECHA 16 06 2004 SEL SESION HORA S MSJE NSM LU T COMENTARIO SOODI SOOTI EDIPR1 083230 S STC T O DE CONEXION SOODI SOOTI EDIPR1 083230 S ETT 07777 OB 0002 SOODI SOOTI EDIPR1 083233 E ETT 07777 OF 00D8 0002 SOODI SOOTI EDIPR1 083233 S SAP PET NOTIFICACION 00 SOODI SOOTI EDIPR1 083233 S STN T O DE NOTIFICACION SOODI SOOTI EDIPR1 083237 E SAR RESP NOTIFICACION 00 SOODI SOOTI EDIPR1 083249 E E11 PETICION LIBERACION SOODI SOOTI EDIPR1 083249 S SAB SOL LIBERACION 02 SOODI SOOTI EDIPR1 083249 E ETT 07777 13 00D8 0000 00 OF S SOODI SOOTI EDIPR 083258 E ETT 03827 OB 0O
21. ecutar el comando ediproxyth 2 gt nombre de fichero de log 4 6 Configuraci n de EDIltran Proxy Windows y UNIX Una vez instalado es necesario establecer algunos par metros necesarios para el funcionamiento del EDitran Proxy Para ello se proporciona el siguiente comando que hay que ejecutar antes de arrancar el sistema por primera vez confproxy V4 1 R4 Aug 26 2004 Copyright C 1991 2004 INDRA No hay entorno local definido Forma de uso confproxy lt ip host gt lt puerto host gt lt ip local gt lt puerto local gt ip Permitida 1 ip Permitida 2 ip Permitida n donde lt ip host gt Obligatorio Direccion IP del Host lt puerto host gt Obligatorio Puerto del Host lt ip local gt Obligatorio Direccion IP Local de escucha lt puerto local gt Obligatorio Puerto de escucha local ip Permitida n Opcional Ips permitidas Ejemplo Con una red con las direcciones que se muestran en el siguiente gr fico los par metros fa pasar al comando confproxy seria confproxy 122 178 172 19 7777 147 22 71 3 7775 Indra Todos los derechos reservados EPR41USIA doc 26 09 2007 Pag 4 2 Manual de Instalaci n y usuario 4 EDitran Proxy EN UNIX Y WINDOWS Sn INTERNET EDitran Proxy IP 147 22 71 3 Puerto 7775 0S 390 z OS IP 122 178 172 19 Puerto 7777 Si se ejecuta el comando si ning n par metro veremos la configuraci n actual confproxy V4 1 R4 Aug 26 2004 Copyright C
22. ero con una serie de direcciones TCP IP de las que no deseamos que aparezca su actividad en la traza de EDitran PX De esta manera podemos incluir en un fichero todas las direcciones TCP IP donde tengamos sistemas de monitorizaci n y evitaremos llenar el fichero de ediproxyth out de l neas carentes de informaci n til Las direcciones TCP IP de las que no se desea traza se deben introducir cada una en una l nea en el fichero pnotraza cfg en el directorio donde se encuentre instalado EDitran PX Puede no existir el fichero pnotraza cfg en este caso el fichero ediproxyth out contendr toda la informaci n A continuaci n se muestra el contenido de un fichero pnotraza cfg que contiene dos lps 172 22 168 23 y 172 22 168 24 de las que no se desea traza en el fichero ediproxyth out 172 22 168 23 172 22 168 24 4 8 Diagn sticos de Liberaci n A continuaci n se muestran los c digos de liberaci n de EDitran PX Error al enviar datos al remoto Se ha recibido un Close del remoto Se ha recibido un Error del remoto IP de origen no permitida Los datos de Usuario Encapsulados no son correctos No son correctos los datos de Usuario Se ha llegado al l mite de conexiones simultaneas La longitud de los Datos de Usuario es incorrecta No se ha podido resolver el dns del remoto Indra Todos los derechos reservados EPR41USIA doc 26 09 2007 Pag 4 4 Manual de Instalaci n y usuario 4 EDitran Proxy EN UNIX
23. estino EDitran Proxy mantiene abierto el socket del host y conecta un segundo socket con el extremo remoto Desde ese momento pasa a encaminar los datos de un socket a otro En llamadas entrantes al monitor de teleproceso los extremos finales llaman a la direcci n IP y puerto habilitados en EDitran Proxy a trav s de un socket le env an Indra Todos los derechos reservados EPR41USIA doc 26 09 2007 Pag 1 2 EDitran Proxy 4 1 CICS IMS 1 INTRODUCCION Y REQUERIMIENTOS unos datos de usuario EDitran Si EDitran Proxy reconoce el formato de los mismos abre un segundo socket con el monitor de teleproceso direcci n IP y puerto del z OS le pasa los datos de usuario y la informaci n de la IP y puerto remoto Desde ese momento pasa a encaminar los datos de un socket a otro EDitran Proxy si detecta errores TCP IP le proporciona los elementos de diagn stico errno y retcode al monitor de teleproceso para informarle e Utilizando EDitran TCP EDitran Proxy en local los extremos remotos pueden tener cualquiera de las siguientes configuraciones EDitran TCP EDitran TCP EDitran Proxy e Pueden existir hasta 3 EDitran Proxy en la DMZ para ello se indicar en EDitran P del Z OS hasta 3 direcciones IP del servidor Proxy De esta forma se consigue que se pueda hacer backup en caso de llamada saliente por ejemplo si alguno de los servidores Proxy est ca do balanceo de carga indicando a un grupo 1 de remotos q
24. iendo de la configuraci n Indra Todos los derechos reservados EPR41USIA doc 26 09 2007 Pag 4 1 Manual de Instalaci n y usuario 4 EDitran Proxy EN UNIX Y WINDOWS EDitranPX genera una salida por cada conexi n y desconexi n que se realiza a trav s de l adem s tambi n genera informaci n de arranques paradas Adem s para permitir de una forma sencilla controlar esa s lida va redirigida a log del sistema o syslog Los mensajes que se env an con un nivel de error LOG_NOTICE Para poder administrar donde se reciben esos mensajes hay que editar el fichero etc syslog conf 4 5 1 Syslog en sistemas Windows El sistema operativo Windows no posee la funcionalidad de syslog sin embargo existe mucho software creado para poder recoger y almacenar la salida que se pueda generar hacia el syslog por ejemplo la compa a haneWin dispone de un servidor gratuito de syslog en htto www hanewin net syslog e htm o bien la compa a Kiwi Enterprises dispone del producto Kiwi Syslog Daemon tambi n gratu to en http www kiwisyslog com syslog info php Desde un sistema Windows podremos decidir enviar el syslog a un sistema UNIX o bien a un servidor syslog Windows para ello hay que editar o crear el fichero syslog cfg en el mismo directorio donde se encuentra instalado EDItranPX y escribir la direcci n IP de la m quina destino del syslog Si se desea obtener esta informaci n en un fichero se arrancar EDiltran Proxy como proceso y se ej
25. itran Proxy es una utilidad software que se implementa junto con EDitran TCP y sirve para dotar a ste ltimo de mayor seguridad y control En el esquema siguiente se presenta un dise o b sico de conexiones IP en z OS con accesos controlados por 2 cortafuegos normalmente de distinta tecnolog a Sin embargo en dicho esquema aparecen fos situaciones de funcionamiento distinto ambas con EDitran corriendo bajo TCP IP en el monitor de teleproceso e Que todos los datos EDitran incluso conexiones tomen el camino Mmormald es decir en ambos sentidos el camino ser a z OS Router Firewall Firewall red IP remoto Esta ser a la situaci n normal con EDitran TCP e Que todos los datos EDitran incluso conexiones tomen en ambos sentidos el camino z OS Router Firewall Proxy EDitran Firewall red IP remoto Esta ser a la situaci n con EDitran TCP incluyendo EDitran Proxy software que corre en Proxy EDitran Proxy EDltran es una m quina Windows UNIX o Linux que est ubicada en la DMZ de la entidad a gt INTERNET Servidor Web Servidor PROX Gateway Externo SMTP EDitran de correo Red interna En la primera situaci n cuando se trabaja sin EDitran Proxy se plantean una serie de inconvenientes Indra Todos los derechos reservados EPR41USIA doc 26 09 2007 Pag 1 1 EDitran Proxy 4 1 CICS IMS 1 INTRODUCCION Y REQUERIMIENTOS El host no est aislado del exterior De alguna manera es visto directamente desde l
26. o con EDitran Proxy son los siguientes EDitran Proxy es un software que corre en la DMZ en concreto en Proxy EDitran adem s hay un software que corre tambi n en el monitor de teleproceso No se trata de un segundo EDitran intermedio Se trata de un software que act a como controlador y como pasarela de datos EDitran Proxy requiere EDitran TCP en el host Se contrata de forma independiente a ste ltimo y es en definitiva un software hardware que a ade seguridad a las transmisiones EDitran En este sentido en caso de que a EDitran Proxy le llegue una llamada externa extremo remoto EDI no EDI le deben llegar adem s unos datos de usuario EDitran con formato reconocido Sl no le llegan no los reconoce EDitran Proxy cierra el socket que le abrieron desde el exterior sin que el EDitran del monitor de teleproceso se percate ni resienta de nadao Las caracter sticas de la transmisi n con EDitran Proxy son El host z OS tambi n 0OS 390 dialoga a trav s de TCP IP con software EDitran Proxy que corre en m quinas WINDOWS NT 2000 UNIX SOLARIS AIX HP y Linux EDitran Proxy dialoga con los extremos finales en una conexi n distinta a la anterior pero en la misma transmisi n de datos no en una segunda transmisi n En llamadas salientes desde el monitor de teleproceso ste proporciona a EDitran Proxy la informaci n TCP IP necesaria para que se conecte al extremo remoto direcci n IP y puerto d
27. o local se definen e Las direcciones IP hasta 3 de el los proxys locales Sirven para 2 cosas o En caso de llamada saliente el CICS establece una conexi n con dicho proxy local y le acaba pasando la ip destino Se hacen backup de proxy local de la misma forma que se har a con x25 Por ejemplo si hay m s de 1 y est ca do se asegura as que la conectividad con el remoto se har con el segundo el tercero o En caso de llamada entrante se valida la direcci n ip del proxy que nos pasa la llamada si as se especifica en el registro de sesi n Indra Todos los derechos reservados EPR41USIA doc 26 09 2007 Pag 2 1 Manual de Instalaci n y usuario 2 DEFINICIONES Y CAMBIOS OS 390 Z OS e APITCP e TCPNAME e TIME OUT USER DATA MAX MSS e NRO CONEX SIMULT LISTENER En cuanto al registro de sesi n se definir lo siguiente e TIPO DE CONEXION Y EDitran PR siempre en el extremo local Si el remoto no tiene proxy en su perfil el tipo de conexi n ser I TCP P Si el remoto tiene a su vez un proxy ambos extremos codifican Y e LINEAS REMOTAS TCP IP Direcci n ip y puerto de la m quina REMOTA no la del proxy e TC No es obligatorio Si se pone s lo sirve cuando vers editran remota lt 4 1 deben codificarse tantos como direcciones proxy en entorno local CONSULTA DE LA TRAZA Se ha implementado un protocolo de mensajes de red que es f cilmente interpretable por su similitud a X25 con soli
28. os extremos finales Los firewall router deben ser administrados constantemente Cuando una entidad remota nos da su direcci n IP normalmente la deberemos habilitar Cuando esa entidad cambia de IP deberemos refrescarla Lo mismo ocurre con los puertos remotos en caso de que se controlen A su vez cuando cambian las IP internas z 0s requiere frefrescar esos cambios Toda esta situaci n de mantenimiento se complica con el uso generalizado de NAT En la segunda situaci n cuando se trabaja con EDitran Proxy se da soluci n a las incertidumbres anteriores El host queda aislado del exterior Su nica conexi n y transmisi n de datos posible queda relegada al intercambio en ambos sentidos de datos entre z OS router firewall Proxy EDitran Para que esos datos lleguen a la entidad remota o sean recibidos desde la entidad remota se habilita una segunda v a Servidor proxy firewall red IP remoto No se trata de una doble transmisi n de datos como se explicar despu s Los mantenimientos y administraci n de router firewall son m nimos A los extremos finales se les proporciona la IP y puerto de escucha del Proxy EDitran de forma que s lo conocen dicha IP Esto permite fhabilitar la totalidad de la red externa para que s lo se acceda al proxy El EDiltran Proxy s lo habilitar una conexi n con el host cuando est seguro de que en el extremo final dialoga un EDitran Las caracter sticas y elementos del EDitran trabajand
29. ue llamen al servidor Proxy 1 a un grupo 2 que llamen al servidor Proxy 2 y a un grupo 3 que llamen al Proxy 3 En esta situaci n se notificar a los grupos para que coloquen en distinto orden las IP de los distintos Proxy por ejemplo al grupo 3 se le dar la IP del servidor Proxy 2 para que la coloque en segunda posici n y la IP del servidor proxy 1 para que la coloque en tercera posici n y as haga backup llamando a Proxy 2 en caso de que Proxy 3 est ca do por Proxy 1 en caso de que Proxy 2 y 3 est n ca dos S lo en CICS e EDitran puede funcionar simult neamente con varios tipos de conexi n X25 TCP IP TX y Proxy es decir puede tener simult neamente una sesiones conectadas por X25 otras por LU 6 2 otras contra PAD privados otras contra PAD p blicos otras contra TCP IP nativo otras por TCP contra remotos X25 y otras contra TCP IP a trav s de un proxy e Requiere versi n EDitran P remota gt 4 0 ambos extremos deben tener al menos EDitran 4 1 EDItran Pasarela 1 n EDItran Pasarela remota EDItran Indra Todos los derechos reservados EPR41USIA doc 26 09 2007 Pag 1 3 Manual de Instalaci n y usuario 2 DEFINICIONES Y CAMBIOS OS 390 Z OS 2 DEFINICIONES Y CAMBIOS 0S 390 Z OS 2 1 Versi n CICS 2 1 1 DEFINICIONES Para realizar las definiciones consulte el manual IP41USIC cics excepto Definici n del fichero EZACONFG Al definir el listener se especificar SECEXIT EDIT
Download Pdf Manuals
Related Search