Tải bản đầy đủ (.docx) (69 trang)
  1. Trang chủ
    2. >>
  2. Công Nghệ Thông Tin
    3. >>
  3. Quản trị mạng

Nghiên cứu, triển khai hệ thống giám sát an

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (6.91 MB, 69 trang )

TRƯỜNG ĐẠI HỌC CÔNG NGHIỆP THỰC PHẨM TP.HCM
KHOA CÔNG NGHỆ THƠNG TIN
BỘ MƠN AN TỒN THƠNG TIN
---------------o0o---------------

BÁO CÁO ĐỒ ÁN

TÊN ĐỀ TÀI

Nghiên cứu, triển khai hệ thống giám sát an
ninh mạng mã nguồn mở Zabbix
GVHD: Thầy Vũ Đức Thịnh
SVTH: Nguyễn Tấn Tài
LỚP: 09DHBM3
MSSV: 2033181063
SVTH: Lâm Châu An
LỚP: 09DHBM2
MSSV: 2033180125

Tp Hồ Chí Minh, Tháng 6/2020

1


Mục Lục
LỜI CẢM ƠN................................................................................................................... 5
NHẬN XÉT CỦA GIẢNG VIÊN....................................................................................6
ĐÁNH GIÁ....................................................................................................................... 7
LỜI MỞ ĐẦU................................................................................................................... 8
CHƯƠNG I. GIỚI THIỆU HỆ THỐNG GIÁM SÁT MẠNG.....................................9
1.



Giám sát mạng.................................................................................................................9
a.

Các khái niệm cơ bản................................................................................................................9

b.

Chức năng...................................................................................................................................9

c.

Những yếu tố cơ bản trong việc giám sát hệ thống mạng...................................................10

d.

Các thành phần, thiết bị cần giám sát...................................................................................10

e.

Ý nghĩa của việc giám sát mạng.............................................................................................10

f.

Lợi ích........................................................................................................................................12

g.

Tầm quan trọng của giám sát mạng......................................................................................12


2.

Quy tắc xây dựng hệ thống giám sát mạng.................................................................13

3.

Các giải pháp và ứng dụng của các công cụ giám sát mạng phổ biến......................15

CHƯƠNG II. PROTOCOL MONITORING NETWORK.........................................17
1.

Phương thức Poll và Alert [1]......................................................................................17
a.

Phương thức Poll......................................................................................................................17

b.

Phương thức Alert....................................................................................................................17

c.

So Sánh hai phương thức Alert và Poll.................................................................................18

2.

Giao thức SNMP [2]......................................................................................................20
a.

SNMP là gì?..............................................................................................................................20


b.

Thành phần của SNMP...........................................................................................................20

c.

Cơ chế hoạt động của SNMP..................................................................................................23

d.

Cơ chế bảo mật.........................................................................................................................24

e.

Ưu điểm.....................................................................................................................................24

f.

Các phiên bản của SNMP.......................................................................................................25

3.

Giao thức Netflow.........................................................................................................25
a.

Netflow là gì?............................................................................................................................25

b.


Thành phần của Netflow.........................................................................................................25

c.

Cơ chế hoạt động của Netflow................................................................................................26

2


CHƯƠNG III. CÁC PHẦM MỀM GIÁM SÁT MẠNG MÃ NGUỒN MỞ PHỔ
BIẾN................................................................................................................................ 30
1.

Nagios.............................................................................................................................30

2.

Cacti................................................................................................................................31

3.

Icinga..............................................................................................................................32

4.

OpenNMS......................................................................................................................33

CHƯƠNG IV. PHẦN MỀM GIÁM SÁT ZABBIX MÃ NGUỒN MỞ [3].................35
1.


Zabbix là gì?..................................................................................................................35

2.

Thành phần kiến trúc của Zabbix...............................................................................35

3.

Ưu điểm..........................................................................................................................35

4.

Nhược điểm....................................................................................................................36

5.

Tính năng của Zabbix...................................................................................................36

6.

Cơ chế hoạt động...........................................................................................................38

7.

Cấu trúc thư mục..........................................................................................................38

8.

Mơ hình triển khai........................................................................................................39
a.


Mơ hình phân tán.....................................................................................................................39

b.

Mơ hình tập trung....................................................................................................................40

9.

Các khái niệm tùy chọn trong zabbix..........................................................................40

CHƯƠNG V. CÀI ĐẶT CÁC THÀNH PHẦN ZABBIX LINUX...............................42
1.

Zabbix Server................................................................................................................42

2.

Zabbix Agent.................................................................................................................50
2.1.

Cài đặt zabbix agent trên router........................................................................................50

2.2.

Cài đặt zabbix agent trên Linux........................................................................................56

2.3.

Cài đặt zabbix agent trên Windows Server......................................................................59


CHƯƠNG VI. THỰC NGHIỆM TRÊN MƠ HÌNH VÀ THỬ NGHIỆM GIÁM SÁT
......................................................................................................................................... 63
1.

Mơ hình..........................................................................................................................63

2.

Triển khai và thử nghiệm tính năng............................................................................64
a.

Tạo group..................................................................................................................................64

b.

Thiết lập host............................................................................................................................64

c.

Cài đặt trigger..........................................................................................................................64

d.

Lập Templates dễ dàng quản lí...............................................................................................65

e.

Encryption bằng pre-shared key............................................................................................65


3


3.

Vận hành giám sát.........................................................................................................67
a.

Giám sát lưu lượng mạng........................................................................................................67

b.

Giám sát tài nguyên CPU........................................................................................................67

c.

Giám sát tài nguyên memory..................................................................................................68

d.

Giám sát Firewall Pfsense.......................................................................................................68

e.

Đặt cảnh báo.............................................................................................................................69

KẾT LUẬN..................................................................................................................... 72
TÀI LIỆU THAM KHẢO.............................................................................................72

4



Ngày nay một mơ hình doanh nghiệp là rất lớn nên việc kiểm tra bảo trì khắc phục
sự cố sẽ khơng cịn là kịp thời nữa. Đi cùng với những lợi ích khi phát triển hạ tầng mạng
như băng thơng cao, khối lượng dữ liệu trong mạng lớn, đáp ứng được nhu cầu của người
dùng, hệ thống mạng phải đối đầu với rất nhiều thách thức như các cuộc tấn cơng bên
ngồi,Một trong những giải pháp hữu hiệu nhất để giải quyết vấn đề này là thực hiện việc
giải pháp giám sát mạng, dựa trên những thông tin thu thập được thơng qua q trình
giám sát. Vì vậy chúng em lựa chọn đề tài này để nghiên cứu, để hiểu được tầm quan
trọng của việc giám sát mạng hiện nay.

5


CHƯƠNG I. GIỚI THIỆU HỆ THỐNG GIÁM SÁT MẠNG

1. Giám sát mạng
a. Các khái niệm cơ bản
Giám sát mạng là việc giám sát, theo dõi và ghi nhận những luồng dữ liệu
mạng, từ đó sử dụng làm tư liệu để phân tích mỗi khi có sự cố xảy ra.
Hệ thống giám sát mạng (Network montoring) là hệ thống giám sát các
sự cố, hiêu năng, tình trạng của các thiết bị và máy tính trong hệ thống mạng.
Hệ thống bao gồm một phần mềm ghi nhận thông tin và giúp người quan trị hệ
thống có thể ghi nhận, theo dõi các thơng tin thơng qua nó. Phần mềm này cịn
có khả năng gởi các thông báo, các cảnh báo cho người quản trị hệ thống biết
khi có nguy cơ sự cố hoặc có sự cố đang diển ra thơng qua hệ thống SMS,
email… các dịch vụ gởi tin nhắn (messenger) qua internet.
Phần mềm giám sát hệ thống mạng phổ biến hiện nay.
- Nagios, Cati, OpenNMS, Icinga, Netdata, …
- Các công cụ trả phí khác như: Paessler PRTG, NetCrunch, Site24x7,

Atera, ….
b. Chức năng
- Cảnh báo qua Web, Email và SMS khi phát hiện tấn công vào hệ thống
mạng.
- Báo động bằng âm thanh và SMS khi một host (Server, Router,
Switch…) hoặc một dịch vụ mạng ngưng hoạt động.
- Giám sát lưu lượng mạng qua các cổng giao tiếp trên Router, Switch,
Server… hiển thị qua các đồ thị trực quan, thời gian thực. Giám sát lưu
lượng giữa các thiết bị kết nối với nhau một cách trực quan

6


c. Những yếu tố cơ bản trong việc giám sát hệ thống mạng
Để việc giám sát mạng đạt hiệu quả cao nhất, cần xác định các yếu tố cốt lõi
của giám sát mạng như:
- Các đơn vị, hệ thống, thiết bị, dịch vụ cần giám sát.
- Các trang thiết bị, giải pháp, phần mềm thương mại phục vụ giám sát.
- Xác định các phần mềm nội bộ và phần mềm mã nguồn mở phục vụ giám
sát.
- Xác định các thiết bị, cơng cụ, giải pháp hỗ trợ phân tích kết quả giám sát:
cơng cụ NMAP, TCPDUMP, Wireshark, Nessus...
- Ngồi các trang thiết bị, cơng cụ, giải pháp hỗ trợ thì yếu tố con người và
đặc biệt là quy trình phục vụ giám sát là vô cùng quan trọng.
d. Các thành phần, thiết bị cần giám sát
Trong hệ thống mạng, người ta thường giám sát các thiết bị như các server,
switch, router, firewall, tổng đài và điện thoại VoIP, máy in, tất cả các thiết bị
có hỗ trợ giám sát.
e. Ý nghĩa của việc giám sát mạng
Ngày nay, việc áp dụng công nghệ vào các doanh nghiệp trở nên phổ biến

hơn bao giờ hết. Trong hầu hết các trường hợp, việc các thiết bị, mạng và hệ
thống hoạt động tốt cũng trở thành chìa khóa giúp cho doanh nghiệp hoạt động
hiệu quả.
Tuy nhiên, ngay cả khi công nghệ là yếu tố thiết yếu trong cơng việc của
một cơng ty, điều đó khơng có nghĩa là nó ln ln hoạt động an toàn và đúng
cách. Những lỗi làm phát sinh các sự cố nghiêm trọng có thể xuất hiện bất cứ
lúc nào. Do cơ sở hạ tầng máy tính đóng vai trị vô cùng quan trọng, cho nên
chúng ta cần phải kiểm sốt hoạt động chính xác của nó, để khi xảy ra lỗi
không gây ảnh hưởng đến các dịch vụ được cung cấp cho người dùng. Để phát

7


hiện và ngăn chặn các sự cố, hãy sử dụng một một hệ thống giám sát
(monitoring system). Các hệ thống giám sát chịu trách nhiệm kiểm sốt cơng
nghệ được cơng ty sử dụng (bao gồm: phần cứng, mạng, thông tin liên lạc, hệ
điều hành, ứng dụng, ...). Hệ thống giám sát sẽ phân tích hoạt động và hiệu
suất của cơng nghệ, đồng thời phát hiện và cảnh báo về các lỗi có thể xảy ra.
Một hệ thống giám sát tốt giúp tăng năng suất. Điều này được thể hiện
thông qua một số khía cạnh sau đây:
- Cải thiện việc sử dụng phần cứng thơng qua việc kiểm sốt hoạt động.
Ví dụ, nếu một máy tính khơng hoạt động đúng, hệ thống giám sát sẽ phát
hiện, đưa ra thông báo, đưa ra quyết định sửa chữa hoặc thay thế.
- Ngăn ngừa sự cố và khi những sự cố này xảy ra, chúng được phát hiện
nhanh hơn, giúp tiết kiệm thời gian và tiền bạc.
- Bạn không cần dành quá nhiều thời gian để quản lý bởi vì đã có hệ
thống giám sát chịu trách nhiệm theo dõi hệ thống
Giám sát là một hoạt động rất rộng và phức tạp, tuy nhiên, hệ thống giám
sát thường có một số tính năng phổ biến như sau:
- Phân tích trong thời gian thực: một hệ thống tốt sẽ cung cấp việc giám sát

liên tục, khơng có độ trễ, hoặc độ trễ tối thiểu.
- Hệ thống cảnh báo: khi một sự cố cụ thể xảy ra, một thông báo được tạo
và được gửi đến đúng người. Thơng báo có thể được cấu hình các điều kiện
kích hoạt (ví dụ: đĩa cứng đạt dung lượng tối đa).
- Thông báo bằng nhiều cách khác nhau (email, SMS, ...) đến đúng người.
- Trực quan hóa đồ họa: để thuận tiện cho việc phân tích dữ liệu, cơng cụ
giám sát sẽ tạo ra các biểu đồ về dữ liệu khá thân thiện và dễ hiểu.
- Sản xuất báo cáo: hệ thống giám sát cho phép bạn tạo báo cáo, các dữ liệu
phục vụ cho hoạt động của doanh nghiệp.
- Có sẵn bản ghi: tạo một bản ghi của các giám sát trước sẽ giúp bạn so
sánh hiệu quả hoạt động của hệ thống. Giúp doanh nghiệp dễ dàng đưa ra
các biện pháp trong tương lai, chẳng hạn như mua phần cứng mới.

8


- Khả năng cài đặt các plug-in: Cài đặt thêm các plug-in nhằm đáp ứng tối
đa các nhu cầu của doanh nghiệp.
- Phân biệt theo loại người dùng: dữ liệu được truy cập bởi mỗi người
dùng sẽ khác nhau tùy thuộc vào các qùn có sẵn.
f. Lợi ích
-Dự đốn và ngăn chặn sự cố từ mạng
-Giảm thời gian sửa chữa khi gặp sự cố mạng
-Phát hiện các mối đe dọa bảo mật
-Quản lý các vấn đề kỹ thuật một cách dễ dàng
g. Tầm quan trọng của giám sát mạng
Giám sát mạng thực sự là một việc rất cần thiết trong cơng việc. Khơng chỉ
bởi tính an tồn và bảo mật dữ liệu, giám sát mạng có thể giúp doanh nghiệp
tiết kiệm chi phí sửa chữa, giảm thiểu thời gian chết của hệ thống khi gặp sự
cố, đảm bảo tính thơng suốt trong tồn hệ thống. Những tiêu chí dưới đây sẽ

giải thích rõ hơn vì sao giám sát mạng lại là một phần quan trọng đối với các
doanh nghiệp:
- Tính bảo mật: Đảm bảo các thông tin không bị lộ ra ngoài. Là một trong
những phần quan trọng của giám sát mạng, tính năng này sẽ theo dõi những
biến động trong hệ thống mạng và cảnh báo cho quản trị viên biết khi có sự cố
xảy ra kịp thời. Thơng qua màn hình giám sát, người quản trị có thể xác định
được vấn đề khả nghi và tìm cách giải quyết phù hợp nhất cho vấn đề đó.
- Khả năng xử lý sự cố: Khả năng này là một trong các lợi thế của giám sát
mạng. Tiết kiệm thời gian chẩn đốn sai lệch trong mạng, giám sát viên có thể
biết chính xác thiết bị nào đang có vấn đề và xử lý nó một cách nhanh nhất
trước khi người dùng mạng phát hiện.

9


- Tiết kiệm thời gian và tiền bạc: Nếu không có phần mềm giám sát thì sẽ
mất nhiều thời gian để tìm kiếm và sửa lỗi hệ thống mà lẽ ra chỉ mất vài giây
để sửa lỗi đó. Điều này khơng chỉ tốn thêm chi phí mà cịn làm giảm năng suất
lao động. Ngược lại, nhờ có phần mềm giám sát, vấn đề sẽ nhanh chóng được
tìm ra và xử lý hiệu quả, có thể tập trung nhiều hơn vào công việc khác, lợi
nhuận công ty cũng gia tăng.
- Lập kế hoạch thay đổi: Với giám sát mạng, giám sát viên có thể theo dõi
được thiết bị nào sắp hỏng và cần phải thay mới. Giám sát mạng cho người
giám sát khả năng lên kế hoạch sẵn và dễ dàng tạo ra thay đổi cần thiết cho hệ
thống mạng.
2. Quy tắc xây dựng hệ thống giám sát mạng
Mơ Hình FCAPS (Fault Configuration Accounting Performance Security)
Một trong những quy tắc khi thiết kế hệ thống giám sát là tn theo mơ
hình FCAPS. “Theo tiêu chuẩn của ISO (International Standard Organization), mơ
hình được phân loại thành 5 chức năng chính, đó là chức năng quản lý lỗi (Fault

management), quản lý cấu hình (Configuration management), quản lý kế toán
(Accounting management), quản lý hiệu năng (Performance management) và quản
lý bảo mật (Security management)”.
- Quản lý lỗi: Hạng mục này có thể thực hiện quá trình ghi nhận, cơ lập và xử lý
lỗi xảy ra trên mạng. Việc xác định những vấn đề tiềm ẩn trong mạng cũng do
hạng mục này đảm nhiệm.
- Quản lý cấu hình: Giúp thu thập và lưu trữ các cấu hình của vơ số thiết bị, bao
gồm việc lần ra những thay đổi cấu hình trên thiết bị, góp phần quan trọng trong
việc chủ động quản trị và giám sát mạng.

10


- Quản lý kế toán: Thường áp dụng cho các nhà cung cấp dịch vụ mạng. Trong hệ
thống mạng, công việc này được thay bằng việc quản lý người dùng mạng, nói
cách khác, quản trị viên sẽ cấp cho người dùng mật khẩu, quyền để vào mạng.
- Quản lý hiệu năng: Quản lý toàn bộ hiệu năng của mạng, tốc độ trùn, thơng
lượng trùn, những gói tin bị mất, thời gian phản hồi, v.v. và thường sử dụng
bằng giao thức SNMP.
- Quản lý bảo mật: Là một hoạt động rất quan trọng trong quản trị mạng. Quản lý
bảo mật trong FCAPS bao gồm q trình kiểm sốt truy cập tài nguyên trên mạng,
kèm theo các dữ liệu, cấu hình và bảo vệ thông tin người dùng
Báo Cáo và cảnh báo
Công việc của giám sát mạng là thu thập dữ liệu từ các thành phần mạng và
xử lý, trình bày chúng dưới dạng mà quản trị viên có thể hiểu - tiến trình này được
gọi là báo cáo. Báo cáo giúp quản trị viên biết được hiệu suất của các nút mạng,
trạng thái mạng hiện tại. Với các dữ liệu từ bản báo cáo, quản trị viên có thể đưa ra
quyết định về việc quản lý dung lượng, bảo trì mạng, xử lý sự cố hay bảo mật
mạng.
Tuy nhiên, việc làm này khơng giúp quản trị viên bảo trì mạng ở hiệu suất

cao. Vì thế, việc tạo các cảnh báo dựa trên ngưỡng cùng các điểm kích hoạt sẽ là
nhân tố bổ sung giúp các nhà quản trị xác định các vấn đề có thể xảy ra trước khi
nó gây sụp đổ tồn hệ thống.
Tích hợp lưu trữ dữ liệu
Hệ thống giám sát thu thập và dùng dữ liệu từ các thành phần mạng cho
các chức năng liên quan. Trong khi đó, mạng vẫn tiếp tục giám sát để đảm bảo vấn
đề sẽ được phát hiện trước khi mạng bị sập. Việc tiếp tục cơng việc như vậy sẽ tích
lũy một lượng lớn dữ liệu và nó có thể làm chậm hiệu suất, tác động đến không
gian lưu trữ dữ liệu hay làm chậm việc xử lý sự cố, giám sát hệ thống sử dụng dữ

11


liệu tích hợp là để tránh những việc như vậy xảy ra. Tích hợp dữ liệu là một q
trình thu thập dữ liệu theo thời gian đã được tổng hợp và gói gọn để dữ liệu trở
thành dạng chi tiết. Mức độ chi tiết của bản báo cáo được tạo ra bởi dữ liệu tích
hợp sẽ phụ thuộc vào mơ hình mà hệ thống được tích hợp. Dữ liệu sẽ được lấy
trung bình theo thời gian và đưa vào bảng dữ liệu chi tiết, điều này giúp hệ thống
giám sát tạo ra các bản báo cáo về các nút có thể kéo dài khoảng thời gian trong
mạng mà không gây ra các vấn đề về hiệu suất hay không gian lưu trữ.
3. Các giải pháp và ứng dụng của các công cụ giám sát mạng phổ biến.
Hệ thống giám sát mạng có thể được xây dựng theo một trong ba giải pháp sau:
 Giải pháp quản lý thông tin an ninh: tập trung thu thập, lưu trữ và biểu diễn
nhật ký.
 Giải pháp quản lý sự kiện an ninh: tập trung xử lý, phân tích các nhật ký đã
được thu thập để đưa ra cảnh báo cho người dùng.
 Giải pháp quản lý và phân tích sự kiện an ninh: là sự kết hợp của hai giải
pháp trên nhằm khắc phục những hạn chế vốn có.
Mơ hình của giải pháp quản lý và phân tích sự kiện an ninh gồm 3 thành phần:
 Thu thập nhật ký an toàn mạng bao gồm các giao diện thu thập nhật ký trực

tiếp từ các thiết bị, ứng dụng và dịch vụ. Thành phần này có tính năng:
 Thu thập tồn bộ dữ liệu toàn bộ nhật ký từ các nguồn thiết bị, ứng dụng.
 Kiểm sốt băng thơng và khơng gian lưu trữ thông qua khả năng lưu giữ và
chọn lọc dữ liệu nhật ký.
 Phân tách từng sự kiện và chuẩn hóa các sự kiện vào một lược đồ chung.
 Tích hợp các sự kiện để giảm thiểu số lượng các sự kiện gửi về thành phần
phân tích và lưu trữ.
 Chuyển toàn bộ các sự kiện đã thu thập về thành phần phân tích và lưu trữ.
Thành phần phân tích và lưu trữ bao gồm các thiết bị lưu trữ dung lượng lớn,
cung cấp khả năng tổng hợp và phân tích tự động. Tính năng:
 Kết nối với các thành phần thu thập nhật ký để tập hợp nhật ký tập trung và
tiến hành phân tích, so sánh tương quan.
 Module phân tích sẽ được hỗ trợ bởi các luật (định nghĩa trước) cũng như
khả năng tùy biến, nhằm đưa ra kết quả phân tích chính xác nhất.
 Các nhật ký an tồn mạng được tiến hành phân tích, so sánh tương quan
theo thời gian thực nhằm đưa ra cảnh báo tức thời cho người quản trị.

12


 Hỗ trợ kết nối đến các hệ thống lưu trữ dữ liệu.
Thành phần quản trị mạng tập trung:
 Cung cấp giao diện quản trị tập trung cho toàn bộ hệ thống giám sát an toàn
mạng.
 Hỗ trợ sẵn hàng nghìn mẫu báo cáo, các giao diện theo dõi, điều kiện lọc.
 Hỗ trợ các công cụ cho việc xử lý các sự kiện an toàn mạng xảy ra trong hệ
thống.
Các thành phần khác:
 Gồm các thành phần cảnh báo, hệ thống Dashboard theo dõi thông tin, các
báo cáo đáp ứng tiêu chuẩn quản lý hoặc thành phần lưu trữ dữ liệu lâu dài.

 Chi phí sử dụng. Tùy theo chính sách và trang thiết bị hạ tầng, hệ thống
mạng thực tế của từng doanh nghiệp mà người người quản trị sẽ quyết định
sử dụng phần mềm phù hợp với hệ thống giám sát của mình.
Đối với các doanh nghiệp lớn: đã xây dựng nền tảng hạ tầng sử dụng các thiết bị
của các hãng lớn như Cisco, HP thì nên ưu tiên sử dụng các giải pháp phần mềm
giám sát của các hãng này như HP Network Node Manager, Cisco Works… để
nhận được sự hỗ trợ tốt nhất từ các chuyên gia của hãng.
Đối với các doanh nghiệp vừa và nhỏ: với khoản kinh phí ít hơn, thì việc ưu tiên
sử dụng các phần mềm giám sát mã nguồn mở là điều cần thiết. Các phần mềm
này được nhiều tổ chức cộng đồng mã nguồn mở phát triển với tính năng giám sát
mạnh, nhận diện các vấn đề trước khi phát sinh, khả năng tùy biến cao và được
cung cấp hồn tồn miễn phí.

13


CHƯƠNG II. PROTOCOL MONITORING NETWORK
1. Phương thức Poll và Alert [1]
Đây là 2 phương thức cơ bản của các kỹ thuật giám sát hệ thống, nhiều phần
mềm và giao thức được xây dựng dựa trên 2 phương thức này.
a. Phương thức Poll
Nguyên tắc hoạt động: Trung tâm giám sát (manager) sẽ thường xuyên hỏi
thông tin của thiết bị cần giám sát (device). Nếu Manager khơng hỏi thì Device
khơng trả lời, nếu Manager hỏi thì Device phải trả lời. Bằng cách hỏi thường
xuyên, Manager sẽ luôn cập nhật được thông tin mới nhất từ Device.

Ví dụ: Người quản lý cần theo dõi khi nào thợ làm xong việc. Anh ta cứ
thường xuyên hỏi người thợ “Anh đã làm xong chưa?”, và người thợ sẽ trả lời
“Xong” hoặc “Chưa”
b. Phương thức Alert

Nguyên tắc hoạt động: Mỗi khi trong Device xảy ra một sự kiện (event) nào
đó thì Device sẽ tự động gửi thông báo cho Manager, gọi là Alert. Manager
không hỏi thông tin định kỳ từ Device.

14


Ví dụ: Người quản lý cần theo dõi tình hình làm việc của thợ, anh ta yêu
cầu người thợ thông báo cho mình khi có vấn đề gì đó xảy ra. Người thợ sẽ
thông báo các sự kiện đại loại như “Tiến độ đã hoàn thành 50%”, “Mất điện
lúc 10h”, “Có điện lại lúc 11h”, “Mới có tai nạn xảy ra”.
 Device chỉ gửi những thơng báo mang tính sự kiện chứ không gửi những
thông tin thường xuyên thay đổi, nó cũng sẽ khơng gửi Alert nếu chẳng có
sự kiện gì xảy ra. Chẳng hạn khi một port down/up thì Device sẽ gửi cảnh
báo, còn tổng số byte truyền qua port đó sẽ khơng được Device gửi đi vì đó
là thông tin thường xuyên thay đổi. Muốn lấy những thông tin thường
xuyên thay đổi thì Manager phải chủ động đi hỏi Device, tức là phải thực
hiện phương thức Poll.
c. So Sánh hai phương thức Alert và Poll
Hai phương thức Poll và Alert là hoàn toàn khác nhau về cơ chế. Một ứng
dụng giám sát có thể sử dụng Poll hoặc Alert, hoặc cả hai, tùy vào yêu cầu cụ thể
trong thực tế.
Poll
Có thể chủ động lấy những thơng tin

Alert
Tất cả những event xảy ra đều được

cần thiết từ các đối tượng mình quan


gửi về Manager. Manager phải có cơ

tâm, khơng cần lấy những thông tin

chế lọc những event cần thiết, hoặc

không cần thiết từ những nguồn

Device phải thiết lập được cơ chế chỉ

khơng quan tâm.
Có thể lập bảng trạng thái tất cả các

gửi những event cần thiết.
Nếu khơng có event gì xảy ra thì

thơng tin của Device sau khi poll qua Manager không biết được trạng thái
một lượt các thông tin đó. VD

của Device. VD Device có một port

Device có một port down và

down và Manager được khởi động

Manager được khởi động sau đó, thì

sau đó, thì Manager sẽ khơng thể biết

Manager sẽ biết được port đang


được port đang down.

down sau khi poll qua một lượt tất cả
các port.

15


Trong trường hợp đường truyền giữa

Khi đường truyền gián đoạn và

Manager và Device xảy ra gián đoạn

Device có sự thay đổi thì nó vẫn gửi

và Device có sự thay đổi, thì

Alert cho Manager, nhưng Alert này

Manager sẽ khơng thể cập nhật. Tuy

sẽ không thể đến được Manager. Sau

nhiên khi đường trùn thơng suốt

đó mặc dù đường trùn có thơng

trở lại thì Manager sẽ cập nhật được


suốt trở lại thì Manager vẫn khơng

thơng tin mới nhất do nó ln ln

thể biết được những gì đã xảy ra.

poll định kỳ.
Chỉ cần cài đặt tại Manager để trỏ

Phải cài đặt tại từng Device để trỏ

đến tất cả các Device. Có thể dễ dàng đến Manager. Khi thay đổi Manager
thay đổi một Manager khác.

thì phải cài đặt lại trên tất cả Device

Nếu tần suất poll thấp, thời gian chờ

để trỏ về Manager mới.
Ngay khi có sự kiện xảy ra thì

giữa 2 chu kỳ poll (polling interval)

Device sẽ gửi Alert đến Manager, do

dài sẽ làm Manager chậm cập nhật

đó Manager ln ln có thơng tin


các thay đổi của Device. Nghĩa là

mới nhất tức thời.

nếu thông tin Device đã thay đổi
nhưng vẫn chưa đến lượt poll kế tiếp
thì Manager vẫn giữ những thơng tin
cũ.
Có thể bỏ sót các sự kiện : khi

Manager sẽ được thơng báo mỗi khi

Device có thay đổi, sau đó thay đổi

có sự kiện xảy ra ở Device, do đó

trở lại như ban đầu trước khi đến

Manager khơng bỏ sót bất kỳ sự kiện

lượt poll kế tiếp thì Manager sẽ

nào.

khơng phát hiện được.
Vậy Nên Chọn Poll hay Alert?
Hai phương thức Poll và Alert có điểm thuận lợi và bất lợi ngược nhau, do đó
nhiều trường hợp ta nên sử dụng kết hợp cả Poll lẫn Alert để đạt được hiệu quả kết
hợp của cả hai.


16


Các ví dụ ứng dụng cơ chế Poll & Alert:
+ Giao thức Syslog: mỗi khi có sự kiện xảy ra thì thiết bị sẽ gửi bản tin syslog đến
Syslog Server.
+ Phần mềm NetworkView, giám sát tình trạng các server bằng cách ping liên tục.
+ Giao thức STP, phát hiện loop trong mạng bằng cách gửi nhận các gói BPDU và
gửi bản tin Topology change mỗi khi phát hiện thay đổi.
+ Trong quản lý người ta luôn thực hiện song song chế độ kiểm tra và báo cáo,
thường xuyên kiểm tra để phát hiện vấn đề và báo cáo ngay khi xảy ra vấn đề.
2. Giao thức SNMP [2]
a. SNMP là gì?
SNMP dùng để quản lý mạng, nghĩa là nó được thiết kế để chạy trên nền
TCP/IP và quản lý các thiết bị có nối mạng TCP/IP. Các thiết bị mạng
khơng nhất thiết phải là máy tính mà có thể là switch, router, firewall, adsl
gateway, và cả một số phần mềm cho phép quản trị bằng SNMP. Giả sử bạn
có một cái máy giặt có thể nối mạng IP và nó hỗ trợ SNMP thì bạn có thể
quản lý nó từ xa bằng SNMP.
SNMP là giao thức đơn giản, do nó được thiết kế đơn giản trong cấu trúc
bản tin và thủ tục hoạt động, và còn đơn giản trong bảo mật (ngoại trừ
SNMP version 3). Sử dụng phần mềm SNMP, người quản trị mạng có thể
quản lý, giám sát tập trung từ xa tồn mạng của mình.
b. Thành phần của SNMP
Theo RFC1157, kiến trúc của SNMP bao gồm 2 thành phần: các trạm quản
lý mạng (network management station) và các thành tố mạng (network
element).
Network management station thường là một máy tính chạy phần mềm quản
lý SNMP (SNMP management application), dùng để giám sát và điều khiển
tập trung các network element.


17


Hình b.1 minh họa giao thức snmp

Network element là các thiết bị, máy tính, hoặc phần mềm tương thích
SNMP và được quản lý bởi network management station. Như vậy element bao
gồm device, host và application.
Một management station có thể quản lý nhiều element, một element cũng
có thể được quản lý bởi nhiều management station. Vậy nếu một element được
quản lý bởi 2 station thì điều gì sẽ xảy ra ? Nếu station lấy thơng tin từ element
thì cả 2 station sẽ có thơng tin giống nhau. Nếu 2 station tác động đến cùng
một element thì element sẽ đáp ứng cả 2 tác động theo thứ tự cái nào đến
trước.
Ngoài ra cịn có khái niệm SNMP agent. SNMP agent là một tiến trình
(process) chạy trên network element, có nhiệm vụ cung cấp thơng tin của
element cho station, nhờ đó station có thể quản lý được element. Chính xác
hơn là application chạy trên station và agent chạy trên element mới là 2 tiến
trình SNMP trực tiếp liên hệ với nhau. Các ví dụ minh họa sau đây sẽ làm rõ
hơn các khái niệm này :
+ Để dùng một máy chủ
(= station) quản lý các
máy con (= element)
chạy HĐH Windows
thơng qua SNMP thì bạn
phải : cài đặt một phần
mềm quản lý SNMP (=
application) trên máy chủ, bật SNMP service (= agent) trên máy con.


18


+ Để dùng một máy chủ (= station) giám sát lưu lượng của một router (=
element) thì bạn phải : cài phần mềm quản lý SNMP (= application) trên máy
chủ, bật tính năng SNMP (= agent) trên router.
Object ID
Một thiết bị hỗ trợ SNMP có thể cung cấp nhiều thơng tin khác nhau, mỗi
thơng tin đó gọi là một object.
Ví dụ :
+ Máy tính có thể cung cấp các thơng tin : tổng số ổ cứng, tổng số port nối
mạng, tổng số byte đã truyền/nhận, tên máy tính, tên các process đang chạy,
….
+ Router có thể cung cấp các thơng tin : tổng số card, tổng số port, tổng số byte
đã truyền/nhận, tên router, tình trạng các port của router, ….
Mỗi object có một tên gọi và một mã số để nhận dạng object đó, mã số gọi là
Object ID (OID). VD:
+ Tên thiết bị được gọi là sysName, OID là 1.3.6.1.2.1.1.5 4.
+ Tổng số port giao tiếp (interface) được gọi là ifNumber, OID là
1.3.6.1.2.1.2.1.
+ Địa chỉ Mac Address của một port được gọi là ifPhysAddress, OID là
1.3.6.1.2.1.2.2.1.6.
+ Số byte đã nhận trên một port được gọi là ifInOctets, OID là
1.3.6.1.2.1.2.2.1.10.
Một object chỉ có một OID, chẳng hạn tên của thiết bị là một object. Tuy nhiên
nếu một thiết bị lại có nhiều tên thì làm thế nào để phân biệt? Lúc này người ta
dùng thêm 1 chỉ số gọi là “scalar instance index” (cũng có thể gọi là “sub-id”)
đặt ngay sau OID. Ví dụ:
+ Tên thiết bị được gọi là sysName, OID là 1.3.6.1.2.1.1.5; nếu thiết bị có 2 tên
thì chúng sẽ được gọi là sysName.0 & sysName.1 và có OID lần lượt là

1.3.6.1.2.1.1.5.0 & 1.3.6.1.2.1.1.5.1.

19


+ Địa chỉ Mac address được gọi là ifPhysAddress, OID là 1.3.6.1.2.1.2.2.1.6;
nếu thiết bị có 2 mac address thì chúng sẽ được gọi là ifPhysAddress.0 &
ifPhysAddress.1 và có OID lần lượt là 1.3.6.1.2.1.2.2.1.6.0 &
1.3.6.1.2.1.2.2.1.6.1.
+ Tổng số port được gọi là ifNumber, giá trị này chỉ có 1 (duy nhất) nên OID
của nó khơng có phân cấp con và vẫn là 1.3.6.1.2.1.2.1.
Ở hầu hết các thiết bị, các object có thể có nhiều giá trị thì thường được viết
dưới dạng có sub-id. VD một thiết bị dù chỉ có 1 tên thì nó vẫn phải có OID là
sysName.0 hay 1.3.6.1.2.1.1.5.0. Bạn cần nhớ quy tắc này để ứng dụng trong
lập trình phần mềm SNMP manager.
Sub-id không nhất thiết phải liên tục hay bắt đầu từ 0. VD một thiết bị có 2
mac address thì có thể chúng được gọi là ifPhysAddress.23 và
ifPhysAddress.125645.
OID của các object phổ biến có thể được chuẩn hóa, OID của các object do bạn
tạo ra thì bạn phải tự mô tả chúng. Để lấy một thông tin có OID đã chuẩn hóa
thì SNMP application phải gửi một bản tin SNMP có chứa OID của object đó
cho SNMP agent, SNMP agent khi nhận được thì nó phải trả lời bằng thơng tin
ứng với OID đó.
c. Cơ chế hoạt động của SNMP

Có 2 nhân tố chính trong SNMP: Manager và Agent. Các SNMP agent sẽ
giữ một sơ sở dữ liệu, được gọi là Management Information Base (MIB), trong đó
chứa các thông tin khác nhau về hoạt động của thiết bị mà agent đang giám sát.
Phần mềm quản trị SNMP Manager sẽ thu thập thông tin này qua giao thức SNMP.


20


d. Cơ chế bảo mật
Một SNMP management station có thể quản lý/giám sát nhiều SNMP
element, thông qua hoạt động gửi request và nhận trap. Tuy nhiên một SNMP
element có thể được cấu hình để chỉ cho phép các SNMP management station
nào đó được phép quản lý/giám sát mình.
Các cơ chế bảo mật đơn giản này gồm có: community string, view và
SNMP access control list.
Community string là một chuỗi ký tự được cài đặt giống nhau trên cả
SNMP manager và SNMP agent, đóng vai trị như “mật khẩu” giữa 2 bên khi
trao đổi dữ liệu. Community string có 3 loại: Read-community, WriteCommunity và Trap-Community.
Một view phải gắn liền với một community string. Tùy vào community
string nhận được là gì mà agent xử lý trên view tương ứng.
SNMP access control list là một danh sách các địa chỉ IP được phép quản
lý/giám sát agent, nó chỉ áp dụng riêng cho giao thức SNMP và được cài trên
agent. Nếu một manager có IP khơng được phép trong ACL gửi request thì
agent sẽ khơng xử lý, dù request có community string là đúng. Đa số các thiết
bị tương thích SNMP đều cho phép thiết lập SNMP ACL.
e. Ưu điểm
Ưu điểm trong thiết kế của SNMP

21


SNMP được thiết kế để đơn giản hóa q trình quản lý các thành
phần trong mạng. Nhờ đó các phần mềm SNMP có thể được phát triển
nhanh và tốn ít chi phí
SNMP được thiết kế để có thể mở rộng các chức năng quản lý, giám

sát. Khơng có giới hạn rằng SNMP có thể quản lý được cái gì. Khi có một
thiết bị mới với các thuộc tính, tính năng mới thì người ta có thể thiết kế
“custom” SNMP để phục vụ cho riêng.
SNMP được thiết kế để có thể hoạt động độc lập với các kiến trúc và
cơ chế của các thiết bị hỗ trợ SNMP. Các thiết bị khác nhau có hoạt động
khác nhau nhưng đáp ứng SNMP là giống nhau.
f. Các phiên bản của SNMP
SNMP có 4 phiên bản: SNMPv1, SNMPv2c, SNMPv2u và SNMPv3. Các
phiên bản này khác nhau một chút ở định dạng bản tin và phương thức hoạt
động. Hiện tại SNMPv1 là phổ biến nhất do có nhiều thiết bị tương thích nhất
và có nhiều phần mềm hỗ trợ nhất. Trong khi đó chỉ có một số thiết bị và phần
mềm hỗ trợ SNMPv3.
3. Giao thức Netflow
a. Netflow là gì?
NetFlow là một tính năng cung cấp khả năng thu thập lưu lượng mạng IP
khi nó vào hoặc ra một interface. Bằng cách phân tích dữ liệu do NetFlow cung
cấp, quản trị viên mạng có thể xác định những thứ như nguồn và đích của lưu
lượng, loại dịch vụ và nguyên nhân gây ra tắc nghẽn. Một thiết lập giám sát
dịng chảy điển hình (sử dụng NetFlow).
b. Thành phần của Netflow
-Thành phần chính của NetFlow:

22


+ Flow exporter: tổng hợp các gói thành các luồng và xuất các bản ghi
luồng tới một hoặc nhiều bộ thu luồng.
+ Flow collector: chịu trách nhiệm tiếp nhận, lưu trữ và xử lý trước dữ liệu
dòng nhận được từ bộ xuất dịng.
+ Analysis application: phân tích dữ liệu luồng nhận được trong bối cảnh

phát hiện xâm nhập hoặc lập hồ sơ lưu lượng, chẳng hạn.
c. Cơ chế hoạt động của Netflow
+ Creating a flow (Tạo luồng)
Luồng “flow” là cách nhóm một chuỗi các gói tin “packets” một chiều vào
thành một gói tin lớn cụ thể. Các gói tin được hình thành này có thể được cấu hình
dựa trên các thuộc tính “attributes” phù hợp trong mỗi gói bao gồm:
IP Source:

IP nguồn

IP Destination:

IP đích

Source Port:

Cổng nguồn

Destination Port:

Cổng đích

Class of Service:

Loại dịch vụ

Layer 3 Protocol Type:
Interface:

Loại giao thức 3 lớp

Giao diện

Khi mỗi gói được chuyển tiếp, các thuộc tính trên được kiểm tra. Luồng
được tạo ra bởi gói đầu tiên “first packet” đi qua đường chuyển mạch tiêu chuẩn.
Mỗi gói bổ sung “additional packet” có cùng tham số (IP nguồn và đích, địa chỉ,
cổng nguồn và đích, loại dịch vụ) được nhóm thành một luồng duy nhất. Bất kỳ sự
thay đổi nào về giá trị của bất kỳ một trong số các tham số đều tạo ra một luồng
mới.

23


Các bộ định tuyến Cisco cao cấp hỗ trợ NetFlow lấy mẫu trong đó chỉ một
trong số một số gói nhất định được kiểm tra. Điều này được sử dụng trên các bộ
định tuyến nơi việc kiểm tra mọi gói là không thực tế do lưu lượng truy cập lớn.
Các luồng được lấy mẫu làm giảm đáng kể tác động đến hiệu suất khi gửi thông
tin

về

luồng.

+ NetFlow cache (Bộ nhớ đệm NetFlow)
Việc giám sát “monitoring” và nhóm “grouping” mọi gói tin được chuyển
tiếp bởi bộ định tuyến hoặc bộ chuyển mạch sẽ tạo ra rất nhiều dữ liệu. Dữ liệu
này được cô đọng thành một cơ sở dữ liệu trong thiết bị mạng được gọi là bộ
đệm NetFlow Cache. Một bản ghi luồng “Flow record” được giữ cho mỗi luồng
hoạt động. Dữ liệu hết hạn và sau đó được xuất từ bộ nhớ cache sang máy chủ thu
thập NetFlow theo các khoảng thời gian đều đặn dựa trên bộ đếm thời gian của
luồng “Flow timers”. Bộ đệm NetFlow Cache được kiểm tra mỗi giây theo mặc

định.

+ NetFlow export:
Các luồng được nhóm lại để xuất thành một khối dữ liệu gọi là “NetFlow
Export datagram”. Mỗi khối dữ liệu Datagram bao gồm tối đa 30 luồng. Theo
Cisco, NetFlow Export tiêu chuẩn sử dụng khoảng 1,5% tổng lưu lượng truy cập
chuyển mạch được phân tích.
+ NetFlow Record (bản ghi Netflow):
Bản ghi Flow Record của NetFlow Version 9 dựa trên mẫu. Điều đó có
nghĩa là các cải tiến trong tương lai có thể được đáp ứng mà không cần phải thay
đổi bản ghi flow record cơ bản. Định dạng bản ghi được xác định bởi một tiêu đề
gói “packet header”, theo sau là ít nhất một template FlowSet và data
FlowSet. Template FlowSet cung cấp mơ tả về những gì sắp có trong Data
FlowSets. Đây là điều cho phép khả năng mở rộng của bản ghi. Thay vì xác định

24


trước trong một đặc tả dữ liệu nào sẽ đến và ở đâu, định nghĩa đó được thực hiện
trong chính gói tin.
Tiêu đề gói “packet header” về cơ bản giống như trong Phiên bản 5. Ngồi
ra, nó cịn chứa số phiên bản của gói “version number for the packet”, thời gian
hoạt động của hệ thống “system uptime” (tính bằng mili giây), số thứ tự và Source
ID.
+ NetFlow collector (Bộ thu thập dữ liệu Netflow)
Dữ liệu NetFlow data được báo cáo định kỳ cho bộ thu thập dữ liệu NetFlow
collector. Bộ thu thập dữ liệu là một máy chủ hoặc máy tính khác chạy phần mềm
NetFlow Receiver Software được thiết kế để thu thập “gather”, ghi lại “record”,
lọc “filter” và phân tích “analyze” các luồng kết quả, chẳng hạn như Paessler’s
PRTG NetFlow Analyzer. Phần mềm thu thập dữ liệu “collector software” phải hỗ

trợ phiên bản NetFlow giống như máy chủ xuất. Ví dụ: để giám sát một bộ định
tuyến Cisco sử dụng NetFlow version 5, người ta sẽ cần sử dụng cảm biến
NetFlow V5 Sensor trong PRTG Network Monitor. Đối với một bộ định tuyến sử
dụng NetFlow version 9, người ta sẽ cần cảm biến NetFlow V9 Sensor. Cả hai
cảm biến có thể được bật cùng lúc trên cùng một máy, để một bộ thu thập duy nhất
có thể nhận và báo cáo về dữ liệu từ cả hai phiên bản NetFlow.
Khối dữ liệu NetFlow datagrams được xuất bằng Giao thức UDP (UDP User Datagram Protocol). Địa chỉ IP của bộ thu dữ liệu và cổng đích phải được
cấu hình trên bộ định tuyến hoặc chính bộ chuyển mạch. Trong một số trường hợp,
SNMP có thể được sử dụng để bật NetFlow và định cấu hình địa chỉ IP của người
thu thập để gửi dữ liệu đến.
Trong Cisco IOS, lệnh “ip flow-export command” có thể được sử dụng để
định cấu hình IP đích từ dịng lệnh.
Một trong những cổng phổ biến nhất được sử dụng cho NetFlow exports là
2055, nhưng về cơ bản bạn có thể sử dụng bất kỳ cổng nào miễn là bạn chỉ định

25


Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×