1. Trang chủ
  2. » Luận Văn - Báo Cáo

Giải pháp giám sát từ xa mạng VLAN với RSPAN và định tuyến dựa trên chính sách

25 617 1

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Định dạng
Số trang 25
Dung lượng 592,14 KB

Nội dung

HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG LÊ VĂN HÙNG GIẢI PHÁP GIÁM SÁT TỪ XA MẠNG VLAN VỚI RSPAN ĐỊNH TUYẾN DỰA TRÊN CHÍNH SÁCH TÓM TẮT LUẬN VĂN THẠC SĨ HÀ NỘI – 2013 Luận văn được hoàn thành tại: HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG Người hướng dẫn khoa học: TS. HÀ HẢI NAM Phản biện 1: …………………………………………………………………………… Phản biện 2: ………………………………………………………………………… Luận văn sẽ được bảo vệ trước Hội đồng chấm luận văn thạc sĩ tại Học viện Công nghệ Bưu chính Viễn thông Vào lúc: giờ ngày tháng năm Có thể tìm hiểu luận văn tại: - Thư viện của Học viện Công nghệ Bưu chính Viễn thông HÀ NỘI 2013 1 I. MỞ ĐẦU 1. Lý do chọn đề tài Với sự bùng nổ ngày càng mạnh mẽ của mạng Internet, các quốc gia, các tổ chức, các công ty tất cả mọi người dường như đang xích lại gần nhau. Họ đã, đang luôn muốn hoà nhập vào mạng Internet để thoả mãn "cơn khát thông tin" của nhân loại. Cùng với sự phát triển tiện lợi của Internet, việc lấy cắp thông tin mật, các chương trình dữ liệu quan trọng, việc thâm nhập bất hợp pháp phá hoại thông qua Internet cũng gia tăng về số lượng, loại hình kỹ xảo. Do đó, song song với việc phát triển khai thác các dịch vụ trên Internet, rất cần nghiên cứu giải quyết vấn đề đảm bảo an ninh trên mạng. Hệ thống mạng ngày càng được mở rộng phức tạp, vì vậy việc đảm bảo cho hệ thống hoạt động ổn định luôn là mối quan tâm hàng đầu của các nhà quản trị. Các giải pháp quản lý giám sát mạng ra đời bao gồm các phần mềm các thiết bị phần cứng. Tuy nhiên thách thức đặt ra là làm thế nào bạn có thể kết nối các thiết bị này vào hệ thống mạng lấy được các thông tin cần thiết để phân tích, giám sát. Đối với các hệ thống này, việc kết nối các thiết bị phân tích, giám sát vào hệ thống mạng đã trở nên phức tạp hơn rất nhiều. Vì vậy, để có một sự hiểu biết sâu sắc hơn về phương pháp giám sát mạng, tôi đã lựa chọn đề tài: “GIẢI PHÁP GIÁM SÁT TỪ XA MẠNG VLAN VỚI RSPAN ĐỊNH TUYẾN DỰA TRÊN CHÍNH SÁCH” để tìm hiểu từ đó có cái nhìn bao quát hơn về giám sát hệ thống mạng, an ninh mạng. 2. Mục đích nghiên cứu Mục đích nghiên cứu của đề tài này là tìm hiểu vấn đề giám sát thông tin qua mạng VLAN của các tổ chức, cá nhân, các cơ quan … 3. Đối tượng phạm vi nghiên cứu Đối tượng phạm vi nghiên cứu của đề tài này là giám sát thông tin mạng, qua giải pháp giám sát mạng từ xa dùng kỹ thuật SPAN, RSPAN định tuyến dựa trên chính sách. 2 4. Phương pháp nghiên cứu - Sử dụng kỹ thuật SPAN RSPAN để giám sát từ xa mạng VLAN. - Đánh giá hiệu quả của kỹ thuật giám sát mạng từ xa. 5. Nội dung nghiên cứu Ngoài phần mở đầu kết luận, nội dung nghiên cứu của luận văn được trình bày trong các chương: Chương 1: Giới thiệu vấn đề giám sát mạng Chương 2: Kỹ thuật SPAN/RSPAN định tuyến dựa trên chính sách Chương 3: Giải pháp giám sát mạng từ xa Cuối cùng là phần kết luận hướng nghiên cứu, phát triển tiếp theo. 3 II. NỘI DUNG Chương 1: GIỚI THIỆU VẤN ĐỀ GIÁM SÁT MẠNG 1.1. Bài toán giám sát mạng Cấu trúc của các mạng máy tính trở nên nhiều hơn tinh vi hơn vì vậy công việc quản lý mạng đòi hỏi phải có các công cụ đủ mạnh để đối phó với các vấn đề có thể xảy ra. Bên cạnh đó, phải đáp ứng nhu cầu nhiều hơn rộng hơn từ khách hàng về băng thông, loại hình mức độ dịch vụ,… Trong thực tế, các công cụ để quản lý mạng khá đa dạng trên thị trường. Chúng được phát triển cho các mục đích khác nhau. Một số sản phẩm được cung cấp là độc lập trong khi một số sản phẩm khác được tích hợp vào phần cứng hoặc phần mềm mạng. Mặc dù sản phẩm rất đa dạng nhưng chúng được chia thành hai loại chính là thu thập thông tin phân tích nội dung thông tin. Loại đầu tiên thu thập thông tin căn cứ trên một tiêu chuẩn nổi tiếng được gọi là SNMP (Simple Network Management Protocol). Bằng cách sử dụng SNMP, công cụ quản lý mạng có thể truy cập vào MIB (Management Information Base) để thu thập thông tin cần thiết như các loại thiết bị, địa chỉ của mỗi giao diện, xử lý của CPU, vv. Loại thứ hai phân tích nội dung của thông tin là phức tạp khó khăn hơn. 1.2 Vlan các vấn đề liên quan 1.2.1 Virtual Local Area Network (Vlan) 1.2.1.1 Giới thiệu VLAN là một mạng LAN ảo. Về mặt kỹ thuật, VLAN là một miền quảng bá được tạo bởi các switch. Bình thường thì router đóng vai tạo ra miền quảng bá. Đối VLAN thì có thể tạo ra miền quảng bá. VLAN là một kỹ thuật kết hợp chuyển mạch lớp 2 định tuyến lớp 3 để giới hạn miền đụng độ miền quảng bá. VLAN còn được sử dụng để bảo mật giữa các nhóm VLAN theo chức năng mỗi nhóm. 1.2.1.2. Khái niệm về VLAN VLAN là một nhóm các thiết bị mạng không giới hạn theo vị trí vật lý hoặc theo LAN switch mà chúng kết nối vào. 4 VLAN là một segment mạng theo logic dựa trên chức năng, đội nhóm, hoặc ứng dụng của một tổ chức chứ không phụ thuộc vào vị trí vật lý hay kết nối vật lý trong mạng. Tất cả các trạm server được sử dụng bởi cùng một nhóm làm việc sẽ được đặt trong cùng VLAN bất kể vị trí hay kết nối vật lý của chúng. Hình 1.1: Phân đoạn mạng theo kiểu Vlan 1.2.2 Miền quảng bá với VLAN router. Một VLAN là một niềm quảng bá được tạo nên một hay nhiều switch. Hình 4 cho thấy tạo 3 miền quảng bá riêng biệt trên 3 swicth như thế nào. Định tuyến Lớp 3 cho phép router chuyển gói giữa các miền quảng bá với nhau. 1.2.3 Hoạt động của VLAN Mỗi cổng trên switch có thể gán cho một VLAN khác nhau. Các cổng nằm trong cùng một VLAN sẽ chia sẻ gói quảng bá với nhau. Các cổng không nằm trong cùng VLAN sẽ không chia sẻ gói quảng bá với nhau. Nhờ đó mạng LAN hoạt động hiệu quả hơn. 1.2.4 Ưu điểm, Ứng dụng của VLAN 1.2.4.1 Ưu điểm của VLAN Lợi ích của VLAN là cho phép người quản trị mạng tổ chức mạng theo logic chức không theo vật lý nữa. Nhờ đó những công việc sau thực hiện dễ dàng hơn: - Có tính linh động cao: di chuyển máy trạm trong LAN dễ dàng. 5 - Thêm máy trạm vào LAN dễ dàng: Trên một switch nhiều cổng, có thể có thể cấu hình VLAN khác nhau cho từng cổng, do đó dễ dàng kết nối thêm các máy tính với các VLAN. - Thay đổi cấu hình LAN dễ dàng. - Kiểm soát giao thông mạng dễ dàng. - Gia tăng bảo mật: Các VLAN khác nhau không truy cập được vào nhau (trừ khi có khai báo định tuyến). - Tiết kiệm băng thông của mạng: do VLAN có thể chia nhỏ LAN thành các đoạn (là một vùng quảng bá). Khi một gói tin quảng bá, nó sẽ được truyền đi chỉ trong một VLAN duy nhất, không không truyền đi ở các VLAN khác nên giảm lưu lượng quảng bá, tiết kiệm băng thông đường truyền. 1.2.4.2 Ứng dụng của VLAN - Sử dụng VLAN để tạo ra các LAN khác nhau của nhiều máy tính cùng văn phòng: VLAN1 - Sử dụng VLAN để tạo mạng dữ liệu ảo (Virtual Data Network – VAN) 1.2.5 Các loại VLAN Có 3 loại thành viên VLAN để xác định kiểm soát việc xử lý các gói dữ liệu: - VLAN dựa trên cổng (port based VLAN): mỗi cổng (Ethernet hoặc Fast Ethernet) được gắn với một VLAN xác định. Do đó mỗi máy tính/ thiết bị host kết nối một cổng của switch đều phụ thuộc vào VLAN đó. Đây là cách cấu hình VLAN đơn giản phổ biến nhất. - Vlan theo địa chỉ MAC (MAC address based VLAN): mỗi địa chỉ MAC được gán tới một VLAN nhất định. Cách cấu hình này rất phức tạp khó khăn trong việc quản lý. - VLAN theo giao thức (protocol based VLAN): tương tự với VLAN dựa trên địa chỉ MAC nhưng sử dụng địa chỉ IP thay cho địa chỉ MAC. Cách cấu hình này không thông dụng. - Bảo mật tối đa giữa các VLAN. 6 - Gói dữ liệu không “rò rỉ” sang các miền khác. - Dễ dàng kiểm soát qua mạng. 1.2.6 Cấu hình VLAN 1.2.6.1 Cấu hình VLAN cơ bản Chúng ta có thể xây dựng VLAN cho mạng từ đầu cuối – đến – đầu cuối hoặc theo giới hạn địa lý. Hình 1.2 VLAN từ đầu cuối – đến - đầu cuối Một VLAN từ đầu cuối – đến đầu cuối có các đặc điển sau: - Người dùng được phân nhóm VLAN hoàn toàn không phụ thuộc vào vị trí vật lý, chỉ phụ thuộc vào chức năng công việc của nhóm. - Mọi user trong một VLAN điều có chung tỉ lệ giao thông 80/20(80% giao thông trong, 20% giao thông ngoài VLAN) - Khi người dùng đầu cuối di chuyển trong hệ thống mạng vẫn không thay đổi VLAN của người dùng đó. - Mỗi VLAN có những yêu cầu bảo mật riêng cho mọi thành viên của VLAN đó. 7 1.2.6.2 Cấu hình VLAN theo vật lý Xu hướng sử dụng phân bố tài nguyên mạng khác đi nên hiện nay VLAN thường được tạo ra theo giới hạn của địa lý. Phạm vi địa lý có thể lớn bằng tòa nhà hoặc cũng có thể chỉ nhỏ với một switch. Trong cấu trúc VLAN này, tỉ lượng sẽ là 20/80, 20% giao thông trong nội bộ VLAN 80% giao thông đi ra ngoài mạng VLAN. Điểm này có ý nghĩa là lưu lượng phải đi qua thiết bị lớp 3 mới đến được 80% nguồn tài nguyên. Kiểu thiết kế này cho phép việc truy cập nguồn tài nguyên được thống nhất. 1.2.6.3 Cấu hình VLAN cố định VLAN cố địnhVLAN được cấu hình theo port trên switch bằng các phần mềm quản lý hoặc cấu hình trực tiếp trên switch. Các port đã được gán vào VLAN nào thì nó sẽ giữ nguyên cấu hình VLAN đó cho đến khi thay đổi bằng lệnh. 1.2.7 VLAN Trunking Protocol (VTP) VTP là giao thức hoạt động ở lớp 2 trong mô hình OSI. VTP giúp cho việc cấu hình VLAN luôn hoạt động đồng nhất khi thêm, xóa, sửa thông tin về VLAN trong hệ thống mạng. Trong khuôn khổ môi trường chuyển mạch VLAN. Một đường Trunk là một đường kết nối point-to-point để hổ trợ các VLAN trên các switch liên kết với nhau. Một đường cấu hình Trunk sẽ gộp nhiều đường lien kết ảo trên một đường liên kết vật lý để chuyể tín hiệu từ các VLAN trên các switch với nhau dựa trên một đường cáp vật lý. 8 Chương 2: KỸ THUẬT SPAN/RSPAN ĐỊNH TUYẾN DỰA TRÊN CHÍNH SÁCH 2.1. Kỹ thuật SPAN 2.1.1. Kỹ thuật SPAN (Switched Port Analyzer) Kỹ thuật SPAN hay RSPAN được sử dụng để phân tích lưu lượng của hệ thống mạng di chuyển qua các VLAN hoặc các cổng kết nối vật lý bằng cách gửi một bản sao chép của lưu lượng thông tin đó đến một cổng khác, hoặc một switch khác kết nối vào hệ thống sau đó phân tích các thông tin tổng hợp được. Local SPAN có khả năng hỗ trợ một phiên làm việc hoàn toàn với một switch, tất cả các port nguồn hoặc VLAN nguồn các port đích nằm trên cùng một switch. Local SPAN thực hiện sao lưu một lưu lượng từ một hoặc nhiều port nguồn trong một VLAN hoặc từ một hoặc nhiều VLAN đến một port đích để thực hiện phân tích. Hình vẽ bên dưới là một ví dụ về Local SPAN, tất cả các lưu lượng trên port 5 (port nguồn) đã được sao lưu đến port 10 (port đích). Một công cụ phân tích mạng trên port 10 đã nhận tất cả các lưu lượng mạng từ port 5 mà không cần phải cắm trực tiếp vào port 5. [...]... trị mạng có thể giám sát lưu lượng truy cập mạng ở nhà khi không có ở văn phòng? Để trả lời cho câu hỏi này, luận văn sẽ đề xuất một số giải pháp giám sát từ xa mạng 3.2 Các công cụ giải pháp giám sát mạng từ xa Trước khi đi sâu vào giải pháp giám sát từ xa, luận văn thực hiện khảo sát các công cụ giải pháp giám sát từ xa hiện tại trên thị trường Hiện nay có rất nhiều công cụ, giải pháp giám sát. .. lại, công cụ /giải pháp trên thị trường về giám sát mạng không đáp ứng các nhu cầu giám sát từ xa theo quan điểm trouble-shooting dưới đây luận văn sẽ trình bày về đề xuất một số giải pháp để giải quyết vấn đề này 17 3.3 Đề xuất giải pháp giám sát mạng từ xa Như đã đề cập trong các phần trên, luận văn sẽ đề xuất giải pháp giám sát từ xa mạng để mở rộng khoảng cách giữa các điểm nguồn điểm đích... giám sát lưu lượng truy cập thông qua cổng 5 của Switch 1 từ PC-D Bởi vì thử nghiệm sử dụng lệnh "ping-t" để tạo ra lưu lượng truy cập vì vậy giám sát lưu lượng trên màn hình của PC-D sẽ là lưu lượng ICMP 2.3 Định tuyến dựa trên chính sách 2.3.1 Định tuyến dựa trên chính sách (Policy Based Routing/PBR) Định tuyến dựa trên chính sách là một giao thức định tuyến Bằng cách sử dụng PBR, quản trị mạng có... như trên, quản trị mạng có thể giám sát lưu lượng truy cập đi vào đi ra thông qua cổng 5 của Switch 2950 tại PC-E Bởi vì thử nghiệm sử dụng lệnh "ping-t" để tạo ra lưu lượng truy cập vì vậy lưu lượng truy cập được theo dõi trên màn hình PC-E sẽ là lưu lượng ICM 22 III KẾT LUẬN Luận văn tốt nghiệp của tác giả với đề tài Giải pháp giám sát từ xa mạng VLAN với RSPAN định tuyến dựa trên chính sách ... không dựa trên địa chỉ đích: Định tuyến chính sách cho phép quản trị mạng xác định con đường dựa trên các thuộc tính của một gói tin Chẳng hạn như địa chỉ IP nguồn/đích, cổng ứng dụng, độ dài gói tin, để chuyển tiếp chúng theo các chính sách khác nhau Chính sách định tuyến có thể được cấu hình để thiết lập next hop của gói tin hoặc next hop/giao diện mặc định của gói tin Định tuyến chính sách cũng... đã đạt được những đề xuất hướng nghiên cứu tiếp theo 1 Những kết quả đã đạt được của luận văn - Luận văn cung cấp những kiến thức tổng quan về các giải pháp giám sát từ xa mạng VLAN, kỹ thuật SPAN, RSPAN định tuyến dựa trên chính sách Tương ứng với mỗi kỹ thuật, luận văn cũng đề xuất một cấu trúc đơn giản để minh họa cách làm trong thực tế - Luận văn đã đề xuất một giải pháp để giám sát lưu lượng... thử nghiệm với kỹ thuật SPAN, RSPAN, định tuyến dựa trên chính sách thử nghiệm trên giải pháp đề xuất 2 Hướng nghiên cứu tiếp theo "Công cụ bộ giám sát từ xa" cần phải được cải thiện ở nhiều khía cạnh Thứ nhất, Client Server cần có một cơ chế bảo mật để ngăn chặn truy cập trái phép Thứ hai, chương trình Server cần truyền tải thêm thông tin nhu cầu của khách hàng để phân tích hiển thị trên màn... lượng áp dụng các chính sách khác nhau cho lưu lượng đó, nó cho phép người quản trị mạng cấu hình các chính sách có chọn lọc làm cho các gói tin đi theo con đường khác với con đường theo quy định của bảng định tuyến PBR có thể được sử dụng cho các mục tiêu khác nhau như: an ninh, quản lý chất lượng dịch vụ (QoS) Theo Cisco, định tuyến dựa trên chính sách cung cấp các lợi ích sau: Quyết định chuyển... dõi trên màn hình PC-E sẽ là lưu lượng ICMP 2.2 Kỹ thuật RSPAN 2.2.1 Kỹ thuật RSPAN (Remote Switched Port Analyzer) RSPAN là phần mở rộng của SPAN trong đó các port nguồn port đích không ở trong cùng một Switch RSPAN có khả năng hỗ trợ các port nguồn, VLAN nguồn, các port đích nằm trên các switch khác nhau, cho phép kiểm tra giám sát từ xa đối với nhiều switch trong hệ thống mạng Trong RSPAN. .. 4: Theo dõi kết quả trên màn hình máy chủ FTP Bước 5: Theo dõi kết quả trên màn hình tại máy chủ VoIP 16 Chương 3: GIẢI PHÁP GIÁM SÁT MẠNG TỪ XA 3.1 Phân tích các vấn đề hạn chế của SPAN /RSPAN Nếu quản trị mạng muốn chuyển theo dõi lưu lượng truy cập đến bất kỳ máy chủ trong mạng hoặc xa hơn đến bất cứ nơi nào trên Internet thì đó nó thực sự là một vấn đề Vấn đề này xảy ra vì SPAN /RSPAN là một tính năng . xuất một số giải pháp giám sát từ xa mạng. 3.2. Các công cụ và giải pháp giám sát mạng từ xa Trước khi đi sâu vào giải pháp giám sát từ xa, luận văn. tài: “GIẢI PHÁP GIÁM SÁT TỪ XA MẠNG VLAN VỚI RSPAN VÀ ĐỊNH TUYẾN DỰA TRÊN CHÍNH SÁCH” để tìm hiểu từ đó có cái nhìn bao quát hơn về giám sát hệ thống mạng,

Ngày đăng: 13/02/2014, 12:47

HÌNH ẢNH LIÊN QUAN

Hình 1.1: Phân đoạn mạng theo kiểu Vlan - Giải pháp giám sát từ xa mạng VLAN với RSPAN và định tuyến dựa trên chính sách
Hình 1.1 Phân đoạn mạng theo kiểu Vlan (Trang 6)
1.2.6 Cấu hình VLAN - Giải pháp giám sát từ xa mạng VLAN với RSPAN và định tuyến dựa trên chính sách
1.2.6 Cấu hình VLAN (Trang 8)
Ý tưởng về mô hình minh họa là: port 5 của Switch 2950 được cấu hình như một port nguồn trong  kỹ  thuật  SPAN - Giải pháp giám sát từ xa mạng VLAN với RSPAN và định tuyến dựa trên chính sách
t ưởng về mô hình minh họa là: port 5 của Switch 2950 được cấu hình như một port nguồn trong kỹ thuật SPAN (Trang 11)
Hình 2.3: Ví dụ về RSPAN - Giải pháp giám sát từ xa mạng VLAN với RSPAN và định tuyến dựa trên chính sách
Hình 2.3 Ví dụ về RSPAN (Trang 13)
Hình dưới đây minh họa kỹ thuật RSPAN bằng việc xây dựng một cấu trúc liên kết nhỏ và thực hiện nó bằng các thiết bị thực tế - Giải pháp giám sát từ xa mạng VLAN với RSPAN và định tuyến dựa trên chính sách
Hình d ưới đây minh họa kỹ thuật RSPAN bằng việc xây dựng một cấu trúc liên kết nhỏ và thực hiện nó bằng các thiết bị thực tế (Trang 13)
Dưới đây là mơ hình minh họa cho PBR. Tại R2, máy chủ VoIP được gán một địa chỉ IP: 192.168.10.5 và server FTP gán một địa chỉ IP: 192.168.10.9 - Giải pháp giám sát từ xa mạng VLAN với RSPAN và định tuyến dựa trên chính sách
i đây là mơ hình minh họa cho PBR. Tại R2, máy chủ VoIP được gán một địa chỉ IP: 192.168.10.5 và server FTP gán một địa chỉ IP: 192.168.10.9 (Trang 16)
sung được mô tả trong hình sau đây - Giải pháp giám sát từ xa mạng VLAN với RSPAN và định tuyến dựa trên chính sách
sung được mô tả trong hình sau đây (Trang 20)
Hình 3.1: Gói tin mới được xây dựng để truyền từ nguồn tới đích - Giải pháp giám sát từ xa mạng VLAN với RSPAN và định tuyến dựa trên chính sách
Hình 3.1 Gói tin mới được xây dựng để truyền từ nguồn tới đích (Trang 20)
Hình 3.3: Giao diện của chương trình Server - Giải pháp giám sát từ xa mạng VLAN với RSPAN và định tuyến dựa trên chính sách
Hình 3.3 Giao diện của chương trình Server (Trang 21)
3.4. Đề xuất mô hình minh họa - Giải pháp giám sát từ xa mạng VLAN với RSPAN và định tuyến dựa trên chính sách
3.4. Đề xuất mô hình minh họa (Trang 22)
của chương trình Client có ba module: Receive, Extraction và Analysis như hình - Giải pháp giám sát từ xa mạng VLAN với RSPAN và định tuyến dựa trên chính sách
c ủa chương trình Client có ba module: Receive, Extraction và Analysis như hình (Trang 22)

TỪ KHÓA LIÊN QUAN

TÀI LIỆU CÙNG NGƯỜI DÙNG

TÀI LIỆU LIÊN QUAN

w