Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống
1
/ 25 trang
THÔNG TIN TÀI LIỆU
Thông tin cơ bản
Định dạng
Số trang
25
Dung lượng
592,14 KB
Nội dung
HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG
LÊ VĂN HÙNG
GIẢI PHÁPGIÁMSÁTTỪXAMẠNGVLANVỚI
RSPAN VÀĐỊNHTUYẾNDỰATRÊNCHÍNH SÁCH
TÓM TẮT LUẬN VĂN THẠC SĨ
HÀ NỘI – 2013
Luận văn được hoàn thành tại:
HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG
Người hướng dẫn khoa học: TS. HÀ HẢI NAM
Phản biện 1: ……………………………………………………………………………
Phản biện 2: …………………………………………………………………………
Luận văn sẽ được bảo vệ trước Hội đồng chấm luận văn thạc sĩ tại Học viện Công nghệ
Bưu chính Viễn thông
Vào lúc: giờ ngày tháng năm
Có thể tìm hiểu luận văn tại:
- Thư viện của Học viện Công nghệ Bưu chính Viễn thông
HÀ NỘI 2013
1
I. MỞ ĐẦU
1. Lý do chọn đề tài
Với sự bùng nổ ngày càng mạnh mẽ của mạng Internet, các quốc gia, các tổ
chức, các công ty và tất cả mọi người dường như đang xích lại gần nhau. Họ đã,
đang và luôn muốn hoà nhập vào mạng Internet để thoả mãn "cơn khát thông tin"
của nhân loại.
Cùng với sự phát triển tiện lợi của Internet, việc lấy cắp thông tin mật, các
chương trình và dữ liệu quan trọng, việc thâm nhập bất hợp phápvà phá hoại thông
qua Internet cũng gia tăng về số lượng, loại hình và kỹ xảo. Do đó, song song với
việc phát triển và khai thác các dịch vụ trên Internet, rất cần nghiên cứu giải quyết
vấn đề đảm bảo an ninh trên mạng. Hệ thống mạng ngày càng được mở rộng và
phức tạp, vì vậy việc đảm bảo cho hệ thống hoạt động ổn định luôn là mối quan tâm
hàng đầu của các nhà quản trị. Các giảipháp quản lý vàgiámsátmạng ra đời bao
gồm các phần mềm và các thiết bị phần cứng. Tuy nhiên thách thức đặt ra là làm
thế nào bạn có thể kết nối các thiết bị này vào hệ thống mạngvà lấy được các thông
tin cần thiết để phân tích, giám sát. Đối với các hệ thống này, việc kết nối các thiết
bị phân tích, giámsát vào hệ thống mạng đã trở nên phức tạp hơn rất nhiều.
Vì vậy, để có một sự hiểu biết sâu sắc hơn về phương phápgiámsát mạng,
tôi đã lựa chọn đề tài: “GIẢI PHÁPGIÁMSÁTTỪXAMẠNGVLANVỚI
RSPAN VÀĐỊNHTUYẾNDỰATRÊNCHÍNH SÁCH” để tìm hiểu từ đó có cái
nhìn bao quát hơn về giámsát hệ thống mạng, và an ninh mạng.
2. Mục đích nghiên cứu
Mục đích nghiên cứu của đề tài này là tìm hiểu vấn đề giámsát thông tin
qua mạngVLAN của các tổ chức, cá nhân, các cơ quan …
3. Đối tượng và phạm vi nghiên cứu
Đối tượng và phạm vi nghiên cứu của đề tài này là giámsát thông tin mạng,
qua giảiphápgiámsátmạngtừxa dùng kỹ thuật SPAN, RSPANvàđịnhtuyếndựa
trên chính sách.
2
4. Phương pháp nghiên cứu
- Sử dụng kỹ thuật SPAN vàRSPAN để giámsáttừxamạng VLAN.
- Đánh giá hiệu quả của kỹ thuật giámsátmạngtừ xa.
5. Nội dung nghiên cứu
Ngoài phần mở đầu và kết luận, nội dung nghiên cứu của luận văn được trình
bày trong các chương:
Chương 1: Giới thiệu vấn đề giámsátmạng
Chương 2: Kỹ thuật SPAN/RSPAN vàđịnhtuyếndựatrênchínhsách
Chương 3: Giảiphápgiámsátmạngtừxa
Cuối cùng là phần kết luận và hướng nghiên cứu, phát triển tiếp theo.
3
II. NỘI DUNG
Chương 1: GIỚI THIỆU VẤN ĐỀ GIÁMSÁTMẠNG
1.1. Bài toán giámsátmạng
Cấu trúc của các mạng máy tính trở nên nhiều hơn và tinh vi hơn vì vậy công
việc quản lý mạng đòi hỏi phải có các công cụ đủ mạnh để đối phó với các vấn đề
có thể xảy ra. Bên cạnh đó, phải đáp ứng nhu cầu nhiều hơn và rộng hơn từ khách
hàng về băng thông, loại hình và mức độ dịch vụ,…
Trong thực tế, các công cụ để quản lý mạng khá đa dạng trên thị trường.
Chúng được phát triển cho các mục đích khác nhau. Một số sản phẩm được cung
cấp là độc lập trong khi một số sản phẩm khác được tích hợp vào phần cứng hoặc
phần mềm mạng. Mặc dù sản phẩm rất đa dạng nhưng chúng được chia thành hai
loại chính là thu thập thông tin và phân tích nội dung thông tin. Loại đầu tiên thu
thập thông tin căn cứ trên một tiêu chuẩn nổi tiếng được gọi là SNMP (Simple
Network Management Protocol). Bằng cách sử dụng SNMP, công cụ quản lý mạng
có thể truy cập vào MIB (Management Information Base) để thu thập thông tin cần
thiết như các loại thiết bị, địa chỉ của mỗi giao diện, xử lý của CPU, vv. Loại thứ
hai phân tích nội dung của thông tin là phức tạp và khó khăn hơn.
1.2 Vlanvà các vấn đề liên quan
1.2.1 Virtual Local Area Network (Vlan)
1.2.1.1 Giới thiệu
VLAN là một mạng LAN ảo. Về mặt kỹ thuật, VLAN là một miền quảng bá
được tạo bởi các switch. Bình thường thì router đóng vai tạo ra miền quảng bá. Đối
VLAN thì có thể tạo ra miền quảng bá. VLAN là một kỹ thuật kết hợp chuyển mạch
lớp 2 vàđịnhtuyến lớp 3 để giới hạn miền đụng độ và miền quảng bá. VLAN còn
được sử dụng để bảo mật giữa các nhóm VLAN theo chức năng mỗi nhóm.
1.2.1.2. Khái niệm về VLANVLAN là một nhóm các thiết bị mạng không giới hạn theo vị trí vật lý hoặc
theo LAN switch mà chúng kết nối vào.
4
VLAN là một segment mạng theo logic dựatrên chức năng, đội nhóm, hoặc
ứng dụng của một tổ chức chứ không phụ thuộc vào vị trí vật lý hay kết nối vật lý
trong mạng. Tất cả các trạm và server được sử dụng bởi cùng một nhóm làm việc sẽ
được đặt trong cùng VLAN bất kể vị trí hay kết nối vật lý của chúng.
Hình 1.1: Phân đoạn mạng theo kiểu Vlan
1.2.2 Miền quảng bá vớiVLANvà router.
Một VLAN là một niềm quảng bá được tạo nên một hay nhiều switch. Hình
4 cho thấy tạo 3 miền quảng bá riêng biệt trên 3 swicth như thế nào. Địnhtuyến
Lớp 3 cho phép router chuyển gói giữa các miền quảng bá với nhau.
1.2.3 Hoạt động của VLAN
Mỗi cổng trên switch có thể gán cho một VLAN khác nhau. Các cổng nằm
trong cùng một VLAN sẽ chia sẻ gói quảng bá với nhau. Các cổng không nằm trong
cùng VLAN sẽ không chia sẻ gói quảng bá với nhau. Nhờ đó mạng LAN hoạt động
hiệu quả hơn.
1.2.4 Ưu điểm, Ứng dụng của VLAN
1.2.4.1 Ưu điểm của VLAN
Lợi ích của VLAN là cho phép người quản trị mạng tổ chức mạng theo logic
chức không theo vật lý nữa. Nhờ đó những công việc sau thực hiện dễ dàng hơn:
- Có tính linh động cao: di chuyển máy trạm trong LAN dễ dàng.
5
- Thêm máy trạm vào LAN dễ dàng: Trên một switch nhiều cổng, có thể có
thể cấu hình VLAN khác nhau cho từng cổng, do đó dễ dàng kết nối thêm các máy
tính với các VLAN.
- Thay đổi cấu hình LAN dễ dàng.
- Kiểm soát giao thông mạng dễ dàng.
- Gia tăng bảo mật: Các VLAN khác nhau không truy cập được vào nhau (trừ
khi có khai báo định tuyến).
- Tiết kiệm băng thông của mạng: do VLAN có thể chia nhỏ LAN thành các
đoạn (là một vùng quảng bá). Khi một gói tin quảng bá, nó sẽ được truyền đi chỉ
trong một VLAN duy nhất, không không truyền đi ở các VLAN khác nên giảm lưu
lượng quảng bá, tiết kiệm băng thông đường truyền.
1.2.4.2 Ứng dụng của VLAN
- Sử dụng VLAN để tạo ra các LAN khác nhau của nhiều máy tính cùng văn
phòng: VLAN1
- Sử dụng VLAN để tạo mạng dữ liệu ảo (Virtual Data Network – VAN)
1.2.5 Các loại VLAN
Có 3 loại thành viên VLAN để xác địnhvà kiểm soát việc xử lý các gói dữ
liệu:
- VLANdựatrên cổng (port based VLAN): mỗi cổng (Ethernet hoặc Fast
Ethernet) được gắn với một VLAN xác định. Do đó mỗi máy tính/ thiết bị host kết
nối một cổng của switch đều phụ thuộc vào VLAN đó. Đây là cách cấu hình VLAN
đơn giản và phổ biến nhất.
- Vlan theo địa chỉ MAC (MAC address based VLAN): mỗi địa chỉ MAC
được gán tới một VLAN nhất định. Cách cấu hình này rất phức tạp và khó khăn
trong việc quản lý.
- VLAN theo giao thức (protocol based VLAN): tương tựvớiVLANdựatrên
địa chỉ MAC nhưng sử dụng địa chỉ IP thay cho địa chỉ MAC. Cách cấu hình này
không thông dụng.
- Bảo mật tối đa giữa các VLAN.
6
- Gói dữ liệu không “rò rỉ” sang các miền khác.
- Dễ dàng kiểm soát qua mạng.
1.2.6 Cấu hình VLAN
1.2.6.1 Cấu hình VLAN cơ bản
Chúng ta có thể xây dựng VLAN cho mạngtừ đầu cuối – đến – đầu cuối
hoặc theo giới hạn địa lý.
Hình 1.2 VLANtừ đầu cuối – đến - đầu cuối
Một VLANtừ đầu cuối – đến đầu cuối có các đặc điển sau:
- Người dùng được phân nhóm VLAN hoàn toàn không phụ thuộc vào vị trí
vật lý, chỉ phụ thuộc vào chức năng công việc của nhóm.
- Mọi user trong một VLAN điều có chung tỉ lệ giao thông 80/20(80% giao
thông trong, 20% giao thông ngoài VLAN)
- Khi người dùng đầu cuối di chuyển trong hệ thống mạng vẫn không thay đổi
VLAN của người dùng đó.
- Mỗi VLAN có những yêu cầu bảo mật riêng cho mọi thành viên của VLAN
đó.
7
1.2.6.2 Cấu hình VLAN theo vật lý
Xu hướng sử dụng và phân bố tài nguyên mạng khác đi nên hiện nay VLAN
thường được tạo ra theo giới hạn của địa lý.
Phạm vi địa lý có thể lớn bằng tòa nhà hoặc cũng có thể chỉ nhỏ với một
switch. Trong cấu trúc VLAN này, tỉ lượng sẽ là 20/80, 20% giao thông trong nội
bộ VLANvà 80% giao thông đi ra ngoài mạng VLAN.
Điểm này có ý nghĩa là lưu lượng phải đi qua thiết bị lớp 3 mới đến được 80%
nguồn tài nguyên. Kiểu thiết kế này cho phép việc truy cập nguồn tài nguyên được
thống nhất.
1.2.6.3 Cấu hình VLAN cố địnhVLAN cố định là VLAN được cấu hình theo port trên switch bằng các phần
mềm quản lý hoặc cấu hình trực tiếp trên switch. Các port đã được gán vào VLAN
nào thì nó sẽ giữ nguyên cấu hình VLAN đó cho đến khi thay đổi bằng lệnh.
1.2.7 VLAN Trunking Protocol (VTP)
VTP là giao thức hoạt động ở lớp 2 trong mô hình OSI. VTP giúp cho việc
cấu hình VLAN luôn hoạt động đồng nhất khi thêm, xóa, sửa thông tin về VLAN
trong hệ thống mạng.
Trong khuôn khổ môi trường chuyển mạch VLAN. Một đường Trunk là một
đường kết nối point-to-point để hổ trợ các VLANtrên các switch liên kết với nhau.
Một đường cấu hình Trunk sẽ gộp nhiều đường lien kết ảo trên một đường liên kết
vật lý để chuyể tín hiệu từ các VLANtrên các switch với nhau dựatrên một đường
cáp vật lý.
8
Chương 2: KỸ THUẬT SPAN/RSPAN VÀĐỊNHTUYẾNDỰA
TRÊN CHÍNHSÁCH
2.1. Kỹ thuật SPAN
2.1.1. Kỹ thuật SPAN (Switched Port Analyzer)
Kỹ thuật SPAN hay RSPAN được sử dụng để phân tích lưu lượng của hệ
thống mạng di chuyển qua các VLAN hoặc các cổng kết nối vật lý bằng cách gửi
một bản sao chép của lưu lượng thông tin đó đến một cổng khác, hoặc một switch
khác kết nối vào hệ thống và sau đó phân tích các thông tin tổng hợp được.
Local SPAN có khả năng hỗ trợ một phiên làm việc hoàn toàn với một
switch, tất cả các port nguồn hoặc VLAN nguồn và các port đích nằm trên cùng một
switch. Local SPAN thực hiện sao lưu một lưu lượng từ một hoặc nhiều port nguồn
trong một VLAN hoặc từ một hoặc nhiều VLAN đến một port đích để thực hiện
phân tích. Hình vẽ bên dưới là một ví dụ về Local SPAN, tất cả các lưu lượng trên
port 5 (port nguồn) đã được sao lưu đến port 10 (port đích). Một công cụ phân tích
mạng trên port 10 đã nhận tất cả các lưu lượng mạngtừ port 5 mà không cần phải
cắm trực tiếp vào port 5.
[...]... trị mạng có thể giámsát lưu lượng truy cập mạng ở nhà khi không có ở văn phòng? Để trả lời cho câu hỏi này, luận văn sẽ đề xuất một số giảiphápgiámsáttừxamạng 3.2 Các công cụ vàgiảiphápgiámsátmạngtừxa Trước khi đi sâu vào giảiphápgiámsáttừ xa, luận văn thực hiện khảo sát các công cụ vàgiảiphápgiámsáttừxa hiện tại trên thị trường Hiện nay có rất nhiều công cụ, giảiphápgiám sát. .. lại, công cụ /giải pháptrên thị trường về giámsátmạng không đáp ứng các nhu cầu giám sáttừxa theo quan điểm trouble-shooting Và dưới đây luận văn sẽ trình bày về đề xuất một số giảipháp để giải quyết vấn đề này 17 3.3 Đề xuất giảiphápgiámsátmạngtừxa Như đã đề cập trong các phần trên, luận văn sẽ đề xuất giảipháp giám sáttừxa mạng để mở rộng khoảng cách giữa các điểm nguồn và điểm đích... giámsát lưu lượng truy cập thông qua cổng 5 của Switch 1 từ PC-D Bởi vì thử nghiệm sử dụng lệnh "ping-t" để tạo ra lưu lượng truy cập vì vậy giámsát lưu lượng trên màn hình của PC-D sẽ là lưu lượng ICMP 2.3 Địnhtuyếndựatrênchínhsách 2.3.1 Địnhtuyếndựatrênchínhsách (Policy Based Routing/PBR) Địnhtuyếndựatrênchínhsách là một giao thức địnhtuyến Bằng cách sử dụng PBR, quản trị mạng có... như trên, quản trị mạng có thể giámsát lưu lượng truy cập đi vào và đi ra thông qua cổng 5 của Switch 2950 tại PC-E Bởi vì thử nghiệm sử dụng lệnh "ping-t" để tạo ra lưu lượng truy cập vì vậy lưu lượng truy cập được theo dõi trên màn hình PC-E sẽ là lưu lượng ICM 22 III KẾT LUẬN Luận văn tốt nghiệp của tác giả với đề tài Giảipháp giám sáttừxa mạng VLANvớiRSPANvàđịnhtuyếndựatrênchínhsách ... không dựatrên địa chỉ đích: Địnhtuyếnchínhsách cho phép quản trị mạng xác định con đường dựatrên các thuộc tính của một gói tin Chẳng hạn như địa chỉ IP nguồn/đích, cổng ứng dụng, độ dài gói tin, và để chuyển tiếp chúng theo các chínhsách khác nhau Chínhsáchđịnhtuyến có thể được cấu hình để thiết lập next hop của gói tin hoặc next hop/giao diện mặc định của gói tin Địnhtuyếnchínhsách cũng... đã đạt được và những đề xuất hướng nghiên cứu tiếp theo 1 Những kết quả đã đạt được của luận văn - Luận văn cung cấp những kiến thức tổng quan về các giảipháp giám sáttừxa mạng VLAN, kỹ thuật SPAN, RSPANvàđịnhtuyếndựatrênchínhsách Tương ứng với mỗi kỹ thuật, luận văn cũng đề xuất một cấu trúc đơn giản để minh họa cách làm trong thực tế - Luận văn đã đề xuất một giảipháp để giámsát lưu lượng... thử nghiệm với kỹ thuật SPAN, RSPAN, địnhtuyếndựatrênchínhsáchvà thử nghiệm trêngiảipháp đề xuất 2 Hướng nghiên cứu tiếp theo "Công cụ bộ giám sáttừ xa" cần phải được cải thiện ở nhiều khía cạnh Thứ nhất, Client Server cần có một cơ chế bảo mật để ngăn chặn truy cập trái phép Thứ hai, chương trình Server cần truyền tải thêm thông tin và nhu cầu của khách hàng để phân tích và hiển thị trên màn... lượng và áp dụng các chínhsách khác nhau cho lưu lượng đó, nó cho phép người quản trị mạng cấu hình các chínhsách có chọn lọc làm cho các gói tin đi theo con đường khác với con đường theo quy định của bảng địnhtuyến PBR có thể được sử dụng cho các mục tiêu khác nhau như: an ninh, quản lý và chất lượng dịch vụ (QoS) Theo Cisco, địnhtuyếndựatrênchínhsách cung cấp các lợi ích sau: Quyết định chuyển... dõi trên màn hình PC-E sẽ là lưu lượng ICMP 2.2 Kỹ thuật RSPAN 2.2.1 Kỹ thuật RSPAN (Remote Switched Port Analyzer) RSPAN là phần mở rộng của SPAN trong đó các port nguồn và port đích không ở trong cùng một Switch RSPAN có khả năng hỗ trợ các port nguồn, VLAN nguồn, và các port đích nằm trên các switch khác nhau, cho phép kiểm tra vàgiámsáttừxa đối với nhiều switch trong hệ thống mạng Trong RSPAN. .. 4: Theo dõi kết quả trên màn hình máy chủ FTP Bước 5: Theo dõi kết quả trên màn hình tại máy chủ VoIP 16 Chương 3: GIẢIPHÁPGIÁMSÁTMẠNGTỪXA 3.1 Phân tích các vấn đề hạn chế của SPAN /RSPAN Nếu quản trị mạng muốn chuyển theo dõi lưu lượng truy cập đến bất kỳ máy chủ trong mạng hoặc xa hơn đến bất cứ nơi nào trên Internet thì đó nó thực sự là một vấn đề Vấn đề này xảy ra vì SPAN /RSPAN là một tính năng . xuất
một số giải pháp giám sát từ xa mạng.
3.2. Các công cụ và giải pháp giám sát mạng từ xa
Trước khi đi sâu vào giải pháp giám sát từ xa, luận văn. tài: “GIẢI PHÁP GIÁM SÁT TỪ XA MẠNG VLAN VỚI
RSPAN VÀ ĐỊNH TUYẾN DỰA TRÊN CHÍNH SÁCH” để tìm hiểu từ đó có cái
nhìn bao quát hơn về giám sát hệ thống mạng,