Phần 2 của giáo trình Quản trị mạng nâng cao tiếp tục cung cấp cho học viên những nội dung về: công nghệ VPN; hệ thống Mail Server; giám sát hệ thống mạng; giao thức quản lý mạng đơn giản – SNMP và một số phần mềm giám sát mạng;... Mời các bạn cùng tham khảo!
CHƯƠNG 3: CÔNG NGHỆ VPN MỤC TIÊU Học xong chương sinh viên có thể: o Trình bày khái niệm, lợi ích cơng nghệ VPN o Trình bày nguyên lý hoạt động VPN o Triển khai, cài đặt, cấu hình cơng nghệ VPN cho doanh nghiệp o Tư vấn cho khách hàng triển khai công nghệ VPN o Rèn luyện khả tư logic 3.1 Tổng quan VPN 3.1.1 Khái niệm Mạng riêng ảo hay gọi với từ viết tắt VPN, khái niệm công nghệ mạng VPN định nghĩa dịch vụ mạng ảo triển khai sở hạ tầng hệ thống mạng công cộng với mục đích tiết kiệm chi phí cho kết nối điểm - điểm Hai đặc điểm quan trọng công nghệ VPN “riêng” “ảo” tương ứng với hai thuật ngữ tiếng anh (Virtual and Private) VPN xuất lớp mơ hình OSI, VPN cải tiến sở hạ tầng mạng WAN, làm thay đổi làm tăng tính chất mạng cục cho mạng WAN 55 Hình 3.1: Mơ hình VPN 3.1.2 Lợi ích VPN - VPN làm giảm chi phí thường xuyên: VPN cho phép tiết kiệm chi phí thuê đường truyền giảm chi phí phát sinh cho nhân viên xa nhờ vào việc họ truy cập vào hệ thống mạng nội thông qua điểm cung cấp dịch vụ địa phương POP (Point of Presence), hạn chế thuê đường truy cập nhà cung cấp đến giá thành cho việc kết nối Lan – to – Lan giảm đáng kể so với việc thuê đường Leased - line - Giảm chi phí quản lý hỗ trợ: Với việc sử dụng dịch vụ nhà cung cấp, phải quản lý kết nối đầu cuối chi nhánh mạng, đồng thời tận dụng sở hạ tầng mạng Internet đội ngũ kỹ thuật nhà cung cấp dịch vụ - VPN đảm bảo an tồn thơng tin, tính tồn vẹn xác thực: Dữ liệu truyền mạng mã hóa thuật toán truyền đường hầm (Tunnel) nên thơng tin có độ an tồn cao - VPN dễ dàng kết nối chi nhánh thành mạng nội bộ: VPN dễ dàng kết nối hệ thống mạng chi nhánh công ty văn phịng trung tâm thành mạng LAN với chi phí thấp - VPN hỗ trợ giao thức mạng thông dụng TCP/IP: thông tin gửi VPN mã hóa địa mạng riêng che giấu sử dụng địa bên Internet 3.1.3 Chức VPN VPN cung cấp chức chính: - Sự tin cậy (Confidentiality) : Người gửi mã hóa gói liệu trước truyền chúng ngang qua mạng nên khơng truy nhập thơng tin mà khơng phép - Tính tồn vẹn liệu (Data Integrity) : Người nhận kiểm tra liệu truyền qua mạng internet mà khơng có thay đổi - Xác thực nguồn gốc (Origin authentication) : Người nhận xác thực nguồn gốc gói liệu, đảm bảo công nhận nguồn thông tin 56 3.1.4 Các thành phần cần thiết tạo nên kết nối VPN - User authentication: cung cấp chế chứng thực người dùng, cho phép người dùng hợp lệ kết nối vào hệ thống VPN - Address management : cung cấp địa IP hợp lệ cho người dùng sau gia nhập hệ thống VPN để truy cập tài nguyên mạng nội - Data Encryption : cung cấp giải pháp mã hóa liệu q trình truyền nhằm đảm bảo tính riêng tư tồn vẹn liệu - Key Management : cung cấp giải pháp quản lý khóa dùng cho q trình mã hóa giải mã liệu Phụ thuộc vào kiểu VPN (truy nhập từ xa Remote Access hay kết nối ngang hàng Site-to-Site), số thành phần định cần thiết để hình thành VPN: - Phần mềm máy trạm cho người dùng xa - Các thiết bị phần cứng riêng biệt, ví dụ như: Bộ trung tâm (VPN Concentrator) tường lửa (Secure PIX Firewall) - Các máy chủ VPN sử dụng cho dịch vụ quay số - Máy chủ truy cập NAS (Network Access Server) dùng cho người dùng VPN xa truy nhập - Trung tâm quản lý mạng sách VPN 3.1.5 Phân loại VPN 3.1.5.1 VPN Remote Access Hình 3.2: VPN Remote Access 57 VPN Remote Access: Hay gọi Virtual Private Dial - up Network (VPDN), dạng kết nối User – to – Lan áp dụng cho công ty mà nhân viên có nhu cầu kết nối tới mạng riêng (Private network) từ địa điểm từ xa Mỗi cơng ty cài đặt mạng kiểu Remote – Access diện rộng theo tài nguyên từ nhà cung cấp dịch vụ ESP (Enterprise Service Provider) ESP cài đặt công nghệ Network Access Server (NAS) cung cấp cho user xa với phần mềm client máy họ Một đặc điểm quan trọng VPN Remote Access là: cho phép người dùng di động truy cập từ xa vào hệ thống mạng nội công ty để làm việc Để thực VPN Remote Access cần : - Có 01 VPN Getway (có 01 IP Public) Đây điểm tập trung xử lý VPN Client quay số truy cập vào hệ thống VPN nội - Các VPN Client kết nối vào mạng Internet 3.1.5.2VPN Site-to-Site Hình 3.3: VPN Site - to – Site VPN Site - to – Site: Bằng việc sử dụng thiết bị chuyên dụng chế bảo mật diện rộng, công ty tạo kết nối với nhiều site qua mạng công cộng Internet Các mạng VPN Site – To – Site thuộc hai dạng: 58 - Intranet: Intranet VPN mở rộng dịch vụ mạng nội tới trụ sở xa, mơ hình liên mạng hướng phi kết nối qua mạng WAN dùng chung Yêu cầu phải thực tất dịch vụ mạng thực mạng trung tâm - Extranet: Liên kết khách hàng, nhà cung cấp, hay cộng đồng người sử dụng vào mạng Intranet tổ chức hạ tầng mạng công cộng sử dụng đường truyền thuê bao Giải pháp cung cấp sách mạng riêng tổ chức đảm bảo tính bảo mật, tính ổn định Về mặt kiến trúc Intranet Extranet tương tự nhau, nhiên điểm khác biệt chúng phạm vi ứng dụng cho phép đối tác Extranet VPN sử dụng So với Intranet VPN vấn đề tiết kiệm chi phí khơng rõ điều quan trọng khả cộng tác với đối tác, khách hàng hay nhà cung cấp sản phẩm Việc khách hàng nhập trực tiếp liệu hợp đồng vào hệ thống tiết kiệm nhiều thời gian lỗi khơng đáng có, nhiên việc khó thực với cơng nghệ WAN truyền thống Extranet VPN thường sử dụng kết nối dành riêng thêm vào lớp bảo mật để xác thực giới hạn truy nhập hệ thống Để thực VPN Site-to-Site cần: - Có 02 VPN Getway ( Mỗi VPN Getway có 01 IP Public) Đây điểm tập trung xử lý VPN Getway phía bên quay số truy cập vào - Các Client kết nối vào hệ thống mạng nội 3.2 Một số giao thức mã hóa VPN Hiện có nhiều giải pháp để giải hai vấn đề đóng gói liệu an toàn liệu VPN, dựa tảng giao thức đường hầm Một giao thức đường hầm thực đóng gói liệu với phần Header (và Trailer) tương ứng để truyền qua Internet Giao thức đường hầm cốt lõi giải pháp VPN có giao thức đường hầm sử dụng VPN : - Giao thức định hướng lớp : L2F ( Layer Forwarding) 59 - Giao thức đường hầm điểm – điểm : PPTP (Point to point Tunneling protocol) - Giao thức đường hầm lớp : L2TP (Layer tunneling protocol) - Giao thức bảo mật IP : IPSec (Internet Protocol Security) - Giao thức GRE (Generic Routing Encapsulation) 3.2.1 Giao thức định hướng lớp : L2F ( Layer Forwarding) Giao thức định hướng lớp L2F Cisco phát triển độc lập phát triển dựa giao thức PPP ( Point to Point Protocol) L2F cung cấp giải pháp cho dịch vụ quay số ảo cách thiết lập đường hầm bảo mật thông qua sở hạ tầng công cộng Internet L2F cho phép đóng gói PPP L2F, định hướng hầm lớp liên kết liệu 3.2.1.1 Cấu trúc gói L2F bit bit bit bit bit bit F K P S Reserved C bit bit bit Version Protocol Sequence Multiplex ID Client ID Length Offset Key Data Checksums Hình 3.4: Khn dạng gói L2F - 3.2.1.2 Ưu nhược điểm L2F Ưu điểm : + Cho phép thiết lập đường hầm đa giao thức + Được cung cấp nhiều nhà cung cấp - Nhược điểm: + Khơng có mã hóa + Yếu việc xác thực người dùng 60 + Khơng có điều khiển luồng cho đường hầm 3.2.2 Thực L2F L2F đóng gói gói lớp trường hợp đóng gói PPP, truyền qua mạng L2F sử dụng thiết bị: - NAS: Hướng lưu lượng đến từ máy khách xa (Remote client) Gateway home - Tunnel: Định hướng đường NAS Home Gateway - Home Gateway: Ngang hàng với NAS - Kết nối: Là kết nối PPP đường hầm Trong CLI, kết nối L2F xem phiên - Điểm đích (Destination): Là điểm kết thúc đầu xa đường hầm Trong trường hợp Home gateway điểm đích Hình 3.5: Mơ hình L2F Hoạt động L2F Hoạt động L2F bao gồm hoạt động: thiết lập kết nối, đường hầm phiên làm việc Ví dụ minh họa hoạt động L2F: - Một người sử dụng xa quay số tới hệ thống NAS khởi đầu kết nối PPP tới ISP 61 - Hệ thống NAS máy khách trao đổi gói giao thức điều khiển liên kết LCP (Link Control Protocol) - NAS sử dụng sở liệu cục liên quan đến vùng (Domain Name) hay nhận thực Radius để định có hay khơng người sử dụng u cầu dịch vụ L2F - Nếu có người sử dụng yêu cầu L2F trình tiếp tục: NAS thu nhận địa Gateway đích - Một đường hầm thiết lập từ NAS tới Gateway đích chúng chưa có đường hầm Sự thành lập đường hầm bao gồm giai đoạn nhận thực từ ISP tới Gateway đích để chống lại công kẻ thứ ba - Một kết nối PPP tạo đường hầm, điều có tác động kéo dài phiên PPP từ người sử dụng xa tới Home Gateway Kết nối thiết lập sau: Home Gateway tiếp nhận lựa chọn tất thông tin nhận thực PAP/CHAP, thoả thuận đầu cuối người sử dụng NAS Home Gateway chấp nhận kết nối hay thoả thuận lại LCP nhận thực lại người sử dụng - Khi NAS tiếp nhận lưu lượng liệu từ người sử dụng, lấy gói đóng gói lưu lượng vào khung L2F hướng vào đường hầm - Tại Home Gateway, khung L2F tách bỏ, liệu đóng gói hướng tới mạng cơng ty 3.2.2 Giao thức đường hầm điểm điểm - PPTP Giao thức đường hầm điểm – điểm PPTP đưa nhóm cơng ty gọi PPTP Forum Nhóm bao gồm cơng ty: Ascend, Microsoft, ECI Telematicsunication US Robotic Ý tưởng sở giao thức tách chức chung riêng truy cập từ xa, lợi dụng sở hạ tầng Internet sẵn có để tạo kết nối bảo mật người dùng xa mạng riêng Người dùng xa việc quay số tới nhà cung cấp dịch vụ Internet địa phương tạo đường hầm bảo mật tới mạng riêng họ Giao thức PPTP xây dựng dựa chức PPP, cung cấp khả quay số truy cập tạo đường hầm bảo mật thông qua Internet đến site đích PPTP sử dụng giao thức bọc gói định tuyến chung GRE (Generic Routing Encapsulation) mô tả lại để đóng gói tách gói PPP, giao thức cho 62 phép PPTP mềm dẻo xử lý giao thức khác IP như: IPX, TBEUI Do PPTP dựa PPP nên sử dụng PAP, CHAP để xác thực PPTP sử dụng PPP để mã hoá liệu Microsoft đưa phương thức mã hố khác mạnh mã hố điểm – điểm MPPE (Microsoft Point – to – Point Encryption) để sử dụng cho PPTP 3.2.2.1 PPP PPTP PPP trở thành giao thức quay số truy cập vào Internet mạng TCP/IP phổ biến Làm việc lớp liên kết liệu mơ hình OSI, PPP bao gồm phương thức đóng, tách gói cho loại gói liệu khác để truyền nối tiếp Đặc biệt PPP định nghĩa hai giao thức: giao thức điều khiển liên kết LCP (Link Control Protocol) cho việc thiết lập, cấu hình kiểm tra kết nối Giao thức điều khiển mạng NCP (Network Control Protocol) cho việc thiết lập cấu hình giao thức lớp mạng khác PPP đóng gói IP, IPX, NETBEUI truyền kết nối điểm – điểm từ máy gửi đến máy nhận Để việc truyền liệu diễn PPP phải gửi gói LCP để kiểm tra cấu hình kiểm tra liên kết liệu Khi kết nối PPP thiết lập người dùng thường xác thực Đây giai đoạn tùy chọn PPP, nhiên, ln ln cung cấp ISP Việc xác thực thực PAP hay CHAP Với PAP mật dược gửi qua kết nối dạng văn đơn giản bảo mật để tránh khỏi bị cơng thử lỗi CHAP phương thức xác thực mạnh hơn, CHAP sử dụng phương thức bắt tay chiều CHAP chống lại vụ công quay lại cách sử dụng giá trị thách đố (challenge value) khơng thể đốn trước CHAP phát giá trị thách đố suốt sau thiết lập xong kết nối, lập lại thách đố giới hạn số lần bị đặt vào tình bị công PPTP sử dụng PPP để thực chức sau: - Thiết lập kết thúc kết nối vật lý - Xác thực người dùng 63 - Tạo gói liệu PPP PPP thiết lập kết nối, PPTP sử dụng quy luật đóng gói PPP để đóng gói truyền đường hầm Để tận dụng ưu điểm kết nối tạo PPP, PPTP định nghĩa loại gói: Gói điều khiển; Gói liệu gán chúng vào kênh riêng kênh điều khiển kênh liệu Sau PPTP phân tách kênh điều khiển kênh liệu thành luồng điều khiển với giao thức TCP luồng liệu với giao thức IP Kết nối TCP tạo client PPTP máy chủ PPTP sử dụng để truyền thông báo điều khiển Các gói liệu liệu thường người dùng Các gói điều khiển gửi theo chu kỳ để lấy thông tin trạng thái kết nối quản lý báo hiệu client PPTP máy chủ PPTP Các gói điều khiển dùng để gửi thông tin quản lý thiết bị, thông tin cấu hình hai đầu đường hầm Kênh điều khiển yêu cầu cho việc thiết lập đường hầm client PPTP máy chủ PPTP Phần mềm client nằm máy người dùng từ xa hay nằm máy chủ ISP Đường hầm thiết lập liệu người dùng truyền client máy chủ PPTP Các gói PPTP chứa gói liệu đóng gói tiêu đề GRE, sử dụng số ID Host cho điều khiển truy cập, ACK cho giám sát tốc độ liệu truyền đường hầm PPTP có chế điều khiển tốc độ nhằm giới hạn số lượng liệu truyền Cơ chế làm giảm tối thiểu liệu phải truyền lại gói 3.2.2.2 Cấu trúc gói PPTP - Đóng gói liệu đường hầm PPTP Dữ liệu đường hầm PPTP đóng gói thơng qua nhiều mức: đóng gói khung PPP, đóng gói GRE, đóng gói lớp liên kết liệu Cấu trúc gói liệu đóng gói Tiêu đề Tiêu Tiêu đề Tiêu Tải PPP mã Phần đuôi liên liên kết đề IP GRE đề PPP hóa (IP, IPX, kết liệu liệu NETBEUI) 64 Hình 4.4 Giao diện điều khiển Exchange 2010 4.3 MailServer Mdaemon Hiện thị trường có nhiều phần mềm cho phép cài đặt quản trị hệ thơng thư điện tử nói chung chúng có tính tương tự Mdaemon phần mềm Mailserver nghiên cứu phát triển công ty Altn (http://www.altn.com/) Mdaemon phần mền quản lý thư điện tử chạy Windows thiết kế sử dụng từ sáu account đến hàng nghìn account MDaemon đơn giản dễ cấu hình, đồng thời phần mền có giá thành hợp lý lại có nhiều đặc tính cho phép dễ quản lý hệ thống thư điện tử khác thị trường Mdaemon phần mềm Mailserver dễ triển khai với sở hạ tầng mạng không yêu cầu cao Mdaemon có số đặc điểm sau: - MDaemon phần mềm có giao diện thân thiện với người dùng - Chạy hệ điều hành thơng dụng Microsoft - Có khả quản lý hàng trăm tên miền hàng nghìn người dùng (phụ thuộc nhiều yếu tố dung lượng đường truyền, phần cứng server) Có cung cấp nhiều cơng cụ hữu ích cho việc quản trị hệ thống đảm bảo an toàn cho hệ thống thư điện tử : •Contant filter : Cho phép chống Spam khơng cho phép gửi nhận thư đến từ địa xác định •MDaemon Virus Scan : Quét thư qua để tìm diệt virus email •Ldap : MDaemon có hỗ trợ sử dụng thủ tục Ldap cho phép máy chủ sử dụng chung sở liệu account •Domain Gateway: Hỗ trợ cho phép quản lý thư gateway sau chuyển cho tên miền tương ứng •Mailing list: Tạo nhóm người dùng • Public/Shared folder: Tạo thư mục cho phép người quyền sử dụng chung liệu thư mục •DomainPOP: Sử dụng POP để lấy thư •WorldClient: Cho phép người dùng quản lý hộp thư sử dụng web brower •Dconf WebAdmin : Cho phép quản trị hệ thống thư điện tử từ xa webadmin 96 cho phép quản trị web brower 97 CHƯƠNG 5: GIÁM SÁT HỆ THỐNG MẠNG 5.1 Tổng quan giám sát mạng 5.1.1 Khái niệm Tất tổ chức, doanh nghiệp khác nhau, ảnh hưởng hệ thống mạng hoạt động doanh nghiệp không thay đổi Thực tế, doanh nghiệp phát triển, mạng lưới phát triển không quy mô tính phức tạp, mà cịn ý nghĩa giá trị Rất nhanh chóng, hệ thống mạng khơng hỗ trợ cơng ty, mà đại diện cho công ty Điều hiển nhiên tổ chức mà hoạt động họ phụ thuộc vào mạng Tuy nhiên, cấp độ nhất, mạng xem hợp tác, giao tiếp, thương mại - tất thứ mà giữ cho doanh nghiệp hoạt động phát triển Đó nơi ứng dụng kinh doanh tổ chức, nơi mà thông tin quan trọng khách hàng, sản phẩm, thông tin kinh doanh lưu trữ Với nguồn tài nguyên quan trọng việc đảm bảo cho nguồn tài nguyên hoạt động liên tục vấn đề thiết yếu Và thách thức có nhiều mối nguy tiềm tàng hackers, công từ chối dịch vụ, virus, cắp thông tin đe dọa đến hệ thống tổ chức hay doanh nghiệp dẫn tới việc hệ thống ngưng hoạt động, liệu làm giảm độ tin cậy lợi ích thu từ hệ thống Ngồi ra, hệ thống mạng ngày phát triển mạnh, với công nghệ mới, thiết bị mới, cấu trúc mới, chẳng hạn ảo hóa hay kiến trúc hướng dịch vụ Quản lý mạng lĩnh vực rộng tích hợp chức giám sát thiết bị, quản lý ứng dụng, an ninh, bảo trì, dịch vụ, xử lý cố, nhiệm vụ khác – lý tưởng tất công việc điều phối giám sát quản trị viên mạng đáng tin cậy có kinh nghiệm Tuy nhiên, quản trị mạng có khả hiểu biết có thơng tin hệ thống mà nhìn thấy Quản trị viên cần phải biết xảy mạng họ vào lúc, bao gồm thời gian thực thông tin lịch sử sử dụng, hiệu suất, tình trạng tất ứng dụng, thiết bị, tất liệu mạng 98 Đây lĩnh vực giám sát mạng, chức quan trọng quản lý mạng Cách để biết tất thứ mạng hoạt động phải giám sát thành phần hệ thống mạng cách liên tục 5.1.2 Các lĩnh vực cần phải giám sát hệ thống mạng Đối với hệ thống mạng, điều quan trọng có thơng tin xác vào thời điểm Tầm quan trọng nắm bắt thơng tin trạng thái thiết bị vào thời điểm tại, biết thông tin dịch vụ, ứng dụng hệ thống Bảng sau chứa đại diện vài thông tin trạng thái hệ thống mà ta phải biết lý Bảng 5.1: Thông tin trạng thái hệ thống Các lĩnh vực cần giám sát hệ thống mạng Lý cần phải giám sát Tính sẵn sàng thiết bị (router, Đây thành phần chủ chốt giữ cho switch, server,…) mạng hoạt động Tính sẵn sàng dịch vụ quan trọng hệ thống Toàn hệ thống không phép ngưng hoạt động dẫn tới việc mát liệu hay email, hay dịch vụ HTTP, FTP dù ảnh hưởng nghiêm trọng tới tổ chức Dung lượng đĩa trống máy chủ Các ứng dụng địi hỏi dung lượng đĩa Chính cần giám sát thơng tin để xử lý kịp thời không ảnh hưởng tới ứng dụng quan trọng Phần trăm trung bình mức tải router Cần nâng cấp hệ thống trước xảy tải dẫn tới ảnh hưởng hệ thống Mức trung bình tải nhớ xử lý máy chủ quan trọng Nếu nhớ hay xử lý bị sử dụng hết làm ngưng trệ hệ thống Chức firewall, chống virus, cập nhật server, chống spyware, malware Cần phải đảm bảo an ninh cho hệ thống Lượng liệu vào router Cần xác định xác thơng tin lượng liệu để tránh tải hệ thống 99 Các kiện viết log WinEvent or Syslog Có thể thu thơng tin xác tượng xảy hệ thống SNMP traps nhiệt độ phịng máy chủ hay thơng tin máy in Ta biết thông tin máy in bị hư hỏng hay cần thay mực trước người dùng báo đảm bảo máy chủ không bị nóng Khi có cố xảy ra, ta cần phải cảnh báo lập tức, thông qua cảnh báo âm thanh, qua hình hiển thị, qua email tự động tạo chương trình giám sát Ta biết sớm diễn có nhiều thơng tin đầy đủ cảnh báo sớm khắc phục cố Những lý hàng đầu cho việc cần thiết phải sử dụng hệ thống giám sát mạng: Biết xảy hệ thống: giải pháp giám sát hệ thống cho phép thơng báo tình trạng hoạt động tài ngun hệ thống Nếu khơng có chức ta phải đợi đến người dùng thông báo Lên kế hoạch cho việc nâng cấp, sửa chữa: thiết bị ngưng hoạt động cách thường xuyên hay băng thông mạng gần chạm tới ngưỡng lúc cần phải có thay đổi hệ thống Hệ thống giám sát mạng cho phép ta biết thơng tin để có thay đổi cần thiết Chẩn đoán vấn đề cách nhanh chóng: giả sử máy chủ ta kết nối tới Nếu hệ thống giám sát ta khơng thể biết nguyên nhân từ đâu, máy chủ hay router switch Nếu biết xác vấn đề ta giải cách nhanh chóng Xem xét hoạt động: báo cáo đồ họa giải thích tình trạng hoạt động hệ thống Đó cơng cụ tiện lợi phục vụ cho trình giám sát Biết cần áp dụng giải pháp lưu phục hồi: với đủ cảnh báo cần thiết ta nên lưu liệu hệ thống phịng trường hợp hệ thống bị hư hại lúc Nếu khơng có hệ thống giám sát ta khơng thể biết có vấn đề xảy trễ 100 Đảm bảo hệ thống bảo mật hoạt động tốt: tổ chức tốn nhiều tiền cho hệ thống bảo mật Nếu hệ thống giám sát ta khơng thể biết hệ thống bảo mật ta có hoạt động mong đợi hay không Theo dõi hoạt động tài nguyên dịch vụ hệ thống: hệ thống giám sát cung cấp thơng tin tình trạng dịch vụ trện hệ thống, đảm bảo người dùng kết nối đến nguồn liệu Được thông báo tình trạng hệ thống khắp nơi: nhiều úng dụng giám sát cung cấp khả giám sát thông báo từ xa cần có kết nối Internet Đảm bảo hệ thống hoạt động liên tục: tổ chức ta phụ thuộc nhiều vào hệ thống mạng, tốt người quản trị cần phải biết xử lý vấn đề trước cố nghiêm trọng xảy Tiết kiệm tiền: với tất lý trên, ta giảm thiểu tối đa thời gian hệ thống ngưng hoạt động, làm ảnh hưởng tới lợi nhuận tổ chức tiết kiệm tiền cho việc điều tra có cố xảy 5.2 Giao thức quản lý mạng đơn giản – SNMP số phần mềm giám sát mạng 5.2.1 Giao thức quản lý mạng đơn giản – SNMP 5.2.1.1 Khái niệm SNMP bao gồm tập lệnh đơn giản cho phép người quản trị có khả biết thay đổi trạng thái thiết bị quản lý Ví dụ sử dụng SNMP để tắt cổng router hay kiểm tra tốc độ cổng SNMP giám sát nhiệt độ thiết bị cảnh báo nhiệt độ q cao… SNMP gồm có phiên là: SNMP Version (SNMPv1) định nghĩa RFC 1157 Khả bảo mật SNMPv1 dựa nguyên tắc cộng đồng, cho phép ứng dụng chạy SNMP truy xuất thơng tin thiết bị chạy SNMP khác Có tiêu chuẩn là: read-only, read-write, trap SNMP Version (SNMPv2): tính bảo mật phiên dưa chuỗi “community” Do phiên cịn gọi SNMPv2c định nghĩa RFC 1905, 1906, 1907 101 SNMP Version (SNMPv3): định nghĩa RFC 1905, 1906, 1907, 2571, 2572, 2573, 2574, 2575 Phiên hỗ trợ chức thực mạnh, cho phép truyền thơng riêng tư có xác nhận thực thể 5.2.1.2 Các thành phần SNMP Trong mơi trường SNMP có loại thực thể là: managers agents Manager máy chủ chạy phẩn mềm quản lý Managers thông thường xem Network Management Stations (NMSs) Một NMS chịu trách nhiệm cho việc Poll nhận Traps từ agent mạng Poll hành động truy vấn agent (router, switch, Unix server,…) để lấy thông tin cần thiết Trap cách để agent thông báo cho NMS biết chuyện xảy Trap khơng gửi cách đồng nghĩa khơng chịu trách nhiệm hồi báo truy vấn NMS mà thông báo có vấn đề xảy Ví dụ, liên kết T1 router bị kết nối, router gửi Trap đến NMS Thực thể thứ hai Agent: phần mềm chạy thiết bị mạng cần quản lý Nó chương trình riêng biệt tích hợp vào hệ điều hành (ví dụ Cisco IOS router hay hệ điều hành cấp thấp quản lý UPS-bộ tích điện) Ngày nay, hầu hết thiết bị hoạt động dựa tảng IP kèm với phần mềm SMNP agent giúp người quản trị quản lý thiết bị cách dễ dàng Agent cung cấp thông tin cho NMS cách theo dõi hoạt động thiết bị Ví dụ, agent router theo dõi trạng thái cổng router NMS truy vấn trạng thái cổng có hành động thích hợp cổng xảy vấn đề Khi agent phát có vấn đề xảy thiết bị gửi trap đến NMS Một vài thiết bị gửi hồi báo “all clear” trap có chuyển đổi từ trạng thái xấu sang tốt Điều có ích việc xác định vần để giải Hình bên mô tả mối quan hệ NMS Agent 102 Hình 5.1: Mơ hình hoạt động NMS Agent Điều quan trọng cần phải xác định rõ Poll Trap xảy lúc Khơng có hạn chế NMS truy vấn Agent Agent gửi trap đến NMS Management Information Base (MIB) xem giống sở liệu đối tượng quản lý mà agent theo dõi Bất trạng hay thơng tin thống kê truy cấp NMS định nghĩa MIB SMI cung cấp cách thức để định nghĩa đối tượng quản lý, MIB định nghĩa xác đối tượng 5.2.1.3 Hoạt động giao thức SNMP Quá trình hoạt động SNMP mô tả theo sơ đồ SNMP sử dụng Protocol Data Unit (PDU) định dạng thông điệp mà manager agent sử dụng để gửi, nhận thơng tin Có định dạng chuẩn PDU cho hoạt động SNMP sau: 103 Hình 5.2: Mơ hình hoạt động SNMP Get: Được gửi từ NMS yêu cầu tới agent Agent nhận yêu cầu xử lý với khả tốt Nếu thiết bị bận tải nặng, router, khơng có khả trả lời yêu cầu nên hủy lời yêu cầu Nếu agent tập hợp đủ thông tin cần thiết cho lời yêu cầu, gửi lại cho NMS ”get-response”: Get-next: Đưa dãy lệnh để lấy thơng tin từ nhóm MIB Agent trả lời tất đối tượng có câu truy vấn ”getnext” tương tự ”get”, hết đối tượng dãy Get-bulk (SNMPv2 SNMPv3): Được định nghĩa SNMPv2 Nó cho phép lấy thông tin quản lý từ nhiều phần bảng Dùng ”get” làm điều Tuy nhiên, kích thước câu hỏi bị giới hạn agent Khi khơng thể trả lời tồn u cầu, gửi trả thơng điệp lỗi mà khơng có liệu Với trường hợp dùng câu lệnh ”get-bulk”, agent gửi nhiều trả lời Do đó, việc trả lời phần yêu cầu xảy Hai trường cần khai báo ”get-bulk” là: 104 ”nonrepeaters” ”max-repetitions” ”nonrepeaters” báo cho agent biết N đối tượng trả lời lại câu lệnh ”get” đơn ”maxrepeaters” báo cho agent biết cần cố gắng tăng lên tối đa M yêu cầu ”getnext” cho đối tượng lại Set: Để thay đổi giá trị đối tượng thêm hàng vào bảng Đối tượng cần phải định nghĩa MIB ”read-write” hay ”write-only” NMS dùng ”set’ để đặt giá trị cho nhiều đối tượng lúc: Get-response: Là thông báo lỗi từ agent Trap: Là cảnh báo agent tự động gửi cho NMS để NMS biết có tình trạng xấu agent Khi nhận ”trap” từ agent, NMS khơng trả lời lại ”ACK” Do agent biết lời cảnh báo có tới NMS hay khơng Khi nhận ”trap” từ agent, tìm xem ”trap number” để hiểu ý nghĩa ”trap” Notification (SNMPv2 SNMPv3): Để chuẩn hóa định dạng PDU ”trap” SNMPv1 PDU ”get” ”set” khác nhau, SNMPv2 đưa ”NOTIFICATION-TYPE” Định dạng PDU ”NOTIFICATION-TYPE” để nhận ”get” ”set” ”NOTIFICATION-TYPE” định nghĩa RFC 2863 Inform (SNMPv2 SNMPv3): SNMPv2 cung cấp chế truyền thông NMS với nhau, gọi SNMP inform Khi NMS gửi SNMP inform cho NMS khác, NMS nhận gửi trả ACK xác nhận kiện Việc giống với chế “get” “set” SNMP inform dùng để gửi SNMPv2 Trap đến NMS Trong trường hợp agent thông báo NMS nhận Trap Report (SNMPv2 SNMPv3): Được định nghĩa nháp SNMPv2 không phát triển Sau đưa vào SNMPv3 hy vọng dùng để truyền thông hệ thống SNMP với 105 5.2.2 Một số phần mềm giám sát mạng thường gặp 5.2.2.1 Multi Router Traffic Grapher (MRTG) MRTG công cụ giám sát mạng xuất từ lâu cung cấp thông tin hữu ích Giống tất công cụ khác này, MRTG thu thập thông tin cách sử dụng SNMP (Simple Network Management Protocol) sau hiển thị xu hướng liệu Trong hình , ta xem liệu hàng ngày router giám sát MRTG Đây sức mạnh thực công cụ – chúng cung cấp cho người dùng liệu cần thiết để đưa định cho dịch vụ sở hạ tầng Hình 5.3: Đồ thị biểu liệu hàng ngày MRTG thu 5.2.2.2 Cacti Trước tiên, nói đơi chút thơng tin RRDTool cơng cụ tạo lập trình viên tạo MRTG RRDTool thiết kế với mục đích chung “khả ghi liệu hoạt động tốt lập đồ họa cho toàn hệ thống” Về bản, bạn cần phương pháp để giám sát thứ khoảng thời gian, RRDTool lựa chọn hợp lý Vậy làm với Cacti? Bản chất RRDTool khơng thực tiện ích Nó cần chế để thu thập liệu background mà RRDTool sử dụng để tạo đồ họa Cacti hệ thống ngoại vi cho RRDTool Nó sử dụng sở liệu MySQL để lưu trữ thông tin RRDTool cần để tạo đồ thị Cacti cho phép người dùng tạo nguồn liệu (thông thường kết nối SNMP để giám sát thiết bị), thu thập liệu từ thiết bị này, cho phép người dùng nhóm đồ họa lại giống 106 hệ thống, cho phép quản lý phân quyền cho người dùng liệu giám sát nhiều tính khác Cũng với MRTG, Cacti cung cấp cho người dùng nhiều khoảng thời gian để xem thơng tin thu thập Trong hình , ta biết Cacti thực tốt công việc hiển thị xu hướng thông tin dạng đồ thị Ở bên trái hiển thị, xem cách Cacti cho phép nhóm đồ thị để giúp thứ dễ tìm Cacti yêu cầu người dùng thiết lập từ đầu để sử dụng.Chúng ta tăng tốc q trình triển khai cách trả mức phí nhỏ để download máy tính ảo cấu hình trước từ JumpBox Hình 5.4: Cacti giúp việc quản lý nhiều đồ thị dễ dàng 5.2.2.3 Observium Theo thông tin trang web Observium: “Observium công cụ giám sát mạng dựa khả tự động dị tìm PHP/MySQL/SNMP, bao gồm hỗ trợ cho nhiều phần cứng mạng hệ điều hành, bao gồm Cisco, Linux, FreeBSD, Juniper, Brocade, Foundry, HP, ” Phần mềm Observium nhiều người yêu thích Nó cung cấp nhiều thơng tin theo cách dễ quản lý Nếu bạn tìm kiếm cơng cụ quản lý mạng hiệu quả, download sử dụng phần mềm Observium 107 Thêm vào đó, phần mềm hồn tồn miễn phí Trong hình , ý cách Observium chuyển tất thông tin quan trọng lên trước Bạn xem thơng tin trước định dạng dễ đọc Hiǹ h 5.5: Màn hình đồ thị băng thơng Observium 5.2.2.4 Nagios Core Nagios công cụ để giám sát hệ thống Điều có nghĩa liên tục kiểm tra trạng thái máy dịch vụ khác máy Mục đích hệ thống giám sát để phát báo cáo hệ thống không hoạt động, sớm tốt, đó, ta nhận thức vấn đề trước người dùng sử dụng Nagios không thực kiểm tra máy chủ dịch vụ máy chủ Nagios Nó sử dụng plugin để thực việc kiểm tra thực tế Điều làm cho có tính linh hoạt cao, giải pháp hiệu cho việc thực kiểm tra dịch vụ Đối tượng giám sát Nagios chia thành hai loại: host dịch vụ Host máy vật lý (máy chủ, định tuyến, máy trạm, máy in vv), dịch vụ chức cụ thể, ví dụ, máy chủ web (một q trình xử lý http) định nghĩa dịch vụ giám sát Mỗi dịch vụ có liên quan đến máy chủ dịch vụ chạy Ngồi ra, hai máy dịch vụ nhóm lại thành nhóm dịch cho phù hợp 108 Hình 5.6: Các đối tượng cần giám sát Nagios Nagios có hai ưu điểm lớn nói đến q trình giám sát, thay theo dõi giá trị, sử dụng bốn mức độ để mơ tả tình trạng: OK, WARNING, CRITICAL, UNKNOW Các mơ tả tình trạng đối tượng giám sát cho phép người quản trị giải hay bỏ qua vấn đề hệ thống mà không tốn nhiều thời gian Đây điều Nagios làm Nếu ta theo dõi giá trị số số lượng không gian đĩa tải CPU, ta định nghĩa ngưỡng giá trị để cảnh báo cần thiết Một thuận tiện khác Nagios báo cáo trạng thái dịch vụ hoạt động Báo cáo cung cấp nhìn tổng quan tốt tình trạng sở hạ tầng Nagios cung cấp báo cáo tương tự cho nhóm máy chủ nhóm dịch vụ, cảnh báo dịch vụ quan trọng sở liệu server ngưng hoạt động Báo cáo giúp xác định độ ưu tiên vấn đề vấn đề cần giải trước Nagios thực tất kiểm tra cách sử dụng plugins Đây thành phần bên ngồi mà Nagios qua lấy thơng tin cần kiểm tra cung cấp cảnh báo cho người quản trị Plugins có trách nhiệm thực kiểm tra phân tích kết Các đầu từ kiểm tra trạng 109 thái (OK, WARNING, CRITICAL, UNKNOW) văn bổ sung cung cấp thông tin dịch vụ cụ thể Văn chủ yếu dành cho quản trị viên hệ thống để đọc trạng thái chi tiết dịch vụ Nagios không cung cấp hệ thống cốt lõi để theo dõi, mà cung cấp tập plugins tiêu chuẩn gói riêng biệt (xem http://nagiosplugins.org/ để biết thêm chi tiết) Những plugin cho phép kiểm tra dịch vụ chạy hệ thống Ngoài ta muốn thực thi kiểm tra đặc biệt, ta tạo plugin riêng cho 110 ... xảy 5 .2 Giao thức quản lý mạng đơn giản – SNMP số phần mềm giám sát mạng 5 .2. 1 Giao thức quản lý mạng đơn giản – SNMP 5 .2. 1.1 Khái niệm SNMP bao gồm tập lệnh đơn giản cho phép người quản trị có... cách ý lock-step (one-at-a-time) Đố số lệnh mail reverse-path đặc tả mail từ đâu đến, đối số cho RCPT Forward-path có đặc tả mail đến đâu Forward-path lộ trình nguồn, reverse-path lộ trình trở... RFC 1905, 1906, 1907, 25 71, 25 72, 25 73, 25 74, 25 75 Phiên hỗ trợ chức thực mạnh, cho phép truyền thông riêng tư có xác nhận thực thể 5 .2. 1 .2 Các thành phần SNMP Trong mơi trường SNMP có loại thực