Bài giảng Quản lý mạng: Chương 4 được biên soạn bởi GV. Nguyễn Thị Phương Dung nhằm trang bị cho sinh viên kiến thức về mô hình truyền thông SNMP-IETF; Giới thiệu gia o thức SNMP; Mối quan hệ điều khiển truyền thông; Quản trị sự kiện;... Mời các bạn cùng tham khảo bài giảng tại đây.
Luu hanh noi bo cntt2.ptithcm.edu.vn Chương Mơ hình truyền thơng SNMP-IETF Mơ hình truyền thơng SNMP-IETF Giới thiệu giao thức SNMP Hoạt động giao thức SNMPv1 Hoạt động giao thức SNMPv2 Hoạt động giao thức SNMPv3 Mối quan hệ điều khiển truyền thông Quản trị kiện Communication Model Collection of management Information Agent NMS Manager Mgmt Appls Request for information Polling Setting Managed Mgmt objects Notification/ Trapping Mnged resources Mgmt protocol (SNMP) MIB MIB WAN Challenges: Evolution of SNMP - Reliability - Security - Efficiency - Optimizing Bg.Quản lý mạng GV NTPDung Solutions Events mgmt Luu hanh noi bo cntt2.ptithcm.edu.vn Mơ hình tổ chức SNMP/ IETF Web serrver NMS Manager Process Agent Process User process Central MIB SNMP SNMP UDP IP Mibs Network-dependent Protocol Mail Serrver Agent Process User processes SNMP SMTP UDP TCP IP Mibs HTTP UDP Network-dependent Protocol TCP IP Network-dependent Protocol Router Manager Process SNMP UDP IP Network-dependent Protocol Mibs 4.1 Mơ hình truyền thông SNMP/ IETF (1/2) Ports & UDP Bg.Quản lý mạng GV NTPDung Luu hanh noi bo cntt2.ptithcm.edu.vn 4.3 Mơ hình truyền thơng SNMP/ IETF (1/2) Ports & UDP •SNMP uses User Datagram Protocol (UDP) as the transport mechanism for SNMP messages Ethernet Frame IP Packet SNMP Message UDP Datagram CRC •Like FTP, SNMP uses two well-known ports to operate: •UDP Port 161 – SNMP Get/ Getnext/GetBulk Messages •UDP Port 162 - SNMP Trap Messages Định dạng thông điệp điều khiển SNMP P DU P DU Type Field Value variable bindings: GetRequest GetNextRequest VALUE NAME VALUE NAME GetResponse SetRequest Trap SNMP PDU: * PDU TYPE REQUEST ERROR ID STATUS ERROR INDEX ••• ••• NAMEn VALUEn VARIABLE BINDINGS SNMP message: VERSION COMMUNITY Bg.Quản lý mạng GV NTPDung SNMP PDU Luu hanh noi bo cntt2.ptithcm.edu.vn Định dạng thông điệp điều khiển SNMP variable bindings: NAME1 VALUE NAME2 VALUE ••• ••• NAMEn VALUEn SNMP PDU: * PDU TYPE REQUEST ERROR ID STATUS ERROR INDEX VARIABLE BINDINGS 4.2 Hoạt động giao thức SNMPv1 MANAGER AGENT SNMP MESSAGES UDP UDP IP IP LINK LINK Bg.Quản lý mạng GV NTPDung MIB Luu hanh noi bo cntt2.ptithcm.edu.vn Minh họa thông điệp điều khiển SNMPv1 SET yêu cầu cấu trúc MIB liên quan - ACCESS: - READ-ONLY - Get, Trap, Set, Response - READ-WRITE - Set SysUpTime OBJECT-TYPE SYNTAX Time-Ticks ACCESS read-only STATUS mandatory DESCRIPTION “Time since the network management portion of the system was last re-initialised ::= {system 3} ipDefaultTTL OBJECT-TYPE SYNTAX INTEGER ACCESS read-write STATUS mandatory DESCRIPTION : "The default value inserted into the Time-To-Live field of the IP header of datagrams originated at this entity, whenever a TTL value is not supplied by the transport layer protocol." ::= { ip } Bg.Quản lý mạng GV NTPDung Luu hanh noi bo cntt2.ptithcm.edu.vn TRAP - PDU FORMAT ENTERPRISE AGENT-ADDRESS GENERIC-TRAP SPECIFIC-TRAP TIME-STAMP VARIABLE-BINDINGS TRAP - PDU FORMAT ENTERPRISE AGENT-ADDRESS GENERIC-TRAP SPECIFIC-TRAP TIME-STAMP VARIABLE-BINDINGS Bg.Quản lý mạng GV NTPDung Luu hanh noi bo cntt2.ptithcm.edu.vn Generic Trap Tra p V a lue Me aning ColdStart Reinitialized => A ge nt’s configuration or entity implementation m ay be altered WarmStart Reinitialized => but n e ither the a gent’s configuration n or the protocol entity implementation has been altered LinkDown A communication link has failed > name and value of the ifIndex instance LinkUp A communication link has come up name and value of the ifIndex instance Authentication Failure The com munity name was incorrect EgpNeighborLoss An E GP peer neighbor is down EnterpriseSpecific It’s up to the Specific Tra p Type field and Enterprise field Cơ chế bảo mật SNMP (1/2) SNMP sử dụng Community Strings passwords – Được sử dụng để định nghĩa nơi mà thông điệp SNMP hướng đến Cần thiết lập “community name” tập tham biến đối tượng quản trị cụ thể nhóm quản trị phân cấp quản trị Thiết lập các ứng dụng quản trị công tác giám sát nhận cảnh báo (alert/ trapping) Bg.Quản lý mạng GV NTPDung Luu hanh noi bo cntt2.ptithcm.edu.vn Cơ chế bảo mật SNMP (2/2) Có loại chuổi community định mức quyền hạn khác việc truy xuất thông tin quản trị: READ-ONLY: thực lệnh Get hay GetNext READ-WRITE: thực lệnh Get, GetNext, Set Nếu đối tượng quản trị có thuộc tính ACCESS mang gía trị “read-write” lệnh Set thực TRAP: cho phép người quản trị nhóm thành phần quản trị vào cộng đồng quản trị cụ thể Polling-> Get Request SNMP Bg.Quản lý mạng GV NTPDung Luu hanh noi bo cntt2.ptithcm.edu.vn Polling-> Get Response SNMP Polling-> GetNext Request SNMP Bg.Quản lý mạng GV NTPDung Luu hanh noi bo cntt2.ptithcm.edu.vn Polling-> GetNext Response SNMP Trapping -> Trap SNMPv1 Bg.Quản lý mạng GV NTPDung 10 Luu hanh noi bo cntt2.ptithcm.edu.vn 4.4 Phiên SNMPv3 Giới thiệu Những định thiết kế SNMPv3 Kiến trúc SNMPv3 Cấu trúc thông điệp SNMPv3 Bảo mật truyền thông SNMPv3 – Mô hình bảo mật dựa người dùng- USM/ USER SECURITY MODEL Điều khiển truy cập – Mơ hình điều khiển truy cập dựa vào MIB View • VIEW BASED ACCESS CONTROL MODEL (VACM) Các chuẩn RFCs liên quan Bảo mật truyền thông vs điều khiển truy cập MANAGER AGENT MIB MANAGER ACCESS CONTROL APPLICATION PROCESSES SECURE COMMUNICATION GET / GET-NEXT / GETBULK SET / TRAP / INFORM TRANSPORT SERVICE Bg.Quản lý mạng GV NTPDung 19 Luu hanh noi bo cntt2.ptithcm.edu.vn Mức bảo mật sử dụng snmpSecurityLevel – no authentication or privacy (noAuthNoPriv) • Vẫn sử dụng “securityName” – Authentication and no privacy (authNoPriv) – Authentication and privacy (authPriv) ACCESS CONTROL TABLES MIB VIEW ALLOWED OPERATIONS ALLOWED MANAGERS REQUIRED LEVEL OF SECURITY Interface Table SET John Authentication Encryption Interface Table GET / GETNEXT John, Paul Authentication Systems Group GET / GETNEXT George None ••• ••• ••• ••• ••• ••• ••• ••• ••• ••• ••• ••• ••• ••• ••• ••• Bg.Quản lý mạng GV NTPDung 20 Luu hanh noi bo cntt2.ptithcm.edu.vn Các bước cấu hình bảo mật cho SNMPv3 Username :Mô tả dạng text người chịu trách nhiệm cho thực thể SNMP cần quản trị (security name) Security level: noAuthNoPriv, authNoPriv, authPriv • Chú ý: khơng thể có privacy mà khơng “authentication”, “ authentication” mà khơng cần “privacy” Authentication protocol: MD5 SHA1 – Authentication passphrase: passphrase sử dụng tương ứng với giao thức xác thực liên quan Privacy protocol: sử dụng để mã hóa liệu gói SNMP (DES) – Privacy passphrase: sử dụng với thuật tóan mã hóa liên quan Các RFCs liên quan SNMPv3 RFC 2571 SNMP ENTITY SNMP APPLICATIONS RFC 2573 OTHER SNMP ENGINE RFC 2572 DISPATCHER Bg.Quản lý mạng GV NTPDung RFC 2572 MESSAGE PROCESSING SUBSYSTEM USM: RFC 2574 SECURITY SUBSYSTEM VACM: RFC 2575 ACCESS CONTROL SUBSYSTEM 21 Luu hanh noi bo cntt2.ptithcm.edu.vn 4.5 Quản lý mối quan hệ thành phần kiến trúc quản trị (1/5) Các mối quan hệ kiến trúc quản trị (2/5) Giao thức quản trị cho phép hệ thống quản trị NMS thành phần quản trị tương tác với – Sử dụng SNMP hay CMIP MIB View tập đối tượng quản trị đặc trưng cho thiết bị quản trị Cặp giá trị giống mật gọi “The SNMP community “ lưu trử SNM hệ thống quản trị phục vụ cho xác thực quyền quản trị mib-view Phương thức xác thực- Authentication protocol: giao thức SNMP (sử dụng phiên v.3) Bg.Quản lý mạng GV NTPDung 22 Luu hanh noi bo cntt2.ptithcm.edu.vn Các mối quan hệ kiến trúc quản trị (3/5) Application management entity: thực thể ứng dụng quản trị quản trị thực chức truyền thông SNMP SNMP access mode định kiểu thao tác tham biến quản trị lưu trử thành phần quản trị, thực thể ứng dụng quản trị quản lý – read-only hay read-write Kết hợp SNMP community string SNMP access mode cho phép xác thực người có quyền hạn truy cập vào tham biến quản trị lưu trử thành phần quản trị – Authentication & Authorization Các mối quan hệ kiến trúc quản trị (4/5) Kết hợp Mib-view, SNMP community string SNMP access mode cho phép thực phân cấp quản trị cụ thể theo chức quản trị – Community profile giá trị tạo SNMP access mode SNMP MIB View cho phép xác định đặc quyền truy xuất vào tập tham biến quản trị MIB view – SNMP access policy : sách truy cập cặp giá trị SNMP community với SNMP community profile Bg.Quản lý mạng GV NTPDung 23 Luu hanh noi bo cntt2.ptithcm.edu.vn Các mối quan hệ kiến trúc quản trị (5/5) SNMP proxy agent cung cấp chức quản trị đại diện cho thực thể mạng truy cập trực tiếp vào không sử dụng giao thức quản trị hay mô hình tổ chức 4.6 Quản lý kiện Cơng tác quản lý kiện Các kiểu thu thập thông tin quản trị – Chức báo cáo cảnh báo (trapping/ alert; events report) – Chức báo cáo thường kỳ (polling) – Chức báo cáo nhật ký (logfile/ syslog ) Bg.Quản lý mạng GV NTPDung 24 Luu hanh noi bo cntt2.ptithcm.edu.vn Công tác quản lý kiện Xây dựng phát triển chiến lược quản trị kiện Tối ưu công tác quản trị kiện Tận dụng tất loại công cụ quản trị có sẳn – Tích hợp cơng cụ để đạt thuận tiện chiến lượt quản trị kiện Nhận biết cố xảy Triển khai Các chuẩn cảnh báo xác nhân – Syslog – Polling – Trapping/ alert Các yêu cầu thu thập thong tin Thỏa mản chất lượng thông tin quản trị thu thập – Có thể phân tích – Đủ thơng tin để phản ảnh thực trạng hoạt động mạng – Tính đồng thông tin nhận – Độ tin cậy thông tin nhận – Các dạng thức báo/ kết xuất hình hay file – Dạng biểu đồ – Dạng văn – Dạng sở liệu Hiệu suất tài nguyên mạng – Bandwidth , CPU, Memory Bg.Quản lý mạng GV NTPDung 25 Luu hanh noi bo cntt2.ptithcm.edu.vn Loại thông tin cần thu thập Chi tiết lưu lượng thông tin thống kê link hay interface – Addresses (Src-Addr, Dst-Addr) – Application (port numbers) – QoS (DSCP) – Time stamps (ICMPs) – Routing and peering Thông tin điều khiển (header) hay chi tiết nội dung liệu người dùng (payload) Thông tin thô ( thông tin lớp 2), thông tin lớp cao (lớp 3, lớp ) Xây dựng phát triển chiến lược quản trị kiện (1/2) Nhận diện kiện đặc trưng hệ thống cần quản trị – Xác định thông số quản trị tương ứng – Mib view Nhận diện nguồn liên kết với kiện Xác định luồng kiện công cụ quản trị liên quan đảm trách việc giám sát thu thập kiện Hợp kiện đến hệ thống quản lý kiện chung->DB Nhận diện tình đặc biệt phương án xử lý kịp thời Bg.Quản lý mạng GV NTPDung 26 Luu hanh noi bo cntt2.ptithcm.edu.vn Xây dựng phát triển chiến lược quản trị kiện (2/2) Nhận diện kiện theo đặc trưng họat động thiết bị: – Nhận diện thiết bị Hub • Vấn đề coliision – Nhận diện thiết bị Switch • Broadcast storm – Nhận diện thiết bị router • Fragment/ reassembly • Routing – Nhận diện hệ thống web server • Efficiency • Error codes • Retransmission Tối ưu cơng tác quản trị kiện (1/2) Loại trừ kiện không cần thiết: luật 20/80 Tập trung vào việc xử lý 20% kiện quan trọng mà chúng gây nên 80% lỗi – Thống kê lỗi (trouble tickets) – Phát triển luật để bẩy kiện- ( rules) – Sử dụng lọc phù hợp (Apply filters) – Hoạch định kiện với phương pháp báo: – Gởi cảnh báo (alert/ trapping) – Ghi vào nhật ký (log file) Bg.Quản lý mạng GV NTPDung 27 Luu hanh noi bo cntt2.ptithcm.edu.vn Tối ưu công tác quản trị kiện (2/2) Sử dụng tích hợp kiện tương quan (event correlation) Tổ chức kiện theo phân nhóm Phân cấp quản trị Phân nhóm quản trị – theo chức quản trị, – theo loại hệ thống, – hay khu vực Tận dụng tất loại công cụ quản trị có sẳn Cơng cụ quản trị khả thực thi (Performance management tools) – Nhận diện thông số quản trị baselines liên quan – Nhận diện thông số quản trị cần cảnh báo ngưỡng liên quan – Chuyển tiếp kiên xảy cho thực thể quản trị kiện liên quan Công cụ quản trị hệ thống (host resources Mibs) – Xác định thông số baselines liên quan đến thành phần: CPU, RAM, Disk… – Giám sát thu thập thơng tin Phân tích nhật ký tự động (parsing logs) Bg.Quản lý mạng GV NTPDung 28 Luu hanh noi bo cntt2.ptithcm.edu.vn Cần tránh lỗi thường gặp: Không quản trị tất hệ thống, thiết bị nối vào mạng – Ví dụ: Khơng quản trị hệ thống không cần thiết laptop, máy in… Phải bảo đảm hệ thống DNS sở liệu liên quan DNS xác hoạt động đắn Tận dụng tối đa hợp đồng, thỏa thuận trì, bảo dưỡng hệ thống, phần mềm ứng dụng Tích hợp cơng cụ Tích hợp cơng cụ quản trị khả thực thi vào môi trường quản trị để đạt thuận tiện chiến lược quản trị kiện Tích hợp cơng cụ quản trị bảo mật vào chung cấu trúc quản trị kiện Tích hợp kiện từ điều khiển tình cụ thể Sử dụng cơng cụ quản trị kiện MoA (Manager to Agents) ; MoM (Manager to Manager) để quản lý kiện: – RMON – SNMPv2 Chuyển kiện quan trọng đến hệ thống quản lý trouble tickets Bg.Quản lý mạng GV NTPDung 29 Luu hanh noi bo cntt2.ptithcm.edu.vn Nhận biết cố xảy Dựa vào chế quản lý kiện: – SNMP Traps/Informs – SYSLOG – Polling – Help Desk Cơ sở liệu lưu trử thơng tin quản trị thu thập trước Phương cách thu thập thông tin Polling Nhận diện tham biến quản trị thiết bị quản trị cần thu thập – Ví dụ: • Số octects hay gói interface • Độ khả dụng tài nguyên mạng (utilization of CPU) Quyết định chi tiết thông tin quản trị thu thập – Chọn thời khoảng thu thập thông tin (Collection interval) – Quan tâm đến mức độ lấy mẫu thông tin quản trị (sample size) Ưu điểm: độ tin cậy cao Hạn chế: ảnh hưởng hiệu suất mạng Bg.Quản lý mạng GV NTPDung 30 Luu hanh noi bo cntt2.ptithcm.edu.vn Phương cách thu thập thông tin Trapping Xác định tham biến ngưỡng cần thiết lập – Cơ sở lựa chọn – Ứng dụng chức quản trị – Xây dựng tình điển cứu (case study) Ưu điểm – Thời gian thực/ real-time – Hiệu suất mạng cao/ efficiency Hạn chế: độ tin cậy Gởi cảnh báo lỗi Bg.Quản lý mạng GV NTPDung 31 Luu hanh noi bo cntt2.ptithcm.edu.vn Thông báo nhận cảnh báo lỗi Các dạng báo cáo thông tin quản trị Báo cáo ngoại lệ (Exceptions) – Chỉ báo vượt ngưỡng thời điểm cụ thể tham biến quản trị quan tâm trước – Báo cáo xu hướng hoạt động (Trends ) • Short term dựa thông tin thu 15 ngày gần • Long term dựa thơng tin thu tháng gần Tính khả dụng bị xâm phạm (Points to Watch) – Nhận diện số tài nguyên có mức sử dụng cao, đe dọa tính sẳn sàng hệ thống Thống kê hệ thống/ máy đầu cuối sử dụng cao (Matrix/ RMON2) Chẩn đốn lỗi (Diagnostics ) – Phân tích, truy tìm nguyên nhân lỗi xảy hay giảm sút khả hoạt động hệ thống Bg.Quản lý mạng GV NTPDung 32 Luu hanh noi bo cntt2.ptithcm.edu.vn Ứng dụng RMON OTHER GROUPS – FILTER GROUP • TO COUNT PACKETS THAT CARRY A SPECIFIC BIT-PATTERN – PACKET CAPTURE GROUP • TO STORE SPECIFIC PACKETS – EVENT GROUP • TO DEFINE THE VARIOUS EVENTS • TO DETERMINE ON LOGGING AND / OR TRANSMISSION OF TRAPS Ứng dụng RMON Chức mối quan hệ giưa đối tượng Bg.Quản lý mạng GV NTPDung 33 ... SNMPv1 SET yêu cầu cấu trúc MIB liên quan - ACCESS: - READ-ONLY - Get, Trap, Set, Response - READ-WRITE - Set SysUpTime OBJECT-TYPE SYNTAX Time-Ticks ACCESS read-only STATUS mandatory DESCRIPTION “Time... ::= { ip } Bg .Quản lý mạng GV NTPDung Luu hanh noi bo cntt2.ptithcm.edu.vn TRAP - PDU FORMAT ENTERPRISE AGENT-ADDRESS GENERIC-TRAP SPECIFIC-TRAP TIME-STAMP VARIABLE-BINDINGS TRAP - PDU FORMAT... quản trị nhóm thành phần quản trị vào cộng đồng quản trị cụ thể Polling-> Get Request SNMP Bg .Quản lý mạng GV NTPDung Luu hanh noi bo cntt2.ptithcm.edu.vn Polling-> Get Response SNMP Polling->