Luu hanh noi bo cntt2.ptithcm.edu.vn Mơ hình truyền thơng SNMP-IETF Giới thiệu giao thức SNMP Hoạt động giao thức SNMPv1 Hoạt động giao thức SNMPv2 Hoạt động giao thức SNMPv3 Mối quan hệ điều khiển truyền thông Quản trị kiện ng th an co ng .c om Chương Mơ hình truyền thơng SNMP-IETF Communication Model du o Collection of management Information Agent cu u NMS Manager Mgmt Appls Request for information Polling Setting Managed Mgmt objects Notification/ Trapping Mnged resources Mgmt protocol (SNMP) MIB MIB WAN Challenges: Evolution of SNMP - Reliability - Security - Efficiency - Optimizing Bg.Quản lý mạngCuuDuongThanCong.com GV NTPDung Solutions Events mgmt https://fb.com/tailieudientucntt Luu hanh noi bo cntt2.ptithcm.edu.vn Mơ hình tổ chức SNMP/ IETF Web serrver NMS Manager Process Agent Process User process Central MIB SNMP SNMP UDP IP Network-dependent Protocol c om Router Mail Serrver Agent Process Manager Process User processes SNMP SNMP SMTP UDP TCP IP ng UDP TCP IP Mibs Network-dependent Protocol IP Network-dependent Protocol Mibs co Network-dependent Protocol ng th an Mibs HTTP UDP cu u du o 4.1 Mơ hình truyền thơng SNMP/ IETF (1/2) Ports & UDP Bg.Quản lý mạngCuuDuongThanCong.com GV NTPDung https://fb.com/tailieudientucntt Luu hanh noi bo cntt2.ptithcm.edu.vn 4.3 Mơ hình truyền thơng SNMP/ IETF (1/2) Ports & UDP •SNMP uses User Datagram Protocol (UDP) as the transport mechanism for SNMP messages IP Packet SNMP Message CRC c om Ethernet Frame UDP Datagram •Like FTP, SNMP uses two well-known ports to operate: ng th an co •UDP Port 162 - SNMP Trap Messages ng •UDP Port 161 – SNMP Get/ Getnext/GetBulk Messages P DU du o Định dạng thông điệp điều khiển SNMP u variable bindings: GetRequest P DU Type Field Value cu GetNextRequest VALUE NAME VALUE NAME GetResponse SetRequest Trap SNMP PDU: * PDU TYPE REQUEST ERROR ID STATUS ERROR INDEX ••• ••• NAMEn VALUEn VARIABLE BINDINGS SNMP message: VERSION COMMUNITY Bg.Quản lý mạngCuuDuongThanCong.com GV NTPDung SNMP PDU https://fb.com/tailieudientucntt Luu hanh noi bo cntt2.ptithcm.edu.vn c om Định dạng thông điệp điều khiển SNMP variable bindings: ••• SNMP PDU: ERROR INDEX VARIABLE BINDINGS ng th an REQUEST ERROR ID STATUS NAMEn VALUEn co * PDU TYPE ••• ng NAME1 VALUE NAME2 VALUE du o 4.2 Hoạt động giao thức SNMPv1 cu u MANAGER AGENT SNMP MESSAGES UDP UDP IP IP LINK LINK Bg.Quản lý mạngCuuDuongThanCong.com GV NTPDung https://fb.com/tailieudientucntt MIB Luu hanh noi bo cntt2.ptithcm.edu.vn ng th an co ng c om Minh họa thông điệp điều khiển SNMPv1 du o SET yêu cầu cấu trúc MIB liên quan cu u - ACCESS: - READ-ONLY - Get, Trap, Set, Response - READ-WRITE - Set SysUpTime OBJECT-TYPE SYNTAX Time-Ticks ACCESS read-only STATUS mandatory DESCRIPTION “Time since the network management portion of the system was last re-initialised ::= {system 3} ipDefaultTTL OBJECT-TYPE SYNTAX INTEGER ACCESS read-write STATUS mandatory DESCRIPTION : "The default value inserted into the Time-To-Live field of the IP header of datagrams originated at this entity, whenever a TTL value is not supplied by the transport layer protocol." ::= { ip } Bg.Quản lý mạngCuuDuongThanCong.com GV NTPDung https://fb.com/tailieudientucntt Luu hanh noi bo cntt2.ptithcm.edu.vn TRAP - PDU FORMAT ENTERPRISE AGENT-ADDRESS c om GENERIC-TRAP SPECIFIC-TRAP TIME-STAMP ng th an co ng VARIABLE-BINDINGS cu u du o TRAP - PDU FORMAT ENTERPRISE AGENT-ADDRESS GENERIC-TRAP SPECIFIC-TRAP TIME-STAMP VARIABLE-BINDINGS Bg.Quản lý mạngCuuDuongThanCong.com GV NTPDung https://fb.com/tailieudientucntt Luu hanh noi bo cntt2.ptithcm.edu.vn Generic Trap V a lue Me aning ColdStart Reinitialized => A ge nt’s configuration or entity implementation m ay be altered WarmStart Reinitialized => but n e ither the a gent’s configuration n or the protocol entity implementation has been altered LinkDown A communication link has failed > name and value of the ifIndex instance LinkUp A communication link has come up name and value of the ifIndex instance Authentication Failure The com munity name was incorrect EgpNeighborLoss An E GP peer neighbor is down EnterpriseSpecific It’s up to the Specific Tra p Type field and Enterprise field ng th an co ng c om Tra p du o Cơ chế bảo mật SNMP (1/2)  SNMP sử dụng Community Strings passwords u – Được sử dụng để định nghĩa nơi mà thông điệp SNMP cu hướng đến  Cần thiết lập “community name” tập tham biến đối tượng quản trị cụ thể nhóm quản trị phân cấp quản trị  Thiết lập các ứng dụng quản trị công tác giám sát nhận cảnh báo (alert/ trapping) Bg.Quản lý mạngCuuDuongThanCong.com GV NTPDung https://fb.com/tailieudientucntt Luu hanh noi bo cntt2.ptithcm.edu.vn Cơ chế bảo mật SNMP (2/2) Có loại chuổi community định mức quyền hạn khác việc truy xuất thông tin quản trị:  READ-ONLY: thực lệnh Get hay GetNext c om  READ-WRITE: thực lệnh Get, GetNext, Set  Nếu đối tượng quản trị có thuộc tính ACCESS mang gía trị “read-write” lệnh Set thực ng th an co ng  TRAP: cho phép người quản trị nhóm thành phần quản trị vào cộng đồng quản trị cụ thể cu u du o Polling-> Get Request SNMP Bg.Quản lý mạngCuuDuongThanCong.com GV NTPDung https://fb.com/tailieudientucntt Luu hanh noi bo cntt2.ptithcm.edu.vn ng th an co ng c om Polling-> Get Response SNMP cu u du o Polling-> GetNext Request SNMP Bg.Quản lý mạngCuuDuongThanCong.com GV NTPDung https://fb.com/tailieudientucntt Luu hanh noi bo cntt2.ptithcm.edu.vn ng th an co ng c om Polling-> GetNext Response SNMP cu u du o Trapping -> Trap SNMPv1 Bg.Quản lý mạngCuuDuongThanCong.com GV NTPDung https://fb.com/tailieudientucntt 10 Luu hanh noi bo cntt2.ptithcm.edu.vn 4.4 Phiên SNMPv3      ng th an co ng c om Giới thiệu Những định thiết kế SNMPv3 Kiến trúc SNMPv3 Cấu trúc thông điệp SNMPv3 Bảo mật truyền thơng SNMPv3 – Mơ hình bảo mật dựa người dùng- USM/ USER SECURITY MODEL  Điều khiển truy cập – Mơ hình điều khiển truy cập dựa vào MIB View • VIEW BASED ACCESS CONTROL MODEL (VACM)  Các chuẩn RFCs liên quan du o Bảo mật truyền thông vs điều khiển truy cập AGENT cu u MANAGER MIB MANAGER ACCESS CONTROL APPLICATION PROCESSES SECURE COMMUNICATION GET / GET-NEXT / GETBULK SET / TRAP / INFORM TRANSPORT SERVICE Bg.Quản lý mạngCuuDuongThanCong.com GV NTPDung https://fb.com/tailieudientucntt 19 Luu hanh noi bo cntt2.ptithcm.edu.vn Mức bảo mật sử dụng  snmpSecurityLevel – no authentication or privacy (noAuthNoPriv) • Vẫn sử dụng “securityName” ng th an co ng c om – Authentication and no privacy (authNoPriv) – Authentication and privacy (authPriv) du o ACCESS CONTROL TABLES ALLOWED OPERATIONS ALLOWED MANAGERS REQUIRED LEVEL OF SECURITY Interface Table SET John Authentication Encryption Interface Table GET / GETNEXT John, Paul Authentication Systems Group GET / GETNEXT George None ••• ••• ••• ••• ••• ••• ••• ••• ••• ••• ••• ••• ••• ••• ••• ••• cu u MIB VIEW Bg.Quản lý mạngCuuDuongThanCong.com GV NTPDung https://fb.com/tailieudientucntt 20 Luu hanh noi bo cntt2.ptithcm.edu.vn Các bước cấu hình bảo mật cho SNMPv3 ng th an co ng c om  Username :Mô tả dạng text người chịu trách nhiệm cho thực thể SNMP cần quản trị (security name)  Security level: noAuthNoPriv, authNoPriv, authPriv • Chú ý: khơng thể có privacy mà khơng “authentication”, “ authentication” mà khơng cần “privacy”  Authentication protocol: MD5 SHA1 – Authentication passphrase: passphrase sử dụng tương ứng với giao thức xác thực liên quan  Privacy protocol: sử dụng để mã hóa liệu gói SNMP (DES) – Privacy passphrase: sử dụng với thuật tóan mã hóa liên quan du o Các RFCs liên quan SNMPv3 RFC 2571 u SNMP ENTITY SNMP APPLICATIONS cu RFC 2573 OTHER SNMP ENGINE RFC 2572 DISPATCHER Bg.Quản lý mạngCuuDuongThanCong.com GV NTPDung RFC 2572 MESSAGE PROCESSING SUBSYSTEM USM: RFC 2574 SECURITY SUBSYSTEM VACM: RFC 2575 ACCESS CONTROL SUBSYSTEM https://fb.com/tailieudientucntt 21 Luu hanh noi bo cntt2.ptithcm.edu.vn ng th an co ng c om 4.5 Quản lý mối quan hệ thành phần kiến trúc quản trị (1/5) du o Các mối quan hệ kiến trúc quản trị (2/5) cu u  Giao thức quản trị cho phép hệ thống quản trị NMS thành phần quản trị tương tác với – Sử dụng SNMP hay CMIP  MIB View tập đối tượng quản trị đặc trưng cho thiết bị quản trị  Cặp giá trị giống mật gọi “The SNMP community “ lưu trử SNM hệ thống quản trị phục vụ cho xác thực quyền quản trị mib-view  Phương thức xác thực- Authentication protocol: giao thức SNMP (sử dụng phiên v.3) Bg.Quản lý mạngCuuDuongThanCong.com GV NTPDung https://fb.com/tailieudientucntt 22 Luu hanh noi bo cntt2.ptithcm.edu.vn Các mối quan hệ kiến trúc quản trị (3/5)  Application management entity: thực thể ứng dụng quản trị quản trị thực chức truyền thông SNMP .c om  SNMP access mode định kiểu thao tác tham biến quản trị lưu trử thành phần quản trị, thực thể ứng dụng quản trị quản lý – read-only hay read-write ng  Kết hợp SNMP community string SNMP access mode cho phép xác thực người có quyền hạn truy cập vào tham biến quản trị lưu trử thành phần quản trị ng th an co – Authentication & Authorization du o Các mối quan hệ kiến trúc quản trị (4/5) cu u  Kết hợp Mib-view, SNMP community string SNMP access mode cho phép thực phân cấp quản trị cụ thể theo chức quản trị – Community profile giá trị tạo SNMP access mode SNMP MIB View cho phép xác định đặc quyền truy xuất vào tập tham biến quản trị MIB view – SNMP access policy : sách truy cập cặp giá trị SNMP community với SNMP community profile Bg.Quản lý mạngCuuDuongThanCong.com GV NTPDung https://fb.com/tailieudientucntt 23 Luu hanh noi bo cntt2.ptithcm.edu.vn Các mối quan hệ kiến trúc quản trị (5/5) du o ng th an co ng c om  SNMP proxy agent cung cấp chức quản trị đại diện cho thực thể mạng truy cập trực tiếp vào không sử dụng giao thức quản trị hay mơ hình tổ chức 4.6 Quản lý kiện  Công tác quản lý kiện cu u  Các kiểu thu thập thông tin quản trị – Chức báo cáo cảnh báo (trapping/ alert; events report) – Chức báo cáo thường kỳ (polling) – Chức báo cáo nhật ký (logfile/ syslog ) Bg.Quản lý mạngCuuDuongThanCong.com GV NTPDung https://fb.com/tailieudientucntt 24 Luu hanh noi bo cntt2.ptithcm.edu.vn Công tác quản lý kiện  Xây dựng phát triển chiến lược quản trị kiện  Tối ưu công tác quản trị kiện  Tận dụng tất loại cơng cụ quản trị có sẳn c om – Tích hợp công cụ để đạt thuận tiện chiến lượt quản trị kiện  Nhận biết cố xảy  Triển khai Các chuẩn cảnh báo xác nhân – Syslog ng – Polling ng th an co – Trapping/ alert du o Các yêu cầu thu thập thong tin cu u  Thỏa mản chất lượng thông tin quản trị thu thập – Có thể phân tích – Đủ thông tin để phản ảnh thực trạng hoạt động mạng – Tính đồng thơng tin nhận – Độ tin cậy thông tin nhận – Các dạng thức báo/ kết xuất hình hay file – Dạng biểu đồ – Dạng văn – Dạng sở liệu  Hiệu suất tài nguyên mạng – Bandwidth , CPU, Memory Bg.Quản lý mạngCuuDuongThanCong.com GV NTPDung https://fb.com/tailieudientucntt 25 Luu hanh noi bo cntt2.ptithcm.edu.vn Loại thông tin cần thu thập  Chi tiết lưu lượng thông tin thống kê link hay interface – Addresses (Src-Addr, Dst-Addr) – Application (port numbers) – QoS (DSCP) c om – Time stamps (ICMPs) – Routing and peering  Thông tin điều khiển (header) hay chi tiết nội dung liệu người dùng (payload) ng th an co ng  Thông tin thô ( thông tin lớp 2), thông tin lớp cao (lớp 3, lớp ) du o Xây dựng phát triển chiến lược quản trị kiện (1/2)  Nhận diện kiện đặc trưng hệ thống cần quản trị cu u – Xác định thông số quản trị tương ứng – Mib view  Nhận diện nguồn liên kết với kiện  Xác định luồng kiện công cụ quản trị liên quan đảm trách việc giám sát thu thập kiện  Hợp kiện đến hệ thống quản lý kiện chung->DB  Nhận diện tình đặc biệt phương án xử lý kịp thời Bg.Quản lý mạngCuuDuongThanCong.com GV NTPDung https://fb.com/tailieudientucntt 26 Luu hanh noi bo cntt2.ptithcm.edu.vn Xây dựng phát triển chiến lược quản trị kiện (2/2) ng th an co ng c om  Nhận diện kiện theo đặc trưng họat động thiết bị: – Nhận diện thiết bị Hub • Vấn đề coliision – Nhận diện thiết bị Switch • Broadcast storm – Nhận diện thiết bị router • Fragment/ reassembly • Routing – Nhận diện hệ thống web server • Efficiency • Error codes • Retransmission du o Tối ưu công tác quản trị kiện (1/2) cu u  Loại trừ kiện không cần thiết: luật 20/80  Tập trung vào việc xử lý 20% kiện quan trọng mà chúng gây nên 80% lỗi – Thống kê lỗi (trouble tickets) – Phát triển luật để bẩy kiện- ( rules) – Sử dụng lọc phù hợp (Apply filters) – Hoạch định kiện với phương pháp báo: – Gởi cảnh báo (alert/ trapping) – Ghi vào nhật ký (log file) Bg.Quản lý mạngCuuDuongThanCong.com GV NTPDung https://fb.com/tailieudientucntt 27 Luu hanh noi bo cntt2.ptithcm.edu.vn Tối ưu công tác quản trị kiện (2/2) ng th an co ng c om  Sử dụng tích hợp kiện tương quan (event correlation)  Tổ chức kiện theo phân nhóm  Phân cấp quản trị  Phân nhóm quản trị – theo chức quản trị, – theo loại hệ thống, – hay khu vực du o Tận dụng tất loại cơng cụ quản trị có sẳn cu u  Công cụ quản trị khả thực thi (Performance management tools) – Nhận diện thông số quản trị baselines liên quan – Nhận diện thông số quản trị cần cảnh báo ngưỡng liên quan – Chuyển tiếp kiên xảy cho thực thể quản trị kiện liên quan  Công cụ quản trị hệ thống (host resources Mibs) – Xác định thông số baselines liên quan đến thành phần: CPU, RAM, Disk… – Giám sát thu thập thơng tin  Phân tích nhật ký tự động (parsing logs) Bg.Quản lý mạngCuuDuongThanCong.com GV NTPDung https://fb.com/tailieudientucntt 28 Luu hanh noi bo cntt2.ptithcm.edu.vn Cần tránh lỗi thường gặp:  Không quản trị tất hệ thống, thiết bị nối vào mạng – Ví dụ: Khơng quản trị hệ thống không cần thiết laptop, máy in… c om  Phải bảo đảm hệ thống DNS sở liệu liên quan DNS xác hoạt động đắn du o ng th an co ng  Tận dụng tối đa hợp đồng, thỏa thuận trì, bảo dưỡng hệ thống, phần mềm ứng dụng Tích hợp cơng cụ cu u  Tích hợp cơng cụ quản trị khả thực thi vào môi trường quản trị để đạt thuận tiện chiến lược quản trị kiện  Tích hợp cơng cụ quản trị bảo mật vào chung cấu trúc quản trị kiện  Tích hợp kiện từ điều khiển tình cụ thể  Sử dụng cơng cụ quản trị kiện MoA (Manager to Agents) ; MoM (Manager to Manager) để quản lý kiện: – RMON – SNMPv2  Chuyển kiện quan trọng đến hệ thống quản lý trouble tickets Bg.Quản lý mạngCuuDuongThanCong.com GV NTPDung https://fb.com/tailieudientucntt 29 Luu hanh noi bo cntt2.ptithcm.edu.vn Nhận biết cố xảy  Dựa vào chế quản lý kiện: – SNMP Traps/Informs – SYSLOG – Polling c om – Help Desk ng th an co ng  Cơ sở liệu lưu trử thông tin quản trị thu thập trước du o Phương cách thu thập thông tin Polling u  Nhận diện tham biến quản trị thiết bị quản trị cần thu thập cu – Ví dụ: • Số octects hay gói interface • Độ khả dụng tài nguyên mạng (utilization of CPU)  Quyết định chi tiết thông tin quản trị thu thập – Chọn thời khoảng thu thập thông tin (Collection interval) – Quan tâm đến mức độ lấy mẫu thông tin quản trị (sample size)  Ưu điểm: độ tin cậy cao  Hạn chế: ảnh hưởng hiệu suất mạng Bg.Quản lý mạngCuuDuongThanCong.com GV NTPDung https://fb.com/tailieudientucntt 30 Luu hanh noi bo cntt2.ptithcm.edu.vn Phương cách thu thập thông tin Trapping  Xác định tham biến ngưỡng cần thiết lập – Cơ sở lựa chọn – Ứng dụng chức quản trị – Xây dựng tình điển cứu (case study)  Ưu điểm .c om – Thời gian thực/ real-time – Hiệu suất mạng cao/ efficiency Gởi cảnh báo lỗi cu u du o ng th an co ng  Hạn chế: độ tin cậy Bg.Quản lý mạngCuuDuongThanCong.com GV NTPDung https://fb.com/tailieudientucntt 31 Luu hanh noi bo cntt2.ptithcm.edu.vn ng th an co ng c om Thông báo nhận cảnh báo lỗi du o Các dạng báo cáo thông tin quản trị u  Báo cáo ngoại lệ (Exceptions) – Chỉ báo vượt ngưỡng thời điểm cụ thể tham biến quản trị quan tâm trước cu – Báo cáo xu hướng hoạt động (Trends ) • Short term dựa thơng tin thu 15 ngày gần • Long term dựa thông tin thu tháng gần Tính khả dụng bị xâm phạm (Points to Watch) – Nhận diện số tài nguyên có mức sử dụng cao, đe dọa tính sẳn sàng hệ thống Thống kê hệ thống/ máy đầu cuối sử dụng cao (Matrix/ RMON2) Chẩn đoán lỗi (Diagnostics ) – Phân tích, truy tìm ngun nhân lỗi xảy hay giảm sút khả hoạt động hệ thống Bg.Quản lý mạngCuuDuongThanCong.com GV NTPDung https://fb.com/tailieudientucntt 32 Luu hanh noi bo cntt2.ptithcm.edu.vn Ứng dụng RMON c om OTHER GROUPS th an co ng – FILTER GROUP • TO COUNT PACKETS THAT CARRY A SPECIFIC BIT-PATTERN – PACKET CAPTURE GROUP • TO STORE SPECIFIC PACKETS – EVENT GROUP • TO DEFINE THE VARIOUS EVENTS • TO DETERMINE ON LOGGING AND / OR TRANSMISSION OF TRAPS ng Ứng dụng RMON cu u du o Chức mối quan hệ giưa đối tượng Bg.Quản lý mạngCuuDuongThanCong.com GV NTPDung https://fb.com/tailieudientucntt 33 ... Bg.Quản lý mạngCuuDuongThanCong .com GV NTPDung https://fb .com/ tailieudientucntt 18 Luu hanh noi bo cntt2.ptithcm.edu.vn 4. 4 Phiên SNMPv3      ng th an co ng c om Giới thi? ??u Những định thi? ??t kế... (4/ 5) cu u  Kết hợp Mib-view, SNMP community string SNMP access mode cho phép thực phân cấp quản trị cụ thể theo ch? ??c quản trị – Community profile giá trị tạo SNMP access mode SNMP MIB View cho... PHASE 1: PHASE 2: Bg.Quản lý mạngCuuDuongThanCong .com GV NTPDung SNMPv1 SNMPv2 badValue badValue badValue badValue badValue noSuchName noSuchName noSuchName noSuchName genErr genErr wrongValue