Đang tải... (xem toàn văn)
1 MỤC LỤC MỤC LỤC 1 LỜI NÓI ĐẦU 2 BẢNG THUẬT NGỮ 3 CHƯƠNG 1 TỔNG QUAN VỀ GIAO THỨC SNMP 4 I GIAO THỨC SNMP 4 1 Giao thức quản lý mạng đơn giản (SNMP) là gì 5 2 Quản lý truyền thông trong SNMP 6 3 Giao[.]
MỤC LỤC MỤC LỤC LỜI NÓI ĐẦU BẢNG THUẬT NGỮ CHƯƠNG 1: TỔNG QUAN VỀ GIAO THỨC SNMP I GIAO THỨC SNMP Giao thức quản lý mạng đơn giản (SNMP) Quản lý truyền thông SNMP Giao thức quản lý mạng đơn giản (SNMP) giao thức liệu người dùng (UDP) Hoạt động SNMP 11 II CÁC PHIÊN BẢN SNMP 12 SNMPv2 12 SNMPv3 13 CHƯƠNG 2: CÁC LỚP DƯỚI HỖ TRỢ GIAO THỨC VÀ ỨNG DỤNG 15 I LỚP DƯỚI HỖ TRỢ GIAO THỨC SNMP 15 Giao thức liệu người dùng (UDP) 15 Giao thức Internet (IP) 16 Địa mạng 16 Giao thức thông báo điều khiển Internet (ICMP) 18 Giao thức giao diện mạng 18 Dịch địa 20 II CÁC NGHIÊN CỨU ĐIỂN HÌNH TRONG VIỆC TRIỂN KHAI SNMP 21 Xác minh quyền kiểm soát truy cập với tên người dùng 21 Xác minh quyền kiểm soát truy cập tên cộng đồng địa IP 22 Xử lý thích hợp thơng số nhận dạng đối tượng OID 23 Sử dụng RMON 23 So sánh giải pháp thay quản lý mạng kết nối từ xa 25 LỜI NÓI ĐẦU Kể từ phát triển vào năm 1988, Giao thức Quản lý Mạng Đơn giản (SNMP) trở thành tiêu chuẩn thực tế để quản lý kết nối internet SNMP có số lợi góp phần vào phổ biến Bởi giải pháp đơn giản, yêu cầu tương đối mã để triển khai, nhà cung cấp dễ dàng xây dựng chức SNMP vào sản phẩm họ SNMP mở rộng, cho phép nhà cung cấp dễ dàng thêm chức quản lý mạng Và SNMP tách kiến trúc quản lý khỏi kiến trúc thiết bị phần cứng, mở rộng sở hỗ trợ đa động lực Không giống tiêu chuẩn khác, SNMP đặc tả đơn thuần, mà triển khai phổ biến rộng rãi ngày Qua tiểu luận, cung cấp cho bạn hiểu biết rõ ràng SNMP SNMP phiên 2, giao thức phát triển cộng đồng Internet để đơn giản hóa việc quản lý mạng Internet Nó đóng gói với hình ảnh minh họa, nghiên cứu điển hình ví dụ hữu ích cung cấp cho bạn kỹ thuật cần để trì mạng LAN WAN hiệu SNMP Một số chủ đề đề cập Quản lý Internetworks với SNMP khái niệm quản lý mạng tiêu chuẩn từ ISO, IEEE Internet Bên cạnh đó, chúng tơi cịn cung cấp cho bạn phần hướng dẫn Cấu trúc Thông tin Quản lý (SMI), bao gồm ví dụ mã hóa ASN.1, thông tin quản lý Cơ sở (MIB), bao gồm MIB-I MIBII, MIB giám sát từ xa, RMON RMON2 Tìm hiểu SNMP phiên cải tiến mà cung cấp lĩnh vực truy xuất liệu hàng loạt hỗ trợ đa giao thứcvận chuyển Các lĩnh vực khác thảo luận hoạt động SNMP, bao gồm Dữ liệu Giao thức Các định dạng đơn vị (PDU) ví dụ ứng dụng hỗ trợ giao thức lớp thấp cho SNMP, bao gồm UDP, IP, ICMP, ARP RARP Trải nghiệm thực tế cung cấp nghiên cứu điển hình thực trực tiếp Internetworks trình diễn SNMP sử dụng BẢNG THUẬT NGỮ VIẾT TẮT SMNP Simple Network Management Protocol Giao thức quản lý mạng đơn giản ARP Address Resolution Protocol Giao thức phân dải địa BOOTP Bootstrap Protocol Máy chủ máy khách ICMP Internet Control Message Prolocol Giao thức thông điệp điều khiển internet LAN Local Area Network Mạng nội hạt MAC Media Access Control Điều khiển truy nhập phương diện MIB Management Information Base Cơ sở thông tin quản lý NMS Network Management Stations Trạm quản lý mạng PDU Protocol Data Unit Đơn vị liệu giao thức RMON Remote Network Monitoring Kiểm soát mạng từ xa RARP Reverse Address Resolution Protocol Giao thức phân giải địa ngược SMI Structure of Management Information Cấu trúc thông tin quản lý UDP User Datagram Protocol Giao thức liệu người dùng USM User - based Security Mode Mơ hình bảo mật theo người dùng VACM View - based Access Contro Mơ hình kiểm sốt truy cập xem TFTP Trivial File Transfer Protocol Giao thức truyền tin đơn giản CHƯƠNG 1: TỔNG QUAN VỀ GIAO THỨC SNMP I GIAO THỨC SNMP Sự phát triển hội tụ mạng năm gần tác động mạnh mẽ tới tất khía cạnh mạng lưới, chí nhận thức tảng phương pháp tiếp cận Quản lý mạng lĩnh vực có thay đổi hồn thiện mạnh mẽ nỗ lực tiêu chuẩn hoá tổ chức tiêu chuẩn lớn giới yêu cầu từ phía người sử dụng dịch vụ Mặt khác nhà khai thác mạng, nhà cung cấp thiết bị người sử dụng thường áp dụng phương pháp chiến lược khác cho việc quản lý mạng thiết bị Mỗi nhà cung cấp thiết bị thường đưa giải pháp quản lý mạng riêng cho sản phẩm Trong bối cảnh hội tụ mạng nay, số lượng thiết bị dịch vụ đa dạng phức tạp tạo thách thức lớn vấn đề quản lý mạng Nhiệm vụ quản lý mạng rõ ràng mặt nguyên tắc chung, toán quản lý cụ thể lại có độ phức tạp lớn Điều xuất phát từ tính đa dạng hệ thống thiết bị đặc tính quản lý loại thiết bị, xa chiến lược quản lý phải phù hợp với kiến trúc mạng đáp ứng yêu cầu người sử dụng Một loạt thiết bị điển hình cần quản lý gồm: máy tính cá nhân, máy trạm, server, máy vi tính cỡ nhỏ, máy vi tính cỡ lớn, thiết bị đầu cuối, thiết bị đo kiểm, máy điện thoại, tổng đài điện thoại nội bộ, thiết bị truyền hình, máy quay, modem, ghép kênh, chuyển đổi giao thức, CSU/DSU, ghép kênh thống kê, ghép giải gói, thiết bị tương thích ISDN, card NIC, mã hố giải mã tín hiệu, thiết bị nén liệu, gateway, xử lý front-end, đường trung kế, DSC/DAC, lặp, tái tạo tín hiệu, thiết bị chuyển mạch, bridge, router switch, tất phần danh sách thiết bị phải quản lý Toàn cảnh tranh quản lý phải bao gồm quản lý tài nguyên mạng tài nguyên dịch vụ, người sử dụng, ứng dụng hệ thống, sở liệu khác loại môi trường ứng dụng Về mặt kĩ thuật, tất thông tin thu thập, trao đổi kết hợp với hoạt động quản lý mạng dạng số liệu quản lý kĩ thuật tương tự kĩ thuật sử dụng mạng truyền số liệu Tuy nhiên khác truyền thông số liệu trao đổi thông tin quản lý việc trao đổi thông tin quản lý đòi hỏi trường liệu chuyên biệt, giao thức truyền thơng mơ hình thơng tin chuyên biệt, kỹ chuyên biệt để thiết kế, vận hành hệ thống quản lý biên dịch thông tin quản lý báo lỗi, trạng hệ thống, cấu độ bảo mật Giao thức quản lý mạng đơn giản Cốt lõi SNMP tập hợp hoạt động đơn giản (và thơng tin mà tốn hạng thu thập) cung cấp cho người quản trị khả thay đổi trạng thái số thiết bị dựa SNMP SNMP thường kết hợp với việc quản lý định tuyến, điều quan trọng cần hiểu sử dụng để quản lý nhiều loại thiết bị Mặc dù tiền thân SNMP, giao thức quản lý cổng đơn giản (SGMP), phát triển để quản lý định tuyến Internet SNMP sử dụng để quản lý hệ thống Unix, hệ thống Windows, máy in, giá đỡ modem, nguồn điện, Bất kỳ thiết bị chạy phần mềm cho phép truy xuất thông tin SNMP quản lý Điều khơng bao gồm thiết bị vật lý mà phần mềm, chẳng hạn máy chủ web sở liệu Một khía cạnh khác SNMP giám sát mạng, nghĩa giám sát tồn mạng thay định tuyến, máy chủ thiết bị khác Giám sát mạng từ xa (RMON) phát triển để giúp chúng tơi hiểu cách hoạt động công việc mạng, cách thiết bị riêng lẻ mạng ảnh hưởng đến tồn mạng Nó sử dụng để giám sát khơng lưu lượng mạng LAN mà giao diện WAN Giao thức SNMP sử dụng để: - - Phát lỗi mạng truy nhập không phù hợp: Các cảnh báo cấu hình thiết bị nhằm phát có kiện vượt ngưỡng cho phép SNMP cho phép thông tin cảnh báo chuyển tới hệ thống quản lý nhằm có giải pháp phù hợp Giám sát mức sử dụng: SNMP sử dụng để giám sát mức độ sử dụng, hiệu suất thiết bị mạng chiếm dụng người dùng, nhóm người dùng kiểu dịch vụ Giao thức quản lý mạng đơn giản SNMP gồm ba phiên SNMPv1, SNMPv2 SNMPv3 SNMP thiết kế theo module thể thống kiến trúc, kết cấu khung làm việc cho ba phiên Mặc dù SNMPv1 phiên hiệu đơn giản thực tồn số giới hạn nên phát triển lên SNMPv2 Tuy nhiên, lỗi khắc phục phiên SNMPv1, SNMPv2 không giải vấn đề bảo mật tính bảo mật liệu, khả bị giả mạo, truy nhập trái phép tới sở liệu quản lý SNMPv3 bổ sung thêm tính bảo mật như kiểm sốt truy cập, xác thực mã hóa liệu quản lý SNMPv1 tiêu chuẩn nguyên thủy SNMP khung quản lý mạng internet mô tả FRC 1155, 1157 1212 Ba nhóm điều hành điển hình SNMPv1 là: đọc (read-only), ghi đọc (read-write) bẫy (trap) An ninh SNMPv1 dựa mật kh u - chuỗi văn nhằm cho phép ứng dụng truy nhập vào thông tin quản lý thiết bị Vì vậy, vấn đề an ninh SNMPv1 chưa trọng mức SNMPv2 phát triển từ khung làm việc SNMPv1 SNMPv2 mô tả tiêu chu n RFC gồm: STD 58, RFC 2578, 2579, 2380, and STD 62, RFC 3416, 3417, and 3418 Định nghĩa tin SNMPv2 tuân thủ theo SNMPv1 SNMPv2 phát triển nhóm đối tượng thiết bị quản lý để vượt qua hạn chế SNMPv1 SNMP phiên (SNMPv3) phiên SNMP Đóng góp vào quản lý mạng bảo mật Nó bổ sung hỗ trợ xác thực mạnh mẽ giao tiếp riêng tư thực thể quản lý Vào năm 2002, cuối thực chuyển đổi từ tiêu chuẩn dự thảo sang tiêu chuẩn đầy đủ Các RFC sau xác định tiêu chuẩn: RFC 3410, RFC 3411, RFC 3412, RFC 3413, RFC 3414, RFC 3415, RFC 3416, RFC 3417, RFC 3418 RFC 2576 Agent SNMPv3 cho Net-SNMP Cisco Mặc dù tin tốt SNMPv3 tiêu chuẩn đầy đủ, nhà cung cấp tiếng chậm chạp việc áp dụng phiên protocol Mặc dù SNMPv1 chuyển đổi sang dạng lịch sử, phần lớn triển khai địa điểm SNMP triển khai SNMPv1 Một số nhà cung cấp sở hạ tầng lớn Cisco hỗ trợ SNMPv3 thời gian dài chắc chắn bắt đầu thấy nhiều nhà cung cấp chuyển sang SNMPv3 khách hàng nhấn mạnh vào phương tiện quản lý mạng an tồn Quản lý truyền thơng SNMP Hệ thống quản lý mạng dựa SNMP gồm ba thành phần: khối quản lý (manager), đại diện quản lý thiết bị chịu quản lý (agent) sở liệu quản lý gọi sở thông tin quản lý (MIB) Mối quan hệ chủ tớ Hình minh họa mối quan hệ ba thành phần giao thức quản lý mạng đơn giản SNMP Hình 1: Mối liên hệ thành phần SNMP a) Khối quản lý (manager) Khối quản lý thường gọi Trạm quản lý mạng (NMS) Một NMS chịu trách nhiệm thăm dò nhận bẫy từ agent mạng Một thăm dò, ngữ cảnh quản lý mạng, hành động truy vấn agent (bộ định tuyến, chuyển mạch, máy chủ Unix, ) để biết số thông tin Thông tin sử dụng sau để xác định xem kiện xảy hay chưa Một bẫy cách để đặc vụ báo cho NMS biết điều xảy Bẫy gửi không đồng bộ, không phản hồi lại truy vấn từ NMS NMS có trách nhiệm thực hành động dựa thơng tin nhận từ agent Đổi lại, NMS thực số hành động, phân trang cho bạn bạn biết điều xảy Khối quản lý xử lý yêu cầu quản lý chuyển tới từ agent đưa yêu cầu tới đại diện quản lý agent Một mơ hình truyền thơng đơn giản mơ tả Hình Hình 2: truyền thơng manager agent SNMP b) Đại diện quản lý thiết bị (Agent) Agent thực thể nút mạng bị quản lý nhằm hỗ trợ cho Manager thực tác vụ quản lý thông qua giao thức SNMP Agent có nhiệm vụ thu thập thơng tin quản lý gửi tới khối quản lý để phục vụ cho hệ thống quản lý mạng Agent chuyển đổi yêu cầu quản lý tới thiết bị chịu quản lý để thực nhiệm vụ quản lý Bên cạnh cách thức quản lý trực tiếp thông qua agent, SNMP quản lý thiết bị khơng tương thích với SNMP thông qua giải pháp giao thức quản lý độc quyền Nó chương trình riêng biệt (một daemon, ngơn ngữ Unix) tích hợp vào hệ điều hành Ngày nay, hầu hết thiết bị IP tích hợp sẵn số loại agent SNMP Việc nhà cung cấp sẵn sàng triển khai agent nhiều sản phẩm họ khiến công việc quản trị viên hệ thống người quản lý mạng trở nên dễ dàng Agent tự khởi phát cảnh báo thiết bị tới Manager có các kiện vượt ngưỡng tin bẫy (Trap) Agent cung cấp thông tin quản lý cho NMS cách theo dõi khía cạnh hoạt động khác thiết bị NMS truy vấn trạng thái giao diện thực hành động thích hợp có giao diện gặp cố Khi agent thơng báo điều tồi tệ xảy ra, gửi bẫy đến NMS Cái bẫy bắt nguồn từ agent gửi đến NMS, nơi xử lý thích hợp Một số thiết bị gửi bẫy “tất rõ ràng” tương ứng có chuyển đổi từ trạng thái xấu sang trạng thái tốt Hình 3: Mối quan hệ NMS agent c) Cấu trúc thông tin quản lý (SMI) sở thông tin quản lý (MIB) Cấu trúc thông tin quản lý SMI định nghĩa cấu tổ chức chung cho thông tin quản lý SMI nhận dạng kiểu liệu MIB rõ cách thức miêu tả đặt tên tài nguyên sở liệu thơng tin quản lý MIB Ngồi ra, SMI sử dụng để định nghĩa luật đặt tên đối tượng để mã hóa đối tượng hệ thống quản lý SMI trì tính đơn giản khả mở rộng MIB Vì vậy, MIB lưu loại liệu đơn giản gồm đối tượng vô hướng mảng hai chiều đối tượng SMI không cung cấp cách tạo truy xuất cấu trúc liệu phức tạp Cơ sở thông tin quản lý( MIB) thành phần thiết yếu để xử lý mạng MIB coi sở liệu đối tượng lâu năm mà agent theo dõi Bất kỳ loại trạng thái thơng tin thống kê NMS truy cập xác định MIB SMI cung cấp cách để xác định đối tượng quản lý MIB định nghĩa (sử dụng cú pháp SMI) đối tượng Giống từ điển, hiển thị cách đánh vần từ sau đưa ý nghĩa định nghĩa nó, MIB xác định tên văn cho đối tượng quản lý giải thích ý nghĩa Giao thức quản lý mạng đơn giản giao thức liệu người dùng SNMP sử dụng giao thức liệu người dùng (UDP) làm giao thức truyền tải để truyền liệu Manager Agent UDP chọn giao thức TCP khơng có kết nối (khơng có kết nối end-to-end thực đại lý NMS gói liệu gửi qua lại) Khía cạnh UDP làm cho khơng đáng tin cậy khơng có ghi nhận biểu đồ liệu bị cấp giao thức Ứng dụng SNMP tùy thuộc vào việc xác định xem liệu liệu có bị hay khơng truyền lại muốn Điều thường thực với thời gian chờ đơn giản NMS gửi yêu cầu UDP đến gent chờ phản hồi Khoảng thời gian NMS chờ phụ thuộc vào cách định cấu hình Nếu hết thời gian chờ NMS khơng nhận phản hồi từ đại lý, giả định gói tin bị truyền lại yêu cầu Số lần gói NMS truyền lại cấu hình Ít nhất, u cầu thơng tin thông thường, chất không đáng tin cậy UDP vấn đề thực Tệ nhất, trạm quản lý đưa yêu cầu không nhận phản hồi Đối với bẫy, tình hình có phần nghiêm trọng Nếu gent gửi bẫy bẫy không đến, NMS khơng có cách biết gửi Agent chí khơng biết cần phải gửi lại bẫy NMS khơng bắt buộc phải gửi phản hồi lại cho agent xác nhận nhận bẫy SNMP sử dụng cổng UDP 161 để gửi nhận yêu cầu cổng 162 cho bẫy thu từ thiết bị quản lý Mọi thiết bị triển khai SNMP phải sử dụng số cổng làm giá trị mặc định, số nhà cung cấp cho phép bạn thay đổi cổng mặc định cấu hình đại lý Nếu bạn thay đổi giá trị mặc định này, NMS phải biết thay đổi để truy vấn thiết bị cổng xác Hình cho thấy giao thức TCP/IP, sở cho tất giao tiếp TCP/IP Ngày nay, thiết bị muốn giao tiếp Internet phải sử dụng giao thức Mơ hình thường gọi ngăn xếp giao thức lớp sử dụng thông tin từ lớp bên cung cấp dịch vụ cho lớp Hình 4: giao tiếp TCP/IP SNMP Khi NMS agent muốn thực chức SNMP, kiện sau xảy ngăn xếp giao thức: Application Đầu tiên, ứng dụng SNMP thực tế (NMS agent) định làm Lớp ứng dụng cung cấp dịch vụ cho người dùng cuối, chẳng hạn nhà điều hành yêu cầu thông tin trạng thái cho cổng chuyển mạch Ethernet UDP Lớp tiếp theo, UDP cho phép hai máy chủ giao tiếp với Trong số thứ khác, tiêu đề UDP chứa cổng đích thiết bị mà gửi yêu cầu bẫy tới Cổng đích 161 (truy vấn) 162 (bẫy) IP Lớp IP cố gắng phân phối gói SNMP đến đích dự kiến nó, định địa IP Media Access Control Việc cuối phải xảy để gói SNMP đến đích phải chuyển đến mạng vật lý, nơi định tuyến đến đích cuối Lớp MAC bao gồm phần cứng thực tế thiết bị truyền liệu đưa liệu bạn lên đoạn dây vật lý, chẳng hạn thẻ Ethernet Lớp MAC chịu trách nhiệm nhận 10 CÁC PHIÊN BẢN SNMP II SNMPv2 Cũng giống SNMPv1, SNMPv2 giao thức yêu cầu phản hồi đơn giản Hệ thống quản lý mạng phát hành yêu cầu thiết bị quản lý trả phản hồi Hành vi thực cách sử dụng bốn thao tác giao thức: Get, GetNext, Set Trap • Thao tác Get NMS sử dụng để lấy giá trị phiên đối tượng thứ hai từ tác nhân Nếu đại lý phản hồi Getoperation cung cấp giá trị cho tất phiên đối tượng danh sách, khơng cung cấp giá trị • Thao tác GetNext NMS sử dụng để lấy giá trị phiên đối tượng sau bảng danh sách tác nhân • Thao tác Set NMS sử dụng để đặt giá trị phiên đối tượng tác nhân • Hoạt động Trap đại lý sử dụng để thông báo không đồng cho NMS kiện quan trọng Tuy nhiên, SNMPv2 bổ sung tăng cường số hoạt động giao thức SNMPv2 có hai hoạt động giao thức mới: GetBulk Inform • Hoạt động GetBulk sử dụng NMS để truy xuất hiệu khối liệu, chẳng • hạn nhiều hàng bảng GetBulk điền phản hồi tin nhắn với nhiều yêu cầu liệu phù hợp Trong SNMPv2, tác nhân phản hồi hoạt động GetBulk cung cấp giá trị cho tất biến danh sách ,thì cung cấp kết cho phần Hoạt động Inform cho phép NMS gửi thông tin bẫy đến NMS khác sau nhận phản hồi SNMPv2 cung cấp số lợi so với SNMPv1: • • • • • • Các loại liệu mở rộng: 64-bit counter Nâng cao hiệu hiệu suất: get-bulk operator Thông báo kiện xác nhận: inform operator Xử lý lỗi phong phú hơn: lỗi ngoại lệ Bộ cải tiến: đặc biệt tạo xóa hàng Tinh chỉnh ngôn ngữ liệu Tuy nhiên SNMPv2 mô tả RFC 1902–1907, không đáp ứng mục tiêu thiết kế ban đầu Dự án SNMPv2 cung cấp an ninh quản trị bảo mật "cấp thương mại" 12 SNMPv3 SNMPv3 phiên SNMP Cải tiến cho quản lý mạng bảo mật Nó bổ sung hỗ trợ cho xác thực mạnh mẽ giao tiếp riêng tư thực thể quản lý Mặc dù tin tốt SNMPv3 tiêu chuẩn đầy đủ, nhà cung cấp tiếng chậm chạp việc áp dụng phiên giao thức Trong SNMPv1 cũ,nhưng phần lớn nhà cung cấp dung chúng Một số nhà cung cấp lớn Cisco hỗ trợ SNMPv3 từ lâu chắc chắn nhiều nhà cung cấp chuyển sang SNMPv3 khách hàng đòi hỏi phương tiện quản lý mạng phải an toàn Thay đổi quan trọng v3 từ bỏ khái niệm quản lý (mamnagers) đại lý (agent) Cả mamnagers agent gọi thực thể SNMP (SNMP entities) Mỗi thực thể bao gồm công cụ SNMP nhiều ứng dụng SNMP Những khái niệm quan trọng chúng xác định kiến trúc không đơn giản tập hợp thông điệp, kiến trúc giúp tách phần khác hệ thống SNMP theo cách làm cho việc thực an tồn Chúng ta xem khái niệm có ý nghĩa gì, bắt đầu với RFC xác định chúng SNMPv3 mô tả STD 62, RFC 3412, 3414 3417 Mã Tên RFC3411 Kiến trúc cho khung SNMP RFC3412 Xử lý gửi tin RFC3413 Ứng dụng SNMP RFC3414 Mơ hình bảo mật theo người dung (USM) RFC3415 Mơ hình kiểm sốt truy cập xem (VACM) RFC3416 Hoạt động giao thức SNMPv2 RFC3417 Biểu đồ dịch chuyển SNMPv2 RFC3418 Cơ sở thông tin quản lý (MIB) SNMPv2 RFC2576 Cùng tồn phiên SNMP RFC2570 Giới thiệu SNMPv3 RFC2786 Trao đổi khóa Diffie-Hellman Bảng 1: MaxRFC SNMPv3 Các tính SNMPv3 (ngồi tính SNMPv2) bao gồm: Bảo mật: - Xác thực quyền riêng tư - Kiểm soát ủy quyền truy cập 13 Khung hành - Đặt tên cho cá thể - Con người sách - Tên người dùng mật - Điểm đến thơng báo - Mối quan hệ proxy Có thể cấu hình từ xa thơng qua hoạt động SNMP SNMPv3 giao thức dựa tiêu chuẩn tương thích để quản lý mạng SNMPv3 cung cấp quyền truy cập an toàn vào thiết bị cách kết hợp xác thực mã hóa gói tin qua mạng Các tính bảo mật bảo vệ SNMPv3 là: Tính tồn vẹn gói tin: Đảm bảo gói khơng bị giả mạo q trình vận chuyển Xác thực: Xác định gói tin từ nguồn hợp lệ Mã hóa: Trộn nội dung gói tin ngăn chặn khỏi bị nguồn trái phép SNMPv3 cung cấp thêm mơ hình bảo mật (Securitymodel) lớp bảo mật (securitylevel) mơ hình bảo mật bước xác thực thiết lập cho người dùng Lớp bảo mật mức độ bảo mật cho phép mơ hình bảo mật Sự kết hợp mơ hình bảo mật lớp bảo mật xác định chế bảo mật sử dụng xử lý gói SNMP Ba mơ hình bảo mật có sẵn: SNMPv1, SNMPv2c vàSNMPv3 Hình 6: Cấu tạo thực thể SNMP 14 CHƯƠNG 2: CÁC LỚP DƯỚI HỖ TRỢ GIAO THỨC VÀ ỨNG DỤNG I LỚP DƯỚI HỖ TRỢ GIAO THỨC SNMP Giao thức liệu người dùng (UDP) UDP cung cấp đường dẫn truyền thông từ máy chủ đến máy chủ không kết nối cho tin SNMP Đường dẫn khơng kết nối đường dẫn kênh truyền thông thiết lập trước truyền liệu Thay vào đó, mạng truyền liệu gói gọi datagram Sơ đồ liệu chứa tất thông tin địa cần thiết để tin SNMP đến đích dự kiến UDP mô tả RFC 768 giao thức ARPA Host-to-Host (hoặc OSI Transport layer) UDP giả định IP, giao thức không kết nối, giao thức ARPA Internet (hoặc Lớp mạng OSI) Thiết bị UDP yêu cầu chi phí tối thiểu, sử dụng header UDP nhỏ tương đối thể hình Lưu ý hình nhóm bit nằm ngang, gọi từ, có chiều rộng 32 bit Hai trường header UDP số Nguồn Đích (mỗi số có độ dài octets) xác định quy trình giao thức lớp cao mà datagram mang theo Số cổng 161 (thập phân) xác định tin SNMP số cổng 162 xác định bẫy SNMP (Lưu ý quy trình tác nhân SNMP sử dụng cổng xác định này; the manager sử dụng cổng cổng khác Do đó, nhiều manager giải quy trình tác nhân.) Trường cổng nguồn tùy chọn không sử dụng chứa tất zeros Trường độ dài (2 octets) độ dài sơ đồ UDP, có giá trị tối thiểu octets Trường Checksum (2 octets) tùy chọn lấp đầy với tất zeros quy trình giao thức lớp (ULP) không yêu cầu tổng kiểm tra Tổng kiểm tra tính tốn cách sử dụng Pseudo Header, bao gồm địa IP nguồn đích, trường giao thức thu từ header IP độ dài sơ đồ liệu UDP Việc sử dụng địa IP để tính tốn Pseudo Header đảm bảo gói liệu UDP phân phối đến mạng đích máy chủ Hình 7: Giao thức liệu người dùng (UDP) header 15 Các quy trình máy chủ lưu trữ khác sử dụng UDP làm giao thức Host-to-Host bao gồm giao thức Thời gian, cổng số 37; máy chủ tên miền (DNS), cổng số 53; máy chủ máy khách Bootstrap Protocol (BOOTP), cổng số 67 68, tương ứng; Trivial File Transfer Protocol (TFTP), cổng số 69 gọi thủ tục từ xa Sun Microsystems (SunRPC), cổng số 111 Tất ứng dụng thiết kế với giả định kết nối Host-toHost khơng thành cơng, số quy trình lớp cao hồi phục Các ứng dụng khác yêu cầu truyền liệu end-toend đáng tin cậy sử dụng giao thức kiểm sốt truyền (TCP) nghiêm ngặt hơn, thảo luận chi tiết tập kèm theo khắc phục cố TCP/IP Giao thức Internet (IP) IP hoạt động chặt chẽ với UDP IP xử lý việc gửi gói liệu Nói cách khác, địa đích IP định tuyến gói liệu đến máy chủ lưu trữ xác mạng định Địa cổng UDP sau định tuyến datagram máy chủ đến quy trình máy chủ Để gửi datagram, IP giải vấn đề: tạo địa phân mảnh • Địa đảm bảo datagram đến đích Truyền datagram tương tự gửi thư • Phân mảnh cần thiết chuỗi LANS WANS mà sơ đồ liệu cụ thể qua có kích thước khung khác sơ đồ IP phải phù hợp với khung khác Ví dụ: điểm cuối gắn vào mạng LAN IEEE 802.3 với kích thước trường liệu tối đa 1500 octets, IP phải phân mảnh gói liệu IP lớn thành gói nhỏ phù hợp với khung giới hạn Sau đó, nút xa tập hợp lại mảnh lại thành sơ đồ IP (loại Humpty-Dumpty ngược) Địa mạng Mỗi địa IP 32 bit truy cập chia thành phần máy chủ ID mạng ID có định dạng Địa lớp A đến lớp E Các khung khác số lượng bit phân bổ cho máy chủ lưu trữ ID mạng xác định bit 16 Hình 8: Dạng đại IP Địa lớp A thiết kế cho mạng lớn có nhiều máy chủ, chúng nhận dạng bit (Bit đến xác định mạng Bit đến 31 xác định máy chủ cụ thể mạng Với ID mạng bit có 128 địa lớp A Trong số này, địa 127 dành riêng) Các địa Lớp B thiết kế cho mạng cơng ty có nhiều LANS Địa lớp B xác định qua hai bit có giá trị 10 (nhị phân) 14 bit xác định Mạng 16 bit lại xác định Máy chủ Có thể có tới 16.384 địa Lớp B, với địa 16.383 dành riêng Địa lớp C thường sử dụng cho mạng nhỏ LANS Địa lớp C bắt đầu số nhị phân 110 21 bit xác định Mạng bit lại xác định máy chủ Địa lớp D bắt đầu chuỗi 1110 vòng cung dành cho đa hướng Địa lớp E bắt đầu số nhị phân 1111 định lại để sử dụng tương lai Tất địa IP viết ký hiệu thập phân có dấu chấm, cach octet cho số thập phân từ đến 256 Địa IP chia thành hai trường xác định mạng máy chủ Một trung tâm quyền định mạng ID quản trị viên mạng định máy chủ ID Các định tuyến gửi gói đến mạng cụ thể (sử dụng ID mạng), sau mạng hồn tất việc gửi đến máy chủ cụ thể 17 Giao thức thông báo điều khiển Internet (ICMP) Nếu kết nối internet hồn hảo, gói liệu ln chuyển đến đích dự kiến chúng mà khơng có lỗi, trình chậm trễ truyền lại IP cung cấp service không kết nối cho máy chủ đính kèm yêu cầu module bổ sung, gọi giao thức thông điệp điều khiển internet (ICMP), để thay lỗi xảy trình xử lý sơ đồ liệu Giao thức sử dụng để kiểm tra đường dẫn đến máy chủ xa (được gọi PING) để yêu cầu mặt nạ địa cho subnet cụ thể ICMP phần thiếu IP phải triển khai mô-đun IP chứa host định tuyến Dữ liệu IP chứa thơng báo ICMP Nói cách khác, ICMP người dùng (máy khách) IP IP header đứng trước thông báo ICMP Do đó, datagram header IP, header ICMP cuối liệu ICMP Giao thức I xác định ICMP header IP Trường Loại header ICMP xác định rõ mục đích định dạng thơng báo ICMP Bất kỳ liệu cần thiết để hồn thành thơng báo ICMP nằm sau header ICMP Giao thức giao diện mạng Lớp thấp mơ hình kiến trúc ARPA lớp giao diện mạng, lớp bao gồm lớp vật lý liên kết liệu OSI Lớp chịu trách nhiệm phần cứng hệ thống mạng, chẳng hạn ethernet, vịng mã thơng báo Các giao thức WAN, chẳng hạn kết nối quay số kênh thuê riêng, X.25 Frame Relay, thực lớp Bởi hầu hết triển khai SNMP liên quan đến mối quan hệ cục bộ, người quản lý từ xa, tập trung vào giao thức LAN phần Để biết thêm thông tin tùy chọn WAN a) Ethernet DEC, Intel Xerox (được gọi chung DIX) phát triển Ethernet vào năm 1973 Phiên gọi Ethernet Thử nghiệm, chọn tốc độ Mbps sử dụng bit địa Sau vượt qua Ethernet Phiên 1, Ethernet Phiên truyền với tốc độ 10 Mbps sử dụng 48 bit địa Ethernet mạng LAN đạt chấp nhận rộng rãi phần lớn trình phát triển trùng với việc nghiên cứu giao thức Internet Do nhiều mạng Internet dựa TCP/AP có phân đoạn Ethernet Định dạng khung Ethemet, xác định độ dài từ 64 đến 1518 octets, bao gồm header, liệu đoạn giới thiệu Header bao gồm địa đích nguồn, địa octets (48 bit) cộng với trường octets gọi trường Ethertype Địa đích Ethernet định cho khung quảng bá tất ONES Loại định giao thức lớp cao sử dụng trường liệu Một số loại giao thức Ethernet xác định tìm thấy RFC 1340 18 Trường Dữ liệu phải có độ dài từ 46 đến 1500 octets Nếu gói liệu IP cực ngắn truyền (nhỏ 46 octet), trường liệu đệm số không để đạt độ dài tối thiểu 46 octet (Phần đệm không bao bọc phần chiều dài sơ đồ IP không tính tổng chiều dài trường header IP) b) Tiêu chuẩn IEEE 802.3 Tiêu chuẩn IEEE 802.3 bao phủ RFC 1042 Tiêu chuẩn Intemet tương tự khơng giống với DIX Ethernet Các trường địa đích nguồn IEEE 802.3 dài octet, độ dài octet, phù hợp với độ dài địa Ethernet, phổ biến Giao thức phân giải địa (ARP) ánh xạ địa IP (32bit) với địa IEEE 802 (48 bit) Mã phần cứng ARP cho mạng IEEE 802 Tuy nhiên, địa quảng bá cho mạng Ethernet IEEE 802 quán với tất mạng Tiếp theo, khung IEEE 802.3 xác định trường độ dài, định độ dài đơn vị liệu Trong khung Ethernet, Ethertype, giao thức lớp cao sử dụng Hai octet (Ethertype hoặcTrường độ dài) phân biệt định dạng khung tương ứng Ethernet hay IEEE 802.3 Nếu trình điều khiển lớp Liên kết liệu trộn lẫn thứ này, dẫn đến nhầm lẫn Ví dụ: máy chủ đích mong đợi khung Ethernet (với trường Ethertype), phản hồi với khung IEEE 802.3 chứa trường độ dài Trường liệu chứa thông tin từ lớp cao hơn, thêm header IEEE xác định Tiêu đề tiêu đề Điều khiển Liên kết Hợp lý (LLC) xác định IEEE 802.2 Tiêu đề LLC bao gồm địa điểm truy cập dịch vụ nguồn đích (tương ứng DSAP SSAP) trường điều khiển Tiêu đề thứ hai gọi Giao thức truy cập mạng (SNAP), định nghĩa IEEE Standard 802-1990 Tiêu đề bao gồm trường ID giao thức Mã tổ chức (3 octet) trường Ethertype (2 octet) Sự kết hợp tiêu đề LLC SNAP cho phép giao thức lớp cao sử dụng có ký hiệu SAP Ethertype Phần lại trường Dữ liệu chứa thông tin lớp cao hơn, chẳng hạn gói liệu IP c) Tiêu chuẩn IEEE 802.5 Vịng mã thông báo IEEE 802.5 đạt thành công lớn, phần hỗ trợ mạnh mẽ từ công ty mạng lớn Apple, IBM Proteon, phần cung cấp tích hợp giao thức cho kết nối Internet Điều khoản gọi định tuyến nguồn sử dụng trường thông tin định tuyến (RI) để kết nối vòng qua cầu Trường RI định đường dẫn mà khung phải từ nguồn đến đích Cơ chế xác định đường gọi phát lộ trình 19 Gói giữ liệu IP chiếm trường thơng tin khung vịng mã thơng báo Bất kỳ thơng tin định tuyến cần thiết đứng trước trường thông tin Bên trường thông tin header IEEE 802.2 LLC (3 octets) Header SNAP (5 octets) biểu đồ IP (độ dài thay đổi) Với tiêu đề gói giữ liệu IP tối thiểu 20 octets, chi phí chung giao thức (LLC+SNAP + IP) 28 octets gói giữ liệu IP Độ dài tối đa trường thông tin (và gói liệu IP đóng gói) khác nhau, tùy thuộc vào tham số thời gian giữ mã thông báo Tham số định khoảng thời gian mà nút cụ thể giữ mã thơng báo trước phải chuyển mã thơng báo cho hàng xóm hạ lưu Dịch địa Hình 9: Giao thức phân giải địa ARP giao thức phân giải địa ngược RARP a) Giao thức phân giải địa (ARP) Giả sử thiết bị Ethernet, máy chủ X muốn chuyển sơ đồ đến thiết bị khác Ethernel, máy chủ Y Máy chủ X biết địa giao thức đích (IP) máy chủ Y, địa phần cứng (Ethernet) máy chủ Y Do đó, máy chủ X mở rộng gói ARP Ethernet để xác định địa phần cứng máy chủ Y Gói tin chứa 28 octets, chủ yếu địa chỉ, chứa trường liệu khung mạng cục Một thiết bị nhận địa giao thức phản hồi với địa phần cứng Các trường riêng lẻ tin ARP cho biết giao thức hoạt động Trường đầu tiên, phần cứng (2 octet), xác định loại phần cứng sử dụng Các trường chứa địa Với tin yêu cầu ARP, trường địa phần cứng đích (HA) khơng xác định gửi số Gói ARP Reply từ máy chủ đích ghi địa yêu cầu vào trường Khi nhận ARP Reply, trạm gốc ghi lại thông tin bảng (được gọi ARP cache) để không cần phải thực 20 ... lý gói SNMP Ba mơ hình bảo mật có sẵn: SNMPv1, SNMPv2c vàSNMPv3 Hình 6: Cấu tạo thực thể SNMP 14 CHƯƠNG 2: CÁC LỚP DƯỚI HỖ TRỢ GIAO THỨC VÀ ỨNG DỤNG I LỚP DƯỚI HỖ TRỢ GIAO THỨC SNMP Giao thức liệu... thích ý nghĩa Giao thức quản lý mạng đơn giản giao thức liệu người dùng SNMP sử dụng giao thức liệu người dùng (UDP) làm giao thức truyền tải để truyền liệu Manager Agent UDP chọn giao thức TCP khơng... Protocol Giao thức truyền tin đơn giản CHƯƠNG 1: TỔNG QUAN VỀ GIAO THỨC SNMP I GIAO THỨC SNMP Sự phát triển hội tụ mạng năm gần tác động mạnh mẽ tới tất khía cạnh mạng lưới, chí nhận thức tảng phương