TÌM HIỂU VỀ QUẢN TRỊ MẠNG VÀ GIAO THỨC SNMP I Tổng quan quản trị mạng I.1 Khái niệm Các chế quản lí mạng nhìn nhận từ hai góc độ, góc độ mạng hệ thống quản lí nằm mức cao mô hình OSI từ phía người điều hành quản lí hệ thống Mặc dù có nhiều quan điểm khác mô hình quản lí chúng thống ba chức quản lí gồm: giám sát, điều khiển đưa báo cáo tới người điều hành - Chức giám sát có nhiệm vụ thu thập liên tục thông tin trạng thái tài nguyên quản lí sau chuyển thông tin dạng kiện đưa cảnh báo tham số tài nguyên mạng quản lí vượt ngưỡng cho phép - Chức quản lí có nhiệm vụ thực yêu cầu người quản lí ứng dụng quản lí nhằm thay đổi trạng thái hay cấu hình tài nguyên quản lí - Chức đưa báo cáo có nhiệm vụ chuyển đổi hiển thị báo cáo dạng mà người quản lí đọc, đánh giá tìm kiếm, tra cứu thông tin báo cáo Trong thực tế, tuỳ theo công việc cụ thể mà có vài chức khác kết hợp với hệ thống quản lí ứng dụng quản lí sử dụng quản lí kế hoạch dự phòng thiết bị, dung lượng, triển khai dịch vụ, quản lí tóm tắt tài nguyên, quản lí việc phân phối tài nguyên mạng hệ thống, quản lí việc lưu khôi phục tình trạng hệ thống, vận hành quản lí tự động Phần lớn chức phức tạp kể nằm xây dựng dựa tảng ba chức quản lí lớp cao giám sát, điều khiển đưa báo cáo Hiện có hai phương pháp quản lí mạng sử dụng phổ biến quản lí mạng tập trung quản lí mạng phân cấp Đối với hình thức quản lí mạng tập trung: Chỉ có thiết bị quản lí thu nhận thông tin điều khiển toàn thực thể mạng Các chức quản lí thực manager, khả hệ thống phụ thuộc lớn vào mức độ thông minh manager Kiến trúc thường sử dụng nhiều có trung tâm quản trị mạng So với chức thuộc manager chức agent thường đơn giản, thông tin trao đổi từ manager tới agent thông qua giao thức thông tin quản lí giao thức SNMP (Simple Network Management Protocol) Tuy nhiên hệ thống quản lí tập trung khó mở rộng mức độ phức tạp hệ thống tăng Hình 1.0: Mô hình quản lí tập trung Ưu điểm: Quan sát cảnh báo kiện mạng từ vị trí Bảo mật khoanh vùng đơn giản Nhược điểm: Lỗi hệ thống quản lí gây tác hại tới toàn mạng Tăng độ phức tạp có thêm phần tử vào mạng Đối với phương thức quản lí phân cấp: Hệ thống chia thành vùng tùy theo nhiệm vụ quản lí tạo hệ thống phân cấp quản lí Trung tâm xử lý đặt gốc phân cấp, hệ thống phân tán đặt nhánh Hình 1.1: Mô hình quản lí phân tán Ưu điểm: Có khả mở rộng hệ thống quản lí nhanh Nhược điểm: Danh sách thiết bị quản lí phải xác định cấu hình trước I.2 Các công việc quản trị mạng - Quản trị lỗi (Fault): Mục đích việc quản lí lỗi để dò tìm, ghi nhận cánh báo cho người dùng tự động sửa chữa vấn đề mạng giữ cho mạng vận hành cách hiệu Bởi lỗi làm cho ngưng trệ hoạt động mạng, việc quản lí lỗi cài đặt phần lớn thiết bị mạng chuẩn hóa ISO Việc quản lí lỗi bắt đầu với việc xác định triệu chứng cô lập vấn đề phát sinh Kế đó, vấn đề khắc phục giải pháp kiểm tra tất hệ thống Cuối việc phát lỗi giải pháp khắc phục ghi nhận lại - Quản trị cấu hình (Configuration): Mục đích việc quản lí cấu hình mạng để theo dõi mạng thông tin cấu hình hệ thống mạng nhờ ảnh hưởng tác động khác phiên phần cứng, phần mềm theo dõi quản lí Mỗi thiết bị mạng có vài thông tin phiên gắn liền với Các hệ thống quản lí cấu hình lưu thông tin vào sở liệu để dễ dàng truy cập Khi có cố xảy ra, thông tin sử dụng để tìm nguyên nhân việc - Quản trị tài khoản (Accounting ): Mục đích việc quản lí tài khoản để đo thông số mức độ sử dụng mạng nhờ sử dụng mạng cá nhân hay nhóm người dùng quy định cách phù hợp Những quy định hạn chế tối thiểu vấn đề mạng tối đa hợp lý việc truy cập mạng tất người dùng - Quản trị hiệu suất mạng (Performance): Mục đích việc quản lí hiệu suất đo đạt đảm bảo diện tiêu chí hiệu suất mạng nhờ hiệu suất liên mạng trì mức chấp nhận Các tham số để đo hiệu suất mạng thông lượng tổng mạng (network throughput), thời gian đáp ứng người dùng Quản lí hiệu suất mạng gồm bước Đầu tiên liệu liên quan đến hiệu suất thu thập dựa tham số quan tâm nhà quản trị mạng Kế tiếp, liệu phân tích để xác định mức độ bình thường (baseline) Cuối cùng, xác định giá trị ngưỡng cho tham số quan trọng nhờ giá trị vượt giá trị ngưỡng xem mạng có vấn đề cần lưu ý Thông thường phần mềm dùng để quản lí mạng cho phép thiết lập chế cảnh báo tự động phát có vượt ngưỡng cho phép số tham số Mỗi bước bước mô tả phần tiến trình thiết lập hệ thống tự phản ứng Khi hiệu suất trở nên chấp nhận có vượt ngưỡng thiết đặt, hệ thống tự phản ứng cách gởi thông điệp cảnh báo - Quản trị an ninh mạng (Security): Mục đích việc quản an ninh mạng để điều khiển truy cập vào tài nguyên mạng dựa theo nguyên tắc đạo nội nhờ mạng không bị phá hoại (từ bên từ bên ngoài) thông tin nhạy cảm không bị truy cập người không phép.Ví dụ hệ thống quản lí an ninh theo dõi người dùng đăng nhập vào mạng từ chối truy cập người mà mã nhập vào họ không hợp lệ Các hệ thống quản trị an ninh cấp hoạt động cách chia tài nguyên mạng thành vùng phép không phép Đối với số người dùng, truy cập vào tài nguyên mạng không hợp lệ, hầu hết người dùng thông thường bên công ty Đối với số người dùng mạng khác, truy cập vào số thông tin tạo từ số phận xem không hợp lệ Chẳng hạn truy cập vào tập tin phòng quản lí nhận không hợp lệ người dùng không thuộc phòng quản lí nhân Các hệ thống quản lí an ninh thực số chức Chúng nhận dạng tài nguyên nhạy cảm hệ thống, tập tin, thực thể khác xác định mối tương quan tài nguyên mạng nhạy cảm tập hợp người dùng Chúng theo dõi điểm truy cập đến tài nguyên nhạy cảm mạng việc đăng nhập không hợp lệ vào tài nguyên nhạy cảm mạng II Quản trị mạng với giao thức SNMP II.1 Giao thức SNMP II.1.1 Hai phương thức giám sát Poll Alert Đây hai phương thức kỹ thuật giám sát hệ thống, nhiều phần mềm giao thức xây dựng dựa hai phương thức này, có SNMP Việc hiểu rõ hoạt động Poll & Alert ưu nhược điểm chúng giúp dễ dàng tìm hiểu nguyên tắc hoạt động giao thức hay phần mềm giám sát Hoặc muốn tự phát triển chế giám sát riêng sở để giúp xây dựng nguyên tắc hoạt động đắn II.1.1.1 Phương thức Poll Nguyên tắc hoạt động: Trung tâm giám sát (manager) thường xuyên hỏi thông tin thiết bị cần giám sát (device) Nếu Manager không hỏi Device không trả lời, Manager hỏi Device phải trả lời Bằng cách hỏi thường xuyên, Manager cập nhật thông tin từ Device Hình 1.3 Minh họa chế Poll II.1.1.2 Phương thức Alert Nguyên tắc hoạt động: Mỗi Device xảy kiện (event) Device tự động gửi thông báo cho Manager, gọi Alert Manager không hỏi thông tin định kỳ từ Device Ví dụ: Người quản lí cần theo dõi tình hình làm việc thợ, yêu cầu người thợ thông báo cho có vấn đề xảy Người thợ thông báo kiện “Tiến độ hoàn thành 50%”, “Mất điện lúc 10h”, “Có điện lại lúc 11h”, “Mới có tai nạn xảy ra” Hình 1.4 Minh họa chế Alert II.1.2 Giới thiệu giao thức SNMP SNMP “giao thức quản lí mạng đơn giản”, dịch từ cụm từ “Simple Network Management Protocol” Thế giao thức quản lí mạng đơn giản ? Giao thức tập hợp thủ tục mà bên tham gia cần tuân theo để giao tiếp với Trong lĩnh vực thông tin, giao thức quy định cấu trúc, định dạng (format) dòng liệu trao đổi với quy định trình tự, thủ tục để trao đổi dòng liệu Nếu bên tham gia gửi liệu không định dạng không theo trình tự bên khác không hiểu từ chối trao đổi thông tin SNMP giao thức, có quy định riêng mà thành phần mạng phải tuân theo Một thiết bị hiểu hoạt động tuân theo giao thức SNMP gọi “có hỗ trợ SNMP” (SNMP supported) “tương thích SNMP” (SNMP compartible) SNMP dùng để quản lí, nghĩa theo dõi, lấy thông tin, thông báo, tác động để hệ thống hoạt động ý muốn VD số khả phần mềm SNMP : - Theo dõi tốc độ đường truyền router, biết tổng số byte truyền/nhận - Lấy thông tin máy chủ có ổ cứng, ổ cứng trống - Tự động nhận cảnh báo switch có port bị down - Điều khiển tắt (shutdown) port switch SNMP dùng để quản lí mạng, nghĩa thiết kế để chạy TCP/IP quản lí thiết bị có nối mạng TCP/IP Các thiết bị mạng không thiết phải máy tính mà switch, router, firewall, adsl gateway, số phần mềm cho phép quản trị SNMP Giả sử bạn có máy giặt nối mạng IP hỗ trợ SNMP bạn quản lí từ xa SNMP SNMP giao thức đơn giản, thiết kế đơn giản cấu trúc tin thủ tục hoạt động, đơn giản bảo mật (ngoại trừ SNMP version 3) Sử dụng phần mềm SNMP, người quản trị mạng quản lí, giám sát tập trung từ xa toàn mạng II.1.2.1 Ưu điểm thiết kế SNMP SNMP thiết kế để đơn giản hóa trình quản lí thành phần mạng Nhờ phần mềm SNMP phát triển nhanh tốn chi phí SNMP thiết kế để mở rộng chức quản lí, giám sát Không có giới hạn SNMP quản lí Khi có thiết bị với thuộc tính, tính người ta thiết kế “custom” SNMP để phục vụ cho riêng (trong chương tác giả trình bày file cấu trúc liệu SNMP) SNMP thiết kế để hoạt động độc lập với kiến trúc chế thiết bị hỗ trợ SNMP Các thiết bị khác có hoạt động khác đáp ứng SNMP giống VD bạn dùng phần mềm để theo dõi dung lượng ổ cứng trống máy chủ chạy HĐH Windows Linux; không dùng SNMP mà làm trực tiếp HĐH bạn phải thực theo cách khác II.1.2.2 Nhược điểm thiết kế SNMP - Làm tăng lưu lượng đáng kể - Không cho phép phân bổ tác động trực tiếp cho đại lý - Không có điều khiển tổng hợp nhiều nơi quản lí II.1.2.3 Các phiên SNMP SNMP có phiên bản: SNMPv1, SNMPv2c, SNMPv2u SNMPv3 Các phiên khác chút định dạng tin phương thức hoạt động Hiện SNMPv1 phổ biến có nhiều thiết bị tương thích có nhiều phần mềm hỗ trợ Trong có số thiết bị phần mềm hỗ trợ SNMPv3 Năm 1993, SNMP Version (SNMPv2) IETF đưa với mục đích giải vấn đề tồn SNMPv1 chế đảm bảo bảo mật SNMPv2 có nhiều thay đổi so với SNMPv1 hỗ trợ mạng trung tâm cấp cao, mạng phân tán, chế bảo mật, làm việc với khối liệu lớn Tuy nhiên SNMPv2 không chấp nhận hoàn toàn SNMPv2 chưa thoả mãn vấn đề bảo mật quản trị năm 1996 phần bảo mật SNMPv2 bị bỏ qua SNMPv2 gọi “SNMPv2 sở truyền thông” hay SNMPv2c Năm 1998, IETF bắt đầu đưa SNMPv3 định nghĩa RFCs 2571-2575 Về chất, SNMPv3 mở rộng để đạt hai mục đích bảo mật quản trị SNMPv3 hổ trợ kiến trúc theo kiểu module để dễ dàng mở rộng Như giao thức bảo mật mở rộng chúng hổ trợ SNMPv3 cách định nghĩa module riêng II.1.3 Điều hành SNMP II.1.3.1 Các thành phần SNMP Hệ thống quản lí mạng dựa SNMP gồm ba thành phần: phận quản lí (manager), đại lý (agent) sở liệu gọi Cơ sở thông tin quản lí (MIB) Mặc dù SNMP giao thức quản lí việc chuyển giao thông tin ba thực thể trên, song định nghĩa mối quan hệ client-server Ở đây, chương trình client phận quản lí, client thực thiết bị từ xa coi server Khi đó, CSDL agent SNMP quản lí đại diện cho MIP SNMP II.1.3.2 Bộ phận quản lí (manager) Bộ phận quản lí chương trình vận hành nhiều máy tính trạm Tùy thuộc vào cấu hình, phận quản lí dùng để quản lí mạng con, nhiều phận quản lí dùng để quản lí mạng hay mạng chung Tương tác thực người sử dụng cuối (end-user) phận quản lí trì qua việc sử dụng nhiều chương trình ứng dụng mà với phận quản lí, biến mặt phần cứng thành Trạm quản lí mạng (NMS) Ngày nay, thời kỳ chương trình giao diện người sử dụng đồ họa (GUI), hầu hết chương trình ứng dụng cung cấp môi trường cửa sổ click chuột, thực liên vận hành với phận quản lí để tạo đồ họa biểu đồ cung cấp tổng kết hoạt động mạng dạng thấy Qua phận quản lí, yêu cầu chuyển tới nhiều thiết bị chịu quản lí Ban đầu SNMP phát triển để sử dụng mạng TCP/IP mạng tiếp tục làm mạng vận chuyển cho phần lớn sản phẩm quản lí mạng dựa SNMP Tuy nhiên SNMP chuyển qua NetWare IPX cấu vận chuyển khác II.1.3.3 Agent Thiết bị chịu quản lí (Managed device): Là nút mạng hổ trợ giao thức SNMP thuộc mạng bị quản lí Thiết bị có nhiệm vụ thu thập thông tin quản lí luu trữ để phục vụ cho hệ thống quản lí mạng Những thiết bị chịu quản lí, gọi phần tử mạng, định tuyến máy chủ truy cậpAccess Server, switch bridge, hub, máy tính máy in mạng Mỗi thiết bị chịu quản lí bao gồm phần mềm phần sụn (firmware) dạng mã phiên dịch yêu cầu SNMP đáp ứng yêu cầu Phần mềm phần sụn coi agent Mặc dù thiết bị bắt buộc bao gồm agent chịu quản lí trực tiếp, thiết bị tương thích không theo SNMP quản lí chúng hổ trợ giao thức quản lí độc quyền Ðể thực điều này, phải giành agent ủy nhiệm (proxy agent) Proxy agent xét chuyển đổi giao thức phiên dịch yêu cầu SNMP thành giao thức quản lí độc quyền thiết bị không hoạt động theo giao thức SNMP Mặc dù SNMP chủ yếu giao thức đáp ứng thăm dò (poll-respond) với yêu cầu phận quản lí tạo dẩn đến đáp ứng agent, agent có khả đề xướng “đáp ứng tự nguyện” Ðáp ứng tự nguyện điều kiện cảnh báo từ việc giám sát agent với hoạt động định nghĩa trước tới ngưỡng định trước Dưới điều khiển SNMP, việc truyền cảnh báo coi bẫy (trap) II.1.3.4 Cơ sở thông tin quản lí – MIB Mỗi thiết bị chịu quản lí có cấu hình, trạng thái thông tin thống kê đa dạng, định nghĩa chức khả vận hành thiết bị Thông tin bao gồm việc thiết lập chuyển mạch phần cứng, giá trị khác lưu trữ bảng ghi nhớ liệu, hồ sơ trường thông tin hồ sơ lưu trữ file biến thành phần liệu tương tự Nhìn chung, thành phần liệu coi sở thông tin quản lí thiết bị chịu quản lí Xét riêng, thành phần liệu biến đổi coi đối tượng bị quản lí bao gồm tên, nhiều thuộc tính, tập họat động (operation) thực đối tượng Vì MIB định nghĩa loại thông tin khôi phục từ thiết bị chịu quản lí bố trí (settings) thiết bị mà điều khiển từ hệ thống quản lí II.1.3.5 Các lệnh SNMP SNMP sử dụng dịch vụ chuyển tải liệu cung cấp giao thức UDP/IP Một ứng dụng Manager phải nhận dạng Agent cần thông tin với Một ứng dụng Agent nhận dạng dịa IP cổng UDP Một ứng dụng Manager đóng gói yêu cầu SNMP UDP/IP, UDP/IP chứa mã nhận dạng cổng nguồn, địa IP đích mã nhận dạng cổng UDP Khung UDP gửi thông qua thực thể IP tới hệ thống quản lí, tới khung UDP phân phối thực thể UDP tới Agent Tuong tự tin TRAP phải nhận dạng Manager Các tin sử dụng địa IP mã nhận dạng cổng UDP Manager SNMP SNMP sử dụng lệnh Read, Write, Trap số lệnh tùy biến để quản lí thiết bị - Lệnh Read: Ðược SNMP dùng để dọc thông tin từ thiết bị Các thông tin cung cấp qua biến SNMP lưu trữ thiết bị cập nhật thiết bị - Lệnh Write: Ðược SNMP dùng để ghi thông tin điều khiển lên thiết bị cách thay đổi giá trị biến SNMP - Lệnh Trap: Dùng để nhận kiện gửi từ thiết bị đến SNMP Mỗi có kiện xảy thiết bị lệnh Trap gửi tới NMS SNMP điều khiển, theo dõi thiết bị cách thay đổi thu thập thông tin qua biến giá trị lưu thiết bị Các Agent cài đặt thiết bị tương tác với chip điều khiển hổ trợ SNMP để lấy nội dung viết lại nội dung Hình 1.5 Mô hình giao thức hoạt động SNMP Hình 1.6 Hoạt động giao thức SNMP II.1.4 Quản lí liên lạc management với agent Nhìn phương diện truyền thông, nhà quản lí (manager) tác nhân (agent) người sử dụng, sử dụng giao thức ứng dụng Giao thức quản lí yêu cầu chế vận tải để hổ trợ tương tác tác nhân nhà quản lí Management trước hết phải xác định agent mà muốn liên lạc xác định ứng dụng tác nhân địa IP cổng UDP gán cho 10 Cổng UDP 161 dành riêng cho agent SNMP Management gói lệnh SNMP vào phong bì UDP/IP Phong bì chứa cổng nguồn, địa IP đích cổng 161 Một thực thể IP chổ chuyển giao khung UDP tới hệ thống bị quản lí Tiếp đó, thực thể UDP chổ chuyển phát tới agent Tương tự vậy, lệnh TRAP cần xác định management mà cần liên hệ Chúng sử dụng địa IP cổng UDP dành cho mamagement SNMP, cổng 162 II.1.5 Cơ chế vận chuyển thông tin management agent Việc lựa chọn chế vận chuyển có tính trực giao với giao thức truyền thông SNMP đòi hỏi chế truyền tải không tin cậy liệu đồ (datagram) để truyền đưa PDU (đơn vị liệu giao thức) management agent Ðiều cho phép ánh xạ SNMP tới nhiều nhóm giao thức Mô hình vận chuyển datagram giảm độ phức tạp ánh xạ tầng vận chuyển Tuy nhiên, vẩn phải nhận thức thấy tham gia số lựa chọn tầng vận chuyển Các tầng vận chuyển khác sử dụng nhiều kỹ thuật đánh địa khác Các tầng vận chuyển khác đua hạn chế quy mô PDU Ánh xạ tầng vận chuyển có trách nhiệm phải xử lý vấn đề đánh địa chỉ, hạn chế quy mô PDU số tham số tầng vận chuyển khác Trong phiên thứ hai SNMP, người ta sử dụng kinh nghiệm để làm sắc nét đơn giản hóa trình ánh xạ tới chuẩn vận chuyển khác Giao thức quản lí tách khỏi môi trường vận chuyển cách trực giao, điều khuyến khích sử dụng cho nhóm giao thức II.1.6 Bảo vệ truyền thông liên lạc management agent khỏi cố Trong điều kiện mạng thiếu ổn định thiếu độ tin cậy liên lạc quản lí trở nên quan trọng Làm để management liên lạc với agent cách tin cậy? Việc SNMP sử dụng chế UDP để liên lạc có nghĩa thiếu độ tin cậy SNMP hoàn toàn để lại cho chương trình management chịu trách nhiệm xử lý việc thông tin Các lệnh GET, GET-NEXT, SET phúc đáp lệnh GET-RESPONSE Hệ thống dễ dàng phát việc bị lệnh không nhận lệnh trả lại Nó lặp lại yêu cầu lần có hành động khác Tuy nhiên, tin TRAP agent tạo không phúc đáp khẳng định Khi lệnh TRAP bị thất lạc, chương trình agent điều (tất nhiên management không hay biết điều này) Thông thường tin TRAP mang thông tin quan trọng cho management, management cần ý cần bảo đảm việc chuyển phát chúng cách tin cậy 11 Một câu hỏi đặt làm để chuyển phát tin TRAP tránh mát, thất lạc? Ta thiết kế cho agent lặp lại tin TRAP Biến số MIB đọc số lần lặp lại theo yêu cầu Lệnh SET management đặt cấu hình cho biến số Có cách khác agent lặp lại lệnh TRAP management đặt biến số MIB để chấm dứt cố Hãy ghi nhớ rằng, hai phương pháp cho ta giải pháp phần Trong trường hợp thứ nhất, số lần lặp lại không đủ để đảm bảo liên lạc cách tin cậy Trong trường hợp thứ hai, cố mạng dẩn đến việc hàng loạt tin TRAP bị tùy thuộc vào tốc độ mà agent tạo chúng Ðiều làm cho cố mạng trở nên trầm trọng Trong hai trường hợp, ta cần chuyển phát tin TRAP tới nhiều management, xảy tình trạng không quán management xảy tượng thất lạc thông tin phức tạp Nếu agent phải chịu trách nhiệm thiết kế cho việc phục hồi tin TRAP làm tăng thêm độ phức tạp việc quản lí agent môi trường đa nhà chế tạo Người ta theo đuổi cải tiến chế xử lý tin cố cho phiên thứ hai SNMP Thứ đơn nguyên TRAP bỏ thay lệnh GET/RESPONSE không yêu cầu Lệnh agent tạo chuyển đến cho “management bẫy” cổng UDP-162 Ðiều phản ánh quan điểm nhà quản lí cố thống tin cố trả lại cho yêu cầu ảo Bằng cách bỏ đơn thể, giao thức đơn giản hóa Người ta bổ sung thêm sở thông tin quản lí đặc biệt TRAP MIB để thống việc xử lý cố, management nhận tin cố việc lặp lại để cải thiện độ tin cậy chuyển phát thông tin II.1.7 Các phương thức SNMP Giao thức SNMPv1 có phương thức hoạt động, tương ứng với loại tin sau: 12 II.1.7.1 GetRequest Bản tin GetRequest manager gửi đến agent để lấy thông tin Trong GetRequest có chứa OID object muốn lấy VD : Muốn lấy thông tin tên Device1 manager gửi tin GetRequest OID=1.3.6.1.2.1.1.5 đến Device1, tiến trình SNMP agent Device1 nhận tin tạo tin trả lời Trong tin GetRequest chứa nhiều OID, nghĩa dùng GetRequest lấy lúc nhiều thông tin II.1.7.2 GetNextRequest Bản tin GetNextRequest dùng để lấy thông tin có chứa OID, nhiên dùng để lấy thông tin object nằm object tin Tại phải có phương thức GetNextRequest ? Như bạn biết đọc qua phần : MIB bao gồm nhiều OID xếp thứ tự không liên tục, biết OID không xác định OID Do ta cần GetNextRequest để lấy giá trị OID Nếu thực GetNextRequest liên tục ta lấy toàn thông tin agent II.1.7.3 SetRequest Bản tin SetRequest manager gửi cho agent để thiết lập giá trị cho object Ví dụ : - Có thể đặt lại tên máy tính hay router phần mềm SNMP manager, cách gửi tin SetRequest có OID 1.3.6.1.2.1.1.5.0 (sysName.0) có giá trị tên cần đặt 13 - Có thể shutdown port switch phần mềm SNMP manager, cách gửi tin có OID 1.3.6.1.2.1.2.2.1.7 (ifAdminStatus) có giá trị Chỉ object có quyền READ_WRITE thay đổi giá trị II.1.7.4 GetResponse Mỗi SNMP agent nhận tin GetRequest, GetNextRequest hay SetRequest gửi lại tin GetResponse để trả lời Trong tin GetResponse có chứa OID object request giá trị object II.1.7.5 Trap Bản tin Trap agent tự động gửi cho manager có kiện xảy bên agent, kiện hoạt động thường xuyên agent mà kiện mang tính biến cố Ví dụ : Khi có port down, có người dùng login không thành công, thiết bị khởi động lại, agent gửi trap cho manager Tuy nhiên biến cố agent gửi trap, agent gửi trap xảy biến cố Việc agent gửi hay không gửi trap cho biến cố hãng sản xuất device/agent quy định Phương thức trap độc lập với phương thức request/response SNMP request/response dùng để quản lí SNMP trap dùng để cảnh báo Nguồn gửi trap gọi Trap Sender nơi nhận trap gọi Trap Receiver Một trap sender cấu hình để gửi trap đến nhiều trap receiver lúc Có loại trap : trap phổ biến (generic trap) trap đặc thù (specific trap) Generic trap quy định chuẩn SNMP, specific trap người dùng tự định nghĩa (người dùng hãng sản xuất SNMP device) Loại trap số nguyên chứa tin trap, dựa vào mà phía nhận trap biết tin trap có nghĩa Theo SNMPv1, generic trap có loại sau : coldStart(0), warmStart(1), linkDown(2), linkUp(3), authenticationFailure(4), egpNeighborloss(5), enterpriseSpecific(6) Giá trị ngoặc mã số loại trap Ý nghĩa tin generictrap sau : + ColdStart: thông báo thiết bị gửi tin khởi động lại (reinitialize) cấu hình bị thay đổi sau khởi động + WarmStart: thông báo thiết bị gửi tin khởi động lại giữ nguyên cấu hình cũ 14 + LinkDown: thông báo thiết bị gửi tin phát kết nối truyền thông (communication link) gặp lỗi Trong tin trap có tham số ifIndex kết nối bị lỗi + LinkUp: thông báo thiết bị gửi tin phát kết nối truyền thông khôi phục trở lại Trong tin trap có tham số ifIndex kết nối khôi phục + AuthenticationFailure: thông báo thiết bị gửi tin nhận tin không chứng thực thành công (bản tin bị chứng thực không thành công thuộc nhiều giao thức khác telnet, ssh, snmp, ftp, …) Thông thường trap loại xảy user đăng nhập không thành công vào thiết bị + EgpNeighborloss: thông báo số “EGP neighbor” thiết bị gửi trap bị coi down quan hệ đối tác (peer relationship) bên không trì + EnterpriseSpecific : thông báo tin trap không thuộc kiểu generic mà loại tin người dùng tự định nghĩa Người dùng tự định nghĩa thêm loại trap để làm phong phú thêm khả cảnh báo thiết bị : boardFailed, configChanged, powerLoss, cpuTooHigh, v.v… Người dùng tự quy định ý nghĩa giá trị specific trap này, dĩ nhiên trap receiver trap sender hỗ trợ MIB hiểu ý nghĩa specific trap Do bạn dùng phần mềm trap receiver để nhận trap trap sender bất kỳ, bạn đọc hiểu generic trap chúng xảy ra; bạn không hiểu ý nghĩa specific trap chúng lên hình tin trap chứa số Hình 1.7 Hình minh họa phương thức SNMPv1 15 Đối với phương thức Get/Set/Response SNMP Agent lắng nghe port UDP 161, phương thức trap SNMP Trap Receiver lắng nghe port UDP 162 II.1.8 Các chế bảo mật cho SNMP Một SNMP management station quản lí/giám sát nhiều SNMP element, thông qua hoạt động gửi request nhận trap Tuy nhiên SNMP element cấu hình phép SNMP management station phép quản lí/giám sát Các chế bảo mật đơn giản gồm có : community string, view SNMP access control list II.1.8.1 Community string Community string chuỗi ký tự cài đặt giống SNMP manager SNMP agent, đóng vai trò “mật khẩu” bên trao đổi liệu Community string có loại : Read-community, Write-Community TrapCommunity Khi manager gửi GetRequest, GetNextRequest đến agent tin gửi có chứa Read-Community Khi agent nhận tin request so sánh Read-community manager gửi Read-community mà cài đặt Nếu chuỗi giống nhau, agent trả lời; chuỗi khác nhau, agent không trả lời + Write-Community dùng tin SetRequest Agent chấp nhận thay đổi liệu write-community bên giống + Trap-community nằm tin trap trap sender gửi cho trap receiver Trap receiver nhận lưu trữ tin trap trap-community bên giống nhau, nhiên có nhiều trap receiver cấu hình nhận tất tin trap mà không quan tâm đến trap-community + Community string có loại loại có nhiều string khác Nghĩa agent khai báo nhiều read-community, nhiều write-community Trên hầu hết hệ thống, read-community mặc định “public”, write-community mặc định “private” trap-community mặc định “public” Community string chuỗi ký tự dạng cleartext, hoàn toàn bị nghe truyền mạng Hơn nữa, community mặc định thường “public” “private” nên người quản trị không thay đổi chúng dễ dàng bị dò Khi 16 community string mạng bị lộ, người dùng bình thường máy tính mạng quản lí/giám sát toàn device có community mà không cho phép người quản trị II.1.8.2 View Khi manager có read-community đọc toàn OID agent Tuy nhiên agent quy định cho phép đọc số OID có liên quan nhau, tức đọc phần MIB Tập MIB gọi view, agent định nghĩa nhiều view Ví dụ : agent định nghĩa view interfaceView bao gồm OID liên quan đến interface, storageView bao gồm OID liên quan đến lưu trữ, hay AllView bao gồm tất OID Một view phải gắn liền với community string Tùy vào community string nhận mà agent xử lý view tương ứng Ví dụ : agent định nghĩa readcommunity “inf” view interfaceView, “sto” storageView; manager gửi request lấy OID ifNumber với community “inf” đáp ứng ifNumber nằm interfaceView; manager request OID hrStorageSize với community “inf” agent không trả lời hrStorageSize không nằm interfaceView; manager request hrStorageSize với community “sto” trả lời hrStorageSize nằm storageView Việc định nghĩa view tùy thuộc vào SNMP agent khác Có nhiều hệ thống không hỗ trợ tính view II.1.8.3 SNMP access control list Khi manager gửi không community OID cần lấy lại không nằm view cho phép agent không trả lời Tuy nhiên community bị lộ manager request thông tin Để ngăn chặn hoàn toàn SNMP manager không phép, người quản trị dùng đến SNMP access control list (ACL) SNMP ACL danh sách địa IP phép quản lí/giám sát agent, áp dụng riêng cho giao thức SNMP cài agent Nếu manager có IP không phép ACL gửi request agent không xử lý, dù request có community string Đa số thiết bị tương thích SNMP cho phép thiết lập SNMP ACL II.1.9 Cấu trúc gói tin SNMP SNMP chạy UDP Cấu trúc tin SNMP bao gồm : version, community data 17 Hình 1.8 Cấu trúc gói tin SNMP Theo cấu trúc trên: - Get/set header: Request id: ID request manager gửi đến cho agent Error status: có giá trị noError(0), tooBig(1), noSuchName(2), badValue(3), readOnly(4), genErr(5) Giá trị noError(0) gửi thành công Error index: số thứ tự OID có lỗi (nếu có) Variables to get/set: chứa danh sách cặp OID/value cần lấy thông tin -Trap header: Enterprise: nhận dạng thiết bị gửi trap (nhận dạng chi tiết hãng sản xuất, chủng loại, model) Agent address: địa IP nguồn gửi trap Trap type hay generic trap: kiểu giá trị loại trap Specific trap: kiểu giá trị trap người dùng định nghĩa Time stamp: thời gian từ lúc thiết bị khởi động đến gửi gói tin trap, tính centi giây Trap information hay variable-bidings: cặp OID/value object có liên quan đến trap 18 II.2 Demo Cấu trúc gói tin SNMP GetRequest: Hình Gói tin SNMP-GetRequest Các trường gói tin SNMP-GetRequest phần mềmWireshark hình 9.10: - Version: phiên - Community: chuổi xác thực manager gửi agent “private” Chuổi có dạng: read community (chứa GetRequest/GetNextRequest PDU), write community (chứa SetRequest PDU) trap community (chứa Trap PDU) - request – id: id request 13438 - error-status: có giá trị – lỗi, manager gửi GetRequest thành công - error-index: có giá trị – OID bị lỗi - variable – bindings: item tương đương cặp OID – value - OID = 1.3.6.1.2.1.1.2.0 (tên object sysObjectID) Value request ban đầu giá trị Cấu trúcgói tin SNMP GetReponse: 19 Hình Gói tin SNMP GetReponse Các trường gói tin SNMP-GetReponsetrên phần mềmWireshark hình 9.11: - Version: phiên - Community: chuổi xác thực manager agent “private” - request – id: id request 2731 - error-status: có giá trị nghĩa lỗi, gữi trả lời cho request thành công - error-index: có giá trị nghĩa OID bị lỗi - variable-bindings: cặp OID/value OID 1.3.6.1.2.1.1.2.0 value 1.3.6.1.4.1.9.1.222của agent gửi cho manager License Name: prtgtrial License Key: 000014-3DAKFM-8FFQ82-N0UXXQ-TW5UDY-YAR44E-P3WT88-FTGG6E-FN2FWP-794ZRV 20 [...]... phương thức SNMPv1 15 Đối với các phương thức Get/Set/Response thì SNMP Agent lắng nghe ở port UDP 161, còn phương thức trap thì SNMP Trap Receiver lắng nghe ở port UDP 162 II.1.8 Các cơ chế bảo mật cho SNMP Một SNMP management station có thể quản lí/giám sát nhiều SNMP element, thông qua hoạt động gửi request và nhận trap Tuy nhiên một SNMP element có thể được cấu hình để chỉ cho phép các SNMP management... nghiệm để làm sắc nét và đơn giản hóa quá trình ánh xạ tới các chuẩn vận chuyển khác nhau Giao thức quản lí được tách khỏi môi trường vận chuyển một cách trực giao, điều này cũng được khuyến khích sử dụng cho bất cứ nhóm giao thức nào II.1.6 Bảo vệ truyền thông liên lạc giữa management và các agent khỏi sự cố Trong điều kiện mạng thiếu ổn định và thiếu độ tin cậy thì sẽ liên lạc quản lí càng trở nên... 162 II.1.5 Cơ chế vận chuyển thông tin giữa management và agent Việc lựa chọn cơ chế vận chuyển có tính trực giao với giao thức truyền thông đó SNMP chỉ đòi hỏi cơ chế truyền tải không tin cậy dữ liệu đồ (datagram) để truyền đưa các PDU (đơn vị dữ liệu giao thức) giữa management và các agent Ðiều này cho phép sự ánh xạ của SNMP tới nhiều nhóm giao thức Mô hình vận chuyển datagram giảm được độ phức tạp... cho các yêu cầu ảo Bằng cách bỏ đi một đơn thể, giao thức được đơn giản hóa Người ta cũng bổ sung thêm một cơ sở thông tin quản lí đặc biệt TRAP MIB để thống nhất việc xử lý sự cố, các management nhận bản tin về các sự cố này và việc lặp lại để cải thiện độ tin cậy trong chuyển phát thông tin II.1.7 Các phương thức của SNMP Giao thức SNMPv1 có 5 phương thức hoạt động, tương ứng với 5 loại bản tin như... access control list (ACL) SNMP ACL là một danh sách các địa chỉ IP được phép quản lí/giám sát agent, nó chỉ áp dụng riêng cho giao thức SNMP và được cài trên agent Nếu một manager có IP không được phép trong ACL gửi request thì agent sẽ không xử lý, dù request có community string là đúng Đa số các thiết bị tương thích SNMP đều cho phép thiết lập SNMP ACL II.1.9 Cấu trúc gói tin SNMP SNMP chạy trên nền UDP... “private” và trap-community mặc định là “public” Community string chỉ là chuỗi ký tự dạng cleartext, do đó hoàn toàn có thể bị nghe lén khi truyền trên mạng Hơn nữa, các community mặc định thường là “public” và “private” nên nếu người quản trị không thay đổi thì chúng có thể dễ dàng bị dò ra Khi 16 community string trong mạng bị lộ, một người dùng bình thường tại một máy tính nào đó trong mạng có thể quản. .. agent SNMP Management gói lệnh SNMP vào một phong bì UDP/IP Phong bì này chứa cổng nguồn, địa chỉ IP đích và cổng 161 Một thực thể IP tại chổ sẽ chuyển giao khung UDP tới hệ thống bị quản lí Tiếp đó, một thực thể UDP tại chổ sẽ chuyển phát nó tới các agent Tương tự như vậy, lệnh TRAP cũng cần xác định những management mà nó cần liên hệ Chúng sử dụng địa chỉ IP cũng như cổng UDP dành cho mamagement SNMP, ... station nào đó được phép quản lí/giám sát mình Các cơ chế bảo mật đơn giản này gồm có : community string, view và SNMP access control list II.1.8.1 Community string Community string là một chuỗi ký tự được cài đặt giống nhau trên cả SNMP manager và SNMP agent, đóng vai trò như “mật khẩu” giữa 2 bên khi trao đổi dữ liệu Community string có 3 loại : Read-community, Write-Community và TrapCommunity Khi manager... mềm SNMP manager, bằng cách gửi bản tin có OID là 1.3.6.1.2.1.2.2.1.7 (ifAdminStatus) và có giá trị là 2 7 Chỉ những object có quyền READ_WRITE mới có thể thay đổi được giá trị II.1.7.4 GetResponse Mỗi khi SNMP agent nhận được các bản tin GetRequest, GetNextRequest hay SetRequest thì nó sẽ gửi lại bản tin GetResponse để trả lời Trong bản tin GetResponse có chứa OID của object được request và giá trị. .. thuộc vào từng SNMP agent khác nhau Có nhiều hệ thống không hỗ trợ tính năng view II.1.8.3 SNMP access control list Khi manager gửi không đúng community hoặc khi OID cần lấy lại không nằm trong view cho phép thì agent sẽ không trả lời Tuy nhiên khi community bị lộ thì một manager nào đó vẫn request được thông tin Để ngăn chặn hoàn toàn các SNMP manager không được phép, người quản trị có thể dùng đến SNMP