Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống
1
/ 25 trang
THÔNG TIN TÀI LIỆU
Thông tin cơ bản
Định dạng
Số trang
25
Dung lượng
592,21 KB
Nội dung
HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG - LÊ VĂN HÙNG GIẢI PHÁP GIÁM SÁT TỪ XA MẠNG VLAN VỚI RSPAN VÀ ĐỊNH TUYẾN DỰA TRÊN CHÍNH SÁCH TĨM TẮT LUẬN VĂN THẠC SĨ HÀ NỘI – 2013 Luận văn hồn thành tại: HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THÔNG Người hướng dẫn khoa học: TS HÀ HẢI NAM Phản biện 1: …………………………………………………………………………… Phản biện 2: ………………………………………………………………………… Luận văn bảo vệ trước Hội đồng chấm luận văn thạc sĩ Học viện Cơng nghệ Bưu Viễn thông Vào lúc: ngày tháng năm Có thể tìm hiểu luận văn tại: - Thư viện Học viện Công nghệ Bưu Viễn thơng HÀ NỘI 2013 I MỞ ĐẦU Lý chọn đề tài Với bùng nổ ngày mạnh mẽ mạng Internet, quốc gia, tổ chức, công ty tất người dường xích lại gần Họ đã, ln muốn hồ nhập vào mạng Internet để thoả mãn "cơn khát thông tin" nhân loại Cùng với phát triển tiện lợi Internet, việc lấy cắp thông tin mật, chương trình liệu quan trọng, việc thâm nhập bất hợp pháp phá hoại thông qua Internet gia tăng số lượng, loại hình kỹ xảo Do đó, song song với việc phát triển khai thác dịch vụ Internet, cần nghiên cứu giải vấn đề đảm bảo an ninh mạng Hệ thống mạng ngày mở rộng phức tạp, việc đảm bảo cho hệ thống hoạt động ổn định mối quan tâm hàng đầu nhà quản trị Các giải pháp quản lý giám sát mạng đời bao gồm phần mềm thiết bị phần cứng Tuy nhiên thách thức đặt làm bạn kết nối thiết bị vào hệ thống mạng lấy thơng tin cần thiết để phân tích, giám sát Đối với hệ thống này, việc kết nối thiết bị phân tích, giám sát vào hệ thống mạng trở nên phức tạp nhiều Vì vậy, để có hiểu biết sâu sắc phương pháp giám sát mạng, lựa chọn đề tài: “GIẢI PHÁP GIÁM SÁT TỪ XA MẠNG VLAN VỚI RSPAN VÀ ĐỊNH TUYẾN DỰA TRÊN CHÍNH SÁCH” để tìm hiểu từ có nhìn bao qt giám sát hệ thống mạng, an ninh mạng Mục đích nghiên cứu Mục đích nghiên cứu đề tài tìm hiểu vấn đề giám sát thông tin qua mạng VLAN tổ chức, cá nhân, quan … Đối tượng phạm vi nghiên cứu Đối tượng phạm vi nghiên cứu đề tài giám sát thông tin mạng, qua giải pháp giám sát mạng từ xa dùng kỹ thuật SPAN, RSPAN định tuyến dựa sách 2 Phương pháp nghiên cứu - Sử dụng kỹ thuật SPAN RSPAN để giám sát từ xa mạng VLAN - Đánh giá hiệu kỹ thuật giám sát mạng từ xa Nội dung nghiên cứu Ngoài phần mở đầu kết luận, nội dung nghiên cứu luận văn trình bày chương: Chương 1: Giới thiệu vấn đề giám sát mạng Chương 2: Kỹ thuật SPAN/RSPAN định tuyến dựa sách Chương 3: Giải pháp giám sát mạng từ xa Cuối phần kết luận hướng nghiên cứu, phát triển 3 II NỘI DUNG Chương 1: GIỚI THIỆU VẤN ĐỀ GIÁM SÁT MẠNG 1.1 Bài toán giám sát mạng Cấu trúc mạng máy tính trở nên nhiều tinh vi cơng việc quản lý mạng địi hỏi phải có cơng cụ đủ mạnh để đối phó với vấn đề xảy Bên cạnh đó, phải đáp ứng nhu cầu nhiều rộng từ khách hàng băng thơng, loại hình mức độ dịch vụ,… Trong thực tế, công cụ để quản lý mạng đa dạng thị trường Chúng phát triển cho mục đích khác Một số sản phẩm cung cấp độc lập số sản phẩm khác tích hợp vào phần cứng phần mềm mạng Mặc dù sản phẩm đa dạng chúng chia thành hai loại thu thập thơng tin phân tích nội dung thơng tin Loại thu thập thông tin tiêu chuẩn tiếng gọi SNMP (Simple Network Management Protocol) Bằng cách sử dụng SNMP, công cụ quản lý mạng truy cập vào MIB (Management Information Base) để thu thập thông tin cần thiết loại thiết bị, địa giao diện, xử lý CPU, vv Loại thứ hai phân tích nội dung thơng tin phức tạp khó khăn 1.2 Vlan vấn đề liên quan 1.2.1 Virtual Local Area Network (Vlan) 1.2.1.1 Giới thiệu VLAN mạng LAN ảo Về mặt kỹ thuật, VLAN miền quảng bá tạo switch Bình thường router đóng vai tạo miền quảng bá Đối VLAN tạo miền quảng bá VLAN kỹ thuật kết hợp chuyển mạch lớp định tuyến lớp để giới hạn miền đụng độ miền quảng bá VLAN sử dụng để bảo mật nhóm VLAN theo chức nhóm 1.2.1.2 Khái niệm VLAN VLAN nhóm thiết bị mạng khơng giới hạn theo vị trí vật lý theo LAN switch mà chúng kết nối vào 4 VLAN segment mạng theo logic dựa chức năng, đội nhóm, ứng dụng tổ chức không phụ thuộc vào vị trí vật lý hay kết nối vật lý mạng Tất trạm server sử dụng nhóm làm việc đặt VLAN vị trí hay kết nối vật lý chúng Hình 1.1: Phân đoạn mạng theo kiểu Vlan 1.2.2 Miền quảng bá với VLAN router Một VLAN niềm quảng bá tạo nên hay nhiều switch Hình cho thấy tạo miền quảng bá riêng biệt swicth Định tuyến Lớp cho phép router chuyển gói miền quảng bá với 1.2.3 Hoạt động VLAN Mỗi cổng switch gán cho VLAN khác Các cổng nằm VLAN chia sẻ gói quảng bá với Các cổng không nằm VLAN không chia sẻ gói quảng bá với Nhờ mạng LAN hoạt động hiệu 1.2.4 Ưu điểm, Ứng dụng VLAN 1.2.4.1 Ưu điểm VLAN Lợi ích VLAN cho phép người quản trị mạng tổ chức mạng theo logic chức khơng theo vật lý Nhờ công việc sau thực dễ dàng hơn: - Có tính linh động cao: di chuyển máy trạm LAN dễ dàng 5 - Thêm máy trạm vào LAN dễ dàng: Trên switch nhiều cổng, có thể cấu hình VLAN khác cho cổng, dễ dàng kết nối thêm máy tính với VLAN - Thay đổi cấu hình LAN dễ dàng - Kiểm sốt giao thơng mạng dễ dàng - Gia tăng bảo mật: Các VLAN khác không truy cập vào (trừ có khai báo định tuyến) - Tiết kiệm băng thơng mạng: VLAN chia nhỏ LAN thành đoạn (là vùng quảng bá) Khi gói tin quảng bá, truyền VLAN nhất, không không truyền VLAN khác nên giảm lưu lượng quảng bá, tiết kiệm băng thông đường truyền 1.2.4.2 Ứng dụng VLAN - Sử dụng VLAN để tạo LAN khác nhiều máy tính văn phòng: VLAN1 - Sử dụng VLAN để tạo mạng liệu ảo (Virtual Data Network – VAN) 1.2.5 Các loại VLAN Có loại thành viên VLAN để xác định kiểm sốt việc xử lý gói liệu: - VLAN dựa cổng (port based VLAN): cổng (Ethernet Fast Ethernet) gắn với VLAN xác định Do máy tính/ thiết bị host kết nối cổng switch phụ thuộc vào VLAN Đây cách cấu hình VLAN đơn giản phổ biến - Vlan theo địa MAC (MAC address based VLAN): địa MAC gán tới VLAN định Cách cấu hình phức tạp khó khăn việc quản lý - VLAN theo giao thức (protocol based VLAN): tương tự với VLAN dựa địa MAC sử dụng địa IP thay cho địa MAC Cách cấu hình không thông dụng - Bảo mật tối đa VLAN 6 - Gói liệu khơng “rị rỉ” sang miền khác - Dễ dàng kiểm soát qua mạng 1.2.6 Cấu hình VLAN 1.2.6.1 Cấu hình VLAN Chúng ta xây dựng VLAN cho mạng từ đầu cuối – đến – đầu cuối theo giới hạn địa lý Hình 1.2 VLAN từ đầu cuối – đến - đầu cuối Một VLAN từ đầu cuối – đến đầu cuối có đặc điển sau: - Người dùng phân nhóm VLAN hồn tồn khơng phụ thuộc vào vị trí vật lý, phụ thuộc vào chức cơng việc nhóm - Mọi user VLAN điều có chung tỉ lệ giao thơng 80/20(80% giao thơng trong, 20% giao thơng ngồi VLAN) - Khi người dùng đầu cuối di chuyển hệ thống mạng khơng thay đổi VLAN người dùng - Mỗi VLAN có yêu cầu bảo mật riêng cho thành viên VLAN 7 1.2.6.2 Cấu hình VLAN theo vật lý Xu hướng sử dụng phân bố tài nguyên mạng khác nên VLAN thường tạo theo giới hạn địa lý Phạm vi địa lý lớn tịa nhà nhỏ với switch Trong cấu trúc VLAN này, tỉ lượng 20/80, 20% giao thông nội VLAN 80% giao thông ngồi mạng VLAN Điểm có ý nghĩa lưu lượng phải qua thiết bị lớp đến 80% nguồn tài nguyên Kiểu thiết kế cho phép việc truy cập nguồn tài nguyên thống 1.2.6.3 Cấu hình VLAN cố định VLAN cố định VLAN cấu hình theo port switch phần mềm quản lý cấu hình trực tiếp switch Các port gán vào VLAN giữ ngun cấu hình VLAN thay đổi lệnh 1.2.7 VLAN Trunking Protocol (VTP) VTP giao thức hoạt động lớp mơ hình OSI VTP giúp cho việc cấu hình VLAN ln hoạt động đồng thêm, xóa, sửa thông tin VLAN hệ thống mạng Trong khuôn khổ môi trường chuyển mạch VLAN Một đường Trunk đường kết nối point-to-point để hổ trợ VLAN switch liên kết với Một đường cấu hình Trunk gộp nhiều đường lien kết ảo đường liên kết vật lý để chuyể tín hiệu từ VLAN switch với dựa đường cáp vật lý 8 Chương 2: KỸ THUẬT SPAN/RSPAN VÀ ĐỊNH TUYẾN DỰA TRÊN CHÍNH SÁCH 2.1 Kỹ thuật SPAN 2.1.1 Kỹ thuật SPAN (Switched Port Analyzer) Kỹ thuật SPAN hay RSPAN sử dụng để phân tích lưu lượng hệ thống mạng di chuyển qua VLAN cổng kết nối vật lý cách gửi chép lưu lượng thông tin đến cổng khác, switch khác kết nối vào hệ thống sau phân tích thơng tin tổng hợp Local SPAN có khả hỗ trợ phiên làm việc hoàn toàn với switch, tất port nguồn VLAN nguồn port đích nằm switch Local SPAN thực lưu lưu lượng từ nhiều port nguồn VLAN từ nhiều VLAN đến port đích để thực phân tích Hình vẽ bên ví dụ Local SPAN, tất lưu lượng port (port nguồn) lưu đến port 10 (port đích) Một cơng cụ phân tích mạng port 10 nhận tất lưu lượng mạng từ port mà không cần phải cắm trực tiếp vào port 9 2.1.2 Minh họa kỹ thuật SPAN Dưới minh họa cho kỹ thuật SPAN thông qua việc xây dựng cấu trúc liên kết đơn giản thực thiết bị mạng Ý tưởng mơ hình minh họa là: port Switch 2950 cấu port nguồn kỹ thuật SPAN Nó có nghĩa tất lưu lượng truy cập vào thông qua port chép vào cổng khác Có điều đáng ý SPAN chép lưu lượng truy cập port nguồn đẩy tới port đích, SPAN khơng chặn khơng ảnh hưởng đến q trình chuyển mạch lưu lượng mạng port PC-D gán địa IP: 192.168.10.4 kết nối với port Nó có nghĩa tất lưu lượng truy cập vào PC-D theo dõi giám sát Network Analyzer 2.1.3 Quy trình thực nghiệm Sau mơ tả chi tiết phần cứng, phần mềm, thông số bước để làm thử nghiệm cấu hình SPAN Yêu cầu thiết bị cần thiết PC, NIC, Switch 2950, Cáp thẳng, Phần mềm Ethereal Cấu hình thiết bị PC-C: IP address: 192.168.10.2 Subnet mask: 255.255.255.0 10 PC-D (kết nối với công nguồn): IP address: 192.168.10.4 Subnet mask: 255.255.255.0 Switch 2950: Các bước thực Dưới bước tiến hành thực nghiệm sau cấu hình xong tất thiết bị Bước 1: - Kết nối PC-C đến cổng switch 2950 - Kết nối PC-D đến cổng switch 2950 - Kết nối PC-E đến cổng 10 switch 2950 Bước 2: Ping-t PC-C (192.168.10.2) đến PC-D (192.168.10.4) Bước 3: Chạy chương trình Ethereal PC-E, Ethereal đòi hỏi phải chọn NIC, chọn NIC kết nối với cổng 10 Switch 2950 Bước 4: Theo dõi phân tích hiển thị hình PC-E Kết Sau thực theo bước trên, quản trị mạng giám sát lưu lượng truy cập vào thông qua cổng switch 2950 Những lưu lượng lưu lượng truy cập PC-D Bởi thử nghiệm sử dụng lệnh "ping-t" để tạo lưu lượng truy cập nên lưu lượng truy cập theo dõi hình PC-E lưu lượng ICMP 2.2 Kỹ thuật RSPAN 2.2.1 Kỹ thuật RSPAN (Remote Switched Port Analyzer) RSPAN phần mở rộng SPAN port nguồn port đích khơng Switch RSPAN có khả hỗ trợ port nguồn, VLAN nguồn, port đích nằm switch khác nhau, cho phép kiểm tra giám sát từ xa nhiều switch hệ thống mạng Trong RSPAN có VLAN dành riêng cho phiên làm việc RSPAN gọi RSPAN VLAN Khi lưu lượng xuất cổng nguồn chuyển thành lưu lượng RSPAN VLAN di chuyển qua đường trunk để đến Switch khác 11 Hình 2.3: Ví dụ RSPAN 2.2.2 Minh họa kỹ thuật RSPAN Hình minh họa kỹ thuật RSPAN việc xây dựng cấu trúc liên kết nhỏ thực thiết bị thực tế P C-A P C -B 92.168.11 192.168 11.5 M on itored P o rt R eflector P ort 10 11 12 10 11 12 S w itch 1 S w itch P C -D Hình 2.4: Mơ hình minh họa kỹ thuật RSPAN 12 Theo hình, Switch Switch phối hợp với để cung cấp giám sát từ xa thơng qua RSPAN Switch cấu hình port cổng nguồn Nó có nghĩa tất lưu lượng truy cập vào PC-B (địa IP: 192.168.11.5) giám sát PC-B kết nối trực tiếp đến port Switch PC-A (địa IP: 192.168.11.1) khơng có vai trị RSPAN, nhiên, ping-t đến PC-B để tạo hai cách giao thông cổng Switch Switch cấu hình cổng 10 Reflector port Cổng 12 Switch Switch cấu Trunking liên kết phép lưu lượng VLAN qua PCD kết nối với cổng Switch Cổng Switch cấu cổng Destination port port đích Bởi RSPAN cấu hình hai Switch Switch 2, PC-D không cần phải gán địa IP PC-D có phần mềm giám sát mạng Ethereal để theo dõi lưu lượng chuyển tiếp Chắc chắn, Switch phải thiết lập phiên RSPAN Source session Switch phải thiết lập phiên RSPAN Destination session 2.2.3 Quy trình thực nghiệm Sau mơ tả chi tiết phần cứng, phần mềm, thông số bước để làm thí nghiệm cấu hình RSPAN Yêu cầu thiết bị cần thiết PC, NIC, Switch 2950, Cáp thẳng, Phần mềm Ethereal Cấu hình PC-A: IP address: 192.168.11.1 Subnet mask: 255.255.255.0 PC-B (kết nối với cổng nguồn): IP address: 192.168.11.5 Subnet mask; 255.255.255.0 Các bước thực Dưới bước tiến hành thực nghiệm sau cấu hình xong tất thiết bị 13 Bước 1: - Kết nối PC-A đến cổng switch - Kết nối PC-B đến cổng switch - Kết nối cổng 12 switch với cổng 12 switch - Kết nối PC-D đến cổng switch Bước 2: Ping-t PC-A (192.168.11.1) đến PC-B (192.168.11.5) Bước 3: Chạy chương trình Ethereal PC-D, Ethereal đòi hỏi phải chọn NIC, chọn NIC kết nối với cổng Switch Bước 4: Theo dõi phân tích hiển thị hình PC-D Kết Sau thực theo bước trên, quản trị mạng giám sát lưu lượng truy cập thông qua cổng Switch từ PC-D Bởi thử nghiệm sử dụng lệnh "ping-t" để tạo lưu lượng truy cập giám sát lưu lượng hình PC-D lưu lượng ICMP 2.3 Định tuyến dựa sách 2.3.1 Định tuyến dựa sách (Policy Based Routing/PBR) Định tuyến dựa sách giao thức định tuyến Bằng cách sử dụng PBR, quản trị mạng phân loại lưu lượng áp dụng sách khác cho lưu lượng đó, cho phép người quản trị mạng cấu hình sách có chọn lọc làm cho gói tin theo đường khác với đường theo quy định bảng định tuyến PBR sử dụng cho mục tiêu khác như: an ninh, quản lý chất lượng dịch vụ (QoS) Theo Cisco, định tuyến dựa sách cung cấp lợi ích sau: Quyết định chuyển tiếp khơng dựa địa đích: Định tuyến sách cho phép quản trị mạng xác định đường dựa thuộc tính gói tin Chẳng hạn địa IP nguồn/đích, cổng ứng dụng, độ dài gói tin, để chuyển tiếp chúng theo sách khác Chính sách định tuyến cấu hình để thiết lập next hop gói tin next hop/giao diện mặc định gói tin Định tuyến sách sử dụng để định tuyến gói tin tới giao diện trống để loại bỏ chúng 14 Chất lượng dịch vụ (QoS): PBR cung cấp QoS cách cho phép quản trị mạng thiết lập giá trị loại hình dịch vụ (ToS) giá trị ưu tiên IP IP header Cấu hình QoS thực định tuyến biên Điều cải thiện hiệu suất cách ngăn chặn cấu hình bổ sung thiết bị cốt lõi 2.3.2 Mơ hình minh họa PBR Dưới mơ hình minh họa cho PBR Tại R2, máy chủ VoIP gán địa IP: 192.168.10.5 server FTP gán địa IP: 192.168.10.9 Quản trị mạng muốn tất lưu lượng truy cập từ máy chủ VoIP phải chạy qua British Telecom Internet, cần chạy qua liên kết băng thông lớn Và tất lưu lượng truy cập từ máy chủ FTP phải chạy qua Telewest Internet cần nhiều thời gian để hồn thành cơng việc truyền dẫn Các lưu lượng khác chạy giao thức định tuyến bình thường Hình 2.5: Mơ hình minh họa PBR 15 2.3.3 Tiến hành thử nghiệm Sau mô tả chi tiết phần cứng, phần mềm, thông số bước tiến hành thử nghiệm Yêu cầu thiết bị cần thiết PC, NIC, Switch 2950, Cáp thẳng, Phần mềm Ethereal Các bước thực Dưới bước tiến hành thực nghiệm sau cấu hình xong tất thiết bị Bước 1: - Kết nối PC-A đến giao diện F0/0 định tuyến Internet - Kết nối máy chủ FTP VoIP đến Switch - Kết nối cổng Switch đến giao diện F0/0 định tuyến R2 - Kết nối giao diện S1/1 (DCE) định tuyến R2 đến giao diện S0 (DTE) định tuyến R3 - Kết nối giao diện S1/0 (DCE) định tuyến R2 đến giao diện S0/0 (DTE) định tuyến R1 - Kết nối giao diện S0/1 (DCE) định tuyến R1đến giao diện S1 (DTE) của định tuyến Internet - Kết nối giao diện S1 (DCE) router R3 đến giao diện S0 (DTE) router Interne Bước 2: Gõ lệnh "tracert 192.168.60.2" Command DOS Window máy chủ FTP (192.168.10.9) để tìm đường đến PC-A Bước 3: Gõ lệnh "tracert 192.168.60.2" Command DOS Window máy chủ VoIP (192.168.10.5) để tìm đường đến PC-A Bước 4: Theo dõi kết hình máy chủ FTP Bước 5: Theo dõi kết hình máy chủ VoIP 16 Chương 3: GIẢI PHÁP GIÁM SÁT MẠNG TỪ XA 3.1 Phân tích vấn đề hạn chế SPAN/RSPAN Nếu quản trị mạng muốn chuyển theo dõi lưu lượng truy cập đến máy chủ mạng xa đến nơi Internet thực vấn đề Vấn đề xảy SPAN/RSPAN tính độc quyền Cisco Nó khơng hỗ trợ nhà cung cấp khác hỗ trợ nhà cung cấp khác theo tiêu chuẩn khác Thậm chí lưu lượng SPAN/RSPAN chạy thông qua router Cisco router Cisco khơng hỗ trợ tính Tuy nhiên, nhu cầu để theo dõi lưu lượng truy cập nơi nhu cầu thực tế Ví dụ, quản trị mạng phát tượng bất thường hệ thống mạng, nhiên, tượng lại thường xảy vào ban đêm, quản trị mạng khơng phải văn phịng vào ban đêm Làm để người quản trị mạng giám sát lưu lượng truy cập mạng nhà khơng có văn phòng? Để trả lời cho câu hỏi này, luận văn đề xuất số giải pháp giám sát từ xa mạng 3.2 Các công cụ giải pháp giám sát mạng từ xa Trước sâu vào giải pháp giám sát từ xa, luận văn thực khảo sát công cụ giải pháp giám sát từ xa thị trường Hiện có nhiều cơng cụ, giải pháp giám sát mạng thị trường Những công cụ giám sát mạng, giải pháp chủ yếu chia thành hai mảng: thu thập thơng số thiết bị mạng phân tích nội dung lưu lượng truy cập Mục tiêu mảng thu thập thông số thiết bị mạng Để làm công việc này, tất thiết bị mạng phải có phịng bị giao thức thu thập tiết lộ thơng tin thông số thiết bị mạng Mục tiêu mảng thứ hai phân tích nội dung lưu lượng truy cập Đây mục tiêu luận văn Tóm lại, cơng cụ/giải pháp thị trường giám sát mạng không đáp ứng nhu cầu giám sát từ xa theo quan điểm trouble-shooting Và luận văn trình bày đề xuất số giải pháp để giải vấn đề 17 3.3 Đề xuất giải pháp giám sát mạng từ xa Như đề cập phần trên, luận văn đề xuất giải pháp giám sát từ xa mạng để mở rộng khoảng cách điểm nguồn điểm đích theo quan điểm trouble-shooting Nó có nghĩa giải pháp phải đáp ứng hai điều kiện chính: theo dõi nơi độc lập với đối tượng theo dõi Để đáp ứng điều kiện giám sát nơi sử dụng mơ hình Client/Server tốt Còn để thỏa mãn điều kiện thứ hai độc lập với đối tượng theo dõi với ý tưởng Agent khơng thể áp dụng Như vậy, làm luận văn đáp ứng hai điều kiện trên? Ý tưởng giải pháp giám sát từ xa mạng là: thứ nhất, quản trị mạng sử dụng kỹ thuật SPAN để chép lưu lượng truy cập từ cổng nguồn tới cổng đích Tất cơng việc bước gọi process Thứ hai, quản trị mạng kết nối cổng đích với máy tính gọi Capture Machine Máy Capture Machine máy tính với hai NIC (Network Interface Card), với phần mềm đặc biệt để nắm bắt khung chuyển giao thông tin bắt Nhiệm vụ máy Capture Machine khung hình chụp nhận NIC (kết nối với cổng đích), lọc số thơng tin khơng cần thiết, sau Capture Machine sử dụng chức Client/Server (tích hợp vào phần mềm) để truyền thông tin bắt tới trang web từ xa (Network Analyzer) Tất công việc bước thứ hai gọi process Thứ ba, trang web từ xa, máy tính khác gọi Network Analyzer nhận thông tin bắt từ máy Capture Machine, phân tích chúng hiển thị hình Tất cơng việc bước thứ ba gọi process Ý tưởng giải pháp giám sát từ xa mạng mô tả hình đây: 18 S erv er 10 11 12 N IC N IC N etw ork A naly ser IP: 172.16.0.1 C apture M ac hine IP : 192.168.10.11 N ew packets Source IP address D estination IP address P ayload 192.168.10.11 172.16.0.1 Fram e+ IP + TC P /U D P headers Hình 3.1: Gói tin xây dựng để truyền từ nguồn tới đích 3.3.1 Giải pháp bổ sung cho Process Mặc dù ý tưởng SPAN để chép khung giữ tốt, có vấn đề thực tế Switch không luôn hỗ trợ SPAN Nếu switch không hỗ trợ tính SPAN, làm quản trị mạng có khả để theo dõi lưu lượng truy cập? Luận văn đề xuất sử dụng kỹ thuật đặc biệt trường hợp Switch không hỗ trợ tính SPAN để “lái” luồng lưu lượng PC nguồn qua Capture Machine, kỹ thuật có tên gọi “Man In the Middle Attack” Trong thực tế, kỹ thuật sử dụng Hacking Ý tưởng giải pháp bổ sung mơ tả hình sau R o u te r S w it c h 10 N IC 11 12 N IC M a n In t h e M id d le A t t a c k M o n it o r e d P C C a p t u r e M a c h in e Hình 3.2: Minh họa giải pháp bổ sung cho process 19 3.3.2 Các công cụ hỗ trợ cho giải pháp giám sát mạng từ xa Capture Machine Capture Machine máy tính với NIC (Network Interface Card) phần mềm đặc biệt gọi Server Capture Machine sử dụng NIC để nắm bắt lưu lượng chạy qua sử dụng NIC khác để chuyển thông tin bắt tới Network Analyzer NIC để nắm bắt lưu lượng chạy qua phải kết nối với cổng Switch (cổng đích SPAN) Hình 3.3: Giao diện chương trình Server Capture Frame Module Capture có trách nhiệm nắm bắt tất khung hình nhận NIC (NIC kết nối cổng đích SPAN) Bởi tất thông tin truyền Switch khung module Capture phải có khả chụp khung khơng phải gói tin Filter Đầu module Capture Captured frames đầu vào module lọc Module lọc có trách nhiệm lọc loại bỏ số thông tin không cần thiết Network Analyzer Network Analyzer máy tính với card NIC phần mềm đặc biệt gọi Client Network Analyzer máy tính có khả kết nối vào mạng, điều quan trọng Network Analyzer phần mềm Client Nguyên tắc 20 chương trình Client có ba module: Receive, Extraction Analysis hình 3.4 Đề xuất mơ hình minh họa Luận văn đề xuất cấu trúc để minh họa cho giải pháp giám sát từ xa Mơ hình mơ tả hình đây: N o rth S /0 : 2 /2 D TE S /0 : /2 F /0 : /1 DCE Long F /0 : /2 S w it c h 5 10 11 N IC P C -B P C -A 9 M o n it o r e d P C 12 N IC : 1 P C -D C a p t u r e M a c h in e P C -E N e tw o rk A n a ly z e r Hình 3.4: Mơ hình minh họa cho giải pháp giám sát từ xa 3.5 Quy trình thực nghiệm Sau mô tả chi tiết phần cứng, phần mềm, thông số bước để làm thử nghiệm Yêu cầu thiết bị cần thiết PC, NIC, Switch 2950, Cáp thẳng, Phần mềm Ethereal Cấu hình thiết bị PC-A:IP address: 192.168.10.2 Subnet mask: 255.255.255.0 PC-B: IP address: 192.168.10.4 Subnet mask: 255.255.255.0 21 PC-D: IP address: 192.168.10.11 (NIC 2) Subnet mask: 255.255.255.0 Default Gateway: 192.168.10.254 PC-E: IP address: 172.16.0.1 Subnet mask: 255.255.0.0 Default Gateway: 172.16.0.254 Các bước tiến hành Sau bước để thực thử nghiệm sau hồn thành cấu hình tất thiết bị: Bước 1: - Kết nối PC-A đến port Switch, PC-B đến port Switch, NIC-1 (Realtek) PC-D đến port 10 Switch, NIC-2 (Sitecom) PC-D đến cổng 11 Switch - Kết nối cổng 12 Switch tới F0/0 Long router, sử dụng cáp DCE để kết nối đến S0/0 Long router, sử dụng cáp DTE để kết nối với S0/0 North router, kết nối DTE DCE lại với - Kết nối PC-E đến F0/0 North router Bước 2: Thực ping-t PC-A (192.168.10.2) đến PC-B (192.168.10.4) Bước 3: Chạy chương trình Server máy PC-D PC-D có vai trị Capture Machine Bước 4: Chạy chương trình Client máy PC-E PC-E có vai trò Network Analyzer Bước 5: Theo dõi phân tích hiển thị hình PC-E Kết Sau thực tất yêu cầu trên, quản trị mạng giám sát lưu lượng truy cập vào thông qua cổng Switch 2950 PC-E Bởi thử nghiệm sử dụng lệnh "ping-t" để tạo lưu lượng truy cập lưu lượng truy cập theo dõi hình PC-E lưu lượng ICM 22 III KẾT LUẬN Luận văn tốt nghiệp tác giả với đề tài “Giải pháp giám sát từ xa mạng VLAN với RSPAN định tuyến dựa sách” hồn thành Dưới kết luận văn đạt đề xuất hướng nghiên cứu Những kết đạt luận văn - Luận văn cung cấp kiến thức tổng quan giải pháp giám sát từ xa mạng VLAN, kỹ thuật SPAN, RSPAN định tuyến dựa sách Tương ứng với kỹ thuật, luận văn đề xuất cấu trúc đơn giản để minh họa cách làm thực tế - Luận văn đề xuất giải pháp để giám sát lưu lượng truy cập cổng chuyển mạch, loạt cổng chuyển mạch VLAN, giải vấn đề sản phẩm giám sát mạng khác thị trường “cơng cụ troubleshoot phải độc lập với đối tượng theo dõi” Và mở rộng kỹ thuật SPAN, giúp quản trị mạng theo dõi phân tích nội dung lưu lượng truy cập nơi Internet - Luận văn cung cấp giải pháp cho thiết bị chuyển mạch không hỗ trợ tính SPAN - Luận văn tiến hành thực thử nghiệm với kỹ thuật SPAN, RSPAN, định tuyến dựa sách thử nghiệm giải pháp đề xuất Hướng nghiên cứu "Công cụ giám sát từ xa" cần phải cải thiện nhiều khía cạnh Thứ nhất, Client Server cần có chế bảo mật để ngăn chặn truy cập trái phép Thứ hai, chương trình Server cần truyền tải thêm thông tin nhu cầu khách hàng để phân tích hiển thị hình thêm thơng tin Bên cạnh đó, tốt khách hàng chương trình chỉnh sửa u cầu giám sát gửi cho máy chủ, Server cần lọc thông tin theo yêu cầu gửi cho khách hàng Bằng phương pháp này, mơ hình Server/Client hoạt động hiệu đạt nhiều thông tin hữu 23 ích Hơn nữa, khách hàng chương trình thống kê, kết hiển thị theo nhiều phương pháp sau dễ dàng cho người quản trị mạng giám sát mạng Đối với mạng nhỏ, công việc để sử dụng máy chủ để lưu trữ sách đơn giản Tuy nhiên, mạng lớn, sau khơng thể có máy chủ tập trung để quản lý tất sách Ngày nay, nhà khoa học giới cố gắng để phát triển mơ hình chuẩn, nhà cung cấp độc lập "chính sách quản lý cao cấp dựa định tuyến" ... đề xuất số giải pháp giám sát từ xa mạng 3.2 Các công cụ giải pháp giám sát mạng từ xa Trước sâu vào giải pháp giám sát từ xa, luận văn thực khảo sát công cụ giải pháp giám sát từ xa thị trường... lựa chọn đề tài: “GIẢI PHÁP GIÁM SÁT TỪ XA MẠNG VLAN VỚI RSPAN VÀ ĐỊNH TUYẾN DỰA TRÊN CHÍNH SÁCH” để tìm hiểu từ có nhìn bao quát giám sát hệ thống mạng, an ninh mạng Mục đích nghiên cứu Mục đích... dùng kỹ thuật SPAN, RSPAN định tuyến dựa sách 2 Phương pháp nghiên cứu - Sử dụng kỹ thuật SPAN RSPAN để giám sát từ xa mạng VLAN - Đánh giá hiệu kỹ thuật giám sát mạng từ xa Nội dung nghiên cứu