2.4.2. Cơ sở dữ liệu thông tin quản trị MIB
Đối với mô hình quản trị mạng Manager/Agent dựa trên SNMP, những thông tin về các thực thể trên mạng sau khi đƣợc cấu trúc hoá và lƣu lên hệ thống đó đƣợc gọi là MIB. MIB là một tập hợp các định nghĩa mô tả thuộc tính của đối tƣợng bị quản trị. Mọi đối tƣợng đều lƣu trữ một cơ sở dữ liệu về các giá trị của các mô tả MIB.
Những yêu cầu đối với một dữ liệu MIB chuẩn: - Tên của đối tƣợng phải là duy nhất
- Đối tƣợng phải thực sự có ích.
- Cấu trúc của MIB phải đƣợc chấp nhận rộng rãi. - Số lƣợng đối tƣợng quản trị của MIB là giới hạn. - Cho phép sự mở rộng riêng.
- Đối tƣợng phải có tính tƣơng thích.
- Các Agent phải hỗ trợ cho Internet MIB ( MIB-II).
Đặt tên cho một đối tƣợng: Tổ chức tiêu chuẩn OSI đã định nghĩa một cây phân cấp đặt tên cho đối tƣợng.
Theo nhƣ cây thƣ mục định nghĩa, mọi địa chỉ Internet MIB đều bắt đầu bằng: 1.3.6.4.1, nhƣ thể hiện trong hình 2.18.
Định danh cho đối tƣợng:
- Tên của đối tƣợng là tên biểu diễn trên cây thƣ mục.
- Bắt đầu từ gốc của cây mới, mỗi nút con đều đƣợc cấp 1 giá trị nguyên là duy nhất trong gốc đó.
- Một nút trong cây có thể là cha của nhiều nút dƣới.
- Định danh của đối tƣợng là dãy số nguyên đọc từ gốc tới nút. - Các nút con trong cùng một nút cha không thể có trùng định danh.
Cây con MIB Internet là nhánh con của 1.3.6.1.
Những nhánh con MIB dùng cho thử nghiệm phải đƣợc đăng ký với IESG.
Mọi địa chỉ MIB khi đăng ký đều phải tuân theo cấu trúc của cây.
Những nhánh đã đăng ký (Cisco: 1.3.6.1.4 ) thì cách đánh số cây con của nhánh là tuỳ ý.
Mỗi đối tƣợng đƣợc quản trị có các thông tin cần quản trị riêng, mà đại diện cho các thông tin này là các đối tƣợng quản trị. Thông tin về các đối tƣợng đó đƣợc chứa trong cơ sở thông tin quản trị và đƣợc truy nhập bằng các biến cụ thể. Cấu trúc của cơ sở dữ liệu thông tin quản trị MIB đƣợc biểu diễn một cách logic.
Các đối tƣợng quản trị đƣợc tổ chức giống nhƣ một cây thứ bậc. Cách tổ chức này là cơ sở cho lƣợc đồ đặt tên của SNMP. Gốc của cây (ROOT) không có tên (hay còn đƣợc gọi là ROOT-NODE) và đƣợc chia thành ba nhánh:
- CCITT: Uỷ ban tƣ vấn về điện thoại và điện báo quốc tế. - ISO: tổ chức tiêu chuẩn quốc tế.
- CCITT/ISO: là một nhánh kết nối chung.
Mức thấp hơn của cây là các tổ chức khác có liên quan nhƣ: Standard, Registration Authority, Identified Organization,… Trong đó ta quan tâm đến nhánh Tổ chức định danh (Identified Organization), vì nhánh này dẫn đến nhánh con Internet là nơi tổ chức các cơ sở thông tin quản trị mạng.
Hình 2.19: Mô hình tổ chức logic của cơ sở thông tin quản lý
root
ccitt (0) iso (1) joint-iso-ccitt (2)
identified organization (org) (3) member body (2) registration authority (1) standard (0) standards Australia (36) dod (6) internet (1) mgmt (2) experimental (3) directory (1) private (4)
Trong hệ thống cơ sở dữ liệu thông tin quản trị MIB, mỗi đối tƣợng đƣợc đánh một chỉ số, do đó việc truy nhập đến các đối tƣợng đƣợc xác định qua một dãy các chỉ số. Dãy chỉ số này đƣợc xác định từ chỉ số gốc của cây thứ bậc cho đến nhánh chứa đối tƣợng đó. Chuỗi chỉ số đó đƣợc gọi là mã định danh đối tƣợng OID. Và các chỉ số đó đƣợc cách nhau bởi một dấu chấm (.). Ví dụ một đối tƣợng có thể đƣợc xác định: 1.3.6.1. Việc sử dụng các con số thì rất khó nhớ, do đó cũng có thể sử dụng các tên chuẩn nhƣ dạng: iso.org.dod.internet. Mỗi lá của cây là một mục dữ liệu độc lập và biểu diễn duy nhất một đối tƣợng quản trị.
Trong mô hình tổ chức logic MIB:
- Nhánh directory không đƣợc sử dụng.
- Nhánh mgmt (managment) định nghĩa tập chuẩn các đối tƣợng quản lý Internet.
- Nhánh Experimental đƣợc dùng cho mục đích thử nghiệm và nghiên cứu.
- Các đối tƣợng dƣới nhánh Private đƣợc dùng cho các mục đích riêng tƣ, tức là các tổ chức, công ty có thể tự định nghĩa các đối tƣợng quản lý riêng của mình.
Sau đây là định nghĩa của nhánh cây internet:
internet OBJECT IDENTIFIER ::= { iso(1) org(3) dod(6) internet(1) } directory OBJECT IDENTIFIER ::= { internet 1 }
mgmt OBJECT IDENTIFIER ::= { internet 2 } experimental OBJECT IDENTIFIER ::= { internet 3 } private OBJECT IDENTIFIER ::= { internet 4 }
Dòng đầu tiên mô tả nhánh internet với OID là 1.3.6.1, với 1.3.6 chính là iso.org.dod, còn ::= là toán tử định nghĩa. Bốn dòng tiếp theo đƣợc định nghĩa tƣơng tự nhau, tƣơng ứng các nhánh khác nhau của cây con internet. Tức ta có:
OID của directory là 1.3.6.1.1
OID của mgmt là 1.3.6.1.2
OID của experimental là 1.3.6.1.3 OID của private là 1.3.6.1.4
Các đối tƣợng nằm dƣới mgmt là các đối tƣợng đã đƣợc chuẩn hoá, nhƣ giao thức IP, TCP, ICMP,… Các đối tƣợng này luôn đƣợc định nghĩa sẵn trong cơ sở dữ liệu thông tin quản trị. Các đối tƣợng nằm dƣới nhánh private
thƣờng đƣợc dùng cho các nhà cung cấp phần cứng hay phần mềm để định nghĩa các đối tƣợng riêng cho bất cứ đối tƣợng nào mà họ muốn quản trị bằng SNMP. Ví dụ nhƣ nhánh của hãng Cisco:
enterprise OBJECT IDENTIFIER ::= { private 1 } cisco OBJECT IDENTIFIER ::= { enterprise 9 }
Nhƣ thế hãng Cisco sẽ là nhánh 1.3.6.1.4.1.9, tƣơng ứng là iso.org.dod.internet.private.enterprise.cisco
Không chỉ có các công ty có thể đăng ký các định danh cho các sản phẩm của họ, mà bất kỳ ai cũng có thể đăng ký định danh riêng của mình, điều này hoàn toàn miễn phí []. Sau khi đăng ký ta có thể tạo một cơ sở dữ liệu thông tin quản trị MIB riêng và thực hiện việc giám sát những điều ta muốn. Điều này rất tiện lợi vì cho phép thực hiện quản trị các đối tƣợng riêng mà ta tự định nghĩa.
Cơ sở dữ liệu thông tin quản lý MIB-II
Trong các chuẩn về Internet thì các phiên bản MIB là một phần hết sức quan trọng cho các giao thức quản trị mạng dựa trên bộ giao thức TCP/IP. Phiên bản đầu tiên là MIB-I đƣợc định nghĩa trong RFC 1156 chứa 114 đối tƣợng. MIB-II đƣợc định nghĩa trong RFC 1213 bao gồm 114 đối tƣợng từ MIB-I và thêm 57 đối tƣợng mới, do đó tổng cộng MIB-II có 171 đối tƣợng.
Nhƣ đã trình bày, MIB-I là bản gốc của MIB nhƣng ít dùng khi MIB-II đƣợc đƣa ra. Bất kỳ thiết bị nào hỗ trợ SNMP đều phải hỗ trợ MIB-II. MIB- II định nghĩa các tham số nhƣ tình trạng của Interface (tốc độ , MTU, các octet gửi/nhận. ...) hoặc các tham số gắn liền với hệ thống (định vị hệ thống, thông tin liên lạc với hệ thống, ...). Mục đích chính của MIB-II là cung cấp các thông tin quản trị theo TCP/IP. Có nhiều kiểu MIB giúp quản lý cho các mục đích khác nhau.
Vì vậy, MIB-II là một cơ sở dữ liệu thông tin quản trị hết sức quan trọng, vì mọi đối tƣợng có hỗ trợ SNMP đều đƣợc định nghĩa trong đó. Sau đây ta sẽ xem xét tóm tắt các nhóm đối tƣợng trong MIB-II. Các nhóm OID quan trọng đƣợc định nghĩa trong MIB-II gồm:
mib-2 OBJECT IDENTIFIER ::= { mgmt 1 } system OBJECT IDENTIFIER ::= { mib-2 1 } interfaces OBJECT IDENTIFIER ::= { mib-2 2 }
at OBJECT IDENTIFIER ::= { mib-2 3 }
ip OBJECT IDENTIFIER ::= { mib-2 4 }
icmp OBJECT IDENTIFIER ::= { mib-2 5 }
tcp OBJECT IDENTIFIER ::= { mib-2 6 }
udp OBJECT IDENTIFIER ::= { mib-2 7 }
egp OBJECT IDENTIFIER ::= { mib-2 8 }
transmission OBJECT IDENTIFIER ::= { mib-2 10 } snmp OBJECT IDENTIFIER ::= { mib-2 11 }
Nhƣ thế mib-2 đƣợc định nghĩa là iso.org.dod.internet.mgmt.1 hay là
1.3.6.1.2.1. Hình 2.20 thể hiện nhánh cây MIB-2.
Các nhóm đối tƣợng trong MIB-II đƣợc mô tả nhƣ trong bảng 7 sau:
Tên nhánh OID Mô tả
system 1.3.6.1.2.1.1 Định nghĩa một danh sách các đối tƣợng gắn liền với hệ điều hành nhƣ: tên hệ thống, thời gian trên hệ thống,…
interfaces 1.3.6.1.2.1.2 Lƣu giữ trạng thái mỗi giao tiếp mạng trên thực thể quản lý, nhƣ trạng thái up, down, số gói tin gửi và nhận,…
at 1.3.6.1.2.1.3 Nhóm chuyển đổi địa chỉ AT (Address Translation), nó chỉ cung cấp sự tƣơng thích cho các đối tƣợng trở về trƣớc. Nhóm này sẽ bị loại bỏ trong MIB-III.
ip 1.3.6.1.2.1.4 Lƣu dấu mọi vấn đề về IP, kể cả việc định tuyến IP.
icmp 1.3.6.1.2.1.5 Theo dõi các vấn đề nhƣ lỗi ICMP.
tcp 1.3.6.1.2.1.6 Theo dõi các vấn đề về trạng thái kết nối TCP (nhƣ closed, listen,…).
udp 1.3.6.1.2.1.7 Theo dõi các thống kê UDP, nhƣ gói tin vào và ra.
egp 1.3.6.1.2.1.8 EGP cho phép theo dõi các thống kê về EGP và giữ một bảng EGP láng giềng.
transmission 1.3.6.1.2.1.10 Hiện tại chƣa đƣợc định nghĩa đối tƣợng nào, nhƣng các MIB riêng biệt khác sẽ đƣợc định nghĩa trong nhóm này, nhƣ các thiết bị đa phƣơng tiện.
snmp 1.3.6.1.2.1.11 Đo lƣờng hiệu suất của các thực thi SNMP cơ bản trên thực thể quản lý và theo dõi các vấn đề nhƣ số lƣợng gói tin SNMP đã gửi và nhận.
Bảng 7 miêu tả các nhóm đối tƣợng chuẩn đƣợc định nghĩa sẵn, tuy nhiên cũng có rất nhiều MIB đƣợc định nghĩa cho các mục đích riêng. Ví dụ hãng nổi tiếng Cisco, có hàng trăm các MIB định nghĩa hàng loạt các dòng sản phẩm của họ nhƣ các dòng Router, Switch,… Ngoài việc cài đặt trong các Agent trên các thiết bị, các hãng cũng cung cấp các MIB này công khai. Điều này là rất cần thiết, vì ngoài các MIB chuẩn, thì các ứng dụng phía Manager cũng cần phải có các MIB này mới giao tiếp đƣợc với các Agent riêng đó.
CHƯƠNG 3 - XÂY DỰNG THỬ NGHIỆM HỆ THỐNG QUẢN TRỊ 3.1. Yêu cầu
3.1.1. Yêu cầu đối với công cụ quản trị mạng
Để xây dựng một hệ quản trị mạng thì ta cần phải kết hợp chặt chẽ tất cả các chức năng cần thiết để cung cấp các công cụ đáp ứng nhu cầu của nhà quản trị, đây cũng là nhiệm vụ phức tạp và khó khăn. Những chức năng cơ bản mà hệ quản trị mạng cần phải đáp ứng:
- Cung cấp một giao diện đồ hoạ mà tại đó nó có thể đƣa ra đƣợc hình ảnh của mạng theo từng cấp và nối kết logic giữa các hệ thống, nó cần phải giải thích rõ ràng các nối kết trong biểu đồ phân cấp chức năng và quan hệ của chúng nhƣ thế nào hiệu quả của mạng. Một giao diện đồ hoạ phải trùng với cấu trúc phân cấp chức năng. Một bản đồ mạng phải cung cấp hình ảnh chính xác hình trạng mạng (topology).
- Cung cấp một cơ sở dữ liệu, cơ sở dữ liệu này có khả năng lƣu giữ và cung cấp bất kỳ thông tin nào liên quan đến hoạt động và sử dụng mạng, đặc biệt để có thể quản trị cấu hình, quản trị hiệu năng, quản trị lỗi, quản trị an ninh và quản trị tài khoản một cách có hiệu quả.
- Cung cấp một phƣơng tiện thu thập thông tin từ tất cả các thiết bị mạng. Trƣờng hợp lý tƣởng cho ngƣời dùng là thông qua một giao thức quản lý mạng đơn giản SNMP.
- Phần mềm phải dễ dàng mở rộng và nâng cấp cũng nhƣ thay đổi theo yêu cầu, phải dễ dàng khi thêm vào các ứng dụng và các đặc điểm yêu cầu của ngƣời kỹ sƣ mạng.
- Có khả năng theo dõi các vấn đề phát sinh hoặc hậu quả từ bên ngoài.
3.1.2. Các thành phần mạng quan trọng cần được quản trị
Đối với các tổ chức cơ quan hay các doanh nghiệp, tuỳ thuộc vào quy mô mạng của mình có thể đầu tƣ mua thiết bị mạng cũng nhƣ cài đặt các ứng dụng mạng là khác nhau. Thông thƣờng, các thành phần mạng quan trọng cần đƣợc quản trị sẽ là:
- Cơ sở hạ tầng hệ thống mạng nội bộ (LAN): gồm các thiết bị nhƣ Router, Switch, Server, các máy in, các thiết bị không dây,…Đối với các thiết bị thì nhà quản trị cần nắm các thông số nhƣ: tốc độ xử lý, bộ nhớ, nhiệt độ, các lỗi bất thƣờng,…
- Các ứng dụng trên mạng:
+ Hệ thống các máy chủ và dịch vụ: các máy chủ chạy các ứng dụng quan trọng, khi đó cần đƣợc giám sát bộ xử lý trung tâm, bộ nhớ trong, khoảng trống đĩa cứng, các dịch vụ chạy trên chúng (FTP, DNS, ECHO, IMAP, TELNET, HTTP, POP,…) và thời gian đáp ứng dịch vụ. Hơn thế, các xu hƣớng sử dụng luồng di chuyển băng thông của các máy chủ này cũng cần đƣợc giám sát.
+ Các bản ghi máy chủ: Máy chủ chạy hệ điều hành Window cũng nên giám sát các bản ghi máy chủ để phát hiện các lỗi truy nhập, hệ thống khoá các tài khoản truy nhập, mật khẩu bị lỗi, các nỗ lực nhằm bảo vệ các tập tin, bảo vệ quyền truy nhập,… Việc giám sát các bản ghi này cho hình ảnh rõ ràng về các lỗ hổng an ninh tồn tại ngay trong tổ chức. + Các trình ứng dụng, dữ liệu và Website: các trình ứng dụng, website, cơ sở dữ liệu cần đƣợc giám sát định kỳ. Các trình ứng dụng có thể đƣợc giám sát về khả năng sẵn sàng, thời gian đáp ứng,….
+ Email Server: mỗi tổ chức đều có một email server để phân bổ các email đến tất cả các ngƣời dùng trong mạng LAN. Nếu email server lỗi, các ngƣời dùng bị cô lập với bên ngoài. Những nhà quản trị mạng cần giám sát hệ thống mail server về khả năng sẵn sàng để dùng, tính liên tục của hệ thống email, dung lƣợng của các email nhận về,…
3.2.3. Các chức năng quản trị
a. Quản trị hiệu năng (Performance Management): quản trị việc thực thi của hệ thống mạng.
- Độ tin cậy. - Tính hiệu quả. - Thời gian truyền.
b. Quản trị cấu hình (Configuration management): quản trị các thông số cấu hình của hệ thống mạng.
- Cài đặt (Install). - Cập nhật (Update). - Mở rộng (Extension).
c. Quản trị tài khoản (Account Management): quản trị tài khoản ngƣời dùng mạng.
- Xác thực. - Cấp quyền.
- Giám sát các quyền hạn trên Agent.
c. Quản trị lỗi (Fault Management): quản trị lỗi cho hệ thống mạng. - Giai đoạn xử lý sự cố: khi có sự cố thì bắt tay vào khắc phục. - Giai đoạn ngăn chặn sự cố: tác động đến hệ thống trƣớc khi hệ
thống xảy ra lỗi. Điều này dựa nhiều vào kinh nghiệm của nhà quản trị mạng.
d. Quản trị an ninh (Security Management): quản trị về vấn đề an ninh bảo mật mạng.
- Lọc gói tin (packet filter).
- Điều khiển truy cập (access control). - Tài nguyên mạng.
- Các dịch vụ (Service):
+ Xác thực ai muốn dùng tài nguyên.
+ Bất kỳ ai muốn sử dụng tài nguyên cũng phải giới hạn quyền. + Bất kỳ dữ liệu lƣu trữ nào cũng cấp quyền.
+ Tính toàn vẹn dữ liệu trên đƣờng truyền. + Tính không chối cãi của việc chia sẻ.
3.2. Xây dựng mô hình quản trị hệ thống và ứng dụng
Có 3 phƣơng pháp thƣờng đƣợc đề cập đến việc làm thế nào để xây dựng một mô hình kiến trúc quản trị mạng:
- Xây dựng một hệ thống tập trung để điều khiển toàn mạng (quản trị tập trung).
- Xây dựng một hệ thống mà có thể phân chia đƣợc chức năng quản trị mạng (quản trị phân tán).
- Kết hợp cả hai phƣơng pháp trên vào một hệ thống phân cấp chức năng.
Một kiến trúc tập trung sẽ sử dụng một cơ sở dữ liệu chung trên máy tính trung tâm nào đó, mọi thông tin liên quan đến hoạt động của mạng do các ứng dụng gửi về đây sẽ đƣợc sử dụng chung trong các ứng dụng quản trị mạng.
Một kiến trúc phân tán có thể sử dụng nhiều mạng ngang hàng (peer network) cùng thực hiện các chức năng quản trị một cách riêng rẽ. Thật khó