HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG LÊ VĂN HÙNG GIẢI PHÁP GIÁM SÁT TỪ XA MẠNG VLAN VỚI RSPAN VÀ ĐỊNH TUYẾN DỰA TRÊN CHÍNH SÁCH TÓM TẮT LUẬN VĂN THẠC SĨ HÀ NỘI – 2013 Luận văn được hoàn thành tại: HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG Người hướng dẫn khoa học: TS. HÀ HẢI NAM Phản biện 1: …………………………………………………………………………… Phản biện 2: ………………………………………………………………………… Luận văn sẽ được bảo vệ trước Hội đồng chấm luận văn thạc sĩ tại Học viện Công nghệ Bưu chính Viễn thông Vào lúc: giờ ngày tháng năm Có thể tìm hiểu luận văn tại: - Thư viện của Học viện Công nghệ Bưu chính Viễn thông HÀ NỘI 2013 1 I. MỞ ĐẦU 1. Lý do chọn đề tài Với sự bùng nổ ngày càng mạnh mẽ của mạng Internet, các quốc gia, các tổ chức, các công ty và tất cả mọi người dường như đang xích lại gần nhau. Họ đã, đang và luôn muốn hoà nhập vào mạng Internet để thoả mãn "cơn khát thông tin" của nhân loại. Cùng với sự phát triển tiện lợi của Internet, việc lấy cắp thông tin mật, các chương trình và dữ liệu quan trọng, việc thâm nhập bất hợp pháp và phá hoại thông qua Internet cũng gia tăng về số lượng, loại hình và kỹ xảo. Do đó, song song với việc phát triển và khai thác các dịch vụ trên Internet, rất cần nghiên cứu giải quyết vấn đề đảm bảo an ninh trên mạng. Hệ thống mạng ngày càng được mở rộng và phức tạp, vì vậy việc đảm bảo cho hệ thống hoạt động ổn định luôn là mối quan tâm hàng đầu của các nhà quản trị. Các giải pháp quản lý và giám sát mạng ra đời bao gồm các phần mềm và các thiết bị phần cứng. Tuy nhiên thách thức đặt ra là làm thế nào bạn có thể kết nối các thiết bị này vào hệ thống mạng và lấy được các thông tin cần thiết để phân tích, giám sát. Đối với các hệ thống này, việc kết nối các thiết bị phân tích, giám sát vào hệ thống mạng đã trở nên phức tạp hơn rất nhiều. Vì vậy, để có một sự hiểu biết sâu sắc hơn về phương pháp giám sát mạng, tôi đã lựa chọn đề tài: “GIẢI PHÁP GIÁM SÁT TỪ XA MẠNG VLAN VỚI RSPAN VÀ ĐỊNH TUYẾN DỰA TRÊN CHÍNH SÁCH” để tìm hiểu từ đó có cái nhìn bao quát hơn về giám sát hệ thống mạng, và an ninh mạng. 2. Mục đích nghiên cứu Mục đích nghiên cứu của đề tài này là tìm hiểu vấn đề giám sát thông tin qua mạng VLAN của các tổ chức, cá nhân, các cơ quan … 3. Đối tượng và phạm vi nghiên cứu Đối tượng và phạm vi nghiên cứu của đề tài này là giám sát thông tin mạng, qua giải pháp giám sát mạng từ xa dùng kỹ thuật SPAN, RSPAN và định tuyến dựa trên chính sách. 2 4. Phương pháp nghiên cứu - Sử dụng kỹ thuật SPAN và RSPAN để giám sát từ xa mạng VLAN. - Đánh giá hiệu quả của kỹ thuật giám sát mạng từ xa. 5. Nội dung nghiên cứu Ngoài phần mở đầu và kết luận, nội dung nghiên cứu của luận văn được trình bày trong các chương: Chương 1: Giới thiệu vấn đề giám sát mạng Chương 2: Kỹ thuật SPAN/RSPAN và định tuyến dựa trên chính sách Chương 3: Giải pháp giám sát mạng từ xa Cuối cùng là phần kết luận và hướng nghiên cứu, phát triển tiếp theo. 3 II. NỘI DUNG Chương 1: GIỚI THIỆU VẤN ĐỀ GIÁM SÁT MẠNG 1.1. Bài toán giám sát mạng Cấu trúc của các mạng máy tính trở nên nhiều hơn và tinh vi hơn vì vậy công việc quản lý mạng đòi hỏi phải có các công cụ đủ mạnh để đối phó với các vấn đề có thể xảy ra. Bên cạnh đó, phải đáp ứng nhu cầu nhiều hơn và rộng hơn từ khách hàng về băng thông, loại hình và mức độ dịch vụ,… Trong thực tế, các công cụ để quản lý mạng khá đa dạng trên thị trường. Chúng được phát triển cho các mục đích khác nhau. Một số sản phẩm được cung cấp là độc lập trong khi một số sản phẩm khác được tích hợp vào phần cứng hoặc phần mềm mạng. Mặc dù sản phẩm rất đa dạng nhưng chúng được chia thành hai loại chính là thu thập thông tin và phân tích nội dung thông tin. Loại đầu tiên thu thập thông tin căn cứ trên một tiêu chuẩn nổi tiếng được gọi là SNMP (Simple Network Management Protocol). Bằng cách sử dụng SNMP, công cụ quản lý mạng có thể truy cập vào MIB (Management Information Base) để thu thập thông tin cần thiết như các loại thiết bị, địa chỉ của mỗi giao diện, xử lý của CPU, vv. Loại thứ hai phân tích nội dung của thông tin là phức tạp và khó khăn hơn. 1.2 Vlan và các vấn đề liên quan 1.2.1 Virtual Local Area Network (Vlan) 1.2.1.1 Giới thiệu VLAN là một mạng LAN ảo. Về mặt kỹ thuật, VLAN là một miền quảng bá được tạo bởi các switch. Bình thường thì router đóng vai tạo ra miền quảng bá. Đối VLAN thì có thể tạo ra miền quảng bá. VLAN là một kỹ thuật kết hợp chuyển mạch lớp 2 và định tuyến lớp 3 để giới hạn miền đụng độ và miền quảng bá. VLAN còn được sử dụng để bảo mật giữa các nhóm VLAN theo chức năng mỗi nhóm. 1.2.1.2. Khái niệm về VLAN VLAN là một nhóm các thiết bị mạng không giới hạn theo vị trí vật lý hoặc theo LAN switch mà chúng kết nối vào. 4 VLAN là một segment mạng theo logic dựa trên chức năng, đội nhóm, hoặc ứng dụng của một tổ chức chứ không phụ thuộc vào vị trí vật lý hay kết nối vật lý trong mạng. Tất cả các trạm và server được sử dụng bởi cùng một nhóm làm việc sẽ được đặt trong cùng VLAN bất kể vị trí hay kết nối vật lý của chúng. Hình 1.1: Phân đoạn mạng theo kiểu Vlan 1.2.2 Miền quảng bá với VLAN và router. Một VLAN là một niềm quảng bá được tạo nên một hay nhiều switch. Hình 4 cho thấy tạo 3 miền quảng bá riêng biệt trên 3 swicth như thế nào. Định tuyến Lớp 3 cho phép router chuyển gói giữa các miền quảng bá với nhau. 1.2.3 Hoạt động của VLAN Mỗi cổng trên switch có thể gán cho một VLAN khác nhau. Các cổng nằm trong cùng một VLAN sẽ chia sẻ gói quảng bá với nhau. Các cổng không nằm trong cùng VLAN sẽ không chia sẻ gói quảng bá với nhau. Nhờ đó mạng LAN hoạt động hiệu quả hơn. 1.2.4 Ưu điểm, Ứng dụng của VLAN 1.2.4.1 Ưu điểm của VLAN Lợi ích của VLAN là cho phép người quản trị mạng tổ chức mạng theo logic chức không theo vật lý nữa. Nhờ đó những công việc sau thực hiện dễ dàng hơn: - Có tính linh động cao: di chuyển máy trạm trong LAN dễ dàng. 5 - Thêm máy trạm vào LAN dễ dàng: Trên một switch nhiều cổng, có thể có thể cấu hình VLAN khác nhau cho từng cổng, do đó dễ dàng kết nối thêm các máy tính với các VLAN. - Thay đổi cấu hình LAN dễ dàng. - Kiểm soát giao thông mạng dễ dàng. - Gia tăng bảo mật: Các VLAN khác nhau không truy cập được vào nhau (trừ khi có khai báo định tuyến). - Tiết kiệm băng thông của mạng: do VLAN có thể chia nhỏ LAN thành các đoạn (là một vùng quảng bá). Khi một gói tin quảng bá, nó sẽ được truyền đi chỉ trong một VLAN duy nhất, không không truyền đi ở các VLAN khác nên giảm lưu lượng quảng bá, tiết kiệm băng thông đường truyền. 1.2.4.2 Ứng dụng của VLAN - Sử dụng VLAN để tạo ra các LAN khác nhau của nhiều máy tính cùng văn phòng: VLAN1 - Sử dụng VLAN để tạo mạng dữ liệu ảo (Virtual Data Network – VAN) 1.2.5 Các loại VLAN Có 3 loại thành viên VLAN để xác định và kiểm soát việc xử lý các gói dữ liệu: - VLAN dựa trên cổng (port based VLAN): mỗi cổng (Ethernet hoặc Fast Ethernet) được gắn với một VLAN xác định. Do đó mỗi máy tính/ thiết bị host kết nối một cổng của switch đều phụ thuộc vào VLAN đó. Đây là cách cấu hình VLAN đơn giản và phổ biến nhất. - Vlan theo địa chỉ MAC (MAC address based VLAN): mỗi địa chỉ MAC được gán tới một VLAN nhất định. Cách cấu hình này rất phức tạp và khó khăn trong việc quản lý. - VLAN theo giao thức (protocol based VLAN): tương tự với VLAN dựa trên địa chỉ MAC nhưng sử dụng địa chỉ IP thay cho địa chỉ MAC. Cách cấu hình này không thông dụng. - Bảo mật tối đa giữa các VLAN. 6 - Gói dữ liệu không “rò rỉ” sang các miền khác. - Dễ dàng kiểm soát qua mạng. 1.2.6 Cấu hình VLAN 1.2.6.1 Cấu hình VLAN cơ bản Chúng ta có thể xây dựng VLAN cho mạng từ đầu cuối – đến – đầu cuối hoặc theo giới hạn địa lý. Hình 1.2 VLAN từ đầu cuối – đến - đầu cuối Một VLAN từ đầu cuối – đến đầu cuối có các đặc điển sau: - Người dùng được phân nhóm VLAN hoàn toàn không phụ thuộc vào vị trí vật lý, chỉ phụ thuộc vào chức năng công việc của nhóm. - Mọi user trong một VLAN điều có chung tỉ lệ giao thông 80/20(80% giao thông trong, 20% giao thông ngoài VLAN) - Khi người dùng đầu cuối di chuyển trong hệ thống mạng vẫn không thay đổi VLAN của người dùng đó. - Mỗi VLAN có những yêu cầu bảo mật riêng cho mọi thành viên của VLAN đó. 7 1.2.6.2 Cấu hình VLAN theo vật lý Xu hướng sử dụng và phân bố tài nguyên mạng khác đi nên hiện nay VLAN thường được tạo ra theo giới hạn của địa lý. Phạm vi địa lý có thể lớn bằng tòa nhà hoặc cũng có thể chỉ nhỏ với một switch. Trong cấu trúc VLAN này, tỉ lượng sẽ là 20/80, 20% giao thông trong nội bộ VLAN và 80% giao thông đi ra ngoài mạng VLAN. Điểm này có ý nghĩa là lưu lượng phải đi qua thiết bị lớp 3 mới đến được 80% nguồn tài nguyên. Kiểu thiết kế này cho phép việc truy cập nguồn tài nguyên được thống nhất. 1.2.6.3 Cấu hình VLAN cố định VLAN cố định là VLAN được cấu hình theo port trên switch bằng các phần mềm quản lý hoặc cấu hình trực tiếp trên switch. Các port đã được gán vào VLAN nào thì nó sẽ giữ nguyên cấu hình VLAN đó cho đến khi thay đổi bằng lệnh. 1.2.7 VLAN Trunking Protocol (VTP) VTP là giao thức hoạt động ở lớp 2 trong mô hình OSI. VTP giúp cho việc cấu hình VLAN luôn hoạt động đồng nhất khi thêm, xóa, sửa thông tin về VLAN trong hệ thống mạng. Trong khuôn khổ môi trường chuyển mạch VLAN. Một đường Trunk là một đường kết nối point-to-point để hổ trợ các VLAN trên các switch liên kết với nhau. Một đường cấu hình Trunk sẽ gộp nhiều đường lien kết ảo trên một đường liên kết vật lý để chuyể tín hiệu từ các VLAN trên các switch với nhau dựa trên một đường cáp vật lý. 8 Chương 2: KỸ THUẬT SPAN/RSPAN VÀ ĐỊNH TUYẾN DỰA TRÊN CHÍNH SÁCH 2.1. Kỹ thuật SPAN 2.1.1. Kỹ thuật SPAN (Switched Port Analyzer) Kỹ thuật SPAN hay RSPAN được sử dụng để phân tích lưu lượng của hệ thống mạng di chuyển qua các VLAN hoặc các cổng kết nối vật lý bằng cách gửi một bản sao chép của lưu lượng thông tin đó đến một cổng khác, hoặc một switch khác kết nối vào hệ thống và sau đó phân tích các thông tin tổng hợp được. Local SPAN có khả năng hỗ trợ một phiên làm việc hoàn toàn với một switch, tất cả các port nguồn hoặc VLAN nguồn và các port đích nằm trên cùng một switch. Local SPAN thực hiện sao lưu một lưu lượng từ một hoặc nhiều port nguồn trong một VLAN hoặc từ một hoặc nhiều VLAN đến một port đích để thực hiện phân tích. Hình vẽ bên dưới là một ví dụ về Local SPAN, tất cả các lưu lượng trên port 5 (port nguồn) đã được sao lưu đến port 10 (port đích). Một công cụ phân tích mạng trên port 10 đã nhận tất cả các lưu lượng mạng từ port 5 mà không cần phải cắm trực tiếp vào port 5. [...]... trị mạng có thể giám sát lưu lượng truy cập mạng ở nhà khi không có ở văn phòng? Để trả lời cho câu hỏi này, luận văn sẽ đề xuất một số giải pháp giám sát từ xa mạng 3.2 Các công cụ và giải pháp giám sát mạng từ xa Trước khi đi sâu vào giải pháp giám sát từ xa, luận văn thực hiện khảo sát các công cụ và giải pháp giám sát từ xa hiện tại trên thị trường Hiện nay có rất nhiều công cụ, giải pháp giám sát. .. lại, công cụ /giải pháp trên thị trường về giám sát mạng không đáp ứng các nhu cầu giám sát từ xa theo quan điểm trouble-shooting Và dưới đây luận văn sẽ trình bày về đề xuất một số giải pháp để giải quyết vấn đề này 17 3.3 Đề xuất giải pháp giám sát mạng từ xa Như đã đề cập trong các phần trên, luận văn sẽ đề xuất giải pháp giám sát từ xa mạng để mở rộng khoảng cách giữa các điểm nguồn và điểm đích... giám sát lưu lượng truy cập thông qua cổng 5 của Switch 1 từ PC-D Bởi vì thử nghiệm sử dụng lệnh "ping-t" để tạo ra lưu lượng truy cập vì vậy giám sát lưu lượng trên màn hình của PC-D sẽ là lưu lượng ICMP 2.3 Định tuyến dựa trên chính sách 2.3.1 Định tuyến dựa trên chính sách (Policy Based Routing/PBR) Định tuyến dựa trên chính sách là một giao thức định tuyến Bằng cách sử dụng PBR, quản trị mạng có... như trên, quản trị mạng có thể giám sát lưu lượng truy cập đi vào và đi ra thông qua cổng 5 của Switch 2950 tại PC-E Bởi vì thử nghiệm sử dụng lệnh "ping-t" để tạo ra lưu lượng truy cập vì vậy lưu lượng truy cập được theo dõi trên màn hình PC-E sẽ là lưu lượng ICM 22 III KẾT LUẬN Luận văn tốt nghiệp của tác giả với đề tài Giải pháp giám sát từ xa mạng VLAN với RSPAN và định tuyến dựa trên chính sách ... không dựa trên địa chỉ đích: Định tuyến chính sách cho phép quản trị mạng xác định con đường dựa trên các thuộc tính của một gói tin Chẳng hạn như địa chỉ IP nguồn/đích, cổng ứng dụng, độ dài gói tin, và để chuyển tiếp chúng theo các chính sách khác nhau Chính sách định tuyến có thể được cấu hình để thiết lập next hop của gói tin hoặc next hop/giao diện mặc định của gói tin Định tuyến chính sách cũng... đã đạt được và những đề xuất hướng nghiên cứu tiếp theo 1 Những kết quả đã đạt được của luận văn - Luận văn cung cấp những kiến thức tổng quan về các giải pháp giám sát từ xa mạng VLAN, kỹ thuật SPAN, RSPAN và định tuyến dựa trên chính sách Tương ứng với mỗi kỹ thuật, luận văn cũng đề xuất một cấu trúc đơn giản để minh họa cách làm trong thực tế - Luận văn đã đề xuất một giải pháp để giám sát lưu lượng... thử nghiệm với kỹ thuật SPAN, RSPAN, định tuyến dựa trên chính sách và thử nghiệm trên giải pháp đề xuất 2 Hướng nghiên cứu tiếp theo "Công cụ bộ giám sát từ xa" cần phải được cải thiện ở nhiều khía cạnh Thứ nhất, Client Server cần có một cơ chế bảo mật để ngăn chặn truy cập trái phép Thứ hai, chương trình Server cần truyền tải thêm thông tin và nhu cầu của khách hàng để phân tích và hiển thị trên màn... lượng và áp dụng các chính sách khác nhau cho lưu lượng đó, nó cho phép người quản trị mạng cấu hình các chính sách có chọn lọc làm cho các gói tin đi theo con đường khác với con đường theo quy định của bảng định tuyến PBR có thể được sử dụng cho các mục tiêu khác nhau như: an ninh, quản lý và chất lượng dịch vụ (QoS) Theo Cisco, định tuyến dựa trên chính sách cung cấp các lợi ích sau: Quyết định chuyển... dõi trên màn hình PC-E sẽ là lưu lượng ICMP 2.2 Kỹ thuật RSPAN 2.2.1 Kỹ thuật RSPAN (Remote Switched Port Analyzer) RSPAN là phần mở rộng của SPAN trong đó các port nguồn và port đích không ở trong cùng một Switch RSPAN có khả năng hỗ trợ các port nguồn, VLAN nguồn, và các port đích nằm trên các switch khác nhau, cho phép kiểm tra và giám sát từ xa đối với nhiều switch trong hệ thống mạng Trong RSPAN. .. 4: Theo dõi kết quả trên màn hình máy chủ FTP Bước 5: Theo dõi kết quả trên màn hình tại máy chủ VoIP 16 Chương 3: GIẢI PHÁP GIÁM SÁT MẠNG TỪ XA 3.1 Phân tích các vấn đề hạn chế của SPAN /RSPAN Nếu quản trị mạng muốn chuyển theo dõi lưu lượng truy cập đến bất kỳ máy chủ trong mạng hoặc xa hơn đến bất cứ nơi nào trên Internet thì đó nó thực sự là một vấn đề Vấn đề này xảy ra vì SPAN /RSPAN là một tính năng . xuất một số giải pháp giám sát từ xa mạng. 3.2. Các công cụ và giải pháp giám sát mạng từ xa Trước khi đi sâu vào giải pháp giám sát từ xa, luận văn. tài: “GIẢI PHÁP GIÁM SÁT TỪ XA MẠNG VLAN VỚI RSPAN VÀ ĐỊNH TUYẾN DỰA TRÊN CHÍNH SÁCH” để tìm hiểu từ đó có cái nhìn bao quát hơn về giám sát hệ thống mạng,