HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG



LÊ VĂN HÙNG




GIẢI PHÁP GIÁM SÁT TỪ XA MẠNG VLAN VỚI
RSPAN VÀ ĐỊNH TUYẾN DỰA TRÊN CHÍNH SÁCH



TÓM TẮT LUẬN VĂN THẠC SĨ

HÀ NỘI – 2013




Luận văn được hoàn thành tại:
HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG


Người hướng dẫn khoa học: TS. HÀ HẢI NAM


Phản biện 1: ……………………………………………………………………………

Phản biện 2: …………………………………………………………………………



Luận văn sẽ được bảo vệ trước Hội đồng chấm luận văn thạc sĩ tại Học viện Công nghệ
Bưu chính Viễn thông
Vào lúc: giờ ngày tháng năm

Có thể tìm hiểu luận văn tại:
- Thư viện của Học viện Công nghệ Bưu chính Viễn thông









HÀ NỘI 2013


1

I. MỞ ĐẦU
1. Lý do chọn đề tài
Với sự bùng nổ ngày càng mạnh mẽ của mạng Internet, các quốc gia, các tổ
chức, các công ty và tất cả mọi người dường như đang xích lại gần nhau. Họ đã,
đang và luôn muốn hoà nhập vào mạng Internet để thoả mãn "cơn khát thông tin"
của nhân loại.
Cùng với sự phát triển tiện lợi của Internet, việc lấy cắp thông tin mật, các
chương trình và dữ liệu quan trọng, việc thâm nhập bất hợp pháp và phá hoại thông
qua Internet cũng gia tăng về số lượng, loại hình và kỹ xảo. Do đó, song song với
việc phát triển và khai thác các dịch vụ trên Internet, rất cần nghiên cứu giải quyết
vấn đề đảm bảo an ninh trên mạng. Hệ thống mạng ngày càng được mở rộng và
phức tạp, vì vậy việc đảm bảo cho hệ thống hoạt động ổn định luôn là mối quan tâm
hàng đầu của các nhà quản trị. Các giải pháp quản lý và giám sát mạng ra đời bao
gồm các phần mềm và các thiết bị phần cứng. Tuy nhiên thách thức đặt ra là làm
thế nào bạn có thể kết nối các thiết bị này vào hệ thống mạng và lấy được các thông
tin cần thiết để phân tích, giám sát. Đối với các hệ thống này, việc kết nối các thiết
bị phân tích, giám sát vào hệ thống mạng đã trở nên phức tạp hơn rất nhiều.
Vì vậy, để có một sự hiểu biết sâu sắc hơn về phương pháp giám sát mạng,
tôi đã lựa chọn đề tài: “GIẢI PHÁP GIÁM SÁT TỪ XA MẠNG VLAN VỚI
RSPAN VÀ ĐỊNH TUYẾN DỰA TRÊN CHÍNH SÁCH” để tìm hiểu từ đó có cái

nhìn bao quát hơn về giám sát hệ thống mạng, và an ninh mạng.
2. Mục đích nghiên cứu
Mục đích nghiên cứu của đề tài này là tìm hiểu vấn đề giám sát thông tin
qua mạng VLAN của các tổ chức, cá nhân, các cơ quan …
3. Đối tượng và phạm vi nghiên cứu
Đối tượng và phạm vi nghiên cứu của đề tài này là giám sát thông tin mạng,
qua giải pháp giám sát mạng từ xa dùng kỹ thuật SPAN, RSPAN và định tuyến dựa
trên chính sách.
2

4. Phương pháp nghiên cứu
- Sử dụng kỹ thuật SPAN và RSPAN để giám sát từ xa mạng VLAN.
- Đánh giá hiệu quả của kỹ thuật giám sát mạng từ xa.
5. Nội dung nghiên cứu
Ngoài phần mở đầu và kết luận, nội dung nghiên cứu của luận văn được trình
bày trong các chương:
Chương 1: Giới thiệu vấn đề giám sát mạng
Chương 2: Kỹ thuật SPAN/RSPAN và định tuyến dựa trên chính sách
Chương 3: Giải pháp giám sát mạng từ xa
Cuối cùng là phần kết luận và hướng nghiên cứu, phát triển tiếp theo.


















3

II. NỘI DUNG
Chương 1: GIỚI THIỆU VẤN ĐỀ GIÁM SÁT MẠNG
1.1. Bài toán giám sát mạng
Cấu trúc của các mạng máy tính trở nên nhiều hơn và tinh vi hơn vì vậy công
việc quản lý mạng đòi hỏi phải có các công cụ đủ mạnh để đối phó với các vấn đề
có thể xảy ra. Bên cạnh đó, phải đáp ứng nhu cầu nhiều hơn và rộng hơn từ khách
hàng về băng thông, loại hình và mức độ dịch vụ,…
Trong thực tế, các công cụ để quản lý mạng khá đa dạng trên thị trường.
Chúng được phát triển cho các mục đích khác nhau. Một số sản phẩm được cung
cấp là độc lập trong khi một số sản phẩm khác được tích hợp vào phần cứng hoặc
phần mềm mạng. Mặc dù sản phẩm rất đa dạng nhưng chúng được chia thành hai
loại chính là thu thập thông tin và phân tích nội dung thông tin. Loại đầu tiên thu
thập thông tin căn cứ trên một tiêu chuẩn nổi tiếng được gọi là SNMP (Simple
Network Management Protocol). Bằng cách sử dụng SNMP, công cụ quản lý mạng
có thể truy cập vào MIB (Management Information Base) để thu thập thông tin cần
thiết như các loại thiết bị, địa chỉ của mỗi giao diện, xử lý của CPU, vv. Loại thứ
hai phân tích nội dung của thông tin là phức tạp và khó khăn hơn.
1.2 Vlan và các vấn đề liên quan
1.2.1 Virtual Local Area Network (Vlan)
1.2.1.1 Giới thiệu
VLAN là một mạng LAN ảo. Về mặt kỹ thuật, VLAN là một miền quảng bá

được tạo bởi các switch. Bình thường thì router đóng vai tạo ra miền quảng bá. Đối
VLAN thì có thể tạo ra miền quảng bá. VLAN là một kỹ thuật kết hợp chuyển mạch
lớp 2 và định tuyến lớp 3 để giới hạn miền đụng độ và miền quảng bá. VLAN còn
được sử dụng để bảo mật giữa các nhóm VLAN theo chức năng mỗi nhóm.
1.2.1.2. Khái niệm về VLAN
VLAN là một nhóm các thiết bị mạng không giới hạn theo vị trí vật lý hoặc
theo LAN switch mà chúng kết nối vào.
4

VLAN là một segment mạng theo logic dựa trên chức năng, đội nhóm, hoặc
ứng dụng của một tổ chức chứ không phụ thuộc vào vị trí vật lý hay kết nối vật lý
trong mạng. Tất cả các trạm và server được sử dụng bởi cùng một nhóm làm việc sẽ
được đặt trong cùng VLAN bất kể vị trí hay kết nối vật lý của chúng.

Hình 1.1: Phân đoạn mạng theo kiểu Vlan
1.2.2 Miền quảng bá với VLAN và router.
Một VLAN là một niềm quảng bá được tạo nên một hay nhiều switch. Hình
4 cho thấy tạo 3 miền quảng bá riêng biệt trên 3 swicth như thế nào. Định tuyến
Lớp 3 cho phép router chuyển gói giữa các miền quảng bá với nhau.
1.2.3 Hoạt động của VLAN
Mỗi cổng trên switch có thể gán cho một VLAN khác nhau. Các cổng nằm
trong cùng một VLAN sẽ chia sẻ gói quảng bá với nhau. Các cổng không nằm trong
cùng VLAN sẽ không chia sẻ gói quảng bá với nhau. Nhờ đó mạng LAN hoạt động
hiệu quả hơn.
1.2.4 Ưu điểm, Ứng dụng của VLAN
1.2.4.1 Ưu điểm của VLAN
Lợi ích của VLAN là cho phép người quản trị mạng tổ chức mạng theo logic
chức không theo vật lý nữa. Nhờ đó những công việc sau thực hiện dễ dàng hơn:
- Có tính linh động cao: di chuyển máy trạm trong LAN dễ dàng.
5


- Thêm máy trạm vào LAN dễ dàng: Trên một switch nhiều cổng, có thể có
thể cấu hình VLAN khác nhau cho từng cổng, do đó dễ dàng kết nối thêm các máy
tính với các VLAN.
- Thay đổi cấu hình LAN dễ dàng.
- Kiểm soát giao thông mạng dễ dàng.
- Gia tăng bảo mật: Các VLAN khác nhau không truy cập được vào nhau (trừ
khi có khai báo định tuyến).
- Tiết kiệm băng thông của mạng: do VLAN có thể chia nhỏ LAN thành các
đoạn (là một vùng quảng bá). Khi một gói tin quảng bá, nó sẽ được truyền đi chỉ
trong một VLAN duy nhất, không không truyền đi ở các VLAN khác nên giảm lưu
lượng quảng bá, tiết kiệm băng thông đường truyền.
1.2.4.2 Ứng dụng của VLAN
- Sử dụng VLAN để tạo ra các LAN khác nhau của nhiều máy tính cùng văn
phòng: VLAN1
- Sử dụng VLAN để tạo mạng dữ liệu ảo (Virtual Data Network – VAN)
1.2.5 Các loại VLAN
Có 3 loại thành viên VLAN để xác định và kiểm soát việc xử lý các gói dữ
liệu:
- VLAN dựa trên cổng (port based VLAN): mỗi cổng (Ethernet hoặc Fast
Ethernet) được gắn với một VLAN xác định. Do đó mỗi máy tính/ thiết bị host kết
nối một cổng của switch đều phụ thuộc vào VLAN đó. Đây là cách cấu hình VLAN
đơn giản và phổ biến nhất.
- Vlan theo địa chỉ MAC (MAC address based VLAN): mỗi địa chỉ MAC
được gán tới một VLAN nhất định. Cách cấu hình này rất phức tạp và khó khăn
trong việc quản lý.
- VLAN theo giao thức (protocol based VLAN): tương tự với VLAN dựa trên
địa chỉ MAC nhưng sử dụng địa chỉ IP thay cho địa chỉ MAC. Cách cấu hình này
không thông dụng.
- Bảo mật tối đa giữa các VLAN.

6

- Gói dữ liệu không “rò rỉ” sang các miền khác.
- Dễ dàng kiểm soát qua mạng.
1.2.6 Cấu hình VLAN
1.2.6.1 Cấu hình VLAN cơ bản
Chúng ta có thể xây dựng VLAN cho mạng từ đầu cuối – đến – đầu cuối
hoặc theo giới hạn địa lý.

Hình 1.2 VLAN từ đầu cuối – đến - đầu cuối
Một VLAN từ đầu cuối – đến đầu cuối có các đặc điển sau:
- Người dùng được phân nhóm VLAN hoàn toàn không phụ thuộc vào vị trí
vật lý, chỉ phụ thuộc vào chức năng công việc của nhóm.
- Mọi user trong một VLAN điều có chung tỉ lệ giao thông 80/20(80% giao
thông trong, 20% giao thông ngoài VLAN)
- Khi người dùng đầu cuối di chuyển trong hệ thống mạng vẫn không thay đổi
VLAN của người dùng đó.
- Mỗi VLAN có những yêu cầu bảo mật riêng cho mọi thành viên của VLAN
đó.

7

1.2.6.2 Cấu hình VLAN theo vật lý
Xu hướng sử dụng và phân bố tài nguyên mạng khác đi nên hiện nay VLAN
thường được tạo ra theo giới hạn của địa lý.
Phạm vi địa lý có thể lớn bằng tòa nhà hoặc cũng có thể chỉ nhỏ với một
switch. Trong cấu trúc VLAN này, tỉ lượng sẽ là 20/80, 20% giao thông trong nội
bộ VLAN và 80% giao thông đi ra ngoài mạng VLAN.
Điểm này có ý nghĩa là lưu lượng phải đi qua thiết bị lớp 3 mới đến được 80%
nguồn tài nguyên. Kiểu thiết kế này cho phép việc truy cập nguồn tài nguyên được

thống nhất.
1.2.6.3 Cấu hình VLAN cố định
VLAN cố định là VLAN được cấu hình theo port trên switch bằng các phần
mềm quản lý hoặc cấu hình trực tiếp trên switch. Các port đã được gán vào VLAN
nào thì nó sẽ giữ nguyên cấu hình VLAN đó cho đến khi thay đổi bằng lệnh.
1.2.7 VLAN Trunking Protocol (VTP)
VTP là giao thức hoạt động ở lớp 2 trong mô hình OSI. VTP giúp cho việc
cấu hình VLAN luôn hoạt động đồng nhất khi thêm, xóa, sửa thông tin về VLAN
trong hệ thống mạng.
Trong khuôn khổ môi trường chuyển mạch VLAN. Một đường Trunk là một
đường kết nối point-to-point để hổ trợ các VLAN trên các switch liên kết với nhau.
Một đường cấu hình Trunk sẽ gộp nhiều đường lien kết ảo trên một đường liên kết
vật lý để chuyể tín hiệu từ các VLAN trên các switch với nhau dựa trên một đường
cáp vật lý.


8

Chương 2: KỸ THUẬT SPAN/RSPAN VÀ ĐỊNH TUYẾN DỰA
TRÊN CHÍNH SÁCH
2.1. Kỹ thuật SPAN
2.1.1. Kỹ thuật SPAN (Switched Port Analyzer)
Kỹ thuật SPAN hay RSPAN được sử dụng để phân tích lưu lượng của hệ
thống mạng di chuyển qua các VLAN hoặc các cổng kết nối vật lý bằng cách gửi
một bản sao chép của lưu lượng thông tin đó đến một cổng khác, hoặc một switch
khác kết nối vào hệ thống và sau đó phân tích các thông tin tổng hợp được.
Local SPAN có khả năng hỗ trợ một phiên làm việc hoàn toàn với một
switch, tất cả các port nguồn hoặc VLAN nguồn và các port đích nằm trên cùng một
switch. Local SPAN thực hiện sao lưu một lưu lượng từ một hoặc nhiều port nguồn
trong một VLAN hoặc từ một hoặc nhiều VLAN đến một port đích để thực hiện

phân tích. Hình vẽ bên dưới là một ví dụ về Local SPAN, tất cả các lưu lượng trên
port 5 (port nguồn) đã được sao lưu đến port 10 (port đích). Một công cụ phân tích
mạng trên port 10 đã nhận tất cả các lưu lượng mạng từ port 5 mà không cần phải
cắm trực tiếp vào port 5.


9

2.1.2. Minh họa kỹ thuật SPAN
Dưới đây là một minh họa cho kỹ thuật SPAN thông qua việc xây dựng một
cấu trúc liên kết đơn giản và thực hiện nó bằng các thiết bị mạng.

Ý tưởng về mô hình minh họa là: port 5 của Switch 2950 được cấu hình như
một port nguồn trong kỹ thuật SPAN. Nó có nghĩa rằng tất cả các lưu lượng truy
cập đi ra hoặc đi vào thông qua port 5 sẽ được sao chép vào một cổng khác. Có một
điều đáng chú ý ở đây là SPAN chỉ sao chép lưu lượng truy cập trên port nguồn và
đẩy nó tới port đích, SPAN không chặn và không ảnh hưởng đến quá trình chuyển
mạch của những lưu lượng mạng trên port 5. PC-D được gán địa chỉ IP:
192.168.10.4 và kết nối với port 5. Nó cũng có nghĩa rằng tất cả lưu lượng truy cập
đi ra hoặc đi vào của PC-D sẽ được theo dõi giám sát tại Network Analyzer.
2.1.3. Quy trình thực nghiệm
Sau đây là mô tả chi tiết về phần cứng, phần mềm, các thông số và các bước
để làm thử nghiệm cấu hình SPAN.
 Yêu cầu các thiết bị cần thiết
PC, NIC, Switch 2950, Cáp thẳng, Phần mềm Ethereal
 Cấu hình các thiết bị
 PC-C:
IP address: 192.168.10.2
Subnet mask: 255.255.255.0
10


 PC-D (kết nối với công nguồn):
IP address: 192.168.10.4
Subnet mask: 255.255.255.0
 Switch 2950:
Các bước thực hiện
Dưới đây là các bước tiến hành thực nghiệm sau khi đã cấu hình xong tất cả
các thiết bị như trên
Bước 1: - Kết nối PC-C đến cổng 1 của switch 2950
- Kết nối PC-D đến cổng 5 của switch 2950
- Kết nối PC-E đến cổng 10 của switch 2950
Bước 2: Ping-t tại PC-C (192.168.10.2) đến PC-D (192.168.10.4).
Bước 3: Chạy chương trình Ethereal trên PC-E, khi Ethereal đòi hỏi phải chọn NIC,
hãy chọn NIC kết nối với cổng 10 của Switch 2950.
Bước 4: Theo dõi và phân tích những gì hiển thị trên màn hình của PC-E.
 Kết quả
Sau khi thực hiện theo các bước như trên, quản trị mạng có thể giám sát lưu
lượng truy cập đi ra hoặc đi vào thông qua cổng 5 của switch 2950. Những lưu
lượng này cũng là lưu lượng truy cập của PC-D. Bởi vì thử nghiệm sử dụng lệnh
"ping-t" để tạo ra lưu lượng truy cập nên lưu lượng truy cập được theo dõi trên màn
hình PC-E sẽ là lưu lượng ICMP
2.2. Kỹ thuật RSPAN
2.2.1. Kỹ thuật RSPAN (Remote Switched Port Analyzer)
RSPAN là phần mở rộng của SPAN trong đó các port nguồn và port đích
không ở trong cùng một Switch. RSPAN có khả năng hỗ trợ các port nguồn, VLAN
nguồn, và các port đích nằm trên các switch khác nhau, cho phép kiểm tra và giám
sát từ xa đối với nhiều switch trong hệ thống mạng. Trong RSPAN sẽ có một
VLAN dành riêng cho phiên làm việc của RSPAN được gọi là RSPAN VLAN. Khi
một lưu lượng xuất hiện trên cổng nguồn sẽ được chuyển thành lưu lượng của
RSPAN VLAN và di chuyển qua đường trunk để đến những con Switch khác.

11


Hình 2.3: Ví dụ về RSPAN
2.2.2. Minh họa kỹ thuật RSPAN
Hình dưới đây minh họa kỹ thuật RSPAN bằng việc xây dựng một cấu trúc
liên kết nhỏ và thực hiện nó bằng các thiết bị thực tế.
1 2 3 4 5 6 7 8 9 10 11 12
1 2 3 4 5 6 7 8 9 10 11 12
PC-A
192.168.11.1
PC-B
192.168 .11.5
PC-D
Switch 1
Switch 2
Reflector P ortMon itored Port

Hình 2.4: Mô hình minh họa kỹ thuật RSPAN
12

Theo trên hình, Switch 1 và Switch 2 sẽ phối hợp với nhau để cung cấp giám
sát từ xa thông qua RSPAN. Switch 1 sẽ cấu hình port 5 như cổng nguồn. Nó cũng
có nghĩa rằng tất cả các lưu lượng truy cập đi vào hoặc đi ra của PC-B (địa chỉ IP:
192.168.11.5) sẽ được giám sát bởi vì PC-B kết nối trực tiếp đến port 5 của Switch
1. PC-A (địa chỉ IP: 192.168.11.1) không có bất kỳ vai trò nào trong RSPAN, tuy
nhiên, nó sẽ ping-t đến PC-B để tạo ra hai cách giao thông tại cổng 5 của Switch 1.
Switch 1 cấu hình cổng 10 như Reflector port. Cổng 12 của Switch 1 và Switch 2
được cấu hình như Trunking liên kết để cho phép lưu lượng của VLAN đi qua. PC-
D được kết nối với cổng 1 của Switch 2. Cổng 1 của Switch 2 được cấu hình như

cổng Destination port hoặc port đích. Bởi vì RSPAN được cấu hình ở cả hai Switch
1 và Switch 2, vì vậy PC-D không cần phải gán địa chỉ IP. PC-D có một phần mềm
giám sát mạng như Ethereal để theo dõi lưu lượng chuyển tiếp. Chắc chắn, Switch 1
phải thiết lập một phiên RSPAN Source session và Switch 2 phải thiết lập một
phiên RSPAN Destination session.
2.2.3. Quy trình thực nghiệm
Sau đây là mô tả chi tiết về phần cứng, phần mềm, các thông số và các bước
để làm thí nghiệm cấu hình RSPAN.
 Yêu cầu các thiết bị cần thiết
PC, NIC, Switch 2950, Cáp thẳng, Phần mềm Ethereal
 Cấu hình
 PC-A:
IP address: 192.168.11.1
Subnet mask: 255.255.255.0
 PC-B (kết nối với cổng nguồn):
IP address: 192.168.11.5
Subnet mask; 255.255.255.0
 Các bước thực hiện
Dưới đây là các bước tiến hành thực nghiệm sau khi đã cấu hình xong tất cả
các thiết bị
13

Bước 1: - Kết nối PC-A đến cổng 1 của switch 1
- Kết nối PC-B đến cổng 5 của switch 1
- Kết nối cổng 12 của switch 1 với cổng 12 của switch 2
- Kết nối PC-D đến cổng 1 của switch 2
Bước 2: Ping-t tại PC-A (192.168.11.1) đến PC-B (192.168.11.5).
Bước 3: Chạy chương trình Ethereal trên PC-D, khi Ethereal đòi hỏi phải chọn NIC,
hãy chọn NIC kết nối với cổng 1 của Switch 2.
Bước 4: Theo dõi và phân tích những gì hiển thị trên màn hình của PC-D.

 Kết quả
Sau khi thực hiện theo các bước như trên, quản trị mạng có thể giám sát lưu
lượng truy cập thông qua cổng 5 của Switch 1 từ PC-D. Bởi vì thử nghiệm sử dụng
lệnh "ping-t" để tạo ra lưu lượng truy cập vì vậy giám sát lưu lượng trên màn hình
của PC-D sẽ là lưu lượng ICMP.
2.3. Định tuyến dựa trên chính sách
2.3.1. Định tuyến dựa trên chính sách (Policy Based Routing/PBR)
Định tuyến dựa trên chính sách là một giao thức định tuyến. Bằng cách sử
dụng PBR, quản trị mạng có thể phân loại lưu lượng và áp dụng các chính sách
khác nhau cho lưu lượng đó, nó cho phép người quản trị mạng cấu hình các chính
sách có chọn lọc làm cho các gói tin đi theo con đường khác với con đường theo
quy định của bảng định tuyến. PBR có thể được sử dụng cho các mục tiêu khác
nhau như: an ninh, quản lý và chất lượng dịch vụ (QoS).
Theo Cisco, định tuyến dựa trên chính sách cung cấp các lợi ích sau:
Quyết định chuyển tiếp không dựa trên địa chỉ đích: Định tuyến chính sách
cho phép quản trị mạng xác định con đường dựa trên các thuộc tính của một gói tin
Chẳng hạn như địa chỉ IP nguồn/đích, cổng ứng dụng, độ dài gói tin, và để chuyển
tiếp chúng theo các chính sách khác nhau. Chính sách định tuyến có thể được cấu
hình để thiết lập next hop của gói tin hoặc next hop/giao diện mặc định của gói tin.
Định tuyến chính sách cũng có thể được sử dụng để định tuyến gói tin tới giao diện
trống để loại bỏ chúng.
14

Chất lượng dịch vụ (QoS): PBR có thể cung cấp QoS bằng cách cho phép
quản trị mạng thiết lập giá trị các loại hình dịch vụ (ToS) và giá trị ưu tiên IP trong
IP header. Cấu hình QoS được thực hiện trên các bộ định tuyến biên. Điều này cải
thiện hiệu suất bằng cách ngăn chặn cấu hình bổ sung trên thiết bị cốt lõi.
2.3.2. Mô hình minh họa về PBR
Dưới đây là mô hình minh họa cho PBR. Tại R2, máy chủ VoIP được gán
một địa chỉ IP: 192.168.10.5 và server FTP gán một địa chỉ IP: 192.168.10.9. Quản

trị mạng muốn tất cả các lưu lượng truy cập từ máy chủ VoIP phải chạy qua British
Telecom Internet, nó cần chạy qua một liên kết băng thông lớn. Và tất cả các lưu
lượng truy cập từ máy chủ FTP phải chạy qua Telewest Internet vì nó chỉ cần nhiều
thời gian để hoàn thành công việc truyền dẫn. Các lưu lượng khác chạy giao thức
định tuyến bình thường.

Hình 2.5: Mô hình minh họa PBR
15

2.3.3. Tiến hành thử nghiệm
Sau đây là mô tả chi tiết về phần cứng, phần mềm, các thông số và các bước
tiến hành thử nghiệm.
 Yêu cầu các thiết bị cần thiết
PC, NIC, Switch 2950, Cáp thẳng, Phần mềm Ethereal
 Các bước thực hiện
Dưới đây là các bước tiến hành thực nghiệm sau khi đã cấu hình xong tất cả
các thiết bị như trên
Bước 1: - Kết nối PC-A đến giao diện F0/0 của bộ định tuyến Internet
- Kết nối máy chủ FTP và VoIP đến Switch
- Kết nối một cổng của Switch đến giao diện F0/0 của bộ định tuyến R2
- Kết nối giao diện S1/1 (DCE) của bộ định tuyến R2 đến giao diện S0
(DTE) của bộ định tuyến R3
- Kết nối giao diện S1/0 (DCE) của bộ định tuyến R2 đến giao diện S0/0
(DTE) của bộ định tuyến R1
- Kết nối giao diện S0/1 (DCE) của bộ định tuyến R1đến giao diện S1
(DTE) của của bộ định tuyến Internet.
- Kết nối giao diện S1 (DCE) của router R3 đến giao diện S0 (DTE) của
router Interne.
Bước 2: Gõ lệnh "tracert 192.168.60.2" trong Command DOS Window tại máy chủ
FTP (192.168.10.9) để tìm đường đến PC-A.

Bước 3: Gõ lệnh "tracert 192.168.60.2" trong Command DOS Window tại máy chủ
VoIP (192.168.10.5) để tìm đường đến PC-A.
Bước 4: Theo dõi kết quả trên màn hình máy chủ FTP
Bước 5: Theo dõi kết quả trên màn hình tại máy chủ VoIP

16

Chương 3: GIẢI PHÁP GIÁM SÁT MẠNG TỪ XA
3.1. Phân tích các vấn đề hạn chế của SPAN/RSPAN
Nếu quản trị mạng muốn chuyển theo dõi lưu lượng truy cập đến bất kỳ máy
chủ trong mạng hoặc xa hơn đến bất cứ nơi nào trên Internet thì đó nó thực sự là
một vấn đề. Vấn đề này xảy ra vì SPAN/RSPAN là một tính năng độc quyền của
Cisco. Nó không được hỗ trợ bởi các nhà cung cấp khác hoặc được hỗ trợ bởi các
nhà cung cấp khác nhưng theo tiêu chuẩn khác nhau. Thậm chí lưu lượng của
SPAN/RSPAN không thể chạy thông qua một router Cisco bởi vì router Cisco
không hỗ trợ tính năng này. Tuy nhiên, nhu cầu để theo dõi lưu lượng truy cập tại
bất cứ nơi nào là một nhu cầu thực tế. Ví dụ, một quản trị mạng phát hiện ra một
hiện tượng bất thường trong hệ thống mạng, tuy nhiên, hiện tượng này lại thường
xảy ra vào ban đêm, trong khi quản trị mạng có thể không phải ở văn phòng vào ban
đêm. Làm thế nào để người quản trị mạng có thể giám sát lưu lượng truy cập mạng
ở nhà khi không có ở văn phòng? Để trả lời cho câu hỏi này, luận văn sẽ đề xuất
một số giải pháp giám sát từ xa mạng.
3.2. Các công cụ và giải pháp giám sát mạng từ xa
Trước khi đi sâu vào giải pháp giám sát từ xa, luận văn thực hiện khảo sát
các công cụ và giải pháp giám sát từ xa hiện tại trên thị trường. Hiện nay có rất
nhiều công cụ, giải pháp giám sát mạng trên thị trường. Những công cụ giám sát
mạng, giải pháp chủ yếu chia thành hai mảng: thu thập các thông số của các thiết bị
mạng và phân tích nội dung của lưu lượng truy cập.
Mục tiêu của mảng đầu tiên là thu thập các thông số của thiết bị mạng. Để
làm công việc này, tất cả các thiết bị mạng phải có phòng bị một giao thức có thể

thu thập và tiết lộ thông tin về các thông số của thiết bị mạng.
Mục tiêu của mảng thứ hai là phân tích nội dung của lưu lượng truy cập. Đây
cũng là mục tiêu của luận văn
Tóm lại, công cụ/giải pháp trên thị trường về giám sát mạng không đáp ứng
các nhu cầu giám sát từ xa theo quan điểm trouble-shooting. Và dưới đây luận văn
sẽ trình bày về đề xuất một số giải pháp để giải quyết vấn đề này.
17

3.3. Đề xuất giải pháp giám sát mạng từ xa
Như đã đề cập trong các phần trên, luận văn sẽ đề xuất giải pháp giám sát từ
xa mạng để mở rộng khoảng cách giữa các điểm nguồn và điểm đích theo quan
điểm trouble-shooting. Nó có nghĩa rằng giải pháp này phải đáp ứng hai điều kiện
chính: có thể theo dõi ở bất cứ nơi nào và độc lập với các đối tượng theo dõi. Để
đáp ứng điều kiện đầu tiên là có thể giám sát tại bất cứ nơi nào thì sử dụng mô hình
Client/Server là rất tốt. Còn để thỏa mãn điều kiện thứ hai là độc lập với các đối
tượng theo dõi thì với ý tưởng của Agent không thể áp dụng. Như vậy, làm thế nào
luận văn có thể đáp ứng cả hai điều kiện trên?
Ý tưởng chính của giải pháp giám sát từ xa mạng là: thứ nhất, quản trị mạng
sử dụng kỹ thuật SPAN để sao chép lưu lượng truy cập từ một cổng nguồn tới một
cổng đích. Tất cả các công việc trong bước đầu tiên này được gọi là process 1. Thứ
hai, quản trị mạng sẽ kết nối cổng đích với một máy tính được gọi là Capture
Machine. Máy Capture Machine là một máy tính với hai NIC (Network Interface
Card), với một phần mềm đặc biệt để nắm bắt khung và chuyển giao thông tin được
bắt. Nhiệm vụ của máy Capture Machine là khung hình chụp nhận được tại NIC 1
(kết nối với cổng đích), lọc một số thông tin không cần thiết, sau đó Capture
Machine sẽ sử dụng chức năng Client/Server (tích hợp vào phần mềm) để truyền
thông tin được bắt tới trang web từ xa (Network Analyzer). Tất cả các công việc
trong bước thứ hai được gọi là process 2. Thứ ba, tại trang web từ xa, một máy tính
khác được gọi là Network Analyzer sẽ nhận thông tin được bắt từ máy Capture
Machine, phân tích chúng và hiển thị trên màn hình. Tất cả các công việc trong

bước thứ ba được gọi là process 3.
Ý tưởng của giải pháp giám sát từ xa mạng được mô tả trong hình dưới đây:
18

1 2 3 4 5 6 7 8 9 10 11 12
S erver
Network Analyser
IP: 172.16.0.1
Source IP address Destination IP address Payload
192.168.10.11 172.16.0.1 Frame+IP+TCP/UDP headers
Capture Machine
IP: 192.168.10.11
New packets
NIC 1 NIC 2

Hình 3.1: Gói tin mới được xây dựng để truyền từ nguồn tới đích
3.3.1. Giải pháp bổ sung cho Process 1
Mặc dù ý tưởng về SPAN để sao chép khung được giữ là tốt, nhưng có một
vấn đề trong thực tế Switch không luôn luôn hỗ trợ SPAN. Nếu switch không hỗ trợ
tính năng SPAN, làm thế nào có thể quản trị mạng vẫn có khả năng để theo dõi lưu
lượng truy cập?
Luận văn đề xuất sử dụng một kỹ thuật đặc biệt trong trường hợp Switch
không hỗ trợ tính năng SPAN để “lái” luồng lưu lượng của PC nguồn đi qua
Capture Machine, kỹ thuật này có tên gọi là “Man In the Middle Attack”. Trong
thực tế, kỹ thuật này được sử dụng trong Hacking. Ý tưởng chính của giải pháp bổ
sung được mô tả trong hình sau đây
1 2 3 4 5 6 7 8 9 1 0 1 1 12
C a p tu re M a c h in eM o n ito re d P C
S w itc h
R o u te r

M a n In th e M id d le A tta c k
N IC 1 N IC 2

Hình 3.2: Minh họa giải pháp bổ sung cho process 1
19

3.3.2. Các công cụ hỗ trợ cho giải pháp giám sát mạng từ xa
 Capture Machine
Capture Machine là một máy tính với 2 NIC (Network Interface Card) và
một phần mềm đặc biệt được gọi là Server. Capture Machine sẽ sử dụng một NIC
để nắm bắt lưu lượng chạy qua nó và sử dụng NIC khác để chuyển thông tin bắt tới
Network Analyzer. NIC để nắm bắt lưu lượng chạy qua phải được kết nối với một
cổng của Switch (cổng đích trong SPAN).

Hình 3.3: Giao diện của chương trình Server
 Capture Frame
Module Capture có trách nhiệm nắm bắt tất cả các khung hình nhận được tại
NIC 1 (NIC kết nối cổng đích của SPAN). Bởi vì tất cả các thông tin truyền trong
Switch là khung vì vậy module Capture phải có khả năng chụp khung chứ không
phải gói tin. Filter
Đầu ra của module Capture là Captured frames và nó cũng là đầu vào của
module bộ lọc. Module bộ lọc có trách nhiệm lọc và loại bỏ một số thông tin không
cần thiết.
 Network Analyzer
Network Analyzer là một máy tính với một card NIC và một phần mềm đặc
biệt được gọi là Client. Network Analyzer chỉ một máy tính có khả năng kết nối vào
mạng, điều quan trọng nhất của Network Analyzer là phần mềm Client. Nguyên tắc
20

của chương trình Client có ba module: Receive, Extraction và Analysis như hình

dưới đây.

3.4. Đề xuất mô hình minh họa
Luận văn đề xuất một cấu trúc để minh họa cho giải pháp giám sát từ xa. Mô
hình này được mô tả trong hình dưới đây:
1 2 3 4 5 6 7 8 9 1 0 1 1 1 2
P C -E
1 7 2 .1 6 .0 .1
N e tw o rk A n a lyz e r
P C -D
C a p tu re M a c h in e
N IC 1 N IC 2 : 1 9 2 .1 6 8 .1 0 .1 1
P C -A
1 9 2 .1 6 8 .1 0 .2
P C - B
1 9 2 .1 6 8 .1 0 .4
M o n ito re d P C
S w itc h 2 9 5 0
L o n g
N o rth
F 0 /0 : 1 7 2 . 1 6 .0 . 2 5 4 /1 6
F 0 /0 : 1 9 2 .1 6 8 .1 0 .2 5 4 /2 4
S 0 /0 : 1 9 2 .1 6 8 .2 0 .1 /2 4
S 0 /0 : 1 9 2 .1 6 8 .2 0 .2 /2 4
D C E
D T E

Hình 3.4: Mô hình minh họa cho giải pháp giám sát từ xa
3.5. Quy trình thực nghiệm
Sau đây là mô tả chi tiết về phần cứng, phần mềm, các thông số và các bước để

làm thử nghiệm.
 Yêu cầu các thiết bị cần thiết
PC, NIC, Switch 2950, Cáp thẳng, Phần mềm Ethereal
 Cấu hình các thiết bị
 PC-A:IP address: 192.168.10.2
Subnet mask: 255.255.255.0
 PC-B: IP address: 192.168.10.4
Subnet mask: 255.255.255.0
21

 PC-D: IP address: 192.168.10.11 (NIC 2)
Subnet mask: 255.255.255.0
Default Gateway: 192.168.10.254
 PC-E: IP address: 172.16.0.1
Subnet mask: 255.255.0.0
Default Gateway: 172.16.0.254
 Các bước tiến hành
Sau đây là các bước để thực hiện thử nghiệm sau khi hoàn thành cấu hình tất
cả các thiết bị:
Bước 1: - Kết nối PC-A đến port 1 của Switch, PC-B đến port 5 của Switch, NIC-1
(Realtek) của PC-D đến port 10 của Switch, NIC-2 (Sitecom) của PC-D đến cổng
11 của Switch.
- Kết nối cổng 12 của Switch tới F0/0 của Long router, sử dụng cáp DCE để kết
nối đến S0/0 của Long router, sử dụng cáp DTE để kết nối với S0/0 của North
router, kết nối DTE và DCE lại với nhau.
- Kết nối PC-E đến F0/0 của North router.
Bước 2: Thực hiện ping-t tại PC-A (192.168.10.2) đến PC-B (192.168.10.4).
Bước 3: Chạy chương trình Server trên máy PC-D. PC-D có vai trò như Capture
Machine.
Bước 4: Chạy chương trình Client trên máy PC-E. PC-E có vai trò như Network

Analyzer.
Bước 5: Theo dõi và phân tích những gì hiển thị trên màn hình PC-E.
 Kết quả
Sau khi thực hiện tất cả các yêu cầu như trên, quản trị mạng có thể giám sát
lưu lượng truy cập đi vào và đi ra thông qua cổng 5 của Switch 2950 tại PC-E. Bởi vì
thử nghiệm sử dụng lệnh "ping-t" để tạo ra lưu lượng truy cập vì vậy lưu lượng truy
cập được theo dõi trên màn hình PC-E sẽ là lưu lượng ICM.
22

III. KẾT LUẬN
Luận văn tốt nghiệp của tác giả với đề tài “Giải pháp giám sát từ xa mạng
VLAN với RSPAN và định tuyến dựa trên chính sách” đã cơ bản hoàn thành. Dưới
đây là những kết quả luận văn đã đạt được và những đề xuất hướng nghiên cứu tiếp
theo.
1. Những kết quả đã đạt được của luận văn
- Luận văn cung cấp những kiến thức tổng quan về các giải pháp giám sát từ
xa mạng VLAN, kỹ thuật SPAN, RSPAN và định tuyến dựa trên chính sách. Tương
ứng với mỗi kỹ thuật, luận văn cũng đề xuất một cấu trúc đơn giản để minh họa
cách làm trong thực tế.
- Luận văn đã đề xuất một giải pháp để giám sát lưu lượng truy cập tại một
cổng chuyển mạch, một loạt các cổng chuyển mạch hoặc một VLAN, giải quyết vấn
đề của các sản phẩm giám sát mạng khác trên thị trường đó là “công cụ trouble-
shoot phải được độc lập với các đối tượng theo dõi”. Và mở rộng kỹ thuật SPAN,
giúp quản trị mạng có thể theo dõi và phân tích nội dung của lưu lượng truy cập tại
bất cứ nơi nào trên Internet.
- Luận văn cũng cung cấp một giải pháp cho thiết bị chuyển mạch không hỗ
trợ tính năng SPAN.
- Luận văn đã tiến hành thực hiện các thử nghiệm với kỹ thuật SPAN,
RSPAN, định tuyến dựa trên chính sách và thử nghiệm trên giải pháp đề xuất.
2. Hướng nghiên cứu tiếp theo

"Công cụ bộ giám sát từ xa" cần phải được cải thiện ở nhiều khía cạnh. Thứ
nhất, Client Server cần có một cơ chế bảo mật để ngăn chặn truy cập trái phép. Thứ
hai, chương trình Server cần truyền tải thêm thông tin và nhu cầu của khách hàng để
phân tích và hiển thị trên màn hình thêm thông tin. Bên cạnh đó, nó là tốt hơn nếu
khách hàng chương trình có thể chỉnh sửa các yêu cầu giám sát và gửi cho máy chủ,
Server chỉ cần bộ lọc thông tin theo yêu cầu và gửi cho khách hàng. Bằng phương
pháp này, mô hình Server/Client hoạt động hiệu quả hơn và đạt nhiều thông tin hữu
23

ích hơn. Hơn nữa, nếu khách hàng chương trình có thể thống kê, kết quả hiển thị
theo nhiều phương pháp sau đó nó được dễ dàng hơn cho người quản trị mạng giám
sát mạng của mình.
Đối với mạng là nhỏ, các công việc để sử dụng một máy chủ để lưu trữ chính
sách là đơn giản. Tuy nhiên, mạng là lớn, sau đó nó là không thể có một máy chủ
tập trung để quản lý tất cả các chính sách. Ngày nay, các nhà khoa học trên thế giới
đang cố gắng để phát triển một mô hình chuẩn, nhà cung cấp độc lập "chính sách
quản lý cao cấp dựa trên định tuyến".