Tải bản đầy đủ (.pdf) (45 trang)
  1. Trang chủ
    2. >>
  2. Công Nghệ Thông Tin
    3. >>
  3. An ninh - Bảo mật

Phát triển hệ thống giám sát mạng dựa trên cacti

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (2.38 MB, 45 trang )

Học viện Kỹ thuật Mật Mã
Khoa An tồn thơng tin

******

BÀI TẬP LỚN MÔN

Thực Tập Cơ Sở Chuyên Ngành
Đề tài: Phát triển hệ thống giám sát mạng
dựa trên CACTI
Giảng viên hướng dẫn:
Sinh viên thực hiện:
Lớp:


LỜI CẢM ƠN
Chúng em xin bày tỏ lòng biết ơn sâu sắc tới thầy giáo đã quan tâm
hướng dẫn và tạo mọi điều kiện giúp đỡ nhóm em trong suốt q trình thực
hiện và hồn thành đề tài này. Với sự hướng dẫn của thầy, nhóm em đã có
những định hướng tốt trong việc triển khai và thực hiện các yêu cầu trong quá
trình làm đề tài thực tập.
Qua đây, em xin gửi lời cảm ơn đến tất cả các thầy cơ giảng dạy tại khoa
An tồn thơng tin, Học Viện Kỹ Thuật Mật Mã đã trang bị cho chúng em
những kiến thức cơ bản nhất để chúng em có thể hoàn thành tốt báo cáo thực
tập này. Việc thực hiện khóa luận là bước đầu làm quen với nghiên cứu khoa
học, do thời gian và trình độ có hạn nên bài khóa luận của chúng em khơng
tránh khỏi những thiếu sót, rất mong được các thầy cơ giáo góp ý bài để khóa
luận của em được hồn thiện hơn.
Em xin chân thành cảm ơn !

2




MỤC LỤC
LỜI CẢM ƠN ...................................................................................................... 2
MỤC LỤC ............................................................................................................ 3
DANH MỤC HÌNH ẢNH ................................................................................... 5
PHẦN MỞ ĐẦU .................................................................................................. 6
1.

Các bài tồn đặt ra: ................................................................................ 6

2.

Đối tượng và mục tiêu của đề tài ......................................................... 7

3.

Nội dung nghiên cứu ............................................................................. 8

4.

Bố cục luận văn ...................................................................................... 8

CHƯƠNG 1: TỔNG QUAN VỀ HỆ THỐNG GIÁM SÁT MẠNG .............. 9
1.1.

Tổng quan ............................................................................................ 9

1.2.


Các yếu tố cơ bản và nhiệm vụ của giám sát mạng ....................... 10

1.3.

Các bước thực hiện của một hệ thống NSM ................................... 10

1.4.

Mô hình kiến trúc mạng OSI ........................................................... 13

1.5. Các giải pháp quản lý và phân tích sự kiện an ninh trong hệ thống
giám sát mạng ................................................................................................ 16
1.5.1.

Sự cần thiết của Hệ thống Giám sát an ninh mạng ................. 17

1.5.2.

Xây dựng Hệ thống giám sát an ninh mạng ............................. 17

1.6.

Kết luận .............................................................................................. 19

CHƯƠNG 2: HỆ THỐNG GIÁM SÁT MẠNG CACTI .............................. 20
2.1.

Hai phương thức giám sát Poll và Alert.......................................... 20

2.1.1.


Phương thức Poll......................................................................... 20

2.1.2.

Phương thức Alert ...................................................................... 20

2.1.3.

So sánh 2 phương thức Poll và Alert......................................... 21

2.2.

Giới thiệu giao thức SNMP .............................................................. 22

2.2.1.

Các phiên bản của SNMP .......................................................... 23

2.2.2.

Thành phần của hệ thống sử dụng SNMP................................ 23

2.2.3.

Các phương thức của SNMP ..................................................... 28

2.3.

Giới thiệu về CACTI ......................................................................... 30


2.3.1.

Giới thiệu về RRDtool ................................................................ 30
3


2.3.2.

Hệ thống giám sát mạng CACTI ............................................... 31

CHƯƠNG 3: TRIỂN KHAI HỆ THỐNG GIÁM SÁT MẠNG DỰA
TRÊNPHẦN MỀM MÃ NGUỒN MỞ CACTI ............................................. 34
3.1.

Cài đặt Cacti (trên CentOS) ............................................................. 34

3.2.

Sử dụng Cacti để quản lý một số thiết bị ........................................ 41

3.2.1.

Mơ hình mạng quản trị: ............................................................. 41

3.2.2.

Các thiết bị và đồ thị: ................................................................. 42

CHƯƠNG 4: KẾT LUẬN ............................................................................... 44

TÀI LIỆU THAM KHẢO ................................................................................ 45

4


DANH MỤC HÌNH ẢNH
Hình 1. 1: Phương pháp đẩy ............................................................................... 12
Hình 1. 2: Điều gì đã xảy ra tại thời điểm đó?.................................................... 13
Hình 1. 3: Mơ hình kiến trúc mạng OSI ............................................................. 14
Hình 1. 4: Thành phần và chức năng của Hệ thống GSANM ............................ 19
Hình 2. 1: Minh họa cơ chế Poll ......................................................................... 20
Hình 2. 2: Hệ thống sử dụng SNMP ................................................................... 24
Hình 2. 3: Minh họa quá trình lấy sysName.0 .................................................... 26
Hình 2. 4: Minh họa MIB tree ............................................................................ 27
Hình 2. 5: Các phương thức của SNMP ............................................................. 28
Hình 2. 6: Minh họa các phương thức của SNMPv1 .......................................... 28
Hình 2. 7: Mơ hình hoạt động của CACTI ......................................................... 31
Hình 2. 8: Trao đổi thơng tin SNMP giữa CACTI và thiết bị ............................ 32
Hình 2. 9: Dữ liệu CACTI thu thập được qua SNMP ........................................ 32
Hình 2. 10: Cacti mô tả lưu lượng bằng đồ thị thời gian thực ............................ 33
Hình 3. 1: Trang đăng nhập của cacti ................................................................. 40
Hình 3. 2: Giao diện của cacti ............................................................................. 41
Hình 3. 3: Mơ hình mạng cần quản trị ................................................................ 41
Hình 3. 4: Phần quản lý các thiết bị trong Cacti ................................................. 42
Hình 3. 5: Các thơng tin của các thiết bị được biểu diễn dưới đồ thị 1 .............. 42
Hình 3. 6: Các thông tin của máy CentOS 6.5được biểu diễn bằng đồ thị......... 43
Hình 3. 7: Các thơng tin của các thiết bị được biểu diễn dưới đồ thị 2 .............. 43


PHẦN MỞ ĐẦU

1. Các bài toàn đặt ra:
Mở đầu, em sẽ đề cập đến 3 bài toán thuộc hàng phổ biến nhất trong các ứng
dụng của SNMP.
Bài toán thứ nhất : Giám sát tài nguyên máy chủ
+ Giả sử bạn có hàng ngàn máy chủ chạy các hệ điều hành (HĐH) khác nhau.
Làm thế nào có thể giám sát tài nguyên của tất cả máy chủ hàng ngày, hàng
giờ để kịp thời phát hiện các máy chủ sắp bị quá tải ? Giám sát tài nguyên
máy chủ nghĩa là theo dõi tỷ lệ chiếm dụng CPU, dung lượng còn lại của ổ
cứng, tỷ lệ sử dụng bộ nhớ RAM, ….
+ Bạn không thể kết nối vào từng máy để xem vì số lượng máy nhiều và vì
các HĐH khác nhau có cách thức kiểm tra khác nhau.
+ Để giải quyết vấn đề này bạn có thể dùng một ứng dụng SNMP giám sát
được máy chủ, nó sẽ lấy được thơng tin từ nhiều HĐH khác nhau. Ứng dụng
này có thể trơng giống như hình dưới đây :

Bài tốn thứ hai : Giám sát lưu lượng trên các port của switch, router
+ Bạn có hàng ngàn thiết bị mạng (network devices) của nhiều hãng khác
nhau, mỗi thiết bị có nhiều port. Làm thế nào để giám sát lưu lượng đang
truyền qua tất cả các port của các thiết bị suốt 24/24, kịp thời phát hiện các
port sắp quá tải ?
+ Bạn cũng không thể kết nối vào từng thiết bị để gõ lệnh lấy thơng tin vì
thiết bị của các hãng khác nhau có lệnh khác nhau.
+ Để giải quyết vấn đề này bạn có thể dùng một ứng dụng SNMP giám sát
lưu lượng, nó sẽ lấy đƣợc thơng tin lưu lượng đang truyền qua các thiết bị
của nhiều hãng khác nhau. Ứng dụng này có thể trơng giống như hình dưới
đây :

6



Bài toán thứ ba : Hệ thống tự động cảnh báo sự cố tức thời
+ Bạn có hàng ngàn thiết bị mạng và chúng có thể gặp nhiều vấn đề trong q
trình hoạt động như : một port nào đó bị mất tín hiệu (port down), có ai đó đã
cố kết nối (login) vào thiết bị nhưng nhập sai username và password, thiết bị
vừa mới bị khởi động lại (restart), … Làm thế nào để người quản trị biết được
sự kiện khi nó vừa mới xảy ra ?
+ Vấn đề này khác với hai vấn đề ở trên. Ở trên là làm thế nào cập nhật liên
tục một số thông tin nào đó (biết trước sẽ lấy cái gì), cịn ở đây là làm thế nào
biết được cái gì xảy ra (chưa biết cái gì sẽ đến).
+ Để giải quyết bài tốn này bạn có thể dùng ứng dụng thu thập sự kiện
(event) và cảnh báo (warning) bằng SNMP, nó sẽ nhận cảnh báo từ tất cả các
thiết bị và hiện nó lên màn hình hoặc gửi email cho người quản trị. Ứng dụng
này có thể trơng giống như hình dƣới đây:

2. Đối tượng và mục tiêu của đề tài
Đối tượng của đề tài:
Chương trình phần mềm mã nguồn mở CACTI.
Đề tài được thực hiện nhắm mục đích:
Khảo sát các lỗ hổng bảo mật thơng tin, các nguy cơ có thể mất an tồn
thơng tin và các nguy cơ hệ thống mạng bị xâm nhập, tấn công.
7


Đề xuất giải pháp để giám sát hệ thống mạng bao gồm: phát hiện xâm
nhập, theo dõi các hoạt động của các thiết bị mạng như Router, Switch,
Server,… và một số dịch vụ mạng được sử dụng.
Phát triển hệ thống báo động của chương trình qua tin nhắn (SMS),
Email, Web.
3. Nội dung nghiên cứu
Đề tài tập trung nghiên cứu các vấn đề liên quan đến phát hiện xâm nhập

trái phép và giám sát lưu lượng mạng bao gồm:
+ Nghiên cứu các khả năng tấn công mạng.
+ Nghiên cứu các khả năng phát hiện xâm nhập trái phép hệ thống
mạng.
+ Nghiên cứu các khả năng phòng chống một số các phương thức tấn
công mạng.
+ Nghiên cứu khả năng giám sát hoạt động của các thiết bị mạng và
dịch vụ mạng trong toàn hệ thống mạng.
Từ những vấn đề nêu trên đề xuất mơ hình giám sát các hoạt động của các
thiết bị mạng, phát hiện và phòng chống xâm nhập được tích hợp từ các
chương trình mã nguồn mở.
Tiến hành thực nghiệm việc cài đặt giải pháp giám sát hoạt động của các
thiết bị mạng, dịch vụ mạng và phát hiện, phòng chống xâm nhập trái phép
dựa trên cơ sở của chương trình mã nguồn mở CACTI, có cảnh báo đến
quản trị viên bằng SMS, Email, Web.
4. Bố cục luận văn
Phần bố cục của luận văn được trình bày thành 3 chương:
Chương 1: Tổng quan về hệ thống giám sát mạng.
Chương 2: Hệ thống giám sát mạng CACTI.
Chương 3: Thực nghiệm.
Chương 4: Kết Luận.

8


CHƯƠNG 1: TỔNG QUAN VỀ HỆ THỐNG GIÁM SÁT MẠNG
1.1.

Tổng quan


Hệ thống giám sát mạng (Network montoring) là hệ thống giám sát các sự cố,
hiệu năng, tình trạng của các thiết bị và máy tính trong hệ thống mạng. Hệ
thống bao gồm một phần mềm ghi nhận thông tin và giúp người quan trị hệ
thống có thể ghi nhận, theo dõi các thơng tin thơng qua nó. Phần mềm này
cịn có khả năng gửi các thơng báo, các cảnh báo cho người quản trị hệ thống
biết khi có nguy cơ sự cố hoặc các sự cố đang diễn ra thông qua hệ thống
SMS, Email,… các dịch vụ gửi tin nhắn qua Internet.
Các thành phần trong hệ thống mạng
Để một hệ thống mạng hoạt động tốt nó bao gồm rất nhiều thành phần, hoạt
động trên các nền tàng và môi trường khác nhau:
• Các máy trạm
• Các máy chủ
• Các thiết bị hạ tầng mạng: Router, Switch, Hub,…
• Các ứng dụng chạy trên các máy chủ và máy trạm.
Log hệ thống
Là một thành phần quan trọng của hệ thống mạng. Nó lưu lại một cách chính
xác mọi hoạt động của hệ thống, tình trạng hoạt động của hệ thống, các ứng
dụng, các thiết bị đã và đang hoạt động trong hệ thống.
Các lọa log chính trong hệ thống:
• Log Access: Là log ghi lại tồn bộ thơng tin truy cập của người dùng
tới hệ thống, truy cập của các ứng dụng tới cơ sở dữ liệu…
• Log Event: là log ghi lại chi tiết những sự kiện mà hệ thống đã thực
hiện. Log ứng dụng, log của hệ điều hành…
• Log Device: là log ghi lại tình trạng hoạt động của các thiết bị phần
cứng và phần mềm đang được sử dụng: Router, switch, IDS, IPS…
Log là một thành phần cực kỳ hữu hiệu cho việc giám sát cũng như khắc
phục các sự cố trong hệ thống mạng. Tuy nhiên, với những hệ thống lớn,
chạy nhiều ứng dụng, lượng truy cập cao thì cơng việc phân tích Log thực sự
là một điều vơ cùng khó khăn.
Giám sát an ninh mạng (Network Security Mornitoring – NSM)

Giám sát an ninh mạng là việc thu thập các thông tin trên các thành phần của
hệ thống, phấn tích các thơng tin, dấu hiệu nhằm đánh giá và đưa ra các cảnh
báo cho người quản trị hệ thống.
9


Đối tượng của việc giám sát an ninh mạng là tất cả các thành phần, thiết bị
trọng hệ thống mạng, bao gồm:
• Các máy trạm.
• Cơ sở dữ liệu.
• Các ứng dụng.
• Các Server.
• Các thiết bị mạng.
1.2.

Các yếu tố cơ bản và nhiệm vụ của giám sát mạng

Nhằm mang lại hiệu quả cao cho việc giám sát mạng, chúng ta cần nắm vững
các yếu tố cốt lõi đặc thù của công việc này. Cụ thể bao gồm:
- Nắm vững những công cụ , thiết bị, phần mềm phục vụ cho cơng việc
giám sát, trong đó bao gồm phần mềm nội bộ và phần mềm mở.
- Nắm vững những bộ phận, đơn vị, hệ thống, dịch vụ và thiết bị phục
vụ cho việc giám sát.
- Sử dụng một cách bài bản những công cụ, giải pháp hỗ trợ việc xử lý,
phân tích kết quả đánh giá. Một số cơng cụ như Snort, Wireshark, Nessus,
Nmap,…
- Đảm bảo nhân viên có kiến thức tốt về lĩnh vực này.
Hệ thống giám sát mạng đóng vai trị quan trọng, khơng thể thiếu trong cơ sở
hạ tầng công nghệ thông tin (CNTT) của các cơ quan, đơn vị, tổ chức. Hệ
thống này cho phép thu thập, chuẩn hóa, lưu trữ và phân tích tương quan toàn

bộ các sự kiện an toàn mạng được sinh ra trong hệ thống CNTT của tổ chức.
Ngoài ra, hệ thống giám sát an toàn mạng phát hiện kịp các tấn công
mạng, các điểm yếu, các lỗ hổng bảo mật của các thiết bị, ứng dụng và dịch
vụ trong hệ thống. Phát hiện kịp thời sự bùng nổ virus trong hệ thống mạng,
các máy tính bị nhiễm mã độc, các máy tính bị nghi ngờ là thành viên của
mạng máy tính ma (botnet).
1.3.

Các bước thực hiện của một hệ thống NSM

Thu thập dữ liệu (Collection)
Việc thu thập dữ liệu ở đây chính là việc lấy các thơng tin liên quan đến tình
trạng hoạt động của các thiết bị trong hệ thống mạng. Tuy nhiên, trong những
hệ thống mạng lớn thì các dịch vụ hay các thiết bị không đặt tại trên máy, một
địa điểm mà nằm trên các máy chủ, các hệ thống con riêng biệt nhau. Các
thành phần hệ thống cũng hoạt động trên những nền tảng hoàn toàn khác

10


nhau. Mơ hình Log tập trung được đưa ra để giải quyết vấn đề này. Cụ thể, tất
cả Log sẽ được chuyển về một trung tâm để phân tích và xử lý.
Với mỗi thiết bị có những đặc điểm riêng và các loại log cũng khác nhau.
Như log của các thiết bị mạng như: Router, Switch… Log của các thiết bị
phát hiện xâm nhập như IDS, IPS, Snort,… Log của các Web Server,
Application Server, Log Event, Log Registry của các Server Windows,
Unix/Linux.
Cách thức thu thập dữ liệu trong hệ thống NSM
The Push Method (Phương pháp đẩy): Các sự kiện từ các thiết bị, các
máy trạm, Server sẽ được tự động chuyển về các Collector theo thời gian

thực hoặc sau mỗi khoảng thời gian phụ thuộc vào việc cấu hình trên các thiết
bị tương ứng. Các Collector của Log Server sẽ thực hiện việc nghe và nhận
các sự kiện khi chúng xảy ra. Ví dụ như: NetFlow, Syslog-ng Message
(Syslog-ng gồm 2 thành phần là Syslog-Agent và Syslog-Server), Access-list
(ACL) logs,…

11


Hình 1. 1: Phương pháp đẩy
The Pull Method (Phương pháp kéo): Các Collector thu thập các sự
kiện được phát sinh và lưu trữ trên chính các thiết bị và sẽ được lấy về bởi
các bộ Collector. Hai giao thức phổ biến để thu thập được các sự kiện là
Security Device Event Exchange (SDEE – Gồm cá thiết bị nằm trong hệ
thống các thiết bị phát hiện xâm nhập được phát triển bởi ICSA) và SNMP
(Simple Network Management Protocol – Giao thức hỗ trợ việc quản lý các
thiết bị từ xa).
Phân tích dữ liệu
Khi đã thu thập được những thơng tin về hệ thống thì cơng việc tiếp theo là
phân tích thông tin, cụ thể là việc thực hiện chỉ mục hóa dữ liệu, phát hiện
những điều bất thường, những mối đe dọa cho hệ thống. Dựa trên những
thông tin về lưu lượng truy cập, trạng thái truy cập, định dạng request… Ví
dụ như lưu lượng truy cập bỗng dưng tăng vọt tại một thời điểm. Đây có lẽ là
nơi thích hợp để Big data lên tiếng.

12


Hình 1. 2: Điều gì đã xảy ra tại thời điểm đó?
Cảnh báo

Sau khi đã thực hiện việc phân tích dữ liệu từ các thông tin thu thập được,
việc tiếp theo là thực hiện việc đánh giá, đưa thông tin cảnh báo tới người
quản trị và thực hiện những công tác nhằm chống lại những mối đe dọa, khắc
phục sự cố có thể xảy ra.
Cảnh báo có thể thơng qua email, SMS, hoặc thực thi các mã script nhằm hạn
chế hậu quả của sự cố. Khi xảy ra sự cố, hệ thống sẽ tự động gửi email, SMS
cho người quản trị và cũng có thể chạy script để them một địa chỉ IP có thể
biểu hiện tấn cơng vào danh sách đen của Firewall. Việc này địi hỏi người
lập trình phải có hiểu biết sâu và kinh nghiệm về hệ thống.
1.4.

Mơ hình kiến trúc mạng OSI

Mơ hình OSI (Open Systems Interconnection Reference Model, viết ngắn
là OSI model hoặc OSI Reference Model) –Mơ hình tham chiếu kết nối các
hệ thống mở - là một thiết kế dựa vào nguyên lý tầng cấp, lý giải một cách
trừu tượng là kỹ thuật kết nối truyền thơng giữa các máy vi tính và thiết kế
giao thức mạng giữa chúng. Mơ hình này được phát triển thành một phần
trong kế hoạch “Kết nối các hệ thống mở” (Open Systems Interconnection)
do ISO và IUT-T khởi xướng. Nó cịn được gọi là Mơ hình bảy tầy của
OSI. Mơ hình này được dùng làm cơ sở để kết nối các hệ thống mở phục vụ
cho các ứng dụng phân tán → Mọi hệ thống tn theo mơ hình tham chiếu
OSI đều có thể truyền thơng tin với nhau.

13


Hình 1. 3: Mơ hình kiến trúc mạng OSI
Chức năng của các tầng trong mơ hình OSI
Tầng 1: Tầng vật lý (Physical Layer)

- Tầng vật lý liên quan đến truyền dòng các bit giữa các máy với nhau
bằng đường truyền vật lý. Tầng này liên kết các giao diện hàm cơ, quang và
điện với cáp. Ngồi ra nó cũng chuyển tải những tín hiệu truyền dữ liệu do
các tầng ở trên tạo ra.
- Việc thiết kế phải đảm bảo nếu bên phát gửi bit 1 thì bên thu cũng phải
nhận được bit 1 chứ không phải bit 0.
- Tầng này phải quy định rõ mức điện áp biểu diễn dữ liệu 1 và 0 là bao
nhiêu Vơn trong vịng bao nhiêu giây (v/s).
- Chiều truyền tin là 1 hay 2 chiều, cách thức kết nối và hủy bỏ kết nối.
- Định nghĩa cách kết nối cáp với card mạng: bộ nối có bao nhiêu chân,
chức năng của mỗi chân.
Tóm lại, thiết kế tầng vật lý phải giải quyết các vấn đề ghép nối cơ, điện,
tạo ra các hàm, thủ tục để truy nhập đường truyền, đường truyền các bit.
Tầng 2: Tầng liên kết dữ liệu (Data-link Layer)
- Cung cấp phương tiện để truyền thông tin qua liên kết vật lý đảm bảo
tin cậy: gửi các khối dữ liệu với cơ chết đồng bộ hóa, kiểm sốt lỗi và kiểm
sốt luồng dữ liệu cần thiết.
- Các bước tầng liên kết dữ liệu thực hiện:
14


+ Chia nhỏ thành các khối dữ liệu Frame (vài trăm bytes), ghi thêm
vào đầu và cuối của các Frame những nhóm bit đặc biệt để làm ranh giới giữa
các frame.
+ Trên các đường truyền vật lý ln có lỗi nên tầng này phải giải
quyết vấn đề sửa lỗi (do bản tin bị hỏng, mất và truyền lại).
+ Giữ cho sự đồng bộ tốc độ giữa bên phát và bên thu.
Tóm lại, tầng liên kết dữ liệu chịu trách nhiệm chuyển khung dữ liệu
khơng lỗi từ máy tính này sang máy tính khác thơng qua tầng vật lý. Tầng
này cho phép tầng mạng truyền dữ liệu gần như không phạm lỗi qua liên kết

mạng.
Tầng 3: Tầng mạng ( Network Layer)
- Lập địa chỉ các thông điệp, diễn dịch địa chỉ và tên logic thành địa chỉ
vật lý.
- Kiểm soát và điều khiển đường truyền: Định rõ các bó tin được truyền
đi theo con đường nào từ nguồn tới đích. Các con đường đó có thể là cố định
đối với những mạng ít thay đổi, cũng có thể là động – nghĩa là các con đường
chỉ được xác định trước khi bắt đầu cuộc nói chuyện. Các con đường đó có
thể thay đổi tùy theo trạng thái tải tức thời.
- Quản lý lưu lượng trên mạng: chuyển đổi gói, định tuyến, kiểm sốt sự
tắc nghẽn dữ liệu (nếu có nhiều gói tin cùng được gửi đi trên đường truyền thì
có thể xảy ra tắc nghẽn).
- Kiểm soát lương dữ liệu và cứt hợp dữ liệu (nếu cần).
- Chú ý: Trong mạng phân tán, nhiệm vụ của tầng này rất đơn giản,
thậm chí có thể khơng tồn tại.
Tầng 4: Tầng giao vận (Transport Layer)
- Thực hiện việc truyền dữ liệu giữa hai đầu nút (end-to-end).
- Thực hiện kiểm soát lỗi, kiểm soát luồng dữ liệu từ máy → máy. Đảm
bảo gói tin truyền khơng phạm lỗi, theo đúng trình tự, khơng bị mất mát hay
sao chép.
- Thực hiện việc ghép kênh, phân kênh cắt hợp dữ liệu (nếu cần). Đóng
gói thơng điệp, chia thơng điệp dài thành nhiều gói tin và gộp các gói tin nhỏ
thành một bộ.
- Tầng này tạo ra một kết nối cho mỗi yêu cầu của tầng trên nó. Khi có
nhiều u cầu từ tầng trên với thơng lượng cao thì nó có thể tạo ra nhiều kết
nói và cùng một lúc có thể gửi đi nhiều bó tin trên đường truyền.
Tầng 5: Tầng Phiên (Session Layer)

15



- Cung cấp phương tiện truyền thông giữa các ứng dụng: cho phép người
sử dụng trên các máy khác nhau có thể thiết lập, duy trì, hủy bỏ và đồng bộ
hóa các phiên truyền thơng giữ họ với nhau.
- Nhiệm vụ chính:
+ Quản lý thẻ bài đối với những nghi thức: hai bên kết nối đẻ truyền
thông tin không thời thực hiện một số thao tác. Để giải quyết vấn đề này tầng
phiên cung cấp 1 thẻ bài, thẻ bài có thể được trao đổi và chỉ bên nào giữ thẻ
bài mới có thể thực hiện một số thao tác quan trọng.
+ Vấn đề đồng bộ: khi cần truyền đi những tập tin dài, tầng này chèn
thêm các điểm kiểm tra (check point) vào luồng dữ liệu. Nếu phát hiện thấy
lỗi thì chỉ có dữ liệu sau điểm kiểm tra cuối cùng mới phải truyền lại.
Tầng 6: Tầng trình diễn (Presentation Player)
- Lớp trình diễn hoạt động như tầng dữ liệu trên mạng. Lớp này trên
máy tính truyền dữ liệu làm nhiệm vụ dịch dữ liệu được gửi từ tầng
Application sang dạng Fomat chung. Và tại máy tính nhận, lớp này lại
chuyển từ Fomat chung sang định dạng của tầng Application. Lớp này thực
hiện các chức năng sau:
+ Dịch các mã ký tự từ ASCII sang EBCDIC.
+ Chuyển đổi dữ liệu, ví dụ từ số integer sang số dấu phẩy động.
+ Nén dữ liệu để giảm lượng dữ liệu truyền trên mạng.
+ Mã hóa và giải mã dữ liệu để đảm bảo sự bảo mật trên mạng.
Tầng 7: Tầng ứng dụng (Application Layer)
- Tầng ứng dụng là tầng gần với người sử dụng nhất. Nó cung cấp
phương tiện cho người dùng truy nhập các thông tin và dữ liệu trên mạng
thơng qua chương trình ứng dụng. Tầng này là giao diện chính để người dùng
tương tác với chương trình ứng dụng, và qua đó với mạng. Một số ví dụ về
các ứng dụng trong tầng này bao gồm Telnet, giao thức truyền tập tin FTP và
giao thức truyền thư điện tử SMTP, HTTP, X.400 Mail remote.
1.5.


Các giải pháp quản lý và phân tích sự kiện an ninh trong hệ thống
giám sát mạng

Giải pháp Quản lý và phân tích sự kiện an tồn thơng tin (Security
Infomation and Event Management – SIEM) là giải pháp toàn diện và hoàn
chỉnh, cho phép các cơ quan, tổ chức thực hiện việc giám sát các sự kiện an
tồn thơng tin cho một hệ thống. Các thành phần chính của SIEM bao gồm:
thu thập nhật ký, phân tích và lưu trữ, quản trị tập trung.

16


1.5.1. Sự cần thiết của Hệ thống Giám sát an ninh mạng
Để có thể đánh giá khái quát về bức tranh an tồn, an ninh thơng tin
của một cơ quan, tổ chức, thì việc thu thập, phân tích và lưu trữ các sự kiện
an tồn thơng tin (ATTT) từ các thiết bị, dịch vụ và ứng dụng như: Router,
Switch, Firewall, IDS/IPS, Mail Security, Web Security, Anti-Virus, ứng
dụng Mail, Web, cơ sở dữ liệu, hệ điều hành… là hết sức cần thiết. Tuy
nhiên, số lượng sự kiện ATTT được tạo ra bởi các thiết bị an ninh và toàn
bộ hệ thống là rất lớn, với các kiểu định dạng khác nhau và giá trị thông tin
mang lại cũng khác nhau. Các thiết bị khác nhau có thể tạo ra báo cáo ở
các góc độ khác nhau về cùng một biến cố ATTT.
Bên cạnh đó, yếu tố con người và mơi trường làm việc có thể dẫn
đến việc một số thơng tin cảnh báo quan trọng bị bỏ qua, các sự cố ATTT
mạng không được xử lý kịp thời… gây ra thiệt hại lớn cho cơ quan, tổ
chức. Bởi vậy, cần có một hệ thống cho phép cơ quan, tổ chức theo dõi và
giám sát được các mối đe dọa mà họ đang đối mặt, từ đó đưa ra các
phương án để đối phó, ngăn chặn các mối đe dọa này, đó chính là hệ thống
Giám sát an ninh mạng (GSANM). Hệ thống GSANM quản lý và phân tích

các sự kiện ATTT, thực hiện thu thập, chuẩn hóa, lưu trữ và phân tích
tương quan tồn bộ các sự kiện ATTT được sinh ra từ các thành phần trong
hạ tầng công nghệ thông tin của cơ quan, tổ chức. Hệ thống GSANM có
thể thực hiện được các nhiệm vụ sau:
– Phát hiện kịp thời các tấn công mạng xuất phát từ Internet cũng như các
tấn công xuất phát trong nội bộ.
– Phát hiện kịp thời các điểm yếu, lỗ hổng bảo mật của các thiết bị, ứng
dụng và dịch vụ trong hệ thống.
– Phát hiện kịp thời sự lây nhiễm mã độc trong hệ thống mạng, các máy
tính bị nhiễm mã độc, các máy tính bị tình nghi là thành viên của mạng
máy tính ma (botnet).
– Giám sát việc tuân thủ chính sách an ninh trong hệ thống.
– Cung cấp bằng chứng số phục vụ công tác điều tra sau sự cố.
1.5.2. Xây dựng Hệ thống giám sát an ninh mạng
Hệ thống GSANM có thể được xây dựng theo một trong ba giải
pháp sau: Giải pháp quản lý thông tin an ninh (SIM); Giải pháp quản lý sự
kiện an ninh (SEM) và Giải pháp quản lý và phân tích sự kiện an ninh
(SIEM).
Giải pháp SIM tập trung vào việc thu thập, lưu trữ và biểu diễn nhật
ký (log các dữ liệu về sự kiện); Nhật ký được thu thập từ rất nhiều nguồn
khác nhau như: thiết bị mạng, hệ điều hành, các ứng dụng và các thiết bị an
ninh. Do chưa có thành phần phân tích và xử lý sự kiện an ninh nên SIM
17


chỉ có thể phát hiện và xử lý được các biến cố đơn giản.
Giải pháp SEM lại tập trung vào việc phân tích và xử lý các nhật ký
đã được thu thập để đưa ra các cảnh báo cho người dùng. Hạn chế của
SEM là khơng có khả năng lưu trữ nhật ký trong thời gian dài.
Để khắc phục những hạn chế của hai giải pháp trên, giải pháp SIEM ra đời,

là sự kết hợp của cả hai giải pháp SIM và SEM. SIEM là một giải pháp
toàn diện và hoàn chỉnh cho phép các cơ quan, tổ chức thực hiện việc giám
sát các sự kiện ATTT cho một hệ thống.
Mơ hình giải pháp của SIEM gồm 03 thành phần chính: thu thập
nhật ký ATTT; phân tích và lưu trữ; quản trị tập trung. Ngồi ra, nó cịn có
các thành phần khác như: thành phần cảnh báo, hệ thống DashBoard theo
dõi thông tin, các báo cáo phong phú đáp ứng các tiêu chuẩn quản lý, thành
phần lưu trữ có khả năng lưu trữ dữ liệu lâu dài.
Thành phần thu thập nhật ký ATTT: Bao gồm các giao diện thu thập
nhật ký ATTT trực tiếp từ các thiết bị, dịch vụ, ứng dụng. Thành phần này
có các tính năng:
– Thu thập toàn bộ dữ liệu nhật ký từ các nguồn thiết bị, ứng dụng…
gồm cả các thiết bị vật lý và thiết bị ảo.
– Kiểm sốt băng thơng và khơng gian lưu trữ thông qua khả năng
chọn lọc dữ liệu nhật ký.
– Phân tách từng sự kiện và chuẩn hóa các sự kiện vào một lược đồ
chung.
– Tích hợp các sự kiện để giảm thiểu số lượng các sự kiện gửi về
thành phần phân tích và lưu trữ.
– Chuyển tồn bộ các sự kiện đã thu thập về thành phần phân tích và
lưu trữ.
Tính năng của thành phần phân tích và lưu trữ:
– Kết nối với các thành phần thu thập nhật ký để tập hợp nhật ký tập
trung và tiến hành phân tích, so sánh tương quan.
– Mơđun phân tích sẽ được hỗ trợ bởi các luật (được định nghĩa
trước) cũng như khả năng tuỳ biến, nhằm đưa ra kết quả phân tích chính
xác nhất.
– Các nhật ký ATTT được tiến hành phân tích, so sánh tương quan
theo thời gian thực nhằm đưa ra cảnh báo tức thời cho người quản trị. Bên
cạnh khả năng so sánh theo thời gian thực, thành phần này cịn cho phép

phân tích các dữ liệu trong quá khứ, nhằm cung cấp cho người quản trị một
bức tranh toàn cảnh về ATTT theo thời gian.
– Hỗ trợ kết nối đến các hệ thống lưu trữ dữ liệu (như SAN, NAS)
giúp nâng cao khả năng lưu trữ và xây dựng kế hoạch dự phòng, chống
18


mất dữ liệu.
Thành phần quản trị tập trung:
– Cung cấp giao diện quản trị tập trung cho toàn bộ Hệ thống
GSANM. Các giao diện được phân quyền theo vai trò của người quản trị.
– Hỗ trợ sẵn hàng nghìn mẫu báo cáo, các giao diện theo dõi, điều
kiện lọc,… để người quản trị có thể sử dụng. Ngồi ra, các cơng cụ này
cịn cho phép tùy biến, thay đổi hay tạo mới các báo cáo một cách dễ dàng,
cho phép người quản trị tạo lập các công cụ mới phù hợp với Hệ thống của
mình.
– Hỗ trợ các cơng cụ cho việc xử lý các sự kiện ATTT xảy ra trong
hệ thống.

Hình 1. 4: Thành phần và chức năng của Hệ thống GSANM
1.6.

Kết luận

Việc xây dựng và triển khai Hệ thống GSANM là cần thiết đối với các
cơ quan, tổ chức. Hệ thống này sẽ góp phần giảm thiểu lộ lọt, mất mát dữ liệu
nhạy cảm, nâng cao hiệu suất, độ an toàn và thúc đẩy ứng dụng CNTT tại các
quan, tổ chức. Tuy nhiên, tùy vào quy mô, nguồn lực tài chính và con người
mà cơ quan, tổ chức lựa chọn các giải pháp, sản phẩm GSANM phù hợp.
Do tính vượt trội của giải pháp SIEM, nên hiện nay trên thị trường các

sản phẩm về GSANM hầu hết phát triển theo mơ hình SIEM. Các sản phẩm
cũng rất đa dạng, có thể dưới dạng phần mềm hoặc thiết bị chuyên dụng, với
một số sản phẩm tiêu biểu như IBM Qradar, HP ArcSight, Splunk, McAfee,
Symantec SSIM, RSA enVision.…
19


CHƯƠNG 2: HỆ THỐNG GIÁM SÁT MẠNG CACTI
2.1.

Hai phương thức giám sát Poll và Alert

Trước khi tìm hiểu SNMP, em muốn trình bày hai phương thức giám sát
Poll và Alert. Đây là 2 phương thức cơ bản của các kỹ thuật giám sát hệ
thống, nhiều phần mềm và giao thức được xây dựng dựa trên 2 phương thức
này, trong đó có SNMP. Việc hiểu rõ hoạt động của Poll & Alert và ưu nhược
điểm của chúng sẽ giúp bạn dễ dàng tìm hiểu nguyên tắc hoạt động của các
giao thức hay phần mềm giám sát khác.
2.1.1. Phương thức Poll
Nguyên tắc hoạt động : Trung tâm giám sát (manager) sẽ thường xuyên
hỏi thông tin của thiết bị cần giám sát (device). Nếu Manager khơng hỏi thì
Device khơng trả lời, nếu Manager hỏi thì Device phải trả lời. Bằng cách hỏi
thường xuyên, Manager sẽ luôn cập nhật được thông tin mới nhất từ Device.
Ví dụ: Người quản lý cần theo dõi khi nào thợ làm xong việc. Anh ta cứ
thường xuyên hỏi người thợ “Anh đã làm xong chưa ?”, và người thợ sẽ trả
lời “Xong” hoặc “Chưa”.

Hình 2. 1: Minh họa cơ chế Poll
2.1.2. Phương thức Alert
Nguyên tắc hoạt động: Mỗi khi trong Device xảy ra một sự kiện (event)

nào đó thì Device sẽ tự động gửi thơng báo cho Manager, gọi là Alert.
Manager không hỏi thông tin định kỳ từ Device.
Ví dụ: Người quản lý cần theo dõi tình hình làm việc của thợ, anh ta yêu
cầu người thợ thông báo cho mình khi có vấn đề gì đó xảy ra. Người thợ sẽ

20


thông báo các sự kiện đại loại như “Tiến độ đã hồn thành 50%”, “Mất điện
lúc 10h”, “Có điện lại lúc 11h”, “Mới có tai nạn xảy ra”.
Device chỉ gửi những thơng báo mang tính sự kiện chứ khơng gửi những
thơng tin thường xun thay đổi, nó cũng sẽ khơng gửi Alert nếu chẳng có sự
kiện gì xảy ra. Chẳng hạn khi một port down/up thì Device sẽ gửi cảnh báo,
cịn tổng số byte truyền qua port đó sẽ khơng đƣợc Device gửi đi vì đó là
thơng tin thường xun thay đổi. Muốn lấy những thông tin thường xuyên
thay đổi thì Manager phải chủ động đi hỏi Device, tức là phải thực hiện
phương thức Poll.
2.1.3. So sánh 2 phương thức Poll và Alert
Hai phương thức Poll và Alert là hoàn toàn khác nhau về cơ chế. Một
ứng dụng giám sát có thể sử dụng Poll hoặc Alert, hoặc cả hai, tùy vào yêu
cầu cụ thể trong thực tế.
Bảng sau so sánh những điểm khác biệt của 2 phương thức :
Poll

Alert

Có thể chủ động lấy những thông
tin cần thiết từ các đối tượng mình
quan tâm, khơng cần lấy những
thơng tin khơng cần thiết từ những

nguồn không quan tâm.

Tất cả những event xảy ra đều được
gửi về Manager. Manager phải có
cơ chế lọc những event cần thiết,
hoặc Device phải thiết lập được cơ chế
chỉ gửi những event cần thiết.

Có thể lập bảng trạng thái tất cả các
thông tin của Device sau khi poll
qua một lượt các thơng tin đó.Ví dụ
Device có một port down và
Manager được khởi động sau đó,
thì Manager sẽ biết đƣợc port đang
down sau khi poll qua một lượt tất
cả các port.

Nếu khơng có event gì xảy ra thì
Manager khơng biết được trạng thái
của Device.Ví dụ Device có một port
down và Manager được khởi động sau
đó,thì Manager sẽ khơng thể biết được
port đang down.

Trong trƣờng hợp đường truyền
giữa Manager và Device xảy ra
gián đoạn và Device có sự thay
đổi, thì Manager sẽ khơng thể cập
nhật. Tuy nhiên khi đường truyền
thơng suốt trởlại thì Manager sẽ

cập nhật được thơng tin mới nhất
do nó ln ln poll định kỳ.

Khi đường truyền gián đoạn và Device
có sự thay đổi thì nó vẫn gửi Alert cho
Manager, nhưng Alert này sẽ không
thể đến được Manager. Sau đó mặc dù
đường truyền có thơngsuốt trở lại thì
Manager vẫn khơng thể biết được
những gì đã xảy ra.

Chỉ cần cài đặt tại Manager để trỏ Phải cài đặt tại từng Device để trỏ
21


đến tất cả các Device. Có thể dễ đến Manager. Khi thay đổi Manager
dàng thay đổi một Manager khác.
thì phải cài đặt lại trên tất cả Device để
trỏ về Manager mới.
Nếu tần suất poll thấp, thời gian
chờ giữa 2 chu kỳ poll (polling
interval) dài sẽ làm Manager chậm
cập nhật các thay đổi của Device.
Nghĩa là nếu thông tin Device đã
thay đổi nhưng vẫn chưa đến lượt
poll kế tiếp thì Manager vẫn giữ
những thơng tin cũ.

Ngay khi có sự kiện xảy ra thì Device
sẽ gửi Alert đến Manager, do đó

Manager ln ln có thơng tin mới
nhất tức thời.

Có thể bỏ sót các sự kiện : khi
Device có thay đổi, sau đó thay đổi
trở lại nhƣ ban đầu trước khi đến
lượt poll kế tiếp thì Manager sẽ
khơng phát hiện được.

Manager sẽ được thơng báo mỗi khi
có sự kiện xảy ra ở Device, do đó
Manager khơng bỏ sót bất kỳ sự kiện
nào.

Poll hay Alert ?
Hai phương thức Poll và Alert có điểm thuận lợi và bất lợi ngược nhau,
do đó nhiều trường hợp ta nên sử dụng kết hợp cả Poll lẫn Alert để đạt được
hiệu quả kết hợp của cả hai. Các ví dụ ứng dụng cơ chế Poll & Alert :
+ Giao thức Syslog : mỗi khi có sự kiện xảy ra thì thiết bị sẽ gửi bản tin
syslog đến Syslog Server.
+ Phần mềm NetworkView, giám sát tình trạng các server bằng cách
ping liên tục.
+ Giao thức STP, phát hiện loop trong mạng bằng cách gửi nhận các gói
BPDU và gửi bản tin Topology change mỗi khi phát hiện thay đổi.
+ Trong quản lý ngƣời ta luôn thực hiện song song chế độ kiểm tra và
báo cáo, thường xuyên kiểm tra để phát hiện vấn đề và báo cáo ngay khi xảy
ra vấn đề.
2.2.

Giới thiệu giao thức SNMP


SNMP (Simple Network Management Protocol) là một tập hợp các giao
thức không chỉ cho phép kiểm tra nhằm đảm bảo các thiết bị mạng như
router, switch hay server đang vận hành mà còn vận hành một cách tối ưu,
ngồi ra SNMP cịn cho phép quản lý các thiết bị mạng từ xa. Ví dụ chúng ta
có thể dùng SNMP để tắt một interface nào đó trên router của mình, theo dõi
22


hoạt động của card Ethernet, hoặc kiểm soát nhiệt độ trên switch và cảnh báo
khi nhiệt độ quá cao.
SNMP thường tích hợp vào trong router, nhưng khác với SGMP( Simple
Gateway Management Protocol) được dùng chủ yếu cho các router Internet,
SNMP có thể dùng để quản lý các hệ thống Unix, Window, máy in, nguồn
điện… Nói chung, tất cả các thiết bị có thể chạy các phần mềm cho phép lấy
được thơng tin SNMP đều có thể quản lý được. Khơng chỉ các thiết bị vật lý
mới quản lý được mà cả những phần mềm như web server, database.
2.2.1. Các phiên bản của SNMP
+ SNMP version 1: chuẩn của giao thức SNMP được định nghĩa trong
RFC 1157 và là một chuẩn đầy đủ của IETF. Vấn đề bảo mật của SNMP v1
dựa trên ngun tắc cộng đồng, khơng có nhiều password, chuỗi văn bản
thuần và cho phép bất kỳ một ứng dụng nào đó dựa trên SNMP có thể hiểu
các hiểu các chuỗi này để có thể truy cập vào các thiết bị quản lý. Có 3 tiêu
chuẩn trong: read-only, read-write và trap.
+ SNMP version 2: phiên bản này dựa trên các chuỗi “community”. Do
đó phiên bản này được gọi là SNMPv2c, được định nghĩa trong RFC 1905,
1906, 1907, và đây chỉ là bản thử nghiệm của IETF. Mặc dù chỉ là thử
nghiệm nhưng nhiều nhà sản xuất đã đưa nó vào thực nghiệm.
+ SNMP version 3: là phiên bản tiếp theo được IETF đưa ra bản đầy đủ.
Nó được khuyến nghị làm bản chuẩn, được định nghĩa trong RFC 1905, RFC

1906, RFC 1907, RFC 2571, RFC 2572, RFC 2573, RFC 2574 và RFC 2575.
Nó hỗ trợ các loại truyền thơng riêng tư và có xác nhận giữa các thực thể.
Hiện tại SNMPv1 là phổ biến nhất do có nhiều thiết bị tương thích nhất
và có nhiều phần mềm hỗ trợ nhất. Trong khi đó chỉ có một số thiết bị và
phần mềm hỗ trợ SNMPv3.
2.2.2. Thành phần của hệ thống sử dụng SNMP
Theo RFC1157, kiến trúc của SNMP bao gồm 2 thành phần : các trạm
quản lý mạng (network management station) và các thành tố mạng (network
element)
Network management station: thường là một máy tính chạy phần mềm
quản lý SNMP (SNMP Manag ement application), dùng để giám sát và điều
khiển tập trung các network element.

23


Hình 2. 2: Hệ thớng sử dụng SNMP
Network element: là các thiết bị, máy tính, hoặc phần mềm tương thích
SNMP và được quản lý bởi network management station. Như vậy element
bao gồm device, host và application.
Một management station có thể quản lý nhiều element, một element
cũng có thể đƣợc quản lý bởi nhiều management station. Vậy nếu một
element được quản lý bởi 2 station thì điều gì sẽ xảy ra ? Nếu station lấy
thơng tin từ element thì cả 2 station sẽ có thơng tin giống nhau. Nếu 2
station tác động đến cùng một element thì element sẽ đáp ứng cả 2 tác động
theo thứ tự cái nào đến trước.
Ngoài ra cịn có khái niệm SNMP agent. SNMP agent là một tiến trình
(process) chạy trên network element, có nhiệm vụ cung cấp thơng tin của
element cho station, nhờ đó station có thể quản lý được element. Chính xác
hơn là application chạy trên station và agent chạy trên element mới là 2 tiến

trình SNMP trực tiếp liên hệ với nhau. Các ví dụ minh họa sau đây sẽ làm rõ
hơn các khái niệm này :
+ Để dùng một máy chủ (= station) quản lý các máy con (= element)
chạy HĐH Windows thơng qua SNMP thì bạn phải: cài đặt một phần mềm
quản lý SNMP (= application) trên máy chủ, bật SNMP service (= agent) trên
máy con.
+ Để dùng một máy chủ (= station) giám sát lưu lượng của một router
(= element) thì bạn phải: cài phần mềm quản lý SNMP (= application) trên
máy chủ, bật tính năng SNMP (= agent) trên router.

24


a. Object ID
Một thiết bị hỗ trợ SNMP có thể cung cấp nhiều thơng tin khác nhau,
mỗi thơng tin đó gọi là một object.Ví dụ :
+ Máy tính có thể cung cấp các thông tin: tổng số ổ cứng, tổng số port
nối mạng, tổng số byte đã truyền/nhận, tên máy tính, tên các process đang
chạy, ….
+ Router có thể cung cấp các thông tin: tổng số card, tổng số port, tổng
số byte đã truyền/nhận, tên router, tình trạng các port của router, ….
Mỗi object có một tên gọi và một mã số để nhận dạng object đó, mã số
gọi là Object ID (OID). VD :
+ Tên thiết bị được gọi là sysName, OID là 1.3.6.1.2.1.1.5
+ Tổng số port giao tiếp (interface) được gọi là ifNumber, OID là
1.3.6.1.2.1.2.1.
+ Địa chỉ Mac Address của một port được gọi là ifPhysAddress, OID là
1.3.6.1.2.1.2.2.1.6.
+ Số byte đã nhận trên một port được gọi là ifInOctets, OID là
1.3.6.1.2.1.2.2.1.10.

Một object chỉ có một OID, chẳng hạn tên của thiết bị là một object. Tuy
nhiên nếu một thiết bị lại có nhiều tên thì làm thế nào để phân biệt ? Lúc này
người ta dùng thêm 1 chỉ số gọi là “scalar instance index” (cũng có thể gọi là
“sub-id”) đặt ngay sau OID. Ví dụ :
+ Tên thiết bị được gọi là sysName, OID là 1.3.6.1.2.1.1.5; nếu thiết bị
có 2 tên thì chúng sẽ được gọi là sysName.0 & sysName.1 và có OID lần
lượt là 1.3.6.1.2.1.1.5.0 & 1.3.6.1.2.1.1.5.1.
+ Địa chỉ Mac address được gọi là ifPhysAddress, OID là
1.3.6.1.2.1.2.2.1.6 nếu thiết bị có 2 MAC Address thì chúng sẽ được gọi là
ifPhysAddress.0 & ifPhysAddress.1 và có OID lần lượt là
1.3.6.1.2.1.2.2.1.6.0 & 1.3.6.1.2.1.2.2.1.6.1.
+ Tổng số port được gọi là ifNumber, giá trị này chỉ có 1 (duy nhất) nên
OID của nó khơng có phân cấp con và vẫn là 1.3.6.1.2.1.2.1.
Sub-id không nhất thiết phải liên tục hay bắt đầu từ 0. Ví dụ một thiết bị
có 2 MAC address thì có thể chúng được gọi là ifPhysAddress.23 và
ifPhysAddress.125645. OID của các object phổ biến có thể được chuẩn hóa,
OID của các object do bạn tạo ra thì bạn phải tự mơ tả chúng. Để lấy một
thơng tin có OID đã chuẩn hóa thì SNMP application phải gửi một bản tin
SNMP có chứa OID của object đó cho SNMP agent, SNMP agent khi nhận
được thì nó phải trả lời bằng thơng tin ứng với OID đó.
25


Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×