Está en la página 1de 15

Câu1: Phân tích nhiệm vụ của hệ thống quản lý mạng (NMS)

-Mục đích: Giám sát, điều khiển.

-Đối tượng của NMS thực hiện:

+ Hệ thống mạng viễn thông.

+ Tài nguyên: dung lượng bộ nhớ băng thông, số lượng thuê bao, lưu lượng.

+ Mạng máy tính.

-Phạm vi : tài chính ngân hàng, giáo dục, nghiên cứu phát triển, sản xuất kinh doanh,
truyền thông.

Vd: Kho hàng một công ty A

-Mục đích :

+ Giám sát: giám sát xuất nhập kho và 1 số thứ khác…

+ Điều khiển: vận chuyển, lượng hàng xuất và nhập kho.

-Đối tượng: hàng hóa xuất nhập kho.

-Phạm vi: sản xuất kinh doanh.

Câu 2: Nhiệm vụ của mỗi phân vùng quản lý lỗi, bảo an, hiệu năng

-Quản lý cấu hình: lên kế hoạch và thiết kế, lắp đặt mạng đã thiết kế , cung cấp dịch vụ
cho khách hàng và tạo ra lợi nhuận.

-Quản lý lỗi: dò tìm lỗi, định vị và xác định nguyên nhân, khôi phục và sửa chữa hệ
thống.

-Quản lý kế toán: thu thập dữ liệu, xác lập biểu giá, tạo phiếu cước.

-Quản lý hiệu năng: giám sát khả năng thực thi của hệ thống, phân tích dữ liệu thực thi,
điều khiển để duy trì hiệu năng.

-Quản lý bảo an: ngăn ngừa gian lận, khôi phục hệ thống.
Câu 3: Các thành phần của NMS

Management Station

Management Manager MIB


Protocol

Agent MIB Agent MIB

Network Element Network Element

-Management stastion: Một trạm quản lý cung cấp nền tảng nơi mà một hệ quản lý lưu
trú, và nó cung cấp một quản lý với:

+ Một nền tảng phần cứng và một hệ thống điều hành nơi mà chạy các ứng dụng
quản lý.

+ Thông qua một giao diện người dùng mà người sử dụng có thể truy cập đến ứng
dụng quản lý.

-Manager: Một manager trong cấu trúc hệ thống quản lý mạng như một trung tâm điều
khiển chịu trách nhiệm đưa ra những quyết đinh quản lý chính. Manager gửi các lệnh
đến các trạm quản lý để xử lý những quyết định quản lý.

-Management Agent: Một trạm quản lý thường được đặt gần thành phần mạng được
quản lý và chịu trách nhiệm cho :

+ Thực hiện các lệnh gửi từ Manager, bao gồm thiết lập và kiểm tra giá trị thuộc tính
của phần tử mạng.

+ Thu thập dữ liệu trên phần tử mạng và gửi dữ liệu đến manager khi được yêu cầu.

+ Báo cáo những sự kiện quan trọng không mong muốn xảy ra tại phần tử mạng đến
Manager.
-Management Information Base(MIB): Một MIB như 1 cơ sở dữ liệu, chứa tất cả các
thông tin mà Manager quan tâm về phần tử mạng được quản lý. Một phần tử mạng,
như một switch được một tả là một tập các thuộc tính như card, đường trunk, lines và
dịch vụ nó cung cấp. Và tất cả các thuộc tính này tập hợp thành một MIB. Một MIB có
thể được xem như là ngôn ngữ chung để 2 bên giao tiếp đều hiểu.

-Management protocol: Một phần tử mạng quan trọng cảu hệ thống quản lý mạng là
một giao thức quản lý, cái định nghĩa thủ tục và cấu trúc sử dụng bởi Manager và Agent
để trao đổi thông tin quản lý.

Câu 4: Các hoạt động của quản lý NMS


Hoạt động quản lý mạng có thể được thực thi bởi manager hoặc agent và chỉ có thể
được hoàn thành với sự tham gia của cả manage và agent .Tất cả hoạt động quản lý
theo giao thức SNMP có thể được chia ra thành các kiểu chung như mô tả trong hình
sau:

-Query operation (hoạt động truy vấn) : Truy xuất dữ liệu trên các phần tử mạng như là
trạng thái, tình trạng và số liệu kiểu thống kê. Ex: Manager lấy các thông tin từ agent
như thông tin về trạng thái, tình trạng…
-Set operation (thiết lập các thông số hệ thống) : Người quản lí yêu cầu agent thay đổi
thông tin trong agent MIB, để làm thay đổi thuộc tính của phần tử mạng.
-Reporting event (hoạt động báo cáo) : Báo cáo những sự kiện bất thường đến người
quản lí, thông báo sự kiện mong muốn cho người quản lí. Ví dụ: các agent gửi các báo
cáo về các hoạt động bất thường của hệ thống cho manager.

Câu 5: Kịch bản quản lí mạng (A network management scenario)


Mô tả kịch bản:

Như một mạng điện thoại PSTN truyền thống, có manager nằm trong server phía
tổng đài, các thuê bao là các client có chức năng của một agent. Khi một thuê bao
muốn thực hiện một cuộc gọi tới thuê bao khác trong mạng, nó sẽ gửi yêu cầu thực
hiện cuộc gọi tới tổng đài. Manager tại tổng đài sẽ tạo ra một truy vấn để tìm thuê bao
bị gọi, và xem trạng thái hiện tại của nó. Nếu thuê bao bị gọi rỗi, nó sẽ thực hiện chuyển
mạch và thiết lập kết nối giữa hai thuê bao.

3 bước hoạt động của quản lí mạng:

 Bước 1: Thuê bao A gửi bản tin yêu cầu thực hiện cuộc gọi tới một thuê bao B
lên manager ở tổng đài: Reporting event.

 Bước 2: Manager thực hiện truy vấn tới thuê bao B và kiểm tra tình trạng của
thuê bao này (bận, rỗi,…): Query operation.

 Bước 3: Tùy vào thông tin nhận được khi thực hiện truy vấn và có những thiết
lập thích hợp. Giả sử thuê bao rỗi, manager ở tổng đài sẽ thực hiện chuyển
mạch và thiết lập kênh thoại cho hai thuê bao đàm thoại: Set operation.

Câu 6: Ba nguyên tắc xây dựng TMN:

Trong số nhiều yêu cầu của việc quản lí dịch vụ và mạng thì có 3 nguyên tắc chính để
xây dựng TMN là: hỗ trợ tự động hóa, khả năng tương tác và sự phát triển của công
nghệ.

 Hỗ trợ tự động hóa: Sự phát triển ngày càng phức tạp của hệ thống quản lí cũng
như sự mở rộng thị trường viễn thông toàn cầu đã khiến cho việc tiếp tục vận
hành hệ thống bằng nhân công trở nên quá tốn kém. Do đó, để giảm chi phí thì
các công ty độc quyền đã tiến hành tự động hóa hệ thống dựa trên hệ thống tiêu
chuẩn.

 Hỗ trợ khả năng tương tác: Khả năng tương tác giữa các phần tử mạng của các
nhà cung cấp khác nhau là rất quan trọng trên thị trường công nghệ phát triển
như hiện nay. Các nhà cung cấp dịch vụ ngày càng có xu hướng tạo một môi
trường thiết bị liên kết thay vì sản xuất các thiết bị không có tính tương tác cao.
Ngành công nghiệp viễn thông đang ngày càng mở rộng, vì thế khả năng tương
tác giữa các nhà cung cấp dịch vụ khác nhau không chỉ còn là thỏa thuận chung
giữa hai nhà cung cấp mà nó còn được ủy nhiệm bởi những tổ chức pháp luật.
Hội tụ nhiều công nghệ (thoại, dữ liệu, SONET…), cũng như sự kết hợp các môi
trường truyền dẫn khác nhau đã làm cho khả năng hỗ trợ tương tác trở nên hết
sức quan trọng
 Hỗ trợ sự phát triển nhanh chóng của công nghệ: Do sự tiến bộ ngoạn mục của
công nghệ, và phát triển nhanh chóng của thị trường toàn cầu, nên hệ thống
quản lí dịch vụ và mạng bắt buộc phải được hỗ trợ tính năng này để có khả năng
đáp ứng kịp thời yêu cầu sử dụng.

Câu 7: Sử dụng QADAPTER để làm giải pháp hình thành telecommunication


mangerment network:

QAF (Q Adapter Function) cung cấp sự chuyển đổi để kết nối NEF hoặc
OSF tới TMN, hoặc những phần tử mạng không thuộc TMN với TMN một
cách độc lập.
Sử dụng Q-adapters để sắp xếp các thành phần thiết bị một cách thông minh,
cho phép các công ty triển khai tất cả các mạng, thiết bị bằng giải pháp có tính phân bố,
phát triển theo bậc thang, và quản lý hoạt động tương tác.
- Q-adapter có thể là một máy đọc, cấu trúc theo hướng đối tượng trên mô hình thông
tin kế thừa.
- Q-adapter biên dịch giữa thông tin nhận từ các message và một dạng máy đọc theo
hướng đối tượng.
- Q-adapter tích hợp mạng kinh doanh kế thừa vào trong cơ sở hạ tầng TMN.

Chức năng thích ứng Q được sử dụng để liên kết tới các phần tử TMN mà chúng
không hỗ trợ các điểm tham chiếu TMN chuẩn. Ví dụ: để một thực thể chức năng điều
hành phi TMN (non-TMN OSF) và một thực thể phần tử mạng phi TMN (non-TMN NEF)
được kết nối tới TMN thì cần sử dụng hai QAF để: biên dịch giữa điểm tham chiếu
TMN:q và điểm tham chiếu phi TMN:m.

Câu 8: Ánh xạ các phần tử mạng vào kiến trúc chức năng TMN:

Kiến trúc chức năng của TMN bao gồm các thành phần như hình:
1. Chức năng phần tử mạng NEF

NEF (Network Element Function) là một khối chức năng thông tin của TMN để giám
sát hoặc điều khiển. NEF cung cấp các chức năng viễn thông và hỗ trợ trong mạng viễn
thông cần được quản lý. NEF bao gồm các chức năng viễn thông – chủ điểm của việc
quản lý. Các chức năng này không phải là thành phần của TMN nhưng được thể hiện
đối với TMN thông qua NEF.

2. Chức năng hệ điều hành OSF.

OSF (Operation System Function) cung cấp các chức năng quản lý. OSF xử lý các
thông tin quản lý để giám sát phối hợp và điều khiển mạng viễn thông.

Chức năng này bao gồm:

− Hỗ trợ ứng dụng về cấu hình, lỗi, hoạt động, tính toán, và quản lý bảo mật.

− Tạo cơ sở dữ liệu để hỗ trợ: cấu hình, topology, trạng thái và tài nguyên mạng.

− Hỗ trợ cho khả năng giao tiếp giữa người và máy thông qua thiết bị đầu cuối của
người sử dụng.

− Phân tích lỗi và phân tích hoạt động

− Khuôn dạng dữ liệu và bản tin hỗ trợ thông tin giữa hai thực thể chức năng TMN
hoặc giữa hai khối chức năng TMN của các thực thể bên ngoài (người sử
dụng hoặc một TMN khác).

− Phân tích và quyết định, tạo khả năng cho đáp ứng quản lý.

3. Chức năng trạm làm việc WSF.

WSF ( Work Station Function ) được xem như chức năng trung gian giữa người sử
dụng và OSF, phục vụ liên kết giữa người sử dụng với OSF. Chuyển đổi thông tin ra
khỏi OSF thành khuôn dạng để người sử dụng hiểu được. Vị trí của WSF như một
cổng giao tiếp nằm trên ranh giới của TMN.

4. Chức năng thích ứng Q

QAF (Q Adapter Function) cung cấp sự chuyển đổi để kết nối NEF hoặc
OSF tới TMN, hoặc những phần tử mạng không thuộc TMN với TMN một
cách độc lập.
Chức năng thích ứng Q được sử dụng để liên kết tới các phần tử TMN mà chúng
không hỗ trợ các điểm tham chiếu TMN chuẩn. Ví dụ: để một thực thể chức năng điều
hành phi TMN (non-TMN OSF) và một thực thể phần tử mạng phi TMN (non-TMN NEF)
được kết nối tới TMN thì cần sử dụng hai QAF để: biên dịch giữa điểm tham chiếu
TMN:q và điểm tham chiếu phi TMN:m.

5. Chức năng trung gian MF

MF (Mediation Function): truyền thông tin giữa OSF và NEF, cung cấp chức năng lưu
trữ, lọc, biến đổi... trên các dữ liệu nhận được từ NEF. MF hoạt động trên thông tin
truyền qua giữa các chức năng quản lý và các đối tượng quản lý., cung cấp một tập các
chức năng cổng nối (Gateway) hay chuyển tiếp (Relay), nó làm nhiệm vụ cất giữ (lưu),
biến đổi phù hợp, lọc phân định và tập trung thông tin. Vì MF cũng bao gồm các chức
năng xử lý và truyền tải thông tin, do đó không có sự phân biệt lớn giữa MF và OSF.

Các chức năng của MF:

- Các chức năng truyền tải thông tin ITF (Information Tranfer Funtion) để biến đổi: giao
thức, bản tin, tín hiệu, định tuyến, ánh xạ địa chỉ, tập trung,…

- Các chức năng xử lý thông tin: Thực hiện, hiển thị, lưu giữ, lọc.

Câu 9: Các giao tiếp và các điểm tham chiếu trong kiến trúc vật lý và chức năng
TMN.

1, Các điểm tham chiếu:

Các điểm tham chiếu xác định ranh giới dịch vụ giữa hai khối chức năng quản lý. Điểm
tham chiếu có khả năng trở thành giao diện khi có một kết nối vật lý giữa hai thiết bị
riêng rẽ. Các điểm tham chiếu bao gồm:

Trong TMN: q-Giữa OSF, QAF, MF và NEF; f- Giữa OSF hoặc MF với WSF; x - Giữa
OSF của hai TMN

Tham chiếu phi TMN (non-TMN) ): g- Giữa WSF và người sử dụng (users) ; m-
Giữa QAF và thực thể non-TMN bị quản lý
Điểm tham chiếu q kết nối các chức năng TMN như: OSF; MF; NEF; QAF trực tiếp
với nhau hoặc qua DCF; trong nhóm q thì q3 kết nối: NEF - OSF; MF - OSF; QAF -
OSF; OSF - OSF; qx kết nối MF - MF; MF - NEF; MF – QAF.

Điểm tham chiếu f kết nối OSF và MF với WSF;

Điểm tham chiếu x kết nối các chức năng OSF thuộc các TMN khác nhau, hoặc kết nối
giữa một OSF trong môi trường TMN với một chức năng trong môi trường không phải
TMN.

Điểm tham chiếu g không được coi như một phần TMN kể cả khi nó mang thông tin về
TMN; điểm tham chiếu g không phải TMN đặt bên ngoài TMN (giữa người dùng và
WSF).

Điểm tham chiếu m cũng nằm ngoài TMN, giữa QAF và các thực thể bị điều
hành phi TMN hoặc các thực thể bị điều hành nhưng không theo các khuyến nghị TMN
(cho phép quản lý các NE phi TMN qua môi trường TMN).

Các chức năng NE, OS, WS, QA, MD được kết nối với nhau qua các giao diện chuẩn
của DCN.

2, Các giao diện:

Khi hai khối chức năng của các thiết bị riêng biệt có kết nối vật lý qua một điểm tham
chiếu thì điểm tham chiếu trở thành giao diện. Giao diện TMN định nghĩa bản tin tương
thích chung cho tất cả các chức năng quản lý, lập kế hoạch TMN mà không phụ thuộc
vào loại thiết bị hoặc nhà cung cấp thiết bị.
 Giao diện Q: áp dụng tại điểm tham chiếu q, giúp linh hoạt trong hỗ trợ giao thức
truyền thông. Giao diện Q được chia thành:

− Giao diện Q3 (áp dụng tại điểm tham chiếu q3): là giao diện của hệ thống khai thác,
bất cứ thực thể TMN nào kết nối trực tiếp tới OS đều sử dụng giao diện Q3. Giao diện
Q3 đòi hỏi rất nhiều dịch vụ giao thức để có thể hỗ trợ một tổ hợp chức năng rất phức
tạp.

− Giao diện Qx (áp dụng tại điểm tham chiếu qx ): là phần giao tiếp giữa NE và MD,
MD và QA. Qx hỗ trợ một tập hợp nhỏ chức năng bằng cách sử dụng giao thức đơn
giản nhưng phù hợp với các thành phần mạng không đòi hỏi nhiều chức năng và được
sử dụng với số lượng lớn như thay đổi trong trạng thái cảnh báo, khởi tạo lại cảnh
báo…

Thường thì Q3 cung cấp các dịch vụ và giao thức phức tạp hơn, thực hiện nhiều chức
năng hơn cho mỗi thành phần mạng (NE). Khi một thành phần mạng chỉ có giao diện
Qx muốn kết nối tới OS thì phải qua thiết bị trung gian (MD)

 Giao diện X (áp dụng tại điểm tham chiếu x): dùng để liên kết hai TMN với nhau
hoặc giữa TMN với một loại mạng quản lý khác. Các bản tin và giao thức được định
nghĩa cho giao diện X cũng có thể thích hợp cho giao diện Q3 sử dụng giữa các OS.

Mô hình thông tin tại giao diện X giới hạn khả năng truy nhập từ bên ngoài mạng
quản lý viễn thông, và có thể yêu cầu thêm các giao thức để đảm bảo an toàn.

 Giao diện F(áp dụng cho điểm tham chiếu f): cần thiết cho sự kết nối giữa trạm
làm việc WS với các khối cơ bản của TMN thông qua mạng truyền số liệu (DCN).

CÂU 10: Các định nghĩa trong SNMP

a/ SNMP agent là một tiến trình (process) chạy trên network element,
có nhiệm vụ cung cấp thông tin của element cho station, nhờ đó station có
thể quản lý được element. Hai tiến trình SNMP trực tiếp liên hệ với nhau là
application chạy trên station và agent chạy trên element.

b/ Manager là một server có chạy các chương trình có thể thực hiện một số
chức năng quản lý mạng. Manager có thể xem như là NMS (Network Manager
Stations). NMS có khả năng thăm dò và thu thập các cảnh báo từ các Agent trong
mạng. Các cảnh báo của agent là cách mà agent báo với NMS khi có sự cố xảy ra.
NMS dựa trên các thông tin trả lời của agent để có các phương án giúp mạng hoạt
động hiệu quả hơn.

c/MIB (cơ sở thông tin quản lý) là một cấu trúc dữ liệu gồm các đối tượng được
quản lý (managed object), được dùng cho việc quản lý các thiết bị chạy trên nền
TCP/IP. MIB là kiến trúc chung mà các giao thức quản lý trên TCP/IP nên tuân theo,
trong đó có SNMP. MIB được thể hiện thành 1 file (MIB file), và có thể biểu diễn thành
1 cây (MIB tree).
Một agent có thể có nhiều MIB nhưng tất cả các agent đều có một lọai MIB gọi là
MIB-II được định nghĩa trong RFC 1213. MIB-II định nghĩa các tham số như tình trạng
của interface (tốc độ của interface, MTU, các octet gửi, các octet nhận. ...) hoặc các
tham số gắn liền với hệ thống (định vị hệ thống, thông tin liên lạc với hệ thống, ...). Mục
đích chính của MIB-II là cung cấp các thông tin quản lý theo TCP/IP.
d/ SMI:
SMI (The Structure of Management Information) là một cấu trúc quản lý thông tin
cung cấp cho chúng ta cách định nghĩa, lưu trữ các đối tượng quản lý và các thuộc tính
của chúng . SMI đơn giản gồm có 3 đặc tính sau:
- Name hay OID (object identifier): định nghĩa tên của đối tượng. Tên thường ở 2
dạng: số hay các chữ có ý nghĩa nào đó về đối tượng. Trong dạng này hay dạng kia,
tên thường khó nhớ hay bất tiện. Tên hay OID được tổ chức theo dạng cây. Tên của
một đối tượng được thành lập từ một dãy các số nguyên hay chữ dựa theo các nút trên
cây, phân cách nhau bởi dấu chấm.
- Kiểu và cú pháp: Kiểu dữ liệu của object cần quản lý được định nghĩa trong ASN.1(
Abstract Syntax Notation One). ASN.1 chỉ ra cách dữ liệu được biểu diển và truyền đi
giữa Manager và agent. Các thông tin mà ASN.1 thông báo là độc lập với hệ điều hành.
Điều này giúp một may chạy WindowNT có thể liên lạc với một máy chạy Sun SPARC
dễ dàng.
- BER (Basic Encoding Rules ) là một phương pháp mã hóa dữ liệu cơ bản, mã hóa
các đối tượng quản lý thành các chuổi octet. BER xây dựng cách mã hóa và giải mã để
truyền các đối tượng qua các môi trường truyền như Ethernet.
e/ ASN.1 (Abstract Syntax Notation One) là chuẩn mô tả các luật mã hóa dữ
liệu (encoding rules) cho các hệ thống truyền thông số. Một trong 3 hệ thống luật mã
hóa trong ASN.1 là BER (Basic Encoding Rules). Vì vậy trong các RFC liên quan đến
SNMP ta hay bắt gặp dòng ghi chú “use of the basic encoding rules of ASN.1”.

Câu 11: Các lệnh trong SNMP

- GetRequest là bản tin manager gửi cho agent để yêu cầu agent cung cấp thông tin
nào đó dựa vào ObjectID (trong GetRequest có chứa OID)

- GetNextRequest là bản tin manager gửi cho agent trong đó có chứa một ObjectID để
yêu cầu cung cấp thông tin nằm kế tiếp ObjectID đó trong MIB
- SetRequest là bản tin manager gửi cho agent để đặt giá trị cho đối tượng của agent
dựa vào ObjectID.
- GetResponse là bản tin agent gửi cho manager để trả lời khi nhận được
GetRequest/GetNextRequest

- Trap là bản tin Agent tự động gửi cho Manager khi có một sự kiện xảy ra đối với một
object nào đó trong agent.

- Poll là một phương thức giám sát cơ bản trong đó trung tâm giám sát (manager)
muốn biết được thông tin từ thiết bị cần giám sát (device) thì phải hỏi. Chỉ khỉ manager
hỏi device mới phải trả lời, còn không thì thôi.

- Alert là một phương thức giám sát cơ bản trong đó khi Device sẽ tự động gửi thông
báo cho Manager khi Device xảy ra một sự kiện (event) nào đó.

- Một thiết bị hỗ trợ SNMP có thể cung cấp nhiều thông tin khác nhau, mỗi thông tin đó
gọi là một object.
- Object ID (OID) là một mã số để nhận dạng một object.

- Object access là quyền truy nhập vào một Object. Quyền truy nhập này có thể là
READ_ONLY hoặc READ_WRITE

Câu 12: Các cơ chế bảo mật cho SNMP

Các cơ chế bảo mật trong SNMP gồm có : community string, view và SNMP access
control list.

Community string
Community string là một chuỗi ký tự được cài đặt giống nhau trên cả SNMP manager
và SNMP agent, đóng vai trò như “mật khẩu” giữa 2 bên khi trao đổi dữ liệu.
Community string có 3 loại : Read-community, Write-Community và Trap-Community.
- Read-community được chứa trong các bản tin GetRequest, GetNextRequest mà
manager gửi cho agent. Khi agent nhận được bản tin này thì nó sẽ so sánh Read-
community do manager gửi và Read-community mà nó được cài đặt. Nếu 2 chuỗi này
giống nhau, agent sẽ trả lời; nếu 2 chuỗi này khác nhau, agent sẽ không trả lời.
- Write-Community được dùng trong bản tin SetRequest. Agent chỉ chấp nhận thay đổi
dữ liệu khi write-community 2 bên giống nhau.
- Trap-community nằm trong bản tin trap của trap sender gửi cho trap receiver. Trap
receiver chỉ nhận và lưu trữ bản tin trap chỉ khi trap-community 2 bên giống nhau, tuy
nhiên cũng có nhiều trap receiver được cấu hình nhận tất cả bản tin trap mà không
quan tâm đến trap-community.

Đây là một cơ chế bảo mật đơn giản. Vì community string chỉ là chuỗi ký tự không được
mã hoá mà ở dạng cleartext. Do đó Community string dễ bị nghe lén khi truyền trên
mạng. Mặc khác trên hầu hết hệ thống, read-community mặc định là “public”, write-
community mặc định là “private” và trap-community mặc định là “public”. Vậy nên nếu
người quản trị mạng không đổi những string mặc định này thì chúng dễ dàng bị dò ra.
Trong những trường hợp này thì một người dùng tại một máy tính nào đó trong mạng
có thể quản lý/giám sát toàn bộ các device có cùng community-string mà không được
sự cho phép của người quản trị.

View
Cơ chế View cho phép agent có thể quy định chỉ cho phép manager đọc một số OID có
liên quan nhau, tức là chỉ đọc được một phần của MIB. Trên agent có thể định nghĩa
nhiều view, và agent có thể cho phép manager xem được một vài view nhất định. Ví dụ
: agent có thể định nghĩa view interfaceView bao gồm các OID liên quan đến interface,
storageView bao gồm các OID liên quan đến lưu trữ, hay AllView bao gồm tất cả các
OID.

Một view phải gắn liền với một community string tương ứng. Do đó manager muốn lấy
được thông tin chính xác từ agent thì manager phải gửi yêu cầu trong một view kèm
theo community string đúng với view đó.
Cơ chế view tăng khả năng bảo mật hơn cho hệ thống SNMP, tuy nhiên với việc
community string dễ bị lộ ra ngoài thì cơ chế này cũng không đảm bảo an toàn.

SNMP access control list


SNMP ACL là một danh sách các địa chỉ IP được phép quản lý/giám sát agent, nó chỉ
áp dụng riêng cho giao thức SNMP và được cài trên agent. Nếu một manager có IP
không được phép trong ACL gửi request thì agent sẽ không xử lý, dù request có
community string là đúng.
Cơ chế này có tác dụng trong trường hợp community string bị lộ, được một manager
nào đó sử dụng để request thông tin.
Khi sử dụng cơ chế này thì khả năng bảo mật đã được nâng cao. Tuy nhiên, cần phải
đề phòng những trường hợp giả mạo địa chỉ IP của manager, hay việc truy nhập bất
hợp pháp vào agent để thay đổi thông tin danh sách các địa chỉ IP được phép quản lý.

Câu 13: Các cơ chế bảo mật SNMP

Sumary:

+ community string: ví dụ là password.


+ view: là tập hợp các đối tượng được phân lớp, chỉ manager được cấp quyền
view thì mới quản lý view đó.
+ SNMP Acess Control List: chỉ cho phép những manager được cập nhật trong
list thì mới truy cập quản lý được.
Detail

Một SNMP management station có thể quản lý/giám sát nhiều SNMP element, thông
qua hoạt động gửi request và nhận trap. Tuy nhiên một SNMP element có thể
được cấu hình để chỉ cho phép các SNMP management station nào đó được phép
quản lý/giám sát mình.
Các cơ chế bảo mật đơn giản này gồm có : community string, view và SNMP access
control list.

 Community string

Community string là một chuỗi ký tự được cài đặt giống nhau trên cả SNMP manager
và SNMP agent, đóng vai trò như “mật khẩu” giữa 2 bên khi trao đổi dữ liệu.
Community string có 3 loại : Read-community,

 Write-Community và Trap-Community

Khi manager gửi GetRequest, GetNextRequest đến agent thì trong bản tin gửi
đi có chứa Read-Community. Khi agent nhận được bản tin request thì nó sẽ so
sánh Read-community do manager gửi và Read-community mà nó được cài đặt.
Nếu 2 chuỗi này giống nhau, agent sẽ trả lời; nếu 2 chuỗi này khác nhau, agent sẽ
không trả lời.

Write-Community được dùng trong bản tin SetRequest. Agent chỉ chấp nhận thay đổi
dữ liệu khi write-community 2 bên giống nhau.

Trap-community nằm trong bản tin trap của trap sender gửi cho trap receiver. Trap
receiver chỉ nhận và lưu trữ bản tin trap chỉ khi trap-community 2 bên giống nhau, tuy
nhiên cũng có nhiều trap receiver được cấu hình nhận tất cả bản tin trap mà không
quan tâm đến trap-community.

Community string có 3 loại như trên nhưng cùng một loại có thể có nhiều string khác
nhau. Nghĩa là một agent có thể khai báo nhiều read-community, nhiều write-
community.

Trên hầu hết hệ thống, read-community mặc định là “public”, write-community mặc định
là “private” và trap-community mặc định là “public”.

Community string chỉ là chuỗi ký tự dạng cleartext, do đó hoàn toàn có thể bị nghe lén
khi truyền trên mạng. Hơn nữa, các community mặc định thường là “public” và “private”
nên nếu người quản trị không thay đổi thì chúng có thể dễ dàng bị dò ra. Khi community
string trong mạng bị lộ, một người dùng bình thường tại một máy tính nào đó trong
mạng có thể quản lý/giám sát toàn bộ các device có cùng community mà không
được sự cho phép của người quản trị.

 View

Khi manager có read-community thì nó có thể đọc toàn bộ OID của agent. Tuy nhiên
agent có thể quy định chỉ cho phép đọc một số OID có liên quan nhau, tức là chỉ đọc
được một phần của MIB. Tập con của MIB này gọi là view, trên agent có thể định
nghĩa nhiều view. Ví dụ : agent có thể định nghĩa view interfaceView bao gồm các
OID liên quan đến interface, storageView bao gồm các OID liên quan đến lưu trữ, hay
AllView bao gồm tất cả các OID.

Một view phải gắn liền với một community string. Tùy vào community string nhận được
là gì mà agent xử lý trên view tương ứng. Ví dụ : agent định nghĩa read-community “inf”
trên view interfaceView, và “sto” trên storageView; khi manager gửi request lấy OID
ifNumber với community là “inf” thì sẽ được đáp ứng do ifNumber nằm trong
interfaceView; nếu manager request OID hrStorageSize với community “inf” thì agent
sẽ không trả lời do hrStorageSize không nằm trong interfaceView; nhưng nếu
manager request hrStorageSize với community “sto” thì sẽ được trả lời do
hrStorageSize nằm trong storageView.

Việc định nghĩa các view như thế nào tùy thuộc vào từng SNMP agent khác nhau.
Có nhiều hệ thống không hỗ trợ tính năng view.

SNMP access control list

Khi manager gửi không đúng community hoặc khi OID cần lấy lại không nằm trong view
cho phép thì agent sẽ không trả lời. Tuy nhiên khi community bị lộ thì một manager nào
đó vẫn request được thông tin.

Để ngăn chặn hoàn toàn các SNMP manager không được phép, người quản trị có
thể dùng đến SNMP access control list (ACL).

SNMP ACL là một danh sách các địa chỉ IP được phép quản lý/giám sát agent, nó chỉ
áp dụng riêng cho giao thức SNMP và được cài trên agent. Nếu một manager có IP
không được phép trong ACL gửi request thì agent sẽ không xử lý, dù request có
community string là đúng.

Đa số các thiết bị tương thích SNMP đều cho phép thiết lập SNMP ACL.

Câu 14: Khai báo SNMP trên t.bị mạng, giám sát t.bị mạng bằng SNMP.

Khai báo SNMP cho hệ thống cần 4 giai đoạn: Cấu hình Get/Set trên SNMP
agent, Cấu hình trên SNMP manager, Cấu hình Trap trên SNMP agent, Cấu hình
Trap trên SNMP Trap Receiver.
1. Cấu hình Get/Set trên SNMP agent
+ Bật tính năng SNMP agent trên thiết bị cần giám sát: các thiết bị hỗ trợ SNMP
có thể không mặc định bật tính năng này, bạn phải bật nó lên để tiến trình agent
hoạt động.
+ Khai báo community-string và quyền truy cập tương ứng: bạn phải khai báo
các community string và chỉ ra community nào có quyền gì (read, write, set).
+ Khai báo phiên bản SNMP: chỉ định agent sẽ hoạt động bằng phiên bản SNMP
nào (v1, v2, v3). Nếu agent không cho phép khai báo version thì agent này có
thể chỉ hỗ trợ SNMPv1.
+ Khai báo SNMP ACL: ACL cho phép chỉ những dãy IP nào đó mới được giám
sát agent.
+ Khai báo Location, Contact, HostName : đây là các tham số phụ, không quan
trọng.
2. Cấu hình trên SNMP manager
+ Khai báo IP của thiết bị cần giám sát.
+ Khai báo community-string : community string được khai báo trên manager
phải giống như đã khai báo trên agent.
+ Khai báo phiên bản SNMP : phiên bản mà manager sử dụng để giám sát phải
giống với phiên bản đã khai báo trên agent.
+ Chu kỳ lấy mẫu : do SNMP Get/Set sử dụng phương thức poll nên bạn cần
khai báo chu kỳ lấy thông tin của manger.
3. Cấu hình Trap trên SNMP agent
+ Bật tính năng trap sender.
+ Khai báo địa chỉ IP của trap receiver.
+ Khai báo community-string của bản tin trap.
+ Khai báo version của SNMP trap.
4. Cấu hình Trap trên SNMP Trap Receiver
+ Bật tính năng trap receiver.
+ Khai báo dãy địa chỉ IP của sender mà trap receiver sẽ nhận, những IP nằm
ngoài dãy này thì trap receiver sẽ không nhận trap. Tính năng này là tùy chọn, có
thể nhiều trap receiver không hỗ trợ.
+ Khai báo bộ lọc kiểu trap: đây là danh sách các kiểu trap sẽ được hiện ra trên
màn hình của trap receiver. Tính năng này cũng là tùy chọn.