Sáng nay rãnh rỗi ngồi uống cafe cùng bạn tôi, ngồi bàn chuyện bạn gái của 2 thằng, lại như tít cũ 2 thằng lại bắt đầu quay trở lại bàn chuyện công nghệ. Bạn tôi tần ngần nói " Cty tao hiện đang sử tất cả thiết bị bằng cisco , và đã dùng công cụ để monitor như Nagios, MRTG, PRTG... nhưng các tool này không thể monitor được ai đã gửi gói dữ liệu lớn, ai đang download....." . Lý do là gì , hiện chúng ta đang sử dụng giao thức kết nối đến các thiết bị bằng SNMP hoặc giao thức ping (ICMP) ? Chắc Cty các bạn cũng đang sử dụng một trong số công cụ monitor nào đó đúng không. Nếu chúng ta sử dụng qua hai giao thức này chúng ta chỉ biết được trạng thái down, up của thiết bị mà không thể monitor được dữ liệu đi qua các các port hoặc tình trạng download, mạng nghẽn từ đâu, để giải quyết vấn đề đó chúng ta phải sử dụng giao thức kết nối Netflow. Hôm nay mình xin giới thiệu về giao thức Netflow này của Cisco:
NetFlow là một công cụ nhúng trong các phần mềm IOS của Cisco để phân tích hoạt động của mạng.Đây là công cụ không thể thiếu cho người quản trị mạng chuyên nghiệp.Để đáp ứng lại các đòi hỏi và nhu cầu cấp bách của hệ thống mạng,việc tìm hiểu xem quá trình hoạt động của mạng ra sao là rất quan trọng.
NetFlow của Cisco có thể đáp ứng tất cả những yêu cầu trên.Nó tạo ra một môi trường mà người quản trị mạng có đầy đủ các công cụ để biết được thời gian, địa điểm,đối tượng cũng như cách thức lưu thông của lưu lượng mạng.Khi mà hoạt động của mạng được nắm vững thì hiệu quả của hệ thống mạng sẽ tăng lên rất nhiều.
Tầm quan trọng của việc nhận thức hoạt động mạng
Sự kiểm tra bằng SNMP truyền thống: Các khách hàng truyền thống thường hay sử dụng giao thức SNMP để kiểm tra hoạt động của băng thông.Mặc dù có một số ưu điểm nhất định nhưng SNMP khó có thể phân tích được sự lưu thông của các ứng dụng và mô hình trên mạng mà điều đó là rất cần thiết để biết được hệ thống mạng hỗ trợ công việc thế nào.Việc tìm hiểu cách thức sử dụng băng thông là một điểu rất quan trọng trong hệ thống mạng IP ngày nay.
Tầm quan trọng của NetFlow : khả năng phân tích lưu lượng IP và nắm được cách thức và địa điểm lưu thông của nó là rất quan trọng đối với việc quản trị mạng.Việc kiểm tra dòng lưu lượng IP sẽ đảm bảo tài nguyên mạng được sử dụng một cách hợp lí hơn.Nó giúp người quản trị nhận biết được chất lượng dịch vụ(QoS),nhận biết được dấu hiệu hay nguy cơ của những cuộc tấn công từ chối dịch vụ (DoS),việc phát tán virus, cũng như hàng loạt các sự cố khác.NetFlow có thể giải quyết nhiều vấn đề đặt ra đối với một người quản trị chuyên nghiệp
Phân tích các ứng dụng mới và ảnh hưởng của chúng lên hệ thống mạng: nhận dạng các ứng dụng mạng mới ví dụ như VoIP chẳng hạn…
Giảm sự quá tải của lưu lượng WAN
Xử lí sự cố và nhận biết được điểm yếu của hệ thống mạng
Phát hiện các lưu lượng WAN trái phép
Bảo mật hệ thống mạng,phát hiện được các sự cố bất thường
Phân chia băng thông hợp lí cho từng loại dịch vụ mạng khác nhau
Định nghĩa về luồng IP :Một luồng được định nghĩa như một dòng các packet,mỗi packet khi chuyển qua router hoặc switch đều được kiểm tra bằng một tập các thuộc tính IP.Các thuộc tính này giúp định dạng và phân nhóm các packet vào các luồng khác nhau một cách rõ ràng.Thông thường một luồng IP dựa trên một tập từ 5 đến 7 thuộc tính của packet IP
Địa chỉ IP nguồn
Địa chỉ IP đích
Port nguồn
Port đích
Loại giao thức lớp 3
ToS byte( loại dịch vụ)
Giao diện Router hoặc Switch
NetFlow hoạt động bằng cách tạo ra một NetFlow cache trong đó chứa thông tin về tất cả các luồng đang hoạt động.NetFlow cache được xây dựng trước hết bằng cách xử lý packet đầu tiên của một luồng thông qua một đường chuyển mạch chuẩn.Một bản ghi về luồng được duy trì bởi NetFlow cache cho tất cả luồng hoạt động.Mỗi một bản ghi luồng trong NetFlow cache chứa các trường thuộc tính có thể được sử dụng sau đó để xuất dữ liệu tới một thiết bị thu thập dữ liệu.Mỗi một bản ghi luồng được tạo ra bằng cách so sánh thuộc tính của các packet và đếm số packet và số byte của mỗi luồng.
Tạo một luồng trên NetFlow cache
Ví dụ về một NetFlow cache
Thông tin của luồng rất hữu dụng cho việc tìm hiểu hoạt động mạng
§ Có khoảng từ 30-50 luồng được đóng gói và gửi dưới dạng UDP tới NetFlow collector server.
§ Phần mềm NetFlow collector tạo ra real-time và historical report từ dữ liệu
Cách thức Router hoặc Switch quyết định luồng được gửi tới NetFlow Collector: một luồng sẵn sàng được export khi nó ko hoạt động trong một khoảng thời gian nhất định hoặc luồng đã tồn tại(hoạt động) vượt quá thời gian hoạt động cho phép.Có một bộ đếm thời gian sẽ quyết định luồng là ko hoạt động hay tồn tại quá lâu và thời gian mặc định cho luồng ko hoạt động là trong 15s,còn thời gian mặc định giới hạn cho hoạt động của một luồng là 30 phút.Collector có thể kết hợp các luồng và đưa ra tổng hợp về lưu lượng mạng.
Vị trí của NetFlow trong mạng: NetFlow thường được sử dụng ở site trung tâm bởi tất cả lưu lượng mạng từ các site remote khác đều được phân tích và giám sát bởi NetFlow.Vị trí triển khai NetFlow phụ thuộc vào cấu trúc mạng.Nếu reporting collection server đặt ở vị trí trung tâm thì vị trí tối ưu nhất để cài đặt NetFlow chình là ở gấn server đó.
Định dạng của dữ liệu gửi đi bởi NetFlow: dữ liệu NetFlow gửi tới collector bao gồm một header và tuần tự các bản ghi tiếp theo.Phần header chứa thông tin về số thứ tự,số bản ghi và thời gian hệ thống.Các bản ghi luồng chứa thông tin về luồng,ví dụ như địa chỉ IP,port,thông tin định tuyến.Có các version khác nhau của Cisco NetFlow như 1,5,7,8,9 với các định dạng dữ liệu có sự khác nhau.
Nội dung của một bản ghi của NetFlow
Lựa chọn version NetFlow phù hợp:
Version 9
Sử dụng khi cần xuất dữ liệu từ nhiều cồng nghệ khác nhau như Multicast,DoS,IPv6,BGP nexthop,…Định dạng có tính tương thích và mở rộng rất cao.Version 9 hỗ trợ xuất dữ liệu từ cả main cache và aggregation cache.
Version 8
Chỉ hỗ trợ xuất dữ liệu từ aggregation cache
Version 5
Chỉ hỗ trợ xuất dữ liệu từ main cache.Hầu hết các thiết bị truyền thống đều hỗ trợ định dạng nàyàcũng được dùng phổ biến
Version 1
Chỉ nên sử dụng khi hệ thống chỉ hỗ trợ version này.Nếu không nên sử dụng version 9 hoặc 5.
Ứng dụng NetFlow: phần mềm Cisco IOS NetFlow là một phần của họ các sản phẩm,tiện ích quản lí của Cisco.Các phần mềm được thiết kế đồng bộ kết hợp chặt chẽ với nhau để có thể quản lí kiểm tra giám sát hệ thống mạng một cách tốt nhất.
Phần 2. Cấu hình NetFlow
Cấu hình NetFlow theo mô hình sau và cài đặt chương trình NetFlow Analyzer trên PC 192.168.2.156 :
Test thử các dịch vụ giữa 2 PC ,xem báo cáo trên NetFlow Analyzer
Các bước cấu hình trên Router(NetFlow version 5)
Ø Bật NetFlow export trên các cổng của router:
§ interface {interface} {interface_number}
§ ip flow ingress (tương đương lệnh ip route-cache flow)
§ ip flow egress
bandwith
exit
§ Ví dụ: router-2621(config)#interface FastEthernet 0/1
router-2621(config-if)#ip route-cache flow
router-2621(config-if)#exit
Hoặc
router-2621(config)#interface FastEthernet 0/1
router-2621(config-if)# ip flow ingress
router-2621(config-if)# ip flow egress
router-2621(config-if)#exit
Ø Các lệnh để xuất dữ liệu NetFlow tới server chạy NetFlow analyzer
§ ip flow-export destination {hostname|ip_address} 9996 : Xuất các dữ liệu trong NetFlow cache tới một địa chỉ IP xác định.Sử dụng địa chỉ IP của NetFlow collector(chạy NetFlow Analyzer hoặc các chương trình NetFlow khác) và cổng lắng nghe kèm theo.Cổng mặc định của NetFlow Analyzer là 9996 tuy nhiên có thể thay đổi tùy theo người sử dụng.
§ ip flow-export source {interface} {interface_number} : Thiết lập địa chỉ nguồn của các gói dữ liệu NetFlow gửi tới NetFlow Analyzer.Dựa vào địa chỉ này NetFlow Analyzer có thể biết được nó đang nhận dữ liệu từ router nào gửi đến và nó có thể gửi các truy vấn SNMP tới router đó theo địa chỉ này.Ta có thể đặt source là các cổng giao tiếp của router( ví dụ int fa0/0) nhưng thường nên đặt địa chỉ source đó là địa chỉ loopback của router( ví dụ loopback 0).Điều đó làm cho những người muốn tấn công hệ thống mạng của bạn bởi vì địa chỉ IP cổng loopback của router không dễ bị dò ra như địa chỉ IP của các cổng vật lí khác của router.
§ ip flow-export version 5 [peer-as | origin-as] : Chọn version NetFlow để sử dụng( ở đây là version 5).NetFlow Analyzer chỉ hỗ trợ NetFlow version 5,7,9.Thông thường các router series 2600 thường chỉ hỗ trợ 3 loại version là :1,5,9.Version 1 chỉ nên sử dụng nếu phần mềm NetFlow chỉ hỗ trợ version này.Version 5 thường được sử dụng nhiều hơn và các trường thông tin của nó đầy đủ hơn.Version 9 có định dạng các gói thông tin NetFlow rất linh hoạt và có thế thay đổi tùy theo ý muốn người sử dụng.
§ ip flow-cache timeout [active minute | inactive seconds ] : Thiết lập thời hạn cho các luồng
· Active: thiết lập thời hạn tồn tại (theo phút) của một luồng đang chứa trong cache .Thời hạn này từ 1 đến 60 phút. (khuyến cáo để là 1)
· Inactive: thiết lập thời hạn tồn tại (theo s) của các luồng không hoạt động chứa trong cache.Thời hạn này từ 10 đến 600 s. (khuyến cáo để là 15)
§ snmp-server ifindex persist: đảm bảo thông tin về các cổng vẫn duy trì khi thiết bị reboot.
Ø Kiểm tra cấu hình NetFlow
§ Show ip flow export
§ Show ip cache flow
§ Show ip case verbose flow
Ø Tắt NetFlow
§ no ip flow-export destination {hostname|ip_address} {port_number}
§ interface {interface} {interface_number}
§ no ip route-cache flow
Cấu hình NetFlow nâng cao( sử dụng version 8 hoặc version 9)
Ø NetFlow main cache là cache mặc định được sử dụng để lưu trữ dữ liệu tạo ra bởi NetFlow.Khi lượng dữ liệu trao đổi trên mạng lớn thì lượng dữ liệu NetFlow gửi đi cũng càng nhiềuà tốn kém tài nguyên,hệ thống collector hoạt động chậm
Ø NetFlow aggregation cache là cache đặc biệt cho phép một số lượng hạn chế các luồng dữ liệu NetFlow kết hợp với nhau trên router.Tùy chọn kết hợp sẽ quyết định loại dữ liệu nào được gửi đi.
Ø NetFlow aggregation cho phép tổng hợp dữ liệu NetFlow ngay trên router trước khi dữ liệu đó được chuyển đi tới một NetFlow collectorà đòi hỏi ít băng thông hơn,giảm sự quá tải của collector.
Ø Các lệnh cấu hình
§ Router(config)# ip flow-aggregation cacheàtạo cache và các thuộc tính kèm theo để định dạng dữ liệu
§ Router(config-flow-cache)# cache entries 2048àsố lượng entry trong cache(mặc định là 4096)
§ Router(config-flow-cache)# cache timeout [active minute/inactive second]
§ Router(config-flow-cache)# export destination {{ip-address | hostname}udp-port}
§ Router(config-flow-cache)# export version 9
§ Router(config-flow-cache)# enabledà enable aggregation cache
§ Router(config-if)# exit
§ Còn lại trên các interface cấu hình NetFlow giống như version 5
Sử dụng phần mềm NetFlow Analyzer(version 4,hiện mới nhất là version 6):
Ø Khởi động:
§ Chạy NetFlow Analyzer server trước
§ Chạy NetFlow Analyzer web client để quản lí
§ Giao diện chính:
o Group Management: quản lí các thiết bị (router) theo nhóm
o User Menagement: quản lí người dùng truy nhập NetFlow Analyzer để xem thông tin
o Application Mapping: Các dịch vụ và cổng kèm theo mà NetFlow Analyzer hỗ trợ.Có thể thêm các dịch vụ mới để NetFlow Analyzer có thể nhận biết ví dụ yahoo…
o Runtime Administration: chỉnh sửa setting của NetFlow server
Phần 3. Một số phần mềm NetFlow của các hãng khác
v Một số phần mềm phân tích NetFlow
o Phiên bản thương mại:
o Phiên bản free:
Một số hình ảnh minh họa các phần mềm NetFlow phổ biến
o NetFlow Analyzer của Advendnet:
o Orion NetFlow Traffic Analyzer:
o Scrutinizer NetFlow Analyzer:
Phần 1. Giới thiệu và các khái niệm về SNMP
Cốt lõi của SNMP là một tập hợp đơn giản các hoạt động giúp nhà quản trị mạng có thể quản lý, thay đổi trạng thái của mạng. Ví dụ chúng ta có thể dùng SNMP để tắt một interface nào đó trên router của mình, theo dõi hoạt động của card Ethernet, hoặc kiểm soát nhiệt độ trên switch và cảnh báo khi nhiệt độ quá cao.
IETF (Internet Engineering Task Force) là tổ chức đã đưa ra chuẩn SNMP thông qua các RFC.
o SNMP version 1 chuẩn của giao thức SNMP được định nghĩa trong RFC 1157 và là một chuẩn đầy đủ của IETF. Vấn đề bảo mật của SNMP v1 dựa trên nguyên tắc cộng đồng, không có nhiều password, chuổi văn bản thuần và cho phép bất kỳ một ứng dụng nào đó dựa trên SNMP có thể hiểu các hiểu các chuổi này để có thể truy cập vào các thiết bị quản lý. Có 3 tiêu chuẩn trong: read-only, read-write và trap.
o SNMP version 2: phiên bản này dựa trên các chuổi “community”. Do đó phiên bản này được gọi là SNMPv2c, được định nghĩa trong RFC 1905, 1906, 1907, và đây chỉ là bản thử nghiệm của IETF. Mặc dù chỉ là thử nghiệm nhưng nhiều nhà sản xuất đã đưa nó vào thực nghiệm.
o SNMP version 3: là phiên bản tiếp theo được IETF đưa ra bản đầy đủ. Nó được khuyến nghị làm bản chuẩn, được định nghĩa trong RFC 1905, RFC 1906, RFC 1907, RFC 2571, RFC 2572, RFC 2573, RFC 2574 và RFC 2575. Nó hổ trợ các loại truyền thông riêng tư và có xác nhận giữa các thực thể.
Trong SNMP có 3 vấn đề cần quan tâm: Manager, Agent và MIB (Management Information Base). MIB là cơ sở dữ liệu dùng phục vụ cho Manager và Agent.
o Manager là một server có chạy các chương trình có thể thực hiện một số chức năng quản lý mạng. Manager có thể xem như là NMS (Network Manager Stations). NMS có khả năng thăm dò và thu thập các cảnh báo từ các Agent trong mạng. Thăm dò trong việc quản lý mạng là “nghệ thuật” đặt ra các câu truy vấn đến các agent để có được một phần nào đó của thông tin. Các cảnh báo của agent là cách mà agent báo với NMS khi có sự cố xảy ra. Cảnh bảo của agent được gửi một cách không đồng bộ, không nằm trong việc trả lời truy vấn của NMS. NMS dựa trên các thông tin trả lời của agent để có các phương án giúp mạng hoạt động hiệu quả hơn. Ví dụ khi đường dây T1 kết nối tới Internet bị giảm băng thông nghiêm trọng, router sẽ gửi một thông tin cảnh báo tới NMS. NMS sẽ có một số hành động, ít nhất là lưu lại giúp ta có thể biết việc gì đã xảy ra. Các hành động này của NMS phải được cài đặt trước.
o Agent là một phần trong các chương trình chạy trên các thiết bị mạng cần quản lý. Nó có thể là một chương trình độc lập như các deamon trong Unix, hoặc được tích hợp vào hệ điều hành như IOS của Cisco trên router. Ngày nay, đa số các thiết bị hoạt động tới lớp IP được cài đặt SMNP agent. Các nhà sản xuất ngày càng muốn phát triển các agent trong các sản phẩm của họ công việc của người quản lý hệ thống hay quản trị mạng đơn giản hơn. Các agent cung cấp thông tin cho NMS bằng cách lưu trữ các hoạt động khác nhau của thiết bị. Một số thiết bị thường gửi một thông báo “tất cả đều bình thường” khi nó chuyển từ một trạng thái xấu sang một trạng thái tốt. Điều này giúp xác định khi nào một tình trạng có vấn đề được giải quyết.
Mối quan hệ giữa NMS và agent:
Không có sự hạn chế nào khi NMS gửi một câu truy vấn đồng thời agent gửi một cảnh báo.
o MIB có thể xem như là một cơ sở dữ liệu của các đối tượng quản lý mà agent lưu trữ được. Bất kỳ thông tin nào mà NMS có thẻ truy cập được đều được định nghĩa trong MIB. Một agent có thể có nhiều MIB nhưng tất cả các agent đều có một lọa MIB gọi là MIB-II được định nghĩa trong RFC 1213. MIB-I là bản gốc của MIB nhưng ít dùng khi MIB-II được đưa ra. Bất kỳ thiết bị nào hổ trợ SNMP đều phải hổ trợ MIB-II. MIB-II định nghĩa các tham số như tình trạng của interface (tốc độ của interface, MTU, các octet gửi, các octet nhận. ...) hoặc các tham số gắn liền với hệ thống (định vị hệ thống, thông tin liên lạc với hệ thống, ...). Mục đích chính của MIB-II là cung cấp các thông tin quản lý theo TCP/IP. Có nhiều
kiểu MIB giúp quản lý cho các mục đích khác nhau:
§ • ATM MIB (RFC 2515)
• Frame Relay DTE Interface Type MIB (RFC 2115)
• BGP Version 4 MIB (RFC 1657)
• RDBMS MIB (RFC 1697)
• RADIUS Authentication Server MIB (RFC 2619)
• Mail Monitoring MIB (RFC 2249)
• DNS Server MIB (RFC 1611)
Nhưng nhà sản xuất cũng như người dùng có thể định nghĩa các biến MIB riêng cho họ trong từng tình huống quản lý của họ.
Quản lý Host Resource cũng là một phần quan trọng của quản lý mạng. Trước đây, sự khác nhau giữa quản lý hệ thống kiểu cũ và quản lý mạng không được xác định, nhưng bây giờ đã được phân biệt rõ ràng. RFC 2790 đưa ra Host Resource với định nghĩa tập hợp cá đối tượng cần quản lý trong hệ thống Unix và Window. Một số đối tượng đó là: dung lượng đĩa, số user của hệ thống, số tiến trình đang chạy của hệ thống và các phần mềm đã cài vào hệ thống. Trong một thế giới thương mại điện tử, các dịch vụ như web ngày càng trở nên phổ biến nên việc đảm bảo cho các server hoạt động tốt là việc hết sức quan trọng
RMON (Remote Monitoring) hay còn gọi là RMON v1 được định nghĩa trong RFC 2819. RMON v1 cung cấp cho NMS các thông tin dạng packet về các thực thể trong LAN hay WAN. RMON v2 được xây dựng trên RMON v1 bởi những nhà cung cấp mạng và cung cấp thông tin ở lớp application. Thông tin có thể thu được bằng nhiều cách.. Một cách trong đó là đặt một bộ phận thăm dò của RMON trên mỗi phân đoạn mạng muốn theo dõi. RMON MIB được thiết kế để các RMON có thể chạy khi không kết nối logic giữa NMS và agent, có thể lấy được thông tin mà không cần chờ truy vấn của NMS. Sau đó, khi NMS muốn truy vấn, RMON sẽ trả lời bằng các thông tin thu thập được. Một đặc tính khác là ta có thể đặt ngưỡng cho một loại lỗi nào đó, và khi lỗi vượt quá ngưỡng đặt ra, RMON gửi một cảnh báo cho NMS.
Hoạt động của SNMP theo sơ đồ sau:
- get
- get-next
- get-bulk (cho SNMP v2 và SNMP v3)
- set
- get-response
- trap (cảnh báo)
- notification (cho SNMP v2 và SNMP v3)
- inform (cho SNMP v2 và SNMP v3)
- report (cho SNMP v2 và SNMP v3)
”get”: ”get” được gửi từ NMS yêu cầu tới agent. Agent nhận yêu cầu và xử lý với khả năng tốt nhất có thể. Nếu một thiết bị nào đó đang bận tải nặng, như router, nó không có khả năng trả lời yêu cầu nên nó sẽ hủy lời yêu cầu này. Nếu agent tập hợp đủ thông tin cần thiết cho lời yêu cầu, nó gửi lại cho NMS một ”get-response”:
Để agent hiểu được NMS cần tìm thông tin gì, nó dựa vào một mục trong ”get” là ”variable binding” hay varbind. Varbind là một danh sách các đối tượng của MIB mà NMS muốn lấy từ agent. Agent hiểu câu hỏi theo dạng: OID=value để tìm thông tin trả lời. Câu hỏi truy vấn cho trường hợp trong hình vẽ trên
”get-next”: ”get-next” đưa ra một dãy các lệnh để lấy thông tin từ một nhóm trong MIB. Agent sẽ lần lượt trả lời tất cả các đối tượng có trong câu truy vấn của ”get-next” tương tự như ”get”, cho đến khi nào hết các đối tượng trong dãy
”get-bulk”: ”get-bulk” được định nghĩa trong SNMPv2. Nó cho phép lấy thông tin quản lý từ nhiều phần trong bảng
”set”: để thay đổi giá trị của một đối tượng hoặc thêm một hàng mới vào bảng. Đối tượng này cần phải được định nghĩa trong MIB là ”read-write” hay ”write-only”. NMS có thể dùng ”set’ để đặt giá trị cho nhiều đối tượng cùng một lúc
SNMP Traps: Trap là cảnh báo của agent tự động gửi cho NMS để NMS biết có tình trạng xấu ở agent
Phần 2. Cấu hình SNMP
Sử dụng phần mềm PRTG để theo dõi băng thông bằng cách cấu hình SNMP trên Router
Các lệnh cấu hình SNMP trên Cisco Router
o Cấu hình SNMP Access
§ snmp-server community public ro (ro-read only)
§ snmp-server community private rw 60 (rw-read write)
§ access-list 60 permit 192.168.2.156
o Cấu hình SNMP Traps
§ snmp-server host 192.168.2.156 public
§ snmp-server enable traps [frame-relay,envmon temperature,bgp,snmp,…]
§ snmp-server trap-source loopback 0
Netflow
Phần 1. Khái niệm và các chức năng của NetflowNetFlow là một công cụ nhúng trong các phần mềm IOS của Cisco để phân tích hoạt động của mạng.Đây là công cụ không thể thiếu cho người quản trị mạng chuyên nghiệp.Để đáp ứng lại các đòi hỏi và nhu cầu cấp bách của hệ thống mạng,việc tìm hiểu xem quá trình hoạt động của mạng ra sao là rất quan trọng.
NetFlow của Cisco có thể đáp ứng tất cả những yêu cầu trên.Nó tạo ra một môi trường mà người quản trị mạng có đầy đủ các công cụ để biết được thời gian, địa điểm,đối tượng cũng như cách thức lưu thông của lưu lượng mạng.Khi mà hoạt động của mạng được nắm vững thì hiệu quả của hệ thống mạng sẽ tăng lên rất nhiều.
Tầm quan trọng của việc nhận thức hoạt động mạng
Sự kiểm tra bằng SNMP truyền thống: Các khách hàng truyền thống thường hay sử dụng giao thức SNMP để kiểm tra hoạt động của băng thông.Mặc dù có một số ưu điểm nhất định nhưng SNMP khó có thể phân tích được sự lưu thông của các ứng dụng và mô hình trên mạng mà điều đó là rất cần thiết để biết được hệ thống mạng hỗ trợ công việc thế nào.Việc tìm hiểu cách thức sử dụng băng thông là một điểu rất quan trọng trong hệ thống mạng IP ngày nay.
Tầm quan trọng của NetFlow : khả năng phân tích lưu lượng IP và nắm được cách thức và địa điểm lưu thông của nó là rất quan trọng đối với việc quản trị mạng.Việc kiểm tra dòng lưu lượng IP sẽ đảm bảo tài nguyên mạng được sử dụng một cách hợp lí hơn.Nó giúp người quản trị nhận biết được chất lượng dịch vụ(QoS),nhận biết được dấu hiệu hay nguy cơ của những cuộc tấn công từ chối dịch vụ (DoS),việc phát tán virus, cũng như hàng loạt các sự cố khác.NetFlow có thể giải quyết nhiều vấn đề đặt ra đối với một người quản trị chuyên nghiệp
Phân tích các ứng dụng mới và ảnh hưởng của chúng lên hệ thống mạng: nhận dạng các ứng dụng mạng mới ví dụ như VoIP chẳng hạn…
Giảm sự quá tải của lưu lượng WAN
Xử lí sự cố và nhận biết được điểm yếu của hệ thống mạng
Phát hiện các lưu lượng WAN trái phép
Bảo mật hệ thống mạng,phát hiện được các sự cố bất thường
Phân chia băng thông hợp lí cho từng loại dịch vụ mạng khác nhau
Định nghĩa về luồng IP :Một luồng được định nghĩa như một dòng các packet,mỗi packet khi chuyển qua router hoặc switch đều được kiểm tra bằng một tập các thuộc tính IP.Các thuộc tính này giúp định dạng và phân nhóm các packet vào các luồng khác nhau một cách rõ ràng.Thông thường một luồng IP dựa trên một tập từ 5 đến 7 thuộc tính của packet IP
Địa chỉ IP nguồn
Địa chỉ IP đích
Port nguồn
Port đích
Loại giao thức lớp 3
ToS byte( loại dịch vụ)
Giao diện Router hoặc Switch
NetFlow hoạt động bằng cách tạo ra một NetFlow cache trong đó chứa thông tin về tất cả các luồng đang hoạt động.NetFlow cache được xây dựng trước hết bằng cách xử lý packet đầu tiên của một luồng thông qua một đường chuyển mạch chuẩn.Một bản ghi về luồng được duy trì bởi NetFlow cache cho tất cả luồng hoạt động.Mỗi một bản ghi luồng trong NetFlow cache chứa các trường thuộc tính có thể được sử dụng sau đó để xuất dữ liệu tới một thiết bị thu thập dữ liệu.Mỗi một bản ghi luồng được tạo ra bằng cách so sánh thuộc tính của các packet và đếm số packet và số byte của mỗi luồng.
Tạo một luồng trên NetFlow cache
Ví dụ về một NetFlow cache
Thông tin của luồng rất hữu dụng cho việc tìm hiểu hoạt động mạng
- Địa chỉ IP nguồn cho biết đối tượng đang phát sinh lưu lượng
- Địa chỉ IP đích cho biết đối tượng đang nhận lưu lượng
- Port cho biết loại ứng dụng đang sử dụng lưu lượng
- Lớp dịch vụ chiếm quyền ưu tiên lưu lượng
- Giao diện thiết bị cho biết cách thức sử dụng lưu lượng của thiết bị mạng
- Kiểm tra packet và byte cho biết độ lớn của lưu lượng
- Flow timestamps cho biết thời gian tồn tại của luồng; qua timestamps có thế biết tính toán được số packet và byte truyền đi trong mỗi giây.
- Địa chỉ IP hop kế tiếp
- Subnet mask của địa chỉ nguồn và đích
- TCP flag.
- Thứ nhất đó là chế độ dòng lệnh CLI(Command Line Interface).Chế độ này có thế giúp phát hiện ra những thay đổi tức thì của mạng,điều đó rất có lợi cho việc xử lí sự cố xảy ra trong mạng
- Thứ hai đó là chế độ chuyển các thông tin NetFlow tới một reporting server gọi là “NetFlow collector”.NetFlow collector có nhiệm vụ thu thập thông tin về luồng và tổng hợp chúng lại để tạo ra một report về vấn đề lưu lượng cũng như phân tích an ninh mạng.Không giống như SNMP,NetFlow thường xuyên gửi thông tin một cách định kỳ tới NetFlow reporting collector.NetFlow cache liên tục được lấp đầy bởi các luồng và phần mềm trong router hoặc switch sẽ tìm trong cache những luồng đã kết thúc và những luồng này sẽ được gửi ra NetFlow collector server.Luồng sẽ kết thúc khi giao tiếp mạng kết thúc. Lượng dữ liệu gửi tới collector chỉ chiếm 1.5% lưu lượng chuyển mạch trong router.Những ghi nhận chi tiết của NetFlow về từng packet cung cấp một cái nhìn đầy đủ và chi tiết về toàn bộ lưu lượng mạng đã chuyển qua router hoặc switch.Sau đây là các bước cơ bản để thực hiện một report của NetFlow:
- NetFlow được cấu hình để bắt luồng vào NetFlow cache§ NetFlow export được cấu hình để để gửi các luồng tới Collector
§ Có khoảng từ 30-50 luồng được đóng gói và gửi dưới dạng UDP tới NetFlow collector server.
§ Phần mềm NetFlow collector tạo ra real-time và historical report từ dữ liệu
Cách thức Router hoặc Switch quyết định luồng được gửi tới NetFlow Collector: một luồng sẵn sàng được export khi nó ko hoạt động trong một khoảng thời gian nhất định hoặc luồng đã tồn tại(hoạt động) vượt quá thời gian hoạt động cho phép.Có một bộ đếm thời gian sẽ quyết định luồng là ko hoạt động hay tồn tại quá lâu và thời gian mặc định cho luồng ko hoạt động là trong 15s,còn thời gian mặc định giới hạn cho hoạt động của một luồng là 30 phút.Collector có thể kết hợp các luồng và đưa ra tổng hợp về lưu lượng mạng.
Vị trí của NetFlow trong mạng: NetFlow thường được sử dụng ở site trung tâm bởi tất cả lưu lượng mạng từ các site remote khác đều được phân tích và giám sát bởi NetFlow.Vị trí triển khai NetFlow phụ thuộc vào cấu trúc mạng.Nếu reporting collection server đặt ở vị trí trung tâm thì vị trí tối ưu nhất để cài đặt NetFlow chình là ở gấn server đó.
Định dạng của dữ liệu gửi đi bởi NetFlow: dữ liệu NetFlow gửi tới collector bao gồm một header và tuần tự các bản ghi tiếp theo.Phần header chứa thông tin về số thứ tự,số bản ghi và thời gian hệ thống.Các bản ghi luồng chứa thông tin về luồng,ví dụ như địa chỉ IP,port,thông tin định tuyến.Có các version khác nhau của Cisco NetFlow như 1,5,7,8,9 với các định dạng dữ liệu có sự khác nhau.
Nội dung của một bản ghi của NetFlow
Lựa chọn version NetFlow phù hợp:
Version 9
Sử dụng khi cần xuất dữ liệu từ nhiều cồng nghệ khác nhau như Multicast,DoS,IPv6,BGP nexthop,…Định dạng có tính tương thích và mở rộng rất cao.Version 9 hỗ trợ xuất dữ liệu từ cả main cache và aggregation cache.
Version 8
Chỉ hỗ trợ xuất dữ liệu từ aggregation cache
Version 5
Chỉ hỗ trợ xuất dữ liệu từ main cache.Hầu hết các thiết bị truyền thống đều hỗ trợ định dạng nàyàcũng được dùng phổ biến
Version 1
Chỉ nên sử dụng khi hệ thống chỉ hỗ trợ version này.Nếu không nên sử dụng version 9 hoặc 5.
Ứng dụng NetFlow: phần mềm Cisco IOS NetFlow là một phần của họ các sản phẩm,tiện ích quản lí của Cisco.Các phần mềm được thiết kế đồng bộ kết hợp chặt chẽ với nhau để có thể quản lí kiểm tra giám sát hệ thống mạng một cách tốt nhất.
Phần 2. Cấu hình NetFlow
Cấu hình NetFlow theo mô hình sau và cài đặt chương trình NetFlow Analyzer trên PC 192.168.2.156 :
Test thử các dịch vụ giữa 2 PC ,xem báo cáo trên NetFlow Analyzer
Các bước cấu hình trên Router(NetFlow version 5)
Ø Bật NetFlow export trên các cổng của router:
§ interface {interface} {interface_number}
§ ip flow ingress (tương đương lệnh ip route-cache flow)
§ ip flow egress
bandwith
exit
§ Ví dụ: router-2621(config)#interface FastEthernet 0/1
router-2621(config-if)#ip route-cache flow
router-2621(config-if)#exit
Hoặc
router-2621(config)#interface FastEthernet 0/1
router-2621(config-if)# ip flow ingress
router-2621(config-if)# ip flow egress
router-2621(config-if)#exit
Ø Các lệnh để xuất dữ liệu NetFlow tới server chạy NetFlow analyzer
§ ip flow-export destination {hostname|ip_address} 9996 : Xuất các dữ liệu trong NetFlow cache tới một địa chỉ IP xác định.Sử dụng địa chỉ IP của NetFlow collector(chạy NetFlow Analyzer hoặc các chương trình NetFlow khác) và cổng lắng nghe kèm theo.Cổng mặc định của NetFlow Analyzer là 9996 tuy nhiên có thể thay đổi tùy theo người sử dụng.
§ ip flow-export source {interface} {interface_number} : Thiết lập địa chỉ nguồn của các gói dữ liệu NetFlow gửi tới NetFlow Analyzer.Dựa vào địa chỉ này NetFlow Analyzer có thể biết được nó đang nhận dữ liệu từ router nào gửi đến và nó có thể gửi các truy vấn SNMP tới router đó theo địa chỉ này.Ta có thể đặt source là các cổng giao tiếp của router( ví dụ int fa0/0) nhưng thường nên đặt địa chỉ source đó là địa chỉ loopback của router( ví dụ loopback 0).Điều đó làm cho những người muốn tấn công hệ thống mạng của bạn bởi vì địa chỉ IP cổng loopback của router không dễ bị dò ra như địa chỉ IP của các cổng vật lí khác của router.
§ ip flow-export version 5 [peer-as | origin-as] : Chọn version NetFlow để sử dụng( ở đây là version 5).NetFlow Analyzer chỉ hỗ trợ NetFlow version 5,7,9.Thông thường các router series 2600 thường chỉ hỗ trợ 3 loại version là :1,5,9.Version 1 chỉ nên sử dụng nếu phần mềm NetFlow chỉ hỗ trợ version này.Version 5 thường được sử dụng nhiều hơn và các trường thông tin của nó đầy đủ hơn.Version 9 có định dạng các gói thông tin NetFlow rất linh hoạt và có thế thay đổi tùy theo ý muốn người sử dụng.
§ ip flow-cache timeout [active minute | inactive seconds ] : Thiết lập thời hạn cho các luồng
· Active: thiết lập thời hạn tồn tại (theo phút) của một luồng đang chứa trong cache .Thời hạn này từ 1 đến 60 phút. (khuyến cáo để là 1)
· Inactive: thiết lập thời hạn tồn tại (theo s) của các luồng không hoạt động chứa trong cache.Thời hạn này từ 10 đến 600 s. (khuyến cáo để là 15)
§ snmp-server ifindex persist: đảm bảo thông tin về các cổng vẫn duy trì khi thiết bị reboot.
Ø Kiểm tra cấu hình NetFlow
§ Show ip flow export
§ Show ip cache flow
§ Show ip case verbose flow
Ø Tắt NetFlow
§ no ip flow-export destination {hostname|ip_address} {port_number}
§ interface {interface} {interface_number}
§ no ip route-cache flow
Cấu hình NetFlow nâng cao( sử dụng version 8 hoặc version 9)
Ø NetFlow main cache là cache mặc định được sử dụng để lưu trữ dữ liệu tạo ra bởi NetFlow.Khi lượng dữ liệu trao đổi trên mạng lớn thì lượng dữ liệu NetFlow gửi đi cũng càng nhiềuà tốn kém tài nguyên,hệ thống collector hoạt động chậm
Ø NetFlow aggregation cache là cache đặc biệt cho phép một số lượng hạn chế các luồng dữ liệu NetFlow kết hợp với nhau trên router.Tùy chọn kết hợp sẽ quyết định loại dữ liệu nào được gửi đi.
Ø NetFlow aggregation cho phép tổng hợp dữ liệu NetFlow ngay trên router trước khi dữ liệu đó được chuyển đi tới một NetFlow collectorà đòi hỏi ít băng thông hơn,giảm sự quá tải của collector.
Ø Các lệnh cấu hình
§ Router(config)# ip flow-aggregation cacheàtạo cache và các thuộc tính kèm theo để định dạng dữ liệu
§ Router(config-flow-cache)# cache entries 2048àsố lượng entry trong cache(mặc định là 4096)
§ Router(config-flow-cache)# cache timeout [active minute/inactive second]
§ Router(config-flow-cache)# export destination {{ip-address | hostname}udp-port}
§ Router(config-flow-cache)# export version 9
§ Router(config-flow-cache)# enabledà enable aggregation cache
§ Router(config-if)# exit
§ Còn lại trên các interface cấu hình NetFlow giống như version 5
Sử dụng phần mềm NetFlow Analyzer(version 4,hiện mới nhất là version 6):
Ø Khởi động:
§ Chạy NetFlow Analyzer server trước
§ Chạy NetFlow Analyzer web client để quản lí
§ Giao diện chính:
o Group Management: quản lí các thiết bị (router) theo nhóm
o User Menagement: quản lí người dùng truy nhập NetFlow Analyzer để xem thông tin
o Application Mapping: Các dịch vụ và cổng kèm theo mà NetFlow Analyzer hỗ trợ.Có thể thêm các dịch vụ mới để NetFlow Analyzer có thể nhận biết ví dụ yahoo…
o Runtime Administration: chỉnh sửa setting của NetFlow server
Phần 3. Một số phần mềm NetFlow của các hãng khác
v Một số phần mềm phân tích NetFlow
o Phiên bản thương mại:
o Phiên bản free:
Một số hình ảnh minh họa các phần mềm NetFlow phổ biến
o NetFlow Analyzer của Advendnet:
o Orion NetFlow Traffic Analyzer:
o Scrutinizer NetFlow Analyzer:
SNMP
Phần 1. Giới thiệu và các khái niệm về SNMP
Cốt lõi của SNMP là một tập hợp đơn giản các hoạt động giúp nhà quản trị mạng có thể quản lý, thay đổi trạng thái của mạng. Ví dụ chúng ta có thể dùng SNMP để tắt một interface nào đó trên router của mình, theo dõi hoạt động của card Ethernet, hoặc kiểm soát nhiệt độ trên switch và cảnh báo khi nhiệt độ quá cao.
IETF (Internet Engineering Task Force) là tổ chức đã đưa ra chuẩn SNMP thông qua các RFC.
o SNMP version 1 chuẩn của giao thức SNMP được định nghĩa trong RFC 1157 và là một chuẩn đầy đủ của IETF. Vấn đề bảo mật của SNMP v1 dựa trên nguyên tắc cộng đồng, không có nhiều password, chuổi văn bản thuần và cho phép bất kỳ một ứng dụng nào đó dựa trên SNMP có thể hiểu các hiểu các chuổi này để có thể truy cập vào các thiết bị quản lý. Có 3 tiêu chuẩn trong: read-only, read-write và trap.
o SNMP version 2: phiên bản này dựa trên các chuổi “community”. Do đó phiên bản này được gọi là SNMPv2c, được định nghĩa trong RFC 1905, 1906, 1907, và đây chỉ là bản thử nghiệm của IETF. Mặc dù chỉ là thử nghiệm nhưng nhiều nhà sản xuất đã đưa nó vào thực nghiệm.
o SNMP version 3: là phiên bản tiếp theo được IETF đưa ra bản đầy đủ. Nó được khuyến nghị làm bản chuẩn, được định nghĩa trong RFC 1905, RFC 1906, RFC 1907, RFC 2571, RFC 2572, RFC 2573, RFC 2574 và RFC 2575. Nó hổ trợ các loại truyền thông riêng tư và có xác nhận giữa các thực thể.
Trong SNMP có 3 vấn đề cần quan tâm: Manager, Agent và MIB (Management Information Base). MIB là cơ sở dữ liệu dùng phục vụ cho Manager và Agent.
o Manager là một server có chạy các chương trình có thể thực hiện một số chức năng quản lý mạng. Manager có thể xem như là NMS (Network Manager Stations). NMS có khả năng thăm dò và thu thập các cảnh báo từ các Agent trong mạng. Thăm dò trong việc quản lý mạng là “nghệ thuật” đặt ra các câu truy vấn đến các agent để có được một phần nào đó của thông tin. Các cảnh báo của agent là cách mà agent báo với NMS khi có sự cố xảy ra. Cảnh bảo của agent được gửi một cách không đồng bộ, không nằm trong việc trả lời truy vấn của NMS. NMS dựa trên các thông tin trả lời của agent để có các phương án giúp mạng hoạt động hiệu quả hơn. Ví dụ khi đường dây T1 kết nối tới Internet bị giảm băng thông nghiêm trọng, router sẽ gửi một thông tin cảnh báo tới NMS. NMS sẽ có một số hành động, ít nhất là lưu lại giúp ta có thể biết việc gì đã xảy ra. Các hành động này của NMS phải được cài đặt trước.
o Agent là một phần trong các chương trình chạy trên các thiết bị mạng cần quản lý. Nó có thể là một chương trình độc lập như các deamon trong Unix, hoặc được tích hợp vào hệ điều hành như IOS của Cisco trên router. Ngày nay, đa số các thiết bị hoạt động tới lớp IP được cài đặt SMNP agent. Các nhà sản xuất ngày càng muốn phát triển các agent trong các sản phẩm của họ công việc của người quản lý hệ thống hay quản trị mạng đơn giản hơn. Các agent cung cấp thông tin cho NMS bằng cách lưu trữ các hoạt động khác nhau của thiết bị. Một số thiết bị thường gửi một thông báo “tất cả đều bình thường” khi nó chuyển từ một trạng thái xấu sang một trạng thái tốt. Điều này giúp xác định khi nào một tình trạng có vấn đề được giải quyết.
Mối quan hệ giữa NMS và agent:
Không có sự hạn chế nào khi NMS gửi một câu truy vấn đồng thời agent gửi một cảnh báo.
o MIB có thể xem như là một cơ sở dữ liệu của các đối tượng quản lý mà agent lưu trữ được. Bất kỳ thông tin nào mà NMS có thẻ truy cập được đều được định nghĩa trong MIB. Một agent có thể có nhiều MIB nhưng tất cả các agent đều có một lọa MIB gọi là MIB-II được định nghĩa trong RFC 1213. MIB-I là bản gốc của MIB nhưng ít dùng khi MIB-II được đưa ra. Bất kỳ thiết bị nào hổ trợ SNMP đều phải hổ trợ MIB-II. MIB-II định nghĩa các tham số như tình trạng của interface (tốc độ của interface, MTU, các octet gửi, các octet nhận. ...) hoặc các tham số gắn liền với hệ thống (định vị hệ thống, thông tin liên lạc với hệ thống, ...). Mục đích chính của MIB-II là cung cấp các thông tin quản lý theo TCP/IP. Có nhiều
kiểu MIB giúp quản lý cho các mục đích khác nhau:
§ • ATM MIB (RFC 2515)
• Frame Relay DTE Interface Type MIB (RFC 2115)
• BGP Version 4 MIB (RFC 1657)
• RDBMS MIB (RFC 1697)
• RADIUS Authentication Server MIB (RFC 2619)
• Mail Monitoring MIB (RFC 2249)
• DNS Server MIB (RFC 1611)
Nhưng nhà sản xuất cũng như người dùng có thể định nghĩa các biến MIB riêng cho họ trong từng tình huống quản lý của họ.
Quản lý Host Resource cũng là một phần quan trọng của quản lý mạng. Trước đây, sự khác nhau giữa quản lý hệ thống kiểu cũ và quản lý mạng không được xác định, nhưng bây giờ đã được phân biệt rõ ràng. RFC 2790 đưa ra Host Resource với định nghĩa tập hợp cá đối tượng cần quản lý trong hệ thống Unix và Window. Một số đối tượng đó là: dung lượng đĩa, số user của hệ thống, số tiến trình đang chạy của hệ thống và các phần mềm đã cài vào hệ thống. Trong một thế giới thương mại điện tử, các dịch vụ như web ngày càng trở nên phổ biến nên việc đảm bảo cho các server hoạt động tốt là việc hết sức quan trọng
RMON (Remote Monitoring) hay còn gọi là RMON v1 được định nghĩa trong RFC 2819. RMON v1 cung cấp cho NMS các thông tin dạng packet về các thực thể trong LAN hay WAN. RMON v2 được xây dựng trên RMON v1 bởi những nhà cung cấp mạng và cung cấp thông tin ở lớp application. Thông tin có thể thu được bằng nhiều cách.. Một cách trong đó là đặt một bộ phận thăm dò của RMON trên mỗi phân đoạn mạng muốn theo dõi. RMON MIB được thiết kế để các RMON có thể chạy khi không kết nối logic giữa NMS và agent, có thể lấy được thông tin mà không cần chờ truy vấn của NMS. Sau đó, khi NMS muốn truy vấn, RMON sẽ trả lời bằng các thông tin thu thập được. Một đặc tính khác là ta có thể đặt ngưỡng cho một loại lỗi nào đó, và khi lỗi vượt quá ngưỡng đặt ra, RMON gửi một cảnh báo cho NMS.
Hoạt động của SNMP theo sơ đồ sau:
- get
- get-next
- get-bulk (cho SNMP v2 và SNMP v3)
- set
- get-response
- trap (cảnh báo)
- notification (cho SNMP v2 và SNMP v3)
- inform (cho SNMP v2 và SNMP v3)
- report (cho SNMP v2 và SNMP v3)
”get”: ”get” được gửi từ NMS yêu cầu tới agent. Agent nhận yêu cầu và xử lý với khả năng tốt nhất có thể. Nếu một thiết bị nào đó đang bận tải nặng, như router, nó không có khả năng trả lời yêu cầu nên nó sẽ hủy lời yêu cầu này. Nếu agent tập hợp đủ thông tin cần thiết cho lời yêu cầu, nó gửi lại cho NMS một ”get-response”:
Để agent hiểu được NMS cần tìm thông tin gì, nó dựa vào một mục trong ”get” là ”variable binding” hay varbind. Varbind là một danh sách các đối tượng của MIB mà NMS muốn lấy từ agent. Agent hiểu câu hỏi theo dạng: OID=value để tìm thông tin trả lời. Câu hỏi truy vấn cho trường hợp trong hình vẽ trên
”get-next”: ”get-next” đưa ra một dãy các lệnh để lấy thông tin từ một nhóm trong MIB. Agent sẽ lần lượt trả lời tất cả các đối tượng có trong câu truy vấn của ”get-next” tương tự như ”get”, cho đến khi nào hết các đối tượng trong dãy
”get-bulk”: ”get-bulk” được định nghĩa trong SNMPv2. Nó cho phép lấy thông tin quản lý từ nhiều phần trong bảng
”set”: để thay đổi giá trị của một đối tượng hoặc thêm một hàng mới vào bảng. Đối tượng này cần phải được định nghĩa trong MIB là ”read-write” hay ”write-only”. NMS có thể dùng ”set’ để đặt giá trị cho nhiều đối tượng cùng một lúc
SNMP Traps: Trap là cảnh báo của agent tự động gửi cho NMS để NMS biết có tình trạng xấu ở agent
Phần 2. Cấu hình SNMP
Sử dụng phần mềm PRTG để theo dõi băng thông bằng cách cấu hình SNMP trên Router
Các lệnh cấu hình SNMP trên Cisco Router
o Cấu hình SNMP Access
§ snmp-server community public ro (ro-read only)
§ snmp-server community private rw 60 (rw-read write)
§ access-list 60 permit 192.168.2.156
o Cấu hình SNMP Traps
§ snmp-server host 192.168.2.156 public
§ snmp-server enable traps [frame-relay,envmon temperature,bgp,snmp,…]
§ snmp-server trap-source loopback 0