Xây dựng hệ thống mạng doanh nghiệp sử dụng mã nguồn mở
Trang 1
TP.Hồ Chí Minh, Ngày … Tháng … Năm 2013
GIÁO VIÊN HƯỚNG DẪN
Trang 2
TP.Hồ Chí Minh, Ngày … Tháng … Năm 2013
GIÁO VIÊN PHẢN BIỆN
Trang 3
TP.Hồ Chí Minh, Ngày … Tháng … Năm 2013
Trang 4Chúng em xin được gửi lời cảm ơn trân trọng và sâu sắc nhất tới giáo viên hướng
dẫn Thầy Nguyễn Đăng Quang – người đã tận tình chỉ bảo, hướng dẫn, truyền đạt kiến
thức chúng em trong suốt quá trình nghiên cứu thực hiện đề tài này
Trong quá trình học tập, triển khai nghiên cứu đề tài và những gì đạt được hôm nay, chúng em không thể quên được công lao giảng dạy và hướng dẫn của các Thầy, Cô trường Đại học Sư phạm kỹ thuật TPHCM, đặc biệt là các Thầy, Cô khoa Công nghệ thông tin trường Đại học Sư phạm kỹ thuật TPHCM
Xin được cảm ơn bạn bè đã luôn ở bên chúng em, giúp đỡ và tạo điều kiện thuận lợi cho chúng em được học tập, nghiên cứu, hoàn thành đề tài
TP Hồ Chí Minh, Ngày 18 tháng 06 năm 2013
Nhóm thực hiện đề tài Nguyễn Thế Đạt Nguyễn Quang Linh
Trang 5MỤC LỤC
CHƯƠNG 1: TỔNG QUAN 8
1.1 Lí do chọn đề tài 8
1.1.1 Lí do khách quan 8
1.1.2 Lí do chủ quan 8
1.2 Mục tiêu đề tài 8
1.3 Giới hạn đề tài 8
1.4 Mục đích nghiên cứu 9
1.4.1 Mục đích trước mắt 9
1.4.2 Mục đích cụ thể 9
1.4.3 Mục đích lâu dài 9
1.5 Thể thức nghiên cứu 9
1.5.1 Dàn ý chi tiết 9
1.5.2 Đối tượng nghiên cứu 10
1.5.3 Phương pháp nghiên cứu 10
1.5.4 Phương tiện nghiên cứu 10
CHƯƠNG 2: HỆ THỐNG MẠNG DOANH NGHIỆP 11
2.1 Kiến trúc Enterprise Cisco 11
2.1.1 Kiến trúc Campus 11
2.1.2 Kiến trúc Data Center 12
2.1.3 Kiến trúc Branch 13
2.1.4 Kiến trúc Teleworker 14
2.1.5 Kiến trúc WAN và MAN 14
2.2 Mô hình mạng LAN 15
2.2.1 Mô hình phân cấp (Hierarchical models) 15
2.2.2 Mô hình dự phòng (Redundant Models) 16
2.2.3 Mô hình an ninh-an toàn (Secure models) 16
2.3 Mô hình WAN 18
CHƯƠNG 3: MÔ HÌNH MẠNG ĐỀ XUẤT 20
Trang 63.1 Các yêu cầu về dịch vụ 20
3.2 Sơ đồ mạng thực tế 20
3.3 Sơ đồ mạng thực nghiệm 21
CHƯƠNG 4: CÁC DỊCH VỤ MẠNG 23
4.1 Dịch vụ DNS 23
4.1.1 Giới thiệu về DNS 23
4.1.2 Cài đặt và cấu hình 26
4.2 Dịch vụ DHCP 30
4.2.1 Giới thiệu DHCP 30
4.2.2 Cài đặt và cấu hình 31
4.3 Dịch vụ telnet 34
4.3.1 Giới thiệu telnet 34
4.3.2 Cấu hình và cài đặt 35
4.4 Dịch vụ ssh 36
4.4.1 Sơ lược về SSH 36
4.4.2 Cài đặt và cấu hình 37
4.5 LDAP 42
4.5.1 Giới thiệu 42
4.5.2 Cài đặt và cấu hình LDAP 48
4.6 Dịch vụ NFS 57
4.6.1 Giới thiệu NFS 57
4.6.2 Cài đặt và cấu hình 57
4.7 Dịch vụ Samba 60
4.7.1 Giới thiệu SAMBA 60
4.7.2 Cài đặt và cấu hình SAMBA 61
4.8 Dịch vụ firewall 68
4.8.1 Giới thiệu 68
4.8.2 Cài đặt và cấu hình 69
4.9 Dịch vụ proxy 74
Trang 74.9.1 Giới thiệu proxy 74
4.9.2 Cài đặt và cấu hình 76
4.10.Mail server 85
4.10.1.Giới Thiệu Về Mail Server: 85
4.10.2.Cài đặt 87
4.11.Web server 95
4.11.1 Giới thiệu 95
4.11.2 Cài đặt 97
4.12.FTP server 100
4.12.1.Giới thiệu FTP 100
4.12.2.Cài đặt 103
4.13.Virtual Private Network (VPN) 106
4.13.1.Giới thiệu 106
4.13.2.Cài đặt và cấu hình 108
4.14.IDS-IPS 116
4.14.1 Giới thiệu 116
4.14.2 Cài đặt và cấu hình snort 119
CHƯƠNG 5: KẾT LUẬN - HƯỚNG PHÁT TRIỂN 124
5.1 Tổng kết những công việc đã làm 124
5.2 Kết quả đạt được: 124
5.3 Hướng phát triển 124
TÀI LIỆU THAM KHẢO 125
Trang 8DANH MỤC HÌNH ẢNH
Hình 2.1: Các kiến trúc Enterprise của Cisco 11
Hình 2.2: Kiến trúc Campus 12
Hình 2.3: Kiến trúc Data Center 13
Hình 2.4: Kiến trúc Branch 14
Hình 2.5: Mô hình phân cấp 15
Hình 2.6: Mô hình tường lửa 3 phần 17
Hình 2.7: Mô hình phân cấp để hỗ trợ thiết kế WAN 18
Hình 3.1: Mô hình thực nghiệm 21
Hình 4.1: Nội dung file cấu hình phân giải thuận 29
Hình 4.2: Nội dung file cấu hình phân giải ngược 29
Hình 4.3: DNS phân giải trong nslookup 30
Hình 4.4: Nội dung file cấu hình dhcp server 32
Hình 4.5: Mô hình thực nghiệm 33
Hình 4.6: Nội dung file cấu hình dhcp replay agent 34
Hình 4.7: Nội dung file cấu hình định tuyến 34
Hình 4.8: Nội dung file cấu hình telnet 35
Hình 4.9: Login telnet 35
Hình 4.10: Nội dung file cấu hình security cho telnet 36
Hình 4.11: Nội dung file cấu hình sshd.config 38
Hình 4.12: Giao diện phần mềm PuTTY 38
Hình 4.13: Lệnh xin khóa rsa 39
Hình 4.14: Đổi tên và chmod id_rsa.pub 39
Hình 4.15: Giao diện Winscp 40
Trang 9Hình 4.16: Giao diện putty gen 40
Hình 4.17: Load private key 41
Hình 4.18: Chỉ đường dẫn đến private key 41
Hình 4.19: Kiểm thử ssh 42
Hình 4.10: Mô hình client server 42
Hình 4.21: Cấu trúc cây trong ldap 43
Hình 4.22:Luồng thông điệp giữa client server 44
Hình 4.23: Những thông điệp Client gửi cho server 44
Hình 4.24: Nhiều kết quả tìm kiếm được trả về 45
Hình 4.25: Giao diện web phpldapadmin 52
Hình 4.26: Màn hình join domain 56
Hình 4.27: Màn hình join domain thành công 56
Hình 4.28: Nội dung file cấu hình fstab 59
Hình 4.29: Nội dung thư mục data trên server 60
Hình 4.30: Nội dung thư mục data trên client 60
Hình 4.31: Mô hình samba 61
Hình 4.32: Kiểm tra cấu hình samba 62
Hình 4.33: Xem danh sách các folder share 65
Hình 4.34: Nội dung file cấu hình swat 66
Hình 4.35: Màn hình giao diện web swat 66
Hình 4.36: Giao diện cấu hình swat 68
Hình 4.37: Luồng sự kiện đi qua firewall 69
Hình 4.38: Nội dung file cấu hình iptables 71
Hình 4.39: Vị trí proxy với client và server 75
Trang 10Hình 4.40: Cấu hình proxy cho web browser 79
Hình 4.41: Màn hình địa chỉ facebook bị chặn 80
Hình 4.42: Màn hình yêu cầu chứng thực 81
Hình 4.43: Màn hình chứng thực thành công 81
Hình 4.44: Màn hình chặn trang web có chƣa virus 85
Hình 4.45: Thành phần postfix 86
Hình 4.46: Gừi mail ESMTP 89
Hình 4.47: Kiểm tra mail 90
Hình 4.48: Khởi động thunderbird 91
Hình 4.49: Tạo tài khoản thunderbird 92
Hình 4.50: Giao diện làm việc Thunderbird 92
Hình 4.51 : Giao diện đăng nhập squirrel mail 95
Hình 4.52 : Giao diện squirrel mail 95
Hình 4.53: Mô hình dịch vụ FTP 101
Hình 4.54: File selinux 104
Hình4.55: Truy cập FTP server từ Windows 106
Hình 4.56: Tạo private key 110
Hình 4.57: Tạo certificate và private key cho server 111
Hình 4.58: Tạo certificate và private key cho client 112
Hình 4.59: OpenVPN Connection 116
Hình 4.60: Màn hình quét Nmap 123
Hình 4.61: Màn hình giao diện snort base 123
Trang 11DANH MỤC CÁC TỪ VIẾT TẮT
DNS: Domain Name System
DHCP: Dynamic Host Configuration Protocol
SSH: Secure Shell
LDAP: Lightweight Directory Access Protocol
NFS: Network File System
UDP: User Datagram Protocol
TCP: Transmission Control Protocol
SMTP: Simple Mail Transfer Protocol
POP: Post Office Protocol
IMAP: Internet Message Access Protocol
FTP: File Transfer Protocol
VPN: Virtual Private Network
IDS: Intrusion detection system
IPS: Intrusion prevention systems
Trang 12
CHƯƠNG 1: TỔNG QUAN1.1 Lý do chọn đề tài
1.1.1 Lý do khách quan
- Hiện nay, công nghệ thông tin đang đóng vai trò cực kỳ quan trọng không thể thiếu trong quá trình quản lý, điều hành các hoạt động sản xuất kinh doanh của mỗi doanh nghiệp Do vậy, việc xây dựng được một hệ thống mạng với đầy đủ các dịch vụ cần thiết phục vụ kinh doanh là điều cực kỳ cấp thiết
- Ngoài các yếu tố phần cứng và nguồn nhân lực quản trị thì yếu tố phần mềm cũng đóng vai trò rất quan trọng khi xây dựng một hệ thống mạng Nói đến phần mềm, một vấn đề lớn ở nước ta đó là bản quyền, chi phí mua bản quyền các dịch vụ để hoàn tất một
hệ thống mạng là rất lớn Nên để tiết kiệm một khoản lớn chi phí, người ta dần chuyển sang các sản phẩm dịch vụ từ mã nguồn mở Ngoài việc chạy ổn định, ít bị tấn công, có một cộng đồng phát triển rất lớn thì ưu điểm lớn nhất và đáng quan tâm nhất của mã
nguồn mở đó là không tốn phí Vì những lý do trên, nhóm thực hiện đề tài: “Xây dựng
hệ thống mạng doanh nghiệp sử dụng mã nguồn mở”
1.1.2 Lý do chủ quan
- Nhóm chúng tôi thực hiện đề tài nhằm mục đích tìm hiểu thêm những kiến thức mới trong ngành Mạng máy tính Để từ đó có thêm kiến thức phục vụ cho quá trình học cũng như có ích cho công việc sau khi tốt nghiệp ra trường
1.2 Mục tiêu đề tài
- Tìm hiểu kiến trúc mạng doanh nghiệp
- Đề xuất một mô hình mạng doanh nghiệp
- Cài đặt và cấu hình các dịch vụ theo mô hình đã đề xuất
1.3 Giới hạn đề tài
- Đề tài “Xây dựng hệ thống mạng doanh nghiệp sử dụng mã nguồn mở” được nhóm chúng tôi lựa chọn để thực hiện khóa luận
Trang 13- Để xây dựng đƣợc mô hình mạng doanh nghiệp chạy ổn định và an toàn, kiểm soát hầu hết các lỗi và các tấn công trong mạng internet cần cài đặt và cấu hình rất nhiều dịch
vụ tịch hợp với nhau Do thời gian cũng nhƣ kiến thức và kinh nghiệm của nhóm chƣa
có, nên đề tài chỉ cài đặt và cấu hình các dịch vụ cơ bản nhất của một hệ thống mạng cần
Mục đích cụ thể nhóm nghiên cứu sẽ giải quyết các vấn đề sau:
- Giới thiệu nội dung
Trang 14+ Mục đích nghiên cứu
+ Thể thức nghiên cứu
- Phần nội dung
+ Chương 1: Tổng quan
+ Chương 2: Mô hình mạng doanh nghiệp
+ Chương 3: Mô hình mạng đề xuất
+ Chương 4:Các dịch vụ mạng
- Phần kết luận – đề nghị
- Phụ lục
1.5.2 Đối tượng nghiên cứu
Đối tượng nghiên cứu: hệ thống Centos 6
1.5.3 Phương pháp nghiên cứu
- Phương pháp tham khảo tài liệu: thu thập các tài liệu liên quan, phục vụ cho quá trình nghiên cứu
- Phương pháp tổng kết kinh nghiệm: thu thập các ý kiến, các phương pháp của thầy (cô) giảng dạy bộ môn chuyên ngành, kết hợp với những kinh nghiệm của bản thân rồi đúc kết để đưa vào bài báo cáo này
1.5.4 Phương tiện nghiên cứu
- Máy tính
- Các tài liệu
- Các phần mềm hổ trợ
Trang 15CHƯƠNG 2: HỆ THỐNG MẠNG DOANH NGHIỆP
Chương này trình bày kiến trúc mạng Cisco và các loại mô hình mạng trong doanh nghiệp, từ đó sẽ xây dựng một mô hình mạng thực nghiệm cho đề tải
2.1 Kiến trúc Enterprise Cisco
- Kiến trúc tích hợp đầy đủ và tối ưu hóa các cơ sở hạ tầng mạng, dịch vụ tương tác,
và các ứng dụng trên toàn bộ doanh nghiệp Các kiến trúc cụ thể: Campus, Data Center, Branch, Teleworker, MAN và WAN
Hình 2.1: Các kiến trúc Enterprise của Cisco
2.1.1 Kiến trúc Campus
- Là một mạng lưới gồm một tòa nhà hoặc một nhóm các tòa nhà được kết nối vào một mạng doanh nghiệp đó bao gồm nhiều mạng LAN Thường giới hạn trong một khu vực địa lý cố định
Trang 16Hình 2.2: Kiến trúc Campus
- Ví dụ: Một khu liên hợp công nghiệp, môi trường công viên kinh doanh
- Kiến trúc khuôn viên cho các doanh nghiệp mô tả các phương pháp để tạo ra một mạng lưới khả năng mở rộng, giải quyết các nhu cầu của hoạt động kinh doanh
- Là mô hình mạng thông minh do Cisco đưa ra bao gồm 3 phần chính:
+ Access Layer
+ Distribution Layer
+ Core Layer
2.1.2 Kiến trúc Data Center
- Là trung tâm dữ liệu có trách nhiệm quản lý và duy trì hệ thống dữ liệu và quan trọng đối với hoạt động kinh doanh hiện đại
+ Nhân viên, đối tác và khách hàng dựa trên dữ liệu và các nguồn lực trong trung tâm dữ liệu để có hiệu quả cộng tác và tương tác
Trang 17+ Trong thập kỷ qua, sự phát triển của Internet và công nghệ trên nền web dã làm cho trung tâm dữ liệu trở nên quan trọng hơn bao giờ hết, nâng cao năng suất, nâng cao quy trình kinh doanh và thay đổi tốc độ
Hình 2.3: Kiến trúc Data Center
2.1.3 Kiến trúc Branch
- Là kiến trúc hỗ trợ doanh nghiệp mở rộng ứng dụng văn phòng và tích hợp hàng loạt các dịch vụ trên router tại chi nhánh cho các doanh nghiệp khi triển khai dịch vụ mở
Trang 18Hình 2.4: Kiến trúc Branch
- Cisco tích hợp bảo mật, chuyển mạch, mạng lưới phân tích, lưu trữ và hội tụ các dịch vụ thoại và video vào một loạt các dịch vụ tích hợp bộ định tuyến trong ngành để các doanh nghiệp có thể triển khai dịch vụ mới khi họ đã sẵn sàng mà không cần mua thiết bị mới
2.1.5 Kiến trúc WAN và MAN
Trang 19- Kiến trúc Enterise của Cisco về WAN và MAN cung cấp sự hội tụ của thoại, video,
và các dịch vụ dữ liệu trên một mạng Truyền thông IP Cách tiếp cận này cho phép doanh nghiệp tiết kiệm chi phí làm việc trong một khu vực địa lý rộng lớn
+ Tầng phân tán (Distribution Layer): Lớp phân tán là ranh giới giữa tầng truy nhập và tầng Core của mạng Tầng phân tán thực hiện các chức năng như đảm bảo gửi dữ liệu đến từng phân đoạn mạng, bảo mật, phân đoạn mạng theo nhóm công tác, chia miền broadcast/multicast, định tuyến giữa các LAN ảo (VLAN), chuyển môi trường truyền
Trang 20dẫn, định tuyến giữa các miền, tạo biên giới giữa các miền trong định tuyến tĩnh và động, thực hiện các bộ lọc gói (theo địa chỉ, theo số hiệu cổng, ), thực hiện các cơ chế đảm bảo chất lượng dịch vụ QoS
+ Tầng truy nhập (Access Layer): Tầng truy nhập cung cấp cho người dùng cục bộ hay từ xa truy nhập vào mạng Thường được thực hiện bằng các bộ chuyển mạch (switch) trong môi trường campus, hay các công nghệ WAN
2.2.2 Mô hình dự phòng (Redundant Models)
- Khi thiết kế một hệ thống mạng cho khách hàng, cần phải xác định khả năng thất bại của các thành phần trong hệ thống và thiết kế dự phòng khi cần thiết
Trang 21- Hệ thống tường lửa 3 phần (Three-Part Firewall System), đặc biệt quan trọng trong thiết kế WAN Ở đây, chúng tôi chỉ nêu một số khía cạnh chung nhất cấu trúc của mô hình sử dụng trong thiết kế mạng LAN
Hình 2.6: Mô hình tường lửa 3 phần
- Một mạng LAN cô lập làm vùng đệm giữa mạng nội bộ của công ty với mạng bên ngoài (trong một số tài liệu mạng LAN này được gọi là vùng phi quân sự (DMZ))
- Một router hoạt động như một bộ lọc gói tin được đặt giữa DMZ và mạng nội bộ
- Một router khác hoạt động như một bộ lọc gói tin được đặt giữa DMZ và mạng ngoài
Trang 222.3 Mô hình WAN
- Khái niệm mô hình phân cấp: Mô hình phân cấp để hỗ trợ thiết kế WAN thường là
mô hình phân cấp ba tầng: tầng 1 là tầng lõi(xương sống của WAN – backbone), tầng 2 phân tán, tầng 3 là tầng truy nhập, gọi tắt là mô hình phân cấp phục vụ cho việc khảo sát
và thiết kế WAN
Hình 2.7: Mô hình phân cấp để hỗ trợ thiết kế WAN + Tầng lõi là phần kết nối mạng (WAN backbone): kết nối các trung tâm mạng (NOC) của từng vùng, thông thường khoảng cách giữa các NOC là xa hay rất xa, do vậy chi phí kết nối và độtin cậy cần phải được xem xét kỹ Hơn nưa vấn đề đảm bảo chất lượng dịch vụ QoS cũng được đặt ra, dẫn đến phân loại, phân cấp ưu tiên dịch vụ
+ Tầng phân tán là phần kết nối các điểm đại diện POP, hay các nhánh mạng vào NOC
- Tầng truy nhập từ xa là phần kết nối của người dùng di động, hay các chi nhánh nhỏ vào POP hay vào NOC
Trang 23- Các ưu điểm của mô hình phân cấp: Nhờ mô hình phân cấp người thiết kết WAN
dễ tổ chức khảo sát, dễ lựa chọn các phương án và công nghệ kết nối, dễ tổ chức triển khai, cũng như đánh giá kết quả
Trang 24CHƯƠNG 3: MÔ HÌNH MẠNG ĐỀ XUẤT 3.1 Các yêu cầu về dịch vụ
Để xây dựng được một hệ thống mạng cục bộ, phục vụ hầu hết các công việc kinh doanh, cần có:
- DNS primary server để phân giải tên miền nội bộ
- DNS seconday để dự phòng cho primary DNS server
- DHCP server để cấp địa chỉ IP cho các host
- DC server kết hợp samba để chứng thực tập trung cho các users
- Web server để phục vụ trang web giới thiệu, quảng bá về công ty
- Mail server để gởi nhận mail trong nội bộ và nếu muốn gởi mail ra ngoài thì phải đăng ký tên miền trên internet
- FTP server để trao đổi file
- Cài đặt dịch vụ SAMBA để chia sẻ file trong mạng cục bộ giữa client windows và linux
- Cài đặt dịch vụ NFS để chia sẻ file trong mạng cục bộ giữa các client linux với nhau
- Cài đặt firewall, proxy, IDS để lọc gói tin, ngăn chặn và phát hiện tấn công đến các server
- Cài đặt telnet, ssh để điều kiển server từ xa
- Cài đặt VPN server giúp remote client truy xuất mạng cục bộ
3.2 Sơ đồ mạng thực tế
Dựa vào những yêu cầu trên, nhóm đề xuất mô hình mạng và các dải địa chỉ IP như sau
Trang 25 Web server, mail server, ftp server địa chỉ: 192.168.1.4/24
DC server, DNS secondary server, samba, nfs địa chỉ: 192.168.1.2/24
DHCP server, DNS primary server,VPN server địa chỉ: 192.168.1.3/24
Mạng cục bộ chứa các client có dãi địa chỉ : 192.168.2.0/24
Trang 26server2 eth0: 192.168.1.4 255.255.255.0 192.168.1.1 192.168.1.3
192.168.1.2 server3 eth0: 192.168.1.2 255.255.255.0 192.168.1.1 192.168.1.3
192.168.1.2 server4 eth0: 192.168.1.3 255.255.255.0 192.168.1.1 192.168.1.3
192.168.1.2 client DHCP
Trang 27CHƯƠNG 4: CÁC DỊCH VỤ MẠNG 4.1 Dịch vụ DNS
và việc phải nhớ một dãy số hexa 32 số là việc không tưởng
- Do những khó khăn trên nên người ta nghĩ ra việc, làm sao để ánh xạ địa chỉ ip của mỗi máy thành hostname của nó và ngược lại Để khi trao đổi với nhau người ta chỉ cần nhớ tên hostname của máy tính bên kia
- Ban đầu do quy mô mạng ARPA NET( tiền thân của mạng internet) còn nhỏ, nên chỉ
có một tập tin HOST.TXT lưu thông tin và ánh xạ tên máy thành địa chỉ IP Trong đó, tên máy chỉ là chuỗi văn văn bản không phân cấp (plat name) Tập tin này được duy trì tại một máy chủ và các máy chủ khác lưu giữ bản sao của nó Tuy nhiên khi quy mô mạng lớn hơn, việc sử dụng tập tin HOST.TXT có các nhược điểm sau :
+ Lưu lượng mạng và máy chủ duy trì tập tin HOST.TXT bị quá tải
+ Xung đột tên: do tên máy không phân cấp và không có cơ quản lý tập tin nên có nguy cơ bị xung đột tên
+ Không đảm bảo sự toàn vẹn: việc duy trì tập tin trên một mạng lớn rất khó khăn
Ví dụ: khi tập tin HOST.TXT vừa cập nhật chưa kịp chuyển đến máy chủ ở xa thì đã có
sự thay đổi địa chỉ trên mạng rồi
- Tóm lại: việcsử dụng tập tin HOST.TXT không phù hợp cho mạng lớn vì thiếu cơ chế phân tán và mở rộng Do đó dịch vụ DNS ra đời nhằm khắc phục các nhược điểm
này
Trang 284.1.1.1 Hệ thống tên miền – DNS
- DNS hoạt động theo mô hình client - server Máy chủ server chứa các thông tin CSDL Phía client là trình phân giải tên resolver, nó chỉ là các hàm thư viện dùng để tạo các query và gởi chúng đến máy chủ DNS server
- DNS hoạt động như một giao thức tầng application trong mạng TCP/IP
- DNS là một cơ sở dữ liệu phân tán Có nhiệm vụ chuyển đổi tên miền sang địa chỉ IP
và ngược lại Hệ thống DNS ra đời nhằm mục đích giúp người sử dụng một tên dễ nhớ,
dễ sử dụng
- Nguyên tắc làm việc của DNS:
+ Mỗi nhà cung cấp dịch vụ vận hành và duy trì DNS server của riêng mình Khi
có yêu cầu tìm kiếm một website nào đó, thì DNS server phân giải tên website này phải
là DNS server của chính tổ chức quản lý website đó
+ INTERNIC - Internet Network Information Center chịu trách nhiệm quản lý các tên miền và DNS server tương ứng
+ DNS server có khả năng truy vấn các DNS server khác Ngoài việc phân giải tên miền cho các máy trong nội bộ thì nó cũng hỗ trợ các truy vấn từ các máy ngoài mạng internet vào bên trong
+ DNS server cũng có khả năng nhớ lại các tên vừa phân giải, để dùng cho những lần truy vấn lần sau Số lượng tên miền được lưu lại phụ thuộc vào quy mô của từng DNS server
4.1.1.2 Hoạt động của DNS server trong LINUX
- Phân loại DNS server
+ Primary name server: Nguồn xác thực thông tin chính thức cho các domain mà
nó được phép quản lý
+ Secondary name server: server dự phòng cho primary server
Trang 29+ Caching name server: Lưu lại các lần truy vấn của client, giúp cho các lần truy vấn sau được nhanh chóng và giảm tải cho server
+ Hệ thống tên miền cho phép phân chia tên miền để quản lí và chia hệ thống tên miền thành Zone và trong Zone quản lí tên miền được phân chia đó
Zone file lưu thông tin Zone ở dạng text hoặc trong Active Directorry
+ Zone thuận và Zone nghịch
Zone thuận - Forward Lookup Zone để phân giải tên máy (Hostname) thành địa chỉ IP
Zone nghịch - Reverse Lookup Zone để phân giải địa chỉ IP thành tên máy (Hostname)
- Các loại truy vấn
+ Truy vấn đệ quy (Recursive query) : Khi name server nhận được truy vấn dạng này, nó bắt buộc phải trả về kết quả tìm được hoặc thông báo lỗi nếu như truy vấn này không phân giải được Nameserver không thể tham chiếu truy vấn đến một name server khác Namesserver có thể gửi truy vấn dạng đệ quy hoặc tương tác đến nameserver khác nhưng nó phải thực hiện cho đến khi nào có kết quả mới thôi
+ Truy vấn tương tác: khi nameserver nhận được truy vấn dạng này, nó trả lời cho resolver với thông tin tốt nhất mà nó có được vào thời điểm đó Bản thân nameserver
Trang 30không thực hiện bất cứ một truy vấn nào thêm Thông tin tốt nhất trả về có thể lấy từ dữ liệu cục bộ (kể cả cache) Trong trường hợp nameserver không tìm thấy trong dữ liệu cục
bộ nó sẽ trả về tên miền và địa chỉ IP của nameserver gần nhất mà nó biết
+ File named.conf: file cấu hình chính cùa DNS
+ Các tệp cơ sở dữ liệu DNS - các file phận giải thuận, phân giải nghịch Thành phần cơ bản là bản ghi nguồn RR( Resource Record) Mỗi bản ghi có một kiểu dữ liệu, bao gồm:
SOA (Start of Authority): Trong mỗi tập tin cơ sở dữ liệu phải có một và chỉ một record SOA Record SOA chỉ ra rằng máy chủ name server là nơi cung cấp thông tin tin cậy từ dữ liệu có trong zone
NS (Name Server): tên server
MX (Mail Exchange): chuyểnmail trên mạng Internet
A (Address): ánh xạ tên máy (hostname) vào địa chỉ IP
CNAME (Canonical Name): tên bí danh của server
PTR: dùng để ánh xạ địa chỉ IP thành Hostname
4.1.2 Cài đặt và cấu hình
Trang 314.1.2.1 Cài đặt
- Cần download và cài đặt gới BIND trên máy linux Thường thì tên file cài đặt BIND bắt đầu là bind, sau đó là version, ví dụ: bind-9.6.2-5.P2.fc12.i686
- Nếu không biết version nào, gõ: bind*
- Thông thường có 2 cách cài đặt BIND là cài từ source và từ gói compile sẵn (RPM - Redhat Package Manager)
Liệt kê các gói bind: #cd Centos
Cài đặt các gói phục vụ cho dịchvụ DNS: #rpm –ivh bind.*.rpm (* là phiên bản của gói cài đặt)
Trang 32 Named.root chứa địa chỉ của DNS root server trên toàn cầu
zone "localhost" là zone phân giải thuận của localhost
zone "0.0.127.in-addr.arpa” là zone phân giải nghịch của localhost
zone "spkt.com.vn" là zone phân giải thuận trong miền nội bộ của hệ thống
zone "1.168.192.in-addr.arpa" là zone phân giải nghịch trong miền nội bộ Phân giải trong miền nội bộ phụ thuộc rất lớn vào 2 file này
Trang 33+ Cấu hình file "spkt.db";trong /var/named/chroot/var/named/
Hình 4.1: Nội dung file cấu hình phân giải thuận + Cấu hình file phân giải nghịch "1.168.192.in-addr.arpa.db" trong /var/named/chroot/var/named/
Hình 4.2: Nội dung file cấu hình phân giải ngƣợc
Trang 34Sau khi cấu hình xong file này và ping thành công 2 máy thì khi restart lại dịch
vụ, DNS slave tự động cập nhật các cấu hình bên máy Master qua file cấu hình
- Kiểm tra dịch vụ DNS phân giải trong nslookup
Hình 4.3: DNS phân giải trong nslookup
Trang 35- Với mô hình mạng tương đối nhỏ việc cấp IP tương đối dễ dàng Nhưng với 1 mô hình mạng lớn thì việc cung cấp IP trở nên khó khăn
Cần phải có một dịch vụ cung cấp IP tự động cho các máy client trong hệ thống mạng
- DHCP là một dịch vụ cung cấp IP động cho các Client
- Hoạt động theo mô hình Client – Server
- Ngoài ra DHCP còn có nhiều tính năng khác cho client như: cung cấp địa chỉ của máy tính dùng để giải quyết tên miền DNS, địa chỉ của một Gateway router, …
4.2.1.2 Cấu hình DHCP server bao gồm bốn thông số sau:
- Options: Dùng để cung cấp các yếu tố cho phía client như địa chỉ IP, địa chỉ subnet
mask, địa chỉ Gateway, địa chỉ DNS …
- Scope: Một đoạn địa chỉ được quy định trước trên DHCP server dùng để gán cho các
#rpm –ivhdhcp-*.rpm (với * là phiên bản của gói dịch vụ)
+ Cách 2: cài đặt bằng cách tải từ trên mạng
#yum –y install dhcp
- Kiểm tra gói cài đặt :# rpm –qa|grepdhcp
Trang 36Hình 4.4: Nội dung file cấu hình dhcp server
Ý nghĩa của một số options:
ddns-update-style interim
ignore client-updates
subnet … netmask … : địa chỉ subnet và netmask
option router: Default gateway
option subnet-mask: Netmask cấp cho client
option nis-domain: NIS domain
option domain-name: Domain name
option domain-name-servers: IP DNS server
range dynamic-bootp: vùng địa chỉ cấp cho các clients
default-lease-time: thời gian mặc định cấp cho 1 client
max-lease-time: thời gian tối đa cấp cho 1 client
host ns: khai báo những máy luôn nhận IP cố định
+ Bước 3 Khởi động dịch vụ
Không cho phép DHCP cập nhật động DNS
Trang 37- Cấu hình DHCP replay agent
+ Khi các client nẳm khác mạng với DHCP server, mọi gọi resquest từ DHCP client đều không thể vƣợt qua đƣợc router Do vậy ta phải cấu hình router làm DHCP replay agent làm nhiệm vụ trung gian giữa DHCP server và DHCP client
+ Mô hình mạng :
Hình 4.5: Mô hình thực nghiệm
Trang 38+ Cấu hình trên máy DHCP replay agent:
DHCPSERVERS: khai báo địa chỉ IP của DHCP Server
+ Lưu file và khởi động dịch vụ DHCP Relay Agent bằng lệnh: service dhcrelay restart
+ Mở routing trên DHCP replay agent , thiết lập các dòng dưới bằng 1
Vi /etc/sysctl.conf
Hình 4.7: Nội dung file cấu hình định tuyến
4.3 Dịch vụ telnet
4.3.1 Giới thiệu telnet
- Telnet viết tắt của Terminal Network là một giao thức mạng
- Telnet là một giao thức khách – chủ cho phép người quản trị điều khiển máy chủ từ
xa
- Telnet sử dụng giao thức TCP để truy cập.Thường kết nối vào cổng 23 của máy chủ
- Ngày nay người ta càng ít dùng telnet vì 3 nguyên nhân sau:
+ Càng ngày càng phát hiện các điểm yếu trong các daemon của telnet
Trang 39+ Telnet không mã hóa dữ liệu trên đường truyền, kể cả mật khẩu
+ Telnet không chứng thực người dùng
- Tuy nhiên telnet vẫn được dùng trong các trường hợp không cần mã hóa thông tin như gỡ lỗi, tìm các sai sót trong các dịch vụ mạng, tham gia cộng đồng online
4.3.2 Cấu hình và cài đặt
- Cài đặt : yum install –y telnet-server
- Cấu hình
+ Mở file cấu hình vi /etc/xinetd.d/telnet
Hình 4.8: Nội dung file cấu hình telnet + Sửa dòng disable = no để mở telnet Sau đó restart lại dịch vụ bằng dòng lệnh service xinetd restart và telnet vào server
Hình 4.9: Login telnet
Lưu ý: nếu có firewall thì phải tắt đi: service iptables stop hoặc vào vi
/etc/sysconfig/iptables và thêm dòng như sau: iptables -A INPUT -p tcp dport 23 -j ACCEPT
- Cấu hình security cho telnet
+ Only_from = 172.16.0.0 255.255.0.0 chỉ cho telnet từ một địa chỉ
Trang 40Hình 4.10: Nội dung file cấu hình security cho telnet + Chỉnh sửa tại 2 file /etc/hosts.allow và /etc/hosts.deny để cho phép hoặc cấm các máy dùng dịch vụ telnet
Chỉnh sửa 2 file: vi /etc/hosts.allow và vi /etc/hosts.deny
Trong hosts.allow thêm dòng: in.telnetd : địa chỉ của host được truy cập
Trong hosts.deny thêm dòng: in.telnetd: địa chỉ của host không cho phép
telnet 23/udp thành telnet 2323/udp
+ Ngoài ra, cũng có thể cấu hình trong vi /etc/xinetd.conf Những cấu hình trong này sẽ áp dụng cho tất cả các dịch vụ mà xinetd cung cấp
4.4 Dịch vụ ssh
4.4.1 Sơ lược về SSH
- SSH (Secure Shell) là một giao thức mạng tương tác giữa máy server và máy client Cung cấp các cơ chế mã hóa, bảo mật dữ liệu chống lại sự đánh cắp trên đường truyền
- SSH làm việc thông qua 3 bước:
+ Định danh host – xác định định danh của hệ thống tham gia phiên làm việc ssh Bằng cách trao đổi khóa, mối khóa gồm khóa công khai và khóa bí mật
+ Mã hóa - thiết lập kênh làm việc mã hóa bằng 3DES, IDEA, Blowfish, MD5,