BÀI GiẢNG MÔN MẠNG MÁY TÍNH 1/21/2022 1 1 Giảng viên Trần Văn Hội Email hoitv@tlu edu vn Điện thoại 0944 736 007 TRƯỜNG ĐẠI HỌC THỦY LỢI KHOA CÔNG NGHỆ THÔNG TIN Bộ môn Kỹ thuật máy tính và mạng QUẢN[.]
1/21/2022 TRƯỜNG ĐẠI HỌC THỦY LỢI KHOA CÔNG NGHỆ THÔNG TIN Bộ mơn: Kỹ thuật máy tính mạng QUẢN TRỊ MẠNG Giảng viên: Trần Văn Hội Email: hoitv@tlu.edu.vn Điện thoại: 0944.736.007 GIỚI THIỆU MƠN HỌC Số tín chỉ: (LT: 2, TH:1) Đánh giá: Điểm trình: 40% (Chuyên cần, tham gia giảng, thực hành, kiểm tra) Điểm thi kết thúc: 60% Hình thức thi: Thi viết, thời gian 60-90 phút Giáo trình: - Huỳnh Nguyên Chính, Mạng máy tính nâng cao, Nhà xuất Đại học Quốc gia TPHCM, 2013 - Chris Carthern, Will Wilson, Noel Rivera, Richard Bedwell, Cisco Network Management Fundamentals, Cisco Press, 2015 - Bài giảng Quản trị mạng 1/21/2022 YÊU CẦU In giảng, đọc tài liệu trước lên lớp Đi học giờ, đầy đủ buổi học, ghi chép Làm tập nhà, tập lớp Chuẩn bị máy tính cài đặt phần mềm Cisco Packet Tracer 7, tìm hiểu thêm GNS3 … Khơng sử dụng điện thoại không phép giáo viên, khơng ngủ, nói chuyện lớp NỘI DUNG MÔN HỌC Chương 1: Tổng quan mạng Chương 2: Các kỹ thuật định tuyến Chương 3: Chuyển mạch mạng LAN Chương 4: Công nghệ mạng WAN Chương 5: Bảo mật mạng 1/21/2022 CHƯƠNG 1: TỔNG QUAN VỀ MẠNG • Giới thiệu quản trị mạng • Mơ hình OSI TCP/IP • Địa IPv4 • Địa IPv6 • Chuyển đổi IPv4-IPv6 • Cấu hình thiết bị mạng GIỚI THIỆU VỀ QUẢN TRỊ MẠNG Quản trị mạng định nghĩa công việc quản trị mạng lưới bao gồm cung cấp dịch vụ hỗ trợ, đảm bảo mạng lưới hoạt động hiệu quả, đảm bảo mạng lưới cung cấp tiêu định Quản trị mạng chia làm mảng chính: Quản trị hạ tầng mạng: Thiết lập, cấu hình thiết bị mạng, vận hành hệ thống mạng, giải cố, bảo vệ mạng trước công Quản trị hệ thống: Quản trị hệ điều hành mạng (Win Server, Unix, Linux) để cung cấp dịch vụ mạng, quản lý Data Center … 1/21/2022 GIỚI THIỆU VỀ QUẢN TRỊ MẠNG Công việc quản trị mạng bao gồm: Quản trị cấu hình, tài nguyên mạng: Bao gồm công tác quản lý, kiểm sốt cấu hình, quản lý tài ngun cấp phát cho đối tượng sử dụng khác Quản trị người dùng, dịch vụ mạng: bao gồm công tác quản lý người sử dụng hệ thống đảm bảo dịch vụ cung cấp có độ tin cậy cao, chất lượng đảm bảo theo tiêu đề GIỚI THIỆU VỀ QUẢN TRỊ MẠNG Công việc quản trị mạng bao gồm: Quản trị hiệu năng, hoạt động mạng: bao gồm công tác quản lý, giám sát hoạt động mạng lưới, đảm bảo hoạt động thiết bị hệ thống ổn định Quản trị an ninh, an toàn mạng: Quản lý, giám sát mạng lưới, hệ thống để đảm bảo phòng tránh truy nhập trái phép Việc phòng chống, ngăn chặn lây lan loại virus máy tính, phương thức cơng DoS làm tê liệt hoạt động mạng phần quan trọng công tác quản trị, an ninh, an toàn mạng 1/21/2022 CHƯƠNG 1: TỔNG QUAN VỀ MẠNG • Giới thiệu quản trị mạng • Mơ hình OSI TCP/IP • Địa IPv4 • Địa IPv6 • Chuyển đổi IPv4-IPv6 • Cấu hình thiết bị mạng MƠ HÌNH OSI VÀ TCP/IP Khái niệm TCP IP TCP (Transmission Control Protocol) giao thức thuộc tầng vận chuyển (Transport Layer) giao thức hướng kết nối (connected-oriented) IP (Internet Protocol) giao thức thuộc tầng mạng mơ hình OSI giao thức không kết nối (connectionless) Mơ hình tham chiếu TCP/IP gồm ? lớp tương ứng với mơ hình OSI ? lớp 10 1/21/2022 Câu 1: Thứ tự tầng (layer) mơ hình OSI theo thứ tự từ xuống là: a Application, Presentation, Session, Transport, Data Link, Network, Physical b Application, Presentation, Session, Network, Transport, Data Link, Physical c Application, Presentation, Session, Transport, Network, Data Link, Physical d Application, Presentation, Transport, Session, Data Link, Network, Physical 11 Câu 2: Thứ tự tầng (layer) mơ hình TCP/IP theo thứ tự từ xuống là: a Application, Transport, Network, Data Link, Physical b Application, Transport, Network, Network Access c Application, Transport, Internet, Physical d Application, Transport, Internet, Network Access 12 1/21/2022 MƠ HÌNH OSI VÀ TCP/IP 13 Lớp ứng dụng Kiểm soát giao thức lớp cao, chủ đề định dạng liệu, biểu diễn thông tin, mã hóa điều khiển hội thoại Lớp ứng dụng liên quan đến chương trình ứng dụng 14 1/21/2022 Lớp vận chuyển Thực chức đảm bảo việc vận chuyển liệu từ host nguồn đến host đích Thiết lập cầu nối luận lý đầu cuối mạng, host truyền host nhận 15 GIAO THỨC TCP CPU RAM TCP vs UDP TX CPU RAM RX SYN Three-way handshake SYN & ACK ACK AK1 AK2 AK1 AK2 AK3 AK3 AK4 Established AK4 1/21/2022 GIAO THỨC UDP CPU RAM TCP vs UDP TX RX CPU RAM Three-way handshake Established S.Port vs D.Port Port 53 DNS Established Port 443 HTTPs Segment S.Port 1025 D.Port 443 Segment S.Port 1025 D.Port 443 Segment D.Port 1025 Segment D.Port 1025 S.Port 443 Port 1025 S.Port 443 Established Port 1025 Port 1026 Established 1/21/2022 Lớp Internet Mục đích lớp Internet chọn đường tốt xuyên qua mạng cho gói liệu di chuyển tới đích, liên quan đến địa IP Thiết bị hoạt động lớp Router 21 Giao thức lớp Internet IP: Không quan tâm đến nội dung gói tìm kiếm đường dẫn cho gói tới đích ICMP (Internet Control Message Protocol): Đem đến khả điều khiển chuyển thông điệp lớp Internet ARP (Address Resolution Protocol): Xác định địa lớp liên kết số liệu (MAC address) biết trước địa IP RARP (Reverse Address Resolution Protocol): Xác định địa IP biết trước địa MAC 22 10 1/21/2022 BÀI TẬP 2: EXTENDED ACL Yêu cầu: Sử dụng Access-list để lọc ngõ vào cổng serial Router Boston cho phép tất lưu lượng từ PC3 tới PC0 từ chối tất lưu lượng từ PC3 tới PC1 58 CẤU HÌNH TRÊN ROUTER BOSTON Cấu hình ACL Boston(config)#access-list 100 permit ip host 172.16.1.2 host 192.168.1.3 Boston(config)#access-list 100 deny ip host 172.16.1.2 host 192.168.1.2 Gán ACL vào cổng serial RouterA Boston(config)#interface Serial 2/0 Boston(config-if)#ip access-group 100 in Kiểm tra cấu hình Từ PC3 ping PC2 Từ PC3 ping PC1 59 29 1/21/2022 CHƯƠNG 5: BẢO MẬT MẠNG • Giới thiệu chung • Điều khiển truy cập ACL • Xác thực người dùng • Tường lửa 60 BÀI XÁC THỰC NGƯỜI DÙNG Nhận dạng chứng thực (Identification and authentication I&A) quy trình gồm hai bước nhằm xác minh người truy nhập vào hệ thống Nhận dạng phương pháp người dùng báo cho hệ thống biết họ (chẳng hạn username danh người dùng userID) Trong trường hợp hệ thống quy trình (process), việc nhận dạng thường dựa vào: Tên máy tính (computer name) Địa truy cập thiết bị (Media Access Control - MAC - address) Địa giao thức mạng (Internet Protocol - IP - address) Chỉ danh quy trình (Process ID - PID) 61 30 1/21/2022 XÁC THỰC NGƯỜI DÙNG Xác thực quy trình xác minh danh hiệu người dùng (Chẳng hạn cách so sánh mật mà người dùng đăng nhập với mật lưu trữ hệ thống tên người dùng cho trước đó) Quy trình xác thực phải dựa vào ba yếu tố sau đây: Cái bạn biết (Something you know) – Mật mã hay số PIN Cái bạn có (Something you have) – Một card thông minh hay thiết bị chứng thực Cái bạn sở hữu (Something you are) – dấu vân tay hay võng mạc mắt bạn 62 Những phương thức chứng thực thông dụng Dùng username/Password: Một tên truy cập mật định danh để đăng nhập Bạn bạn khơng phải người giả mạo Thiết bị Server so sánh thông tin với thông tin lưu trữ máy phương pháp xử lý bảo mật sau định chấp nhận hay từ chối đăng nhập 63 31 1/21/2022 Chứng thực thẻ thông minh (Smart card) 64 Chứng thực sinh trắc học Nhận dạng cá nhân đặc điểm riêng biệt cá thể Hệ thống sinh trắc học gồm thiết bị quét tay, quét võng mạc mắt, tới có thiết bị quét DNA Để truy cập vào tài ngun bạn phải trải qua trình nhận dạng vật lý 65 32 1/21/2022 CẤU HÌNH CHỨNG THỰC RIPv2 Chứng thực định tuyến cách thức bảo mật việc trao đổi thông tin định tuyến router Nếu có cấu hình chứng thực router phải vượt qua q trình trước thơng tin trao đổi định tuyến thực RIPv2 hỗ trợ hai kiểu chứng thực là: “Plain text” “MD5” 66 CẤU HÌNH CHỨNG THỰC PLAIN TEXT Chứng thực dạng “Plain Text” hay gọi “Clear text” Các router cấu hình khóa (password) trao đổi chúng để so khớp Các khóa gửi dước dạng khơng mã hóa đường truyền Các bước cấu hình: Bước Tạo khóa: Router(config)#key chain Bước Tạo khóa Router(config-keychain)#key Router(config-keychain-key)#key-string Bước Áp đặt vào cổng gửi chứng thực Router(config)#interface Router(config-if)#ip rip authentication key-chain 67 33 1/21/2022 VÍ DỤ R1(config)#key chain TLU1 R1(config-keychain)#key R1(config-keychain-key)#key-string cisco R1(config)#interface S0/0/0 R1(config-if)#ip rip authentication key-chain TLU1 R2(config)#key chain TLU2 R2(config-keychain)#key R2(config-keychain-key)#key-string 123456 R2(config)#interface S0/0/0 R2(config-if)#ip rip authentication key-chain TLU2 68 CẤU HÌNH CHỨNG THỰC MD5 Dạng chứng thực gửi thơng tin khóa mã hóa giúp thơng tin trao đổi an tồn Các bước cấu hình tương tự dạng “Plain Text”, có khác bước phải thêm lệnh sau: Router(config-if)#ip rip authentication mode md5 VÍ DỤ: Cấu hình chứng thực định tuyến RIPv2 MD5 với tên khóa “tlu” mật “123456” R1 tên khóa “cntt” mật “123456” R2 69 34 1/21/2022 VÍ DỤ R1(config)#key chain tlu R1(config-keychain)#key R1(config-keychain-key)#key-string 123456 R1(config)#interface S0/0/0 R1(config-if)#ip rip authentication mode md5 R1(config-if)#ip rip authentication key-chain tlu R2(config)#key chain cntt R2(config-keychain)#key R2(config-keychain-key)#key-string 123456 R2(config)#interface S0/0/0 R2(config-if)#ip rip authentication mode md5 R2(config-if)#ip rip authentication key-chain cntt 70 CẤU HÌNH CHỨNG THỰC OSPF Chứng thực Plain Text R(config)# interface R(config-if)# ip ospf authentication R(config-if)# ip ospf authentication-key Chứng thực Bằng MD5 R(config)# interface R(config-if)# ip ospf authentication message-digest R(config-if)# ip ospf messages-digest-key md5 71 35 1/21/2022 VÍ DỤ Chứng thực dạng “Plain Text” router: RA RB với mật cisco RA(config)# interface S0/0/0 RA(config-if)# ip ospf authentication RA(config-if)# ip ospf authentication-key cisco RB(config)# interface S0/0/1 RB(config-if)# ip ospf authentication RB(config-if)# ip ospf authentication-key cisco 72 VÍ DỤ Cấu hình chứng thực dạng MD5 router: RA RB RA(config)# interface S0/0/0 RA(config-if)# ip ospf authentication message-digest RA(config-if)# ip ospf message-digest-key md5 cisco RB(config)# interface S0/0/1 RB(config-if)# ip ospf authentication message-digest RB(config-if)# ip ospf message-digest-key md5 cisco 73 36 1/21/2022 CẤU HÌNH CHỨNG THỰC EIGRP EIGRP hỗ trợ cấu hình MD5 Bước Tạo khóa: Router(config)#key chain Bước Tạo khóa Router(config-keychain)#key Router(config-keychain-key)#key-string Bước Áp đặt vào cổng gửi chứng thực Router(config)#interface Router(config-if)#ip authentication mode eigrp md5 Router(config-if)#ip authentication key-chain eigrp 74 BÀI ÔN TẬP Cho mạng hình vẽ: Cấu hình Router, cấu hình password cho cổng privileged với mật 123456 Cấu hình giao thức (Static, RIPv2, OSPF, EIGRP) Cấu hình ACL để thực cấm mạng 150.1.2.0/24 truy cập vào mạng 150.1.1.0/24 Cấu hình chứng thực MD5 router: với mật 123a@ 75 37 1/21/2022 CHƯƠNG 5: BẢO MẬT MẠNG • Giới thiệu chung • Điều khiển truy cập ACL • Xác thực người dùng • Tường lửa 76 BÀI TƯỜNG LỬA - FIREWALL firewall Cô lập mạng nội tổ chức với Internet, cho phép số gói truyền qua, ngăn chặn gói khác mạng quản trị Internet cơng cộng firewall 77 38 1/21/2022 Firewall: Tại phải dùng? Kiểm sốt luồng thơng tin từ Intranet Internet, ngăn chặn việc sửa đổi/truy cập bất hợp pháp liệu nội Ngăn chặn cơng từ bên ngồi vào mạng nội bộ: Như công chối dịch vụ Denial Of Service (DoS) (SYN flooding: kẻ công thiết lập nhiều kết nối TCP “ảo”, khơng cịn tài ngun cho kết nối “thật”) Chỉ cho phép truy cập hợp pháp vào bên mạng (tập hợp host/user chứng thực) kiểu firewall: Mức ứng dụng (application-level gateway hay proxy server) Lọc gói tin (packet-filtering) 78 Firewall kiểu lọc gói tin Packet filtering “khơng trạng thái”: sử dụng router OS Stateful inspection packet filtering “có trạng thái”: sử dụng firewall đại 79 39 1/21/2022 Lọc gói tin khơng trạng thái Các gói đến phép vào? Các gói chuẩn bị có phép khơng? Mạng nội kết nối với Internet thông qua router firewall Router lọc gói một, xác định chuyển tiếp bỏ gói dựa trên: Địa IP nguồn, địa IP đích Các số hiệu port TCP/UDP nguồn đích Kiểu thơng điệp ICMP Các bit TCP SYN ACK 80 Lọc gói tin khơng trạng thái Ví dụ 1: Chặn datagram đến với trường giao thức IP = 17 port nguồn đích = 23 Tất dòng UDP đến/đi kết nối telnet bị chặn lại Ví dụ 2: Chặn đoạn Block TCP với ACK=0 Ngăn chặn client bên tạo kết nối TCP với client bên trong, cho phép client bên kết nối ngồi 81 40 1/21/2022 Firewall lọc gói tin “có trạng thái” Firewall có trạng thái nhớ trạng thái kết nối mức mạng phiên nhờ ghi lại thông tin thiết lập phiên mà pass thơng qua Firewall Firewall có trạng thái không cho phép dịch vụ thông qua firewall, ngoại trừ dịch vụ cấu hình phép nối sẵn sàng bảng trạng thái chúng 82 Firewall lọc gói tin “có trạng thái” 83 41 1/21/2022 Firewall mức ứng dụng (Application level gateway) Kiểu firewall hoạt động dựa phần mềm Đây loại Firewall thiết kế để tăng cường chức kiểm soát loại dịch vụ, giao thức cho phép truy cập vào hệ thống mạng Cơ chế hoạt động dựa cách thức gọi Proxy Service (dịch vụ đại diện) Proxy Service mã đặc biệt cài đặt cổng ứng dụng cho ứng dụng khác 84 PHÂN LOẠI FIREWALL Có hai loại: Firewall phần cứng Firewall phần mềm Firewall phần cứng: Cung cấp mức độ bảo vệ cao so với Firewall phần mềm dễ bảo trì Firewall phần cứng có ưu điểm khác không chiếm dụng tài nguyên hệ thống máy tính Firewall phần mềm Ví dụ: Firewall 501, Firewall 506E, 515E, 525, 535 (Cisco) 85 42 1/21/2022 PHÂN LOẠI FIREWALL Có hai loại: Firewall phần cứng Firewall phần mềm Firewall phần mềm So với Firewall phần cứng, Firewall phần mềm cho phép linh động hơn, cần đặt lại thiết lập cho phù hợp với nhu cầu riêng cơng ty Ví dụ: ISA 2004, 2006, Comodo (client), Econpro (client)… 86 43