1. Trang chủ
  2. Giáo Dục - Đào Tạo

Tài liệu ôn thi môn Thiết kế Intranet

23 276 0
Tài liệu ôn thi môn Thiết kế Intranet

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

Thông tin tài liệu

Xương rồng gai Tài liệu ôn thi môn Thiết kế Intranet INTRANET Mục lục I Mô hình OSI, Địa IP Subnet mask, Cấu trúc IP Datagram, Gateway Mô hình OSI Các chương đầu tài liệu: Nhập môn mạng Địa IP IP Address số gán cho thiết bị mạng Các thiết bị máy tính, router, máy in mạng ( loại máy in có Card mạng ) vv vv Kiểu địa gọi Software Address Nó khác với kiểu địa Hardware Address hay ta biết kiểu MAC Address Card mạng hay hardcode số thiết bị mạng Xin nói qua địa kiểu Mỗi nhà sản xuất Card mạng giới trứơc sản xuất phải xin mua lô địa MAC từ Xương rồng gai Tài liệu ôn thi môn Thiết kế Intranet InterNIC => địa MAC address giới hai địa trùng đâu IP Address số 32 Bit chia thành phần phần Bit ngăn cách dấu chấm (.) Có cách để biểu diễn địa IP : Dạng thập phân : 130.57.30.56 Dạng nhị phân : 10000010 00111001.00011110.00111000 Dạng Hecxa : 82 39 1E 38 Chúng ta thường sử dụng địa dạng số thập phân, máy tính thường sử dụng địa chi IP dạng số nhị phân Một địa IP có hai phần địa mạng ( Network Address ) địa máy ( Node Address ) Network Address số dùng để xác định mạng Mỗi máy tính mạng có địa mạng Node Address số đựơc gán cho máy tính mạng Một số địa IP đặc biệt Ghi chú: Node Address địa phần host 1- Nếu địa Network Address toàn Bit nghĩa đại diện cho mạng ( this network ) 2- Nếu địa Network Address toàn Bit nghĩa đại diện cho tất mạng 3- Địa mạng 127 đựơc gọi địa LoopBack thiết kế cho máy ( local node ), thường dùng cho việc tự kiểm tra mà không ảnh hưởng đến giao dich mang ví dụ ping 127.0.0.1 - Tât Bit Node Address toàn - this node - Tât Bit Node Address toàn - Tất máy mạng - Tất địa IP toàn Bit - Được sử dụng RIP protocol - Tất địa IP toàn Bit - Địa truyền tin (Broadcast ) cho tất máy mạng IP Address chia thành lớp A,B,C,D,E Hai lớp D E để dự trữ, lớp A,B,C sử dụng Lớp : A Định dạng : Mạng.Node.Node.Node Bit : Ở ta nhận thấy ngoại trử Bit địa IP - dùng để xác định mạng lớp A, lại Bit nhận giá trị => tổ hợp chập đựoc mũ vị trí => có 128 mạng cho lớp A Nhưng theo quy định tất Bit địa Xương rồng gai Tài liệu ôn thi môn Thiết kế Intranet mạng không đựơc sử dụng => 127 mạng cho lớp A Nhưng địa 127 địa có toàn Bit Network Address => không sử dụng địa => Lớp A 126 lớp mạng -126 => Khi nhìn vào địa IP ta cần nhin vào Bit biểu diễn dạng nhị phân số mạng lớp A, dạng thập phân thi nằm khoảng từ 1- 126 Thế số máy tính mạng lớp A ? ta tính đựoc mũ 24 - =16,777,214 máy Lớp : B Định dạng : Mạng.Mạng.Node.Node Hai Bit : 10 Tương tự cách tính với lớp A ta có số mạng lớp B mũ 14 = 16384 mạng lớp B - tương đương với số thập phân 128 - 191 số máy mạng lớp A mũ 16 -2 = 65,534 máy => Một địa IP mà hai Bit 10 hay dạng thập phân mà 128 - 191 máy tính mạng lớp B Lớp : C Định dạng : Mạng.Mạng.Mạng.Node Ba Bit : 110 => Số mạng lớp C 2,097,152 mạng 254 máy mạng => Một địa IP mà Bit 110 hay dạng thập phân mà 192 - 223 máy tính mạng lớp C InterNIC IANA đưa số dải địa IP gọi private address dùng để thiết lập cho mạng cục không kết nối với Internet Theo RFC 1597 dải : 10.0.0.0 với Subnet mask 255.0.0.0 172.16.0.0 với Subnet mask 255.255.0.0 192.168.0.0 với Subnet mask 255.255.255.0 => bạn sử dụng địa dải để thiết lập cho mạng bạn Bắt đầu từ win98 trở Microsoft đưa chế gọi Automatic private IP Addressing ( APIPA) - Trên mạng nhỏ DHCP hay mạng mà DHCP bị Down máy Client DHCP cso thể dùng cách giải đáp tên NetBIOS nút B để cấp cho Card mạng địa IP từ không gian địa đặc biệt 169.254.0.1 đến 169.254.255.254 Sau máy dùng TCP/IP để liên lạc với máy khác mà đựơc kết nối Hub mạng LAN dùng chế APIPA => sau bạn nhìn thấy IP có dạng 169.254.x.x nghĩa DHCP Server bạn Down Subnet mask Thường tổ chức, công ty hay quốc gia đựơc InterNIC cấp cho số địa IP định có máy tính đặt vùng khác Cách tốt để Xương rồng gai Tài liệu ôn thi môn Thiết kế Intranet quản lý chia thành mạng nhỏ kết nối với router Những mạng nhỏ gọi Subnets Khi chia thành Subnet nhằm làm : 1- Giảm giao dịch mạng : lúc router kiểm soát gói tin mạng có gói tin có địa đích đựoc chuyển - Quản lý đơn giản có cố dễ kiểm tra xác định đựơc nguyên nhân gây lỗi mạng lớn Một điều quan trọng cần phải nhớ Subnet phần mạng cần đựơc phân biết với Subnet khác cách thêm vào đinh danh Định danh gọi Subnet addess Trước chia mạng thành Subnet ta cần xác định số Subnet cho mạng số máy Subnet bao nhiêu, router subnet cần biết thông tin: Địa máy Subnet mà quản lý Địa Subnet khác Ta biết máy tính mạng cụ thể phải có địa mạng => địa mạng thay đổi đựơc => cách lấy phần địa Node Address để làm đinh danh cho Subnet => Điều thực đựơc cách gán cho máy tính Subnet mask Subnet mask số 32 Bit gồm Bit - Các Bit vị trí Network Address Subnet mask Bit vị trí Node Address lại Không phải tất mạng cần có Subnet không cần sử dụng Subnet - Trong trường hợp người ta nói sử dụng Subnet mask mặc định (default Subnet mask ) Lớp A Subnet mask 255.0.0.0 Lớp B Subnet mask 255.255.0.0 Lớp C Subnet mask 255.255.255.0 Công thức dùng để tính số subnet lớn số Host lớn có Subnet : Số subnet lớn ( mạng ) = 2^ Bit ( subet mask ) – Số Host lớn ( Subnet ) = 2^ bit ( subet mask ) – Để cho dễ hiểu xin minh họa qua ví dụ sau : Giả sử ta có địa IP cho toàn hệ thống mạng ta 132.8.18.60 => Đây địa lớp B ta có biểu diễn theo dạng địa mạng địa mạng địa Host địa Host 1000 0100 0000 1000 0001 0010 0011 1100 => Nó có 16 Bit cho địa mạng 16 Bit cho địa Host => ta lấy số Bit phần địa Host để làm Subnet Mask Giả sử ta cần chia mạng ta thành 14 mạng => ta cần xác định lấy Bit địa Host làm Sub net mask : 14 + = 16 = 2^4 => cần Bit Xương rồng gai Tài liệu ôn thi môn Thiết kế Intranet Ta có Subnet Mask : 1111 1111 1111 1111 1111 0000 0000 0000 Và ta tính số Host Subnet ^12 -2 = 4094 Cấu trúc gói IP Datagram Gateway II Các vấn đề định tuyến Giới thiệu định tuyến Định tuyến trình mà router thực để chuyển gói liệu tới mạng đích Tất router dọc theo đường dựa vào địa IP đích gói liệu để chuyển gói theo hướng đến đích cuối Định tuyến chia làm hai dạng định tuyến động định tuyến tĩnh Định tuyến tĩnh Đối với định tuyến tĩnh, thông tin đường phải người quản trị mạng nhập cho router Khi cấu trúc mạng có thay đổi người quản trị mạng phải xoá thêm thông tin đường cho router loại đường gọi đường cố định Hoạt động định tuyến tĩnh chia làm ba bước sau: + Đầu tiên, người quản trị mạng cấu hình đường cố định cho router + Router cài đặt đường vào bảng định tuyến + Gói liệu định tuyến theo đường cố định Ngừơi quản trị mạng cấu hình đường cố định cho router lệnh ip route Cú pháp lệnh ip route sau: Router(config) # ip route prefix mask {address / interface } [distance] [tag tag] [permanent] • • • • • • • prefix IP mạng đích mask Subnet mask mạng đích address Địa IP “next hop” để đến mạng đích interface Cổng router đến mạng đích distance (tùy chọn) Khoảng cách quản trị giao thức tag tag(tuỳ chọn) Sử dụng làm giá trị so sánh để điều khiển việc phân bố đường qua đồ đường (trong CCNP) Permanent (tuỳ chọn) Chỉ đường không bị xoá kể cổng bị shutdown (trong CCNP) Xương rồng gai Tài liệu ôn thi môn Thiết kế Intranet Một vấn đề cần quan tâm đến định tuyến tĩnh số tin cậy.Chỉ số tin cậy thông số đo lường độ tin cậy đường số thấp độ tin cậy cao Do hai đường đén đích đường có độ tin cậy nhỏ đường đặt vào bảng định tuyến router trước Ví dụ đường cố định sử dụng địa IP trạm có số tin cậy mặc định 1, đường cố định sử dụng cổng có số tin cậy mặc định Nếu ta muốn định số tin cậy thay sử dụng giá trị mặc định ta thêm thông số vào sau thông số cổng địa IP trạm câu lệnh Giá trị nằm khoảng từ đến 255 Ví dụ: router(config)# ip route 172.16.2.0 255.255.255.0 172.16.4.1 124 Nếu router không chuyển gói tin cổng giao tiếp cấu hình có nghĩa cổng giao tiếp bị đóng, đường tương ứng không đặt vào bảng định tuyến Note: định tuyến tĩnh tốn tài nguyên, dùng mạng nhỏ, thay đổi Định tuyến động Giao thức định tuyến động sử dụng để giao tiếp router với Giao thức định tuyến động cho phép router chia sẻ thông tin định tuyến mà biết cho router khác Từ đó, router xây dựng bảo trì bảng định tuyến Một số giao thức định tuyến động: + RIP ( Routing Information Protocol) + IPGP (Interior Gateway Routing Protocol) + EIGRP (Enhanced Interior Gateway Routing Protocol) + OSPF (Open Shortest Path First) Note: định tuyến động tốn tài nguyên, dùng mạng lớn, có nhiều thay đổi Phân loại giao thức định tuyến động Đa số thuật toán định tuyến động xếp vào loại sau: a) Vectơ khoảng cách - hoạt động theo chế loan báo - router tính toán đường - bảng định tuyến gửi tuần hoàn - sau khoảng 30, 60, 90, 120s router lại gửi lại bảng định tuyến - giao thức: RIP, IGIP, EIGIP b) Trạng thái đường liên kết - router có toàn CSDL toàn topo mạng Xương rồng gai Tài liệu ôn thi môn Thiết kế Intranet - xây dựng SPF (shortest path first) lấy làm gốc, dùng thuật toán SPF -> tìm đường ngắn đến mạng tuyến đường tốt đua vào bảng định tuyến - không gửi bảng đinh tuyến có thay đổi mạng - giao thức: OSPF, EIGP Định tuyến theo trạng thái đường liên kết có nhược điểm sau: + Bộ xử lý trung tâm router phải tính toán nhiều + Đòi hỏi dung lượng nhớ lớn + Chiếm dung lượng thông đường truyền Định tuyến theo vectơ khoảng cách chọn đường theo hướng khoảng cách tới đích Còn định tuyến theo trạng thái đường liên kết chọn đường ngắn dựa cấu trúc toàn hệ thống mạng Các giao thức định tuyến Ở lớp internet giao thức TCP/IP, router sử dụng giao thức định tuyến IP để thực việc định tuyến Sau số giao thức định tuyến IP: + RIP – giao thức định tuyến nội theo vectơ khoảng cách + IGRP – giao thức định tuyến nội vectơ khoảng cách Cisco + OSPF – giao thức định tuyến nội theo trạng thái đường liên kết + EIGRP – giao thức mở rộng IGRP + BGP – giao thức định tuyến ngoại theo vectơ khoảng cách * Một số đặc điểm RIP + Là giao thức định tuyến theo vectơ khoảng cách + Sử dụng số lượng hop để làm thông số chọn đường + Nếu số lượng hop để tới đích lớn 15 gói liệu bị huỷ bỏ + Cập nhật theo định kỳ mặc định 30 giây IGRP (Interior Gateway Routing Protocol) giao thức phát triển độc quyền Cisco * Một số đặc điểm IGRP : + Là giao thức định tuyến theo vectơ khoảng cách + Sử dụng băng thông, tải, độ trễ độ tin cậy đường truyền làm thông số lựa chọn đường + Cập nhật theo định kỳ mặc định 90 giây OSPF (Open Shortest Path First) giao thức định tuyến theo trạng thái đường liên kết * Một vài đặc điểm OSPF + Là giao thức định tuyến theo trạng thái đường liên kết Xương rồng gai Tài liệu ôn thi môn Thiết kế Intranet + Được định nghĩa RFC 2328 + Sử dụng thuật toán SPF để tính toán chọn đường tốt + Chỉ cập nhật cấu trúc mạng có thay đổi EIRGP giao thức định tuyến nâng cao theo vectơ khoảng cách giao thức độc quyền Cisco * Một số đặc điểm EIRGP + Là giao thức nâng cao vectơ khoảng cách + Có chia tải + Có ưu điểm định tuyến theo vectơ khoảng cách định tuyến trạng thái đường liên kết + Sử dụng thuật toán DUAL (Difused Update Algorithm) đẻ tính toán chọn đường tôt + Cập nhật theo định kỳ mặc định 90 giây cập nhật có thay đổi cấu trúc mạng BGP (Border Gateway Protocol) giao thức định tuyến ngoại * Vài đặc điểm BGP + Là giao thức định tuyến ngoại theo vectơ khoảng cách + Được sử dụng để định tuyến ISP ISP khách hàng + Được sử dụng để định tuyến lưu lượng Internet hệ tự quản (AS) Note: Các giao thức tầng ứng dụng có đầy đủ Nhập môn mạng Dich vụ FTP -Nhập môn mạng IV Giao thức HTTP, HTTPS III -Chaper 2a-Nhập môn mạng V Dịch vụ DNS -Tài liệu thầy -Cheper 2b-Nhập môn mạng VI Giao thức DHCP -Tài liệu thầy VII Giao thức Email SMTP gì? SMTP chữ viết tắt "Simple Message Transfer Protocol" SMTP nghi thức Internet dùng để gửi thư Khi dùng SMTP để gửi thư, bạn thường phải dùng chương trình Sendmail (Sendmail Deamon) Có thủ tục khác gọi QMail thường thường Sendmail phổ biến Sendmaili nghi thức gửi thư không an toàn POP3 gì? Xương rồng gai Tài liệu ôn thi môn Thiết kế Intranet POP3 chữ viết tắt "Post Office Protocol Version 3" POP3 daemon thường chạy cổng 110 (đây cổng chuẩn nó) Dùng để check mail, bạn phải kết nối đến server chạy POP3 daemon cổng 110 IMAP ? IMAP (tiếng Anh: Internet Message Access Protocol) hệ giao thức POP (Post Office Protocol) Nói cách đơn giản, IMAP đặt kiểm soát email mail server nhiệm vụ POP tải toàn thông điệp email client server yêu cầu Cụ thể, IMAP cung cấp truy cập email theo ba chế độ khác nhau: offline (ngoại tuyến), online (trực tuyến) disconnected (ngắt kết nối) Truy cập chế độ offline IMAP giống POP, thông điệp email truyền đến máy client server, xóa khỏi mail server mối liên kết bị ngắt Sau người dùng đọc, trả lời, làm việc khác chế độ ngoại tuyến, muốn gửi thư họ phải kết nối lại Truy cập chế độ online chế độ IMAP truy cập mà người dùng đọc làm việc với thông điệp email giữ kết nối với mail server (kết nối mở) Các thông điệp nằm mail server người dùng định xóa Chúng gắn nhãn hiệu cho biết loại để "đọc" hay "trả lời" Trong chế độ disconnected, IMAP cho phép người dùng lưu tạm thông điệp client server làm việc với chúng, sau cập nhật trở lại vào mail server lần kết nối Chế độ hữu ích cho dùng laptop hay truy cập mạng liên kết quay số điện thoại, đồng thời không muốn bỏ phí lợi điểm kho chứa thư mail server VIII Bảo mật với Access Control List (ACL) • ACL ? ACL danh sách câu lệnh áp đặt vào cổng (interface) router Danh sách cho router biết loại packet chấp nhận (allow) loại packet bị hủy bỏ (deny) Sự chấp nhận huỷ bỏ dựa vào địa nguồn, địa đích số port • Tại phải sử dụng access list ? Xương rồng gai Tài liệu ôn thi môn Thiết kế Intranet Access Control List mô hình mạng - Quản lý IP traffic - Hỗ trợ mức độ bảo mật cho truy cập mạng, thể tính lọc packet qua router • Các ứng dụng access list - Permit deny packet di chuyển qua router -Permit deny truy cập từ xa từ router • Các loại access list ACL chia thành loại : • Standard ACL • Extended ACL ACL tạo cho tất routed-network-protocol (IP, IPX…) để lọc packet qua router 10 Xương rồng gai Tài liệu ôn thi môn Thiết kế Intranet • Hoạt động ACL ACL thực theo trình tự câu lệnh danh sách cấu hình tạo access-list Nếu có điều kiện so khớp (matched) danh sách thực hiện, câu lệnh lại không kiểm tra nữa.Trường hợp tất câu lệnh danh sách không khớp (unmatched) câu lệnh mặc định “deny any” thực Cuối access-list mặc định lệnh loại bỏ tất (deny all) Vì vậy, access-list cần phải có câu lệnh permit Thứ tự kiểm tra câu lệnh ACL • Khi packet vào interface, router kiểm tra xem có ACL inbound interface hay không, có packet kiểm tra đối chiếu với điều kiện danh sách • Nếu packet cho phép (allow) tiếp tục kiểm tra bảng routing để định chọn interface để đến đích • Tiếp đó, router kiểm tra xem outbound interface có ACL hay không Nếu không packet gửi tới mạng đích Nếu có ACL outbound interface, kiểm tra đối chiếu với điều kiện danh sách ACL 11 Xương rồng gai Tài liệu ôn thi môn Thiết kế Intranet Lưu đồ hoạt động inbound ACL Ngoài tham khảo thêm đây: http://www.vn-seo.com/quang-ba-website-seo/access-control-list/ http://www.thuatngu.vn/wiki/ACL_%28Access_Control_List%29 IX Cấu Trúc Gói IP Datagram Dữ liệu truyền mạng sử dụng địa IP gói thông điệp gọi IP datagrams.Trong viết giới thiệu IPv4 datagram IPv4 datagram chia làm phần: header and payload.Phần header lưu trữ thông tin địa trường điều khiền,trong phần payload mang liệu thật cần truyền Mặc dù IP đơn giản không tin cậy nhiên phần header lại mạng lượng lớn thông tin ,do phần header chiếm dung lượng lớn IP datagram.Trong trường hợp nhỏ chiếm 20 bytes, sau khuôn dạng IP datagram 12 Xương rồng gai Tài liệu ôn thi môn Thiết kế Intranet Trong Trường Size (bits) Mô tả phiên IP dùng để tạo IP datagram Với IPv4,đương nhiêntrường có giá trị Mục đích trường đảm bào tương thích thiết bị sử dụng phiên IP khác nhau.Thông thường,các thiết bị sử dụng phiên IP cũ từ chối IP datagram đươc tạo từ phiên hơn,do phiên cũ phiên dịch cách xác IP datagram phiên tạo IHL Định độ dài phần header, tính theo 32-bit words.Nó bao gồm độ dài trường option padding.Thông thường giá trị trường option (5 32-bit words = 5*4 = 20 bytes) TOS Version Type Of Service (TOS): Trường tạo để mang thông tin chất lượng dịch vị,như ưu tiên chuyển Các trường TOS +Precedence(3 bits):Định mức độ ưu tiên IP datagram 13 Xương rồng gai Tài liệu ôn thi môn Thiết kế Intranet với mức độ từ thấp đến cao +D(1 bit): bit D = 1: yêu cầu truyền gấp +T(1 bit) : bit T = 1: yêu cầu truyền với đường truyền chất lượng cao +R(1 bit) : bit R = 1: yêu cầu truyền đảm bảo +Reserved(2 bits) : không dùng Total 16 Tổng độ dài IP datagram, tính theo bytes.Độ dài tối đa IP datagram 65,535 bytes,hầu hết nhỏ nhiều Identif-ication 16 Định danh IP datagram để xác định IP datagram mạng Length (TL) Gồm trường nhỏ +Reserved(1 bit):không dùng Flags +DF(1 bit) : Don't Fragment:nếu IP datagram không bị phân mảnh +MF(1 bit) : More Fragment:nếu Fragment Fragment Offset 13 TTL Protocol Khi có phân mảnh, trường có giá trị offset, vị trí mảnh(Fragment),thông thường bội sổ Fragment có giá trị Time To Live (TTL): Định thời gian IP datagram sống mạng,dựa vào số trạm trung gian (router hop).Khi qua router,giá trị TTL giảm 1.Nếu giá trị TTL trở 0,router discard Định giao thức dùng IP datagram,một số giao thức thông dụng 14 Xương rồng gai Tài liệu ôn thi môn Thiết kế Intranet 01h 1:ICMP 02h 2:IGMP 06h 6:TCP 11h 17:UDP Header Checksum Source Address Destination Address Options 16 32 32 Variable Padding Variable Data Variable X Header Checksum:Dùng để kiểm tra xem IP datagram có bị lỗi đường truyền không Địa IP nơi gửi Địa giữ nguyên suốt trình truyền Địa IP nơi nhận Địa giữ nguyên suốt trình truyền Lựa chọn,độ dài phần option thay đổi Nếu có nhiều option,mà số bit ko phải bội sổ 32,các bit thêm lót để số bit bội số 32(4 bytes) Dữ liệu Cơ chế NAT a.Giới thiệu chung NAT Khi có hai máy tính lớp mạng (cùng subnet), máy tính kết nối trực tiếp với nhau, điều có nghĩa chúng gởi nhận liệu trực tiếp với Nếu máy tính không lớp mạng kết nối trực tiếp liệu chuyển tiếp qua lại lớp mạng phải cần router (có thể phần mềm phần cứng) Ðây trường hợp máy tính muốn kết nối tới máy khác internet b.NAT hoạt động nào? NAT làm việc router, công việc chuyển tiếp gói tin (packets) lớp mạng khác mạng lớn Bạn nghĩ Internet mạng đơn có vô số subnet Routers có đủ khả để hiểu lớp mạng khác xung quanh chuyển tiếp gói tin đến nơi cần đến 15 Xương rồng gai Tài liệu ôn thi môn Thiết kế Intranet NAT sử dụng IP làm IP công cộng cho máy (client) với IP riêng Khi máy thực kết nối gởi liệu tới máy tính internet, liệu gởi tới NAT, sau NAT thay địa IP gốc máy gửi gửi liệu với địa IP NAT Máy tính từ xa máy tính internet nhận tín hiệu gởi gói tin trở cho NAT computer chúng nghĩ NAT computer máy gởi gói liệu NAT ghi lại bảng thông tin máy tính gởi gói tin ngồi cổng dịch vụ gởi gói tin nhận máy tính (client) c NAT thực công việc sau: Chuyển đổi địa IP nguồn thành địa IP nó, có nghĩa liệu nhận máy tính từ xa (remote computer) giống nhận từ máy tính cĩ cấu hình NAT Gởi liệu tới máy tính từ xa nhớ gói liệu đĩ sử dụng cổng dịch vụ Dữ liệu nhận từ máy tính từ xa chuyển tới cho máy Một chế mở rộng NAT PAT (Port Address Translation ) dùng cho mục đích tương ứng Lúc thay chuyển đổi địa IP công dịch vụ (port) chuyển đổi ( router NAT định) Các kỹ thuật NAT Kỹ thuật NAT tĩnh Với NAT tĩnh, địa IP thường ánh xạ tĩnh với thông qua lệnh cấu hình Trong NAT tĩnh, địa Inside Local luôn ánh xạ vào địa Inside Global Nếu sử dụng, địa Outside Local luôn ánh xạ vào địa Outside Global NAT tĩnh tiết kiệm địa thực Mặc dù NAT tĩnh không giúp tiết kiệm địa IP, chế NAT tĩnh cho phép máy chủ bên diện Internet, máy chủ dùng địa IP thực Cách thức thực NAT tĩnh dễ dàng toàn chế dịch địa thực công thức đơn giản: Địa đích =Địa mạng OR (địa nguồn AND ( NOT netmask)) Ví dụ : Một địa private map với địa public Ví dụ máy trọng mạng LAN có địa 10 1 “phiên dịch” thành địa public 20 1 gửi tin Internet 16 Xương rồng gai Tài liệu ôn thi môn Thiết kế Intranet Bắt đầu gói tin gửi từ PC bên trái hình đến máy chủ bên phải địa 170 1 Địa nguồn private 10 1 dịch thành địa thực 200 1 Máy client gửi gói tin với địa nguồn 10 1 router NAT thay đổi địa nguồn thành 200 1 Khi server nhận gói tin với địa nguồn 200 1 1, máy chủ nghĩ nói chuyện với máy 200 1 1, máy chủ trả lời lại gói tin gửi địa đích 200 1 Router sau dịch địa đích 200 1 ngược lại thành 10 1 Kỹ thuật NAT động (dynamic NAT) Với NAT, số IP nguồn không số IP đích Số host chia sẻ nói chung bị giới hạn số IP đích có sẵn NAT động phức tạp NAT tĩnh, chúng phải lưu giữ lại thông tin kết nối chí tìm thông tin TCP packet Một số người dùng thay cho NAT tĩnh mục đích bảo mật Những người từ bên tìm IP kết nối với host định thời điểm host nhận IP hoàn toàn khác Những kết nối từ bên host nắm giữ IP bảng NAT động Nơi mà NAT router lưu giữ thông tin IP bên (IP nguồn )được liên kết với NAT-IP(IP đích) Cho ví dụ session FPT non-passive Nơi mà server cố gắng thiết lập kênh truyền liệu server cố gắng gửi IP packet đến FTP client phải có entry cho client bảng NAT Nó phải liên kết IPclient với NAT-IPs client bắt đầu kênh truyền control trừ FTP session rỗi sau thời gian timeout Xin nói thêm giao thức FTP có chế passive non-passive Giao thức FTP dùng port (control data) Với chế passive (thụ động ) host kết nối nhận thông tin data port từ server 17 Xương rồng gai Tài liệu ôn thi môn Thiết kế Intranet ngược lại non-passive host kết nối định dataport yêu cầu server lắng nghe kết nối tới Bất người từ bên muốn kết nối vào host định bên mạng thời điểm tùy ý có trường hợp : + Host bên entry bảng NAT nhận thông tin “host unreachable” có entry NAT-IPs + Biết IP kết nối có kết nối từ host bên mạng Tuy nhiên NAT-IPs IP thật host Và thông tin bị sau thờii gian timeout entry bảng NAT router Ví dụ: Một địa private map với địa public từ nhóm dịa public Ví dụ mạng LAN có địa 10 1 1/8 “phiên dịch” thành địa public dải 200 1 đến 200 1 100 gửi tin Internet Kỹ thuật NAT overloading ( hay PAT) Dùng để ánh xạ nhiều địa IP riêng sang địa công cộng địa riêng phân biệt số port Có tới 65 356 địa nội chuyển đổi sang địa công cộng Nhưng thực tế khỏang 4000 port PAT hoạt động cách đánh dấu số dòng lưu lượng TCP UDP từ nhiều máy cục bên xuất từ một vài địa Inside Global Với PAT, thay dịch địa IP, NAT dịch cổng cần thiết.Và trường cổng có chiều dài 16 bit, địa Inside Global hỗ trợ lên đến 65000 kết nối TCP UDP đồng thời Ví dụ, hệ thống mạng có 1000 máy, địa IP thực dùng địa 18 Xương rồng gai Tài liệu ôn thi môn Thiết kế Intranet Inside Global quản lý trung bình sáu dòng liệu đến từ máy Internet Ví dụ : PAT map nhiều địa Private đến địa Public, việc phân biệt địa Private dựa theo port, ví dụ IP address 10 1 map đến ip address 200 1 6:port_number * Mối quan hệ NAT PAT PAT có mối quan hệ gần gũi với NAT nên thường gọi NAT Trong NAT, nhìn chung địa ip đổi Có tương ứng 1:1 địa riêng địa công cộng Trong PAT, địa riêng người gửi cổng thay đổi Thiết bị PAT chọn số cổng mà hosts mạng công cộng nhìn thấy Trong NAT, gói tin từ mạng vào định tuyến tới địa IP đích mạng riêng cách tham chiếu địa ngưồn vào Trong PAT, Chỉ có địa IP công cộng nhìn thấy từ bên gói tin vào từ mạng công cộng định tuyến tới đích chúng mạng riêng 19 Xương rồng gai Tài liệu ôn thi môn Thiết kế Intranet cách tham chiếu tới bảng quản lý cặp cổng private public lưu thiết bị PAT Cái thường gọi connection tracking Một số thiết bị cung cấp NAT, broadband routers, thực tế cung cấp PAT lý này, có nhầm lẫn đáng kể thuật ngữ Nhìn chung người ta sử dụng NAT để bao gồm thiết bị PAT Masquerading ( hay NAPT) Đây trường hợp đặc biệt NAT động Nó sử dụng Linux Với NAPT, nhiều địa IP ẩn địa Nó tương phản với NAT động , có kết nối cho IP thời điểm Trong NAPT nhiều kết nối đến IP phân chia thông qua TCP Port Vấn đề đặc biệt NAPT số service host định chấp nhận kết nối từ port đặc quyền để đảm bảo kết nối vào từ user bình thường Có lẽ superuser xử lý port Vì DOS Window người sử dụng chúng nên số chương trình sử dụng kết nối NAPT NAPT thường sử dụng port tầm vực cao Trong Linux , bắt đầu 61000 kết thúc 61000+4096 Mặc định thay đổi Điều Linux thực NAPT cho đồng thời 4096 kết nối NAPT Kết nối NAPT cần phải lưu giữ nhiều thông tin trạng thái kêt nối Ví dụ Linux, xem tất packet với Destination IP= Local IP Destination port nằm tầm port cho phép NAPT phải demasqueraded (phân giải packet masqueraded) Thực chất việc thay đổi destination address source address header packet Như NAPT có chiều Những kết nối vào Masquerading Vì chí host có entry masquerading table NAT device entry hợp lệ kết nối active Ngay ICMP-Reply liên quan đến kết nối (host/port unreachable) phải filter relay NAT router Lợi ích lớn Masquerading cần IP cấp mà toàn mạng kết nối trực tiếp đến Internet Ví dụ : - Masquerading cho mạng 203 156 0 dùng NAT đến IP local - Cho packet IP source IP thay IP NAT router Source port đổi thành port nằm tầm Masquerading Một số kỹ thuật NAT khác 1, Virtual Server (Loadbalancing) NAT router đóng vai trò virtual server kết nối vào chuyển đến hay nhiều server thật Phụ thuộc vào giải thuật xây dựng mà kết nối vào server bên Ví dụ : 20 Xương rồng gai Tài liệu ôn thi môn Thiết kế Intranet - Tạo virtual server với IP 203 156 98 100 - Sử dụng host 203 156 98 111 203 156 98 112 real server cho virtual server - Một kết nối từ bên remap NAT router để sử dụng host (realserver) - Load Balancing Giải thuật để định real server kết nối Cho ví dụ kiểm tra tải real server dựa việc đếm số packet giây qua NAT device đến real server sau chọn real server có hiệu Bằng cách điều chỉnh traffic mạng giảm tải cho server Số giải thuật sử dụng đếm dựa cách tính toán khác tất có chung mục đích giảm tải cho server Khái niệm “tải” không rõ ràng không đĩnh nghĩa Ví dụ: Chạy deamon server cung cấp thông tin cho NAT router tải (load) máy remap kết nối đến hệ thống nơi mà số thấp Điều đòi hỏi liên lạc host (real server) NAT router nên sử dụng thông tin có NAT router số kết nối remap đến host ta phải sử dụng thông tin vốn server dễ dàng tìm thấy số byte packet giây host handle Yếu tố đề cập vài ý niệm để định việc đạt cân việc phân bố tải Chính xác cố gắng đo lường tính toán tải cho host Có số giải thuật ví dụ giải thuật dựa học thuyết nguyên lý không chắn định lượng Heisenberg Vì phải tìm cách làm tối thiểu chi phí host để định tải host kết nối Ngay giả sử tìm phương thức xác tốt để định tải sử dụng dựa việc định nghĩa “tải” thực tiễn chưa phải giải pháp tốt IP packet có kích thước nhỏ xác định cách định lượng vật lý Chúng ta chọn host cần gửi kết nối đến kết nối mở mà chưa thật tối ưu Tuy nhiên dù phương thức đề cập áp dụng vào thực tiễn cho việc xác định cân tải có cách tính toán tốt mà chưa tìm Có nhiều cách tiếp cận để giải cho toán Load balancing , hầu hết số chúng mức application Một ví dụ mô tả RFC 1794 dùng DNS support cho Load balancing Trong tài liệu đề cập đến việc dùng DNS cho việc điều khiển tải máy cách tìm IP máy bận rộn chất vấn (queried) Vì DNS-queries cache liên tiếp DNS-server với việc điều khiển giới hạn 21 Xương rồng gai Tài liệu ôn thi môn Thiết kế Intranet cách khắt khe Nó làm việc hoàn toàn tốt có nhiều chất vấn chúng đến từ nhiều máy client Tuy nhiên Load balancing có làm việc trạng thái tốt cách tiếp cận không giúp server bị fail chí IP phân chia riêng biệt việc chất vấn cache server bị fail server hiệu chế load balancing hoàn toàn bị phá vỡ Một ví dụ cho chương trình cache tiếng Squid sử dụng giải thuật phức tạp để tìm mục tiêu tốt Giải chưa hẳn giống NAT mục tiêu Với NAT phân bố tải cho service lớn đa dạng dựa IP Squid phục vụ cho mục đích khác so sánh chưa hẳn hoàn toàn hợp lý Người viết chọn squid ví dụ squid thực việc load balancing để tìm liệu cho tối ưu cách thông minh - Backup SystemsVirtual server sử dụng để đạt khả phục vụ tốt giải toán real server bị fail Vì service cung cấp Virtual server có khả real server Đặt trường hợp real server bị fail có xác suất p virtual server sử dụng NAT real server trường hợp bị fail tính toán sau: Đặt + p1 pn khả xảy lỗi server n N (N số server cung cấp cho virtual server) + pNAT: khả xảy lỗi NAT router, lỗi không phụ thuộc vào thiết bị khác + pvirt: khả xảy lỗi virtual server realserver bị fail Công thức tính toán là: Pvirt=1-((1- [tích(pi) chạy từ 1->n]) X (1-pNAT)) Dĩ nhiên setup hệ thống sử dụng công thức cho việc tính toán load balancing phải thay đổi danh sách server sử dụng NAT router real server bị fail Điều không thuộc NAT-code thực tốt mức cao , chí từ shell scripts Quan trọng phải có chế remove server bị fail từ bảng virtual server phải xây dựng bảng virtual server có khả thay đổi dễ dàng để IP thêm vào loại bỏ thời gian thực thi (runtime) Như với cách làm có liên kết khả load balancing high availability dùng virtual server Nó hoàn toàn suốt tất host , người sử dụng chương trình dùng virtual service 2, Multiple routers per Destination Như thấy dùng NAT để phân bố tải qua nhiều host đạt khả sẵn sàng cao (high availability) Chúng ta sử dụng NAT để 22 Xương rồng gai Tài liệu ôn thi môn Thiết kế Intranet làm điều cho nhiều mạng không? Vâng Ở phần thấy sử dụng virtual server thay cho nhiều host thật (real server) Chúng ta tạo kết nối mạng ảo (virtual network) gồm nhiều mạch thật (real wire) dùng kỹ thuật virtual server Chúng ta làm điều với NAT nào? Hãy tưởng tượng có nguồn cung cấp Internet (Internet provider) Chọn không muốn xảy lỗi nguồn bị hỏng Mỗi host cần kết nối Internet phải có IP mua cho host IP từ nhà cung cấp khác Như sử dụng host để gửi packet đến vị trí Bây setup cho hệ thống mô tả trên, phân bố tải cách sử dụng host thông qua provider vài khác thông qua provider có “higher availibility” kết nối đến Internet Tuy nhiên hình dung khó thực load balancing host định gửi packet Chúng ta không đề cập đến làm để mạng dùng IP hay IP khác Ở vấn đề sử dụng “central authority” để định host sử dụng provider dĩ nhiên thông qua special NAT router Sử dụng Nat máy tính Local cần IP Nếu có provider tin cậy sử dụng IP provider cung cấp đồng thời sử dụng IP bên mạng Bây host bên mạng muốn thiết lập kết nối tới Internet cần gửi packet đến default router (NAT-router) với source IP IP host Do NAT-router biết tất kết nối ra, định provider để gửi packet cho tối ưu Nó thay source IP IP provider chọn gửi packet đến router provider Vì source IP IP provider cung cấp nên đường packet provider định thông qua provider router Host gửi packet provider chọn NAT router xử lý suốt Chúng ta sử dụng giải thuật sử dụng cho Virtual server Điểm khác ứng dụng ứng dụng can thiệp vào xử lý routing 23 [...]... Xương rồng và những cái gai Tài liệu ôn thi môn Thi t kế Intranet cách tham chiếu tới bảng quản lý từng cặp cổng private và public lưu trong thi t bị PAT Cái này thường được gọi là connection tracking Một số thi t bị cung cấp NAT, như broadband routers, thực tế cung cấp PAT vì lý do này, có sự nhầm lẫn đáng kể giữa các thuật ngữ Nhìn chung người ta sử dụng NAT để bao gồm những thi t bị PAT Masquerading... thông tin của địa chỉ và các trường điều khiền,trong khi phần payload mang dữ liệu thật sự cần truyền Mặc dù IP khá đơn giản và không tin cậy tuy nhiên phần header lại mạng một lượng lớn thông tin ,do đó phần header chiếm dung lượng khá lớn của IP datagram.Trong trường hợp nhỏ nhất nó cũng chiếm 20 bytes, sau đây là khuôn dạng IP datagram 12 Xương rồng và những cái gai Tài liệu ôn thi môn Thi t kế Intranet. .. liên kết một IPclient với cùng một NAT-IPs khi client bắt đầu một kênh truyền control trừ khi FTP session rỗi sau một thời gian timeout Xin nói thêm giao thức FTP có 2 cơ chế là passive và non-passive Giao thức FTP luôn dùng 2 port (control và data) Với cơ chế passive (thụ động ) host kết nối sẽ nhận thông tin về data port từ server 17 Xương rồng và những cái gai Tài liệu ôn thi môn Thi t kế Intranet. .. những cái gai Tài liệu ôn thi môn Thi t kế Intranet Lưu đồ hoạt động của inbound ACL Ngoài ra có thể tham khảo thêm ở đây: http://www.vn-seo.com/quang-ba-website-seo/access-control-list/ http://www.thuatngu.vn/wiki/ACL_%28Access_Control_List%29 IX Cấu Trúc Gói IP Datagram Dữ liệu truyền trên mạng sử dụng địa chỉ IP được gói trong một thông điệp gọi là IP datagrams.Trong bài viết này sẽ giới thi u IPv4... virtual server và các kết nối vào sẽ được chuyển đến 2 hay nhiều server thật Phụ thuộc vào giải thuật được xây dựng mà kết nối này sẽ đi vào server nào ở bên trong Ví dụ : 20 Xương rồng và những cái gai Tài liệu ôn thi môn Thi t kế Intranet - Tạo một virtual server với IP là 203 156 98 100 - Sử dụng 2 host là 203 156 98 111 và 203 156 98 112 là những real server cho virtual server - Một kết nối từ bên ngoài... cổng có chiều dài 16 bit, mỗi địa chỉ Inside Global có thể hỗ trợ lên đến 65000 kết nối TCP và UDP đồng thời Ví dụ, trong một hệ thống mạng có 1000 máy, một địa chỉ IP thực được dùng như là địa chỉ 18 Xương rồng và những cái gai Tài liệu ôn thi môn Thi t kế Intranet Inside Global duy nhất có thể quản lý trung bình sáu dòng dữ liệu đến và đi từ các máy trên Internet Ví dụ : PAT map nhiều địa chỉ Private... mảnh(Fragment),thông thường là bội sổ của 8 Fragment đầu tiên có giá trị 0 Time To Live (TTL): Định ra thời gian IP datagram được sống trên mạng,dựa vào số trạm trung gian (router hop).Khi qua mỗi router,giá trị TTL sẽ giảm đi 1.Nếu giá trị TTL trở về 0,router sẽ discard nó Định ra giao thức dùng trong IP datagram,một số giao thức thông dụng 14 Xương rồng và những cái gai Tài liệu ôn thi môn Thi t kế Intranet. ..Xương rồng và những cái gai Tài liệu ôn thi môn Thi t kế Intranet • Hoạt động của ACL ACL sẽ được thực hiện theo trình tự của các câu lệnh trong danh sách cấu hình khi tạo access-list Nếu có một điều kiện được so khớp (matched) trong danh sách thì nó sẽ thực hiện, và các câu lệnh còn lại sẽ không được kiểm tra nữa.Trường hợp tất cả các câu lệnh trong danh sách đều không khớp (unmatched) thì một câu... RFC 1794 đó là dùng DNS support cho Load balancing Trong tài liệu này đề cập đến việc dùng DNS cho việc điều khiển tải của máy bằng cách tìm ra IP của máy ít bận rộn nhất khi được chất vấn (queried) Vì DNS-queries sẽ được cache bởi liên tiếp các DNS-server với việc điều khiển các giới hạn 21 Xương rồng và những cái gai Tài liệu ôn thi môn Thi t kế Intranet một cách khắt khe Nó làm việc hoàn toàn tốt khi... cao (high availability) Chúng ta có thể sử dụng NAT để 22 Xương rồng và những cái gai Tài liệu ôn thi môn Thi t kế Intranet làm điều này cho nhiều mạng không? Vâng chúng ta có thể Ở phần trên chúng ta thấy chúng ta đã sử dụng virtual server thay thế cho nhiều host thật sự (real server) Chúng ta cũng có thể tạo ra kết nối mạng ảo (virtual network) gồm nhiều mạch thật sự (real wire) dùng kỹ thuật virtual

Ngày đăng: 10/04/2016, 18:49

Xem thêm: Tài liệu ôn thi môn Thiết kế Intranet

Mục lục

  • I. Mô hình OSI, Địa chỉ IP và Subnet mask, Cấu trúc IP Datagram, Gateway

  • II. Các vấn đề về định tuyến

  • III. Dich vụ FTP

  • IV. Giao thức HTTP, HTTPS

  • V. Dịch vụ DNS

  • VI. Giao thức DHCP

  • VII. Giao thức Email

  • VIII. Bảo mật với Access Control List (ACL)

  • IX. Cấu Trúc Gói IP Datagram

  • X. Cơ chế NAT

Tài liệu cùng người dùng

Tài liệu liên quan