Giao trinh quan tri mang co ban

Trong môi trường mạng, hệ điều hành còn cho phép một máy tính bất kỳ có khả năngphối hợp với các máy tính khác cung cấp tài nguyên của mình và nhận tài nguyên củanhững máy tính khác để h

ỦY BAN NHÂN DÂN THÀNH PHỐ HÀ NỘI BAN CÔNG NGHỆ THÔNG TIN THÀNH PHỐ HÀ NỘI

GIÁO TRÌNH QUẢN TRỊ MẠNG CĂN BẢN

HÀ NỘI - 2003

Mục lục

1.1 Chức năng của hệ điều hành mạng 3

1.1.1 Chia sẻ tài nguyên 5

1.1.2 Xử lý phân tán 6

1.1.3 Bảo mật 7

1.1.4 Sao lưu dự phòng 9

1.1.5 Tính trong suốt 9

1.1.6 Tính mở 9

1.1.7 Kháng lỗi và khôi phục sau sự cố 9

1.2 Các kiểu hệ điều hành mạng 9

1.2.1 Kiểu ngang hàng 9

1.2.2 Kiểu dựa trên máy chủ 9

1.2.3 Kiểu khách/chủ 9

1.2.4 Một số phần mềm mạng điển hình hiện nay 9

CHƯƠNG 2 QUẢN TRỊ MẠNG 9

2.1 Quản trị mạng căn bản 9

2.1.1 Sơ bộ về quản trị mạng 9

2.1.2 Quản trị hiệu năng 9

2.1.3 Quản trị cấu hình 9

2.1.4 Quản trị tài khoản 9

2.1.5 Quản trị sự cố 9

2.1.6 Quản trị an ninh và an toàn 9

2.2 Quy trình quản trị mạng 9

2.2.1 Các bước khởi đầu 9

2.2.2 Vẽ sơ đồ, bản đồ mạng 9

2.2.3 Kiểm định thiết bị, dịch vụ 9

2.2.4 Kiểm định quy trình thao tác quản trị 9

2.2.5 Kiểm định hiệu năng mạng 9

2.2.6 Khắc phục sự cố mạng 9

CHƯƠNG 3 THỰC HÀNH QUẢN TRỊ MẠNG 9

3.1 Sử dụng phần mềm cấu hình mạng 9

3.1.1 Quản trị giao thức mạng TCP/IP 9

3.1.2 Kiểm tra cấu hình TCP/IP 9

3.1.3 Vận hành máy chủ DHCP 9

3.2 Sử dụng phần mềm theo dõi đo lường hoạt động của mạng Các chức năng, công dụng, cách sử dụng 9

CHƯƠNG 1 CƠ SỞ VỀ HỆ ĐIỀU HÀNH MẠNG

1.1 Chức năng của hệ điều hành mạng

Như chúng ta đã biết, máy tính hoạt động dưới sự điều khiển của hệ điều hành-bộ phầnmểm được cài đặt sẵn trên máy dưới dạng một tập hợp các file trên đĩa Khi máy tínhđược khởi động (bật), hệ điều hành được tự động nạp (tải) vào bộ nhớ trong, bắt đầuđiều khiển các hoạt động của máy tính và hỗ trợ người sử dụng Hệ điều hành điềukhiển mọi hoạt động trong máy tính từ công việc quản trị, điều khiển các thiết bị ngoại

vi, bộ nhớ, CPU đến công việc quản trị, điều khiển các tiến trình thực hiện trong máytính Khi hệ thống mạng phát triển (hình 1.1) thì hệ điều hành không chỉ thực hiệncông việc điều khiển sự hoạt động của từng máy tính độc lập riêng rẽ mà còn đảmnhận nhiều công việc bổ sung liên quan đến sự hoạt động của toàn bộ hệ thống mạngcác máy tính Những thành phần phần mềm thực hiện những công việc bổ sung cho hệđiều hành liên quan đến hoạt động của mạng máy tính được gọi là phần mềm mạng.Tùy thuộc vào nhà cung cấp hệ điều hành mà phần mềm mạng cho máy tính được đưa

vào theo một trong hai hình thức:

- Phần mềm mạng hoạt động như một phần mềm được bổ sung vào một hệ điềuhành cho trước, có nghĩa là phần mềm mạng không được bao gói vào hệ điều hànhnhư một thành phần; phần mềm mạng cần thích hợp với hệ điều hành theo nghĩa hoạtđộng trên hệ điều hành đó được Hình thức đưa phần mềm mạng vào hệ điều hàn theohình thức này có thể gây ra đôi chút phức tạp cho người sử dụng khi chạy phần mềm

Hình 1.1 Một môi trường mạng Chú thích: Máy chủ (phục vụ) file và in ấn: File and print server

Máy điều khiển miền: Domain controler

mạng song lại cho phép bổ sung theo ý muốn một phần mềm mạng thích hợp nào đóvào hệ điều hành Phần mềm NetWare của hãng Novell là một ví dụ điển hình theohình thức này mà trong đó các phần mềm mạng cho các máy trạm được thêm vào hệđiều hành đã có sẵn

- Phần mềm mạng được tích hợp với hệ điều hành để trở thành một thành phầnđược bao gói trong hệ điều hành Trong các hệ điều hành khá thông dụng như

Windows 2000 Server/Windows 2000 Professional, Windows NT Server/Windows

NT Workstation, Windows 98, Windows 95, AppleTalk, Linux v.v., phần mềm mạng

đã được tích hợp vào trong hệ điều hành Các hệ điều hành này được gọi là hệ điềuhành mạng

Trong tài liệu này, chúng ta xem xét chức năng hoạt động mạng của một hệ điều hànhmạng Chú ý rằng các phần mềm mạng được bổ sung vào một hệ điều hành có sẵncũng có những hoạt động hoàn toàn tương tự

Như đã được giới thiệu ở trên, hệ điều hành máy tính tạo môi trường tương tác giữa tàinguyên máy tính và các chương trình (hay ứng dụng) đang tồn tại trong máy tính Hệđiều hành điều khiển việc phân phối và sử dụng các tài nguyên như:

 Bộ nhớ (chứa các chương trình và dữ liệu),

 Thời gian sử dụng CPU,

 Không gian đĩa,

 Các thiết bị ngoại vi,

 File dữ liệu

Trong môi trường mạng, hệ điều hành còn cho phép một máy tính bất kỳ có khả năngphối hợp với các máy tính khác (cung cấp tài nguyên của mình và nhận tài nguyên củanhững máy tính khác) để hoạt động sao cho hiệu quả

Hình 1.2 trình bày cấu trúc của một hệ điều hành mạng và qua hình vẽ, chúng ta thấy

hệ điều hành mạng chịu trách nhiệm:

 Liên kết các máy tính và các thiết bị ngoại vi (chẳng hạn máy in) lại với nhau,

 Phối hợp các tính năng hoạt động của tất cả các máy tính và thiết bị ngoại vi,

 Cung cấp tính bảo mật và quản trị quyền truy cập tới dữ liệu và các thiết bịngoại vi

Trong hệ điều hành mạng, hai bộ phận quan trọng chính yếu của thành phần mạng làphần mềm cho máy chủ và phần mềm cho máy trạm Trong hệ thống mạng, máy tínhđược cài đặt phần mềm mạng cho máy chủ thì được gọi là máy chủ (máy phục vụ -server), còn máy tính được cài đặt phần mềm mạng cho máy trạm thì được gọi là máytrạm (workstation)

Hoạt động của thành phần mạng trong các hệ điều hành mạng khác nhau có thể theocác hình thức rất khác nhau, tuy nhiên hệ điều hành mạng cần đảm bảo các chức năng

cơ bản sau đây:

- Chia sẻ tài nguyên,

- Kháng lỗi và khôi phục sau sự cố

1.1.1 Chia sẻ tài nguyên

Chia sẻ tài nguyên trên mạng là chức năng căn bản đầu tiên của hệ điều hành mạng, làmột trong những đặc tính quan trọng nhất của môi trường mạng Chức năng chia sẻ tài

Hình 1.2 Cấu trúc của một hệ điều hành mạng

công khai các tài nguyên (máy in, máy vẽ, file, thư mục, cơ sở dữ liệu, dịch vụ ) trênmạng và cho phép truy cập được tài nguyên đó từ vị trí bất kỳ trên mạng (miễn làngười cần đến một tài nguyên phải có quyền truy cập tài nguyên đó, xem đoạn 1.1.3).Thể hiện của chức năng này là việc cho phép người dùng ở các máy khác nhau trênmạng có thể chia sẻ các tài nguyên trên máy của mình cho những người dùng khác sửdụng và nhận được tài nguyên từ những người dùng khác chia sẻ cho Cách thức chia

sẻ tài nguyên trên mạng rất đa dạng Tất cả người dùng có thể chia sẻ tài nguyên củamình theo cách thức theo ý muốn miễn là tuân theo các quy định của hệ điều hànhmạng

Phần lớn các hệ điều hành mạng không chỉ cho phép người dùng chia sẻ tài nguyên màcòn cho phép định ra mức độ chia sẻ tài nguyên đó Tương ứng với mỗi loại tài nguyên

có một tập thao tác đối với loại tài nguyên đó, chẳng hạn, tương ứng với loại đối tượngfile là các thao tác {đọc, ghi, thực hiện} Mức độ chia sẻ được hiểu là những ngườidùng khác nhau được quyền truy cập tài nguyên theo nhiều cấp độ truy cập (được thựchiện các thao tác nào tới tài nguyên) khác nhau

Mức độ chia sẻ được thể hiện qua các nội dung dưới đây:

 Cho phép nhiều người dùng khác nhau truy cập tài nguyên theo các cấp độ khácnhau

Ví dụ, người quản trị văn phòng muốn mọi người trên mạng biết đến một tài liệu cụthể nào đó, nên đã chia sẻ tài liệu này Tuy nhiên, người này đặt ra chế độ kiểm soátkhả năng truy cập tài liệu chia sẻ sao cho:

(1) Một số người dùng chỉ được phép đọc tài liệu

(2) Những người dùng khác được phép đọc và hiệu chỉnh nội dung tài liệu

 Phối hợp các thao tác truy cập tới cùng một tài nguyên từ những người dùngkhác nhau nhằm đảm bảo rằng hai người dùng không sử dụng đồng thời cùngmột tài nguyên: không cho phép truy cập chồng chéo giữa các người dùng đốivới một tài nguyên được chia sẻ Ví dụ, máy in mạng là một tài nguyên chia sẻcho phép nhiều người dùng có khả năng in tài liệu trên máy in này Tuy nhiên,trong trường hợp hai người dùng cùng lúc đưa ra thao tác in với máy này thì hệthống đảm bảo rằng chỉ sau khi máy in đã in trọn vẹn nội dung tài liệu của mộtngười thì mới chuyển sang in nội dung tài liệu của người còn lại

1.1.2 Xử lý phân tán

Hệ điều hành mạng còn cho phép khả năng xử lý phân tán thông qua các ứng dụngphân tán Đối với các ứng dụng phân tán, công việc không chỉ đơn thuần được xử lýtrên một máy tính đơn mà có thể huy động sự tham gia của nhiều máy tính được kếtnối mạng Một hệ thống phân tán là một tập hợp các máy tính độc lập nhau nhưng

trình diện tới người dùng như là một hệ thống duy nhất Một ví dụ như ta thường nhậnthấy khi một máy chủ Web làm nhiệm vụ host một trang Web nhưng cơ sở dữ liệu màmáy này lấy để cung cấp cho người dùng lại được cung cấp từ một máy chủ khác; cácmáy tính trong hệ thống mạng đã "cộng tác" với nhau để thực hiện cung cấp trang webcho người dùng Tuy nhiên, đối với người dùng thì quá trình lấy dữ liệu như trên lạihoàn toàn bị che đi, do đó với người dùng thì đây là một hệ thống duy nhất

1.1.3 Bảo mật

Việc phân các cấp độ khác nhau truy cập tài nguyên đối với người dùng là một ví dụđơn giản liên quan đến nội dung bảo mật trong hệ thống mạng Có thể thấy, hệ thốngmạng vừa cho phép người dùng chia xẻ tài nguyên theo quy định lại vừa phải thựchiện chính sách bảo quản các tài nguyên đó đối với các truy cập không chính quy Đểthực hiện được các công việc như vậy, hệ điều hành mạng cần thực hiện khâu quản trị

hệ bảo mật Muốn thế chúng ta, những người quản trị hệ điều hành mạng, cần định rachính sách bảo mật để hệ điều hành mạng thực hiện Một trong những công việc củachúng ta là tiên đoán các mối đe doạ hệ bảo mật và cài đặt các biện pháp bảo mật sau:

 Thiết lập bảo mật người dùng và nhóm

 Hạn chế quyền truy cập dữ liệu bên trong và bên ngoài

 Tiến hành ước định các khả năng gây hại cho hệ bảo mật

 Thiết lập các nội quy bảo mật

 Bảo vệ mạng tránh khỏi Virus

 Kiểm toán mạng để phát hiện các lỗ hổng trong hệ thống bảo mật

Hai mô hình thông dụng nhất để bảo vệ các tài nguyên chia sẻ trên mạng đó là: Cáctệp chia sẻ có bảo vệ bằng mật khẩu và các giấy phép truy cập

Các tệp chia sẻ có bảo vệ bằng mật khẩu

Dưới hệ thống chia sẻ có bảo vệ bằng mật khẩu, người dùng phải cung cấp một mậtkhẩu để được quyền truy cập một tài nguyên chia sẻ Ở nhiều hệ thống, tài nguyên cóthể được chia sẻ với nhiều kiểu cho phép khác nhau Ví dụ, với Windows 95, thư mụcđược chia sẻ theo 3 cách: Read Only (chỉ đọc), Full (truy cập trọn vẹn) và Depends OnPassword (tuỳ thuộc vào mật mã)

 Read Only

Nếu tài nguyên chia sẻ được chỉ định là Read Only, người dùng nào biết được mật

mã sẽ có quyền truy cập các file trong thư mục đó, nhưng chỉ được phép xem tàiliệu, sao chép chúng sang máy tính của mình, in chúng ra.\, mà không thay đổi hayhiệu chỉnh tài liệu gốc

 Full

Với Full, người dùng nào biết được mật mã sẽ có quyền truy cập trọn vẹn các filetrong thư mục đó Họ có thể xem, sửa đổi, thêm vào và huỷ bỏ file trong thư mụcchia sẻ

 Depends On Password

Depends On Password liên quan đến việc thiết lập một tài nguyên chia sẻ sử dụnghai cấp độ mật mã: truy cập chỉ đọc (Read access) và truy cập trọn vẹn (Fullaccess) Người dùng nào biết mật mã Read access sẽ có quyền truy cập chỉ đọc,còn những ai biết mật mã Full access có quyền truy cập trọn vẹn

Hệ thống bảo vệ tài nguyên chia sẻ bằng mật mã là phương pháp bảo mật đơn giản,cho phép bất cứ ai, hễ biết được mật mã là có quyền truy cập tài nguyên cụ thể đó

Giấy phép truy cập

Dưới hệ thống truy cập theo các giấy phép, điều hành viên mạng gắn sẵn một cấp truynhập cho từng người dùng tước mỗi tài nguyên chia sẻ Các cấp truy nhập này có tên

là giấy phép hoặc quyền ưu tiên Nhiều hệ điều hành mạng có một kiểu hệ thống cấp

phép truy cập nào đó Các tên cà phần định nghĩa chính xác thường thay đổi theongành công nghiệp, song khái niệm vẫn là như nhau Dưới đây là vài giấy phép truycập trong Windows NT

 Read: Cho phép đọc và chép file trong một thư mục chia sẻ

 Write: Cho phép tạo file mới trong một thư mục chia sẻ

 Execute: Cho phép thi hành tập file trong một thư mục chia sẻ

 No Access: Người dùng bị khước từ mọi quyền truy cập tài nguyên

Nhiều hệ điều hành mạng còn cung cấp các giấy phép nhóm Một nhóm là một tập hợpngười dùng mạng Điều hành viên mạng có thể tạo một nhóm người dùng có các nhucầu tương tự (ví dụ, một nhóm phòng Kinh doanh hoặc một nhóm phòng Kế toán) rồigán giấy phép cho nhóm thay vì gán độc lập cho từng người dùng Gán người dùngcho nhóm thích hợp tiện lợi hơn rất nhiều so với việc phải ấn định quyền truy nhập chotừng người dùng một Lấy ví dụ, ở hình 1.3, nhóm every one được phép truy phối trọnvẹn (Full Control) thư mục Public2 Thông thường đây không phải là sự lựa chọn lýtưởng nhất Quyền truy cập trọn vẹn (Full) sẽ cho phép người dùng huỷ bỏ hay sửa đổinội dung của các file trong thư mục Public2.

Hình 1.3 File Manager của Windows NT Server được dùng để ấn định quyền truy

cập tài nguyên

Trên hình 1.4, nhóm Everyone được cấp quyền truy cập chỉ đọc (Read access) thư mụcPublic2 Điều này cho phép mọi thành viên trong nhóm Everyone có quyền đọc nhưng

không có quyền huỷ bỏ hay sửa đổi các file trong thư mụcPublic2

1.1.4 Sao lưu dự phòng

Một cách để lưu dự phòng một file chỉ đơn giản là chép nó sang một ổ đĩa khác Tuynhiên hệ điều hành thường có các lệnh lưu dự phòng đặc biệt Hầu hết các lệnh lưu dựphòng đều đánh dấu các file theo ngày giờ lưu để ta (và tiện ích lưu dự phòng) biếtđược thời điểm đã lưu bản sao một file lần chót

Có 3 kiểu lưu dự phòng: Lưu dự phòng đầy đủ, gia số, vi sai

Mỗi đợt lưu dự phòng điển hình bao gồm một tổ hợp nào đó các kiểu lưu dự phòngnày, được thực hiện đều đặn Một kiểu thông dụng đó là thực hiện một đợt lưu dựphòng gia số mỗi ngày và một đợt lưu dự phòng đầy đủ mỗi tuần hoặc mỗi tháng.Điều quan trọng là phải duy trì một số theo dõi về tất cả các đợt lưu dự phòng Hầu hếtcác trình tiện ích lưu dự phòng đều có thể phát sinh sổ lưu dự phòng Microsoftkhuyến cáo ta tạo hai bản sao dự phòng: Lưu một bản trên cuộn băng dự phòng và lưumột bản tại khu làm việc của máy tính

Hình 1.4 Sửa đổi quyền truy cập theo nhóm

1.1.5 Tính trong suốt

Tính trong suốt là một đặc tính làm cho người dùng trở nên thuận tiện rất nhiều Tínhtrong suốt cũng có thể là tính bị ẩn, tức là ta chỉ nhìn thấy mặt trước của nó mà khôngbiết được cách xử lý của nó bên trong là như thế nào Tính trong suốt thể hiện rấtnhiều trong một mạng máy tính:

Trong suốt truy nhập

Cách biểu diễn dữ liệu sẽ bị che đi để cung cấp cho người dùng một cách truy nhập tàinguyên đồng nhất Có rất nhiều loại dữ liệu được lưu ở các dạng khác nhau như trong

cơ sở dữ liệu hoặc trong một file, và thậm chí ở trên những hệ điều hành khác nhaunhưng cách truy nhập thì vẫn hiển thị đối với người dùng dường như là như nhau

Trong suốt vị trí

Vị trí của tài nguyên cũng hoàn toàn bị ẩn đối với người dùng Ta có thể ngồi từ mộtmáy và truy cập, sử dụng dữ liệu từ một máy chủ ở “đâu đó” trên mạng cục bộ hoặcthậm chí trên Internet cũng vẫn dưới hình thức như nhau Một ví dụ là ta có thể đọccác trang Web trên mạng mà cũng không cần quan tâm là cái máy chủ đó nó nằm ởđâu

Trong suốt di chuyển

Trong trường hợp một tài nguyên nào đó có thể bị thay đổi vị trí trong một máy tính,hoặc từ máy tính này sang máy tính khác, nhưng cũng vẫn hiển thị đối với người dùngnhư không có gì thay đổi Một ví dụ là khi một trang web có thể bị chuyển từ một máychủ này sang một máy chủ khác, nhưng sau khi thay đổi thì với người dùng cuối nóvẫn hoạt động như lúc trước không có gì khác biệt cả

Trong suốt đồng thời

Cho phép nhiều người dùng khác nhau có thể truy cập “đồng thời” đến cùng một tàinguyên nhưng vẫn cảm thấy như chỉ có một mình mình đang sử dụng tài nguyên đó.Một ví dụ đơn giản là một máy chủ web có thể cùng lúc được nhiều người sử dụng.Hay một thư mục được chia sẻ trên mạng có thể được nhiều người truy cập để copy

Trong suốt thứ lỗi

Trong nhiều hệ thống lớn sẽ được trang bị khả năng tha thứ lỗi, tức là trong hệ thốngnếu có một máy tính hỏng thì công việc mà máy đó phải làm sẽ được máy khác đảmnhận, nhất là trong những hệ thống quan trọng cần phải có sự hoạt động của hệ thốngliên tục, thì đây là một điều bắt buộc Do vậy khi có hỏng hóc thì người dùng không hềbiết là đã có sự kiện đó xảy ra

Trong suốt nhân bản

Dữ liệu có thể được nhân bản (tạo các bản sao) thành nhiều bản trên đĩa, ở bộ nhớtrong hoặc sang máy tính khác, nhưng đối với người dùng thì điều này là dường như làmột, không hề có sự khác biệt nào và không thể phân biệt được Một ví dụ là máy chủlàm nhiệm vụ lưu trữ tạm thời (cache) như squid proxy, nó làm nhiệm vụ lưu trữ cáctrang web mà người dùng vừa mới truy cập để nếu ngay sau đó có một người dùngkhác truy cập và yêu cầu đúng trang web trước đó thì máy chủ này sẽ không cần phảilấy lại trang web đó từ nguồn nữa, thay vào đó nó lấy trong cache của nó Mà cachecủa nó thỉ cũng có thể là đĩa cứng hoặc bộ nhớ trong Quá trình này thì hoàn toàn ẩnđối với người dùng.

liệu với nhau một cách dễ dàng Một ví dụ về tính mở là trong một mạng có một máycài hệ điều hành Linux và một máy khác cài hệ điều hành Windows 2000, thì trên máyWindows 2000 ta vẫn có thể copy dữ liệu (các file) từ trên máy Linux Giải phápchung nhất là các hệ điều hành này cần hướng tới cùng một giao diện trình ứng dụngAPI (Application Program Interface) Một trong những hệ điều hành đảm bảo tính mởđiển hình là hệ điều hành WindowNT Hình 1.5 trình bày cách thức WindowNT làm

Hình 1.5 Hệ thống WindowNT với tính mở

việc với các máy trạm MS Windows, UNIX, OS nhờ chung một giao diện trình ứngdụng API.

1.1.7 Kháng lỗi và khôi phục sau sự cố

Đây là một trong những đặc điểm rất quan trọng mà nhờ hệ thống mạng ta có được.Kháng lỗi là khả năng khi một máy tính trong một hệ thống bị hỏng thì toàn bộ hệthống vẫn hoạt động bình thường Điều này đặc biệt có ý nghĩa sống còn trong nhữngứng dụng yêu cầu tính ổn định và trực tuyến liên tục 24 trên 24 giờ Nếu chỉ một sự cốxảy ra mà toàn bộ hệ thống bị hỏng thì thiệt hại sẽ rất lớn

1.2 Các kiểu hệ điều hành mạng

Có một số kiểu hệ điều hành mạng, trong đó mỗi kiểu có khả năng cũng như các đặctính khác nhau, tuỳ theo nhu cầu của từng nơi mà khi thiết kế mạng ta sẽ chọn các kiểumạng cho phù hợp

1.2.1 K

iểu ngang hàng

Hình 1.6 trình bày kiểu mạng hoạt động ngang hàng Trong mạng kiểu này sẽ không

có sự phân biệt máy trạm và máy chủ, mỗi thiết bị đầu cuối có cùng mối quan hệ vớitoàn bộ các trạm cuối khác trên mạng Nói cách khác hệ thống bao gồm các đầu cuốivừa có thể là máy trạm lại vừa có thể là máy chủ

1.2.2 Kiểu dựa trên máy chủ

Hình 1.5 Mạng ngang hàng

Trong hệ thống mạng này (hình 1.7) sẽ có một máy chủ chịu trách nhiệm điều khiểnhoạt động của toàn bộ hệ thống mạng.

1.2.3 Kiểu khách/chủ

Mạng bao gồm các máy trạm nhận dịch vụ và máy chủ cung cấp dịch vụ Thôngthường lưu thông trên mạng được truyền giữa nhiều máy trạm và một số ít các máychủ, do đó dữ liệu tập trung chính tại đầu cuối máy chủ

1.2.4 Một số phần mềm mạng điển hình hiện nay

a Hệ điều hành Novell NetWare

Hệ điều hành NetWare bao gồm các ứng dụng máy chủ và máy trạm Ứng dụng máytrạm được thiết kế để chạy trên rất nhiều hệ điều hành khác nhau của máy trạm Ứngdụng máy trạm có thể được truy cập bởi các người dùng trên các máy chạy MS-DOS,

Microsoft Windows (phiên bản 3.x, 95, 98, và Windows NT), OS/2, AppleTalk, hay

UNIX NetWare thường được lựa chọn cho môi trường cps mhiều loại hệ điều hành.Tuy nhiên trong các mạng nhỏ việc dùng NetWare có thể là hơi đắt và phức tạp và khóquản trị

Phiên bản 3.2 của NetWare là một hệ điều hành 32-bit hỗ trợ Windows (3.x, 95, 98 và

Windows NT), UNIX, Mac OS, và MS-DOS Với NetWare 4.11, còn được gọi làIntranetWare, Novell đã giới thiệu một hệ điều hành mới: Novell Directory Services(NDS) Phiên bản 5, là phiên bản mới nhất được phát hành sẽ giải quyết vấn đề về tích

Hình 1.7 Mạng dựa trên máy chủ

hợp các mạng LANs, WANs, ứng dụng mạng, intranets, và Internet, thành một mạngtoàn cầu duy nhất.

Novell Directory Services (NDS) cung cấp các dịch vụ tên cũng như bảo mật, địnhtuyến, truyền thông điệp, quản trị các dịch vụ Web, file và in ấn Sử dụng kiến trúcthư mục X.500, nó tổ chức tất cả các tài nguyên mạng bao gồm người dùng, nhóm,máy in, các máy chủ và các ổ đĩa NDS cũng cung cấp một điểm đăng nhập duy nhấtcho người dùng; một người dùng có thể đăng nhập tới bất kỳ một máy chủ nào trênmạng cùng với quyền đã được cấp

Một số hệ điều hành khác cung cấp các phần mềm máy trạm để có thể giao tiếp đượcvới các máy chủ NetWare Chẳng hạn, Windows NT cung cấp Cổng dịch vụ choNetWare (Gateway Services for NetWare - GSNW) Với dịch vụ này một máy chủWindows NT có thể truy cập tới các dịch vụ về file cũng như dịch vụ in ấn trongNetWare

Các dịch vụ của NetWare

Với phần mềm máy trạm NetWare được cài đặt, bất kỳ máy trạm nào cũng có toàn bộkhả năng truy cập đến các tài nguyên cung cấp bởi một máy chủ NetWare Dưới đây làmột số các dịch vụ quan trọng mà NetWare cung cấp

Dịch vụ File

Dịch vụ file của NetWare là một phần của cơ sở dữ liệu NDS NDS cung cấp mộtđiểm đăng nhập duy nhất cho người dùng và cho phép người dùng cũng như cácnhững quản trị mạng có thể xem được các tài nguyên trên mạng Tuỳ thuộc vào phầnmềm máy trạm được cài đặt, ta có thể xem toàn bộ mạng tương tự như giao diện của

hệ điều hành trên máy trạm Ví dụ: một máy trạm Microsoft Windows có thể ánh xạmột ổ đĩa logic tới bất kỳ một thư mục hay một ổ đĩa trên máy chủ NetWare, và các tàinguyên NetWare sẽ xuất hiện như là một ổ đĩa logic trên máy cục bộ cua họ Các ổ đĩalogic này hoạt động hoàn toàn giống với các ổ đĩa khác trên máy đó

Bảo mật

NetWare cung cấp cơ chế bảo mật rất mạnh, nó bao gồm:

 Bảo mật đăng nhập Cung cấp việc xác minh dựa trên tên người dùng, mật

khẩu, thời gian và những hạn chế của tài khoản

 Quyền truy cập Quản trị thư mục nào và file nào một người dùng có thể truy

cập và người dùng đó có thể thao tác gì được với nó

 Thuộc tính thư mục và file Xác định kiểu hành động có thể làm được đối với

một file (xem, ghi, sao chép, cho phép chia sẻ hoặc huỷ bỏ chia sẻ, hay xáo)

Dịch vụ in ấn

Dịch vụ in ấn là ẩn đối với người dùng trên một máy tính Một yêu cầu in từ một máytrạm được hướng tới máy chủ làm nhiệm vụ in, máy chủ này cuối cùng sẽ điều khiểnmáy in (Một máy chủ có thể vừa là máy chủ file vừa là máy chủ in) Ta có thể chia sẻcác thiết bị in được nối với máy chủ, hoặc máy trạm cho cả mạng Dịch vụ in củaNetWare có thể hỗ trợ tới 256 máy in

Gửi thông báo tới các máy khác

Bằng cách sử dụng một lệnh đơn giản, người dùng có thể gửi các thông báo ngắn chongười dùng khác trên mạng Thông báo có thể được gửi cho một nhóm hoặc gửi chotừng người Nếu các người dùng cùng trong một nhóm thì việc gửi cho cả nhóm là mộtgiải pháp thích hợp Người dùng có thể tắt hoặc bật khả năng nhận thông báo cho trạmlàm việc của họ Khi một người dùng tắt dịch vụ này, thì máy đó không thể nhận đượcmột thông báo nào hết

Thông báo cũng có thể quản trị thông qua dịch vụ quản trị thông báo (MessageHandling Service - MHS) MHS có thể được cài trên bất kỳ máy chủ nào và có thểcấu hình để tạo nên một cơ sở hạ tầng để phân phối e-mail MHS hỗ trợ phần lớn cácchương trình e-mail thông dụng

Tính mở

Tính mở của các hệ điều hành mạng không phải luôn luôn đầy đủ Điều này xảy ra đặcbiệt trong mạng có nhiều hệ điều hành khác nhau, chẳng hạn như NetWare vàWindows NT Một môi trường NetWare, được tập trung vào dịch vụ thư mục của nó,còn Windows NT, hoạt động chủ yếu vào mô hình miền (domain), rõ ràng là khôngtương thích Để giải quyết vấn đề này, Windows NT đã phát triển NWLink và GSNW,chúng cho phép 2 loại mạng này có thể hoạt động cùng nhau Các dịch vụ này chophép một máy chủ trên mạng Windows NT hoạt động như là một cái cổng (gateway)tới mạng NetWare Bất kỳ một máy trạm nào trên Windows NT đều có thể yêu cầu cáctài nguyên cũng như dịch vụ có ở trên mạng NetWare, nhưng tất cả các yêu cầu nàyđều thực hiện thông qua máy chủ Windows NT Máy chủ này khi đó sẽ hoạt động như

là một máy trạm trên mạng NetWare, như vậy nó sẽ đóng vai trò truyền yêu cầu giữa 2mạng

b Hệ điều hành Windows NT

Không giống hệ điều hành NetWare, Windows NT tích hợp thành phần mạng vàotrong hệ điều hành Máy chủ Windows NT cấu hình một máy tính để cung cấp cácchức năng dịch vụ máy chủ cho một mạng, và máy trạm Windows NT cung cấp cácchức năng khách (client) của một mạng.

Windows NT hoạt động trên một mô hình miền Một miền là một tập hợp các máy tínhchia sẻ một cơ sở dữ liệu và chính sách bảo mật chung Một miền sẽ có một tên duynhất Trong mỗi miền, một máy chủ phải được đặt làm máy điều khiển vùng chính(Primary Domain Controller - PDC) Máy chủ này lưu trữ các dịch vụ thư mục(directory services) và xác minh khi có người dùng đăng nhập Dịch vụ thư mục củaWindows NT có thể được triển khai bằng nhiều cách bằng cách sử dụng cơ sở dữ liệutài khoản và bảo mật

Có 4 mô hình miền:

 Miền đơn (Single-domain) Một máy chủ duy nhất chứa cơ sở dữ liệu tài khoản

và bảo mật

 Một chủ (Single-master) Một mạng chủ đơn có nhiều miền, nhưng một trong

các miền đó được gán cho quyền chủ và quản trị cơ sở dữ liệu tài khoản ngườidùng

 Nhiều chủ (Multiple-master) Một mạng nhiều chủ bao gồm rất nhiều miền,

nhưng cơ sở dữ liệu tài khoản được lưu trong nhiều máy chủ Mô hình này cóthể được áp dụng trong các tổ chức lớn

 Tin cậy hoàn toàn (Complete-trust) Một mạng tin cậy hoàn toàn có nhiều

miền, nhưng không có một miền nào được đặt là miền chủ Tất cả các miền đềutin cậy nhau

Các dịch vụ của Windows NT

Các dịch vụ sau là các dịch vụ quan trọng nhất của mà máy chủ và máy trạm Windows

NT Server cung cấp cho mạng:

Dịch vụ file

Có 2 cách chia sẻ file trên một mạng Windows NT Cách thứ nhất dựa trên việc chia sẻđơn giản, như trên mạng ngang hàng Bất kỳ một máy trạm hay máy chủ đều có thểcông khai chia sẻ một thư mục cho mạng và thiết lập các thuộc tính cho các file(không được đọc, được đọc, được thay đổi, toàn quyền điều khiển) Một điểm khácbiệt lớn nhất giữa hệ điều hành Windows NT và hệ điều hành Windows 95 hay 98 là

để chia sẻ một tài nguyên của Windows NT ta phải có quyền quản trị Cách chia sẻ thứ

2 sẽ có được mọi ưu điểm của các đặc tính bảo mật của Windows NT Ta có thể gắncác quyền ở mức thư mục hoặc mức file Nó cho phép ta có thể giới hạn truy cập chotừng cá nhân hay từng nhóm người dùng Để làm được điều này ta cần sử dụng hệthống file Windows NT (Windows NT File System - NTFS) Trong quá trình cài đặtWindows NT, ta có thể chọn định dạng NTFS hay hệ thống file 16-bit FAT (MS-DOS) Ta có thể cài cả 2 hệ điều hành trên các ổ cứng khác nhau hay trên các ổ đĩalogic khác nhau của cùng một đĩa cứng, nhưng khi đó nếu ta khởi động hệ điều hànhMS-DOS, thì ổ đĩa được định dạng theo NTFS sẽ không thể truy cập được Một máykhông sử dụng NTFS có thể chia sẻ thư mục trên máy đó cho mạng, nhưng nó chỉ cóthể chia sẻ công cộng và không thể có các đặc tính bảo mật của NTFS Một điều chú ý

là Windows 95 hay Window 98 sử dụng hệ thống file 32-bit FAT Windows NTkhông tương thích với 32-bit FAT Windows NT không thể cài được trên 32-bit FAT

và sẽ không thể nhận ra được các file trên phân vùng 32-bit FAT

Bảo mật

Windows NT cung cấp bảo mật cho bất kỳ tài nguyên nào trên mạng Một mạngWindows NT, máy chủ miền sẽ lưu trữ tất cả các bản ghi về tài khoản và quản trị cácquyền Để truy cập tới một tài nguyên nào đó, một người dùng phải có quyền thực hiệncông việc đó và có quyền sử dụng tài nguyên

Ta cũng có thể cài nhiều hơn một máy in trên một máy tính Tương tự khi ta cài mộtmáy in cục bộ, máy sẽ hỏi là có chia sẻ máy in này hay không

Các dịch vụ mạng

Windows NT cung cấp rất nhiều dịch vụ, danh sách dưới tóm lược một số dịch vụ:

 Dịch vụ thông báo (Messenger Service) Quản trị mạng và nhận các thông báo

truyền từ máy khác đến

 Dịch vụ cảnh báo (Alerter Service) Gửi các cảnh báo đến các máy trong

mạng, các cảnh báo này sẽ được dịch vụ thông báo nhận

 Dịch vụ liệt kê (Browser Service) Cung cấp một danh sách các máy chủ có

mặt trong miền hoặc trong nhóm làm việc (workgroup)

 Dịch vụ máy trạm (Workstation Service) Chạy trên các máy trạm và chịu

trách nhiệm kết nối tới các máy chủ

 Dịch vụ máy chủ (Server Service) Cung cấp khả năng truy cập tới các tài

nguyên mạng

Tính mở

Giao thức mạng NWLink được thiết kế để làm cho Windows NT tương thích vớiNetWare Các dịch vụ NetWare:

 Dịch vụ cổng cho NetWare (Gateway Services for NetWare - GSNW) Tất

cả các máy trạm Windows NT trong một miền đều phải giao tiếp với máy chủNetWare thông qua một “cổng” duy nhất GSNW cung cấp cổng kết nối giữamột miền Windows NT và một máy chủ NetWare Cơ chế này hoạt động tốt khi

số lượng các yêu cầu là nhỏ, hiệu năng của nó sẽ giảm khi số lượng các yêu cầutăng lên

 Dịch vụ khách cho NetWare (Client Services for NetWare - CSNW) Dịch

vụ này cho phép một máy trạm Windows NT truy cập dịch vụ file và dịch vụ intrên một máy chủ NetWare Dịch vụ này được kết hợp thành một phần củaGSNW

 Dịch vụ file và in cho NetWare (File and Print Service for NetWare FPNW) Tiện ích này cho phép các máy trạm NetWare truy cập dịch vụ file và

-in trong W-indows NT

 Quản trị dịch vụ thư mục cho NetWare (Directory Service Manager for NetWare - DSMN) Tiện ích này tích hợp thông tin tài khoản người dùng và

nhóm trong NetWare và Windows NT

 Công cụ cho NetWare (Migration Tool for NetWare) Công cụ này cho phép

những người quản trị chuyển từ NetWare sang Windows NT Nó truyền thôngtin tài khoản trên máy chủ NetWare sang một máy điều khiển miền (domaincontroller) Windows NT

c Hệ điều hành mạng AppleTalk

Phần điều khiển mạng của Apple được tích hợp vào trong hệ điều hành của mọi máychạy Mac OS Cài đặt hiện tại của AppleTalk hỗ trợ mạng ngang hanhg tốc độ caogiữa các máy Apple và cung cấp tính mở cao với các máy tính và hệ điều hành mạngkhác Tuy nhiên, tính mở này không phải là một phần của hệ điều hành Apple Nhữngngười dùng trên các máy không phải là Apple có thể kết nối tới các tài nguyên trênmột mạng Apple một cách dễ dàng bằng phương tiện Apple IP - một cài đặt của giaothức TCP/IP

Các máy tính trong mạng Apple có thể truy cập tới các máy khác thông qua dịch vụđược cung cấp bởi các nhà sản xuất hệ điều hành đó Máy chủ Windows NT, NovellNetWare, và Linux, tất cả đều cung cấp các dịch vụ làm việc với Apple Do đó, ngườidùng trên mạng Apple cũng có thể sử dụng các tài nguyên trên các máy chủ mạng.Dạng dịch vụ thư mục của AppleTalk áp dụng các đặc tính gọi là "zones" Đây là cácnhóm logic về mạng và tài nguyên, nó cung cấp phương tiện để nhóm các tài nguyênmạng thành các đơn vị chức năng.

d Hệ điều hành UNIX

UNIX là một hệ điều hành đa năng, đa nhiệm, đa người dùng Hai phiên bản phổ biến

là Linux và Solaris của Sun Microsystem Một hệ thống UNIX thường được tạo ra từmột máy trung tâm và nhiều trạm cuối cho các người dùng Hệ thống này có thể đượcthiết kế cho các mạng lớn UNIX hoạt động tốt trên một máy tính độc lập và bởi vì nó

đa nhiệm nên nó cũng hoạt động tốt trên môi trường mạng

UNIX thường được lựa chọn cho môi trường khách/chủ (client/server) Nó có thểchuyển thành một máy chủ cung cấp dịch vụ file bằng cách cài thêm một phần mềm.Khi nó là một máy chủ nó có thể trả lời các yêu cầu từ máy trạm

Một khách hàng (client) của một máy chủ UNIX có thể là một máy UNIX hay cũng cóthể là bất kỳ máy tính nào chạy MS-DOS, OS/2, Microsoft Windows, hay Macintosh(System 7 hay 8)

e Dịch mạng tích hợp ảo Banyan (Banyan Virtual Integrated Network Services Vines)

-Một hệ thống mạng tên là Vines theo mô hình khách/chủ xuất phát từ giao thức hệthống mạng Xerox (Xerox Network Systems - XNS) của Xerox Corporation

Việc tạo và quản trị dịch vụ mạng đều thông qua phiên bản mới nhất của StreetTalkExplorer Giao diện này làm việc được với profiles của người dùng trên Windows, chophép những thiết lập của người dùng có thể theo họ đi bất kỳ đâu trên mạng Một sốđặc tính khác trong Vines là:

 Hỗ trợ cho các máy trạm Windows NT, Windows 95 và 98

 Kết nối Intranet, cung cấp truy cập từ xa với các trình duyệt Web chuẩn

 Hỗ trợ phần mềm giữa các máy chủ theo giao thứcTCP/IP

 Banyan Networker một họ các sản phẩm về mạng

 Hỗ trợ đa xử lý tới 4 bộ xử lý

Tất cả những điều này nhằm nói lên rằng, sau khi lắp đặt xong một mạng máy tính,mạng cần phải được quản trị Muốn thế, nhà quản trị cần phải quản trị và theo dõi từnglĩnh vực liên quan đến việc thi hành mạng Phạm vi của một chương trình quản trịmạng phụ thuộc vào:

 Quy mô mạng,

 Quy mô và khả năng của đội ngũ nhân viên hỗ trợ mạng,

 Ngân sách hoạt động mà tổ chức dành cho mạng,

 Sự trông chờ của tổ chức vào mạng

Những mạng ngang hàng với quy mô nhỏ, chỉ bao gồm từ 10 đến 12 máy tính, có thểphân công một người theo dõi trực tiếp hoạt động của hệ thống mạng Trái lại, mạng

có qui mô lớn, hoặc mạng diện rộng (WAN), cần thiết đòi hỏi một đội ngũ chuyênviên công nghệ mạng có trình độ chuyên môn cùng với các trang thiết bị tinh vi, phứctạp mới có thể tiến hành theo dõi, giám sát hoạt động mạng một cách thích hợp

Một trong những cách giúp đảm bảo mạng vẫn đang hoạt động tốt là thường xuyêngiám sát một số lĩnh vực nhất định trong hoạt động hàng ngày của mạng, nhờ đó ngườiquản trị mạng sẽ dễ dàng phát hiện nếu như có lĩnh vực nào bắt đầu có biểu hiện suygiảm trong năng lực thi hành

Những công việc điển hình nhất của người quản trịmạng là quản trị hiệu năng, quản trịcấu hình, quản trị tài khoản, quản trị sự cố, quản trị an ninh và an toàn mạng

2.1.2 Quản trị hiệu năng

a Mục tiêu và quy trình thực hiện

Mục tiêu

Mục tiêu của quản trị hiệu năng là kiểm tra xem những tiêu chí về hiệu năng mạngban đầu có thoả mãn không và thực hiện các biện pháp phòng ngừa để giữ cho hiệunăng mạng không bị suy giảm

Nhà quản trị theo dõi hiệu năng thi hành của mạng vì nhiều lý do khác nhau nhằm:

 Cải thiện hiệu năng dựa trên cấu hình có sẵn

 Cung cấp dung lượng phục vụ cho việc hoạch định và dự báo

 Cung cấp thông tin cần thiết giúp dò tìm và phát hiện chỗ tắc nghẽn

Quy trình

1 Lên danh sách các thông số đánh giá hiệu năng mạng,

2 Xác định khoảng thời gian định kỳ thu thập số liệu,

3 Thu thập các số đo về hiệu năng mạng,

4 Xử lý thống kê các số liệu đo được (Tốt->bước 3, kém -> bước 6),

5 Phân tích kết quả thống kê,

6 Các biện pháp cải thiện hiệu năng mạng,

7 Đánh giá

b Giám sát hiệu năng mạng

Một số điểm sau được đưa ra trong giám sát hiệu năng mạng

 Do có nhiều yếu tố không định chuẩn được (như tốc độ vào/ra, năng lực cáctrạm làm việc, các thông tin chèn thêm trong giao thức) các tiêu chí về hiệunăng mạng không dựa thuần tuý vào các thông số lý thuyết (Ví dụ năng lựctruyền tải của mạng 10 BaseT là 10 Mbps) mà cần được thiết lập trên cơ sở cácgiá trị đo thực tế,

 Có khoảng 3-5% là thông tin điều khiển lưu chuyển trên mạng ngay cả khikhông có dữ liệu tải trên mạng Đó là thông tin về định tuyến do các bộ địnhtuyến (router) phát ra hay hỏi đáp định kỳ giữa các máy phục vụ hoặc máy phục

vụ với máy khách,

 Mức độ sử dụng đường truyền dưới 30% được coi là thích hợp (cho cơ chếthâm nhập CSMA/CD) Tỷ lệ này có thể được xem xét lại tuỳ theo mức độxung đột trên đường truyền

Các nguyên nhân gây giảm hiệu năng mạng là mức độ sử dụng đường truyền quá cao,phải phát lại đường truyền nhiều lần do gặp lỗi, sự xuất hiện thường xuyên các gói tin

quảng bá (broadcast) hay đa phân phát (multi-cast), xung đột phát sinh thường xuyêntrên đường truyền.

Các thông số chính được giám sát trong quản trị hiệu năng mạng là:

 Thời gian đáp ứng là khoảng thời gian tính từ khi bản tin gửi đi tới trạm đầucuối cho đến khi trả lời của nó được trả lại Đây là tham số cần theo dõi hàngngày

 Hệ số sử dụng đường truyền là số gói tin ( số byte) đưa lên mạng trong mộtgiây chia cho khả năng truyền tải của đường truyền Hệ số này được khuyếncáo cho mạng LAN theo cơ chế thâm nhập CSMA/CD là nhỏ hơn 30%

 Số lượng các gói tin quảng bá Hiệu năng của mạng sẽ giảm khi số lượng góitin quảng bá tăng,

 Số lần xung đột Xung đột đường truyền là chuyện tất yếu khi sử dụng cơ chếthâm nhập CSMA/CD

 Khối lượng dữ liệu gửi nhận qua mạng LAN là một tham số quan trọng khiđánh giá hiệu năng sử dụng mạng

 Mức độ sử dụng theo kích thước gói tin Thông số này được dùng để đánh giáđặc trưng mạng LAN đang khai thác Cần phải nắm rõ đồ thị phân bố hệ số sửdụng mạng theo kích thước gói tin

 Số lần xuất hiện lỗi

2.1.3 Quản trị cấu hình

Nhằm mục đích giám sát thông tin cấu hình mạng và hệ thống của tất cả các phần tửtrên mạng sao cho những ảnh hưởng lên hoạt động của mạng do sự không tương thíchcủa các phiên bản, chủng loại thiết bị khác nhau nằm trong tầm kiểm soát được Cácthông tin được lưu giữ luôn là bản được cập nhật mới nhất về các cấu hình các thiếtbịtrên mạng, trạng thái hoạt động, phân bổ địa chỉ trên mạng, dịch vụ tên IP,…Chúngđược sử dụng để quản trịvà tối ưu hoá các thiết bị mạng, giúp tránh xung đột về địachỉ, giảm thiểu ảnh hưởng đến người dùng khi cấu hình lại mạng Các thông tin về cấuhình cũng được sử dụng trong quá trình cô lập và phát hiện lỗi trên mạng

Mục đích đầu tiên của quản trị cấu hình là theo dõi sát cấu hình toàn mạng trạng tháikết nối của các thiết bị cấu thành LAN và sự thay đổi của chúng Công việc quản trịcấu hình được cấu trúc hoá theo sơ đồ phân cấp (chi tiết hoá theo chiều đi xuống) dướiđây, sử dụng các sơ đồ và bảng ghi thông tin cấu hình

QUẢN TRỊ CẤU HÌNH

Giản đồ mạng chung Giản đồ cáp chung Bảng quản trị thiết bị

Ba phần việc chính xây dựng sơ đồ cấu hình mạng, sơ đồ di cáp và bảng quản trị thiết

bị Nắm vững sơ đồ cấu hình mạng tạo điều kiện cho việc mở rộng mạng loại trừ cáclỗi và đưa ra cac biện pháp an ninh cho mạng Những thông tin về cáp mạng giúp phụchồi mạng một cách nhanh chóng trong trường hợp sự cố và cũng rất cần thiết khi mởrộng mạng Thông tin cấu hình các thiết bị kết nối mạng và các hệ thống đầu cuốiđược sử dụng khi thêm, bớt hay thay đổi vị trí các thiết bị và cũng giúp loại trừ các lỗi

Giản đồ mạng chung cung cấp những thông tin về:

 Kiểu mạng LAN (backborn/branch LAN)

 Kết nối ra mạng bên ngoài (WAN qua mạng công cộng)

 Máy chủ (mainframe, pc srv, Unix)

 Các thiết bị kết nối(router, bridge, repeater)

 Thiết bị giám sát mạng

Sơ đồ kiến trúc mạng mô tả bức tranh chung toàn mạng, lấy toà nhà chính làm điểm

bắt đầu, xác định rõ trạng thái kết nối giữa các mạng trong từng toà nhà, các tầng vàcác phân đoạn Sơ đồ kiến trúc mạng cho các mô tả chi tiết sau:

 Thiết bị kết nối giữa các phân đoạn mạng

Sơ đồ phân đoạn mạng chi tiết hoá sơ đồ kiến trúc trong từng phân đoạn (là đơn vị

chia tối thiểu trong mạng)

 Thông tin về phân đoạn mạng (tên phân đoạn, tên mạng, độ dài cáp vị trí vật

lý số lượng các hệ thống đầu, cuối)

 Thông tin về các hệ thống đầu cuối (máy phcụ vụ, thiết bị kết nối mạng, HUB)

 ID của thiết bị kết nối các hệ thống đầu cuối

Bảng cấu hình clience/server cho biết trạng thái kết nối logic giữa các máy trạm và

các máy phục vụ (tệp, in mạng, CSDL)

Bảng quản trị địa chỉ mạng chứa những thông tin về từng mạng con cấu thành nên

mạng lớn,bao gồm tên mạng, địa chỉ mạng, mặt nạ mạng

Sơ đồ di cáp mạng được chi tiết hoá dần, bắt đầu từ giản đồ di cáp chung đến sơ đồ

cáp trong từng toà nhà, các tầng, các phòng cho biết đường đi của cáp, vị trí các thiết

bị kết nối mạng và các hệ thống đầu cuối

Bảng quản trị thiết bị cho những thông tin chi tiết về tất cả các thiết bị kết nối mạng,

các hệ thống đầu cuối trong mạng như trên trạm, tên phân đoạn, địa chỉ IP địa chỉMAC, điểm nối đến, nhà sản xuất, model thiết bị, giao thức, hệ điều hành, các chươngtrình ứng dụng Các thông tin khác cũng cần đưa vào bảng là kích thước bộ nhớ, đĩacứng, kiểu CPU và một số điểm khác

2.1.4 Quản trị tài khoản

Mộttrách

nhiệm quan trọng của điều hành viên mạng là tạo, bảo trì, và xoá các tài khoản ngườidùng Khi điều hành viên mạng tạo tài khoản cho người dùng, họ phải gán một sốthuộc tính cho tài khoản, bao gồm tên người dùng, mật khẩu và vài tham số định nghĩacác nội dung như thư mục nhà và mối quan hệ thành viên của người dùng Điều hànhviên mạng cũng phải quản trị các giấy phép truy cập kết hợp với từng tài khoản ngườidùng.

a Tạo tài khoản người dùng

Người làm việc trên mạng cần phải có một tài khoản người dùng Tài khoản (account)

gồm có tên người dùng (user name) và các tham số đăng nhập được thiết lập chongười dùng đó Thông tin này do nhà quản trị gõ vào và được hệ điều hành lưu trữ trênmạng Mạng sử dụng tên người dùng để thẩm tra tài khoản khi người dùng muốn đăngnhập mạng

Mạng nào cũng có tiện ích mà nhà quản trị có thể sử dụng để gõ tên mọi tài khoản mớivào CSDL bảo mật của mạng Tiến trình này được gọi là tiến trình tạo người dùng

Gõ thông tin người dùng

Tài khoản mới chứa thông tin nhận diện người dùng với hệ thống bảo mật cuả mạng.Thông tin này gồm có:

 Tên người dùng và mật mã

 Quyền truy cập hệ thống và sử dụng tài nguyên hệ thống của người dùng

 Các nhóm quản trị mà tài khoản trực thuộc, và những nhóm khác mà tài khoản

 Password và Confirm Password

Định rõ tham số người dùng

 Hầu như mạng nào cũng cho phép người quản trị định rõ một vài tham số chongười dùng, gồm có:

 Thời điểm đăng nhập: Nhằm giới hạn thời điểm đăng nhập của người dùng

 Thư mụcchủ: Cho người dùng một nơi lưu trữ các file cá nhân

 Ngày hết hạn: Để giới hạn thời gian tồn tại trên mạng của người dùng tạm thời

Profile

Sẽ là thuận lợi nếu như nhà quản trị có khả năng tổ chức môi trường mạng cho vàingười dùng nhất định Khả năng này có thể cần thiết, ví dụ, để duy trì mức độ bảo mậtnào đó, hay người dùng vẫn còn xa lạ với máy tính và mạng, họ có thể tự mình sửdụng công nghệ này Nhà quản trị sử dụng các profile để kiểm soát môi trường đăngnhập của người dùng

Profile được dùng để lập cấu hình và duy trì môi trường đăng nhập của người dùng,bao gồm các nối kết mạng và các khoản mục chương trình xuất hiện khi người dùngđăng nhập Đó là:

 Các kết nối với máy in

Hình 2.2 Cửa sổ New User

Những tài khoản người dùng quan trọng

Hệ điều hành mạng có kèm theo một số dạng tài khoản người dùng nhất định, vốn đãđược tạo sẵn và tự động được kích hoạt trong tiến trình cài đặt hệ điều hành

 Administrator

Khi hệ điều hành mạng được cài đặt, trình cài đặt tự động tạo ra một tài khoản cóđầy đủ thẩm quyền trên mạng Một người nào đó phải có các khả năng:

- Khởi động mạng

- Định rõ những tham số ban đầu về chế độ bảo mật

- Tạo những tài khoản người dùng khác

Người đầu tiên đăng nhập mạng thường chính là người đứng ra cài đặt hệ điềuhành mạng Sau khi đăng nhập với tư cách là nhà quản trị mạng, người này có đủthẩm quyền kiểm soát toàn bộ hoạt động mạng

 Tài khoản Guest

Trình cài đặt còn tự động tạo một tài khoản mặc định thứ hai tên là Guest Đây làtài khoản dành cho người nào không có tài khoản người dùng hợp lệ nhưng lại cầntruy nhập mạng tạm thời Một số hệ điều hành, như Microsoft WindowsNT Server,

vô hiệu hoá tài khoản Guest sau khi được cài đặt Nhà quản trị mạng phải kích hoạttài khoản này

 Mật khẩu

Giúp bảo đảm tình trạng bảo mật của môi trường mạng Mật khẩu ngăn không chonhững người dùng không có thẩm quyền tự ý đăng nhập mạng với tư cách nhàquản trị và tạo tài khoản

Nên thay đổi tài khoản theo định kỳ

Lý do thành nhập nhóm chẳng qua chỉ là để đơn giản hoá việc quản trị Nhóm giúpnhà quản trị có khả năng xử lý một số lượng lớn người dùng đưới dạng một tài khoản

Nhóm được dùng để:

 Ban hành quyền truy cập tài nguyên, chẳng hạn file, thư mục, máy in Quyềntry cập ban hành cho nhóm cung tự động được ban hành cho mọi thành viêntrong nhóm

 Cho quyền thi hành những tác vụ trên hệ thống, chẳng hạn như sao lưu và phụchồi file Mặc định tài khoản người dùng không có quyền lợi gì cả CHúng nhậnđược quyền lợi thông qua các thành viên trong nhóm

 Đơn giản hoá các cuộc giao tiếp bằng cách giảm bớt số lượng thông điệp cầnđược soạn thảo và gửi đi

Thiết lập nhóm

Tiếntrình

Hình 2.3 Cửa sổ New Local Group

thiết lập nhóm tương tự tiến trình thiết lập tài khoản người dùng cá thể Hầu như mạngnào cũng có một tiện ích hỗ trợ nhà quản trị đưa vào sử dụng những nhóm mới TrongMicrosoft Windows NT Server, tiện ích này có tên User Manager for Domain, đượcxếp vào nhóm chương trình Administrative Tools

Trong User Manager, nhấn chọn New Local Group từ menu User Hộp hội thoaiNewlocal Group hiển thị, cho phép chúng ta gõ thông tin cần thiết vào để tạo mộtnhóm cục bộ mới, như hình 2.3

và quyền truy cập (permission) trên máy tính cục bộ và những tài khoản nhóm khác

 Nhóm toàn cục (global group)

Dạn nhóm này được ngang qua toàn vùng Nhóm toàn cục được thiết lập trên máyphục vụ điều khiển vùng chính (PDC), và có thể chứa tài khoản người dùng từ cơ

sở dữ liệu tài khoản thuộc vùng của riêng nhóm

 Nhóm đặc biệt (special group)

Nhóm đặc biệt thông thường do Windows NT Server sử dụng để truy cập tàinguyên từ hệ thống nội bộ

 Nhóm cài sẵn (Built-in Group)

Có một số tính năng giống nhau ở tất cả các mạng, bao gồm hầu hết tác vụ quản trị

và bảo trì Nhà quản trị có thể tạo tài khoản cà nhóm với những quyền truy nhậpthích hợp nhằm thi hành những tác vụ thông thường này, nhưng nhiều hệ điều hànhmạng đã giúp nhà quản trị mạng không phải mất công tạo những nhóm và tàikhoản này, bằng cách cung cấp chúng dưới dạng nhóm cục bộ hoặc nhóm toàn cụctạo sẵn, được tự động tạo trong tiến trình cài đặt

Nhóm cài sẵn được chia thành 3 loại:

Administrators-Thành viên của nhóm này có đầy đủ khả năng trên một máy tínhOperator-type group-Thành viên của nhóm này có khả năng quản trị khá hạn chếđối với việc thi hành những tác vụ đặc biệt

Other-Thành vien của những nhóm này có khả năng thi hành những tác vụ giới hạn

Cấp đặc quyền cho nhóm

Cách dễ dàng nhất để ban hành những quyền truy cập tương tự cho một số lớn ngườidùng là trao chúng cho một nhóm Người dùng sau đó sẽ được bổ sung vào nhóm.Tiến trình tương tự cũng được áp dụng cho nhóm cài sẵn Ví dụ, nếu nhà quản trịmuốn người dùng nào đó có các khả năng quản trị trên mạng, anh ta sẽ kết nạp ngườidùng này vào nhóm Administrators cài sẵn.

c Vô hiệu hoá và huỷ bỏ tài khoản người dùng

Thỉnh thoảng, nhà quản trị phải làm sao để chặn đứng trạng thái hoạt động trên mạngcủa một tài khoản nào đó, bằng cách vô hiệu hoá hoặc huỷ bỏ tài khoản này

Vô hiệu hoá tài khoản

Nếu tài khoản chỉ bị vô hiệu hoá, nó vẫn tồn tại trong cơ sở dữ liệu tài khoản củamạng, nhưng không ai có thể sử dụng tài khoản này để đăng nhập mạng Một tài khoản

bị vô hiệu hoá có vẻ không còn hiện hữu

Tốt nhất nhà quản trị nên vô hiệu hoá tài khoản ngay khi đã xác minh rằng người dùngkhông còn sử dụng nó nữa Và một khi đã quyết định không bao giờ cần dùng đến tàikhoản này thì có thể huỷ nó đi

Windows NT Server dùng cửa sổ User properties trong User Manager để vô hiệu hóatài khoản người dùng Nhấn đúp tên tài khoản, nhắp chọn Account Disabled, nhấn OK.Tài khoản người dùng lúc này đã bị vô hiệu hoá

Hình 2.4 Vô hiệu hóa một tài khoản

Huỷ bỏ tài khoản

Việc huỷ bỏ tài khoản sẽ xoá đi thông tin về người dùng khỏi cơ sở dữ liệu tài khoảnngười dùng mạng, người dùng đó sẽ không còn truy cập mạng được nữa

Nên huỷ bỏ tài khoản người dùng mạng khi:

 Người dùng đã rời tổ chức và không còn lý do công việc nào để sử dụng mạng

 Thời hạn làm việc của người dùng đã hết

Trong Microsoft Windows NT Server sử dụng tiện ích User Manager, chọn tàikhoản cần huỷ bỏ, nhấn Delete, nhấp OK Tài khoản lúc này đã bị huỷ bỏ

 Trang thiết bị

 Lịch biểu

 Người giám sát tình hình thực hiện lịch biểu sao lưu

Các bước để thực hiện sao lưu dự phòng:

- Chi phí cho ổ băng và các phương tiện liên quan

- Khả năng tương thích của phần cứng với hệ điều hành

b3 Kiểm tra và lưu trữ

Nhà quản trị sẽ thường xuyên kiểm tra các thủ tục sao lưu nhằm xác minh xem dữliệu cần sao lưu là thật sự được sao lưu hay chưa Ngoài ra cũng phải kiểm tra thủtục phục hồi những file quan trọng

b4 Duy trì nhật ký sao lưu

Đây là việc làm cực kỳ quan trọng đối với việc phục hồi file sau này Sổ nhật ký sẽghi nhận những thông tin sau đây:

- Ngày sao lưu

- Số hiệu bộ băng từ

- Dạng sao lưu được thực hiện

- Máy tính được sao lưu

- Những file được sao lưu

- Người thực hiện sao lưu

- Nơi lưu giữ băng từ sao lưu

2 Nguồn cung cấp điện liên tục (UPS)

UPS (Uninterruptible Power Supply, nguồn điện liên tục) là một bình điện đặc biệt(hoặc là một máy phát điện) cung cấp điện cho các thiết bị điện tử trong trường hợpcúp điện Các UPS thường được dùng với các hệ phục vụ mạng để phòng ngừa xảy

ra tiến trình đóng sai trình tự Phần mềm kèm theo UPS sẽ cảnh báo người dùngđăng xuất Sau thời hạn chờ đợi định sẵn, phần mềm UPS thực hiện tiến trình đóng

hệ phục vụ theo trình tự

3 Thiết kế dung lỗi

Có thể nối các thành phần mạng vào một cấu hình dung lỗi để một pan phần cứngkhông làm treo mạng Để đạt được khả năng dung lỗi mạng Ta cung cấp cácđường truyền dữ liệu đôi, các ổ cái dung lỗi (fault-tolerant hubs), các UPS, và cáctính năng tương tự khác

b Các sự cố mạng

1 Cáp mạng

Hầu hết các sự cố mạng xảy ra tại tầng vật lý OSI, và hệ đấu cáp là một trongnguyên nhân phổ dụng nhất Một đường cáp có thể có một chỗ bị đứt hay bị gắnvào đầu nối hỏng

2 Các sự cố trạm làm việc

Đôi khi đó chỉ là một sự cố cục bộ trên một trạm làm việc Có phải một ứng dụngmới được cài đặt trên trạm làm việc gần đây không? Có thay đổi gì gần đây với cácfile cấu hình không? Đôi lúc một sự cố trên một trạm làm việc có thể gây ra một sự

cố mạng Ví dụ, thỉnh thoảng một các giao tiếp mạng có thể vận hành sai và làm

ngập mạng bằng một lượng lưu thông mà người ta gọi là bão truyền thông

[broadcast storm]

3 Các đợt nâng cấp hệ điều hành

Các đợt nâng cấp hệ điều hành đôi lúc có thể làm cho các chương trình cũ khôngtương thích với hệ điều hành Trong quá trình chuyển tiếp, có vài hệ phục vụ sẽchạy phiên bản cũ trong một thời hạn, trong khi các hệ phục vụ khác lại chạyphiên bản mới Microsoft khuyến cáo người sử dụng cần thực hiện một đợt nângcấp trắc nghiệm trên một phần cô lập của mạng để bảo đảm mọi hệ phần cứng vàphần mềm sẽ hoạt động đúng đắn khi thực tế tiến hành nâng cấp

4 Hệ phục vụ đổ vỡ

Một sự cố hỏng đĩa trên hệ phục vụ có thể là một tai hoạ nếu ta chưa chuẩn bị kỹ

Để một hệ thống lưu dự phòng đều đặn để sẵn sàng ứng phó Tuỳ theo bản chất của

dữ liệu, có thể chúng ta cần phải khảo sát các biện pháp khác, như một hệ dung lỗiRAM

5 Dao động điện

Một dao động nhỏ trong nguồn cấp điện có thể làm mạng ứng xử sai Nếu mất điệnhoàn toàn, toàn bộ mạng có thể bị đóng, khiến người dùng mất các công trình đangdang dở Một tiến trình đóng sai trình tự cũng có thể gây ra các sự cố cao các hệphục vụ file Giải pháp tốt nhất đó là sự chuẩn bị sự cố mất điện trước khi nó xảy

ra Nối từng hệ phục vụ với một UPS, nhắc mọi người tiến hành lưu đều đặn trongquá trình làm việc

6 Lượng lưu thông trên mạng

Nếu mạng đang chạy chậm hơn bình thường, sự cố có thể là do lượng lưu thôngmạng hiện tại đang vượt quá mức mà mạng có thể hoạt động hiệu quả Một sốnguyên nhân khả dĩ làm tăng lượng lưu thông đó là do phần cứng mới (một trạmlàm việc mới) hoặc phần mềm mới Một bộ phát điện hoặc một thiết bị cơ điệnkhác hoạt động gần mạng cũng có thể khiến khả năng vận hành của mạng xuốngcấp Một thiết bị mạng vận hành sai có thể tác động như một chỗ nghẽn Lượng lưuthông tăng cũng có thể là do mức sử dụng tăng Nếu mức sử dụng vượt quá côngsuất của mạng, nên nghĩ đến phương án mở rộng hoặc thiết kế lại mạng Bộ phântích giao thức có thể giúp chúng ta đo lường và giám sát lượng lưu thông tại cácđiểm khác nhau trên mạng

c Các công cụ chỉnh sự cố

1 Bộ phân tích giao thức (protocol analyzers)

Bộ phân tích giao thức là những sản phẩm phần cứng hoặc phối hợp cả phần cứnglẫn phần mềm được dùng để giám sát lượng lưu thông trên mạng, theo dõi khảnăng vận hành mạng, và phân tích các gói tin Một bộ phân tích giao thức có thểđịnh danh các chỗ tắc nghẽn, các sự cố về giao thức, và các thành phần mạng vậnhành sai

2 Digital Volt Meters (DVM)

DVM là một công cụ đo điện tử cầm tay DVM có thể kiểm tra điện áp của các cápmạng Có thể dùng DVM để tìm chỗ đứt hoặc chỗ chập mạch trong cáp mạng

Microsoft gợi ý một cách tiếp cận năm bước để chỉnh sự có mạng, đó là:

1 Ấn định mức ưu tiên của sự cố

Sự cố này trầm trọng đến mức nào? Mạng sẽ hoạt động tốt nếu ta chú trọng đến cácvấn đề nào trước? Có thể định lượng mức thiệt hại về thời gian làm việc hoặc năngsuất do sự cố gây ra? Xác định mức độ trầm trọng của sự cố tương đối với các vấn

đề cấp bách khác mà người quản trị mạng có thể phải đối mặt

2 Thu thập thông tin để định danh các triệu chứng

Tiến trình thu thập thông tin có thể đơn giản là yêu cầu người dùng mô tả chi tiếtcác sự cố Một nguồn thông tin đó là những người dùng đang gặp sự cố Chúng ta

có thể so sánh cách ứng xử hiện tại của mạng với cách ứng xử cơ sở Cũng có thểtìm các trường hợp xuất hiện khả dĩ trong quá khứ về sự cố đó

3 Phát triển một danh sách các nguyên nhân khả dĩ

Có phải sự số là một kết quả của các dịch vụ không tương kết? Đấu cáp? Các giaothức? Một trạm làm việc không ổn định? Các trường hợp trong quá khứ có giốngvới hiện tại? Liệt kê mọi khả năng

4 Trắc nghiệm để cô lập nguyên nhân

Phát triển các cuộc trắc nghiệm sẽ chứng minh hay bác bỏ từng nguyên nhân khả

dĩ Các cuộc trắc nghiệm có thể chỉ đơn giản là kiểm tra một tham số xác lập hoặcphức tạp như dùng bộ phân tích giao thức để nghiên cứu lượng lưu thông mạng

5 Nghiên cứu kết quả của cuộc trắc nghiệm để định danh một giải pháp

Cuộc trắc nghiệm sẽ chỉ xảy ra sự cố thực sự và một khi biết được sự cố, chúng ta

Mạng máy tính cần được bảo vệ an toàn, nhưng không nên thái quá Mạng không nhấtthiết phải được bảo vệ quá cẩn mật đến mức người dùng luôn gặp khó khăn khi truycập mạng, thậm chí là file của chính mình

bốn hiểm hoạ chính đối với sự an ninh của mạng là:

 Truy cập mạng bất hợp pháp

 Sự can thiệp bằng phương tiện điện tử

 Kẻ trộm

 Tai hoạ vô tình hoặc cố ý

Nhiệm vụ của các nhà quản trị mạng là đảm bảo mạng luôn là công cụ làm việc antoàn, đáng tin cậy, không bị đe doạ bởi bất kỳ hiểm hoạ nào trong số kể trên

a.1 Mức độ bảo mật

Phạm vi và mức độ của hệ thống bảo mật mạng sẽ tuỳ thuộc vào dạng môi trườngtrong đó mạng đang hoạt động Ví dụ: Mạng máy tính lưu trữ dữ liệu cho một ngânhàng lớn dĩ nhiên sẽ đòi hỏi mức độ bảo mật cao hơn nhiều so với mạng cục bộ kết nốicác máy tính trong một tổ chức tình nguyện có quy mô tương đối nhỏ

Định rõ chính sách

Hệ thống bảo mật mạng đòi hỏi một tập hợp các nguyên tắc, điều luật và chính sáchnhằm loại trừ mọi may rủi

Chính sách bảo mật có thể là bước đầu tiên của công ty để bảo đảm an toàn cho dữ

liệu Chính sách giúp hướng dẫn nhà quản trị mạng và người dùng mạng vượt qua cácthay đổi và những tình huống không dự kiến trong quá trình phát triển mạng của họ.Chính sách là một bước đi quan trọng nhằm duy trì sự thành công của mạng

Đào tạo

Hình 2.5 Việc đào tạo giảm bớt những sai lầm đắt giá do người dùng gây ra

Người dùng mạng được đào tạo chu đáo sẽ ít khả năng vô ý phá huỷ tài nguyên Nhàquản trị phải đảm bảo tất cả những người dùng mạng phải nắm vững các thủ tục vậnhành và bảo mật mạng Muốn thế, nhà quản trị có thể soạn thảo một cẩm nang hướngdẫn ngắn nhưng rõ ràng về những gì người dùng cần biết, nũng như yêu cầu ngườidùng mới tham dự các lớp đào tạo thích hợp

a.2 An toàn cho thiết bị

Mối quan tâm đầu tiên trong việc bảo mật dữ liệu là tình trạng an toàn của phần cứngmạng Mức độ an toàn này tuỳ thuộc ở:

 Quy mô của công ty

 Độ bí mật của dữ liệu

 Các tài nguyên khả dụng

Trong môi trường mạng ngang hàng, có thể không có chính sách bảo vệ phần cứng có

tổ chức nào, người dùng đảm bảo an toàn cho máy tính và dữ liệu của riêng mình

Bảo vệ máy phục vụ

Trong hệ thống tập trung có quy mô lớn, nơi đa phần dữ liệu của công ty và dữ liệucủa từng người dùng cá thể phải được giữ bí mật tuyệt đối, máy phục vụ rất cần đượcbảo vệ an toàn, tránh khỏi những hành động sửa đổi cũng như can thiệp cố ý hay vô ý

Những đoạn cáp xử lý loại dữ liệu mật chỉ nên để những người có thẩm quyền truynhập Ví dụ, có thể đi dây cáp bên trong cấu trúc toà nhà, xuyên qua trần, tường, vàosàn nhà,…

b Mô hình bảo mật

Sau khi thực thi chế độ bảo vệ các thành phần vật lý của mạng, nhà quản trị sẽ đảmbảo an toàn cho tài nguyên mạng Có hai mô hình bảo mật khác nhau đã phát triển,giúp bảo vệ an toàn dữ liệu và tài nguyên phần cứng:

 Bảo vệ tài nguyên chia sẻ bằng mật mã (còn gọi là bảo mật cấp tài nguyên chiasẻ)

 Truy cập khi được quyền truy nhập (bảo mật cấp người dùng)

Bảo mật tài nguyên chia sẻ bằng mật mã

Đưa mô hình này vào sử dụng có nghĩa là gán mật mã cho từng tài nguyên chia sẻ.Quyền truy cập tài nguyên chia sẻ được ban hành khi người dùng gõ đúng mật mãthích hợp

Ở nhiều hệ thống, tài nguyên có thể được chia sẻ với nhiều kiểu cho phép khác nhau

Ví dụ trong Windows 95, thư mục được chia sẻ theo 3 cách: Read Only (chỉ đọc), Full(truy nhập trọn vẹn), Depends On Password (tuỳ thuộc vào mật mã)

 Read Only

 Full

 Depends On Password