Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống
1
/ 45 trang
THÔNG TIN TÀI LIỆU
Thông tin cơ bản
Định dạng
Số trang
45
Dung lượng
1,24 MB
Nội dung
Phần 1: GIỚI THIỆU VỀ MẠNG I CÁC KIẾN THỨC CƠ SỞ Mạng máy tính nhóm máy tính, thiết bị ngoại vi nối kết với thơng qua phương tiện truyền dẫn cáp, sóng điện từ, tia hồng ngoại giúp cho thiết bị trao đổi liệu với cách dễ dàng Các thành phần cấu thành nên mạng máy tính: -Các loại máy tính: Palm, Laptop, PC, MainFrame -Các thiết bị giao tiếp: Card mạng (NIC hay Adapter), Hub, Switch, Router -Môi trường truyền dẫn: cáp, sóng điện từ, sóng vi ba, tia hồng ngoại -Các protocol: TCP/IP, NetBeui, Apple Talk, IPX/SPX -Các hệ điều hành mạng: WinNT, Win2000, Win2003, Novell Netware, Unix -Các tài nguyên: file, thư mục -Các thiết bị ngoại vi: máy in, máy fax, Modem, Scanner -Các ứng dụng mạng: phần mềm quản lý kho bãi, phần mềm bán vé tàu Server (máy phục vụ): máy tính cài đặt phần mềm chuyên dụng làm chức cung cấp dịch vụ cho máy tính khác Tùy theo dịch vụ mà máy cung cấp, người ta chia thành loại server sau: File server (cung cấp dịch vụ file thư mục), Print server (cung cấp dịch vụ in ấn) Do làm chức phục vụ cho máy tính khác nên cấu hình máy server phải mạnh, thông thường máy chuyên dụng hãng như: Compaq, Intel, IBM Client (máy trạm): máy tính sử dụng dịch vụ mà máy server cung cấp Do xử lý số công việc không lớn nên thông thường máy không u cầu có cấu hình mạnh Peer: máy tính vừa đóng vai trò máy sử dụng vừa máy cung cấp dịch vụ Máy peer thường sử dụng hệ điều hành như: DOS, WinNT Workstation, Win9X, Win Me, Win2K Professional, WinXP Media (phương tiện truyền dẫn): cách thức vật liệu nối kết máy lại với Shared data (dữ liệu dùng chung): tập hợp tập tin, thư mục mà máy tính chia sẻ để máy tính khác truy cập sử dụng chúng thông qua mạng Resource (tài nguyên): tập tin, thư mục, máy in, máy Fax, Modem, ổ CDROM thành phần khác mà người dùng mạng sử dụng User (người dùng): người sử dụng máy trạm (client) để truy xuất tài nguyên mạng Thơng thường user có username (account) password Hệ thống mạng dựa vào username password để biết bạn ai, có quyền vào mạng hay khơng có quyền sử dụng tài nguyên mạng Administrator: nhà quản trị hệ thống mạng II CÁC LOẠI MẠNG MÁY TÍNH II.1 Mạng cục LAN (Local Area Network) Mạng LAN nhóm máy tính thiết bị truyền thơng mạng nối kết với khu vực nhỏ tồ nhà cao ốc, khn viên trường đại học, khu giải trí Các mạng LAN thường có đặc điểm sau: - Băng thơng lớn, có khả chạy ứng dụng trực tuyến xem phim, hội thảo qua mạng - Kích thước mạng bị giới hạn thiết bị - Chi phí thiết bị mạng LAN tương đối rẻ - Quản trị đơn giản II.2 Mạng đô thị MAN (Metropolitan Area Network) Mạng MAN gần giống mạng LAN giới hạn thành phố hay quốc gia Mạng MAN nối kết mạng LAN lại với thông qua phương tiện truyền dẫn khác (cáp quang, cáp đồng, sóng ) phương thức truyền thơng khác Đặc điểm mạng MAN: -Băng thông mức trung bình, đủ để phục vụ ứng dụng cấp thành phố hay quốc gia phủ điện tử, thương mại điện tử, ứng dụng ngân hàng -Do MAN nối kết nhiều LAN với nên độ phức tạp tăng đồng thời công tác quản trị khó khăn -Chi phí thiết bị mạng MAN tương đối đắt tiền II.3 Mạng diện rộng WAN (Wide Area Network) Mạng WAN bao phủ vùng địa lý rộng lớn quốc gia, lục địa hay toàn cầu Mạng WAN thường mạng cơng ty đa quốc gia hay tồn cầu, điển hình mạng Internet Do phạm vi rộng lớn mạng WAN nên thông thường mạng WAN tập hợp mạng LAN, MAN nối lại với phương tiện như: vệ tinh (satellites), sóng viba (microwave), cáp quang, cáp điện thoại Đặc điểm mạng WAN: - Băng thông thấp, dễ kết nối, thường phù hợp với ứng dụng offline e-mail, web, ftp… - Phạm vi hoạt động rộng lớn không giới hạn - Do kết nối nhiều LAN, MAN lại với nên mạng phức tạp có tính tồn cầu nên thường có tổ chức quốc tế đứng quản trị - Chi phí cho thiết bị công nghệ mạng WAN đắt tiền II.4 Mạng Internet Mạng Internet trường hợp đặc biệt mạng WAN, cung cấp dịch vụ toàn cầu mail, web, chat, ftp phục vụ miễn phí cho người III CÁC MƠ HÌNH XỬ LÝ MẠNG III.1 Mơ hình xử lý mạng tập trung Tồn tiến trình xử lý diễn máy tính trung tâm Các máy trạm cuối ( terminals) nối mạng với máy tính trung tâm hoạt động thiết bị nhập xuất liệu cho phép người dùng xem hình nhập liệu bàn phím Các máy trạm đầu cuối khơng lưu trữ xử lý liệu Mơ hình xử lý mạng triển khai hệ thống phần cứng phần mềm cài đặt server Ưu điểm: liệu bảo mật an toàn, dễ backup diệt virus Chi phí cho thiết bị thấp Khuyết điểm: khó đáp ứng yêu cầu nhiều ứng dụng khác nhau, tốc độ truy xuất chậm III.2 Mơ hình xử lý mạng phân phối Các máy tính có khả hoạt động độc lập, công việc tách nhỏ giao cho nhiều máy tính khác thay tập trung xử lý máy trung tâm Tuy liệu xử lý lưu trữ máy cục máy tính nối mạng với nên chúng trao đổi liệu dịch vụ Ưu điểm: truy xuất nhanh, phần lớn không giới hạn ứng dụng Khuyết điểm: liệu lưu trữ rời rạc khó đồng bộ, backup dễ nhiễm virus III.3 Mơ hình xử lý mạng cộng tác Mơ hình xử lý cộng tác bao gồm nhiều máy tính hợp tác để thực cơng việc Một máy tính mượn lực xử lý cách chạy chương trình máy nằm mạng Ưu điểm: nhanh mạnh, dùng để chạy ứng dụng có phép tốn lớn Khuyết điểm: liệu lưu trữ vị trí khác nên khó đồng backup, khả nhiễm virus cao IV CÁC MƠ HÌNH QUẢN LÝ MẠNG IV.1 Workgroup Trong mơ hình máy tính có quyền hạn ngang khơng có máy tính chuyên dụng làm nhiệm vụ cung cấp dịch vụ hay quản lý Các máy tính tự bảo mật quản lý tài nguyên riêng Đồng thời máy tính cục tự chứng thực cho người dùng cục IV.2 Domain Ngược lại với mơ hình Workgroup, mơ hình Domain việc quản lý chứng thực người dùng mạng tập trung máy tính Primary Domain Controller Các tài nguyên mạng quản lý tập trung cấp quyền hạn cho người dùng Lúc hệ thống có máy tính chuyên dụng làm nhiệm vụ cung cấp dịch vụ quản lý máy trạm V CÁC MƠ HÌNH ỨNG DỤNG MẠNG V.1 Mạng ngang hàng (peer to peer) Mạng ngang hàng cung cấp việc kết nối máy tính khơng có máy tính đóng vai trò phục vụ Một máy tính mạng vừa client, vừa server Trong môi trường này, người dùng máy tính chịu trách nhiệm điều hành chia sẻ tài ngun máy tính Mơ hình phù hợp với tổ chức nhỏ, số người giới hạn (thông thuờng nhỏ 10 người), không quan tâm đến vấn đề bảo mật Mạng ngang hàng thường dùng hệ điều hành sau: Win95, Windows for workgroup, WinNT Workstation, Win2000 Proffessional, OS/2 Ưu điểm: mơ hình mạng ngang hàng đơn giản nên dễ cài đặt, tổ chức quản trị, chi phí thiết bị cho mơ hình thấp Khuyết điểm: khơng cho phép quản lý tập trung nên liệu phân tán, khả bảo mật thấp, dễ bị xâm nhập Các tài nguyên không xếp nên khó định vị tìm kiếm V.2 Mạng khách chủ (client- server) Trong mơ hình mạng khách chủ có hệ thống máy tính cung cấp tài nguyên dịch vụ cho hệ thống mạng sử dụng gọi máy chủ (server) Một hệ thống máy tính sử dụng tài nguyên dịch vụ gọi máy khách (client) Các server thường có cấu hình mạnh (tốc độ xử lý nhanh, kích thước lưu trữ lớn) máy chuyên dụng Dựa vào chức chia thành loại server sau: - File Server: phục vụ yêu cầu hệ thống tập tin mạng - Print Server: phục vụ yêu cầu in ấn mạng - Application Server: cho phép ứng dụng chạy server trả kết cho client - Mail Server: cung cấp dịch vụ gởi nhận e-mail - Web Server: cung cấp dịch vụ web - Database Server: cung cấp dịch vụ lưu trữ, tìm kiếm thông tin - Communication Server: quản lý kết nối từ xa Hệ điều hành mạng dùng mô hình client - server WinNT, Novell NetWare, Unix, Win2K Ưu điểm: liệu lưu trữ tập trung nên dễ bảo mật, backup đồng với Tài nguyên dịch vụ tập trung nên dễ chia sẻ quản lý phục vụ cho nhiều người dùng Khuyết điểm: server chuyên dụng đắt tiền, phải có nhà quản trị cho hệ thống VI CÁC DỊCH VỤ MẠNG Các dịch vụ mạng phổ biến là: Dịch vụ tập tin, Dịch vụ in ấn, Dịch vụ thông điệp, Dịch vụ thư mục, Dịch vụ ứng dụng, Dịch vụ sở liệu, Dịch vụ Web VI.1 Dịch vụ tập tin (Files Services) Dịch vụ tập tin cho phép máy tính chia sẻ tập tin, thao tác tập tin chia sẻ như: lưu trữ, tìm kiếm, di chuyển Truyền tập tin: khơng có mạng, khả truyền tải tập tin máy tính bị hạn chế Ví dụ muốn chép tập tin từ máy tính cục Việt Nam sang máy tính server đặt Pháp dùng dịch vụ FTP để chép Dịch vụ phổ biến đơn giản Lưu trữ tập tin: phần lớn liệu quan trọng mạng lưu trữ tập trung theo nhiều cách khác nhau: Lưu trữ trực tuyến (online storage): liệu lưu trữ đĩa cứng nên truy xuất dễ dàng, nhanh chóng, thời gian Nhưng phương pháp có khuyết điểm chúng khơng thể tháo rời để trao đổi lưu trữ tách rời, đồng thời chi phí lưu trữ MB liệu tương đối cao Lưu trữ ngoại tuyến (offline storage): thường áp dụng cho liệu cần truy xuất (lưu trữ, backup) Các thiết bị phổ biến dùng cho phương pháp băng từ, đĩa quang Lưu trữ cận tuyến (near- line storage): phương pháp giúp ta khắc phục tình trạng truy xuất chậm phương pháp lưu trữ ngoại tuyến chi phí lại khơng cao dùng thiết bị Jukebox để tự động quản lý băng từ đĩa quang Di trú liệu (data migration) công nghệ tự động dời liệu dùng từ kho lưu trữ trực tuyến sang kho lưu trữ cận tuyến hay ngoại tuyến Nói cách khác q trình chuyển tập tin từ dạng lưu trữ sang dạng lưu trữ khác Đồng hóa việc cập nhật tập tin: dịch vụ theo dõi thay đổi khác lên tập tin để đảm bảo tất người dùng có tập tin tập tin không bị hỏng Sao lưu dự phòng (backup) q trình chép lưu trữ liệu từ thiết bị lưu trữ Khi thiết bị lưu trữ có cố dùng để phục hồi liệu VI.2 Dịch vụ in ấn (Print Services) Dịch vụ in ấn ứng dụng mạng điều khiển quản lý việc truy cập máy in, máy fax mạng Các lợi ích dịch vụ in ấn: Giảm chi phí cho nhiều người chia dùng chung thiết bị đắt tiền máy in màu, máy vẽ, máy in khổ giấy lớn Tăng độ linh hoạt máy tính đặt nơi nào, khơng đặt cạnh PC người dùng Dùng chế hàng đợi in để ấn định mức độ ưu tiên nội dung in trước, nội dung in sau VI.3 Dịch vụ thông điệp (Message Services) Là dịch vụ cho phép gởi/nhận thư điện tử (e-mail) Công nghệ thư điện tử rẻ tiền, nhanh chóng, phong phú cho phép đính kèm nhiều loại file khác như: phim ảnh, âm Ngoài dịch vụ cung cấp ứng dụng khác như: thư thoại (voice mail), ứng dụng nhóm làm việc (workgroup application) VI.4 Dịch vụ thư mục (Directory Services) Dịch vụ cho phép tích hợp thơng tin đối tượng mạng thành cấu trúc thư mục dùng chung nhờ mà q trình quản lý chia sẻ tài nguyên trở nên hiệu VI.5 Dịch vụ ứng dụng (Application Services) Dịch vụ cung cấp kết cho chương trình client cách thực chương trình server Dịch vụ cho phép ứng dụng huy động lực máy tính chuyên dụng khác mạng VI.6 Dịch vụ sở liệu (Database Services) Dịch vụ sở liệu thực chức sau: - Bảo mật sở liệu - Tối ưu hóa tiến trình thực tác vụ sở liệu - Phục vụ số lượng người dùng lớn, truy cập nhanh vào sở liệu - Phân phối liệu qua nhiều hệ phục vụ CSDL VI.7 Dịch vụ Web Dịch vụ cho phép tất người mạng trao đổi siêu văn với Các siêu chứa hình ảnh, âm giúp người dùng trao đổi nhanh thơng tin sống động VII CÁC LỢI ÍCH THỰC TẾ CỦA MẠNG VII.1 Tiết kiệm tài nguyên phần cứng Khi máy tính phòng ban nối mạng với chia sẻ thiết bị ngoại vi máy in, máy FAX, ổ đĩa CDROM Thay trang bị cho máy PC thơng qua mạng dùng chung thiết bị Ví dụ 1: phòng máy thực hành có khoảng 30 máy, trang bị cho tất máy trạm có đĩa cứng phí mà lại khơng tận dụng hết suất đĩa cứng Giải pháp tập trung tất ứng dụng vào server dùng công nghệ mạng bootrom để chạy máy trạm làm giảm chi phí phần cứng đồng thời tiện dụng cho cơng tác quản trị phòng máy hạn chế tình trạng học viên vơ tình làm hỏng máy trạm Ví dụ 2: Một cơng ty muốn tất phòng ban sử dụng Internet thông qua modem đường điện thoại Nếu trang bị cho phòng ban modem đường điện thoại khơng khả thi phải tận dụng sở hạ tầng mạng để chia sẻ modem đường điện thoại cho cơng ty truy cập Internet VII.2 Trao đổi liệu trở nên dễ dàng Theo phương pháp truyền thống muốn chép liệu hai máy tính dùng đĩa mềm dùng cáp link để nối hai máy lại với sau chép liệu Chúng ta thấy hai giải pháp không thực tế máy đặt tầng máy đặt tầng tòa nhà Việc trao đổi liệu máy tính ngày nhiều hơn, đa dạng hơn, khoảng cách phòng ban cơng ty ngày xa nên việc trao đổi liệu theo phương thức truyền thống khơng áp dụng nữa, thay vào máy tính nối với qua công nghệ mạng VII.3 Chia sẻ ứng dụng Các ứng dụng thay máy trạm cài máy server máy trạm dùng chung ứng dụng server Lúc ta tiết kiệm chi phí quyền chi phí cài đặt, quản trị VII.4 Tập trung liệu, bảo mật backup tốt Đối với công ty lớn liệu lưu trữ máy trạm rời rạc dễ dẫn đến tình trạng hư hỏng thơng tin không bảo mật Nếu liệu tập trung server để tiện việc bảo mật, backup quét virus VII.5 Sử dụng phần mềm ứng dụng mạng Nhờ công nghệ mạng mà phần mềm ứng dụng phát triển mạnh áp dụng vào nhiều lĩnh vực hàng không (phần mềm bán vé máy bay chi nhánh), đường sắt (phần mềm theo dõi đăng ký vé bán vé tàu), cấp nước (phần mềm quản lý cơng ty cấp thoát nước thành phố) VII.6 Sử dụng dịch vụ Internet Ngày Internet phát triển, tất người giới trao đổi E-mail với cách dễ dàng trò chuyện với mà chi phí thấp so với phí viễn thơng Đồng thời công ty dùng công nghệ Web để quảng cáo sản phẩm, mua bán hàng hóa qua mạng (thương mại điện tử) Dựa sở hạ tầng mạng xây dựng hệ thống ứng dụng lớn phủ điện tử, thương mại điện tử, điện thoại Internet nhằm giảm chi phí tăng khả phục vụ ngày tốt cho người Phần I: MƠ HÌNH THAM CHIẾU OSI I MƠ HÌNH OSI I.1 Khái niệm giao thức (protocol) Là quy tắc giao tiếp (tiêu chuẩn giao tiếp) hai hệ thống giúp chúng hiểu trao đổi liệu với Ví dụ: Internetwork Packet Exchange (IPX), Transmission control protocol/ Internetwork Protocol (TCP/IP), NetBIOS Extended User Interface (NetBEUI)… I.2 Các tổ chức định chuẩn ITU (International Telecommunication Union): Hiệp hội Viễn thông quốc tế IEEE (Institute of Electrical and Electronic Engineers): Viện kĩ sư điện điện tử ISO (International Standardization Organization): Tổ chức Tiêu chuẩn quốc tế, trụ sở Geneve, Thụy Sĩ Vào năm 1977, ISO giao trách nhiệm thiết kế chuẩn truyền thông dựa lí thuyết kiến trúc hệ thống mở làm sở để thiết kế mạng máy tính Mơ hình có tên OSI (Open System Interconnection - tương kết hệ thống mở) I.3 Mơ hình OSI Mơ hình OSI (Open System Interconnection): mơ hình tổ chức ISO đề xuất từ 1977 công bố lần đầu vào 1984 Để máy tính thiết bị mạng truyền thơng với phải có qui tắc giao tiếp bên chấp nhận Mơ hình OSI khn mẫu giúp hiểu liệu xuyên qua mạng đồng thời giúp hiểu chức mạng diễn lớp Trong mơ hình OSI có bảy lớp, lớp mơ tả phần chức độc lập Sự tách lớp mơ hình mang lại lợi ích sau: - Chia hoạt động thông tin mạng thành phần nhỏ hơn, đơn giản giúp dễ khảo sát tìm hiểu - Chuẩn hóa thành phần mạng phép phát triển mạng từ nhiều nhà cung cấp sản phẩm - Ngăn chặn tình trạng thay đổi lớp làm ảnh hưởng đến lớp khác, giúp lớp phát triển độc lập nhanh chóng Mơ hình tham chiếu OSI định nghĩa qui tắc cho nội dung sau: - Cách thức thiết bị giao tiếp truyền thông với - Các phương pháp để thiết bị mạng truyền liệu, khơng - Các phương pháp để đảm bảo truyền liệu bên nhận - Cách thức vận tải, truyền, xếp kết nối với - Cách thức đảm bảo thiết bị mạng trì tốc độ truyền liệu thích hợp - Cách biểu diễn bit thiết bị truyền dẫn Mơ hình tham chiếu OSI chia thành bảy lớp với chức sau: - Application Layer (lớp ứng dụng): giao diện ứng dụng mạng - Presentation Layer (lớp trình bày): thoả thuận khuôn dạng trao đổi liệu - Session Layer (lớp phiên): cho phép người dùng thiết lập kết nối - Transport Layer (lớp vận chuyển): đảm bảo truyền thông hai hệ thống - Network Layer (lớp mạng): định hướng liệu truyền môi trường liên mạng - Data link Layer (lớp liên kết liệu): xác định việc truy xuất đến thiết bị - Physical Layer (lớp vật lý): chuyển đổi liệu thành bit truyền I.4 Chức lớp mơ hình tham chiếu OSI Lớp ứng dụng (Application Layer): giao diện chương trình ứng dụng người dùng mạng Lớp Application xử lý truy nhập mạng chung, kiểm soát luồng phục hồi lỗi Lớp không cung cấp dịch vụ cho lớp mà cung cấp dịch vụ cho ứng dụng như: truyền file, gởi nhận E-mail, Telnet, HTTP, FTP, SMTP… Lớp trình bày (Presentation Layer): lớp chịu trách nhiệm thương lượng xác lập dạng thức liệu trao đổi Nó đảm bảo thơng tin mà lớp ứng dụng hệ thống đầu cuối gởi đi, lớp ứng dụng hệ thống khác đọc Lớp trình bày thơng dịch nhiều dạng liệu khác thông qua dạng chung, đồng thời nén giải nén liệu Thứ tự byte, bit bên gởi bên nhận qui ước qui tắc gởi nhận chuỗi byte, bit từ trái qua phải hay từ phải qua trái Nếu hai bên khơng thống có chuyển đổi thứ tự byte bit vào trước sau truyền Lớp presentation quản lý cấp độ nén liệu nhằm giảm số bit cần truyền Ví dụ: JPEG, ASCCI, EBCDIC Lớp phiên (Session Layer): lớp có chức thiết lập, quản lý, kết thúc phiên thông tin hai thiết bị truyền nhận Lớp phiên cung cấp dịch vụ cho lớp trình bày Lớp Session cung cấp đồng hóa tác vụ người dùng cách đặt điểm kiểm tra vào luồng liệu Bằng cách này, mạng khơng hoạt động có liệu truyền sau điểm kiểm tra cuối phải truyền lại Lớp thi hành kiểm soát hội thoại trình giao tiếp, điều chỉnh bên truyền, nào, Ví dụ như: RPC, NFS, Lớp kết nối theo ba cách: Haft-duplex, Simplex, Full-duplex Lớp vận chuyển (Transport Layer): lớp vận chuyển phân đoạn liệu từ hệ thống máy truyền tái thiết lập liệu vào luồng liệu hệ thống máy nhận đảm bảo việc bàn giao thông điệp thiết bị đáng tin cậy Dữ liệu lớp gọi segment Lớp thiết lập, trì kết thúc mạch ảo đảm bảo cung cấp dịch vụ sau: - Xếp thứ tự phân đoạn: thông điệp lớn tách thành nhiều phân đoạn nhỏ để bàn giao, lớp vận chuyển xếp thứ tự phân đoạn trước ráp nối phân đoạn thành thông điệp ban đầu - Kiểm sốt lỗi: có phân đoạn bị thất bại, sai trùng lắp, lớp vận chuyển yêu cầu truyền lại - Kiểm soát luồng: lớp vận chuyển dùng tín hiệu báo nhận để xác nhận Bên gửi không truyền phân đoạn liệu bên nhận chưa gởi tín hiệu xác nhận nhận phân đoạn liệu trước đầy đủ Lớp mạng (Network Layer): lớp mạng chịu trách nhiệm lập địa thông điệp, diễn dịch địa tên logic thành địa vật lý đồng thời chịu trách nhiệm gởi packet từ mạng nguồn đến mạng đích Lớp định đường từ máy tính nguồn đến máy tính đích Nó định liệu truyền đường dựa vào tình trạng, ưu tiên dịch vụ yếu tố khác Nó quản lý lưu lượng mạng chẳng hạn chuyển đổi gói, định tuyến, kiểm soát tắc nghẽn liệu Nếu thích ứng mạng định tuyến (router) khơng thể truyền đủ đoạn liệu mà máy tính nguồn gởi đi, lớp Network định tuyến chia liệu thành đơn vị nhỏ hơn, nói cách khác, máy tính nguồn gởi gói tin có kích thước 20Kb, Router cho phép gói tin có kích thước 10Kb qua, lúc lớp Network Router chia gói tin làm 2, gói tin có kích thước 10Kb Ở đầu nhận, lớp Network ráp nối lại liệu Ví dụ: số giao thức lớp này: IP, IPX, Dữ liệu lớp gọi packet datagram Lớp liên kết liệu (Data link Layer): cung cấp khả chuyển liệu tin cậy xuyên qua liên kết vật lý Lớp liên quan đến: - Địa vật lý - Mơ hình mạng - Cơ chế truy cập đường truyền - Thông báo lỗi - Thứ tự phân phối frame - Điều khiển dòng Tại lớp data link, bít đến từ lớp vật lý chuyển thành frame liệu cách dùng số nghi thức lớp Lớp data link chia thành hai lớp con: - Lớp LLC (logical link control) - Lớp MAC (media access control) Lớp LLC phần so với giao thức truy cập đường truyền khác, cung cấp mềm giao tiếp Bởi lớp LLC hoạt động độc lập với giao thức truy cập đường truyền, cho giao thức lớp (ví dụ IP lớp mạng) hoạt động mà không phụ thuộc vào phương tiện LAN Lớp LLC lệ thuộc vào lớp thấp việc cung cấp truy đường truyền dẻo nên loại cập Lớp MAC cung cấp tính thứ tự truy cập vào môi trường LAN Khi nhiều trạm truy cập chia sẻ môi trường truyền, để định danh trạm, lớp cho MAC định nghĩa trường địa phần cứng, gọi địa MAC address Địa MAC số đơn giao tiếp LAN (card mạng) Lớp vật lý (Physical Layer): định nghĩa qui cách điện, cơ, thủ tục đặc tả chức để kích hoạt, trì dừng liên kết vật lý hệ thống đầu cuối Một số đặc điểm lớp vật lý bao gồm: - Mức điện - Khoảng thời gian thay đổi điện - Tốc độ liệu vật lý - Khoảng đường truyền tối đa - Các đầu nối vật lý II.QUÁ TRÌNH XỬ LÝ VÀ VẬN CHUYỂN CỦA MỘT GÓI DỮ LIỆU II.1 Q trình đóng gói liệu (tại máy gửi) Đóng gói liệu q trình đặt liệu nhận vào sau header (và trước trailer) lớp Lớp Physical khơng đóng gói liệu khơng dùng header trailer Việc đóng gói liệu không thiết phải xảy lần truyền liệu trình ứng dụng Các lớp 5, 6, sử dụng header trình khởi động, phần lớn lần truyền khơng có header lớp 5, 6, lý thơng tin để trao đổi Các liệu máy gửi xử lý theo trình tự sau: - Người dùng thông qua lớp Application để đưa thơng tin vào máy tính Các thơng tin có nhiều dạng khác như: hình ảnh, âm thanh, văn bản… - Tiếp theo thơng tin chuyển xuống lớp Presentation để chuyển thành dạng chung, mã hố nén liệu - Tiếp liệu chuyển xuống lớp Session để bổ sung thông tin phiên giao dịch - Dữ liệu tiếp tục chuyển xuống lớp Transport, lớp liệu cắt thành nhiều Segment bổ sung thêm thông tin phương thức vận chuyển liệu để đảm bảo độ tin cậy truyền - Dữ liệu tiếp tục chuyển xuống lớp Network, lớp Segment cắt thành nhiều Packet bổ sung thêm thông tin định tuyến - Tiếp liệu chuyển xuống lớp Data Link, lớp Packet cắt thành nhiều Frame bổ sung thêm thông tin kiểm tra gói tin (để kiểm tra nơi nhận) - Cuối cùng, Frame tầng Vật Lý chuyển thành chuỗi bit, đẩy lên phương tiện truyền dẫn để truyền đến thiết bị khác II.2 Quá trình truyền liệu từ máy gửi đến máy nhận Bước 1: Trình ứng dụng (trên máy gửi) tạo liệu chương trình phần cứng, phần mềm cài đặt lớp bổ sung vào header trailer (q trình đóng gói liệu máy gửi) Bước 2: Lớp Physical (trên máy gửi) phát sinh tín hiệu lên mơi trường truyền tải để truyền liệu Bước 3: Lớp Physical (trên máy nhận) nhận liệu Bước 4: Các chương trình phần cứng, phần mềm (trên máy nhận) gỡ bỏ header trailer xử lý phần liệu (quá trình xử lý liệu máy nhận) Giữa bước bước q trình tìm đường gói tin Thông thường, máy gửi biết địa IP máy nhận Vì thế, sau xác định địa IP máy nhận lớp Network máy gửi so sánh địa IP máy nhận địa IP nó: -Nếu địa mạng máy gửi tìm bảng MAC Table để có địa MAC máy nhận Trong trường hợp khơng có địa MAC tương ứng, thực giao thức ARP để truy tìm địa MAC Sau tìm địa MAC, lưu địa MAC vào bảng MAC Table để lớp Datalink sử dụng lần gửi sau Sau có địa MAC máy gửi gởi gói tin (giao thức ARP nói thêm chương 6) - Nếu khác địa mạng máy gửi kiểm tra xem máy có khai báo Default Gateway hay khơng + Nếu có khai báo Default Gateway máy gửi gởi gói tin thơng qua Default Gateway + Nếu khơng có khai báo Default Gateway máy gởi loại bỏ gói tin thơng báo "Destination host Unreachable" II.3 Chi tiết trình xử lý máy nhận Bước 1: Lớp Physical kiểm tra trình đồng bit đặt chuỗi bit nhận vào vùng đệm Sau thơng báo cho lớp Data Link liệu nhận Bước 2: Lớp Data Link kiểm lỗi frame cách kiểm tra FCS trailer Nếu có lỗi frame bị bỏ Sau kiểm tra địa lớp Data Link (địa MAC) xem có trùng với địa máy nhận hay khơng Nếu phần liệu sau loại header trailer chuyển lên cho lớp Network Bước 3: Địa lớp Network kiểm tra xem có phải địa máy nhận hay không (địa IP) ? Nếu liệu chuyển lên cho lớp Transport xử lý Bước 4: Nếu giao thức lớp Transport có hỗ trợ việc phục hồi lỗi số định danh phân đoạn xử lý Các thông tin ACK, NAK (gói tin ACK, NAK dùng để phản hồi việc gói tin gởi đến máy nhận chưa) xử lý lớp Sau trình phục hồi lỗi thứ tự phân đoạn, liệu đưa lên lớp Session Bước 5: Lớp Session đảm bảo chuỗi thông điệp trọn vẹn Sau luồng hoàn tất, lớp Session chuyển liệu sau header lớp lên cho lớp Presentation xử lý Bước 6: Dữ liệu lớp Presentation xử lý cách chuyển đổi dạng thức liệu Sau kết chuyển lên cho lớp Application Bước 7: Lớp Application xử lý header cuối Header chứa tham số thoả thuận hai trình ứng dụng Do tham số thường trao đổi lúc khởi động trình truyền thơng hai trình ứng dụng III MƠ HÌNH THAM CHIẾU TCP/IP III.1 Vai trò mơ hình tham chiếu TCP/IP Các phận, văn phòng Chính phủ Hoa Kỳ nhận thức quan trọng tiềm kĩ thuật Internet từ nhiều năm trước, cung cấp tài chánh cho việc nghiên cứu, để thực có mạng Internet tồn cầu Sự hình thành kĩ thuật Internet kết nghiên cứu tài trợ Defense/Advanced Research Projects Agency (ARPA/DARPA) Kĩ thuật ARPA bao gồm tập hợp chuẩn mạng, đặc tả chi tiết cách thức mà máy tính thơng tin liên lạc với nhau, quy ước cho mạng interconnecting định tuyến giao thơng Tên thức TCP/IP Internet Protocol Suite thường gọi TCP/IP, dùng để thông tin liên lạc qua tập hợp mạng interconnected Nó dùng để liên kết mạng công ty, không thiết phải nối kết với mạng khác bên III.2 Các lớp mơ hình tham chiếu TCP/IP Application Transport Internet Networt Interface Mơ hình tham chiếu TCP/IP tương tự kiến trúc OSI, sau số tính chất lớp mơ hình tham chiếu TCP/IP: - Lớp Application: quản lý giao thức, hỗ trợ việc trình bày, mã hóa, quản lý gọi Lớp Application hỗ trợ nhiều ứng dụng, như: FTP (File Transfer Protocol), HTTP (Hypertext Transfer Protocol), SMTP (Simple Mail Transfer Protocol), DNS (Domain Name System), TFTP (Trivial File Transfer Protocol) - Lớp Transport: đảm nhiệm việc vận chuyển từ nguồn đến đích Tầng Transport đảm nhiệm việc truyền liệu thông qua hai nghi thức: TCP (Transmission Control Protocol) UDP (User Datagram Protocol) 10 khái niệm mà cần phải biết: - Lớp thông tin với lớp thông qua LLC - Lớp dùng chuẩn địa hóa ngang (đó gán định danh nhất-các địa chỉ) - Lớp dùng kỹ thuật đóng frame để tổ chức hay nhóm liệu - Lớp dùng MAC để chọn máy tính truyền liệu nhị phân, từ nhóm tất máy tính muốn truyền lúc I.3 Quá trình tìm địa MAC: Với mạng TCP/IP, gói tin phải chứa địa MAC đích địa IP đích Nếu hai địa khơng gói tin xem khơng gởi đến đích ARP giao thức dùng để tìm địa MAC thiết bị mạng dựa địa IP biết Một vài thiết bị có lưu trữ bảng chứa địa IP địa MAC tương ứng với IP (của thiết bị mạng LAN với nó) Bảng gọi bảng ARP Bảng ARP lưu giữ RAM, thiết bị gởi gói tin lên mạng sử dụng thơng tin bảng ARP Có cách để thu thập thông tin cho bảng địa MAC - Khi có gói tin gởi đường truyền, thiết bị ln kiểm tra địa đích gói tin (địa IP địa MAC) có phải hay khơng? Sau kiểm tra, địa IP địa MAC lưu vào bảng ARP - Cách thu thập thông tin thứ thu thập qua gói tin broadcast ARP request Khi máy tính gởi gói tin broadcast dạng ARP request tất máy khác mạng phân tích gói tin + Nếu địa IP đích thiết bị mạng cần tìm địa thuộc đường mạng với địa máy gửi Nếu máy nhận gói tin máy trả lời gói tin ARP reply (trong có địa MAC địa IP máy) Nếu địa đích khơng tồn thiết bị chưa hoạt động khơng có gói tin ARP reply + Nếu địa IP đích thiết bị mạng cần tìm địa khác đường mạng việc tìm địa MAC thường làm thơng qua Router, có hai cách để thực hiện: Nếu Router bật tính cho phép thực Proxy ARP Thì nhận gói tin broadcast ARP request, Router kiểm tra xem địa đích có khác đường mạng với địa nguồn không? Nếu khác địa nguồn Router trả ARP response để trả lời (trong gói tin chứa địa MAC - địa MAC interface nhận gói tin ARP request) Nếu máy tính gửi có khai báo địa Default Gateway máy tính gởi gói tin đến Default Gateway để Default Gateway gởi tiếp Nếu máy tính nguồn khơng khai báo Default Gateway tính thực Proxy ARP khơng bật hai máy tính có địa đường mạng khác liên lạc với I.4 Các phương pháp truy cập đường truyền I.4.1 Cảm sóng đa truy (CSMA/CD) Khía cạnh thú vị Ethernet kỹ thuật đường dùng việc phối hợp truyền thông Mạng Ethernet không điều khiển tập trung đến việc máy luân phiên chia sẻ đường cáp Lúc máy nối với Ethernet tham gia vào lược đồ phối hợp phân bổ gọi Cảm sóng đa truy (CSMA Carrier Sence with Multiple Access) Để xác định cáp có dùng khơng, máy tính kiểm tra sóng mang (carrier - dạng tín hiệu mà máy tính truyền cáp) Nếu có sóng mang, máy phải chờ bên gởi kết thúc Về mặt kỹ thuật, kiểm tra sóng mang gọi cảm sóng (carrier sence), ý tưởng sử dụng hữu tín hiệu để định truyền gọi Cảm sóng đa truy (CSMA) Vì CSMA cho phép máy tính xác định đường cáp chia sẻ có máy khác sử dụng hay khơng nên ngăn cấm máy cắt ngang việc truyền diễn Tuy nhiên, CSMA ngăn ngừa tất xung đột xảy Để hiểu lý sao, tưởng tượng chuyện xảy hai máy tính hai đầu cáp nghỉ nhận yêu cầu gởi khung Cả hai kiểm tín hiệu mang, thấy cáp trống hai bắt đầu gởi khung Các tín hiệu phát từ hai máy gây nhiễu lẫn Hai tín hiệu gây nhiễu lẫn gọi xung đột hay đụng độ (collision) Vùng có khả xảy đụng độ truyền gói tin gọi Collision Domain Máy đường truyền phát xung đột phát sinh tín hiệu xung đột cho máy khác Tuy xung đột không làm hỏng phần cứng tạo truyền thơng méo mó hai khung nhận khơng xác Để xử lý biến cố vậy, Ethernet yêu cầu bên gởi tín hiệu giám sát (monitor) cáp để bảo đảm khơng có máy khác truyền đồng thời Khi máy gởi phát đụng độ, ngưng truyền lập tức, tiếp tục bắt đầu lại trình chuẩn bị việc truyền tin sau khoảng thời gian ngẫu nhiên Việc giám sát cáp gọi phát đụng (CD - collision detect), kỹ thuật Ethernet gọi Cảm sóng đa truy với phát đụng (CSMA/CD) I.4.2 Chuyển thẻ (Token-passing): Chúng ta biết mạng LAN vòng nối máy thành vòng tròn kín Hầu hết LAN dùng đồ hình vòng sử dụng kỹ thuật truy cập gọi chuyển thẻ (token-passing) Khi máy cần chuyển liệu, phải chờ phép trước truy cập mạng Khi giữ thẻ bài, máy gởi hồn tồn giữ quyền điều khiển vòng - khơng có truyền thơng khác xảy đồng thời Khi máy gởi truyền frame, bit chuyển từ máy gởi sang máy kế, chuyển tiếp sang máy kế bit hết vòng trở máy gởi Tín khuôn mẫu bit khác với khung liệu thơng thường Thực chất tín trao quyền cho máy gởi khung Như trước gởi khung, máy phải chờ tín đến Khi tín đến, máy tạm thời loại bỏ tín khỏi vòng bắt đầu truyền liệu vòng Tuy có nhiều khung chờ gởi máy gởi frame truyền lại tín Không khung liệu liệu hết vòng gởi, tín thẳng từ máy đến máy Nếu tất máy mạng vòng cần gởi liệu, chuyển tín bảo đảm chúng đến lược máy gởi frame trước chuyển tín Lưu ý lược đồ bảo đảm truy cập công bằng: tín chuyển vòng, máy có hội sử dụng mạng Nếu máy khơng gởi liệu nhận tín bài, việc chuyển tín mà khơng trì hỗn Trong trường hợp đặc biệt khơng có máy truyền liệu, tín quay vòng liên tục, máy nhận tín chuyển đến máy kế Thời gian chuyển tín vòng trường hợp cực ngắn, lý Thứ nhất, tín nhỏ nên chuyển nhanh đường dây Thứ hai, chuyển tiếp máy thực phần cứng vòng, điều có nghĩa tốc độ khơng phụ thuộc vào CPU máy II KHẢO SÁT CHI TIẾT LỚP (NETWORK) Chức quan trọng lớp Network định tuyến (Routing), định tuyến trình chuyển thông tin qua mạng từ nơi gởi tới nơi nhận Định tuyến có hai thành phần chuyển mạch (switching) chọn đường (path determination) Trong trình switching, bên gởi (source or sender) thêm vào địa bên gởi, địa bên nhận, địa vật lý (MAC), địa Router (hay địa Default-Gateway) mà packet tới Khi packet tới Router, Router xác định địa IP đích packet (còn gọi destination IP address), Router không nhận IP đích bỏ packet, ngược lại Router chuyển packet tới địa đích chuyển packet tới Router (next Router), Router thay MAC nguồn, MAC đích MAC interface MAC next hop Router, packet chuyển qua mạng lớn (qua nhiều Router) địa IP nguồn (source address) địa IP đích (destination address) khơng thay đổi địa vật lý (địa MAC) bị thay đổi hop Thành phần thứ hai routing Path-Determination, Router cần có số cách xác định đường ngắn để chuyển packet tới đích, Router cần có nhiều thơng tin từ người quản trị (người quản trị phải làm công việc định tuyến) hay từ Router khác để xây dựng bảng routing (Router tự học định tuyến thông qua giao thức) mà thông tin giúp cho định tuyến packet tới đích Trong bảng routing địa mạng đích ánh xạ tới interface (cổng) thích hợp Router, thơng qua interface packet tới Khi có thay đổi mạng Router trao đổi với exchanging message để cập nhật lại bảng routing Các exchanging message bao gồm: - Routing update message - Link-state advertiment (trạng thái sender’s link) Theo định nghĩa số nghi thức routing RIP, IGRP,… sau khoảng thời gian (interal time) gởi update message tới Router khác để cập nhật thay đổi thông tin mạng Khi Router nhận thơng tin update, kiểm tra bảng routing table với thơng tin update có thay đổi xóa entry tương ứng cập nhật thông tin vào, ngược lại khơng cập nhật thơng tin Routing Algorithm thuật toán định tuyến cho phép chọn Router, chọn đường tốt để gởi liệu đến đích Routing Algorithm tùy thuộc vào yếu tố sau : - Design - Metrics - Type Design bao gồm: - Tính đơn giản (simplicity) thành phần quan trọng hệ thống giúp giới hạn tài nguyên vật lý (physical resource) - Tính linh hoạt (plexibility) phép mạng thích ứng nhanh với thay đổi phát triển hệ thống, ví dụ thay đổi băng thơng kích thước hàng đợi, độ trễ,… - Sự hội tụ (convergence) tính hội tụ thơng tin mục đích quan trọng thuật tốn routing, tính hội tụ nhanh làm cho thơng tin bảng routing thống cách nhanh chóng Ngược lại làm phá vỡ tính thống thơng tin định tuyến Router - Tính tối ưu (optimality): khả mà nghi thức định tuyến lựa chọn đường tốt để truyền liệu, để xác định đường tốt Router dựa vào metric weighting (trọng lượng) metric Metric sử dụng thuật toán định tuyến để lựa chọn đường tốt nhất, bao gồm: - Hop count path length - Reliability - Load - Delay - Bandwidth - Maximum Tranmission Unit (MTU) Hop count số lượng host (hay số lượng Router) mà packet phải qua từ nguồn tới đích Mỗi đường truyền gán giá trị, có người quản trị mạng thay đổi giá trị này, tổng giá trị đường truyền gọi path length Reliability metric cho phép đánh giá mức độ lỗi đường truyền Load khả tải đường truyền (busy link) dựa vào số lượng packet truyền thời gian giây, mức độ xử lý cpu (CPU Utilization) Delay metric thực để đo lường số tác động số đại lượng đường truyền băng thông (bandwidth), tắc nghẽn đường truyền (conguestion), khoảng cách đường truyền (distance), khả mang thơng tin đường truyền gọi băng thơng đường truyền tính băng số bit/giây mà đường truyền truyền thơng tin, số lượng traffic đường truyền nhiều làm giảm băng thơng có sẵn cho đường truyền MTU chiều dài tối đa thơng điệp (tính byte) mà truyền đường truyền MTU mơi truyền truyền vật lý khác Ví dụ MTU cho ethernet 1500 III KHẢO SÁT CHI TIẾT LỚP (TRANSPORT) Các dịch vụ lớp transport cho phép phân mảnh tập hợp liệu vào transport-layer data stream, Transport-layer data stream kết nối logic bên gởi bên nhận mạng Lớp Transport cung cấp đặc tính sau : - Reliability (tin cậy) cách đánh số thứ tự segment (source secquence), bên nhận thông báo cho bên gởi biết nhận liệu cách thông báo ACK (acknownledgements) -Flow Control: kỹ thuật cho phép điều khiển buffer bên nhận, bên nhận sử dụng kỹ thuật để ngăn không cho bên gởi gởi liệu nhanh làm tràn buffer bên nhận - Hai protocol lớp transport layer TCP UDP, III.1 Giao thức TCP (TCP protocol) TCP cung cấp kết nối tin cậy hai máy tính, kết nối thiết lập trước liệu bắt đầu truyền TCP gọi nghi thức hướng kết nối, với nghi thức TCP trình hoạt động trải qua ba bước sau: - Thiết lập kết nối (connection establishment) - Truyền liệu (data tranfer) - Kết thúc kết nối (connection termination) TCP phân chia thông điệp thành segment, sau ráp segment lại bên nhận, truyền lại gói liệu bị Với TCP liệu đến đích thứ tự, TCP cung cấp Virtual Circuit ứng dụng bên gởi bên nhận Giao thức TCP thiết lập kết nối phương pháp “Bắt tay lần” (three-way handshake) Giao thức TCP giao thức có độ tin cậy cao, nhờ vào phương pháp truyền gói tin, chế điều khiển luồng (flow control), gói tin ACK,… Các thành phần gói tin: - Source port: port nguồn - Destination Port: port đích - Sequence number: số (để xếp gói tin theo trật tự nó) - Acknowledgment number (ACK số): số thứ tự Packet mà bên nhận chờ đợi - Header Length: chiều dài gói tin - Reserved: trả - Code bit: cờ điều khiển - Windows: kích thước tối đa mà bên nhận nhận - Checksum: máy nhận dùng 16 bit để kiểm tra liệu gói tin có hay khơng - Data: liệu gói tin (nếu có) III.2 Giao thức UDP (UDP protocol) UDP không giống TCP, UDP nghi thức phi kết nối, nghĩa liệu gởi tới đích khơng tin cậy Bởi kết nối khơng tạo trước liệu truyền, UDP nhanh TCP UDP nghi thức khơng tin cậy, khơng đảm bảo liệu đến đích khơng bị mất, thứ tự mà nhờ nghi thức lớp đảm nhận chức UDP có ưu TCP: - Nhờ vào việc thiết lập kết nối trước thật truyền dẫn liệu nên truyền với tốc độ nhanh - Bên nhận khơng cần phải trả gói tin xác nhận (ACK) nên giảm thiểu lãng phí băng thơng - Source Port: port nguồn - Destination Port: port đích - UDP Length: chiều dài gói tin - UDP Checksum: dùng để kiểm tra gói tin có bị sai lệch hay khơng - Data: liệu kèm gói tin (nếu có) III.3 Khái niệm Port Trong thời điểm, máy tính có nhiều chương trình chạy Vậy để xác định gói tin chương trình sử dụng? Khái niệm Port đời để giải chuyện Mỗi chương trình ứng dụng mạng có Port xác định Để gởi gói tin đến chương trình máy tính A, ta cần gởi gói tin đến địa IP máy A, Port mà chương trình sử dụng TCP UDP dùng port socket, số mà thơng qua thơng tin truyền lên lớp cao Các số port dùng việc lưu vết hội thoại khác mạng xảy thời điểm Port loại địa logic máy tính, số byte Các port có giá trị nhỏ 1024 dùng làm port chuẩn Các ứng dụng dùng port riêng có giá trị lớn 1024 Các giá trị port chứa phần địa nguồn đích segment TCP Một ứng dụng sử dụng port riêng miền cho để giao dịch mạng ý không trùng với port chuẩn Ví dụ số port chuẩn mà phần mềm sử dụng - HTTP: Port number 80 - FTP: Port number 21 - DNS: Port number 53 - Telnet: Port number 23 - SMTP: Port number 25 - TFTP: Port number 69 - SNMP: Port number 161 - RIP: Port number 520 IV CÁC MƠ HÌNH FIREWALL IV.1 Giới thiệu Firewall Firewall hay gọi tường lửa hiểu hệ thống máy tính thiết bị mạng giúp ta bảo mật giám sát truy xuất từ bên ngược lại từ bên vào từ ta phòng chống truy cập bất hợp pháp IV.2 Dual homed host Firewall kiến trúc kiểu Dual-homed host xây dựng dựa máy tính dual-homed host Một máy tính gọi dual-homed host có hai network interface, có nghĩa máy có gắn hai card mạng giao tiếp với hai mạng khác máy tính đóng vai trò Router mềm Kiến trúc dual-homed host đơn giản Dual-homed host giữa, bên kết nối với Internet bên lại nối với mạng nội (LAN) Dual-homed host cung cấp dịch vụ cách ủy quyền (proxy) chúng cho phép users đăng nhập trực tiếp vào dual-homed host Mọi giao tiếp từ host mạng nội host bên bị cấm, dual-homed host nơi giao tiếp IV.3 Screened Host Screened Host có cấu trúc ngược lại với cấu trúc Dual-homed host Kiến trúc cung cấp dịch vụ từ host bên mạng nội bộ, dùng Router tách rời với mạng bên Trong kiểu kiến trúc này, bảo mật phương pháp Packet Filtering Bastion host đặt bên mạng nội Packet Filtering cài Router Theo cách này, Bastion host hệ thống mạng nội mà host Internet kết nối tới Mặc dù vậy, kiểu kết nối phù hợp (được thiết lập Bastion host) cho phép kết nối Bất kỳ hệ thống bên cố gắng truy cập vào hệ thống dịch vụ bên phải kết nối tới host Vì Bastion host host cần phải trì chế độ bảo mật cao Packet filtering cho phép bastion host mở kết nối bên ngồi Cấu hình packet filtering screening router sau: - Cho phép tất host bên mở kết nối tới host bên ngồi thơng qua số dịch vụ cố định -Không cho phép tất kết nối từ host bên (cấm host sử dụng dịch proxy thông qua bastion host) Bạn kết hợp nhiều lối vào cho dịch vụ khác nhau: - Một số dịch vụ phép vào trực tiếp qua packet filtering - Một số dịch vụ khác phép vào gián tiếp qua proxy Bởi kiến trúc cho phép packet từ bên vào mạng bên trong, dường nguy hiểm kiến trúc Dual-homed host, thiết kế để khơng packet tới mạng bên Tuy nhiên thực tế kiến trúc dual-homed host đơi có lỗi mà cho phép packet thật từ bên vào bên (bởi lỗi hồn tồn khơng biết trước, khơng bảo vệ để chống lại kiểu công này) Hơn nữa, kiến trúc dual-homed host dễ dàng bảo vệ Router (là máy cung cấp dịch vụ) bảo vệ host bên mạng Xét toàn diện kiến trúc Screened host cung cấp độ tin cậy cao an toàn kiến trúc Dualhomed host So sánh với số kiến trúc khác, chẳng hạn kiến trúc Screened subnet kiến trúc Screened host có số bất lợi Bất lợi kẻ cơng tìm cách xâm nhập Bastion Host khơng có cách để ngăn tách Bastion Host host lại bên mạng nội Router có số điểm yếu Router bị tổn thương, tồn mạng bị cơng Vì lý mà Sceened subnet trở thành kiến trúc phổ biến IV.4 Screened Subnet Nhằm tăng cường khả bảo vệ mạng nội bộ, thực chiến lược phòng thủ theo chiều sâu, tăng cường an toàn cho bastion host, tách bastion host khỏi host khác, phần tránh lây lan bastion host bị tổn thương, người ta đưa kiến trúc firewall có tên Sreened Subnet Kiến trúc Screened subnet dẫn xuất từ kiến trúc screened host cách thêm vào phần an tồn: mạng ngoại vi (perimeter network) nhằm lập mạng nội khỏi mạng bên ngoài, tách bastion host khỏi host thông thường khác Kiểu screened subnet đơn giản bao gồm hai screened router: Router ngồi (External router gọi access router): nằm mạng ngoại vi mạng ngồi có chức bảo vệ cho mạng ngoại vi (bastion host, interior router) Nó cho phép hầu hết outbound từ mạng ngoại vi Một số qui tắc packet filtering đặc biệt cài đặt mức cần thiết đủ để bảo vệ bastion host interior router bastion host host cài đặt an toàn mức cao Ngoài qui tắc đó, qui tắc khác cần giống hai Router Interior Router (còn gọi choke router): nằm mạng ngoại vi mạng nội bộ, nhằm bảo vệ mạng nội trước mạng ngoại vi Nó khơng thực hết qui tắc packet filtering toàn firewall Các dịch vụ mà interior router cho phép bastion host mạng nội bộ, bên mạng nội không thiết phải giống Giới hạn dịch vụ bastion host mạng nội nhằm giảm số lượng máy (số lượng dịch vụ máy này) bị cơng bastion host bị tổn thương thoả hiệp với bên Chẳng hạn nên giới hạn dịch vụ phép bastion host mạng nội SMTP có Email từ bên ngồi vào, có lẽ giới hạn kết nối SMTP bastion host Email server bên Phần 6: ĐỊA CHỈ IP I TỔNG QUAN VỀ ĐỊA CHỈ IP Là địa có cấu trúc, chia làm hai ba phần là: network_id&subnet_id&host_id network_id&host_id Là số có kích thước 32 bit Khi trình bày, người ta chia số 32 bit thành bốn phần, phần có kích thước bit, gọi octet byte Có cách trình bày sau: - Ký pháp thập phân có dấu chấm (dotted-decimal notation) Ví dụ: 172.16.30.56 - Ký pháp nhị phân Ví dụ: 10101100 00010000 00011110 00111000 - Ký pháp thập lục phân Ví dụ: AC 10 1E 38 Khơng gian địa IP (gồm 232 địa chỉ) chia thành nhiều lớp (class) để dễ quản lý Đó lớp: A, B, C, D E; lớp A, B C triển khai để đặt cho host mạng Internet; lớp D dùng cho nhóm multicast; lớp E phục vụ cho mục đích nghiên cứu Địa IP gọi địa logical, địa MAC gọi địa vật lý (hay địa physical) II MỘT SỐ KHÁI NIỆM VÀ THUẬT NGỮ LIÊN QUAN Network_id: giá trị để xác định đường mạng Trong số 32 bit dùng địa IP, có số bit dùng để xác định network_id Giá trị bit dùng để xác định đường mạng Host_id: giá trị để xác định host đường mạng Trong số 32 bit dùng làm địa IP, có số bit cuối dùng để xác định host_id Host_id giá trị bit Địa host: địa IP, dùng để đặt cho interface host Hai host nằm thuộc mạng có network_id giống host_id khác Mạng (network): nhóm nhiều host kết nối trực tiếp với Giữa hai host không bị phân cách thiết bị layer Giữa mạng với mạng khác phải kết nối với thiết bị layer Địa mạng (network address): địa IP dùng để đặt cho mạng Địa dùng để đặt cho interface Phần host_id địa chỉ chứa bit Ví dụ 172.29.0.0 địa mạng Mạng (subnet network): mạng có địa mạng (thuộc lớp A, B, C) phân chia nhỏ (để tận dụng số địa mạng cấp phát) Địa mạng xác định dựa vào địa IP mặt nạ mạng (subnet mask) kèm (sẽ đề cập rõ phần sau) Địa broadcast: địa IP dùng để đại diện cho tất host mạng Phần host_id chứa bit Địa dùng để đặt cho host Ví dụ 172.29.255.255 địa broadcast Các phép toán làm việc bit: Phép AND A B A and B A B A or B Phép OR 1 1 1 0 1 0 1 0 0 0 Ví dụ sau minh hoạ phép AND địa 172.29.14.10 mask 255.255.0.0 172.29.14.10 = 10101100000111010000111000001010AND 255.255.0.0 = 11111111111111110000000000000000 172.29.0.0 = 10101100000111010000000000000000 Mặt nạ mạng (network mask): số dài 32 bit, phương tiện giúp máy xác định địa mạng địa IP (bằng cách AND địa IP với mặt nạ mạng) để phục vụ cho công việc routing Mặt nạ mạng cho biết số bit nằm phần host_id Được xây dựng theo cách: bật bit tương ứng với phần network_id (chuyển thành bit 1) tắt bit tương ứng với phần host_id (chuyển thành bit 0) Mặt nạ mặc định lớp A: sử dụng cho địa lớp A khơng chia mạng con, mặt nạ có giá trị 255.0.0.0 Mặt nạ mặc định lớp B: sử dụng cho địa lớp B không chia mạng con, mặt nạ có giá trị 255.255.0.0 Mặt nạ mặc định lớp C: sử dụng cho địa lớp C không chia mạng con, mặt nạ có giá trị 255.255.255.0 III GIỚI THIỆU CÁC LỚP ĐỊA CHỈ III.1 Lớp A Dành byte cho phần network_id ba byte cho phần host_id network_id host_id Để nhận diện lớp A, bit byte phải bit Dưới dạng nhị phân, byte có dạng 0xxxxxxx Vì vậy, địa IP có byte nằm khoảng từ (00000000) đến 127 (01111111) thuộc lớp A Ví dụ địa 50.14.32.8 địa lớp A (50 < 127) Byte network_id, trừ bit làm ID nhận dạng lớp A, lại bảy bit để đánh thứ tự mạng, ta 128 (2 7) mạng lớp A khác Bỏ hai trường hợp đặc biệt 127 Kết lớp A 126 (27-2) địa mạng, 1.0.0.0 đến 126.0.0.0 Phần host_id chiếm 24 bit, tức đặt địa cho 16.777.216 (2 24) host khác mạng Bỏ địa mạng (phần host_id chứa toàn bit 0) địa broadcast (phần host_id chứa toàn bit 1) có tất 16.777.214 (224-2) host khác mạng lớp A Ví dụ, mạng 10.0.0.0 giá trị host hợp lệ 10.0.0.1 đến 10.255.255.254 mạng chứa16777214 host network 126 mạng khác network network Hình 3.1 - Mơ tả mạng lớp A kết nối với III.2 Lớp B Dành hai byte cho phần network_id host_id network_id host_id Dấu hiệu để nhận dạng địa lớp B byte bắt đầu hai bit 10 Dưới dạng nhị phân, octet có dạng 10xxxxxx Vì địa nằm khoảng từ 128 (10000000) đến 191 (10111111) thuộc lớp B Ví dụ 172.29.10.1 địa lớp B (128 < 172 < 191) Phần network_id chiếm 16 bit bỏ bit làm ID cho lớp, lại 14 bit cho phép ta đánh thứ tự 16.384 (214) mạng khác (128.0.0.0 đến 191.255.0.0) Phần host_id dài 16 bit hay có 65536 (2 16) giá trị khác Trừ trường hợp đặc biệt lại 65534 host mạng lớp B Ví dụ, mạng 172.29.0.0 địa host hợp lệ từ 172.29.0.1 đến 172.29.255.254 mạng chứa 65534 host network network network 16384 mạng khác Hình 3.2 - Mơ tả mạng lớp B kết nối với III.3 Lớp C Dành ba byte cho phần network_id byte cho phần host_id network_id host_id Byte bắt đầu ba bit 110 dạng nhị phân octet 110xxxxx Như địa nằm khoảng từ 192 (11000000) đến 223 (11011111) thuộc lớp C Ví dụ địa lớp C 203.162.41.235 (192 < 203 < 223) Phần network_id dùng ba byte hay 24 bit, trừ bit làm ID lớp, lại 21 bit hay 2.097.152 (2 21) địa mạng (từ 192.0.0.0 đến 223.255.255.0) Phần host_id dài byte cho 256 (2 8) giá trị khác Trừ hai trường hợp đặc biệt ta 254 host khác mạng lớp C Ví dụ, mạng 203.162.41.0, địa host hợp lệ từ 203.162.41.1 đến 203.162.41.254 III.4 Lớp D E Các địa có byte nằm khoảng 224 đến 255 địa thuộc lớp D E Do lớp không phục vụ cho việc đánh địa host nên khơng trình bày III.5 Bảng tổng kết Lớp A Giá trị byte Số byte phần Network_id Số byte phần Host_id - 127 Lớp B Lớp C 128 - 191 192 - 223 3 Network mask Broadcast Network Address Số đường mạng Số host đường mạng 255.0.0.0 255.255.0.0 255.255.255.0 XX.255.255.255 XX.XX.255.255 XX.XX.XX.255 XX.0.0.0 XX.XX.0.0 XX.XX.XX.0 128 16.384 2.097.152 16.777.214 65.534 254 * Ghi chú: XX số miền cho phép III.6 Ví dụ cách triển khai đặt địa IP cho hệ thống mạng Maïng 192.168.1.0 Maïng 192.168.2.0 Maïng 192.168.3.0 192.168.1.5 192.168.3.2 192.168.1.1 192.168.3.1 192.168.1.6 192.168.2.5 192.168.2.1 192.168.2.6 192.168.1.7 192.168.1.8 192.168.2.7 192.168.2.8 Hình 3.3 - Minh họa hệ thống mạng III.7 Chia mạng (subnetting) Giả sử ta phải tiến hành đặt địa IP cho hệ thống có cấu trúc sau: Hình 3.4 - Hệ thống mạng có đường mạng Theo hình trên, ta bắt buộc phải dùng đến tất sáu đường mạng riêng biệt để đặt cho hệ thống mạng mình, mạng dùng đến vài địa tổng số 65534 địa hợp lệ, phí phạm to lớn Thay vậy, sử dụng kỹ thuật chia mạng con, ta cần sử dụng đường mạng 150.150.0.0 chia đường mạng thành sáu mạng theo hình bên dưới: Hình 3.5 - Hệ thống mạng có đường mạng (sau chia Subnet) Rõ ràng tiến hành cấp phát địa cho hệ thống mạng lớn, người ta phải sử dụng kỹ thuật chia mạng tình hình địa IP ngày khan Ví dụ hình hồn tồn chưa phải chiến lược chia mạng tối ưu Thật người ta chia mạng nhỏ nữa, đến mức độ khơng bỏ phí địa IP khác Xét khía cạnh kỹ thuật, chia mạng việc mượn số bit phần host_id ban đầu để đặt cho mạng Lúc này, cấu trúc địa IP gồm có ba phần: network_id, subnet_id host_id Số bit dùng cho phần subnet_id tuỳ thuộc vào chiến lược chia mạng người quản trị, số tròn byte (8 bit) số bit lẻ Tuy nhiên subnet_id chiếm trọn số bit có host_id ban đầu, cụ thể (số bit làm subnet_id) (số bit làm host_id)-2 Hình 3.6 - Số lượng Subnet tối đa phép Số lượng host mạng xác định số bit phần host_id; x - số địa hợp lệ đặt cho host mạng Tương tự, số bit phần subnet_id xác định số lượng mạng Giả sử số bit y 2y - số lượng mạng có (trường hợp đặc biệt sử dụng 2y mạng con) Một số khái niệm mới: - Địa mạng (địa đường mạng): bao gồm phần network_id subnet_id, phần host_id chứa bit Theo hình bên ta có địa mạng sau: 150.150.1.0, 150.150.2.0, … - Địa broadcast mạng con: Giữ nguyên bit dùng làm địa mạng con, đồng thời bật tất bit phần host_id lên Ví dụ địa broadcast mạng 150.150.1.0 150.150.1.255 -Mặt nạ mạng (subnet mask): giúp máy tính xác định địa mạng địa host Để xây dựng mặt nạ mạng cho hệ thống địa chỉ, ta bật bit phần network_id subnet_id lên 1, tắt bit phần host_id thành Ví dụ mặt nạ mạng dùng cho hệ thống mạng hình 255.255.255.0 Vấn đề đặt xác định địa IP (ví dụ 172.29.8.230) ta khơng thể biết host nằm mạng (không thể biết mạng có chia mạng hay khơng, có chia dùng bit để chia) Chính ghi nhận địa IP host, ta phải cho biết subnet mask (subnet mask giá trị thập phân, số bit dùng làm subnet mask) + Ví dụ địa IP ghi theo giá trị thập phân subnet mask 172.29.8.230/255.255.255.0 + Hoặc địa IP ghi theo số bit dùng làm subnet mask 172.29.8.230/24 III.8 Địa riêng (private address) chế chuyển đổi địa mạng (Network Address Translation - NAT) Tất IP host kết nối vào mạng Internet phải có địa IP tổ chức IANA (Internet Assigned Numbers Authority) cấp phát - gọi địa hợp lệ (hay đăng ký) Tuy nhiên số lượng host kết nối vào mạng ngày gia tăng dẫn đến tình trạng khan địa IP Một giải pháp đưa sử dụng chế NAT kèm theo RFC 1918 qui định danh sách địa riêng Các địa không IANA cấp phát - hay gọi địa khơng hợp lệ Bảng sau liệt kê danh sách địa này: Nhóm địa Lớp 10.0.0.0 đến 10.255.255.255 172.16.0.0 đến 172.31.255.255 192.168.0.0 đến 192.168.255.255 A B 16 C 256 III.9 Cơ chế NAT Số lượng mạng NAT sử dụng thực tế thời điểm, tất host mạng LAN thường không truy xuất vào Internet đồng thời, ta khơng cần phải sử dụng số lượng tương ứng địa IP hợp lệ NAT sử dụng nhà cung cấp dịch vụ Internet (ISP) cung cấp số lượng địa IP hợp lệ so với số máy cần truy cập Internet NAT sử dụng router đóng vai trò gateway cho mạng Các host bên mạng LAN sử dụng lớp địa riêng thích hợp Còn danh sách địa IP hợp lệ cấu hình Router NAT Tất packet host bên mạng LAN gửi đến host Internet router NAT phân tích chuyển đổi địa riêng có packet thành địa hợp lệ danh sách chuyển đến host đích nằm mạng Internet Sau có packet gửi cho host bên mạng LAN Router NAT chuyển đổi địa đích thành địa riêng host chuyển cho host bên mạng LAN Một chế mở rộng NAT PAT (Port Address Translation) dùng cho mục đích tương ứng Lúc thay chuyển đổi địa IP địa cổng dịch vụ (port) chuyển đổi (do Router NAT định) IV.MỘT SỐ CÂU HỎI THƯỜNG ĐẶT RA KHI LÀM VIỆC VỚI ĐỊA CHỈ IP IV.1 Ví dụ Người ta ghi nhận địa IP host sau: 172.29.32.30/255.255.240.0, trả lời câu hỏi sau: - Hãy cho biết mạng chứa host có chia mạng hay khơng? Nếu có cho biết có mạng tương tự vậy? Và có host mạng con? - Hãy cho biết host nằm mạng có địa gì? - Hãy cho biết địa broadcast dùng cho mạng đó? - Liệt kê danh sách địa host nằm chung mạng với host Hướng dẫn trả lời: Hãy cho biết mạng chứa host có chia mạng hay khơng? Nếu có cho biết có mạng tương tự vậy? Và có host mạng con? Xác định lớp địa xác định mặt nạ mặc định lớp, so khớp với mặt nạ địa kết luận có chia mạng hay khơng? Xác định số bit subnet_id = x số mạng = 2x-2 Xác định số bit host_id = y số host mạng = 2y-2 Như vậy, Host có địa IP thuộc lớp B, subnet mask Host lại 255.255.240.0 (khác với subnet mask mặc định lớp B) nên host nằm mạng có chia mạng Subnet mask mặc định lớp B Subnet mask Host 255.25 5.0.0 = 00000000 11111111 255.25 5.240.0 = 11111111 00000000 11111111 00000000 11111111 11110000 So sánh số bit dùng làm subnet mask Host với số bit dùng làm subnet mask mặc định lớp B, có số bit dùng làm subnet_id bit Nên số bit dùng làm host_id (16-4) = 12 bit Số mạng tương tự 14 Số host mạng 4094 Hãy cho biết host nằm mạng có địa gì? Duyệt mặt nạ mạng địa IP theo byte tương ứng, từ trái qua phải + Byte subnet mask mang giá trị 255 ghi lại byte tương ứng địa IP + Byte subnet mask ghi lại byte tương ứng địa IP + Nếu giá trị byte subnet mask khác 255 để trống byte tương ứng địa IP gọi byte số khó chịu Tìm số sở = 256-số khó chịu Tìm bội số lớn số sở bội số phải bé số tương ứng địa IP ghi lại số 172.29. _.0 Số khó chịu = 240 Số sở = 256 - 240 = 16 Bội số 16 lớn bé 32 32 địa đường mạng cần tìm 172.29.32.0 Hãy cho biết địa broadcast dùng cho mạng đó? Duyệt mặt nạ mạng địa IP theo byte tương ứng, từ trái qua phải + Byte subnet mask mang giá trị 255 ghi lại byte tương ứng địa IP, + Byte subnet mask ghi vào byte tương ứng địa IP 255 + Nếu byte subnet mask có giá trị khác 255 để trống byte tương ứng địa IP gọi byte số khó chịu Tìm số sở = 256 - số khó chịu Tìm bội số nhỏ số sở bội số phải lớn số tương ứng địa IP, đem số trừ kết 172.29. _.255 Số khó chịu = 240 Số sở = 256 - 240 = 16 Bội số nhỏ 16 lớn 32 48 48 - =47 Địa broadcast cần tìm 172.29.47.255 Liệt kê danh sách địa host nằm chung mạng với host trên? Các địa host hợp lệ đặt cho host nằm chung mạng với host là: địa sau địa mạng trước địa broadcast Các địa từ 172.29.32.1 đến 172.29.47.254 IV.2 Ví dụ Cho host có địa 10.8.100.49/19 Hãy trả lời câu hỏi cho host - Subnet mask 19 bit hay 255.255.224.0 có chia mạng Số bit subnet_id 11 số subnet = 211-2 = 2046 Số bit host_id 13 số host hợp lệ = 213 - = 8190 - Địa mạng: 10.8. _.0 Số khó chịu = 224 Số sở = 256 - 224 = 32 Bội số lớn 32 bé 100 96 địa mạng 10.8.96.0 - Địa broadcast: 10.8.127.255 - Các địa hợp lệ mạng con: 10.8.96.1 đến 10.8.127.254