ĐẠI HỌC QUỐC GIA TP.HCM TRƯỜNG ĐẠI HỌC KHOA HỌC TỰ NHIÊN KHOA ĐIỆN TỰ - VIỄN THƠNG TĨM TẮT NỘI DUNG MÔN HỌC TIỂU LUẬN MÔN CÔNG NGHỆ MẠNG GV.ThS Trần Thị Huỳnh Vân HỌ VÀ TÊN MSSV NGUYỄN PHÙNG HIẾU 18200103 TP.Hồ Chí Minh – Năm 2021 MỤC LỤC MỤC LỤC Bài 1: ACTIVE DIRECTORY I Các loại mơ hình mạng II Active directory III Cấu trúc active directory IV Operations master roles V Quá trình chứng thực ad BÀI 2: QUẢN LÝ TÀI KHOẢN NGƯỜI DÙNG VÀ NHÓM I Các loại tài khoản II Các loại tài khoản người dùng III Chứng thực kiểm soát truy cập IV Các loại tài khoản nhóm V Quản lý tài khoản người dùng nhóm cục VI Chính sách tài khoản người dùng BÀI 3: TẠO VÀ QUẢN LÝ THƯ MỤC DÙNG CHUNG I Tạo chia sẻ thư mục dùng chung II Quản lý thư mục dùng chung III Quyền truy cập NTFS IV Distributed File System (DFS) BÀI 4: CHÍNH SÁCH BẢO MẬT VÀ CHÍNH SÁCH HỆ THỐNG I Chính sách bảo mật (Security Policy) II Chính sách nhóm (Group Policy) BÀI 5: DỊCH VỤ DHCP 10 I Dynamic Host Configuration Protocol (DHCP) 10 II DHCP Operation 10 BÀI 6: DỊCH VỤ NAT 11 I Tổng quan NAT 11 II Dynamic Mapping and Static Mapping 11 BÀI 7: DỊCH VỤ DNS 12 I Khái niệm DNS 12 II Domain namespace 12 III Dịch vụ DNS 12 BÀI 8: MẠNG WANS 13 I Tổng quát 13 II Định nghĩa WAN Technology 13 III Mạng chuyển mạch WAN 14 BÀI 9: DỊCH VỤ VPN 14 I VPN lợi ích 14 II Các loại VPN 15 III Các thành phần VPN 15 BÀI 10: FRAME RELAY 16 I Giới thiệu 16 II Frame Relay WAN 16 III VC (Virtual Circuits) 16 Bài 1: ACTIVE DIRECTORY I - - - II - • • • • • Các loại mơ hình mạng Mơ hình workgroup Nhóm luận lý thiết bị tài nguyên mạng để cung cấp tài nguyên cho Còn gọi mơ hình peer to peer Các máy tính mạng có vai trị nhau, máy tính tự bảo mật quản lý tài nguyên Ưu điểm: • Hệ điều hành không cần chức nâng cao, chun dụng • Khơng cần server mạnh • Hệ thống đơn giản, rẻ tiền • Khơng cần quản trị mạng Nhược điểm: • Khơng có khả quản lý tập trung • Khả mở rộng hệ thống • Độ an tồn tính bảo mật khơng cao Mơ hình Domain Là tập hợp máy tính dùng chung nguyên tắc bảo mật CSDL tài khoản người dùng Hoạt động theo chế client – server Ít server làm chức quản lý, điiều khiển Ưu điểm: • Có khả quản lý tài nguyên mạng tập trung • Hệ thống domain cấu trúc phân cấp có tính bảo mật cao Active Directory Dịch vụ Directory (Direcory Service) Là dịch vụ mạng, có nhiệm vụ xác định tất tài nguyên mạng làm cho thông tin sẵn sàng đến users ứng dụng Cung cấp cách phù hợp tên, mơ tả, vị trí, truy cập, quản lý thông tin bảo mật tài nguyên Active Directory Là dịch vụ directory hệ thống Windows Server có trách nhiệm: Xác định nguồn tài nguyên mạng Cung cấp cách phù hợp : tên, mô tả, vị trí, truy cập, quản lý, bảo mật Lợi ích: Tích hợp sẵn DNS: AD dùng việc chuyển đổi tên dịch vụ DNS để tạo cấu trúc phân tầng với cách nhìn thân thiện, có thứ tự có khả mở rộng kết nối mạng Khả mở rộng: AD tổ chức thành section cho phép lưu trữ số lượng lớn object, có khả mở rộng tổ chức phát triển Quản lý tập trung: AD cho phép người quản trị quản lý việc phân phối đến máy tính dịch vụ mạng ứng dụng từ vị trí trung tâm với giao diện quản lý phù hợp AD cho phép người sử dụng single sign-on để tăng truy cập đầy đủ đến tài ngun thơng qua AD • Ủy quyền quản trị: Cấu trúc phân tầng AD cho phép ủy quyền quản trị phân tầng đặc biệt cho user chứng thực quyền quản trị Giúp giảm trách nhiệm, công việc quản trị viên tăng khả quản trị III Cấu trúc active directory Cấu trúc luận lý 1.1 Object: - Thành phần - Object Class: Là thiết kế chi tiết mẫu xác định loại Object tạo AD Mỗi Object Class định nghĩa nhóm thuộc tính Các thuộc tính xác định giá trị dược liên kết với đối tượng 1.2 Organizational Unit (OU) - Là loại container object dùng để tổ chức object domain Một đơn vị tổ chức có nhiều object user account, computer, printer, group OU khác - Lợi ích: • Có khả nhận ủy quyền quản trị: quản trị mạng phân quyền điều khiển, quản trị đầy đủ giới hạn tất object OU • Đơn giản hóa quản lý tài nguyên nhóm chung: quản trị viên tạo container domain, đại diện cho cấu trúc phân tầng logical dựa vào mơ hình tổ chức yêu cầu 1.3 Domain - Là đơn vị cốt lõi - Là tập hợp Object chia sỡ liệu chung, sách bảo mật - Chức năng: • Đóng vai trị khu vực quản trị Object • Giúp quản lý bảo mật tài nguyên chia sẻ • Cung cấp server dự phòng (ADC) đảm bảo thông tin server đồng với 1.4 Domain Tree - Là nhóm nhiều domain liên kết với theo cấu trúc phân tầng - Domain Parent Domain, từ Domain thứ hai Child Domain - Các Domain Tree chia sẻ không gian tên DNS liền kề 1.5 Forest - Là tập hợp gồm nhiều domain tree - Forest chia sẻ chung cấu hinh, schema global catalog… - Domain Forest gọi Forest Root Domain Cấu trúc vật lý - Là phần tách rời khác biệt với cấu trúc AD luận lý - Cho phép người quản trị mạng tối ưu hóa lưu lượng mạng cách xác định vị trí thời gian diễn đồng sỡ liệu lưu lượng đăng nhập 2.1 Domain Controller (DC) Là server cài hệ điều hành Windows Server dịch vụ AD Mỗi DC có chức lưu trữ đồng bộ, DC hỗ trợ Domain, sử dụng nhiều DC để Domain có tính sẵn sàng cao 2.2 Sites - Là nhóm máy tính có kết nối ổn định với - Khi site thiết lập, DC site đơn giao tiếp với thường xuyên giúp giảm độ trễ bên site - Độ trễ: thời gian DC replicate với DC khác có thay đổi hệ thống ➢ Kết luận: lên kết hoạch xây dựng hệ thống mạng phải xem xét để kết hợp cấu trúc vật lý cấu trúc luận lý cách phù hợp IV Operations master roles - Các operation nhóm lại với vai trò xác định forest domain Những vai trò gọi operation master roles - Mỗi Operations Master Role, có DC giữ vai trò liên quan đến thay đổi directory DC có trách nhiệm cho vai trị cụ thể gọi Operation Master Schema Master Domain Naming Master Primary Domain Controller Emulator Relative Identifier Master Infrastructure Master V Quá trình chứng thực ad User nhập thông tin mạng máy workstation để đăng nhập vào hệ thống mạng Các thơng tin mã hóa client gửi đến DC domain client Thông tin mã hóa gửi đến Key Distribution Center (KDC) (tích hợp DC) Nếu thơng tin gửi đến trùng với thông tin lưu trữ KDC, trình chứng thực tiếp tục DC tạo danh sách nhóm domain mà User thành viên DC truy vấn Global Catalog để xác định thêm Universal Group mà user thành viên KDC cấp cho client Ticket-Granting Ticket (TGT) TGT chứa SIDs mã hóa nhóm mà User thành viên - BÀI 2: QUẢN LÝ TÀI KHOẢN NGƯỜI DÙNG VÀ NHÓM I Các loại tài khoản User account (tài khoản người dùng) - Người dùng nhập tên mật lần đăng nhập vào máy trạm để truy cập xác thực vào nguồn tài nguyên mạng Computer accounts (tài khoản máy tính) - Khi PC chạy hệ điều hành Microsoft Windows tham gia Domain - Cung cấp cách để xác thực, kiểm tốn máy tính truy cập vào mạng tài nguyên Domain Group account (tài khoản nhóm) - Là tập hợp tài khoản người dùng, máy tính, nhóm khác - Giúp quản lý hiệu việc truy cập vào tài nguyên Domain, giúp đơn giản hóa quản lý - Giúp gán quyền cho tài nguyên chia sẻ lần cho người dùng cá nhân II Các loại tài khoản người dùng Local User Account: cho phép người dùng đăng nhập vào máy tính cụ thể để truy cập vào tài ngun máy tính Được tạo CSDL Local Security máy tính Domain User Account: cho phép người dùng đăng nhập vào domain đăng nhập vào máy tính nhân để truy cập tài nguyên Được tạo dịch vụ AD máy DC Cung cấp khả chứng thực Access Token (SSO) Built-in User Account: Được tạo sẵn máy tính AD Cho phép người dùng thực nhiệm vụ quản lý Cấp phép truy cập tạm thời vào tài nguyên mạng III Chứng thực kiểm soát truy cập - Các giao thức chứng thực • NT LAN Manager (NTLM): giao thức chứng thực windows NT • Kerberos V5: giao thức chuẩn Internet dùng để chứng thực người dùng hệ thống • Secure Socker Layer/Transport Layer Security (SSL/TLS): chế chứng thực dùng truy cập vào máy chủ (Web, Mail, ) IV Các loại tài khoản nhóm - Distribution groups: nhóm phi bảo mật, khơng có SID, khơng xuất trọng ACL Chỉ sử dụng cho ứng dụng Email… - Security groups: dùng để định quyền hệ thống quyền truy cập cho thành viên Domain Forest, nhóm bảo mật có SID riêng - Các phạm vi nhóm: có nhóm phân phối nhóm bảo mật hỗ trợ phạm vi nhóm • Domain local • Golobal • Univarsal - Ngồi Computer có phạm vi nhóm riêng: Machine Local V Quản lý tài khoản người dùng nhóm cục Các cách tạo quản lý người dùng - Active Directory Users and Computers: dùng để quản lý tài khoản người dùng, tài khoản máy tính tài khoản nhóm với số lượng tài khoản - Directory Service Tool: dùng command line tools để quản lý tài khoản AD - Csvde Tool (Comma Separated Value Data Exchange): Chỉ dùng để thêm user đối tượng AD - LDIFDE Tool (LDAP Data Interchange Format Data Exchange): sử dụng định dạng giá trị cách dịng để tạo, chỉnh sửa xóa đối tượng AD - Windows Script Host: tạo ADSI để tạo, chỉnh sửa xóa đối tượng AD VI Chính sách tài khoản người dùng User must change assword at next logon User cannot change password Password never expires User phải thay đổi mật lần đăng nhập Ngăn không cho người dùng tùy ý thay đổi mật Mật tài khoản không hết hạn Account is disabled Smart card is required for interactive login Tài khoản tạm thời bị khóa, khơng sử dụng khơng cần username password, cần mã PIN Account is trusted for delegation Giảnh quyền truy cập vào tài nguyên với vai trò tài khoản người dùng khác Dùng cho tài khoản vãn lại tạm Account is sensitive and cannot be delegate Use DES encryption types for this account Hỗ trợ Data Encryption Standard (DES) với nhiều mức độ Dùng Kerberos khác với window server 2003 Do not require Kerberos preauthentication BÀI 3: TẠO VÀ QUẢN LÝ THƯ MỤC DÙNG CHUNG Tạo chia sẻ thư mục dùng chung - Để chia sẻ thư mục, phải đăng nhập tài khoản thuộc nhóm Administrators nhóm Server Operators - Quyền truy cập thư mục dùng chung: dùng để cấp quyền truy xuất tài nguyên chia qua mạng • Khơng có tác dụng truy cập cục - Các quyền chia sẻ share permission: • Full Control: cho phép người dùng tồn quyền truy cập • Change: cho phép người dùng thay đổi liệu xóa tập tin thư mục • Read: cho phép người dùng xem thi hành tập tin - Chia sẻ thư mục lệnh net share II Quản lý thư mục dùng chung - Liệt kê thư mục chia sẻ - Xem phiên làm việc thư mục dùng chung - Xem tập tin mở thư mục dùng chung III Quyền truy cập NTFS - Phân quyền NTFS: Là giới hạn quyền truy cập vào liệu lưu ổ đĩa định dạng theo tiêu chuẩn NTFS đối tượng người dùng - Định dạng NTFS: định dạng mang tính bảo mật cao có khả nén, mã hóa liệu - Quyền NTFS áp đặt vào đối tượng người dùng cách: • Gán quyền trực tiếp bởi: Administator, Owner đối tượng có tồn quyền với thư mục • Được thừa kế: từ thư mục chứa đựng lớn từ nhóm chứa đối tượng người dùng - Kế thừa quyền NTFS: quyền gán cho thư mục cha kế thừa xuống thư mục I IV ➢ - Ngăn chặn kế thừa quyền: hủy quyền kế thừa, giữ lại quyền gán có chủ đích Distributed File System (DFS) Mục đích Cung cấp giải pháp đơn giản để truy cập thơng tin mơ hình địa lý phân tán tổ chức cách thiết lập hay nhiều server cung cấp nguồn liệu Cung cấp khả đồng server thơng qua mạng WAN Với mơ hình DFS, có yêu cầu truy cập tài nguyên từ bên ngồi vào DFS hệ thống tự phân chia yêu cầu cho Server bên DFS Thành phần DFS Namspaces: cho phép người quản trị nhóm thư mục share nằm rời rạc file server vào thư mục đại diện hệ thống mạng DFS Replication: cung cấp tính sẵn sàng cao khả chịu lỗi cho thư mục liệu Remote Differential Compression: cung cấp công nghệ nén liệu để truyền tải liệu qua mạng băng thông thấp Nguyên tắc hoạt động Client truy cập vào thư mục namespace, máy tính kết nối với Namspace Server nhận “lời mời” gồm danh sách server chia sẻ thư mục Client truy cập đến Server phù hợp Các máy server đồng với thông qua DFS Replicate kết hợp với nén liệu BÀI 4: CHÍNH SÁCH BẢO MẬT VÀ CHÍNH SÁCH HỆ THỐNG I Chính sách bảo mật (Security Policy) Security Policies - Là sách áp dụng cho tài khoản người dùng máy nội (Local security polocy) máy Domain (Domain security policy) nhằm tăng cường khả phòng chống trước nguy bảo mật - Là tảng việc bảo tồn thơng tin cho tổ chức - Các nguy ảnh hưởng gây liệu gồm: yếu tố tự nhiên, virus, lỗi người dùng, cố phần mềm, cố phần cứng hệ thống - Các nguy bị đánh cắp liệu: công từ bên bên - Các phạm vi áp đặt sách bảo mật - Các người dùng hệ thống • Giới hạn sử dụng đĩa mềm/CD/Flash Drives (USB) • Các quy định password • Backup liệu thường xun • Các sách truy cập liệu • Các sách truy cập mạng • - II - - - Thông báo đến người dùng quyền hạn “đào tạo bản” cho người dùng để tự bảo vệ Quản trị hệ thống • Hạn chế quyền truy cập thay đổi/nâng cấp phần cứng • Kiểm sốt điều khiển truy cập (access control) • Qui định sách phần mềm • Chính sách backup-restore Audit policy: cho phép thiết lập sách giám sát đổi tượng người dùng User right assignment: cấp quyền hạn cho người dùng máy cục Security options: xác định sách bảo mật máy cục Chính sách nhóm (Group Policy) Là tập thiết lập sách cấu hình cho computer user Xác định cách thức để chương trình, tài nguyên mạng hệ điều hành làm việc với người dùng máy tính tổ chức Các Group Policy hữu Active Directory (AD) Các Group Policy áp dụng lúc máy trạm khởi động, lúc máy khách đăng nhập, vào thời điểm ngẫu nhiên khác Các Group Policy tự động tác dụng máy trạm chúng xóa bỏ khỏi miền AD Người quản trị mạng có nhiều mức độ kiểm sốt vấn đề không nhận Group Policy Group Policy chủ yếu áp dụng cho site, domain OU (Organizational Unit) Trên máy Windows có sách nhóm cục (Local Group Policy), áp dụng máy khơng tham gia vào miền AD, phạm vi tác dụng nội máy tính Các GPO lưu trữ phần sở liệu Active Directory phần share SYSVOL GPO cục máy win2k/xp pro/wins2k3 nằm thư mục: %windir%\System32\groupPolicy Các chức group policy: • Triển khai phần mềm ứng dụng • Gán quyền hệ thống cho người dùng • Giới hạn ứng dụng mà người dùng phép thi hành • Kiểm soát thiết lập hệ thống • Kiểm soát kịch đăng nhập, đăng xuất, khởi động, tắt máy • Đơn giản hố hạn chế chương trình • Hạn chế tổng qt hình Desktop người dùng Group policy object nhóm cấu hình group policy Phần loại: • Local GPO: o Một Local GPO lưu máy cho dù máy tính có thành viên mơi trường Active Directory không o Được lưu trữ tại: %systemroot%\system32\GroupPolicy o Một local GPO ảnh hướng đến máy tính lưu trữ o Các thiết lập local GP bị ghi dè non-local GP • Non – local GPO: o Non – local GPO tạo AD o Lưu trữ %Systemroot%\Sysvol\sysvol\DomainName\Policies\GPOGUID\Adm - Có loại Group Policy Settings: • Computer Configuration: chứa thiết lập mà group policy áp dụng cho máy tính khơng quan tâm đến đăng nhập vào máy tính • User Configuration: chứa thiết lập mà group policy áp dụng cho người dùng khơng quan tâm đến người dùng đăng nhập từ máy tính - Cả mục Computer User Configuration chứa thiết lập về: sách phần mềm, sách hệ điều hành WS 2003, Registry - Các GPOs áp dùng theo trình tự sau: • Local GPO • Các GPO liên kết với Site • Các GPO liên kết với Domain • Các GPO liên keeys với OU - Sự kế thừa GP: • Áp dụng xuống từ container cha đến tất container bên domain • Domain không kế thừa Group Policy từ domain cha BÀI 5: DỊCH VỤ DHCP I • • II Dynamic Host Configuration Protocol (DHCP) Mọi thiết bị kết nối với mạng cần địa IP Quản trị viên thường ưu tiên máy chủ mạng cung cấp dịch vụ DHCP Mở rộng quản lý tương đối dễ dàng Tại chi nhánh nhỏ SOHO, định tuyến Cisco cấu hình để cung cấp dịch vụ DHCP mà không cần đến máy chủ chuyên dụng đắt tiền DHCP Operation Address Allocation Methods Manual: Địa IP cho máy khách cấp phát trước quản trị viên DHCP chuyển địa tới máy khách Automatic: DHCP tự động gán địa IP vĩnh viễn cho máy khách mà không cần thời gian thuê Dynamic: DHCP định cho thuê địa IP cho khách hàng khoảng thời gian giới hạn Dynamic Allocation - DHCP hoạt động chế độ Server/Client • Khi Client kết nối, Server gán cho thuê địa IP cho thiết bị • Thiết bị kết nối với mạng địa IP th hết thời gian th • Client lưu trữ phải liên hệ với Server DHCP theo định kỳ để gia hạn hợp đồng thuê 10 • Việc cho thuê địa đảm bảo địa khơng cịn sử dụng trả lại cho nhóm địa để thiết bị khác sử dụng - Thực bước: • DHCP DISCOVER: Client phát broadcast DHCP DISCOVER Gói tin DHCP DISCOVER tìm DHCP Server mạng • DHCP OFFER: Server phản hồi DHCP OFFER Gói tin DHCP OFFER gửi dạng unicast chứa địa IP có sẵn để thuê • DHCP REQUEST: Client phản hồi tin DHCP REQUEST dạng broadcast Khi sử dụng để xin th, đóng vai trị thông báo chấp nhận máy chủ chọn từ chối ngầm server khác Cũng sử dụng để gia hạn xác minh hợp đồng thuê • DHCP ACK: Server xác minh thông tin cho thuê phản hồi gói tin DHCP ACK Client ghi lại thơng tin gửi yêu cầu ARP để xác minh địa DHCP Server - Gán địa cho máy khách yêu cầu DHCP Relay Agent - DHCP relay agents thiết bị trung gian để chuyển tiếp yêu cầu DHCP client DHCP server DHCP relay agents thường dùng hệ thống mạng lớn phức tạp, không phổ biến mạng thông thường BÀI 6: DỊCH VỤ NAT I - - II - - Tổng quan NAT Các định tuyến hỗ trợ NAT giữ lại nhiều địa IP Internet hợp lệ bên mạng Khi máy khách gửi gói tin khỏi mạng, NAT chuyển đổi địa IP nội máy khách sang địa bên Đối với người dùng bên ngoài, tất lưu lượng truy cập đến từ mạng có địa IP từ nhóm địa Khi máy chủ mạng bên muốn truy cập máy chủ mạng bên ngồi, gói tin gửi đến định tuyến cổng biên Bộ định tuyến cổng biên thực trình NAT, chuyển đổi địa bên sang địa cơng cộng bên ngồi Dynamic Mapping and Static Mapping Dynamic Mapping Ánh xạ tự động địa cục thành nhóm địa chung Các máy chủ sử dụng NAT bị giới hạn số lượng địa phạm vi Thiết bị NAT tự động định địa nhận yêu cầu Khi phiên kết thúc, địa trả nhóm cho người dùng khác Static Mapping Ánh xạ 1-1 địa cục tồn cầu Các máy chủ sử dụng NAT bị giới hạn việc gán địa tĩnh bảng 11 NAT Overload (PAT - Port AddressTranslation) - Thực ánh xạ nhiều địa IP thành địa (many - to - one) sử dụng địa số cổng khác để phân biệt cho chuyển đổi BÀI 7: DỊCH VỤ DNS I - II III - - Khái niệm DNS Các thiết bị mạng muốn giao tiếp với cần biết địa (IP) Tên thường dễ nhớ địa người dùng Cần có chế phân giải tên thành địa Host Name: tên DNS (DNS Name) thiết bị mạng FQDN - Fully Qualified Domain Name: tên miền DNS (DNS domain name) quy định rõ ràng để vị trí tuyệt đối thiết bị không gian domain (domain namespace tree) Domain namespace Domain namespace tên miền xếp phân tầng theo cấu trúc dạng cây, DNS dùng để xác định vị trí host từ gốc đến level thấp Dấu (.) dùng để ngăn subdomain từ level domain cha chúng NetBIOS Name: Là tên xác định sử dụng dịch vụ NetBIOS chạy PC Dịch vụ DNS Khái niệm Là dịch vụ quản lý tên miền, cho phép ánh xạ địa IP tên miền Hoạt động theo mơ hình Client-Server Cơ sở liệu DNS phân tán nhiều Name Server internet Domain phân bổ theo chế phân tầng ICANN Là quan phi lợi nhuận Là quan Internet quản lý tập trung số liệu tên miền Quản lý phân phối không gian địa IP Quản lý tham số giao thức (protocol) số port Quản lý không gian tên miền (DNS) cấp cao (root top-level domain) INTERNIC Là kênh thông tin (website) tổ chức ICANN nhằm cung cấp thông tin dịch vụ đăng ký tên miền ngồi internet Giữ nhiệm vụ: • Theo dõi người sử dụng domain name, tránh sử dụng trùng • Cho phép thực cơng việc tìm kiếm kiểu thông tin khác để hỗ trợ đăng ký domain (đơn vị giữ nhiệm vụ cấp, e-mail addresses người quản trị máy chủ Internet ) Truy vấn DNS Truy vấn trình gởi yêu cầu phân giải tên miền tới DNS Server, có hai loại truy vấn: 12 • Truy vấn đề quy (recursive query) • Truy vấn tương tác (Iteractive query) Truy vấn đệ qui • DNS client gởi truy vấn đến DNS server, DNS server bắt | buộc phải cung cấp đầy đủ thông tin cho truy vấn thông | báo lỗi truy vấn không phân giải Tuy vấn tương tác • Truy gửi tới DNS server DNS client yêu cầu DNS server cung cấp thơng tin tốt mà có khơng tìm trợ giúp từ Name server khác ACK Iterative Query thường tham chiếu đến DNS server DNS tree Forwarder: Cung cấp chế chuyển yêu cầu truy vấn từ internal DNS servers external DNS server Caching DNS Server • Caching tiến trình lưu trữ tạm số thông tin phân giải trước để cung cấp cho lần phân giải sau nhằm làm tăng tốc trình phân giải tên miền Phân loại DNS Server - - - BÀI 8: MẠNG WANS I II - Tổng quát Mạng WAN mạng truyền thơng liệu hoạt động ngồi phạm vi địa lý mạng LAN Kết nối thiết bị cách khu vực địa lý rộng mạng LAN Sử dụng nhà mạng (công ty điện thoại, công ty cáp, nhà cung cấp mạng) Sử dụng kết nối nối tiếp nhiều loại khác Định nghĩa WAN Technology Các giao thức liên kết liệu WAN phổ biến là: • HDLC • PPP • Frame Relay • ATM 13 - III - - - • MPLS Việc lựa chọn giao thức đóng gói phụ thuộc vào cơng nghệ WAN thiết bị • Hầu hết khung hình dựa tiêu chuẩn HDLC • Dữ liệu đóng gói với số dạng thơng tin tiêu đề trường FCS • Tồn khung sau đóng gói trường Flag để phần đầu phần cuối khung Mạng chuyển mạch WAN Circuit Switched • POTS: Plain Old Telephone Service • ISDN: Integrated Services Digital Network Packet Switched • X.25 • Frame relay • ATM: Asynchronous Tranfer Mode Circuit Switched Mỗi thiết bị ghép kênh định “khe thời gian” cụ thể khung Tại khe thời gian, bit đọc từ thiết bị khung độ dài cố định xây dựng cách sử dụng liệu Nếu khơng có để gửi cho khe thời gian đó, bit rỗng đặt khung cho thiết bị Packet Switched Là loại kĩ thuật gửi liệu từ máy tính nguồn tới nơi nhận qua mạng dùng loại giao thức thoả mãn điều kiện sau: • Dữ liệu cần vận chuyển chia nhỏ thành gói (hay khung) có kích thước (size) định dạng (format) xác định • Mỗi gói chuyển riêng rẽ đến nơi nhận đường truyền (route) khác • Như vậy, chúng dịch chuyển thời điểm Khi tồn gói liệu đến nơi nhận chúng hợp lại thành liệu ban đầu BÀI 9: DỊCH VỤ VPN I VPN lợi ích VPN - VPN tạo mạng riêng qua sở hạ tầng mạng public trì tính bảo mật an toàn - VPN sử dụng giao thức đường hầm mật mã để cung cấp khả bảo vệ chống lại việc đánh cắp gói, xác thực người gửi tính tồn vẹn thư - Các tổ chức sử dụng VPN để cung cấp mạng WAN ảo kết nối văn phòng chi nhánh văn phòng gia đình, trang web đối tác kinh doanh thiết bị viễn thơng từ xa 14 Lợi ích - Tiết kiệm chi phí: • Các tổ chức sử dụng phương tiện truyền thông Internet bên thứ ba, tiết kiệm chi phí để kết nối văn phịng người dùng từ xa với trang web cơng ty - Bảo mật: • Các giao thức mã hóa xác thực nâng cao bảo vệ liệu khỏi bị truy cập trái phép - Khả mở rộng: • Các tổ chức, lớn nhỏ, bổ sung lượng lớn dung lượng mà không cần thêm sở hạ tầng đáng kể Các loại VPN VPN site-to-site • VPN site-to-site phần mở rộng mạng WAN cổ điển • VPN site-to-site kết nối tồn mạng với • Trong VPN site-to-site, máy chủ gửi nhận lưu lượng TCP / IP thơng qua cổng VPN • Cổng VPN đóng gói mã hóa lưu lượng gửi gửi qua đường hầm VPN • Khi nhận, cổng VPN ngang hàng tách tiêu đề, giải mã nội dung chuyển tiếp gói tin - VPN Remote Access • Hỗ trợ nhu cầu người dùng viễn thông, người dùng di động, mạng extranet người dùng với doanh nghiệp • Mỗi máy chủ lưu trữ thường có phần mềm máy khách VPN SSL VPN Phần mềm đóng gói mã hóa lưu lượng trước gửi qua Internet • Khi nhận, cổng VPN xử lý liệu theo cách giống cách xử lý liệu từ VPN site-to-site III Các thành phần VPN - Tunnelling: II - Hãy coi VPN tunneling q trình đóng gói mã hóa liệu Đóng gói liệu: Đóng gói q trình gói gói liệu Internet bên gói khác, giống bạn đặt thư bên phong bì để gửi • Mã hóa liệu: Tuy nhiên, có tunnel chưa đủ Mã hóa làm xáo trộn khóa nội dung thư, tức liệu bạn, để mở đọc ngoại trừ người nhận dự định - IPsec: giao thức bảo mật sử dụng để xác thực mã hóa liệu qua mạng VPN Nó bao gồm tiêu chuẩn để thiết lập kết nối hai máy tính trao đổi key mật mã Các key mã hóa liệu, máy tính tham gia trao đổi mở key xem liệu • 15 BÀI 10: FRAME RELAY I II - Giới thiệu Tổng quan Các doanh nghiệp lớn, ISP doanh nghiệp nhỏ sử dụng Frame Relay, giá tính linh hoạt Giá: Frame-Relay giảm chi phí mạng cách sử dụng Thiết bị , Ít phức tạp hơn: Thực dễ dàng Linh hoạt: Cung cấp nhiều Băng thông, Độ tin cậy Khả phục hồi so với đường dây riêng đường thuê riêng Hiệu chi phí Khái niệm Frame Relay dịch vụ truyền số liệu mạng diện rộng dựa cơng nghệ chuyển mạch gói Frame Relay WAN Các sở mạng WAN đại cung cấp đường truyền dịch vụ đáng tin cậy Frame Relay không cung cấp khả sửa lỗi Một nút Frame Relay đơn giản thả gói mà khơng cần thơng báo phát lỗi (thơng qua CRC tiêu chuẩn) III VC (Virtual Circuits) - Là kỹ thuật nối - chuyển dùng mạng nhằm tận dụng ưu điểm hai kỹ thuật chuyển mạch gói kỹ thuật chuyển mạch kênh - Phương thức hoạt động: Trên gói mạch ảo có chứa thêm thơng tin (hay số) để xác định mạch ảo gọi số mạch ảo (virtual circuit number) phần đầu - Hai loại: • Switched (SVC): thiết lập động cách gửi tin thông báo đến mạng (CALL SETUP, DATA TRANFER, IDLE, CALL TERMINATION) hoàn tất • Permanent (PVC): Được nhà cung cấp cấu hình sẵn (chỉ hoạt động chế độ chuyển liệu IDLE) xác định DLCIS (Số nhận dạng kết nối liên kết liệu) 16 ... 8: MẠNG WANS I II - Tổng quát Mạng WAN mạng truyền thơng liệu hoạt động ngồi phạm vi địa lý mạng LAN Kết nối thiết bị cách khu vực địa lý rộng mạng LAN Sử dụng nhà mạng (công ty điện thoại, công. .. khỏi mạng, NAT chuyển đổi địa IP nội máy khách sang địa bên Đối với người dùng bên ngoài, tất lưu lượng truy cập đến từ mạng có địa IP từ nhóm địa Khi máy chủ mạng bên muốn truy cập máy chủ mạng. .. II - • • • • • Các loại mơ hình mạng Mơ hình workgroup Nhóm luận lý thiết bị tài nguyên mạng để cung cấp tài nguyên cho Còn gọi mơ hình peer to peer Các máy tính mạng có vai trị nhau, máy tính