Đồ án chuyên đề quản trị mạng III: Tầng mạng và các giao thức định tuyến

MỤC LỤC

Tầng mạng (NETWORK layer)

Các giải thuật chọn đường

• Chọn đường tập trung (Centralized routing): Trong mạng có một Trung tâm điều khiển mạng (Network Control Center) chịu trách nhiệm tính toán và cập nhật thông tin về đường đi đến tất cả các điểm khác nhau trên toàn mạng cho tất cả các router. Định tuyến động (dynamic routing) cố gắng giải quyết vấn đề này bằng việc xây dựng bảng định tuyến một cách tự động, dựa vào những thông tin được giao thức định tuyến cung cấp, và cho phép mạng hành động gần như tự trị trong việc ngăn chặn mạng bị lỗi và nghẽn. Khi một node khởi động lần đầu, nó chỉ biết các node kề trực tiếp với nó, và chi phí trực tiếp để đi đến đó (thông tin này, danh sách của các đích, tổng chi phí của từng node, và bước kế tiếp để gửi dữ liệu đến đó tạo nên bảng định tuyến, hay bảng khoảng cách).

Một giao thức đã được định tuyến là bất kỳ một giao thức mạng nào cung cấp đầy đủ thông tin trong địa chỉ tầng mạng của nó để cho phép một gói tin được truyền đi từ một máy chủ (host) đến máy chủ khác dựa trên sự sắp xếp về địa chỉ, không cần biết đến đường đi tổng thể từ nguồn đến đích. Các giao thức ở tầng 2 như Ethernet là những giao thức không định tuyến được, vì chúng chỉ chứa địa chỉ tầng liên kết, không đủ để định tuyến: một số giao thức ở tầng cao dựa trực tiếp vào đây mà không có thêm địa chỉ tầng mạng, như NetBIOS, cũng không định tuyến được.

Hình 2.2 Mô hình hóa mạng thành đồ thị a. Giải thuật tìm đường đi ngắn nhất Dijkstra:
Hình 2.2 Mô hình hóa mạng thành đồ thị a. Giải thuật tìm đường đi ngắn nhất Dijkstra:

Mô hình TCP/IP

Khi giao thức IP được khởi động nó trở thành một thực thể tồn tại trong máy tính và bắt đầu thực hiện những chức năng của mình, lúc đó thực thể IP là cấu thành của tầng mạng, nhận yêu cầu từ các tầng trên nó và gửi yêu cầu xuống các tầng dưới nó. TCP là một giao thức "có liên kết" (connection - oriented), nghĩa là cần phải thiết lập liên kết giữa hai thực thể TCP trước khi chúng trao đổi dữ liệu với nhau. Các bước thực hiện để thiết lập một liên kết TCP/IP: Thiết lập một liên kết mới có thể được mở theo một trong 2 phương thức: chủ động (active) hoặc bị động (passive).

Trường hợp cần chuyển gấp dữ liệu cho người sử dụng thì có thể dùng cờ URGENT và đánh dấu dữ liệu bằng bit URG để báo cho người sử dụng cần phải xử lý khẩn cấp dữ liệu đó. Lưu ý rằng khi một người sử dụng đã gửi đi một hàm Close thì nó vẫn phải tiếp tục nhận dữ liệu đến trên liên kết đó cho đến khi TCP đã báo cho phía bên kia biết về việc đóng liên kết và chuyển giao hết tất cả dữ liệu cho người sử dụng của mình. Mặt nạ mạng (Network Mask): là một con số dài 32 bits, là phương tiện giúp máy xác định được địa chỉ mạng của một địa chỉ IP (bằng cách AND giữa địa chỉ IP với mặt nạ mạng) để phục vụ cho công việc routing.

Byte đầu tiên này cũng chính là network_id, trừ đi bit đầu tiên làm ID nhận dạng lớp A, còn lại 7 bits để đánh thứ tự các mạng, ta được 128 (27) mạng lớp A khác nhau. Theo hình trên, ta bắt buộc phải dùng đến tất cả là 6 đường mạng riêng biệt để đặt cho hệ thống mạng của mình, mặc dù trong mỗi mạng chỉ dùng đến vài địa chỉ trong tổng số 65,534 địa chỉ hợp lệ ---> một sự phí phạm to lớn. Vấn đề đặt ra là khi xác định được một địa chỉ IP (ví dụ 172.29.8.230) ta không thể biết được host này nằm trong mạng nào (không thể biết mạng này có chia mạng con hay không, và có nếu chia thì dùng bao nhiêu bit để chia).

Tất cả các IP host khi kết nối vào mạng Internet đều phải có một địa chỉ IP o tổ chức IANA (Internet Assigned Numbers Authority) cấp phát – gọi là địa chỉ hợp lệ (hay là được đăng ký).

Bảng liệt kê một vài cổng TCP phổ biến.
Bảng liệt kê một vài cổng TCP phổ biến.

Thiết kế mạng LAN

Cấu trúc toà nhà của công ty gồm 1 tầng trệt và 1 tầng lầu.Trong đó tầng trệt được chia thành 3 phòng ban và tầng lầu chia thành 2 phòng ban. Do mô hình mạng được phân tích như trên, hệ thống mạng gồm 1 Server và 32 máy Client nên ở đây chúng ta sử dụng mô hình xử lý mạng tập trung với kiến trúc mạng Bus. • Khi mở rộng mạng tương đối đơn giản, nếu khoảng cách xa thì có thể dùng Repeater để khuếch đại tín hiệu.

• Sử dụng Switch (không sử dụng hub) vì Switch có khả năng mở rộng mạng tối ưu hơn Hub ,tốc độ truyền dữ liệu nhanh…Ngoài ra Switch còn hỗ trợ Trunking,VLAN…. • Dùng cáp STP không dùng UTP vì STP chống nhiễu, tốc độ truyền tín hiệu nhanh, không bị nghe trộm. • Card mạng phải bắt buộc hỗ trợ BootRom theo chuẩn PXE với version 0.99 trở lên.

• Khi đoạn cáp hay các đầu nối bị hở ra thì sẽ có hai đầu cáp không nối được với terminator nên tín hiệu sẽ bị dội ngược và làm toàn bộ hệ thống mạng phải ngưng hoạt động. Những lỗi như thế sẽ rất khó phát hiện ra là hỏng ở chỗ nào nên công tác quản trị rất khó khi mạng lớn. Cấu hình đề xuất: Pentium 4, RAM 1GB, ổ cứng 120 GB chuẩn SATA hoặc SCSI, CPU tốc độ 3.0GHz, MainBoard hỗ trợ công nghệ siêu phân luồng.

Máy Server: Chạy hệ điều hành Microsoft Windows 2000 Server và cài các dịch vụ phục vụ cho các máy Client như: MS ISA Server, MS Exchange Server ….

Bảng chi tiết cấu hình máy Server
Bảng chi tiết cấu hình máy Server

Mạng diện rộng và WIFI

Bảo mật mạng

Như bạn đó biết qua phần trờn, mói tới năm 1995 virus macro mới xuất hiện và rừ ràng nguyên lý của chúng khác xa so với những virus trước đó (những virus File) nên mặc dù cũng lây vào các File, nhưng không thể gọi chúng là virus File. Macro là những đoạn mã giúp cho các file của Ofice tăng thêm một số tính năng, có thể định một số công việc sẵn có vào trong macro ấy, và mỗi lần gọi macro là các phần cái sẵn lần lượt được thực hiện, giúp người sử dụng giảm bớt được công thao tác. Đầu tiên kẻ viết ra Trojan bằng cách nào đó lừa cho đối phương sử dụng chương trình của mình, khi chương trình này chạy thì vẻ bề ngoài cũng như những chương trình bình thường (một trò chơi, hay là những màn bắn pháo hoa đẹp mắt chẳng hạn).

Đến một thời điểm định trước nào đó chương trình này có thể sẽ ra tay xoá dữ liệu, hay gửi những thứ cần thiết cho chủ nhân của nó ở trên mạng (ở Việt Nam đã từng rất phổ biến việc lấy cắp mật khẩu truy nhập Internet của người sử dụng và gửi bí mật cho chủ nhân của các Trojan). Với cách hoàn toàn tương tự trên những máy nạn nhân, Worm có thể nhanh chóng lây lan trên toàn cầu theo cấp số nhân, điều đó lý giải tại sao chỉ trong vòng vài tiếng đồng hồ mà Mellisa và Love Letter lại có thể lây lan tới hàng chục triệu máy tính trên toàn cầu. Với sự lây lan nhanh và rộng lớn như vậy, Worm thường được kẻ viết ra chúng cài thêm nhiều tính năng đặc biêt, chẳng hạn như chúng có thể định cùng một ngày giờ và đồng loạt từ các máy nạn nhân (hàng triệu máy) tấn công vào một địa chỉ nào đó, máy chủ có mạnh đến mấy thì trước một cuộc tấn công tổng lực như vậy thì cũng phải bó tay, Website của nhà Trắng là một ví dụ.

Ở đây chúng tôi chỉ có thể nói sơ qua về lịch sử, cũng như phân loại virus nhằm cung cấp cho các bạn một cách nhìn nhận đúng đắn về virus máy tính, để từ đó sẽ có những phương pháp hữu hiệu để ngăn chặn chúng. Với một ứng dụng sử dụng IPsec mã (code) không bị thay đổi, nhưng nếu ứng dụng đó bắt buộc sử dụng SSL và các giao thức bảo mật trên các tầng trên trong mô hình OSI thì đoạn mã ứng dụng đó sẽ bị thay đổi lớn. Trong các bước thực hiện phải quyết định cái gì cần bảo vệ và cung cấp cho một gói tin outgoing (đi ra ngoài), IPsec sử dụng các thông số Security Parameter Index (SPI), mỗi quá trình Index (đánh thứ tự và lưu trong dữ liệu – Index ví như một cuốn danh bạ điện thoại) bao gồm Security Association Database (SADB), theo suốt chiều dài của địa chỉ đích trong header của gói tin, cùng với sự nhận dạng duy nhất của một thoả hiệp bảo mật (tạm dịch từ - security association) cho mỗi gói tin.

IPsec được cung cấp bởi Transport mode (end-to-end) đáp ứng bảo mật giữa các máy tính giao tiếp trực tiếp với nhau hoặc sử dụng Tunnel mode (portal-to-portal) cho các giao tiếp giữa hai mạng với nhau và chủ yếu được sử dụng khi kết nối VPN.