Router là gì?

Một phần của tài liệu THIẾT LẬP ROUTER TRÊN HỆ ĐIỀU HÀNH LINUX (Trang 100 - 117)

II. HỆ ĐIỀU HÀNH LINUX

1. Router là gì?

- Router là một thiết bị cho phép gửi các gói dữ liệu dọc theo mạng. Một Router được kết nối tới ít nhất là hai mạng, thông thường hai mạng đó là LAN, WAN hoặc là một LAN và mạng ISP của nó.

- Router được định vị ở cổng vào, nơi mà có hai hoặc nhiều hơn các mạng kết nối và là thiết bị quyết định duy trì các luồng thông tin giữa các mạng và duy trì kết nối mạng trên internet. Khi dữ liệu được gửi đi giữa các điểm trên một mạng hoặc từ một mạng tới mạng thứ hai thì dữ liệu đó luôn luôn được thấy và gửi trực tiếp tới điểm đích bởi Router. Chúng hoàn thành nó bằng cách sử dụng các trường mào đầu (header) và các bảng định tuyến để chỉ ra đường tốt nhất cho việc gửi các gói dữ liệu, và chúng sử dụng các giao thức như là ICMP dể liên lạc với nhau và cấu hình định tuyến tốt nhất giữa bất kỳ hai máy trạm.

- Router là thiết bị mạng lớp 3 của mô hình OSI (Network Layer). Router kết nối hai hay nhiều mạng IP với nhau. Các máy tính trên mạng phải "nhận thức" được sự tham gia của một Router, nhưng đối với các mạng IP thì một trong những quy tắc của IP là mọi máy tính kết nối mạng đều có thể giao tiếp được với Router.

2. Ưu điểm của Router

- Phân cách các mạng máy tính thành các segment riêng biệt để giảm hiện tượng đụng độ, giảm broadcast hay thực hiện chức năng bảo mật.

- Kết nối các mạng máy tính hay kết nối các user với mạng máy tính ở các khoảng cách xa với nhau thông qua các đường truyền thông: điện thoại, ISDN, T1, X.25…

- Cùng với sự phát triển của switch, chức năng đầu tiên của Router ngày nay đã được switch đảm nhận một cách hiệu quả. Router chỉ còn phải đảm nhận việc thực hiện các kết nối truy cập từ xa (remote access) hay các kết nối WAN cho hệ thống mạng LAN.

- Do hoạt động ở tầng thứ 3 của mô hình OSI, Router sẽ hiểu được các protocol quyết định phương thức truyền dữ liệu. Các địa chỉ mà Router hiểu là các địa chỉ “giả” được quy định bởi các protocol. Ví dụ như địa chỉ IP đối với protocol TCP/IP, địa chỉ IPX đối với protocol IPX… Do đó tùy theo cấu hình, Router quyết định phương thức và đích đến của việc chuyển các packet từ nơi này sang nơi khác. Một cách tổng quát Router sẽ chuyển packet theo các bước sau:

 Đọc packet.

 Gỡ bỏ dạng format quy định bởi protocol của nơi gửi.

 Thay thế phần gỡ bỏ đó bằng dạng format của protocol của đích đến.

 Cập nhật thông tin về việc chuyển dữ liệu: địa chỉ, trạng thái của nơi gửi, nơi nhận.

 Gứi packet đến nơi nhận qua đường truyền tối ưu nhất.

- Router có thể kết nối với các loại mạng khác lại với nhau, từ những Ethernet cục bộ tốc độ cao cho đến đường dây điện thoại đường dài có tốc độ chậm.

3. Nhược điểm của Router

- Router chậm hơn Bridge vì chúng đòi hỏi nhiều tính toán hơn để tìm ra cách dẫn đường cho các gói tin, đặc biệt khi các mạng kết nối với nhau không cùng tốc độ. Một mạng hoạt động nhanh có thể phát các gói tin

nhanh hơn nhiều so với một mạng chậm và có thể gây ra sự nghẽn mạng. Do đó, Router có thể yêu cầu máy tính gửi các gói tin đến chậm hơn.

- Các Router có đặc điểm chuyên biệt theo giao thức nghĩa là cách một máy tính kết nối mạng giao tiếp với một Router IP thì sẽ khác biệt với cách nó giao tiếp với một Router Novell hay DECnet. Hiện nay vấn đề này được giải quyết bởi một mạng biết đường dẫn của mọi loại mạng được biết đến. Tất cả các Router thương mại đều có thể xử lý nhiều loại giao thức, thường với chi phí phụ thêm cho mỗi giao thức.

II.CẤU HÌNH CARD MẠNG 1. Cấu hình card eth0

Ta cấu hình các thông số của card eth0 ở tập tin ifcfg-eth0.conf trong

#/etc/sysconfig/network-scripts như sau:

Hình 4.2.1: Cấu hình card eth0.

2. Cấu hình card eth1

Cũng như card eth0 ta cấu hình các thông số của card eth1 ở tập tin ifcfg- eth1.conf trong #/etc/sysconfig/network-scripts như sau:

Hình 4.2.2: Cấu hình card eth1.

3. Cấu hình card eth2

Tương tự ta cấu hình các thông số của card eth2 ở tập tin ifcfg-eth2.conf trong

#/etc/sysconfig/network-scripts như sau:

Hình 4.2.3: Cấu hình card eth2.

III. CẤU HÌNH ĐỊNH TUYẾN 1. Bật tính năng định tuyến

- Hiệu chỉnh thông số net.ipv4.ip_forward =1 trong tập tin #/etc/sysctl.conf

#echo “1”>/proc/sys/net/ipv4/ip_forward

2. Mô tả thông tin định tuyến

#route add –net –n 192.168.10.0/24 dev eth1 #route add –net –n 192.168.20.0/24 dev eth2

- Lệnh thứ nhất: Mô tả mọi đường mạng muốn đi đến được mạng 192.168.10.0/24 thì phải ra cổng eth1.

- Lệnh thứ hai: Mô tả mọi đường mạng muốn đi đến được mạng 192.168.20.0/24 thì phải ra cổng eth2.

3. Kiểm tra định tuyến

Để kiểm tra thông tin định tuyến, hay xem bảng định tuyến của Router ta sử dụng lệnh route hoặc lệnh netstat –rn:

Hình 3.3.1: Bảng định tuyến Router Linux.

IV. CẤU HÌNH NAT TRÊN IPTABLES 1. Giới thiệu về iptables

- iptables là một package firewall/NAT được sử dụng rộng rãi nhất hiện nay và được tích hợp sẵn hay cài đặt sử dụng trên các hệ điều hành của Redhat.

- iptables là một tường lửa làm nhiệm vụ bảo mật cho Mail Server, Web server, DNS Server và hệ thống mạng nội bộ. Đồng thời iptables sử dụng chức năng NAT để chuyển đổi một máy linux thành một thiết bị dẫn đường (Router) .

- Các chức năng chính của iptable:

o Quan sát kỹ tất cả các gói dữ liệu. Điều này cho phép firewall theo dõi mọi mối kết nối thông qua nó, và dĩ nhiên là xem xét nội dung các luồng dữ liệu để từ đó tiên liệu hành động kế tiếp của các giao thức.

o Lọc gói dựa trên địa chỉ MAC và các cờ trong TCP header. Điều này giúp ngăn chặn việc tấn công bằng cách sử dụng các gói dị dạng và ngăn chặn việc truy cập từ nội bộ đến một mạng khác bất chấp IP.

o Ghi chép hệ thống cho phép việc điều chỉnh mức độ báo cáo.

o Hỗ trợ việc tích hợp các chương trình Web proxy .

o Ngăn chặn các kiểu tấn công từ chối dịch vụ.

- Các Queues của iptable: queues là một bảng tuần tự dựng sẵn các giao thức mà iptables dùng để kiểm tra lọc gói dữ liệu.

Loại Queues

Chức năng Quy tắc Mục đích

Filter Lọc gói FORWARD Lọc gói dữ liệu dựa trên các server khác kết nối

trên các NIC khác.

INPUT Lọc gói đến.

NAT Biên dịch địa chỉ

mạng.

PREROUTING Thay đổi địa chỉ trước khi chỉ đường.

POSTROUTING Thay đổi địa chỉ sau khi chỉ đường.

OUTPUT Nat sử dụng cho các gói

dữ liệu xuất phát từ firewall. Mangle Chỉnh sửa ICP header PREROUTING POSTROUTING OUTPUT INPUT FORWARD

Điều chỉnh các bit quy định chất lượng dịch vụ

trước khi dẫn đường.

- Các target mà iptable thường dùng:

Targets Ý nghĩa Tùy chọn

ACCEPT iptables ngưng xử lý gói dữ liệu đó và chuyển tiếp nó vào ứng dụng cuối hoặc hệ điều hành để sử lý. DROP iptables ngưng xử lý gói dữ liệu đó và gói dữ liệu đó bị chặn, hủy bỏ.

DNAT Dùng để chuyển đổi địa chỉ mạng đích.

Địa chỉ đích của gói dữ liệu sẽ được viết lại.

ipaddress

iptables sẽ viết lại địa chỉ IP và địa chỉ đích của gói dữ liệu.

SNAT Dùng để chuyển đổi địa chỉ mạng nguồn. Viết lại địa chỉ mạng nguồn của gói dữ liệu.

--to-source ipaddress

Miêu tả IP mà iptables viết lại.

MASQUERADE Dùng để chuyển đổi địa chỉ mạng nguồn. Mặc định thì địa chỉ IP sẽ đóng như IP nguồn của firewall.

--to-ports

Ghi rõ tầm các port nguồn mà port nguồn góc có thể ánh xạ được.

- Các tham số chuyển mạch quan trọng của iptables:

Tham số Ý nghĩa

-t <table> Kết nối đến các table. Có 3 loại table: Filter, nat, mangle.

-j <target> Nhảy đến chuỗi target khi gói dữ liệu phù hợp với quy luật hiện tại.

-A Nối thêm một quy luật vào cuối chuỗi. -F Xóa hết mọi quy luật đã chọn trong bảng

đã chọn.

-p (protocol) Phù hợp với giao thức. Thường là: icmp, tcp, udp, và all

-s (source) Phù hợp với ip nguồn. -d (destination) Phù hợp với ip đích.

-i (input) Phù hợp với điều kiện khi gói dữ liệu đi. vào firewall.

-o (output) Phù hợp với điều kiện khi gói dữ liệu đi ra khỏi firewall.

- Các điều kiện mở rộng của iptables:

-m --state <state> (m: multiport)

- Các trạng thái thường sử dụng:

o NEW: Gói dữ liệu là bắt đầu của một kết nối mới.

o ESTABLISHED: Gói dữ liệu là một phần của kết nối đã được thiết lập bởi cả 2 hướng.

o RELATED: Gói dữ liệu là bắt đầu của một mối kết nối phụ. Thông thường đây là đặc điểm của các giao thức như FPT.

2. Cấu hình iptables NAT kết nối Internet

Ta có hai mạng 192.168.10.0/24192.168.20.0/24, để hai mạng này kết nối được với internet qua cổng eth0 của Router linux ta cấu hình iptables nat như sau:

#iptables –t nat –A POSTROUTING –s 192.168.10.0/24 –d 0/0 –o eth0 –j SNAT --to-source 203.113.245.10

#iptables –t nat –A POSTROUTING –s 192.168.20.0/24 –d 0/0 –o eth0 –j SNAT --to-source 203.113.245.10

- Lệnh đầu tiên: chuyển đổi địa chỉ IP nguồn của các gói dữ liệu thuộc mạng 192.168.10.0/24 thành địa chỉ 203.113.245.10 tước khi truy xuất ra các mạng bên ngoài qua card mạng eth0.

- Lệnh thứ hai: chuyển đổi địa chỉ IP nguồn của các gói dữ liệu thuộc mạng

192.168.20.0/24 thành địa chỉ 203.113.245.10 tước khi truy xuất ra các mạng bên ngoài qua card mạng eth0.

Hoặc ta cũng có thể cấu hình qua các lệnh sau:

#iptables –t nat –A POSTROUTING –s 192.168.10.0/24 –d 0/0 –o eth0 –j MASQUERADE

#iptables –t nat –A POSTROUTING –s 192.168.20.0/24 –d 0/0 –o eth0 –j MASQUERADE

- Lệnh đầu tiên: chuyển đổi địa chỉ IP nguồn của các gói dữ liệu thuộc mạng 192.168.10.0/24 một cách tự động tước khi truy xuất tất ra các mạng bên ngoài qua card mạng eth0.

- Lệnh thứ hai: chuyển đổi địa chỉ IP nguồn của các gói dữ liệu thuộc mạng

192.168.20.0/24 một cách tự động tước khi truy xuất ra các mạng bên ngoài qua card mạng eth0.

Cuối cùng dùng lệnh sau để lưu lại những cấu hình trên:

#iptables-save >/etc/sysconfig/iptables

3. Cấu hình iptables NAT tĩnh

- Ta có một WebServer có địa chỉ 203.113.245.10/24 và hai mạng nội bộ là

192.168.10.0/24192.168.20.0/24. Để các máy ngoài internet kết nối được với Web Server và Mail Server, hai mạng nội bộ kết nối được với internet ta cấu hình iptables nat như sau:

#iptables –t nat –A PREROUTING –d 203.113.245.10 –i eth0 –j DNAT --to-destination 192.168.10.1

#iptables –t nat –A POSTROUTING –s 192.168.10.1 –o eth0 –j SNAT --to-source 203.113.245.10

#iptables –A FORWARD –t filter –m state--state NEW,ESTABLISHED,RELATED –o eth0 –j ACCEPT #iptables-save >/etc/sysconfig/iptables

- Lệnh thứ nhất: Chuyển đổi địa chỉ mạng đích của gói dữ liệu từ bên ngoài card eth0 đi vào có địa chỉ mạng đích là 203.113.245.10 thành địa chỉ mạng đích 192.168.10.1

- Lệnh thứ hai: Chuyển đổi địa chỉ mạng nguồn của gói dữ liệu từ bên trong đi ra có địa chỉ mạng nguồn là 192.168.10.1 thành địa chỉ mạng nguồn 203.113.245.10 và ra card eth0.

- Lệnh thứ ba: Tạo luật cho phép các gói tin từ bên ngoài vào trong mạng nội bộ.

- Lệnh thứ tư: Tạo luật cho phép các gói tin từ trong mạng nội bộ ra bên ngoài.

- Lệnh cuối cùng là lưu thông tin cấu hình và tập tin cấu hình của iptables.

V. CẤU HÌNH DHCP SERVER 1. Giới thiệu

- Khi quản trị một hệ thống mạng, thường ta phải cung cấp một địa chỉ IP cho mỗi máy tính khác nhau để các máy này có thể liên lạc được với nhau. Với mô hình mạng tương đối nhỏ (khoảng 10 đến 20 máy), việc cung cấp IP cho mỗi máy tính trong mạng thì tương đối dễ dàng cho một người quản trị, chỉ việc sử dụng vài thao tác quen thuộc trong việc gán các địa chỉ IP. Nhưng nếu đối với một mô hình mạng lớn ( từ 20 máy trở lên ) thì việc cung cấp IP như thế là thật sự mệt mỏi và khó khăn, thỉnh thoảng nếu có vấn đề di chuyển thường xuyên giữa những máy tính với nhau thì đây là một công việc khá phức tạp và phí sức.

- Chính vì những lý do như thế mà ngày nay, hầu hết trên tất cả các hệ điều hành đều cung cấp cho chúng ta một dịch vụ để giải quyết vấn đề cần thiết trên, đó là dịch vụ cung cấp địa chỉ IP động DHCP (Dynamic Host Configuration Protocol ).

- Không những cung cấp được IP mà dịch vụ trên còn đưa ra cho chúng ta nhiều tính năng để cung cấp những yếu tố khác cho các máy client, ví dụ như cung cấp địa chỉ của máy tính dùng để giải quyết tên miền DNS, địa chỉ của một Gateway Router, địa chỉ máy WINS .v.v...

o Options: Dùng để cung cấp các yếu tố cho phía client như địa chỉ IP, địa chỉ subnet mask, địa chỉ Gateway, địa chỉ DNS .v.v…

o Scope: Một đoạn địa chỉ được quy định trước trên DHCP server mà chúng ta sẽ dùng để gán cho các máy client.

o Reservation: Là những đoạn địa chỉ dùng để “để dành” trong một scope mà chúng ta đã quy định ở trên.

o Lease: Thời gian “cho thuê” địa chỉ IP đối với mỗi client.

2. Cài đặt

- Để sử dụng được dịch vụ DHCP, ta phải cài đặt vào hệ thống thông thường bằng gói dịch vụ có sẵn trên đĩa CD có phần đuôi mở rộng là .rpm, ngoài ra chúng ta có thể cài đặt gói ở dạng source code.

- Ta sử dụng gói dhcp-3.0.6-10.fc8.i386.rpm cho Fedora 8. Chạy lệnh sau để cài đặt:

# rpm –ivh dhcp-3.0.6-10.fc8.i386.rpm

3. Cấu hình DHCP Server

- Sau khi hoàn tất xong quá trình cài đặt, chúng ta sẽ cấu hình dịch vụ DHCP bằng cách tạo và sửa đổi file #/etc/dhcpd.conf. Ta cần một DHCP Server cấp ip cho hai mạng là: Mạng 192.168.10.0/24 và mạng

Hình 5.3.1: Cấu hình file httpd.conf.

o Dns-update-style interim: Không cho phép máy chủ DHCP cập nhật động DNS.

o Ignore clien-update : DHCP bỏ qua các yêu cầu cập nhật DHCP từ các máy con.

o Default-lease-time: Là khoảng thời gian mà những tham số ấn định của máy chủ DHCP cho máy con có hiệu lực đối với những máy con không yêu cầu gia hạn thời gian sử dụng (expiration time).

o Max –lease-time: Là khoảng thời gian lớn nhất mà những tham số ấn định của máy chủ DHCP cho máy con có hiệu lực đối với những máy con có yêu cầu gia hạn thời gian sử dụng.

o Option subnet-mask: là địa chỉ Subnet Mask, mà máy chủ DHCP cấp cho máy con.

o Option Routers: là địa chỉ Default Gateway mà máy chủ DHCP cấp cho máy con.

o Option domain-name-server: là địa chỉ DNS Server mà máy chủ DHCP cấp cho máy con.

o Range: Là khoảng IP mà máy chủ DHCP cấp cho các máy con.

4. Khởi động dịch vụ DHCP

Ta chạy các lệnh sau để khởi động, ngừng hay khởi động lại dịch vụ dhcp:

# service dhcpd start # service dhcpd stop # service dhcpd restart

5. Kiểm tra dịch vụ DHCP

- Từ máy client của 2 lớp mạng 192.168.10.0/24192.168.20.0/24 để chế độ tự động cập nhật IP:

Hình 5.5.1: Chế độ IP động của máy client.

Hình 5.5.2: Lớp 192.168.10.0/24 đã được cấp IP.

Một phần của tài liệu THIẾT LẬP ROUTER TRÊN HỆ ĐIỀU HÀNH LINUX (Trang 100 - 117)

Tải bản đầy đủ (DOC)

(117 trang)
w