5. Giới thiệu
6.2 Triển khai mạng campus hỗ trợ hội thoại
Ưu điểm của mạng chuyển mạch gói so với mạng chuyển mạch kênh :
- Sử dụng băng thông và thiết bị hiệu quả hơn : Mạng điện thoại truyền thống sử dụng kênh 64-kbps cho mọi cuộc gọi. Mạng
SVTH: TRẦN THỊ CA- 49THM Page 138 chuyển mạch gói chia sẻ băng thông giữa nhiều kết nối, giúp giảm tải lưu lượng thông tin trên các thiết bị chuyển mạch hiện có.
- Giá thành rẻ hơn : Trong mạch chuyển mạch kênh, số lượng thiết bị phục vụ cho việc truyền tải là rất lớn. Mạng chuyển mạch gói tích hợp cả truyền thoại và dữ liệu nên tiết kiệm được nhiều chi phí trong việc vận hành và số lượng thiết bị tham gia.
- Tăng doanh thu từ các loại hình dịch vụ mới : với mạng chuyển mạch gói, một số lượng lớn các dịch vụ mới được ra đời, ví dụ như truyền thoại chất lượng cao, đàm thoại thời gian thực … Những dịch vụ này thực sự rất tiện ích và được sử dụng nhiều, mang lại lợi nhuận cao so với các dịch vụ cơ bản của mạng thoại truyền thống.
- Truy cập đến các thiết bị giao tiếp mới : Mạng chuyển mạch gói có thể giao tiếp với các thiết bị mới, ví dụ như máy tính, các thiết bị không dây, thiết bị gia đình … Người sử dụng bây giờ có thể theo dõi tình hình nhà cửa của mình qua camera trong khi đang đi nghỉ ở xa, truy cập dữ liệu ở nhà từ công ty …
- Cấu trúc giá thành mới linh hoạt hơn : các công ty và nhà cung cấp dịch vụ có thể đưa ra nhiều gói dịch vụ tương ứng các mức giá khác nhau. Gói cấp cao cung cấp các dịch vụ với chất lượng cao, gói cấp trung với số lượng dịch vụ ít hơn, chất lượng thấp hơn … Việc này là rất dễ dàng vì các nhà cung cấp có thể tùy chỉnh băng thông của mạng.
SVTH: TRẦN THỊ CA- 49THM Page 139
6.2.2 Các thành phần của mạng VoIP
Hình 6.16 Các thành phần của mạng VoIP
IP phone : truyền thoại tới máy tính hay một IP phone khác.
- Gatekeeper : kiểm tra đăng nhập, quản lý băng thông, phân giải địa chỉ.
- Gateway : được sử dụng khi có sự liên lạc giữa mạng VoIP với mạng điện thoại truyền thống.
- Mutilpoint control unit (MCU) : hỗ trợ hội thoại đa điểm, hội nghị trực tuyến …
- Call agent : quản lý cuộc gọi cho các IP phone, quản lý băng thông và phân giải địa chỉ.
- Application server : cung cấp các dịch vụ như thư thoại, video call …
- Các điểm hội thảo truyền hình : cho phép nhiều người có thể cùng tham gia vào một hoạt động, như hội thảo truyền hình. Nó bao gồm một thiết bị thu hình và một thiết bị thu âm thanh. Người dùng có thể xem hình ảnh và âm thanh từ các điểm hội thảo khác.
SVTH: TRẦN THỊ CA- 49THM Page 140 Các thành phần khác, như các phần mềm truyền thoại, hệ thống IVR … cung cấp các dịch vụ bổ sung khác.
6.2.3 Đặc điểm của quá trình truyền thoại và truyền dữ liệu 6.2.3.1 Đặc điểm của quá trình truyền thoại 6.2.3.1 Đặc điểm của quá trình truyền thoại
- Quá trình truyền thoại yêu cầu chất lượng dịch vụ rất nghiêm ngặt, đòi hỏi sự thông suốt trong cả tiến trình.
- Mặc dù gói tin thoại thường rất nhỏ (từ 60 đến 120 byte), nhưng chúng không được phép xảy ra tình trạng trễ hay mất gói tin. Hệ quả của việc trễ hay mất gói tin sẽ gây ảnh hưởng nghiêm trọng đến chất lượng cuộc gọi. Giao thức UDP thường được sử dụng để truyền các gói tin thoại. Khả năng truyền lại gói tin của giao thức TCP không có nhiều ý nghĩa khi mà việc truyền thoại xảy ra trong thời gian thực.
- Để đạt được một cuộc gọi chất lượng, độ trễ của gói tin phải dưới 150 ms, số lượng gói tin bị mất dưới 1%.
- Một cuộc gọi thường yêu cầu từ 17 – 106 kbps băng thông cố định, cộng với 150 bps cho mỗi cuộc gọi (dùng để quản lý lưu lượng thoại). Nhân các yêu tố trên với số lượng cuộc gọi có thể xảy tra ở giờ cao điểm, ta được số lượng băng thông yêu cầu cho việc truyền thoại.
6.2.3.2 Đặc điểm của quá trình truyền dữ liệu
Yêu cầu về chất lượng dịch vụ của việc truyền dữ liệu rất khác nhau.
Các ứng dụng khác nhau (ví dụ, ứng dụng nhân sự và ứng dụng rút tiền ATM) có những yêu cầu khác nhau về chất lượng dịch vụ. Ngay cả các phiên bản khác nhau của cùng một ứng dụng cũng có những yêu cầu khác nhau về chất lượng dịch vụ.
SVTH: TRẦN THỊ CA- 49THM Page 141 Quá trình truyền dữ liệu có những điểm khác so với quá trình truyền thoại, nó cho phép việc trễ hay mất gói tin. Gần như tất cả mọi ứng dụng đều chấp nhận độ trễ vừa phải và thậm chí là chấp nhận tỉ lệ mất gói tin cao.
Chính vì đặc điểm này, cơ chế truyền lại của giao thức TCP trở nên hết sức quan trọng, cho nên rất nhiều ứng dụng dữ liệu đã chọn TCP làm giao thức truyền tải dữ liệu.
Việc xác định kiểu của gói tin là hết sức quan trọng. Với TCP/IP, hầu hết các ứng dụng có thể xác định thông quá số cổng TCP hay UDP của ứng dụng.
Tuy nhiên, một số ứng dụng lại sử dụng dynamic port (cổng thay đổi động), điều này làm cho việc xác định kiểu gói tin khó khăn. May mắn thay, các ISO của Cisco hỗ trợ chế độ nhận dạng ứng dụng dựa trên nền mạng (NBAR), có thể nhận dạng các ứng dụng sử dụng dynamic port.
6.2.4 Lưu lượng của cuộc gọi VoIP
Các cuộc gọi VoIP có thể tranhg chấp băng thông với các ứng dụng dữ liệu khác. Nếu một máy tính và một điện thoại IP ở trên cùng một VLAN, chúng sẽ tận dụng hết băng thông có thể mà không quan tâm đến nhu cầu các thiết bị khác. Để tránh trường hợp này, ta sử dụng 2 VLAN, một cho VoIP, một cho máy tính. Sau đó, ta có thể áp dụng QoS để ưu tiên lưu lượng VoIP.
Một thành phần quan trọng trong mạng điện thoại IP đó là thiết kế băng thông dự phòng. Bạn có thể tính toán băng thông cần thiết bằng cách thêm băng thông dự phòng cho mỗi ứng dụng quan trọng, bao gồm thoại, video, dữ liệu.
SVTH: TRẦN THỊ CA- 49THM Page 142
6.2.5 Auxiliary VLANs (VLAN phụ)
Hình 6.17 VLAN phụ
Một số switch Catalyst hỗ trợ tính năng “VLAN phụ” hay còn gọi là “VLAN thoại”. VLAN phụ cho phép ta chồng một topology thoại lên một mạng dữ liệu. Ta có thể chia số điện thoại ra thành nhiều mạng logic, cho dù cơ sở hạ tầng để truyền thoại và dữ liệu là một.
VLAN phụ đặt các máy điện thoại vào VLAN riêng của chúng mà không cần sự can thiệp của người dùng. Người dùng chỉ việc gắn điện thoại IP với switch, và switch sẽ cung cấp cho điện thoại IP các thông tin VLAN cần thiết. Hơn thế nữa, khi điện thoại IP được chuyển đến địa điểm mới, các thông tin về VLAN của chúng vẫn được lưu giữ.
Lợi ích từ việc sử dụng VLAN phụ đó là người quản trị mạng có thể dễ dàng quản lý, dễ dàng xác định lỗi phát sinh trong mạng. Thêm nữa, người quản trị có thể tạo và thi hành QoS hay các chính sách bảo mật, tận dụng tối đa cơ sở hạ tầng mạng …
SVTH: TRẦN THỊ CA- 49THM Page 143
6.2.6 QoS (Chất lượng dịch vụ)
Hình 6.18 QoS trong mạng VoIP
Dù là một mạng con, mạng nhỏ cho đến mạng doanh nghiệp, nhà cung cấp mạng, tất cả các nhà mạng đều tận dụng khả năng QoS để tối ưu hiệu quả công việc. QoS sử dụng các đặc trưng và tính năng của ứng dụng để đáp ứng các yêu cầu về độ trễ, mất gói tin của chúng … các ứng dụng quan trọng sẽ được ưu tiên hơn.
IOS của Cisco đưa ra tính năng QoS với các lợi ích :
- Độ ưu tiên truy cấp tài nguyên : Người quản trị có thể quản lý việc truy cập tài nguyên, ví dụ như băng thông, thiết bị … Các gói tin của ứng dụng quan trọng sẽ được thiết đặt độ ưu tiên cao và chúng có thể chiếm hữu băng thông bởi vì QoS sẽ drop các gói tin có độ ưu tiên thấp .
- Quản lý tài nguyên một cách hiệu quả : Nếu các công cụ quản lý phát hiện ra ứng dụng đang theo dõi xảy ra hiện tượng trễ, mất gói tin, ta có thể sử dụng các công cụ của QoS để điều chỉnh lại cho phù hợp.
- Các dịch vụ phù hợp : các nhà cung cấp dịch vụ mạng (ISP) có thể đưa ra các gói dịch vụ phù hợp cho khách hàng. Ví dụ, một ISP có thể đưa ra một gói dịch vụ cho một website có lưu lượng truy cập 3000-4000 lượt/ngày , và một dịch vụ khác cho website chỉ có lưu lượng 200-300 lượt/ngày.
- Sự thỏa thuận chung giữa các ứng dụng quan trọng : các ứng dụng quan trọng nhận được độ ưu tiên truy cập tới tài nguyên mạng, trong khi vẫn xử lý
SVTH: TRẦN THỊ CA- 49THM Page 144 đầy đủ các ứng dụng không yêu cầu độ trễ. Các ứng dụng thoại và truyền thông đa phương tiện yêu cầu độ trễ thấp và độ ưu tiên truy cập tài nguyên. Các ứng dụng khác ko quan trọng cũng được truyền đi trên cùng đường truyền, ví dụ như Simple Mail Transfer Protocp (SMTP) trên TCP, vẫn được phục vụ thích hợp.
6.2.7 Tầm quan trọng của tính sẵn sàng cao trong VoIP.
Mạng điện thoại truyền thống cố gắng đảm bảo đến 99,999 % thời gian hoạt động cho người dùng. Rất nhiều mạng dữ liệu không thể đạt được tỉ lệ này. Để cung cấp cho người dùng các dịch vụ với chất lượng tương đương hay gần tương đương với mạng thoại truyền thống, độ tin cậy và tính sẵn sàng chính là chìa khóa để giải quyết vấn đề đó.
Độ tin cậy là thước đo cho tính đàn hồi của một mạng. Các biện pháp để đảm bảo độ tin cậy bao gồm lựa chọn phần cứng và phần mềm với thời gian trung bình giữa các lần lỗi thấp, hoặc lắp đặt các phần cứng và liên kết dự phòng. Tính sẵn có là một thước đo về khả năng truy cập mạng của người dùng. Khi người dùng muốn thực hiện cuộc gọi, thì người dùng đó phải luôn truy cập được mạng. Các biện pháp để đảm bảo tính sẵn sàng bao gồm các cài đặt quản lý mạng chủ động để dự đoán lỗi trước khi chúng xảy ra, và tiến hành các bước để sửa vấn đề trong thiết kế của mạng trong quá trình mạng phát triển.
Khi mạng dữ liệu xảy ra sự cố về điện, nó có thể không phục hồi lại được trong vòng vài phút và có thể là vài giờ. Sự chậm trễ này là không thể chấp nhận đối với người dùng thoại. Người dùng trong mạng sẽ cảm nhận được sự gián đoạn này. Do đó, người quản trị mạng phải cung cấp một thiết bị lưu điện (UPS) cho các thiết bị trong mạng. Trước đây, các thiết bị mạng lấy điện trực tiếp từ nguồn. Ngày nay, các thiết bị mạng phải luôn duy trì trạng thái thoạt động, cung cấp các dịch vụ cho các thiết bị đầu cuối, và ngay cả nguồn điện cho các thiết bị đầu cuối.
SVTH: TRẦN THỊ CA- 49THM Page 145 Khi nói đến độ tin cậy của mạng, là bao gồm sự dự phòng trong thiết kế. Trong mạng thoại truyền thống, switch có rất nhiều kết nối dự phòng đến các switch khác. Dù kết nối hay switch xảy ra sự cố, công ty điện thoại vẫn có thể dễ dàng định tuyến cuộc gọi. Đó là lí do mạng thoại truyền thống có tỉ lệ sẵn sàng rất cao.
Tính sẵn sàng cao bao gồm nhiều lĩnh vực của mạng. Để thiết kế một mạng có tính dự phòng đầy đủ, thì các thành phần sau phải luôn được dự phòng :
Máy chủ và quản lý cuộc gọi.
Các thiết bị lớp phân phối, như router hay các Multilayer Switch.
Các thiết bị lớp nhân, như Multilayer Switch.
Các kết nối liên mạng, như kết nối WAN và PSTN gateway.
Nguồn điện và các thiết bị lưu điện.
6.2.8 QoS và lưu lượng thoại trong mạng Campus
Hình 6.19 QoS và lưu lượng trong mạng campus
Một vấn đề thường xảy ra trong mạng đó là việc khác biệt về tốc độ của các switch hay kết nối, sự không đồng bộ giữa các thiết bị, tất cả đều là nguyên nhân gây ra tắc nghẽn và độ trễ. Nếu tính năng quản lý tắc nghẽn ko được sử dụng, một số gói tin sẽ bị drop, tiếp đó quá trình truyền lại gói tin
SVTH: TRẦN THỊ CA- 49THM Page 146 diễn ra và càng gia tăng gánh nặng lên mạng. QoS có thể làm giảm thiểu độ trễ gây ra bởi tắc nghẽn trong các thiết bị campus.
QoS phân loại và đánh dấu dữ liệu tại một thiết bị. Các thiết khác có thể dành ưu tiên hay cho gói tin vào hàng đợi dựa vào dấu hiệu trên mỗi gói tin.
6.2.9 Các lệnh cấu hình mạng hỗ trợ điện thoại IP.
Cấu hình tạo “VLAN thoại” Switchport voice vlan vlan_id
Cấu hình trust và cos Mls qos trust cos
Mls qos trust device cisco-phone Mls qos extend trust
Switchport priority extend cos cos_value
Kiểm tra cấu hình Show interface fa 0/4 switchport Show mls qos interface fa 0/4
Ví dụ :
SVTH: TRẦN THỊ CA- 49THM Page 147
Chương 7 Triển khai bảo mật trong mạng doanh nghiệp
7.1 MAC Layer Attacks: MAC flooding ( Tấn công làm ngập bảng CAM) 7.1.1 Phương thức tấn công 7.1.1 Phương thức tấn công
Kiểu tấn công làm tràn bảng CAM dựa vào điểm yếu của thiết bị chuyển mạch : bảng CAM chỉ chứa được một số hữu hạn các ánh xạ (ví dụ như switch Catalysh 6000 có thể chứa được tối đa 128000 ánh xạ) và các ánh xạ này không phải tồn tại mãi mãi trong bảng CAM. Sau một khoảng thời gian nào đó, thường là 300 s; nếu địa chỉ này không được dùng trong việc trao đổi thông tin thì nó sẽ bị gỡ bỏ khỏi bảng.
Khi bảng CAM được điền đầy, tất cả thông tin đến sẽ được gửi đến tất cả các cổng của nó trừ cổng nó nhận được. Lúc này chức năng của switch không khác gì chức năng của một hub.
Ví dụ:
Hình 7.1 Mô hình tấn công làm ngập bảng CAM
Trong ví dụ trên, host C của kẻ tấn công gửi đi liên tục hàng loạt các bản tin có địa chỉ MAC nguồn là địa chỉ giả mạo (host X và host Y). Switch sẽ cập nhật địa chỉ của các host giả mạo này vào bảng CAM. Kết quả là khi host A gửi tin đến cho host B, địa chỉ của B không tồn tại trong bảng nên gói tin được switch gửi ra các cổng của nó và bản tin A chỉ gửi riêng cho B cũng sẽ được chuyển đến C.
SVTH: TRẦN THỊ CA- 49THM Page 148
7.1.2 Cách phòng chống.
Nguyên lí chung của các phương pháp phòng chống là không để các gói tin có địa chỉ MAC lạ đi qua switch. Phương pháp phòng chống hiệu quả nhất là cấu hình port security trên switch. Đây là một đặc trưng cấu hình cho phép điều khiển việc truy cập vào cổng switch thông qua địa chỉ MAC của thiết bị gắn vào.
Khi switch nhận được một gói tin chuyển đến, nó sẽ kiểm tra địa chỉ MAC nguồn của gói tin với danh sách các địa chỉ đã được cấu hình trước đó. Nếu hai địa chỉ này khác nhau thì tuỳ theo sự cấu hình của người quản trị mà switch sẽ xử lí gói tin đến với các mức độ khác nhau.
Các lệnh cấu hình port-security Câu lệnh Tác dụng Switch(config-if)# switchport mode access Thiết lập cổng về chế độ access Switch(config-if)# switchport port-security
Cho phép cổng được hoạt động trong chế độ port- security.
Switch(config-if)# switchport
port-security maximum value
Cho phép cấu hình số địa chỉ MAC tối đa mà cổng có thể học tự động và cho phép các thiết bị này truyền dữ liệu qua. Mặc định thì cổng chỉ cho phép một địa chỉ MAC (một thiết bị) được gán vào và số địa chỉ có