3.2.2.1. Ethernet
Công nghệ Ethernet đã được xây dựng và chuẩn hoá để thực hiện các chức năng mạng lớp đường dữ liệu và lớp vật lý. Công nghệ này hỗ trợ cung cấp rất tốt các dịch vụ kết nối điểm - điểm với cấu trúc tô-pô mạng phổ biến theo kiểu ring và hub and spoke. Với cấu hình hub and spoke, trong các mạng cơ quan, khu văn phòng thường triển khai các nút mạng là các thiết bị Switch/Chuyển mạch. Nút mạng đóng vai trò là Gateway/Cổng kết nối kép (dual home) với nút
mạng thực hiện chức năng POP (Point Of Present) của nhà cung cấp dịch vụ để tạo nên cấu trúc mạng. Cách tổ chức mạng này xét về khía cạnh kinh tế là tương đối đắt, bù lại mạng có độ duy trì mạng cao và có khả năng mở rộng nâng cấp dung lượng .
Mạng tổ chức theo cấu trúc tô-pô ring được áp dụng nhiều vì có tính hiệu quả về mặt tiết kiệm chi phí đầu tư xây dựng mạng ban đầu. Tuy nhiên, một trong những yếu điểm của cấu trúc mạng kiểu này là không hiệu quả khi triển khai thuật toán định tuyến phân đoạn hình cây (Spanning-Tree-Algorithm); là một trong những thuật toán định tuyến quan trọng áp dụng trong mạng Ethernet do những hạn chế của cơ chế bảo vệ và dung lượng băng thông hữu hạn của vòng ring. Cụ thể là thuật toán định tuyến phân đoạn hình cây trong nhiều trường hợp sẽ thực hiện chặn một vài phân đoạn tuyến trong ring, điều này sẽ làm giảm dung lượng băng thông làm việc của vòng ring. Một điểm nữa là thuật toán định tuyến phân đoạn hình cây có thời gian hội tụ dài hơn nhiều so với thời gian hồi phục đối với cơ chế bảo vệ của vòng ring (tiêu chuẩn là 50ms).
* Ưu điểm của công nghệ Ethernet:
Công nghệ Ethernet có những ưu điểm nổi bật là:
- Công nghệ Ethernet có khả năng hỗ trợ rất tốt cho ứng dụng truyền tải dữ liệu ở tốc độ cao và có đặc tính lưu lượng mạng tính đột biến và tính “bùng nổ”.
- Cơ cấu truy nhập CSMA/CD công nghệ Ethernet cho phép truyền tải lưu lượng với hiệu xuất băng thông và thông lượng truyền tải lớn. Thuận lợi trong việc kết nối cung cấp dịch vụ cho khách hàng. Không đòi hỏi khách hàng phải thay đổi công nghệ, thay đổi hoặc nâng cấp mạng nội bộ , giao diện kết nối.
Theo thống kê, có tới 95% lưu lượng phát sinh bởi các ứng dụng truyền tải dữ liệu là lưu lượng Etheret. Điều này xuất phát từ thực tế là hấu hết các mạng truyền dữ liệu của các cơ quan, tổ chức (mạng LAN, MAN, mạng Intranet) hiện tại đều được xây dựng trên cơ sở công nghệ Ethernet. Sự phổ biến của công nghệ Ethernet tại lớp truy nhập sẽ tạo điều kiện rất thuận lợi cho việc kết nối hệ
thống với độ tương thích cao nếu như xây dựng một mạng dựa trên cơ sở công nghệ Ethernet. Điều này sẽ dẫn tới việc giảm đáng kể chi phí đầu tư xây dựng mạng.
Mạng xây dựng trên cơ sở công nghệ Ethernet có khả năng mở rộng và nâng cấp dễ dàng do đặc tính của công nghệ này là chia sẻ chung tiện ích băng thôngtruyền dẫn và không thực hiện cơ cấu ghép kênh phân cấp. Hầu hết các giao thức, giao diện truyền tải ứng dụng trong công nghệ Ethernet đã được chuẩn hoá (họ giao thức IEEE.802.3). Phần lớn các thiết bị mạng Ethernet của các nhà sản xuất đều tuân theo các tiêu chuẩn trong họ tiêu chuẩn nói trên. Việc chuẩn hoá này tạo điều kiện kết nối dễ dàng, độ tương thích kết nối cao giữa các thiết bị của các nhà sản xuất khác nhau quản lý mạng đơn giản .
* Nhược điểm của công nghệ:
Nếu chỉ xét công nghệ Ethernet một cách độc lập, bản thân công nghệ này tồn tại một số nhược điểm sau đây:
- Công nghệ Ethernet phù hợp với cấu trúc mạng theu kiểu cấu trúc TOPO hình cây mà không phù hợp với cấu trúc mạng ring (dạng vòng). Điều này xuất phát từ việc công nghệ Ethernet thực hiện chức năng định tuyến trên cơ sở thuật toán định tuyến phân đoạn hình cây (Spanning-Tree- Algorithm); là một trong những thuật toán định tuyến quan trọng áp dụng trong mạng Ethernet. Cụ thể là thuật toán định tuyến phân đoạn hình cây trong nhiều trường hợp sẽ thực hiện chặn một vài phân đoạn tuyến trong ring, điều này sẽ làm giảm dung lượng băng thông làm việc của vòng ring.
- Thời gian thực hiện bảo vệ phục hồi lớn. Điều này cũng xuất phát từ nguyên nhân là thuật toán định tuyến phân đoạn hình cây có thời gian hội tụ dài hơn nhiều so với thời gian hồi phục đối với cơ chế bảo vệ của vòng ring (tiêu chuẩn là 50 ms).
- Không phù hợp cho việc truyền tải loại hình ứng dụng có đặc tính lưu lượng nhạy cảm với sự thay đổi về trễ truyền tải (jitter) và có độ ì
(latency) lớn. Chưa thực hiện chức năng đảm bảo chất lượng dịch vụ (QoS) cho những dịch vụ cần truyền tải có yêu cầu về QoS.
* Khả năng áp dụng:
Công nghệ Ethernet có thể phù hợp triển khai cho việc xây dựng lớp mạng lõi truy nhập, đảm bảo thực hiện chức năng “thu gom” dịch vụ, tích hợp dịch vụ tại phân lớp truy nhập của mạng. Điều này tính khả thi do do tính tương thích cao về giao diện kết nối và công nghệ đối với khách hàng vì như đã nói ở trên, mạng Ethernet được triển khai hầu hết đối với các mạng nội bộ. Việc áp dụng công nghệ Ethernet ở phân lớp mạng nào còn phụ thuộc vào qui mô, phạm vi của mạng cần xây dựng và còn phụ thuôc vào cấu trúc tô-pô mạng được lựa chọn phù hợp với mạng cần xây dựng.
3.2.2.2. Token Ring:
Ngoài Ethernet LAN một công nghệ LAN chủ yếu khác đang được dùng hiện nay là Token Ring. Nguyên tắc của mạng Token Ring được định nghĩa trong tiêu chuẩn IEEE 802.5. Mạng Token Ring có thể chạy ở tốc độ 4Mbps hoặc 16Mbps.
Phương pháp truy cập dùng trong mạng Token Ring gọi là Token passing. Token passing là phương pháp truy nhập xác định, trong đó các xung đột được ngǎn ngừa bằng cách ở mỗi thời điểm chỉ một trạm có thể được truyền tín hiệu. Điều này được thực hiện bằng việc truyền một bó tín hiệu đặc biệt gọi là Token (mã thông báo) xoay vòng từ trạm này qua trạm khác. Một trạm chỉ có thể gửi đi bó dữ liệu khi nó nhận được mã không bận.
* Hoạt động của Token ring:
Token ring bao gồm một số lượng các repeater, mỗi repeater được kết nối với 2 repeater khác theo một chiều truyền dữ liệu duy nhất tạo thành một vòng khép kín.
Để một ring có thể hoạt động được thì cần phải có 3 chức năng đó là: chức năng đưa dữ liệu vào ring, lấy dữ liệu từ ring và gỡ bỏ gói tin, các chức năng này được thực hiện bởi các repeater.
Trong ring các dữ liệu được đóng gói thành các frame. trong đó có một trường địa chỉ đích. khi gói tin đi qua các repeater thì trường địa chỉ sẽ được copy xuống. và so sánh với đại chỉ của trạm, nếu giống nhau thì phần còn lại của frame sẽ được copy và gói tin tiếp tục được gởi đi.
Việc gỡ bỏ một gói tin trong ring thì phức tạp hơn so với dạng bus. Để gỡ bỏ các gói tin ta có hai cách để lựa chọn:
- Cách thứ nhất là sử dụng một repeater chuyên làm nhiệm vụ gỡ bỏ các gói tin nó được xác định rõ địa chỉ.
- Cách thứ hai các gói tin được gỡ bỏ bàng chính trạm gởi gói tin đó.
Thông thường vẫn thường dùng cách thứ hai vì có hai ưu điểm đó là tạo ra một cơ chế trả lời tự động hai là có thể truyền một gói tin đến nhiều trạm đích.
3.2.2.3. FDDI
FDDI là kỹ thuật LAN đắt tiền hai vòng cáp quang. Một vòng được coi là vòng chính và vòng thứ hai để thay thế vòng chính nếu xảy ra sự cố.
Hình 3-12 : Mô hình mạng FDDI
FDDI sử dụng một phương thức truy cập chuyển token tương tự như Token ring. Giống như Token ring, FDDI cũng có khả năng dò tìm và sửa lỗi. Trong một vòng FDDI hoạt động thong thường, token luôn truyền bởi mỗi máy. Nếu
không thấy token trong thời gian tối đa luân chuyển quanh một vòng, thì có nghĩa là đã xảy ra một vấn đề gì đó, chẳng hạn như đứt cáp.
Cáp sợi quang được sử dụng với FDDI có thể cho phép tải một lượng dữ liệu lớn trên các khoảng cách lớn.
3.3. Mô hình thiết kế mạng LAN
3.3.1. Mô hình phân cấp (Hierarchical models):
Cấu trúc:
- Lớp lõi (Core Layer ): đây là trục sương sống của mạng (backbone) thường dùng các bộ chuyển mạch có tốc độ cao(Hight- Speed Switching) thường có các đặc tính như độ tin cậy cao, công suất dư thừa, khả năng tự khắc phục lỗi, khả năng thích nghi cao, đáp ứng nhanh, dễ quản lý, khả năng lọc gói, hay lọc các tiến trình trong mạng.
- Lớp phân tán(Distribution Layer): Là danh giới giữa lớp truy nhập và lớp lõi của mạng. Lớp phân tán đảm bảo chức năng như đảm bảo gửi dữ liệu đến từng phân đoạn, đảm bảo an ninh an toàn, đoạn mạng theo từng nhóm công tác, chia miền Broadcast/multicast, định tuyến giữa các LAN ảo (VLAN), chuyển môi trường chuyền dẫn, định tuyến giữa các miền, tạo biên giới giữa các miền trong định tuyến
SVTH: Bùi Thùy Trang 57 Lớp: K11E
Access
Distribution
Core
tĩnh và động, thực hiện các bộ lọc gói ( theo địa chỉ theo số hiệu cổng), thực hiện các cơ chế đảm bảo chất lượng dịch vụ QOS.
- Lớp truy nhập (Access Layer): cung cấp các khả năng truy nhập cho người dùng cục bộ hay từ xa truy nhập vào mạng. Thường được thực hiện bằng các bộ chuyển mạch (switch) trong môi trường campus, hay công nghệ WAN.
Đánh giá mô hình: - Giá thành thấp. - Dễ cài đặt. - Dễ mở rộng. - Dễ cô lập lỗi.
3.3.2. Mô hình an ninh - an toàn:
- An toàn và bảo mật luôn là lý do khiến chúng ta chọn giải pháp lắp đặt kiểu mạng dựa trên máy phục vụ.
- Trong môi trường dựa trên máy phục vụ, chế độ bảo mật do người quản trị mạng quản lý, bằng cách đặt ra các chính sách và áp đặt các chính sách ấy cho từng người dùng trên mạng.
• Khái niệm:
- Theo mội định nghĩa rộng thì an ninh – an toàn mạng dùng riêng, hay mạng nội bộ là giữ không cho ai làm cái mà mạng nội bộ đó không muốn cho làm.
- Vậy khi kết nối LAN phải triển khai cơ chế nào để thực hiện yêu cầu an ninh an toàn. Chúng ta gọi đó là an ninh an toàn mạng.
- Tài nguyên mà chúng ta muốn bảo vệ là gì? - Là các dịch vụ mà mạng đang triển khai
- Là các thông tin quan trọng mà mạng đó đang lưu giữ, hay cần lưu chuyển .
- Là các tài nguyên phần cứng và phần mềm mà hệ thống mạng đó có để cung ứng cho những người dùng mà nó cho phép.
- Nhìn từ một khía cạnh khác thì vấn đề an ninh an toàn khi thực hiện kết nối LAN còn được thể hiện qua tính bảo mật (confidentiality ), tính toàn vẹn (integrity) và tính sẵn dùng (availability) của các taì nguyên về phần cứng, phần mềm, dữ liệu và các dịch vụ của hệ thống mạng.
- Vấn đề an ninh - an toàn còn thể hiện qua mối quan hệ giữa người dùng với hệ thống mạng và tài nguyên trên mạng. Các quan hệ này được xác định , được đảm bảo qua các phương thức xác thực (authentication ), xác định được phép (authorization ) dùng và bị từ chối (repudiation ). Chúng ta sẽ xét chi tiết:
• Tính bảo mật:
Bảo đảm tài nguyên mạng không bị tiếp xúc, bị sử dụng bởi người không có thêm quyền. Chẳng hạn dữ liệu truyền đi trên mạng được đảm bảo không bị lấy trộm cần được mã hoá trước khi truyền. Các tài nguyên đó đều có chủ và được bảo vệ bằng các công cụ và các cơ chế an ninh- an toàn.
• Tính toàn vẹn:
Đảm bảo không có việc sử dụng, và sửa đổi nếu không được cho phép, ví dụ như lấy hay sửa đổi dữ liệu, cũng như thay đổi cấu hình hệ thống bởi những người không được phép hoặc không có quyền. Thông tin lưu hay truyền trên mạng và các tệp cấu hình hệ thống luôn được đảm bảo giữ toàn vẹn. Chúng chỉ được sử dụng và được sửa đổi bởi những người chủ của nó hay được cho phép.
• Tính sẵn dùng:
Tài nguyên trên mạng luôn được đảm bảo không thể bị chiếm giữ bởi người không có quyền. Các tài nguyên luôn sẵn sàng phục vụ những người được phép sử dụng. Những người có quyền có thể được dùng bất cứ khi nào. Thuộc tính này rất quan trọng, nhất là trong các dịch vụ mạng phục vụ công cộng (ngân hàng, tư vấn, chính phủ điện tử,…).
• Việc xác thực:
Thực hiện xác định người dùng được quyền dùng một tài nguyên nào đó ngư thông tin hay tài nguyên phần mềm và phần cứng trên mạng. Việc xác thực thường kết hợp với sự cho phép, hay từ chối phục vụ. Xác thực thường được dùng là mật khẩu (password), hay căn cước của người dùng như vân tay hay các dấu hiệu đặc dụng. Sự cho phép xác định người dùng được quyền thực hiện một hành động nào đó như đọc ghi một tệp (lấy thông tin ), hay chạy chương trình (dùng tài nguyên phần mềm), truy nhập vào một đoạn mạng (dùng tài nguyên phần cứng), gửi hay nhận thư điện tử, tra cứu cơ sở dữ liệu, dịch vụ mạng… Người dùng thường phải qua giai đoạn xác thực bằng mật khẩu (password, RADIUS …) trước khi được phép khai thác thông tin hay một tài nguyên nào đó trên mạng.
* Xây dựng an ninh - an toàn mạng khi kết nối LAN như thế nào?
• Các bước xây dựng:
- Xác định cần bảo vệ cái gì?
- Xác định bảo vệ khỏi những loại tấn công nào ? - Xác định những mối đe doạ an ninh có thể ? - Xác định các công cụ đẻ đảm bảo an ninh ? - Xây dựng mô hình an ninh - an toàn.
Thường kiểm tra các bước trên, nâng cấp, cập nhật và hệ thống khi có một lỗ hổng an ninh - an toàn được cảnh báo.
Mục đích của việc xây dụng mô hình an ninh - an toàn khi kết nối LAN là xây dựng các phương án để triển khai vấn đề an ninh - an toàn khi kết nối và đưa LAN vào hoạt động.
Đầu tiên mục đích và yêu cầu về vấn đề an ninh - an toàn hệ thống ứng dụng phải được vạch ra rõ ràng.
Chẳng hạn mục tiêu và yêu cầu an ninh - an toàn khi kết nối LAN cho các cơ quan hành chính nhà nước sẽ khác với việc kết nối LAN cho các trường đại học.
Thứ hai, mô hình an ninh - an toàn phải phù hợp với các chính sách, nguyên tặc và luật lệ hiện hành.
Thứ ba, phải giải quyết cá vấn đề liên quan đến an ninh - an toàn một cách toàn cục. Có nghĩa là phải đảm bảo cả về phương tiện kỹ thuật và con người triển khai.
3.3.3. Một số công cụ triển khai mô hình an ninh - an toàn
Hệ thống tường lửa 3 phần (three-part firewall System) - Hệ thống tường lửa là gì?
Tường lửa là một công cụ phục vụ cho việc thực hiện an ninh – an toàn mạng từ vong ngoài, nhiệm vụ của nó như là hệ thống hàn rào vong ngoài của cơ sở cần bảo vệ. Khi kết nối hai hay nhiều phần tử của LAN nguy cơ mất an ninh tại các điểm kết nối là rất lớn, tường lửa là công cụ được chọn đặt tại các điểm kết nối đó.
Tường lửa trong tiếng Anh là Firewall, là ghép của hai từ fireproof và wall nghĩa là ngăn không cho lửa cháy lan. Trong xây dung, tường lửa được thiết kế để ngăn không cho lửa cháy lan từ phần này của toà nhà sang phần khác của toà