(LUẬN văn THẠC sĩ) xây dựng hệ thống server hosting cung cấp dịch vụ host web cho mạng lưới website của bộ tư pháp lào

Các thông tin giới thiệu là tổng quan về mạng máy tính bao gồm các thành phần cơ bản, các mô hình truyền thông, kiến trúc mạng cục bộ, các giao thức định tuyến, giao thức TCP/IP, quản tr

XÂY DỰNG HỆ THỐNG SERVER HOSTING CUNG CẤP DỊCH VỤ HOST WEB CHO MẠNG LƯỚI WEBSITE CỦA

BỘ TƯ PHÁP LÀO

LUẬN VĂN THẠC SĨ KỸ THUẬT (Theo định hướng ứng dụng)

XÂY DỰNG HỆ THỐNG SERVER HOSTING CUNG CẤP DỊCH VỤ HOST WEB CHO MẠNG LƯỚI WEBSITE CỦA

WICKY BOUBPHALYVANH

LỜI CẢM ƠN

Học viên xin cảm ơn các giảng viên của Khoa Công nghệ thông tin, KhoaQuốc tế và Đào tạo Sau Đại học, Học viện Công nghệ Bưu chính Viễn thông đã tạođiều kiện thuận lợi cho Học viên trong quá trình học tập và nghiên cứu

Học viên xin chân thành cảm ơn Tiến sĩ Nguyễn Tất Thắng là người đã trựctiếp tận tình hướng dẫn tôi hoàn thành luận văn này

Học viên xin chân thành cảm ơn bạn bè đã sát cánh giúp đỡ tôi để có đượcnhững kết quả luận văn

Vì đề tài nghiên cứu có nội dung bao phủ lớn, mà thời gian nghiên cứu còn hạnhẹp, nên luận văn có thể mắc phải những thiếu sót Học viên rất mong nhận được sựđóng góp ý kiến của các giảng viên

Xin chân thành cảm ơn!

Tác giả luận văn

WICKY BOUBPHALYVANH

DANH MỤC HÌNH VẼ

PHẦN MỞ ĐẦU

Trong thời đại chuyển đổi số mạnh mẽ, công nghệ thông tin trở thành mộttrong những ngành mũi nhọn của Lào, được ứng dụng rộng rãi trong các lĩnh vực xãhội, đời sống, khoa học Sự phát triển mạnh mẽ của công nghệ thông tin đã giúp nhânloại thực hiện nhiều bài toán phức tạp mà trước đây tốn nhiều thời gian, công sức đểgiải quyết đơn giản, nhanh chóng và đạt độ chính xác cao

Là 1 Học viên cao học công nghệ thông tin chuẩn bị tốt nghiệp, một trong cáclĩnh vực hoạt động thực tiễn có thể là xây dựng, quản trị hệ thống server hosting và

hệ thống mạng của các cơ quan, tổ chức Để có thể làm tốt công việc cụ thể như vậy,câu hỏi đặt ra là làm thế nào để có thể áp dụng hiệu quả các kiến thức đã học được từnhà trường vào thực tế? Đồng thời cần bổ sung thêm, mở rộng thêm kiến thức nhưthế nào để phục vụ công tác?

Bản thân Học viên là cán bộ nhân viên CNTT Bộ Tư pháp Lào, cơ quan thựchiện chức năng quản lý nhà nước về công tác xây dựng và thi hành pháp luật, thihành án, xử lý vi phạm, quản lý nhà nước các dịch vụ công trong các lĩnh vực thuộcphạm vi quản lý nhà nước của Bộ Rất nhiều hoạt động, công việc của Bộ có thểđược giải quyết hết sức nhanh chóng nhờ sử dụng CNTT và các nền tảng số

Hiện trạng CNTT hiện nay của Bộ Tư pháp Lào khó có thể đáp ứng hiệu quảhoạt động Để có thể phát huy được thế mạnh của CNTT và bước đầu thực hiệnchuyển đổi số, Bộ cần phát triển hệ thống server hosting dịch vụ host web cho mạnglưới và ứng dụng áp dụng vào hoạt động thực tiễn của đơn vị Với mong muốn đưacác công nghệ và giải pháp mới nhất vào ứng dụng và vận hành công nghệ thông tintrong việc cung cấp các dịch vụ công nghệ cho Bộ Tư pháp Lào để tận dụng tối đasức mạnh của công nghệ thông tin trong việc đưa hệ thống hành chính điện tử đi vàothực tế của cuộc sống

Vì thế Học viên đã chọn đề tài “Xây dựng hệ thống server hosting cung cấp dịch vụ host web cho mạng lưới website của Bộ Tư pháp Lào” Với mong muốn

đem những kiến thức thực tiễn đã được học tại nhà trường để áp dụng vào thực tế

thực hiện việc mô phỏng máy chủ dịch vụ webhosting sẽ chạy và được cài đặt ở máychủ Bộ Tư pháp Lào.

Qua quá trình khảo sát thực tế và sử dụng phần mềm mô phỏng Học viên nắmbắt được việc triển khai và vận hành hệ thống Có thể tự tin khi đưa đề tài vào trongứng dụng thực tiễn

CHƯƠNG 1

TỔNG QUAN VỀ MẠNG MÁY TÍNH

Chương 1 cung cấp các kiến thức cơ bản về mạng máy tính, quản trị và an ninh mạng máy tính Các thông tin giới thiệu là tổng quan về mạng máy tính bao gồm các thành phần cơ bản, các mô hình truyền thông, kiến trúc mạng cục bộ, các giao thức định tuyến, giao thức TCP/IP, quản trị và an ninh mạng máy tính Do phạm vi sử dụng của mạng cục bộ đang phổ biến hiện nay, nên đây là những kiến thức rất hữu ích Hầu hết các công ty, tổ chức, cơ quan sử dụng công nghệ thông tin đều thiết lập mạng cục bộ riêng Học viên cần nắm rõ các khái niệm, thông tin trong chương 1 vì chúng sẽ được sử dụng nhiều trong các chương tiếp theo

1.1. Mạng máy tính

1.1.1 Các loại mạng máy tính

- Mạng cục bộ LANs (Local Area Networks ) [2]: Có giới hạn về địa lý, tốc độ

truyền dữ liệu khá cao, do một tổ chức quản lý, thường dùng multiaccess channels,các kỹ thuật thường dùng: Token Ring: 16 Mbps, Mạng hình sao

- Mạng diện rộng WANS ( Wide Area Networks ) [2]: Không có giới hạn về địa lý,

thường là sự kết nối nhiều LAN, tốc độ truyền dữ liệu khá thấp, do nhiều tổ chứcquản lý, thường dùng kỹ thuật point to point channels, các kỹ thuật thường dùng: cácđường điện thoại, truyền thông bằng vệ tinh

- Mạng MANS (Wide Area Networks ) [2]: Có kích thước vùng địa lý lớn hơn LAN

tuy nhiên nhỏ hơn WAN, do một tổ chức quản lý, thường dùng cáp đồng trục haysóng ngắn

- Internetwork [2]: Kết nối hai hay nhiều mạng riêng biệt, đòi hỏi có các thiết bị

mạng tạo điều kiện thuận lợi cho kết nối này

- Internet [2]: Mạng toàn cầu đặc biệt kết nối mạng của các tổ chức, cá nhân trên thế

giới, kết nối từ máy tính cá nhân đến Internet, kết nối các LAN bởi WAN tạo nênInternet

- Intranet [2]: Là mạng LAN có triển khai các dịch vụ trên Internet

của mạng Có thể dùng các môi trường truyền vật lý khác nhau tùy theo tần số củasóng điện từ để truyền các tín hiệu như dây cáp đồng trục, cáp xoắn, cáp quang, dâyđiện thoại, sóng vô tuyến …

Hình 1-1 Mô hình liên kết các máy tính trong mạng.

Thông lượng của đường truyền hay tốc độ truyền dữ liệu trên đường truyềnđược tính bằng số lượng bit được truyền đi trong một giây (bps) [1, 2]

1.1.3 Các thành phần cơ bản

- Máy tính: Là thiết bị đầu cuối, tương tác trực tiếp với người dùng

- Thiết bị mạng: Access Point kết nối trong mạng không dây, Switch kết nối trongmạng có dây, Router định tuyến kết nối các mạng với nhau.

- Các thiết bị kết nối: gồm đầu nối, card mạng

- Môi trường kết nối: môi trường không dây và có dây

1.1.4 Ứng dụng

Khối lượng thông tin và nhu cầu xử lý ngày một nhiều Mạng máy tính trở nênquá quen thuộc đối với con người, ở nhiều nơi mạng trở thành một nhu cầu khôngthể thiếu, trong mọi lĩnh vực như quốc phòng, khoa học, giáo dục, dịch vụ, thươngmại Việc kết nối các máy tính thành mạng đem lại những khả năng mới to lớn như[2]:

- Sử dụng chung tài nguyên của mạng như dữ liệu, chương trình, thiết bị Khi đó mọithành viên của mạng có thể tiếp cận đến tài nguyên chung ở bất kỳ khoảng cách địalý

- Tăng độ tin cậy của hệ thống, khi có trục trặc trong hệ thống thì có thể khôi phụcnhanh chóng, hoặc cũng có thể sử dụng những trạm khác thay thế Hoặc khi cần bảotrì máy móc, lưu trữ các dữ liệu chung thì rất dễ dàng

- Nâng cao chất lượng và hiệu quả khai thác thông tin, tính thống nhất giữa các dữ

liệu, tăng cường truy cập tới các dịch vụ mạng khác nhau trên thế giới, đáp ứngnhững nhu cầu của hệ thống ứng dụng kinh doanh hiện đại, kết hợp các bộ phận phântán để tăng cường năng lực xử lý

thức kết nối “một điểm – một điểm”, thiết bị này nhận tín hiệu từ các trạm và chuyểnđến trạm đích Thiết bị trung tâm nhận và truyền dữ liệu từ trạm này tới các trạmkhác Thiết bị trung tâm có thể là một bộ chọn đường (router) hoặc một bộ chuyểnmạch (switch), hoặc một bộ phân kênh (Hub), tùy theo yêu cầu truyền thông trongmạng Có nhiều cổng ra và mỗi cổng nối với một máy Theo chuẩn IEEE 802.3 môhình dạng Star thường dùng:

- 100BASE-T: dùng cáp UTP, tốc độ 100 Mb/s, khoảng cách từ thiết bị trung tâm tớitrạm tối đa là 100m

- 10BASE-T: tương tự 100BASE-T nhưng tốc độ 10 Mb/s

 Dạng đường thẳng (Bus) [2]

Ở dạng cấu trúc này các máy tính được nối vào một đường truyền chính (bus).Hai đầu đường truyền chính được giới hạn bởi đầu nối terminator để nhận biết đầucuối và kết thúc đường truyền tại đây Mỗi trạm được nối vào đường truyền chínhqua một bộ thu phát (transceiver) hoặc một đầu nối chữ T (T_connector) Khi mộttrạm truyền dữ liệu, gói tin mang địa chỉ trạm đích, tín hiệu được truyền trên cả haichiều của đường truyền theo từng gói một Khi gói tin đi qua, các trạm nhận lấy,kiểm tra, nếu đúng với địa chỉ của mình thì nhận lấy, còn nếu không thì bỏ qua.Theo chuẩn IEEE 802.3 (cho mạng cục bộ): tốc độ truyền tín hiệu là 1,10 hay

100 Mb/s; BASE hoặc BROAD

10BASE5: Dùng cáp đồng trục lớn (10mm), tốc độ 10 Mb/s, phạm vi tín hiệu500m/segment, tối đa 100 trạm, khoảng cách giữa 2 tranceiver tối thiểu 2,5m

10BASE2: Dùng cáp đồng trục nhỏ (RG 58A), có thể chạy với khoảng cách185m, số trạm tối đa trong 1 segment 30, khoảng cách giữa hai máy tối thiểu 0,5m.Dạng cấu trúc Đường thẳng có ưu điểm ít tốn dây cáp, tốc độ truyền dữ liệucao Tuy nhiên nếu lưu lượng truyền tăng cao dễ gây ách tắc và nếu có trục trặc trênđường truyền chính thì khó phát hiện ra

Hình 1-2 Các loại topology chính trong mạng cục bộ.

1.1.5.2 Đường cápĐường cáp truyền mạng là cơ sở hạ tầng của hệ thống mạng, rất quan trọng vàảnh hưởng nhiều đến khả năng hoạt động của mạng Các loại cáp thường dùng: [4]

 Cáp xoắn cặp: Gồm hai đường dây dẫn đồng xoắn vào nhau nhằm làm giảm

nhiễu điện từ giữa chúng với nhau hoặc do môi trường xung quanh Gồmcáp không bọc kim loại (UTP -Unshield Twisted Pair) và cáp bọc kim loại(STP – Shield Twisted Pair)

 Cáp đồng trục: Gồm hai đường dây dẫn có cùng một trục chung, một dây

dẫn trung tâm (thường là dây đồng cứng), đường dây còn lại tạo thành đườngống bao xung quanh dây dẫn trung tâm (có thể là dây bện kim loại, gọi là lớpbọc kim vì nó có chức năng chống nhiễu) Có 1 lớp cách ly giữa hai dây dẫn,

và lớp vỏ plastic bên ngoài cùng để bảo vệ cáp

 Cáp sợi quang (Fiber – Optic Cable): một hoặc một bó sợi thủy tinh tạo

thành dây dẫn trung tâm truyền dẫn tín hiệu quang, dây dẫn bọc một lớp vỏbọc phản xạ các tín hiệu trở lại để giảm sự mất mát tín hiệu Bên ngoài cùng

là lớp vỏ plastic để bảo vệ cáp Cáp sợi quang chỉ truyền các tín hiệu quang,

vì vậy các tín hiệu dữ liệu phải được chuyển đổi thành các tín hiệu quang,đến khi nhận chúng sẽ lại được chuyển đổi trở lại thành tín hiệu điện

Do đường kính lõi sợi thuỷ tinh có kích thước rất nhỏ, đường kính từ8.3 – 100 micron nên rất khó đấu nối, cần công nghệ đặc biệt với kỹ thuậtcao đòi hỏi chi phí lớn Dải thông của cáp quang có thể lên tới hàng Gbps,

độ suy hao tín hiệu trên cáp rất thấp nên cho phép khoảng cách đi cáp khá

xa

các nguồn điện, các máy có khả năng phát sóng để tránh trường hợp bị nhiễu.Các đầu nối ổn định về chất lượng, tránh chập chờn.

1.2. Các mô hình truyền thông

Để 1 mạng máy tính trở thành 1 môi trường truyền dữ liệu thì cần phải cónhững yếu tố [4]: mỗi máy tính 1 địa chỉ phân biệt trên mạng, giao thức mạng lànhững quy định thống nhất để chuyển dữ liệu từ máy tính này đến máy tính khác.Khi quá trình truyển giao dữ liệu được thực hiện hoàn chỉnh thì các máy tínhtrao đổi dữ liệu với nhau

Các công việc thực hiện để thực hiện truyền dữ liệu giữa một máy tính với mộtmáy tính khác cùng được gắn trên một mạng:

- Máy nguồn cần biết địa chỉ máy đích, xác định máy đích đã sẵn sáng nhận dữ liệu

- Chương trình gửi file trên máy nguồn cần xác định được rằng chương trình nhận filetrên máy đích đã sẵn sàng tiếp nhận file, nếu cấu trúc file trên hai máy khác nhau thìmột máy phải làm nhiệm vụ chuyển đổi file từ dạng này sang dạng kia

- Máy tính truyền thông báo cho mạng biết địa chỉ của máy nhận khi truyền file để cácthông tin được mạng đưa tới đích

Hình 1-3 Ví dụ mô hình truyền thông đơn giản

Giả sử máy tính A có ứng dụng là điểm tiếp cận giao dịch 1 muốn gửi thông tincho một ứng dụng khác có điểm tiếp cận giao dịch 2 trên máy tính B Điểm tiếp cậngiao dịch 1 chuyển các thông tin xuống tầng truyền dữ liệu của A với yêu cầu gửichúng cho điểm tiếp cận giao dịch 2 Tầng truyền dữ liệu của A sẽ chuyển các thôngtin xuống tầng tiếp cận mạng của nó kèm yêu cầu chuyển chúng cho máy tính B.Ngoài dữ liệu, các thông tin kiểm soát cũng sẽ được truyền cùng để thực hiện quátrình này

Để thực hiện chuyển dữ liệu, ứng dụng 1 trên máy A chuyển khối dữ liệu chotầng vận chuyển để có thể chia nó ra thành nhiều khối nhỏ theo yêu cầu của giaothức của tầng và đóng gói thành các gói tin (packet) Mỗi gói tin sẽ có đính thêm cácthông tin kiểm soát của giao thức ở phần đầu (Header) của gói tin Header gồm:

- Địa chỉ của điểm tiếp cận giao dịch nơi đến

- Số thứ tự của gói tin

Hình 1-4 Mô hình thiết lập gói tin

Phần đầu gói tin mạng gồm địa chỉ của máy tính nhận, mức độ ưu tiên…

Như vậy thông qua mô hình truyền thông đơn giản ta có thể thấy được phươngthức hoạt động của các máy tính trên mạng, có thể xây dựng và thay đổi các giaothức trong cùng một tầng

1.2.1 Mô hình OSI (Open Systems Interconnection)

Mô hình OSI là cơ sở chuẩn hóa các hệ thống truyền thông, được nghiên cứubởi ISO Mô hình OSI phân thành 7 tầng Hai tầng đồng mức khi liên kết với nhau sửdụng một giao thức chung Có hai loại giao thức chính: giao thức có liên kết(connection – oriented) và giao thức không liên kết (connectionless) [5]

Hình 1-5 Mô hình OSI 7 tầng

+ Với giao thức có liên kết, quá trình truyền thông gồm 3 giai đoạn: thiết lậpliên kết (logic), truyền dữ liệu, hủy bỏ liên kết (logic).

+ Với giao thức không liên kết chỉ có duy nhất một giai đoạn truyền dữ liệu

Gói tin của giao thức: Gói tin đơn vị thông tin dùng trong truyền thông dữ liệutrong mạng máy tính Những thông điệp (message) trao đổi trong mạng máy tínhđược tạo dạng thành các gói tin ở máy nguồn Khi đến đích, các gói tin này sẽ đượcghép lại thành thông điệp ban đầu Một gói tin có thể chứa đựng các thông tin điềukhiển, các yêu cầu phục vụ, và dữ liệu

Hình 1-6 Phương thức xác lập các gói tin trong mô hình OSI

Mỗi tầng trong mô hình OSI thực hiện chức năng nhận dữ liệu từ tầng bên trên

để chuyển giao xuống cho tầng bên dưới và ngược lại Tức là trước khi chuyển góitin đi gắn thêm và gỡ bỏ phần đầu (header) Khi đến một tầng mới gói tin sẽ đượcthêm một phần đầu khác và được xem như là gói tin của tầng mới, tiếp diễn cho tớikhi gói tin được truyền lên đường dây mạng để đến bên nhận

Sang bên nhận, tại mỗi tầng tương ứng các gói tin được gỡ bỏ phần đầu và đâycũng là nguyên lý của bất cứ mô hình phân tầng nào Đối với mô hình OSI phầnkiểm lỗi của gói tin tầng liên kết dữ liệu đặt ở cuối gói tin

1.2.2 Mô hình SNA (Systems Network Architecture)

SNA là chuẩn của hãng IBM, tuy không phải là một chuẩn quốc tế chính thứcnhư OSI nhưng IBM là một hãng lớn trên thị trường CNTT nên SNA trở thành mộtloại chuẩn thực tế và khá phổ biến Đó là một đặc tả gồm nhiều tài liệu mô tả kiếntrúc của mạng xử lý dữ liệu phân tán, định nghĩa các quy tắc và các giao thức tươngtác giữa máy tính, trạm cuối, phần mềm trong mạng [5]

ánh xạ địa chỉ IP (32 bits) sang.

Giao thức RARP (Reverse Address Resolution Protocol): Giao thức RARP tìm

địa chỉ IP bằng cách ánh xạ địa chỉ vật lý sang

Giao thức ICMP (Internet Control Message Protocol): Thực hiện truyền các

thông báo điều khiển (báo cáo về tình trạng các lỗi trên mạng như gói tin IP chưa tớiđích, router không đủ bộ nhớ đệm,…) giữa các gateway hoặc một nút của liên mạng.Thông báo được gói trong một IP header và truyền đến cho router hoặc trạm đích

1.3.2 Giao thức điều khiển truyền dữ liệu TCP

TCP là một giao thức “có liên kết” (connection – oriented), hai thực thể TCPthiết lập liên kết với nhau trước khi trao đổi dữ liệu

Hình 1-7 Cổng truy nhập dịch vụ TCP

Mỗi cặp đầu nối TCP/IP (socket) liên kết logic với nhau để cung cấp dịch vụTCP Đầu nối TCP/IP được tạo ra từ sự kết hợp của một cổng TCP với địa chỉ IP, mỗiđầu nối có thể tham gia nhiều liên kết với các đầu nối TCP/IP khác nhau ở xa Liên

kết sẽ được thiết lập trước khi truyền dữ liệu và sẽ được giải phóng khi không cònnhu cầu truyền.

1.3.3 Giao thức UDP (User Datagram Protocol)

Là giao thức theo phương thức không liên kết, nó được sử dụng thay thế choTCP ở trên IP theo yêu cầu của từng ứng dụng UDP không có các chức năng thiếtlập và kết thúc liên kết, không cung cấp cơ chế báo nhận, không sắp xếp tuần tự cácgói tin đến và dễ xảy ra tình trạng mất hoặc trùng dữ liệu mà không có cơ chế thôngbáo lỗi cho người gửi

Hình 1-9 Ví dụ về bảng định tuyến

Trong bảng định tuyến, mỗi mạng mà router có thể chuyển đi (mạng đích) thểhiện bằng một dòng Mỗi mạng này có được có thể do chúng đang kết nối trực tiếpvới router đang xét hay router học được thông qua việc cấu hình định tuyến

1.4.2 Phân loại định tuyến

1.4.2.1 Định tuyến tĩnh – static routing Định tuyến tĩnh là loại định tuyến mà trong đó router sử dụng các tuyến đường

đi tĩnh để vận chuyển dữ liệu đi Các tuyến đường đi tĩnh này có được do người quảntrị cấu hình thủ công vào các router

❖ Default route

Default route gửi các gói tin đi trong trường hợp không tìm thấy mạng đích

trong bảng định tuyến Nằm ở cuối bảng định tuyến, có ích trong các mạng dạng

“stub network” như kết nối từ mạng nội bộ ra ngoài Internet

Hình 1-10 Định tuyến tĩnh

1.4.2.2 Định tuyến động Định tuyến động là loại định tuyến mà trong đó router sử dụng các tuyếnđường đi động do các router sử dụng các giao thức định tuyến động trao đổi thông tinđịnh tuyến với nhau tạo ra để vận chuyển dữ liệu

Một số giao thức định tuyến động phổ biến: RIP, OSPF, BGP,…

Giao thức định tuyến động chia làm hai loại là distance-vector và link-state

 Distance vector

Hình 1-11 Định tuyến động distance vector

Các router định tuyến theo loại này sẽ gửi định kỳ bảng định tuyến của nó chocác router hàng xóm có kết nối trực tiếp với nó Giao thức định tuyến RIP,…

Các router không biết cụ thể đường đi đến đích, và cũng không biết các routertrung gian trên đường đi và cấu trúc liên kết giữa chúng

Bảng định tuyến lưu kết quả chọn đường tốt nhất của mỗi router Các routerchọn đường dựa trên bảng định tuyến của cá router hàng xóm

Các router thực hiện cập nhật định kỳ thông tin định tuyến nên sẽ tốn nhiềubăng thông Khi xảy ra thay đổi, router đầu tiên nhận biết sự thay đổi sẽ cập nhậtbảng định tuyến của mình để chuyển cho các router hàng xóm

 Link state

Hình 1-12 Định tuyến động link state

Các router định tuyến theo loại này sẽ trao đổi LSA (link state advertisement)với nhau để xây dựng và duy trì cơ sở dữ liệu về trạng thái các đường liên kết (haycấu trúc mạng) Các thông tin trao đổi được gửi dưới dạng multicast

Giao thức định tuyến OSPF, IS-IS

Mỗi router đều có đều có hiểu biết cụ thể về cấu trúc của hệ thống mạng, vàdùng thuật toán SPF để tính toán chọn đường đi tốt nhất đến từng mạng đích

Khi các router hội tụ xong, nó chỉ cập nhật bảng định tuyến khi có sự thay đổixảy ra Do đó thời gian hội tụ nhanh và ít tốn băng thông

Giao thức định tuyến theo link-state là sự lựa chọn cho các mạng lớn, phức tạp

do hỗ trợ CIDR, VLSM Nhưng nó đòi hỏi khả năng xử lý cao của CPU router vàdung lượng bộ nhớ lớn

Ngoài cách phân chia các giao thức định tuyến động theo hai loại : distance vector và link-state như đã tìm hiểu bên trên, các giao thức định tuyến còn được phân thành hai loại, đó là classfull routing protocol và classless routing protocol

1.4.3 Cấu hình định tuyến động – distance vector

1.4.3.1 RIP

RIP là một giao thức định tuyến theo kiểu distance-vector Hop count được sử dụng làm metric cho việc chọn đường Nếu có nhiều đường đến cùng một đích thì RIP sẽ chọn đường nào có số hop-count (số router) ít nhất

Nếu hop-count lớn hơn 15 thì packet bị loại bỏ Mặc định thời gian update là

30 giây Administrative Distance là 120

RIP có hai phiên bản là RIPv1 và RIPv2

Bảng 1-1 Bảng so sánh giữa RIPv1 và RIPv2

Loại định tuyến Classful Classless

Quảng bá thông tin định tuyến Broadcast Multicast

Hỗ trợ tóm tắt các tuyến thủ công Không Có

Định nghĩa trong RFC RFC 1058 RFC 1721, 1722, 2453

- Mạng không liên tục (discontiguous network): là mạng mà trong đó các mạng con

(subnet) của cùng một mạng lớn (major network: là mạng theo đúng lớp) bị ngăncách bởi “major-network” khác

- Chứng thực trong RIPv2

Là cách thức bảo mật trong trao đổi thông tin định tuyến giữa các router Nếu

có cấu hình chứng thực thì các router phải vượt qua quá trình này trước khi các thôngtin trao đổi định tuyến được thực hiện RIPv2 hỗ trợ hai kiểu chứng thực là: “Plaintext” và “MD5”

• Chứng thực dạng “Plain Text”: còn gọi là “Clear text”

Quá trình chứng thực chỉ đơn giản là các router được cấu hình một khóa(password) và trao đổi chúng để so khớp Các khóa này được gửi dước dạng không

mã hóa trên đường truyền

• Chứng thực dạng MD5:

Dạng chứng thực này sẽ gửi thông tin về khóa đã được mã hóa giúp các thôngtin trao đổi được an toàn hơn Các bước cấu hình tương tự như dạng “Plain Text”, chỉ

có khác ở bước 3 phải thêm 1 lệnh sau:

Router(config-if)#ip rip authentication mode md5

1.4.3.2 OSPF

Là giao thức định tuyến dạng link-state, sử dụng thuật toán Dijkstra “ Shortest

Path First (SPF)” để xây dựng bảng định tuyến

Ưu điểm: hội tụ nhanh, hỗ trợ mạng có kích thước lớn và không xảy ra routingloop Hỗ trợ VLSM và mạng không liên tục (discontigous network) do thuộc dạngclassless

OSPF sử dụng địa chỉ multicast 224.0.0.5 và 224.0.0.6 để gửi các thông điệphello và update Sử dụng area để giảm yêu cầu về memory, CPU của OSPF routercũng như lưu lượng định tuyến Hỗ trợ chứng thực dạng plain-text và MD5

- Metric của OSPF

hello bầu ra DR và BDR DR và BDR sẽ thiết lập mối quan hệ adjacency với

tất cả các router khác và những router này chỉ trao đổi thông tin với DR vàBDR Trong mạng point-to-point không cần chọn DR và BDR

 Mỗi router nhận một LSA từ hàng xóm và gửi một copy của LSA tới tất cảhàng xóm khác của nó

R(config)#interface <interface> if)#ip ospf authentication

R(config-if)#ip ospf authentication-key <password>

 Chứng thực bằng MD5

Trên cổng của router gửi thông tin chứng thực cấu hình lệnh sau:

R(config)#interface <interface> R(config-if)#ip ospf authentication digest R(config-if)#ip ospf messages-digest-key 1 md5 <password>

message-1.4.3.3 EIGRP

Là giao thức định tuyến lai do Cisco tạo ra và chỉ hoạt động trên các thiết bị

của Cisco nó vừa mang những đặc điểm của “distance vector” vừa mang một số đặc điểm của ”link-state” EIGRP là dạng định tuyến “classless”

EIGRP sử dụng hiệu quả không gian địa chỉ do hỗ trợ VLSM và CIDR, sửdụng địa chỉ multicast (224.0.0.10) để trao đổi thông tin cập nhật định tuyến

 Cách tính metric của EIGRP

Với K1, K2, K3, K4, K5 là hằng số

Mặc định: K1=1, K2=0, K3=1, K4=0, K5=0

Do đó, ta có:

metric = bandwith + delay

 EIGRP chống “routing loop”

“Routing loop” là một trở ngại rất lớn trong các giao thức định tuyến dạng

“distance vector” Các giao thức định tuyến dạng “link-state” vượt qua vấn đề này

bằng cách mỗi router đều nắm giữ toàn bộ cấu trúc mạng Trong giao thức EIGRP,khi tuyến đường đi chính gặp sự cố, router có thể kịp thời đặt đường đi dự phòng vàobảng định tuyến đóng vai trò như đường đi chính

Trường hợp không có đường đi dự phòng, EIGRP sử dụng thuật toán DUALcho phép router gửi các yêu cầu và tính toán lại các đường đi đến đích

1.4.3.4 Redistribution giữa các giao thức định tuyến Khi hệ thống mạng chạy nhiều giao thức, admin cần phân phối đường đi củagiao thức này vào giao thức khác

Hình 1-13 Phân phối định tuyến

Mỗi giao thức định tuyến có cách tính toán “metric” khác nhau, do đó khi thực hiện quá trình phân phối thì dạng ”metric” sẽ được chuyển đổi sao cho phù hợp với

giao thức định tuyến đó để các giao thức đó có thể quảng bá các đường đi cho nhau

 Phân phối định tuyến giữa RIP và OSPF

- Quảng bá các tuyến học được từ OSPF vào RIP

Router(config)#router rip

Router(config-router)#redistribute ospf 1 metric <number>

Lưu ý: Do RIP sử dụng metric có giá trị tối đa là 15 nên giá trị <number>

trong lệnh trên cũng phải nhỏ hơn 15

phá hoại

1.5.1 Các lỗ hổng và phương thức tấn công mạng chủ yếu

1.5.1.1 Các lỗ hổng

Là các điểm yếu có thể tạo ra sự ngưng trệ dịch vụ, thêm quyền đối với người

sử dụng hoặc cho phép các truy nhập không hợp pháp vào hệ thống Các lỗ hổng cóthể nằm ở các dịch vụ cung cấp như FTP, Web, Sendmail, ngay chính hệ điều hànhhoặc trong các ứng dụng mà người sử dụng thường xuyên như word, các hệDatabases [3]

Theo phân loại của Bộ quốc phòng Mỹ, các loại lỗ hổng bảo mật chia như sau:

- Lỗ hổng loại C: Cho phép thực hiện các phương thức tấn công từ chối dịch vụ (DoS)

Lỗ hổng này ở mức độ nguy hiểm thấp, chỉ ảnh hưởng chất lượng dịch vụ, có thể làmngưng trệ, gián đoạn hệ thống; nhưng không làm phá hỏng dữ liệu hoặc đạt đượcquyền truy nhập bất hợp pháp

- Lỗ hổng loại B: Cho phép người dùng có thêm quyền trên hệ thống mà không cầnthực hiện kiểm tra tính hợp lệ, thường xảy ra trong các ứng dụng trên hệ thống, dẫnđến mất mát hoặc lộ thông tin yêu cầu bảo mật

- Lỗ hổng loại A: Cho phép người dùng ở ngoài có thể truy nhập bất hợp pháp vào hệthống Nó rất nguy hiểm, có thể phá hủy toàn bộ hệ thống

1.5.1.2 Một số phương thức tấn công mạng phổ biến

a) Scanner

Tự động rà soát và phát hiện những điểm yếu về bảo mật trên một trạm làmviệc cục bộ hoặc trên một trạm ở xa Kẻ phá hoại sử dụng chương trình Scanner cóthể phát hiện ra những lỗ hổng về bảo mật trên một máy chủ ở xa

Cơ chế chung: Trên hệ thống cần tấn công, rà soát và phát hiện những portTCP/UDP được sử dụng, từ đó phát hiện những dịch vụ sử dụng trên đó, rồi ghi lại

những đáp ứng trên hệ thống ở xa tương ứng với các dịch vụ mà nó phát hiện ra Dựavào những thông tin này, kẻ phá hoại có thể tìm ra những điểm yếu trên hệ thống

b) Password Cracker

Có thể giải mã một mật khẩu đã được mã hóa hoặc có thể vô hiệu hóa chứcnăng bảo vệ mật khẩu của một hệ thống Để hiểu cách thức hoạt động của cácchương trình bẻ khóa, cần hiểu cách thức mã hóa để tạo mật khẩu

c) Trojans

Là chương trình thực hiện một số công việc như ăn cắp mật khẩu hay sao chép

dữ liệu mà người sử dụng không biết trước

- Lớp thứ hai là hạn chế theo tài khoản truy nhập gồm đăng ký tên và mật khẩu tươngứng Quản trị hệ thống quản lý, kiểm soát mọi hoạt động của mạng và xác địnhquyền truy nhập của những người dùng khác tuỳ thời gian và không gian

- Lớp thứ ba là sử dụng các phương pháp mã hóa (encryption) Dữ liệu được biến đổi

từ dạng clear text sang dạng mã hóa theo một thuật toán nào đó

- Lớp thứ tư là bảo vệ vật lý (physical protection) nhằm ngăn cản các truy nhập vật lýbất hợp pháp vào hệ thống như không nhiệm vụ miễn vào phòng đặt máy, hệ thốngkhóa trên máy tính, cài đặt báo động khi có truy nhập vào hệ thống

- Lớp thứ năm: Cài đặt các hệ thống bức tường lửa (firewall), nhằm ngăn chặn cáctruy nhập trái phép và lọc các gói tin không muốn gửi đi hoặc nhận vào

1.5.3 Các biện pháp bảo vệ mạng máy tính

1.5.3.1 Kiểm soát hệ thống qua logfile Các công cụ ghi logfile thực hiện ghi lại nhật ký các phiên làm việc trên hệthống để dò tìm các dấu vết hoạt động Thông tin chi tiết ghi lại phụ thuộc vào cấuhình của quản trị hệ thống Việc này còn giúp người quản trị đánh giá được chấtlượng, hiệu năng của hệ thống

- Kiểm tra, đánh giá và hoàn thiện chính sách bảo mật

1.5.3.3 Hệ thống firewall

Là thiết bị, phần mềm nhằm ngăn chặn sự truy nhập không hợp lệ từ mạngngoài vào mạng trong Firewall thường được sử dụng theo phương thức ngăn chặnhoặc tạo các luật đối với các địa chỉ khác nhau

- Cho phép/ cấm các dịch vụ truy nhập từ trong ra ngoài hoặc ngược lại

- Kiểm soát địa chỉ truy nhập, và dịch vụ sử dụng

- Kiểm soát khả năng truy cập người sử dụng, nội dung thông tin truyền tải giữa

Hình 1-15 Các thành phần của hệ thống firewall

Firewall có thể bao gồm phần cứng hoặc phần mềm hoặc cả hai Nếu là phầncứng thì nó có chức năng gần giống một router, cho phép hiển thị các địa chỉ IP đangkết nối qua nó, từ đó xác định được các địa chỉ nào được phép/ không được phép kếtnối Firewall có chung thuộc tính cho phép phân biệt đối xử hay khả năng từ chốitruy cập dựa trên các địa chỉ nguồn

Thành phần của một hệ thống firewall bao gồm: Screening router, DMZ,Gateway, IF1, IF2, FTP gateway, Telnet Gateway, Authentication Server

b) Phân loại Firewall

Người ta chia làm 2 loại chính:

- Packet Filtering: cho phép chuyển thông tin giữa hệ thống trong và ngoài mạng

có kiểm soát

- Application- Proxy Firewall: thực hiện các kết nối thay cho các kết nối trực tiếp

từ máy khách yêu cầu

1.6. Kết luận Chương 1

Như vậy một mạng máy tính hoạt động ổn định cần phải có các thành phần cấuthành dựa trên kiến trúc, mô hình, giao thức và các biện pháp bảo đảm an ninh, an

khi hệ thống đã sẵn sàng sử dụng thì một mô hình mô phỏng cũng thường được sửdụng để đánh giá hệ thống mạng bởi vì nó cho phép so sánh các cấu hình khác nhaukhi thay đổi về môi trường và tải của hệ thống Các tiêu chí để lựa chọn mô phỏng,

mô hình hóa phân tích, sẽ được thảo luận trong chương tiếp theo

Phương pháp mô hình hóa hệ thống bằng mô phỏng có thể mô tả đầy đủ, chi tiết hệ thống hoặc cũng có thể bỏ đi một vài đặc tính chi tiết của hệ thống thực bởi vì nếu có quá nhiều đặc tính chi tiết được đưa vào, nó có thể yêu cầu tài nguyên tính toán quá lớn Đây là điều quan trọng cần được cân nhắc khi lựa chọn đưa vào hệ thống mô phỏng hoặc lược bớt khỏi hệ thống khi tiến hành mô phỏng Điều đó liên quan đến các nội dung chính sẽ được trình bày trong chương này.

2.1. Tổng quan về mô phỏng mạng sử dụng các phần mềm mô phỏng

2.1.1 Tổng quan về mô phỏng mạng

Chương trình phần mềm mô hình hóa hoạt động của mạng bằng cách tính toán

sự tương tác giữa các thực thể mạng khác nhau (bộ định tuyến, bộ chuyển mạch ,nút, điểm truy cập, liên kết, v.v.) [8]

Mô phỏng mạng cho phép người dùng đưa các thiết bị và ứng dụng thực vàomạng thử nghiệm (mô phỏng) để thay đổi luồng gói theo cách bắt chước hoạt độngcủa mạng trực tiếp Lưu lượng trực tiếp có thể đi qua trình mô phỏng và bị ảnhhưởng bởi các đối tượng trong mô phỏng

Cơ chế chung: các gói thực từ một ứng dụng trực tiếp được gửi đến máy chủ

mô phỏng (nơi mô phỏng mạng ảo) Gói thực được “điều chế” thành một gói môphỏng Gói mô phỏng được “giải điều chế” thành một gói thực sau khi trải qua cáctác động của mất mát, lỗi, trễ, jitter,… do đó chuyển các hiệu ứng mạng này thành

- Nhóm định hướng về mô phỏng ứng dụng mạng: GNS3, Boson NetSim, CiscoPacket Tracer,…

Việc mô phỏng mạng máy tính của Bộ Tư pháp Lào trong luận văn này thuộcnhóm mô phỏng ứng dụng mạng Tiêu chí để chọn phần mềm mô phỏng trong luậnvăn này là:

- Phù hợp điều kiện trang bị máy tính của Học viên có cấu hình không cao;

- Cho phép sử dụng miễn phí trong giáo dục, đào tạo

- Được sử dụng phổ biến ở các tổ chức đào tạo về mạng máy tính

Trong nhóm các phần mềm mô phỏng ứng dụng mạng nêu trên, các phần mềmGNS3, Boson NetSim, phải sử dụng hệ điều hành của thiết bị mạng thực để môphỏng Điều này tuy là ưu điểm, nhưng những phần mềm này không được phép cungcấp miễn phí hệ điều hành của thiết bị mạng thực Mặt khác, vì dùng hệ điều hànhcủa thiết bị mạng thực, nên khi mô phỏng mạng có nhiều thiết bị thì yêu cầu phầncứng của máy tính chạy mô phỏng phải có cấu hình cao và dung lượng RAM phải đủlớn

Phần mềm Cisco Packet Tracer phù hợp cả 3 tiêu chí chọn phần mềm môphỏng ứng dụng mạng nêu trên Phần mềm này được sử dụng cho các khóa họcCisco networking, có đông đảo cộng đồng người sử dụng hỗ trợ lẫn nhau, được cungcấp miễn phí tại địa chỉ www.netacad.com có phiên bản cho các hệ điều hành:Microsoft Windows 32 bit, Microsoft Windows 64 bit, Linux 64bit, IOS và Android.Trên trang www.netacad.com, Cisco Packet Tracer được dùng cho các hoạt động học

và đánh giá các khóa học: IT Essentials, CCNA Routing and Switching, CCNASecurity, Introduction to IoT, IoT Fundamentals, Cybersecurity Essentials,Networking Essentials, Mobility Fundamentals

2.2. Phần mềm Cisco Packet Tracer

Là công cụ mô phỏng hệ thống mạng trực quan đa nền tảng được thiết kếbởi Cisco Systems, Inc Cisco Packet Tracer có thể chạy trên các nền tảng Linux và

Windows Công cụ này cho phép người sử dụng tạo cấu trúc kết nối mạng và môphỏng giả lập các mạng máy tính Người sử dụng có thể mô phỏng cấu hình bộrouter và switch của Cisco, cho phép sử dụng mô phỏng trên giao diện dòng lệnh [9]

Hình 2-16 Giao diện của phần mềm Cisco Packet Tracer

2.2.1 Tính năng

Mô phỏng một loạt các bộ router Cisco 800, 1800, 1900, 2600, 2800, 2900 vàcác switch Cisco Catalyst 2950, 2960, 3560 và cũng có một tường lửa ASA 5505 Bộđịnh tuyến Linksys WRT300N, các điểm truy cập và tháp di động thể hiện các thiết

bị không dây Ngoài ra, còn có các máy chủ DHCP, HTTP, TFTP, FTP, DNS, AAA,SYSLOG, NTP và EMAIL, máy trạm, các mô-đun khác nhau cho máy tính và bộđịnh tuyến, nền IP, điện thoại thông minh, trung tâm và đám mây giả lập mạngWAN Các thiết bị mạng có thể được kết nối bằng nhiều loại cáp khác nhau, chẳnghạn như dây nối thẳng và dây nối ngược [9]

- Hỗ trợ lệnh IOS nâng cao

- Nhập tệp máy chủ FTP bên trong Cisco Packet Tracer

- Hỗ trợ quản lý tệp liên kết HTTP và FTP

- Tầng ứng dụng: FTP, SMTP, POP3, HTTP, TFTP, Telnet, SSH, DNS, DHCP, NTP,SNMP, AAA, ISR VOIP, SCCP config và gọi ISR để hỗ trợ lệnh, Call ManagerExpress.

- Tầng Vận chuyển: TCP và UDP, Thuật toán TCP Nagle & Phân mảnh IP, RTP

- Tầng Mạng: BGP, IPv4, ICMP, ARP, IPv6, ICMPv6, IPSec, RIPv1 / v2 / ng, Area OSPF, EIGRP, Static Routing, Route Redistribution, Multilayer Switching, L3QoS, NAT, CBAL, Tường lửa chính sách dựa trên vùng và Hệ thống bảo vệ xâmnhậptrên ISR, GRE VPN, IPSec VPN

Multi Giao diện truy cập: mạng Ethernet (802.3), 802.11, HDLC, Frame Relay, PPP,PPPoE, STP, RSTP, VTP, DTP, CDP, 802.1q, PAgP, L2 QoS, SLARP, Simple WEP,WPA, EAP

2.2.3 Yêu cầu cài đặt

- Hệ điều hành: Thích hợp với hầu hết các hệ điều hành Windows hiện hành

- RAM: Tối thiểu 2GB

- Dung lượng ổ đĩa: tối thiểu 500MB trống để cài đặt

- CPU: Tối thiểu Intel Core I3, tương đương hoặc trở lên

Hình 2-17 Giao diện chính của Cisco Packet Tracer

- Các khu vực làm việc chính của chương trình:

Hình 2-18 Các khu vực làm việc chính của Cisco Packet Tracer

- Chi tiết chức năng các MENU:

(1) Menu Bar: gồm menu File, Options, Edit và Help với các chức năng cơ bảnnhư Open, Save, Print…

(2) Main Tool Bar: gồm những nút chức năng cơ bản của menu File và Edit

(9) Device-Specific Selection Box : lựa chọn thiết bị và kết nối chúng

(10) User Created Packet Window* : Quản lí các packets đặt trong hệ thống

2.2.4.1 Hướng dẫn tạo hệ thống đơn giản

Hình 2-19 Mô hình mạng đơn giản trên Cisco Packet Tracer

Trong chế độ làm việc Logical, tại khu vực số 7, chọn biểu tượng PC và clickvào đó

Hình 2-20 Hướng dẫn thêm thiết bị

Lần lượt chọn hai thiết bị cần kết nối là PC và server:

Hình 2-21 Hướng dẫn chọn hai thiết bị cần kết nối là PC và server