ĐỀ XUẤT GIẢI PHÁP BẢO MẬT MẠNG CỤC BỘ TẠI TRƯỜNG ĐẠI HỌC HẢI DƯƠNG

MỤC LỤC LỜI CAM ĐOAN i MỤC LỤC ii Danh mục các từ viết tắt iv Danh mục các bảng v Danh mục các hình vẽ v MỞ ĐẦU 1 CHƯƠNG I. TỔNG QUAN VỀ MẠNG CỤC BỘ 2 1.1. Giới thiệu 2 1.2. Quá trình phát triển của mạng cục bộ 2 1.2.1. Mạng LAN nối dây 2 1.2.2. Mạng LAN không dây (WLAN) 6 1.3. Kết luận 9 CHƯƠNG 2. AN NINH MẠNG LAN 10 2.1. Mục tiêu của bảo mật trong mạng LAN 10 2.2. Các kiểu tấn công và đe dọa an ninh mạng 11 2.2.1. Tấn công chủ động 11 2.2.2. Tấn công bị động (Passive attacks) 13 2.2.3. Tấn công kiểu chèn ép (Jamming attacks) 15 2.2.4. Tấn công theo kiểu thu hút (Man in the middle attacks) 15 2.3. Các biện pháp và công cụ bảo mật hệ thống 15 2.3.1. Biện pháp kiểm soát truy nhập 15 2.3.2. Các công cụ bảo mật hệ thống 16 2.3.2.1. Firewall 16 2.3.2.2. Chữ ký điện tử 19 2.3.2.3. Bảo mật trong IEEE 802.11 20 2.3.2.4. WLAN VPN 24 2.3.2.5. Lọc 25 2.3.2.6. Nguyên lý RADIUS Server 27 2.3.2.7. Phương thức chứng thực mở rộng EAP 29 2.4. Kết luận 31 CHƯƠNG 3. GIẢI PHÁP BẢO MẬT 32 3.1. Vai trò của của mạng LAN trong giáo dục 32 3.2. Phân tích, đánh giá hiện trạng mạng cục bộ của Trường Đại học Hải Dương 34 3.3. Đề xuất thực thi bảo mật mạng cục bộ tại Trường Đại học Hải Dương 35 3.3.1. Đề xuất mô hình mạng LAN mới 36 3.3.2. Các bước thực thi bảo mật hệ thống 39 3.3.3. Thiết lập chế độ bảo mật cho hệ thống mạng 40 3.4. Kết luận 55 KẾT LUẬN 56 PHỤ LỤC 58 TÀI LIỆU THAM KHẢO 62

NGHIÊN CỨU, ĐÁNH GIÁ CHẤT LƢỢNG KẾT NỐI CHO MÁY CHỦ

NỘI DUNG TRÊN INTERNET VỚI IPV6

LUẬN VĂN THẠC SĨ KỸ THUẬT

HÀ NỘI

HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG

-

Trịnh Thị Kim Liên

NGHIÊN CỨU, ĐÁNH GIÁ CHẤT LƯỢNG KẾT NỐI CHO MÁY CHỦ NỘI

DUNG TRÊN INTERNET VỚI IPV6

Chuyên ngành: Hệ thống thông tin

Mã số: 60.48.01.04 LUẬN VĂN THẠC SĨ KỸ THUẬT

HÀ NỘI - 2013

LỜI CẢM ƠN

Lời đầu tiên em xin gửi lời cảm ơn đến toàn thể các thầy, cô giáo Học viện Công nghệ Bưu chính Viễn thông đã tận tình chỉ bảo em trong suốt thời gian học tập tại nhà trường

Em xin gửi lời cảm ơn sâu sắc đến thầy giáo TS Vũ Văn Thỏa, người đã

trực tiếp hướng dẫn, tạo mọi điều kiện thuận lợi và tận tình chỉ bảo cho em trong suốt thời gian làm luận văn tốt nghiệp

Bên cạnh đó, để hoàn thành đồ án này, em cũng đã nhận được rất nhiều sự giúp đỡ, những lời động viên quý báu của các bạn bè, gia đình và đồng nghiệp Em xin chân thành cảm ơn

Tuy nhiên, do thời gian có hạn, mặc dù đã nỗ lực hết sức mình, nhưng chắc rằng luận văn của em khó tránh khỏi thiếu sót Em rất mong nhận được sự thông cảm và chỉ bảo tận tình của quý thầy cô và các bạn !!

Hà Nội, ngày 8 tháng 11 năm 2013

Học Viên

Trịnh Thị Kim Liên

LỜI CAM ĐOAN

Tôi xin cam đoan đây là công trình nghiên cứu của riêng tôi

Các số liệu, kết quả nêu trong luận văn là trung thực và chưa được ai công bố trong bất kỳ công trình nào

Tác giả luận văn

Trịnh Thị Kim Liên

MỤC LỤC

LỜI CẢM ƠN i

LỜI CAM ĐOAN ii

MỤC LỤC iii

DANH MỤC CÁC KÝ HIỆU, CÁC CHỮ VIẾT TẮT vi

DANH MỤC CÁC BẢNG vii

DANH MỤC CÁC HÌNH viii

MỞ ĐẦU………1

Chương 1- TỔNG QUAN VỀ CÔNG NGHỆ IPv6 2 1.1 Khái niệm công nghệ IPv6 2

1.1.1 Không gian địa chỉ 2

1.1.2 Cú pháp của địa chỉ 2

1.1.3 Các loại địa chỉ IPv6 2

1.1.4 Cấp phát địa chỉ IPv6 3

1.1.5 Khuôn dạng phần đầu gói tin (header) 3

1.2 Các thuộc tính của IPv6 4

1.2.1 So sánh giữa IPv4 và IPv6 5

1.2.1.2 Đơn giản hơn trong header của gói tin 8

1.2.1.3 Các dịch vụ mới chất lượng cao 8

1.2.1.4 Cơ chế bảo mật và xác thực 8

1.2.2 Các thuộc tính của IPv6 9

1.3 Các giải pháp chuyển đổi từ IPv4 sang IPv6 10

1.4 Thực tế triển khai IPv6 tại Việt Nam 11

1.5 Kết chương ……… ……….13

Chương 2 – NGHIÊN CỨU CẤU TRÚC, MÔ HÌNH TRIỂN KHAI DỊCH VỤ SỬ DỤNG MÁY CHỦ NỘI DUNG TRÊN INTERNET VỚI IPV6…… 134

2.1 Dịch vụ Web 14

2.1.1 Khái niệm dịch vụ Web 14

2.1.3 Kiến trúc của dịch vụ Web 15

2.1.4 Các thành phần của dịch vụ Web 18

2.2 Dịch vụ DNS (Domain Name System) 18

2.2.1 Khái niệm 18

2.2.2 Chức năng của DNS 19

2.2.3 Cấu trúc của DNS 19

2.2.4 Nguyên tắc làm việc của DNS 20

2.3 Dịch vụ FTP (File Tranfer Protocol) 23

2.3.1 Khái niệm 23

2.3.2 Mô hình hoạt động của FTP 23

2.3.3 Chức năng của FTP 27

2.3.4 Tập lệnh của FTP 28

2.4 Dịch vụ Mail 30

2.4.1 Khái niệm về Mail 30

2.4.2 Giao thức SMTP, POP3, IMAP4 30

2.4.3 Các thành phần của Mail Server 31

2.4.4 Các mô hình hoạt động của Mail Server 32

2.5 Kết chương 33

Chương 3 - NGHIÊN CỨU ĐỀ XUẤT CÁC THAM SỐ ĐÁNH GIÁ CHẤT LƯỢNG KẾT NỐI CÁC MÁY CHỦ NỘI DUNG TRÊN INTERNET VỚI IPV6……… 34

3.1 Đề xuất các tham số đánh giá chất lượng mạng tại giao thức lớp truyền tải TCP/UDP 34

3.1.1 Nguyên lý phát triển tham số và giá trị của chất lượng mạng 34

3.1.2 Mô hình tham chiếu 35

3.1.3 Các tham số chất lượng 35

Các tham số về tốc độ 35

Các tham số hiệu dụng 35

3.2 Đề xuất các tham số đánh giá chất lượng mạng tại các giao thức lớp cao (FTP, HTTP, SMTP, …) 36

3.2.1 Mô hình tham chiếu cho các giao thức lớp cao 36

3.2.2 Các tham số chất lượng giao thức lớp cao 37

3.2.3 Các tham số hiệu dụng giao thức lớp cao 38

3.3 Nghiên cứu, đề xuất biện pháp đánh giá chất lượng kết nối máy chủ Web 38

3.3.1 Đề xuất các yêu cầu đánh giá chất lượng và bộ tham số đánh giá 38

3.3.2 Nghiên cứu các phương pháp đánh giá chất lượng mạng tại các giao thức lớp cao 39

3.3.3 Phân tích, lựa chọn, biện pháp đánh giá chất lượng kết nối máy chủ dịch

vụ Web 43

3.4 Nghiên cứu, đề xuất biện pháp đánh giá chất lượng kết nối máy chủ FTP 44

3.4.1 Đề xuất các yêu cầu đánh giá chất lượng và bộ tham số đánh giá 44

3.4.2 Nghiên cứu các phương pháp đánh giá chất lượng mạng tại các giao thức lớp cao 46

3.4.3 Xác định các điểm đo, công cụ, thiết bị đo 49

3.4.4 Phân tích, lựa chọn, biện pháp đánh giá chất lượng kết nối máy chủ FTP 52 3.5 Nghiên cứu, đề xuất biện pháp đánh giá chất lượng kết nối máy chủ DNS 53

3.5.1 Nghiên cứu các phương pháp đánh giá chất lượng mạng tại các giao thức lớp cao 53

3.5.3 Đề xuất chỉ tiêu đánh giá chất lượng máy chủ DNS 56

3.6 Nghiên cứu, đề xuất biện pháp đánh giá chất lượng kết nối máy chủ dịch vụ Mail

57

3.6.1 Đề xuất các yêu cầu đánh giá chất lượng và bộ tham số đánh giá 57

3.6.2 Nghiên cứu các phương pháp đánh giá chất lượng mạng tại các giao thức lớp cao 58

3.6.3 Phân tích, lựa chọn, biện pháp đánh giá chất lượng kết nối máy chủ dịch vụ Mail 59

3.7 Khảo sát một số phần mềm đánh giá chất lượng kết nối các máy chủ nội dung trên Internet 60

3.7.1 Phần mềm đo tốc độ tải 60

3.7.2 Tiện ích FPING 64

3.8 Kết chương……… 66

KẾT LUẬN 67

TÀI LIỆU THAM KHẢO …… 68

DANH MỤC CÁC KÝ HIỆU, CÁC CHỮ VIẾT TẮT

IPv4: Internet protocol version 4

IPv6: Internet protocol version 6

IPX: Internet Packet Exchange

IESG: Internet Engineering Steering Group

ISP: Internet Service Provider

MAC: Media Access Control

NAT: Network Address Translation

TCP/IP: Transmission Control Protocol / Internet Protocol

QoS: Quality of Service

ADSL: Asymmetric Digital Subscriber Line

PSTN: Public Switched Telephone Network

DSLAM: Digital Subscriber Line Access Multiplexer

BRAS: Broadband Remote Access Service

DNS: Domain Name System

ISDN: Intergrated Service Digital Network

HTTP: Hypertext Transfer Protocol

NGN: Next Generation Network

NIC: Network Information Center

NCC: Network Coordinotion Center

HLSRD: Higher Layer Service Repone Delay

HLAD: Higher Layer Authentication Delay

HLDTD: Higher Layer Data Transfer Delay

HLSR: Higher Layer Service Dalay

CESR: Connection Establishment Sussess Ratio

SSR: Service Success Ration

SA: Service Availability

DANH MỤC CÁC BẢNG

DANH MỤC CÁC HÌNH DANH MỤC CÁC HÌNH

MỞ ĐẦU

Trong những năm gần đây, Internet ngày càng phát triển và ảnh hưởng sâu rộng trong đời sống xã hội Việc tổ chức và khai thác các dịch vụ trên Internet rất được coi trọng Mạng Internet cho phép các máy tính trao đổi thông tin một cách nhanh chóng, thuận tiện thông qua các dịch vụ và tiện ích của các nhà cung cấp dịch

vụ Mọi đối tượng đều có thể sử dụng mạng Internet một cách dễ dàng và hiệu quả thông qua các dịch vụ mạng được các nhà cung cấp dịch vụ trên các máy chủ nội dung Quá trình chuyển đổi mạng Internet từ IPv4 sang IPv6 đang diễn ra trên thế giới và tại Việt Nam

Các nhà cung cấp dịch vụ không ngừng tạo ra và cải thiện các dịch vụ của mình nhằm lôi kéo thêm người sử dụng Do đó, muốn khai thác và sử dụng các dịch

vụ trên Internet với IPv6 thì vấn đề chất lượng kết nối cho các máy chủ nội dung phải được đặt lên hàng đầu

Trên cơ sở đó, học viên chọn đề tài: “Nghiên cứu, đánh giá chất lượng kết

nối cho máy chủ nội dung trên mạng Internet với IPv6” Đề tài tập trung nghiên

cứu các công nghệ chuyển đổi IPv4 sang IPv6 và phương hướng phát triển IPv6 tại Việt Nam Để từ đó xây dựng các bộ tham số đánh giá chất lượng máy chủ nội dung trên mạng internet với IPv6

Luận văn gồm 3 chương:

Chương 1: Tổng quan về công nghệ IPv6

Chương 2: Nghiên cứu cấu trúc, mô hình triển khai dịch vụ máy chủ nội dung trên internet với IPv6

Chương 3: Nghiên cứu đề xuất các tham số đánh giá chất lượng kết nối máy chủ nội dung trên internet với IPv6

Trong đó đề tài tập trung vào nghiên cứu chương 3 nhằm đề xuất các tham

số và khảo sát một số phần mềm đánh giá chất lượng kết nối máy chủ nội dung trên internet với IPv6

Chương 1- TỔNG QUAN VỀ CÔNG NGHỆ IPv6

Chương 1 sẽ nghiên cứu về khái niệm, các thuộc tính của công nghệ IPv6 và cách chuyển đổi từ công nghệ IPv4 sang IPv6 Mặt khác đưa ra các giải pháp thực tại triển khai tại Việt Nam

1.1 Khái niệm công nghệ IPv6

1.1.1 Không gian địa chỉ

Địa chỉ IPv6 có 128 bit được chia thành các miền phân cấp theo trật tự trên Internet Nó tạo ra nhiều mức phân cấp và linh hoạt trong địa chỉ hóa và định tuyến hiện không có trong IPv4

Không gian địa chỉ IPv6 được chia trên cơ sở các bit đầu trong địa chỉ Trường có độ dài thay đổi bao gồm các bit đầu tiên trong địa chỉ gọi là Tiền tố định dạng (Format Prefix) FP

Ban đầu mới chỉ có 15% lượng địa chỉ được sử dụng, 85% còn lại để dùng trong tương lai

1.1.2 Cú pháp của địa chỉ

Địa chỉ IPv6 dài 128 bit (16 octet) Khi viết, mỗi nhóm 4 octet (16 bit) được biểu diễn thành một số nguyên không dấu, mỗi số được viết dạng hệ 16 và phân tách bởi dấu hai chấm (::), gọi là cú pháp thập lục phân hai chấm () Ví dụ FEDC:BA98:7654:3210:FEDC:BA98:7654:3210

Với sự phức tạp của địa chỉ IPv6, người dùng sẽ khó khăn trong việc viết và nhớ chúng Do vậy, việc sử dụng tên miền sẽ được đẩy mạnh và các địa chỉ sẽ chỉ được sử dụng trong các giao thức mạng và định tuyến [10]

1.1.3 Các loại địa chỉ IPv6

Các địa chỉ IPv6 được gán cho các giao diện hoặc một tập các giao diện mạng Có 3 loại địa chỉ trong [1] [2]:

Unicast: Địa chỉ cho một giao diện đơn Một gói tin có địa chỉ đích loại này

sẽ chỉ được chuyển đến giao diện định danh bởi địa chỉ đó

Anycast: Địa chỉ cho một tập các giao diện thường thuộc về các nút mạng

khác nhau Một gói tin chuyển tiếp tới một địa chỉ loại này sẽ chỉ được chuyển đến một giao diện thuộc tập đó (gần nhất so với nút nguồn theo độ đo của giao thức định tuyến)

Multicast: Địa chỉ một tập các giao diện thường thuộc về các nút mạng khác

nhau Một gói tin chuyển tiếp đến một địa chỉ loại này sẽ được chuyển đến tất cả các giao diện thuộc tập đó

Trong IPv6, xuất hiện loại địa chỉ anycast và không có loại địa chỉ broadcast Các chức năng liên quan đến loại địa chỉ này được thực hiện một cách hiệu quả với loại địa chỉ multicast

1.1.4 Cấp phát địa chỉ IPv6

Tổ chức quản lý trung tâm là Cơ quan cấp địa chỉ Internet (IANA) IANA cấp phát và quản lý không gian địa chỉ từ các tổ chức Internet Architecture Board (IAB) và Internet Engineering Steering Group (IESG)

IANA sẽ uỷ nhiệm cho các đại diện vùng và địa phương để phân bổ địa chỉ cho các nhà cung cấp dịch vụ mạng và các đại diện của các vùng con Các cá nhân hay tổ chức có thể nhận địa chỉ từ các nhà cung cấp dịch vụ hoặc các đại diện của vùng

Hiện nay, IANA đã uỷ nhiệm cho 5 tổ chức đại diện vùng cấp phát địa chỉ:

1.1.5 Khuôn dạng phần đầu gói tin (header)

Phần header của IPv6 đã được đơn giản hóa để tăng tốc độ xử lý và tăng hiệu

quả cho router; Các cải tiến bao gồm:

- Có ít vùng hơn trong header;

- Các vùng bao gồm 64bits;

- Không còn phần kiểm tra lỗi checksum

Do có ít vùng hơn, quá trình xử lý cũng ngắn hơn Bộ nhớ dùng hiệu quả hơn với các field 64 bits Điều này cho phép quá trình tìm kiếm trở nên rất nhanh bởi vì các bộ xử lý ngày nay cũng là các bộ xử lý 64 bit Trở ngại duy nhất là việc sử dụng địa chỉ 128-bit, lớn hơn kích thước một word hiện hành [15] Việc loại bỏ phần check sum cũng giảm thiểu thời gian xử lý nhiều hơn nữa

Hình 1.1 Cấu trúc frame của IPv4 và IPv6

Điểm mới đầu tiên nằm ở cách thức tổ chức header IPv6 Khác với IPv4, tất

cả thông tin kể cả các tuỳ chọn mở rộng đều được lưu trong một header duy nhất, IPv6 đưa ra khái niệm header mở rộng Chỉ có các thông tin cơ bản chung được lưu trong header chính Các thông tin tuỳ chọn khác nếu có được lưu trong các header

mở rộng riêng Các header liên kết nhờ một chuỗi các con trỏ là trường Next Header lưu kiểu của header tiếp sau

1.2 Các thuộc tính của IPv6

1.2.1 So sánh giữa IPv4 và IPv6

Xuất phát điểm của IPv6 có tên gọi là IPng ( Internet Protocol Next Generation), là một phiên bản mới của IP, được thiết kế để thay thế cho IPv4 IPng được gán với phiên bản là 6 lấy tên chính thức là IPv6 Quan điểm chính khi thiết

kế IPv6 là từng bước thay thế IPv4, không tạo ra sự biến động lớn đối với hoạt động của mạng Internet nói chung và của từng dịch vụ trên Internet nói riêng, đảm bảo tính tương thích tuyệt đối với mạng Internet dùng IPv4 hiện nay Những chức năng

đã được kiểm nghiệm thành công trong IPv4 sẽ vẫn được duy trì trong IPv6 Những chức năng không sử dụng trong IPv4 sẽ bị loại bỏ, và đồng thời triển khai một số chức năng mới liên quan đến địa chỉ, bảo mật và triển khai các dịch vụ mới

1.2.1.1 Khả năng mở rộng địa chỉ và định tuyến

IPv6 tăng kích thước địa chỉ IP từ 32 bít lên 128 bít, hỗ trợ nhiều cấp trong kiến trúc phân bổ địa chỉ hơn, do đó cho phép một số lượng khổng lồ các địa chỉ Internet, đồng thời hỗ trợ khả năng tự động cấu hình địa chỉ đơn giản hơn IPv6 định nghĩa thêm một số kiểu địa chỉ mới như Unicast, Anycast, Multicast cho phép loại bỏ các kiểu địa chỉ quảng bá gồm toàn các bit 0 và các bit 1 trong IPv4

1.2.1.2 Đơn giản hơn trong header của gói tin

Trong IPv6, một vài trường trong phần header của gói tin được thừa kế từ IPv4 đồng thời có một số thay đổi nhất định, nhằm mục đích giảm thời gian xử lý gói tin và tăng hiệu quả sử dụng của các trường Header của IPv6 được giảm đến mức tối thiểu bằng cách loại bỏ những trường không được sử dụng trong IPv4, header của IPv6 chỉ lớn gấp 2 lần IPv4

Hỗ trợ tùy chọn tốt hơn: Trong IPv4 các trường tùy chọn là cố định và rất hạn chế, điều này sẽ được thay đổi trong IPv6 để hỗ trợ khả năng cung cấp thêm các dịch vụ mới và các cơ chế bảo mật Chiều dài của các trường tùy chọn cũng ít chặt chẽ hơn, uyển chuyển hơn cho việc phát triển những tùy chọn mới Trong kiến trúc của IPv6 thì phần tùy chọn này không nằm chung với các trường header thông thường mà nó được tách ra một phần riêng biệt gọi là phần header mở rộng (extention header)

1.2.1.3 Các dịch vụ mới chất lượng cao

Thông qua khả năng tăng cường các tùy chọn mới, IPv6 có thể cung cấp các lựa chọn liên quan đến chất lượng dịch vụ Các chức năng lựa chọn này cho phép IPv6 đánh nhãn các gói tin phụ thuộc vào luồng dữ liệu cụ thể nào đó được gửi từ một yêu cầu có xác nhận đặc biệt, đảm bảo chất lượng tối đa của luồng dữ liệu gửi

đi

1.2.1.4 Cơ chế bảo mật và xác thực

Ngoài lựa chọn về chất lượng dịch vụ, IPv6 còn bao gồm những lựa chọn mới có khả năng hỗ trợ các cơ chế an toàn, kế thừa và tính tin cậy cao Những tính năng này được coi là nền tảng cơ sở cho việc xây dựng cơ chế bảo mật cho các tầng trên

Bảng 1.1 So sánh giữa IPv4 và IPv6

Địa chỉ 32 bit; chiếm 4 byte 128 bit; chiếm 16 byte

trong phần

Header

Có nhiều trường khác nhau,

có một số trường không có hiệu quả

Chỉ thiết lập các trường cần thiết, có thể được thay thế bởi những trường khác

Kích cỡ

phần dữ liệu

của

datagram

Tối đa là 65536 byte Thông thường khoảng 65536 byte

Đối với các gói tin “jumbogram” có thể lên tới 4 tỉ octet; khả thi đối với các mạng LAN tốc độ cao

Quy hoạch

phân bố địa

chỉ

Chia ra thành các lớp mạng khác nhau

Phân theo tiêu chuẩn CIDR

Người sử dụng cục bộ bị giới hạn chỉ có thể liên kết trong mạng đó ( khi muốn kết nối vào Internet phải

Tương thích với IPv4 Phân bố có tính phân tầng: theo các tiêu chuẩn nhà cung cấp dịch vụ, thuê bao, và địa chỉ mạng con

Kiến trúc phân tầng thể hiện cả trong phân vùng địa lý

Người sử dụng cục bộ có thể liên kết

thay đổi địa chỉ) Khả năng mở rộng bị hạn chế; đã xuất hiện các hiện tượng hết địa chỉ IP

cục bộ hoặc liên kết site (cho phép tự động đổi địa chỉ khi cần kết nối vào mạng Internet)

Hơn 15% địa chỉ chưa được sử dụng

để mở rộng cho các dịch vụ mới Định dạng

địa chỉ

Thường thể hiện khuôn dạng địa chỉ theo hệ 10, phân tách các octet bằng dấu (.)

Dùng hệ 16 để mô tả các octet và phân tách với nhau bằng dấu : và có thể cơ chế viết tắt địa chỉ; địa chỉ theo định dạng IPv4 chỉ là một trường hợp riêng

Các loại địa

chỉ

- Các kết nối điểm điểm -Địa chỉ quảng bá (Broadcast) phụ thuộc vào các liên kết vật lý; giới hạn địa chỉ multicast

- Có các loại địa chỉ: Unicast, Multicast và Anycast, địa chỉ broadcast bị loại bỏ

- Nhận biết các loại địa chỉ thông qua định dạng tiền tố của địa chỉ đó Phân đoạn Có khả năng phân đoạn

thành nhiều gói, được thực hiện trên các bộ định tuyến (router), ảnh hưởng đến tốc

độ router

Hầu hết chỉ làm một lần, thực hiện bởi trạm (không phải router), sau khi MTU phát hiện đường dẫn; nâng cao tốc độ của router

Bảo mật Không hỗ trợ (thường để

cho giao thức của các tầng trên thực hiện)

Có cơ chế kiểm tra tính hợp lệ của gói tin ( theo tiêu chuẩn của gói tin nguyên thủy)

Cấu hình tự động đối với các địa chỉ liên kết mạng cục bộ dựa trên địa chỉ vật lý

Cấu hình tự động với tính linh động cao đối với các mạng đơn giản

Hạn chế các hoạt động quản trị; đối với các môi trường phức tạp

Hỗ trợ các giải thuật về xây dựng bảng định tuyến

1.2.2 Các thuộc tính của IPv6

Giao thức IPv6 không phải là một giao thức hoàn toàn mới Trong [2] nó được xây dựng trên cơ sở phát triển giao thức IPv4 nhằm tận dụng các ưu điểm và khắc phục các hạn chế của giao thức IPv4

Các điểm mới của giao thức IPv6:

Không gian địa chỉ lớn: IPv6 có địa chỉ nguồn và đích dài 128 bit Mặc dù

128 bit có thể tạo ra hơn 3.4x1038 tổ hợp, không gian địa chỉ lớn của IPv6 được thiết kế dự phòng đủ lớn cho phép phân bổ địa chỉ và mạng con từ trục xương sống Internet đến từng mạng con trong một tổ chức Các địa chỉ hiện đang được phân bổ

để sử dụng chỉ chiếm một lượng nhỏ và vẫn còn thừa rất nhiều địa chỉ sẵn sàng cho

sử dụng trong tương lai Với không gian địa chỉ lớn này, các kỹ thuật bảo tồn địa chỉ như NAT sẽ không còn cần thiết nữa

Địa chỉ hóa phân cấp, hạ tầng định tuyến hiệu quả: Các địa chỉ toàn cục của IPv6 được thiết kế để tạo ra một hạ tầng định tuyến hiệu quả, phân cấp và có thể tổng quát hóa dựa trên sự phân cấp thường thấy của các nhà cung cấp dịch vụ Internet (ISP) trên thực tế Trên mạng Internet dựa trên IPv6, các router mạng xương sống (backbone) có số mục trong bảng định tuyến nhỏ hơn rất nhiều

Khuôn dạng header đơn giản hóa: Header của IPv6 được thiết kế để giảm chi phí đến mức tối thiểu Điều này đạt được bằng cách chuyển các trường không quan trọng và các trường lựa chọn sang các header mở rộng được đặt phía sau của IPv6 header Khuôn dạng header mới của IPv6 tạo ra sự xử lý hiệu quả hơn tại các router [2]

Tự cấu hình địa chỉ: Để đơn giản cho việc cấu hình các trạm, IPv6 hỗ trợ cả việc tự cấu hình địa chỉ stateful như khả năng cấu hình với server DHCP[(Dynamic Host Configuration Protocol)Giao thức Cấu hình Host Động DHCP được thiết kế làm giảm thời gian chỉnh cấu hình cho mạng TCP/IP bằng cách tự động gán các địa chỉ IP cho khách hàng khi họ vào mạng và tự cấu hình địa chỉ stateless (không có

server DHCP) Với tự cấu hình địa chỉ dạng stateless, các trạm trong liên kết tự động cấu hình chúng với địa chỉ IPv6 của liên kết (địa chỉ cục bộ liên kết) và với địa chỉ rút ra từ tiền tố được quảng bá bởi router cục bộ [16] Thậm chí nếu không có router, các trạm trên cùng một liên kết có thể tự cấu hình chúng với các địa chỉ cục

bộ liên kết và giao tiếp với nhau mà không phải thiết lập cấu hình bằng tay

Khả năng xác thực, bảo mật an ninh: Tích hợp sẵn trong thiết kế IPv6 giúp triển khai dễ dàng, đảm bảo sự tương tác lẫn nhau giữa các nút mạng

Hỗ trợ tốt hơn về chất lượng dịch vụ QoS: Lưu thông trên mạng được phân thành các luồng cho phép xử lý mức ưu tiên khác nhau tại các router

Hỗ trợ tốt hơn tính năng di động: Khả năng di động MobileIP tận dụng được các ưu điểm của IPv6 so với IPv4

Khả năng mở rộng: Thiết kế của IPv6 có dự phòng cho sự phát triển trong tương lai đồng thời dễ dàng mở rộng khi có nhu cầu

1.3 Các giải pháp chuyển đổi từ IPv4 sang IPv6

Trong thời điểm hiện tại, việc ngừng sử dụng IPv4 để chuyển đổi sang sử dụng IPv6 trên diện rộng là điều không thể thực hiện được ngay lập tức Đối với các mạng nhỏ sử dụng IPv4, chuyển đổi sang IPv6 là điều cần thiết, tuy nhiên cũng chỉ

có thể thực hiện dần từng bước thay vì đồng loạt, điều đó đảm bảo không có sự đột biến trong việc tiếp cận công nghệ mới Do vậy, các phương pháp chuyển đổi cho phép chuyển đổi từ cục bộ đến chuyển đổi tổng thể một hệ thống mạng đang sử dụng IPv4 sang IPv6 đã ra đời Các giải pháp này được xây dựng trên cơ sở các nút mạng IPv4/IPv6 ngày càng tăng và IPv6 cùng tồn tại với IPv4, chuyển đổi dần dần các nút mạng IPv4 sang IPv6 và tiến dần tới mạng trục [2, 16]

Để chuyển đổi từ IPv4 sang IPv6 yêu cầu nhiều yếu tố như thiết bị, firmware,OS và các thiết bị đầu cuối cần có thời gian để tiếp cận và thích nghi của người sử dụng thông qua các chiến dịch hướng dẫn, quảng cáo Vì vậy việc chuyển đổi cần có thời gian và IPv4 hoạt động bên cạnh IPv6

Hình1.3 Mô hình chuyển đổi IPv4 sang IPv6

Về cơ bản có thể chia làm 3 loại:

thiết bị mạng

cho phép thiết bị chỉ hỗ trợ IPv6 có thể giao tiếp với thiết bị hỗ trợ IPv4

mạng IPv4 để truyền tải gói tin IPv6, phục vụ cho kết nối IPv6

1.4 Thực tế triển khai IPv6 tại Việt Nam

Hiện nay,VDC đang là nhà cung cấp dịch vụ chiếm tỉ trọng và quản lý các cổng quốc tế của Internet Việt nam Về mặt cấu trúc hiện nay có ba cổng Internet quốc tế tại Hà nội, TP Hồ Chí Minh và Đà nẵng; Với sự phát triển bùng nổ số lượng khách hàng truy cập internet đòi hỏi các nhà cung cấp dịch vụ phải luôn chú trọng đến chất lượng dịch vụ và chất lượng mạng [16]

Hạ tầng internet Việt Nam đã được phát triển có thể so sánh được với khu vực và thế giới Chất lượng mạng được cải thiện đáng kể thông qua việc nâng cấp

cơ sở hạ tầng mạng từ mạng lõi cho đến các router biên, các phần tử phân phối mạng truyền tải, mạng truy nhập đề được cải thiện về băng thông và an toàn mạng Việc thay thế các phương thức truy nhập từ phương thức quay số truyền thống (dial up) bị giới hạn bởi băng thông 64 kbps từ đường dây điện thoại của mạng cố định PSTN bằng các phương thức truy nhập tiên tiến như ADSL, HDSL, truy nhập vô tuyến EDGE

Các phần tử mạng internet bao gồm: các phần tử mạng lõi(router, router biên), mạng phân phối (router, hệ thống truyền tải) Một phần không kém phần quan trọng của mạng là hệ thống truy nhập bao gồm các thiết bị đầu cuối như môdem, STB, các thiết bị DSLAM, BRAS Ngoài ra phải tính đến các hệ thống DNS, các mail, web, data server của các nhà cung cấp dịch vụ ISP

Ở Việt Nam hiện nay đã có rất nhiều nhà cung cấp dịch vụ Internet, theo thống kê tính đến năm 2009 đã có trên 30 Công ty cung cấp dịch vụ Internet cho trên 22 triệu người Tên các Công ty cung cấp dịch vụ và số liệu thống kê về tình hình phát triển Internet ở Việt Nam cũng như thị phần của các đơn vị được cho

trong “Phụ lục 1”

Đối tượng tham gia khai thác Internet ở Việt Nam đa dạng hơn rất nhiều Theo cuộc điều tra thống kê của VDC Trước đây, đối tượng người sử dụng Internet ở Việt Nam chủ yếu là các doanh nghiệp và tổ chức có tính chất nước ngoài Thực tế đến nay, thành phần tham gia ngoài 2 nhóm trên còn kể đến học sinh sinh viên và cán bộ nhà nước và các hộ gia đình

Chất lượng Internet được cải thiện rõ rệt ngoài lý do băng thông Internet quốc tế tăng mạnh; hệ thống kết nối Internet giữa các IXP trong nước thông qua hệ thống trung chuyển Internet quốc gia – VNIX đã loại bỏ các truy nhập vòng ra quốc

tế, giảm thời gian sử dụng của người dân, dự phòng cứu ứng kết nối cho IXP trong trường hợp đứt vật lý kênh quốc tế Các dịch vụ ứng dụng trong nước như xem tin tiếng Việt, Video, Game online, … được áp dụng triệt để trên hệ thống này

Số lượng địa chỉ IP được sử dụng sẽ mô tả phần nào được qui mô hạ tầng mạng Internet và trình độ ứng dụng các sản phẩm dịch vụ trên Internet Tính đến hết tháng 10/2009, Trung tâm VNNIC đã cấp trên 6782720 triệu địa chỉ IPv4; tổng số tên miền tiếng Việt đã đăng ký là 4777; tổng số tên miền vn đã cấp là 125548 Việt Nam cũng như một số quốc gia đang đối diện với việc cạn kiệt nguồn tài nguyên địa

chỉ IPv4

Hiện trạng cơ sở hạ tầng thông tin hiện nay hạn chế đáng kể việc triển khai các dịch vụ mới Mạng truy nhập quang FTTx, và truy nhập ADSL đã đựơc đầu tư

đáp ứng rất tốt nhu cầu dịch vụ thoại, dữ liệu và video, tuy nhiên để có thể triển

khai các dịch vụ IP cần phát triển mạng thế hệ sau (NGN)

Để có thể triển khai được sử dụng Internet IPv6 tại Việt nam, thông qua nghiên cứu đề xuất các bước thực hiện theo trình tự sau:

Bước 1:

Muốn triển khai IPv6 trước hết cần có địa chỉ IPv6,việc kết nối với 6BONE

có thể được thực hiện thông qua một trong những giải pháp sau đây:

Kết nối với 6BONE thông qua kết nối transit do nhà cung cấp truyền tải đường trục chẳng hạn như VTN VDC cần đảm bảo đường truyền dữ liệu quốc tế để tìm hiểu khả năng thông qua kết nối quốc tế đó để tham gia vào 6BONE Điều kiện

là thiết bị truyền tải có kết nối sẵn với 6BONE, và tương thích về thiết bị

Kết nối với 6BONE thông qua các relay được cung cấp bởi đối tác, hoặc các relay công cộng (như của Microsoft, Cisco) Phương pháp này đơn giản nhưng chỉ cung cấp khả năng truy nhập vào 6BONE chứ không đủ năng lực và điều kiện để được chấp nhận như một site cung cấp dịch vụ IPv6, và do đó không đủ điều kiện

do APNIC yêu cầu

Bước 3:

Sau khi mạng trục đã hỗ trợ IPv6 thì có thể cung cấp các dịch vụ kết nối IPv6 thuần, dịch vụ kết nối qua tunnelling, qua NAT Một trong các dịch vụ

đầu tiên mà nhà cung cấp dịch vụ IPv6 phải cung cấp là dịch vụ tên miền IPv6 (DNS) Do đó nhà cung cấp phải xây dựng trước các máy chủ cung cấp dịch vụ

này trước khi đưa ra dịch vụ [1]

1.5 Kết chương

Công nghệ IPv6 có ưu điểm vượt trội so với công nghệ IPv4 về không gian địa chỉ và đã được được triển khai khá nhiều tại các nước trên thế giới Tại Việt Nam công nghệ IPv6 đã được triển khai, tuy nhiên việc triển khai còn gặp nhiều khó khăn

Chương 2 – NGHIÊN CỨU CẤU TRÚC, MÔ HÌNH TRIỂN KHAI DỊCH VỤ SỬ DỤNG MÁY CHỦ NỘI DUNG TRÊN INTERNET VỚI IPV6

Trong chương này sẽ nghiên cứu cấu trúc và mô hình triển khai dịch vụ sử dụng máy chủ nội trên internet với IPv6 như dịch vụ: Web, FTP, Mail, DNS,…

2.1 Dịch vụ Web

2.1.1 Khái niệm dịch vụ Web

Web Server là máy tính mà trên đó cài đặt phần mềm phục vụ Web, đôi khi người ta cũng gọi chính phần mềm đó là Web Server.Tất cả các Web Server đều hiểu và chạy được các file *.htm và *.html, tuy nhiên mỗi Web Server lại phục vụ một số kiểu file chuyên biệt chẳng hạn như IIS của Microsoft dành cho *.asp,

*.aspx ; Apache dành cho *.php ; Sun Java System Web Server của SUN dành cho *.jsp

Máy Web Server là máy chủ có dung lượng lớn, tốc độ cao, được dùng để lưu trữ thông tin như một ngân hàng dữ liệu, chứa những website đã được thiết kế cùng với những thông tin liên quan khác[12]

2.1.2 Đặc điểm của dịch vụ Web

Web Server có khả năng gửi đến máy khách những trang Web thông qua môi trường Internet (hoặc Intranet) qua giao thức HTTP - giao thức được thiết kế để gửi các file đến trình duyệt Web (Web Browser), và các giao thức khác

Tất cả các Web Server đều có một địa chỉ IP (IP Address) hoặc cũng có thể

có một Domain Name

Bất kỳ một máy tính nào cũng có thể trở thành một Web Server bởi chỉ cần cài đặt lên nó một chương trình phần mềm Server Software và sau đó kết nối vào Internet

Khi máy tính của bạn kết nối đến một Web Server và gửi đến yêu cầu truy cập các thông tin từ một trang Web nào đó, Web Server Software sẽ nhận yêu cầu

và gửi lại cho bạn những thông tin mà bạn mong muốn Giống như những phần

mềm khác mà bạn đã từng cài đặt trên máy tính của mình, Web Server Software cũng chỉ là một ứng dụng phần mềm Nó được cài đặt, và chạy trên máy tính dùng làm Web Server, nhờ có chương trình này mà người sử dụng có thể truy cập đến các thông tin của trang Web từ một máy tính khác ở trên mạng (Internet, Intranet)

Web Server Software còn có thể được tích hợp với CSDL (Database), hay điều khiển việc kết nối vào CSDL để có thể truy cập và kết xuất thông tin từ CSDL lên các trang Web và truyền tải chúng đến người dùng

Server phải hoạt động liên tục 24/24 giờ, 7 ngày một tuần và 365 ngày một năm, để phục vụ cho việc cung cấp thông tin trực tuyến Vị trí đặt server đóng vai trò quan trọng trong chất lượng và tốc độ lưu chuyển thông tin từ server và máy tính

truy cập

2.1.3 Kiến trúc của dịch vụ Web

Web server hoạt động dựa trên giao thức HTTP Khi một người dùng gửi một yêu cầu Web cho Web browser, Web browser gửi yêu cầu lấy trang Web đến Web server thì Web server sẽ ánh xạ (map) Uniform Resource Locator (URL) trên vào một file cục bộ của máy chủ (server) Máy chủ sẽ nạp file từ đĩa và đưa nó thông qua mạng đến Web browser của người dùng Toàn bộ quá trình trao đổi này dựa trên giao thức HTTP

HTTP là một giao thức cho phép Web browsers và Web server có thể giao tiếp với nhau Nó chuẩn hoá các thao tác cơ bản mà một Web Server phải thực hiện, thông tin điều khiển được truyền dưới dạng văn bản thô thông qua kết nối TCP

Các giao thức HTTP được dựa trên mô hình yêu cầu/đáp ứng Một khách hàng thiết lập kết nối với một máy chủ và gửi một yêu cầu cho máy chủ trong các hình thức của một phương pháp yêu cầu, URI, và phiên bản giao thức, theo sau là một tin nhắn MIME - có chứa chính yêu cầu, thông tin khách hàng, và có thể có nội dung Các máy chủ đáp ứng với một tình trạng đường kết nối, bao gồm cả phiên bản của giao thức bản tin và kết nối thành công hoặc lỗi mã, tiếp theo sau là một bản tin MIME - giống như máy chủ có chứa thông tin, thực thể metainformation, và nội dung có thể có

Hình 2.1 Mô hình hoạt động của Web server

Hầu hết các giao tiếp HTTP được khởi xướng bởi một đại diện người dùng

và bao gồm yêu cầu để được sử dụng nguồn tài nguyên trên một số máy chủ gốc

Trong trường hợp đơn giản nhất, điều này có thể được thực hiện thông qua một kết

nối duy nhất (v) giữa đại diện người sử dụng (UA) và máy chủ gốc (O)

yêu cầu chuỗi ->

Các yêu cầu và trả lời sử dụng các kiểu bản tin cùng một dạng để truyền thực

thể Cả 2 bản tin này thì đều bao gồm những phần đầu tùy ý và các thân của thực

thể Phần đầu ngăn cách với phần thân bằng những dòng bản tin không có giá trị

Số <major> tăng lên khi định dạng của một thông điệp trong giao thức này thay đổi Các phiên bản của một thông điệp HTTP được chỉ định bởi một trường HTTP-Phiên bản trong dòng đầu tiên của bản tin

HTTP-Phiên bản = "HTTP" "/" 1 * chữ số "." 1 * chữ số

Các ứng dụng gửi toàn -Yêu cầu hoặc đáp ứng bản tin đầy đủ, như được định nghĩa bởi đặc tả này, phải có một HTTP- Phiên bản "HTTP/1.0" Xét trong trường hợp HTTP/1.0 và HTTP/0.9

HTTP/1.0 máy chủ phải:

 Đáp ứng thích hợp với một bản tin trong cùng một giao thức

HTTP/1.0

Nếu nhận được một yêu cầu phiên bản cao hơn, các cổng proxy phải hạ cấp phiên bản yêu cầu hoặc trả lời với một lỗi Yêu cầu với một phiên bản thấp hơn định dạng gốc của ứng dụng có thể được nâng cấp trước khi được chuyển tiếp

2.1.4 Các thành phần của dịch vụ Web

Một máy chủ web (web server) bao gồm tổng thể nhiều thành phần, dựa vào

đó các ứng dụng web (web application) chạy Ở đây ta giới hạn chỉ nói đến máy chủ web dành cho ứng dụng web dùng Java [2] Những thành phần của máy chủ web này có thể bao gồm:

 Máy chủ HTTP (HTTP server)

 Bộ chứa Servlet/JSP (Servlet/JSP container)

 Gói hiện dựng JSF (bundled JSF implementation)

 Máy chủ EJB (EJB server)

 Bộ chứa EJB (EJB container)

 Các dịch vụ Java EE (JNDI Resources, JDBC DataSources, JMS, Web Services JAX-RS hay JAX-WS, JPA, JAAS )

 Các dịch vụ khác (SSI, SSL, Security Manager, )

2.2 Dịch vụ DNS (Domain Name System)

hàm thư viện dùng để tạo các truy vấn và gửi chúng qua đến Name Server DNS được thực hiện như một giao thức tầng ứng dụng trong mạng TCP/IP [5]

2.2.2 Chức năng của DNS

DNS là một cơ sở dữ liệu phân tán Điều này cho phép người quản trị cục bộ quản lý phần dữ liệu nội bộ thuộc phạm vi của họ, đồng thời dữ liệu này cũng dễ dàng truy cập được trên toàn bộ hệ thống mạng theo mô hình Client-Server[3,11]

Với sự ra đời của IPv6, hệ thống DNS cần có các thay đổi để có thể xử lý các yêu cầu tra cứu địa chỉ mới

Bản ghi tài nguyên RR: Do địa chỉ IPv6 có kích thước và cách biểu diễn khác với địa chỉ IPv4 nên cần có các loại bản ghi mới để lưu thông tin về tên-địa chỉ Hai loại bản ghi phục vụ việc tra cứu thuận tên-địa chỉ được đưa ra là AAAA (còn gọi là quad A) và A6 Loại bản ghi PTR được sửa đổi để phục vụ cho việc tra cứu ngược (địa chỉ-tên) Các kiểu địa chỉ này vẫn thuộc lớp mạng IN

Chương trình Name Server: Đợi yêu cầu dịch vụ tại địa chỉ IPv6 và cho phép

xử lý và trả lời các yêu cầu truy vấn địa chỉ IPv6

Chương trình Name Resolver: Sửa đổi trong các hàm thư viện tra cứu địa chỉ

và các tiện ích để xử lý các địa chỉ IPv6

Hình 2.2 Mô hình kết nối máy chủ DNS

Cơ sở dữ liệu của DNS là một cây đảo ngược Mỗi nút trên cây cũng lại là gốc của một cây con Mỗi cây con là một phân vùng con trong toàn bộ cơ sở dữ liệu DNS gọi là miền (domain) Mỗi domain có thể phân chia thành các phân vùng con nhỏ hơn gọi là các miền con (subdomain)

2.2.3 Cấu trúc của DNS

Mỗi domain có một tên (domain name) Tên domain chỉ ra vị trí của nó trong

cơ sở dữ liệu DNS Trong DNS tên miền là chuỗi tuần tự các tên nhãn tại nút đó đi ngược lên nút gốc của cây và phân cách nhau bởi dấu chấm Root name Server là máy chủ quản lý các Name Server ở mức domain cao Khi có truy vấn về một tên miền nào đó thì Root Name Server phải cung cấp tên và địa chỉ IP của Name Server quản lý domain mức cao và đến lượt các Name Server của domain mức cao cung cấp danh sách các Name Server có quyền trên các domain mức thứ hai mà tên miền này thuộc vào Cứ như thế đến khi nào tìm được máy chủ quản lý tên miền cần truy vấn

2.2.4 Nguyên tắc làm việc của DNS

DNS Server chứa dữ liệu thông tin DNS về một số thành phần trong cấu trúc DNS Domain Tree và giải quyết các truy vấn phân giải tên bởi các Client Khi truy vấn, DNS Server có thể cung cấp các thông tin đã yêu cầu, cung cấp 1 lời gợi ý đến Server khác để server khác có thể giúp đỡ việc giải quyết câu truy vấn hay thậm chí đáp lại các thông tin không có sẵn hay không tồn tại [5,12]

Một DNS Server có thẩm quyền đối với 1 zone nếu nó đăng kí tổ chức zone

đó như 1 Primary hay Secondary DNS Server Một DNS Server có thẩm quyền đối với 1 Domain khi nó dựa vào các Resource Record cục bộ đã cấu hình, ngược lại với thông tin đã lưu, để trả lời câu truy vấn về các Host nằm trong domain đó Như vậy, các server quyết định phần chia DNS namespace của nó

DNS Zones: 1 DNS Zone là 1 phần kế nhau của 1 không gian tên cho 1 server có thẩm quyền 1 server có thể có thẩm quyền đối với 1 hoặc nhiều zone, và

1 zone có thể chứa 1 hoặc nhiều domain kế nhau

DNS Resolvers: 1 DNS Resolver là 1 công tác sử dụng giao thức DNS để truy vấn thông tin từ các DNS Server DNS Resolver sẽ liên lạc các DNS Server ở

xa hoặc các chương trình DNS Server đang chạy trên máy tính cục bộ

Resource Records: Các Resource Record là các danh sách cơ sở dữ liệu được

sử dụng để trả lời các câu truy vấn từ DNS Client Mỗi DNS Server chứa nhiều Resource Record nó dùng để trả lời cho các thành phần không gian tên DNS của nó

Resource Record được mô tả rõ ràng các dạng record chẳng hạn như Host Address (A), Alias (CNAME), và Mail Exchanger (MX)

Khi một DNS Client cần phân giải 1 tên bằng phần mềm, nó sẽ truy vấn các DNS để phân giải tên Mỗi một câu truy vấn Client gởi đi chứa 3 thành phần thông tin sau:

Một DNS domain name, nói rõ như là 1 FQDN (Dịch vụ DNS Client sẽ thêm vào các Suffix cần thiết để tạo ra 1 FQDN nếu nó không được chương trình nguyên thủy cung cấp)

Một kiểu câu truy vấn xác định, trong đó nó xác định dạng Resource Record hay xác định kiểu câu truy vấn hoạt động

Một lớp xác định đối với DNS Domain name (Đối với dịch vụ DNS Client, lớp này luôn luôn được xác định giống như lớp Internet [IN])

Vấn đề truy vấn DNS giải quyết bằng nhiều cách khác nhau Về cơ bản, DNS Client sẽ liên hệ với DNS Server, DNS Server sau đó sử dụng cơ sở dữ liệu Resource Record của nó để trả lời 1 câu truy vấn Tuy nhiên, bằng cách đầu tiên nó tham khảo bộ đệm của nó, đôi khi DNS Client sẽ nhận được câu trả lời mà không cần liên hệ với DNS Server Một cách khác để câu truy vấn DNS được phân giải là thông qua Recursive Việc sử dụng quá trình này, 1 DNS Server có thể thay mặt cho yêu cầu của Client truy vấn các DNS Server khác để mà phân giải FQDN Khi DNS Server nhận được câu trả lời thì nó sẽ gởi câu trả lời lại cho Client

Một phương pháp cuối cùng để phân giải 1 câu truy vấn DNS đó là thông qua Iterative (Chúng ta cũng sẽ hiểu Iterative ở phần sau) Thông qua quá trình này, Client sẽ cố gắng tự nó liên hệ với các DNS Server bổ sung để phân giải 1 tên Khi Client làm như vậy, nó sẽ sử dụng câu truy vấn riêng và bổ sung dựa vào câu trả lời tham khảo từ DNS Server

Các bước truy vấn DNS: Quá trình truy vấn DNS xảy ra trong 2 phần:

1 tên truy vấn bắt đầu tại 1 máy tính Client và được chuyển đến dịch vụ DNS Client

để phân giải

Khi câu truy vấn không thể phân giải cục bộ, DNS sẽ bị truy vấn để phân giải 1 tên

Những quá trình này sẽ được giải thích chi tiết như sau:

Phân giải cục bộ (The Local Resolver): Hình 2.3 sẽ miêu tả khái quát mặc định quá trình truy vấn DNS, trong đó 1 Client được cấu hình để tạo ra các câu truy vấn Recursive đến 1 Server Trong kịch bản này, nếu dịch vụ DNS Client không thể giải quyết câu truy vấn từ thông tin bộ đệm cục bộ thì Client tạo ra duy nhất 1 câu truy vấn đến 1 DNS Server, DNS Server sẽ chịu trách nhiệm trả lời câu truy vấn đại diện cho Client

Trong hình 2.3, Các câu truy vấn và các câu trả lời được kí hiệu lần lượt bằng các chữ Q và A Các câu truy vấn có số cao chỉ có thể được tạo ra khi câu truy vấn trước đó không thành công Ví dụ, Q2 chỉ xuất hiện khi Q1 không thành công

Truy vấn 1 DNS Server: dịch vụ DNS Client sử dụng 1 server trong danh sách có sẵn bằng cách ưu tiên Danh sách này chứa tất cả các Preferred và Alternate DNS Server được cấu hình ở Network Connections ở mỗi hệ thống Đầu tiên Client

sẽ truy vấn 1 DNS Server đã được chỉ rõ ở Preferred DNS Server trong hộp thoại Internet Protocol (TCP/IP) Properties Nếu không có sẵn Preferred DNS Server thì Alternate DNS Server sẽ được sử dụng [5,12]

Hình 2.3 Quá trình truy vấn DNS

2.3 Dịch vụ FTP (File Tranfer Protocol)

2.3.1 Khái niệm

FTP là từ viết tắt của File Transfer Protocol Giao thức này được xây dựng dựa trên chuẩn TCP, FTP cung cấp cơ

chế truyền tin dưới dạng tập tin (file)

thông qua mạng TCP/IP, FTP là 1 dịch

vụ đặc biệt vìnó dùng đến 2 cổng: cổng

20 dùng để truyền dữ liệu (data port) và

cổng 21 dùng để truyền lệnh(command

port)

FTP Server thường là một máy tính

phục vụ cho việc quảng bá các tập

Hình 2.4 Mô hình hoạt động của Active FTP

tin cho người dùng hoặc là một nơi cho phép người dùng chia sẻ tập tin với những người dùng khác trên Internet

2.3.2 Mô hình hoạt động của FTP

Ở khía cạnh firewall, để FTP Server hỗ trợ chế độ Active các kênh truyền sau phải mở:

Client);

kết nối vào cổng dữliệu của Client);

 Nhận kết nối hướng đến cổng 20 của FTP Server từ các cổng > 1024 (Client gửi xác nhận ACKsđến cổng data của Server)

Bước 1: Client khởi tạo kết nối vào cổng 21 của Server và gửi lệnh PORT 1027

Bước 2: Server gửi xác nhận ACK về cổng lệnh của Client

Bước 3: Server khởi tạo kết nối từ cổng 20 của mình đến cổng dữ liệu mà Client đã khai báotrước đó

Bước 4: Client gửi ACK phản hồi cho Server

Khi FTP Server hoạt động ở chế độ chủ động, Client không tạo kết nối thật

sự vào cổng dữ liệu của FTP server, mà chỉ đơn giản là thông báo cho Server biết rằng nó đang lắng nghe trên cổng nào và Server phải kết nối ngược về Client vào cổng đó Trên quan điểm firewall đối với máy Client điều này giống như 1 hệ thống bên ngoài khởi tạo kết nối vào hệ thống bên trong và điều này thường bị ngăn chặn trên hầu hết các hệ thống Firewall

Hình 2.5 phiên làm việc active FTP: Trong đó phiên làm việc FTP khởi tạo

từ máy testbox1.slacksite.com (192.168.150.80), dùng chương trình FTP Client dạng dòng lệnh, đến máy chủ FTP testbox2.slacksite.com (192.168.150.90) Các dòng có dấu  chỉ ra các lệnh FTP gửi đến Server và thông tin phản hồi từ các lệnh này Các thông tin người dùng nhập vào dưới dạng chữ đậm

Lưu ý là khi lệnh PORT được phát ra trên Client được thể hiện ở 6 byte 4 byte đầu là địa chỉ IP củamáy Client còn 2 byte sau là số cổng Giá trị cổng đuợc tính bằng (byte_5*256) + byte_6, ví dụ ((14*256) + 178) là 3762

Hình 2.5 Phiên làm việc active FTP

2.3.2.2 Passive FTP

Để giải quyết vấn đề là Server phải tạo kết nối đến Client, một phương thức kết nối FTP khác đã được phát triển Phương thức này gọi là FTP thụ động (passive) hoặc PASV (là lệnh mà Client gửi cho Server để báo cho biết là nó đang ở chế độ passive)

Ở chế độ thụ động, FTP Client tạo kết nối đến Server, tránh vấn đề Firewall lọc kết nối đến cổng của máy bên trong từ Server Khi kết nối FTP được mở, client sẽ mở 2 cổng không dành riêng N, N+1 (N >1024) Cổng thứ nhất dùng để liên lạc với cổng 21 của Server, nhưng thay vì gửi lệnh PORT và sau đó là server kết nối ngược về Client, thì lệnh PASV được phát ra Kết quả là Server sẽ mở 1 cổng không dành riêng bất kỳ P (P > 1024) và gửi lệnh PORT P ngược về cho Client Sau đó client sẽ khởi tạo kết nối từ cổng N+1 vào cổng P trên Server để truyền dữ liệu

Từ quan điểm Firewall trên Server FTP, để hỗ trợ FTP chế độ passive, các kênh truyền sau phải được mở:

Hình 2.6 Mô hình hoạt động của Passive FTP

Cổng FTP 21 của Server nhận kết nối từ bất nguồn nào (cho Client khởi tạo kết nối)

Cho phép trả lời từ cổng 21 FTP Server đến cổng bất kỳ trên 1024 (Server trả lời cho cổng control của Client)

Nhận kết nối trên cổng FTP server > 1024 từ bất cứ nguồn nào (Client tạo kết nối để truyền dữ liệu đến cổng ngẫu nhiên mà Server đã chỉ ra)

Bước 1: Client kết nối vào cổng lệnh của Server và phát lệnh PASV

Bước 2: Server trả lời bằng lệnh PORT 2024, cho Client biết cổng 2024 đang

mô tả dãy các cổng >= 1024 mà FTP Server sẽ dùng (ví dụWU-FTP Daemon)

Vấn đề thứ hai là một số FTP Client lại không hổ trợ chế độ thụ động Ví dụ tiện ích FTP Client mà Solaris cung cấp không hổ trợ FTP thụ động Khi đó cần

phải có thêm trình FTP Client Một lưu ý là hầu hết các trình duyệt Web chỉ hổ trợ FTP thụ động khi truy cập FTP Server theo đường dẫn URL ftp://.Ví dụ phiên làm việc passive FTP:

Trong hình 2.7 phiên làm việc FTP khởi tạo từ máy testbox1.slacksite.com (192.168.150.80), dùng chương trình FTP Client dạng dòng lệnh, đến máy chủ FTP testbox2.slacksite.com(192.168.150.90), máy chủ Linux chạy ProFTPd 1.2.2RC2 Các dòng có dấu > chỉ ra các lệnh FTP gửi đến Server và thông tin phản hồi từ các lệnh này Các thông tin người nhập vào dưới dạng chữ đậm [12]

Lưu ý: đối với FTP thụ động, cổng mà lệnh PORT mô tả chính là cổng sẽ được mở trên Server Còn đối với FTP chủ động cổng này sẽ được mở ở Client

Hình 2.7 Phiên giao dịch Passive FTP

password Phần lớn các FTP Server cho phép các máy trạm kết nối vào mình thông qua account anonymous (account anonymous thường được truy cập với password rỗng) Các máy trạm có thể sử dụng các lệnh ftp đã tích hợp sẵn trong hệ điều hành hoặc phần mềm chuyên dụng khác để tương tác với máy FTP Server

Máy chủ FTP chạy trên nền địa chỉ IPv6 cho phép các tài khoản có thể truy nhập đến và lấy các thông tin về IPv6 để tham khảo các kinh nghiệm trong quá trình triển khai mạng IPv6

FTP là dịch vụ đặc biệt vì nó dùng đến 2 cổng: cổng 20 dùng để truyền dữ liệu (data port) và cổng 21 dùng để truyền lệnh (command port) FTP hoạt động ở một trong 2 cơ chế: cơ chế chủ động (active) và cơ chế bị động (passive) Khi FTP Server hoạt động ở cơ chế chủ động, client không chủ động tạo kết nối thật sự vào cổng dữ liệu của FTP Server, mà chỉ đơn giản là thông báo cho server biết rằng nó đang lắng nghe trên cổng nào và server phải kết nối ngược về client vào cổng đó

Để giải quyết vấn đề server phải tạo kết nối đến client, một phương thức kết nối FTP khác đã được phát triển Phương thức này gọi là FTP thụ động hoặc PASV Trong khi FTP ở chế độ thụ động giải quyết được vấn đề phía client thì nó gây ra nhiều vấn đề khác về phía server Thứ nhất là cho phép máy ở xa kết nối vào cổng bất kỳ lớn hơn 1024 của server [11] Vấn đề thứ hai là, một số FTP client lại không

hỗ trợ chế độ thụ động Ví dụ tiện ích FTP mà Solaris cung cấp không hỗ trợ FTP

thụ động Khi đó, cần phải dùng thêm trình FTP client

2.3.4 Tập lệnh của FTP

Các lệnh về thư mục

 lcd [local folder] : đặt lại thư mục làm việc trên Client

 del [file name] : xóa file trên Server

 rename [from] [to] : đổi tên file hoặc thư mục [from] thành [to]

Các lệnh về tập tin

thư mục hiện tại trên Client

 put [file name] : Upload file lên Server put [local file] [new file] : Upload và đổi tên là new file

 mput [files name] : Upload nhiều files lên Server.Trước khi dùng put hoặc mput upload files lên Server, ta nên nén các file thực thi exe com để tránh trường hợp không upload được

Các lệnh khác

 bell : mở tắt tiếng chuông khi hoàn tất lệnh

 status : xem tình trạng phiên làm việc hiện tại

Server với tên mới là ServerFileName

vào lưu vào Client với tên mới là LocalFileName

 close / disconnect : ngắt kết nối

 ! : thoát khỏi shell FTP

 open [Hostname] [port number] : kết nối đến Server với tên host là Hostname và ở cổng chỉ định

2.4 Dịch vụ Mail

2.4.1 Khái niệm về Mail

Mail server là máy chủ dùng để nhận và gửi mail, với các chức năng chính:

2.4.2 Giao thức SMTP, POP3, IMAP4

SMTP (Simple Mail Transfer Protocol) là giao thức tin cậy chịu trách nhiệm phân phát Mail, nó chuyển Mail từ hệ thống này sang hệ thống khác, chuyển Mail trong hệ thống mạng nội bộ, cậy hướng kết nối( connection-oriented) được cung cấp bởi giao thức TCP ( Trasmission Control Protocol ), nó sử dụng số hiệu cổng 25

POP (Post Office Protocol)là giao thức cung cấp cơ chế truy cập và lưu trữ hộp thư cho người dùng Có hai phiên bản của POP được sử dụng rộng rải là POP2, POP3 POP2 được định nghĩa trong RFC 937, POP3 được định nghĩa trong RFC

1725 POP2 sử dụng 109 và POP3 sử dụng Port 110 Các câu lệnh trong hai giao thức này không giống nhau nhưng chúng cùng thực hiện chức năng cơ bản là kiểm tra tên đăng nhập và password của user và chuyển tới từ server tới hệ thống đọc Mail cục bộ của user

Ngoài các thành phần cơ bản cho phép hệ thống máy chủ thư điện tử có thể gửi nhận thư nó thường được tích hợp thêm các chức năng để đảm bảo cho hệ thống hoạt động ổn định và an toàn [12]

Ví dụ như hình vẽ trên, khi e-mail được gửi đi và gửi đến Khi các e-mail đến local queue và remote queue trước khi gửi đến hộp thư của người dùng hoặc gửi ra ngoài Internet nó sẽ được kiểm tra có virus, kiểm tra spam, hoặc lọc e-mail