Khi cácmáy tính đợc nối với nhau, những ngời sử dụng có thể chia sẻ các tài nguyêntrên mạng nh : File, máy in, modem...Mọi mạng máy tính đều bao gồm các thành phần sau : Tối thiểu hai m
Cơ bản về mạng máy tính
Khái niệm chung về mạng máy tính
I Khái niệm mạng máy tính :
Mạng máy tính là tập hợp tối thiểu hai máy tính đợc kết nối với nhau Khi các máy tính đợc nối với nhau, những ngời sử dụng có thể chia sẻ các tài nguyên trên mạng nh : File, máy in, modem
Mọi mạng máy tính đều bao gồm các thành phần sau :
Tối thiểu hai máy tính.
Trên mỗi máy tính đều đợc gắn một NIC (Network Interface Card)
Một môi trờng truyền dẫn (thông thờng là cáp đồng trục hoặc cáp đôi dây xoắn hoặc có thể là trờng điện từ)
Một hệ điều hành mạng ( NOS ) nh Windows 9x, Windows NT, Windows 2000
Một số thiết bị mạng nh hub, router, switch (các thiết bị này có thể có hoặc không).
2 Lý do sử dụng mạng máy tính
Nh đã trình bày ở trên, mạng máy tính đợc đa ra nhằm mục đích giải quyết ba vấn đề :
Chia sẻ thông tin ( hoặc dữ liệu ).
Chia sẻ thiết bị phần cứng hoặc phần mềm.
Cung cấp khả năng quản lý và hỗ trợ tập trung đối với các thiết bị.
Chi tiết hơn, một máy tính khi đợc kết nối vào mạng có thể chia sẻ :
Các tài liệu, biên bản, các bảng tính, các hoá đơn,
Các th điện tử ( Electronics mail ),
Các phần mềm xử lý văn bản, phần mềm bảng tính,
Máy in, máy fax, CD-ROM, ổ đĩa cứng,
Các thiết bị ngoại vi khác
Các tuỳ chọn trên không ngừng đợc mở rộng do con ngời thờng xuyên tìm ra những phơng thức mới giúp chia sẻ thông tin và giao tiếp bằng phơng tiện máy tÝnh. a Chia sẻ thông tin
Khả năng chia sẻ thông tin một cách nhanh chóng, chính xác và giá rẻ là những thứ chính yếu mà ngời dùng mạng đợc hởng lợi khi sử dụng mạng máy tính Bằng cách chia sẻ thông tin, mạng máy tính giúp giảm đi đáng kể lợng giấy dùng để trao đổi thông tin và tăng hiệu quả công việc Mạng máy tính có thể ứng dụng trong việc chuẩn hoá các ứng dụng, nhằm đảm bảo các ngời dùng trên mạng đều sử dụng cùng phiên bản của cùng ứng dụng và thiết lập máy tính theo cách thức nh nhau Một số nhà doanh nghiệp đầu t sử dụng mạng máy tính do họ nhận thấy những lợi ích thu đợc khi sử dụng e-mail, ch- ơng trình lập lịch biểu và các chơng trình ứng dụng khác Nhà quản lý có thể dùng những chơng trình ứng dụng để có thể tiến hành giao tiếp, truyền thông nhanh chóng và hiệu quả với rất nhiều ngời, cũng nh để tổ chức, sắp xếp toàn công ty một cách dễ dàng hơn hẳn trớc đây Hình dới đây trình bày một ví dụ về việc dùng chung dữ liệu trên chơng trình lập lịch Microsoft Outlook.
Hình 1 : Dùng chung dữ liệu trên chơng trình lập lịch Outlook b Chia sẻ phần cứng hoặc phần mềm
Trớc khi có mạng máy tính, các ngời dùng phải tự trang bị cho mình các thiết bị ngoại vi ( peripheral devices ) nh máy in, máy vẽ, Để chia sẻ một thiết bị ngoại vi với các ngời dùng khác thì chỉ có cách duy nhất là các ngời dùng phải lần lợt ngồi trớc máy tính đã đợc nối với thiết bị ngoại vi đó.
Giờ đây, mạng máy tính có thể cho phép nhiều ngời dùng chung cả dữ liệu lẫn thiết bị ngoại vi cùng một lúc.
Hình 3 : Thiết bị ngoại vi đợc chia sẻ c Cung cấp khả năng và hỗ trợ quản lý tập trung các thiết bị
Bằng cách sử dụng các phần mềm quản lý khiến cho việc phát hiện lỗi và khôi phục hệ thống một cách nhanh chóng Cấu hình, bảo mật, hiệu suất và các yêu cầu khác sẽ đợc cấp phát sao cho phù hợp với chức năng và nhiệm vụ của các máy tính trên mạng.
II Cấu hình mạng máy tính
Các cấu hình của mạng máy tính chính là các quy định về cách thức tổ chức của một mạng máy tính Khi nói đến dạng của mạng máy tính, điều đó có nghĩa nói đến cách thức bố trí các thiết bị mạng Hiện nay, tồn tại ba dạng chính: bus, vòng ( ring) và sao (star) Các dạng này chỉ là các cấu trúc logic, trên thực tế không nhất thiết các thiết bị mạng phải tổ chức đấu nối, cũng nh bố trí vị trí các thiết bị tuân thủ hoàn toàn theo nh các dạng đã nêu Trong các dạng nêu trên thì dạng bus đợc sử dụng tơng đối rộng rãi.
Nh hình vẽ trên, môi trờng mạng là một đờng cáp trục chính nối kết tất cả các thiết bị mạng với nhau, và cùng chia sẻ với nhau môi trờng mạng Hầu hết các mạng dùng bus đều phát các tín hiệu ở cả hai phía của đờng cáp trục, mục đích của việc đó giúp cho các thiết bị trực tiếp nhận đợc tín hiệu Thông thờng, đối với các mạng bus, ngời ta sử dụng một đầu nối đặc biệt để chặn các tín hiệu không cho chúng phản hồi lại trên cáp gây ra nhiễu Đối với dạng này, khi phát sinh quá trình truyền dẫn, dữ liệu phải đi dọc theo chiều dài của môi tr- ờng truyền dẫn và tất cả các thiết bị mạng đều nhận đợc.
2 Đồ hình vòng (ring) : Đồ hình ring là một dạng có cấu trúc bao gồm các thiết bị đợc kết nối với nhau trên một đờng truyền định hớng kín Cả TokenRing/IEEE 802.5 và mạng FDDI đều sử dụng dạng này ở dạng vòng thì tín hiệu đợc lu chuyển trên một vòng theo một chiều duy nhất Mỗi trạm của mạng đợc nối với vòng qua một bộ chuyển tiếp (repeter) có nhiệm vụ nhận tín hiệu rồi chuyển đến trạm kế tiếp trên vòng Nh vậy tín hiệu đợc lu chuyển trên vòng theo một chuỗi liên kết điểm - điểm giữa các repeter. Cần thiết phải có giao thức đIều khiển việc cấp phát “ quyền ” đợc truyền dữ liệu trên vòng cho các trạm có nhu cầu.
Hình 5 : Mạng dạng vòng Để tăng độ tin cậy của mạng, tuỳ trờng hợp ngời ta có thể lắp đặt d thừa các đ- ờng truyền trên vòng, tạo thành một dạng vòng d phòng Khi đờng truyền trên vòng chính bị sự cố thì vòng phụ này sẽ đợc sử dụng, với chiều đi của tín hiệu
3 Đồ hình hình sao ( star ) Đồ hình hình sao là một cấu trúc trong đó các điểm cuối của mạng đợc kết nối đến một bộ tập trung nh hub, switch bằng một đờng riêng.
Topology star là lắp đặt đơn giản, dễ dàng cấu hìng lại, dễ dàng kiểm soát và khắc phục sự cố Đặc biệt là do sử dụng kiểu liên kết điểm - điểm nên tận dụng đợc tối đa tốc độ đờng truyền của đờng truyền vật lý Nhng nó có nhợc điểm là độ dài đờng truyền nối với một trạm thiết bị trung tâm bị hạn chế (trong vòng 100m, với công nghệ hiện nay)
III Đặc tính của một số môi trờng truyền dẫn
Một hệ thống mạng máy tính hoạt động đợc nhờ các thiết bị và giữa các thiết bị trao đổi thông tin với nhau nhờ vào môi trờng truyền dẫn Môi trờng truyền dẫn đợc sử dụng để trao đổi thông tin trên mạng máy tính Đối với mạng máy tính, môi trờng truyền dẫn có thể là dây cáp, sóng điện từ, ánh sáng.
Môi trờng truyền dẫn đơn giản nhất là sử dụng hai đôi dây dẫn thẳng có vỏ bọc để truyền thông tin Thông tin cần truyền đợc truyền qua một dây còn dây kia truyền tín hiệu nối đất chuẩn để so sánh Hệ thống truyền thông tin dùng đôi dây dẫn thẳng rất dễ bị ảnh hởng do xuyên âm và tạp nhiễu Xuyên âm là khái niệm dùng để chỉ hiện tợng nhiễu sinh ra bởi các đờng cáp truyền đặt quá gần nhau Nhiễu xuyên âm gây cản trở cho quá trình truyền dữ liệu do tại đầu nhận chỉ nhận biết đợc tín hiệu do sự thay đổi trạng thái của tín hiệu khi so sánh với tín hiệu nối đất chuẩn nhận đợc Do các lý do này nên khoảng cách tối đa của đôi dây dẫn thẳng bị hạn chế Để khắc phục nhợc điểm của đôi dây dẫn thẳng, ngời ta tiến hành xoắn hai dây lại với nhau Mục đích của việc xoắn hai dây với nhau nhằm giảm bớt sự ảnh hởng của nhiễu điện từ gây ra bởi môi trờng xung quanh và gây ra bởi bản thân chúng đối với nhau Mức suy hao tín hiệu của cáp đôi dây xoắn đợc đo bằng dB/mét Mức suy hao tín hiệu còn phụ thuộc vào mức xoắn dây Cáp đôi dây xoắn có thể chia thành hai loại chính UTP ( Un-shielded Twisted Pair ) và STP ( Shielded Twisted Pair ). a UTP
Có năm loại cáp đôi dây xoắn hay đợc dùng đó là
UTP loại 1 và 2 ( Categories 1 & Categories 2 ) Đợc sử dụng thích hợp cho việc truyền tín hiệu thoại và truyền dữ liệu tốc độ thấp ( dới 4 Mbps ).
Loại này thích hợp cho việc truyền dữ liệu với tốc độ lên tới 16 Mbps Tuy nhiên, có những kiểu cách đấu dây mạng khác nhau vẫn có thể cho phép dùng dây cáp mạng kiểu này truyền dữ liệu với tốc độ lên tới 100 Mbps Loại dây cáp này hiện nay là dây cáp chuẩn để truyền tín hiệu thoại.
UTP loại 4 (Categories 4 ) Đây là loại cáp thích hợp cho việc truyền dữ liệu với tốc độ lên tới 20 Mbps.
Loại cáp này thích hợp cho việc truyền dữ liệu với tốc độ đạt tới 100 Mbps.
Nói chung, cáp UTP cho một tỷ lệ rất cân bằng giữa giá thành và hiệu năng sử dụng Do vây, cáp UTP rất đợc u dùng khi sử dụng trong quá trình lắp đặt các mạng cục bộ hiện nay. b STP
Mô hình tham chiếu OSI
I Khái niệm về mô hình tham chiếu OSI
Mô hình tham chiếu OSI mô tả cách thức thông tin đợc truyền từ một ứng dụng chạy trên một máy tính này thông qua môi trờng mạng rồi đa đến trình ứng dụng chạy trên một máy tính khác.
Mô hình tham chiếu OSI đợc hiệp hội chuẩn quốc tế ISO (International Oranization for Standardization) đa ra vào năm 1984 và đợc đề cập đến nh là một mô hình cáu trúc chính yếu cho quá trình giao tiếp giữa các máy tính Mô hình tham chiếu là một mô hình bao gồm bảy tầng, trong đó mỗi tầng đặc tả các chức năng riêng biệt Mô hình tham chiếu OSI chia nhỏ các nhóm tác vụ phức tạp thành các nhóm tác vụ đơn giản hơn, một tác vụ hay một nhóm tác vụ đơn giản hơn, một tác vụ hay một nhóm các tác vụ đợc gắn tơng ứng với mỗi tầng của mô hình tham chiếu OSI Các tác vụ này có thể đợc khởi tạo một cách độc lập, điều này hết sức quan trọng : nó cho phép một tầng có thể đợc thay đổi mà không làm ảnh hởng đến các tầng khác trong mô hình tham chiếu OSI.
Tr×nh diÔn Phiên ChuyÓn vËn Mạng Liên kết dữ liệu VËt lý ứng dụng Appication
Hệ thống A Hệ thống B § êng truyÒn vËt lý
Giao thức tầng 7 Giao thức tầng 6 Giao thức tầng 5
Giao thức tầng 3 Giao thức tầng 4
Giao thức tầng 2 Giao thức tầng 1
Hình12 : Mô hình tham chiếu OSI (tên gọi ở hệ thống B đợc tạm dịch sang tiếng Việt)
II Các đặc tính của các lớp trong mô hình tham chiếu
Appication Presentation Session Transport Network Data Link Physical
Hình 13 : Các nhóm trong mô hình OSI
Nhóm I của mô hình tham chiếu đợc bắt nguồn từ các trình ứng dụng và thông thờng đợc khởi tạo bằng phần mềm Tầng cao nhất trong mô hình tham chiếu đó là tầng Application liên quan chặt chẽ tới ngời dùng cuối Cả ngời dùng cuối và tiến trình của tầng Application tơng tác với ứng dụng bao gồm các thành phần truyền thông.
Nhóm II của mô hình tham chiếu gắn liền với việc điều khiển qúa trình truyền dữ liệu Tầng Physical và tầng Data link đợc khởi tạo bằng cả phần cứng và phần mềm Tầng thấp nhất – tầng Physical liên quan mật thiết đến môi trờng vật lý và chịu trách nhiệm đẩy thông tin đến môi trờng vật lý.
Mô hình tham chiếu cung cấp một khung khái niệm cho việc truyền thông giữa các máy tính nhng tự bản thân nó không phải là một phơng thức truyền thông Chỉ có thể truyền thông thực sự khi sử dụng các giao thức truyền thông. Trong ngữ cảnh của mạng thì một giao thức là tập hợp các chuẩn quy định để các máy tính có thể trao đổi thông tin với nhau thông qua môi trờng mạng. Một giao thức có thể nằm tại một hay nhiều tầng trong mô hình tham chiếu OSI. Để phục vụ cho việc truyền thông thì tồn tại rất nhiều giao thức nhng các giao thức này có thể quy về các nhóm sau : nhóm các giao thức LAN, nhóm giao thức WAN, nhóm giao thức mạng, nhóm giao thức dẫn đờng trong đó :
Nhóm các giao thức LAN hoạt động ở tâng Data link và tầng Physical của mô hình tham chiếu OSI và thiết lập truyền thông qua các mạng LAN khác nhau.Nhóm giao thức WAN hoạt động ở ba tầng thấp nhất trong mô hình tham chiếu OSI và thiết lập truyền thông thông qua các mạng WAN khác nhau.
Nhóm giao thức mạng là các giao thức khác nhau ở các tầng trên (nhóm I) trong mô hình tham chiếu OSI.
Nhóm giao thức dẫn đờng là các giao thức ở tầng Network chịu trách nhiệm cho việc xác định đờng điều khiển dữ liệu.
III Mô hình tham chiếu OSI và quá trình truyền thông giữa các hệ thống :
Thông tin đợc truyền từ trình ứng dụng trên máy tính này sang trình ứng dụng trên máy tính khác phải đi qua các tầng của mô hình tham chiếu Ví dụ : nếu một trình ứng dụng trên một hệ thống A có thông tin để truyền đến trình ứng dụng trên hệ thống B thì chơng trình ứng dụng trên hệ thống A sẽ đa thông tin cần truyền đến tầng Application của hệ thống A Tầng Application sẽ đẩy xuống tầng Presentation và quá trình đó tiếp tục cho đến tầng Physical của hệ thống A Tại tầng Physical của hệ thống A thông tin đợc truyền đến hệ thống
B Lúc này, tại tầng Physical của hệ thống B nhận đợc thông tin từ môi trờng mạng và đẩy lên tầng Data link và tiếp tục cho đến tầng Application trên hệ thống B Cuối cùng tầng Application sẽ đẩy thông tin vừa nhận đợc tới chơng trình ứng dụng và hoàn tất tiến trình truyền thông.
IV Chức năng của các tầng trong mô hình tham chiếu OSI :
1 TÇng Application : Đây là tầng cao nhất trong mô hình tham chiếu OSI Nó đóng vai trò nh cửa sổ dành cho hoạt động xử lý của tầng Application nhằm truy cập các dịch vụ mạng Tầng này mô tả các dịch vụ hỗ trợ trực tiếp các ứng dụng ngời dùng, chẳng hạn nh phần mềm chuyển tập tin, truy cập cơ sở dữ liệu và e-mail Tầng Application xử lý truy cập mạng chung, kiểm soát luồng và phục hồi lỗi.
Tầng này biểu diễn quy định dạng thức trao đổi dữ liệu giữa các máy tính mạng và ngời ta có thể gọi đây là bộ dịch mạng ở máy tính gửi tầng này diễn dịch dữ liệu từ dạng thức do tầng Application đẩy xuống sang dạng trung gian
Tầng này cho phép hai chơng trình ứng dụng trên hai máy tính khác nhau thiết lập, sử dụng và chấm dứt một kết nối gọi là phiên làm việc Tầng này thi hành thủ tục nhận biết tên và thựu hiện các chức năng cần thiết nh bảo mật v v cho phép hai chơng trình ứng dụng giao tiếp với nhau qua mạng Tầng Session cung cấp sự đồng bộ hóa giữa các tác vụ ngời dùng bằng cách đặt điểm kiểm tra vào luồng dữ liệu Bằng cách này, nếu mạng không hoạt động thì chỉ có dữ liệu truyền sau điểm kiểm tra cuối cùng mới phải truyền lại Tầng Session thi hành kiểm soát hội thoại giữa các quá trình giao tiếp, điều chỉnh bên nào truyền khi nào, trong bao lâu
Tầng này cung cấp mức nối kết bổ sung bên dới tầng trên tầng Transport bảo đảm gói truyền không phạm lỗi theo đúng trình tự, không bị mất mát hay sao chép Tầng Transport đóng gói thông điệp, chia thông điệp thành nhiều gói và gộp các gói nhỏ thành một bộ Tầng này cho phép gói đợc truyền hiệu quả trên mạng tại đầu nhận Tầng Transport mở gói thông điệp, lắp ghép lại thành thông điệp gốc và gửi tín hiệu báo nhận Tầng Transport kiểm soát lu lợng, xử lý lỗi và tham gia giải quyết vấn đề liên quan đến truyền nhận gói.
Tầng này chịu trách nhiệm lập địa chỉ các thông điệp, diễn dịch địa chỉ và tên logic thành địa chỉ vật lý Tầng này quyết định đờng đi từ máy tính nguồn đến máy tính đích Nó quyết định dữ liệu sẽ truyền trên đờng nào dựa vào tình hình của mạng, u tiên dịch vụ và các yếu tố khác nó cũng quản lý lu lợng trên mạng chẳng hạn nh chuyển đổi gói, định tuyến và kiểm soát sự tắc nghẽn dữ liệu.
Tầng này gửi khung dữ liệu từ tầng Network đến tầng Physical ở đầu nhận, tầng Data link đóng gói dữ liệu thô từ tầng Physical thành từng khung dữ liệu. Khung dữ liệu là một cấu trúc logic có tổ chức mà dữ liệu có thể đợc đặt vào.
Là tầng thấp nhất trong mô hình tham chiếu OSI Tầng này truyền luồng bit thô qua phơng tiện vật lý nh cáp mạng tầng này liên kết các giao diện hàm, cơ, quang và điện với cáp tầng này cũng truyền tải những tín hiệu do các tầng trên tạo ra.
V Tơng tác giữa các tầng trong mô hình tham chiếu OSI :
Hình 14 : Tơng tác giữa các tầng trong mô hình OSI
mô hình Tcp/ip
1 Giới thiệu TCP/IP Đầu những năm 1980, để thống nhất việc trao đổi dữ liệu trong mạng một bộ giao thức mới đợc Bộ quốc phòng Mĩ đa ra làm giao thức chuẩn cho mạng ARPANET – tiền thân của mạng Internet protocol suit, nó thờng đợc gọi là bộ giao thức TCP/IP hay còn gọi tắt là TCP/IP.
Bộ giao thức TCP/IP bao gồm nhiều giao thức khác nhau nh TCP, IP, UDP, ICMP, RIP
Họ giao thức TCP/IP có các u điểm nh sau :
Phù hợp với mô hình OSI, theo tiêu chuẩn mở và sẵn sàng phát triển độc lập với phần cứng và hệ điều hành.
Nó đợc hỗ trợ bởi nhiều nhà cung cấp , TCP/IP lý tởng cho việc hợp nhất phần cứng và phần mềm khác nhau, ngay cả khi truyền thông trên Internet Sự độc lập rành mạch với phần cứng vật lý của mạng cho phép TCP/IP hợp nhất các mạng khác nhau TCP/IP có thể chạy trên mạng Ethernet, mạng Token Ring, mạng X.25, mạng ảo và mọi loại môi trờng vật lý truyền thông.
Một sơ đồ địa chỉ dùng chung cho phép mỗi thiết bị TCP/IP có duy nhất một địa chỉ trên mạng đối với cả mạng Internet.
Tiêu chuẩn hoá mức cao của giao thức phù hợp với lợi ích của dịch vụ ngời dùng Đợc tích hợp vào hệ điều hành UNIX, Windows, hỗ trợ mô hình client-server, mô hình mạng bình đẳng, hỗ trợ kỹ thuật đờng dẫn rộng.
Hiện nay ngoài việc sử dụng cho tất cả các máy trên Internet, họ giao thức TCP/IP còn đợc sử dụng trong các mạng Intranet là các mạng nội bộ của các tổ chức thơng mại hay chính phủ.
2 Kiến trúc của TCP/IP
Mặc dầu có rất nhiều giao thức trong bộ giao thức truyền thông TCP/IP, hai giao thức quan trọng nhất đợc lấy tên đặt cho bộ giao thức này là TCP -Transport Control Protocol và IP – Internet Protocol.
Hình16 : Mô hình TCP/IP so với mô hình OSI
TCP/IP đợc phân làm 4 tầng :
TÇng giao vËn (Transposrt Layer)
Tầng ứng dụng (Application Layer)
Một tầng không định nghĩa một giao thức đơn, nó định nghĩa một chức năng truyền thông có thể đợc thi hành bởi một số giao thức Do vậy, mỗi tầng có thể chứa nhiều giao thức, mỗi giao thức cung cấp một dịch vụ phù hợp cho chức năng của tầng. a Trong kiến trúc TCP/IP tầng Application có các giao thức chủ yÕu nh :
FPT, Telnet, SMTP, DNS, SNMP.
Hình17 : Tầng Application trong mô hình TCP/IP
FTP (File transfer Protocol) : giao thức truyền tệp cho phép ngời dùng lấy hoặc gửi tệp tới một máy khác.
Telnet : chơng trình mô phỏng thiết bị đầu cuối cho phép ngời dùng login vào một máy chủ từ một máy tính nào đó trên mạng.
SMTP (Simple Mail Transfer Protocol) : Một giao thức th tín điện tử.
DNS (Domain Name server) : Dịch vụ tên miền cho phép nhận ra máy tính từ một miền thay cho chuỗi địa chỉ Internet khó nhớ
SNMP (Simple Network Managernet Protocol) : Giao thức quản trị mạng cung cấp những công cụ quản trị mạng. b TÇng transport
Cung cấp các giao thức truyền thông : UNP, TCP
UDP (User Datagram protocol) : Giao thức truyền thông không kết nối, cung cấp dịch vụ truyền không tin cậy nhng tiết kiệm chi phí truyÒn.
TCP (Transmission Control Protocol) : Giao thức hớng kết nối, cung cấp dịch vụ truyền thông tin tởng.
Hình18 : Tầng Transport trong mô hình TCP/IP c Tầng mạng (Internet) cung cấp các giao thức mạng:
Protocol) : Giao thức Internet chuyển giao các gối tin qua các máy tính đến đích.
Address Resolution protocol): Cơ chế chuyển địa chỉ TCP/IP thành địa chỉ vật lí của thiết bị mạng
ICMP (Internet Control Message Protocol): Ngi thức thông báo lỗi
Hình 20 : Trao đổi thông tin giữa các lớp trong mô hình TCP/IP
3 Các lớp địa chỉ IP:
Mạng Internet dùng hệ thống địa chỉ IP (bit 0 để “định vị” các máy tính liên kết với nó Có hai cách đánh địa chỉ phụ thuộc vào cách liên kết của từng máy tÝnh cô thÓ :
Nếu các máy tính đợc kết nối trực tiếp với mạng Internet thì NIC Network Information Centre sẽ cấp cho các máy tính đó một địa chỉ IP (IP Address).
Nếu các máy tính không kết nối trực tiếp với mạng Internet mà thông qua một mạng cục bộ thì ngời quản trị mạng sẽ cấp cho các máy tính đó một địa chỉ IP (tuy nhiên cũng dới sự cho phép của NIC).
Hệ thống địa chỉ này đợc thiết kế mềm dẻo qua một sự phân lớp, có 5 lớp địa chỉ IP: A, B, C, D và E (dành cho tơng lai) Sự khác nhau cơ bản giữa các lớp địa chỉ này là ở khả năng tổ chức các cấu trúc con của nó.
Các lớp địa chỉ A, B, C là các lớp địa chỉ chính và đợc sử dụng rộng rãi trên Internet.
Hình21 : Các lớp địa chỉ IP đợc sử dụng Địa chỉ lớp A
Hình22 : Địa chỉ IP lớp A
Lớp A sử dụng byte đầu tiên của 4 để đánh địa chỉ mạng Nh hình vẽ (nó đợc nhận ra bởi bit đầu tiên trong byte đầu tiên của địa chỉ có giá trị) và 3 bytes còn lại đợc sử dụng để đánh địa chỉ máy trong mạng.
Có 126 địa chỉ mạng lớp A (đợc đánh địa chỉ trong byte thứ nhất) với số máy tính trong mạng là 256 – 2 = 16.777.214 máy cho mỗi địa chỉ lớp A (sử dụng 3 bytes để đánh địa chỉ máy).
Nguyên nhân chỉ có 126 Networks trong khi dùng 8 vì bit đầu tiên mang giá trị 0 dùng để định nghĩa lớp A vậy còn lại 7 bit đánh số từ 0-127 tuy nhiên ng- ời ta không sử dụng một địa chỉ chứa toàn các con số 1 hoặc 0 do vậy, chỉ còn lại 126 mạng lớp A đợc sử dụng Do vậy giá trị byte đầu tiên của địa chỉ lớp A sẽ luôn luôn nằm trong khoảng từ 1 tới 126, mỗi một byte trong 3 byte còn lại sẽ có giá trị trong khoảng 1 đến 254. Đối với việc chỉ có 16.777.214 máy trong khi sử dụng 24 bit đánh địa chỉ máy trong mạng cũng đợc giải thích tơng tự.
Hình23 : Địa chỉ IP lớp B
Một địa chỉ lớp B đợc nhận ra bởi 2 bit đầu tiên của byte thứ nhất mạng giá trị
10 Lớp B sử dụng 2 byte đầu tiên của 4 byte để đánh địa chỉ máy trong mạng.
Có 64*256 – 2 = 16.128 địa chỉ mạng lớp B với 65.534 máy cho mỗi một địa chỉ lớp B. Địa chỉ lớp B có dạng :
Byte đầu tiên của một địa chỉ lớp B nằm trong khoảng 128 tới 191.
Ví dụ địa chỉ IP : 190.2.2.1 : nút đợc gắn Host ID là 2.1, nằm trong mạng lớp
B có địa chỉ là 192.2.0.0. Địa chỉ lớp C
Hình24 : Địa chỉ IP lớp C
Một số tổ chức có quy mô nhỏ có thể xin chấp số tổ chức có quy mô nhỏ có thể xin cấp phát địa chỉ lớp C Một địa chỉ lớp C đợc nhận ra với 3 bit đầu tiên là 110 Mạng lớp C sử dụng 3 byte đầu để đánh địa chỉ mạng và byte cuối cùng đánh địa chỉ Host Có 2.097.152 - 2 địa chỉ lớp C, mỗi địa chỉ lớp C có
254 host. Địa chỉ lớp C có dạng : Địa chỉ lớp C đợc nhận ra với byte đầu tiên trong khoảng 192 tới 223
Ví dụ xét địa chỉ IP : 200.6.5.4 : nút đợc gán Host ID là 4, nằm trong mạng lớp
4 Mạng con và Subnet mask
Mạng Internet sử dụng địa chỉ IP 32 bit và phân chia ra các lớp rất mềm dẻo, tuy nhiên với một hệ thống địa chỉ nh vậy việc quản lý vẫn rất khó khăn Nếu nh một mạng đợc cấp một địa chỉ lớp A thì có nghĩa nó chứa tới 16*1.048.576 máy tính, do vậy ngời ta dùng mặt nạ bit để phân chia mạng ra thành những mạng con gọi là Subnet.
Subnet mask là một con số 32 bit bao gồm n bit 1(thờng là các bit cao nhất) dùng để đánh địa chỉ mạng con với tổng số bit vẫn là 32 : n+m2.
các loại mạng máy tính
I mạng cục bộ ( local area network – lan)
Mạng LAN là một mạng cục bộ có tốc độ cao đợc thiết kế và cài đặt trên một phạm vi địa lý nhỏ Nó thông thờng đợc dùng để kết nối các máy trạm, các máy in, và các thiết bị khác LAN cung cấp cho ngời dùng các tính năng nh chia xẻ truy cập tới các thiết bị, các chơng trình ứng dụng, trao đổi các tệp tin giữa các cá thể trên mạng Chúng cũng cho phép kết nối các ngời dùng với nhau thông qua th điện tử hoặc các chơng trình ứng dụng.
2 Các giao thức LAN và mô hình tham chiếu OSI
Các giao thức chức năng của LAN nằm ở hai tầng dới trong mô hình tham chiếu OSI Cụ thể là các tầng : tầng Physical, tầng Data - Link Hình dới đây sẽ mô tả sự tơng ứng giữa các giao thức LAN thông thờng với các lớp trong mô hình tham chiếu OSI.
Hình 26 : Mô hình OSI và các giao thức LAN
3 Các phơng thức truy cập trên LAN
Các giao thức trên LAN thông thờng sử dụng hai phơng thức để truy cập đến môi trờng vật lý:
§a truy cËp tranh chÊp CSMA/CD (Carrier Sense Multiple Access Collision Detect)
Truy cập dựa trên thẻ bài ( token passing )
Trong phơng thức truy cập CSMA/CD, các thiết bị mạng phải tranh chấp để có quyền sử dụng môi trờng vật lý Tiêu biểu của phơng thức này là
Trong phơng thức truy cập dựa trên thẻ bài (token), quyền truy cập đến môi tr- ờng vật lý của thiết bị mạng phụ thuộc vào thiết bị đó có đợc thẻ bài hay không Khi một thiết bị mạng nào đó có thẻ bài thì mới có quyền truy cập đến môi trờng vật lý Tiêu biểu cho phơng thức này là mạng TokenRing/IEEE 802.5 và FDDI.
So sánh phơng pháp đa truy cập tranh chấp và truyền thẻ bài :
Với vài trò của một cơ chế kiểm soát truy cập, truyền thẻ bài thể hiện là phơng pháp hơn hẳn phơng pháp tranh chấp Tuy nhiên, bạn sẽ thấy rằng Ethernet, đã trở thành tiêu chuẩnj chính sử dụng cho LAN, đã đạt đợc sự nổi bật trong khi hoà hợp chắc chắn với phơng pháp kiểm soát truy cập sử dụng tranh chấp.
Truyền thẻ bài đòi hỏi nhiều cơ chế kiểm soát phức tạp mới có thể hoạt động tốt Phần cứng cần thiết đắt hơn hẳn so với phần cứng đòi hỏi để áp dụng các cơ chế dùng phơng pháp tranh chấp đơn giản hơn nhiều Chi phí cao hơn cho các mạng sử dụng phơng pháp truyền thẻ bài Các cơ quan phải quyết định xem độ tin cậy có thêm đợc có xứng đáng với chi phí rất lớn phải bỏ ra hay không.
Ngợc lại mặc dầu các mạng sử dụng phơng pháp truyền thẻ bài hoạt động tốt hơn các mạng sử dụng phơng jpháp tranh chấp khi mức độ lu thông cao, mạng sử dụng phơng pháp tranh chấp thể hiện hiệu năng tốt nhất dới điều kiện tải lu thông nhẹ Việc chuyển thẻ bài theo vòng (và các hoạt động bảo dỡng khác) cũng sử dụng đến dải thông hiện có Và kết quả là Ethernet 10 Mbps và Token Ring 16 Mbps có thể hoạt động tốt tơng đơng nhau dới các điều kiện tải nhẹ, nhng chi phí cho Ethernet thấp hơn hẳn.
4 Các phơng pháp truyền dẫn trên LAN
Có thể phân các phơng pháp truyền dữ liệu trên LAN thành ba phơng pháp sau:
Trong phơng pháp truyền unicast, một gói tin đợc truyền trực tiếp từ một node nguồn đến node đích trên mạng Trớc hết, node nguồn gắn vào gói tin địa chỉ của node đích cần đến Tiếp đó, gói tin đợc truyền lên mạng rồi sau đó đợc truyền đến đích theo đúng địa chỉ đã đợc gắn lên gói tin.
Trong phơng pháp truyền multicast, khi một node nguồn gửi gói tin đến mạng. Gói tin đợc nhân bản thành một số hữu hạn các gói để gửi cho một tập các node mạng trong một phân đoạn mạng.
Cuối cùng, trong phơng pháp truyền broadcast, khi một node mạng gửi một gói tin thì gói tin sẽ đợc nhân bản lên thành một số hữu hạn các gói và tất cả các node trên mạng sẽ nhận đợc một bản sao của gói tin đó.
II Một số mạng LAN đặc trng
Mạng Ethernet dùng cấu hình bus là truyền thống, ngoài ra còn có cấu hình star bus, kiểu kiến trúc này truyền dữ liệu ở băng tần gốc Dùng phơng pháp CSMA/CD để đa dữ liệu từ card lên cáp, tốc độ truyền dữ liệu 10Mbps Mạng Ethernet mạng tính thụ động lấy năng lợng từ máy tính và máy tính không chịu trách nhiệm chuyển dữ liệu giữa các máy tính.
Ethernet chia dữ liệu thành nhiều khung và khung cũng là đơn vị thông tin duy nhÊt.
Chiều dài khung từ 64 đến 1518 byte nhng do bản thân khung đã sử dụng ít nhất 18 byte nên chiều dài dữ liệu trong khung Ethernet từ 46 đến 1500 byte.
Hình27 Dạng khung trong Ethernet
Preamable: Đánh dấu điểm bắt đầu khung.
Type: Dùng nhận diện giao thức tầng mạng (IP hay IPX)
CRC: Trờng kiểm soát lỗi.
Các tiêu chuẩn Ethernet: a 10BaseT
Các thông số trong 10BaseT :
10: Tốc độ truyền dữ liệu 10Mbps.
Base: tín hiệu đợc truyền trên dải gốc.
T: loại cáp xoắn đôi. Đa số loại mạng này đợc lập theo cấu hình star nhng bên trong dùng hệ thống truyền tín hiệu bus Mỗi máy tính sử dụng một đoạn dây cáp nối với Hub Mỗi máy tính có hai cặp dây dẫn, một cặp dùng để truyền dữ liệu và một cặp dùng để nhận dữ liệu.
Chiều dài tối đa của một phân đoạn 10BaseT là 100m, chiều dài cáp tối thiểu giữa các máy tính 2,5m Khoảng cách tối thiểu giữa máy tính - Hub, Hub - Hub là 0,5m.
10BaseT hoạt động logic nh là một bus tuyến tính Hub lặp lại các tín hiệu đến tất cả các nút, các nút tranh giành quyền truy nhập nh thể chúng đợc nối dọc theo mét bus tuyÕn tÝnh.
Các đoạn mạng 10BaseT có thể nối cáp đồng trục hay cáp quang Bằng cách gắn các máy thu phát 10BaseT với cổng AUI của card mạng chúng ta có thể dùng cấu hình trong máy tính cho cáp Thicknet trên mạng 10BaseT.
Mạng riêng ảo - VPN
Cơ BảN Về VPN
Mạng riêng ảo (VPN) hoạt động trên nền giao thức IP đang ngày càng trở nên phổ biến Công nghệ này cho phép lập một mạng riêng thông qua cơ sở hạ tầng chung của nhà cung cấp dịch vụ (ISP) Các kỹ thuật đảm bảo an ninh khác nhau đã đợc áp dụng để bảo vệ thông tin của ngời sử dụng khi trao đổi trong một môi trờng mở nh Internet.
VPN hứa hẹn một sự giảm giá đáng kể so với các giải pháp thuê kênh truyền thống Hơn thế nữa, nó còn đáp ứng đợc nhu cầu mở rộng và quản lý mạng cũng nh hỗ trợ tốt hơn cho các công nghệ và giao thức bảo mật mới nhất Bên cạnh những nhận xét này còn khá nhiều khía cạnh đáng quan tâm về VPN.
Tuy nhiên, trên thực tế việc giảm giá thành thông tin không phải lúc nào cũng thực hiện đợc Ngời sử dụng có thể đã đầu t vào một giải pháp, công nghệ khác hoặc khu vực cần đầu t không đủ điều kiện để khai thác những u điểm của VPN Hơn nữa, những hạn chế về phạm vi sử dụng và khả năng đáp ứng những yêu cầu kỹ thuật cũng nh những u điểm của công nghệ mới không đạt nh mong đợi (thiết bị thờng tiến sau một bớc so với công nghệ).
Bên cạnh đó là vấn đề về hệ thống các chuẩn cho các mô hình cũng nh các thiết bị Các chuẩn này có vai trò quan trọng trong việc triển khai và mở rộng phạm vi ứng dụng của công nghệ Những nhà nghiên cứu đang cố gắng đa ra các chuẩn chung cho các hệ thống khác nhau, song thậm chí cả những giao thức mới nh IPSec cũng không hoàn toàn giúp cho các sản phẩm VPN làm việc tơng thích với nhau đợc. Đồ án này phân tích mô hình VPN hoạt động trên nền giao thức TCP/IP cũng nh những yêu cầu về chất lợng dịch vụ, khả năng quản lý, khả năng làm việc t- ơng thích với nhau khi triển khai giải pháp này Phần kết thúc và khuyến nghị tập trung vào các vấn đề hiện tại khi xây dựng VPN và đa ra các ý kiến về việc phơng thức nào đó Các thiết bị này có thể là các máy in, các máy tính, bộ định tuyến và có thể nằm trong các vùng địa lý khác nhau Có rất nhiều ph - ơng pháp thông tin với nhau song để đơn giản hoá chúng ta có thể coi khái niệm “mạng” trong cụm từ mạng riêng ảo là một tập hợp các thiết bị có thể thông tin với nhau theo một phơng thức nào đó.
Thuật ngữ “riêng (Private) ” ở đây khá minh bạch Định nghĩa một cách đơn giản nhất, “riêng” có nghĩa là thông tin trao đổi giữa hai (hay nhiều) đối tợng, theo một cách nào đó là đợc giữ bí mật Điều đó cũng có nghĩa là các đối tợng không tham gia vào quá trình trao đổi thông tin này thì sẽ không hiểu đợc các thông tin trên.
Một cách nữa để hiểu thêm về khái niệm “riêng ” là thông qua từ trái nghĩa của nó, “chung” (public) “Chung” có nghĩa là thông tin cũng nh tài nguyên của đối tợng có thể đợc sử dụng bởi bất kỳ ngời nào, từ này thờng đợc thấy trong các thuật ngữ khi đề cập đến một tài nguyên công cộng nào đó Ngợc lại với nó, “riêng ” có nghĩa là việc truy cập bị hạn chế bởi một tập các nội dung đã định sẵn Thông thờng các tài nguyên riêng đợc quản lý bởi các đối tợng có quyền truy nhập đặc biệt với nó Nh vậy “riêng” ngoài tính riêng t về thông tin nó còn tính chất riêng t về tài nguyên
Một khía cạnh khác về khái niệm này là sự tách biệt về mặt vật lý Khái niệm này có thể thấy trong bất cứ một mạng nào không kết nối với Internet hoặc một mạng bên ngoài nào khác Những mạng này là riêng vì thực tế không có liên kết nào với một mạng bên ngoài nào và vì vậy không có trao đổi thông tin với bên ngoài.
Ngoài khái niệm riêng về mặt vật lý còn khái niệm riêng về mặt logic Trong các hệ thống định tuyến và đánh địa chỉ riêng, địa chỉ đợc sử dụng và quá trình định tuyến là hoàn toàn riêng biệt với bên ngoài do đó sơ đồ địa chỉ và định tuyến trong mạng chỉ mang tính cá nhân cho riêng nó Khái niệm này cùng với khái niệm về bảo mật của thông tin là những cơ sở lý thuyết và đợc sử dụng nhiÒu trong VPN. ảo – “Virtual ” đợc New Hacker’s Dictionary định nghĩa nh sau :
“ ” adj/ thông qua thuật ngữ “bộ nhớ ảo” hay là “ảnh ảo” trong quang học
1 Thờng để chỉ một đối tợng có “tính nhân tạo” đợc mô phỏng bởi hệ thống máy tính nh một cách thức thuận tiện cho việc quản lý quá trình truy cập tới tài nguyên chung của hệ thống
2 Ngợc với thực. Định nghĩa ở mục 2 có lẽ là sát hơn với khái niệm mạng ảo Khái niệm “ảo” ở đây có mối liên hệ với khái niệm “riêng” mà chúng ta đã miêu tả ở trên Việc thông tin riêng với nhau bây giờ đợc thực hiện thông qua một môi trờng mạng chung, nghĩa là có sự chia sẻ tài nguyên (về mặt vật lý) với các đối tợng khác. Tài nguyên riêng thực sự đợc xây dựng trên cơ sở phân chia một cách logic một tài nguyên chung nào đó thay vì việc sử dụng các dịch vụ thông tin và các đờng vật lý riêng biệt Theo đó khái niệm mạng riêng ở đây không chỉ có các hệ thống thông tin vật lý riêng biệt mà muốn đề cập đến các mạng đợc xây dựng trên một cơ sở hạ tầng chung và phân tách logic với nhau.
Sự kết hợp của các thuật ngữ này cho ta một khái niệm về VPN – một mạng riêng ảo trong đó đặc tính “riêng, ảo” đợc thực hiện thông qua một số chính sách an ninh trong mạng Một VPN có thể đợc xây dựng giữa hai hệ thống kết cuối hoặc hai tổ chức, giữa các hệ thống kết cuối trong cùng một tổ chức hoặc giữa các tổ chứcvới nhau và thờng trên một cơ sở mạng chung mà ở đây là mạng Internet.
Một khái niệm thông dụng và khá hình thức của VPN và cũng có thể coi là một định nghĩa tờng minh và chính xác nhất đó là :
Mạng riêng ảo VPN là một môi trờng thông tin mà ở đó việc truy nhập đợc kiểm soát và chỉ cho phép thực hiện các kết nối thuộc phạm vi đã đợc xác định trớc VPN đợc xây dựng thông qua việc chia sẻ các phơng tiện, môi trờng truyền thông chung.
2 Lịch sử phát triển của VPN
VPN xuất hiện đầu tiên trong các ứng dụng viễn thông nh nhận định nêu trên. Các mạng dữ liệu công cộng này đã đợc phát triển song cha đủ khả năng cung cấp các dịch vụ VPN (về các an ninh, chất lợng ), một phần do công nghệ này cha kịp phát triển để đáp ứng đợc các yêu cầu của ứng dụng.
Khi công ty muốn trao đổi thông tin với các chi nhánh hoặc các công ty khác trên các vùng địa lý khác nhau, họ có thể thuê các đờng truyền từ các nhà cung sử dụng tài nguyên trên mạng Việc này còn tốn kém hơn về khâu quản lý. Những khái niệm mới về các ứng dụng thông tin riêng trên mạng đã đợc để đa ra các giải pháp tích cực nhất Những công nghệ mới dựa theo sự phát triển và nhu cầu này có thể coi là thế hệ đầu tiên của VPN Trong các công nghệ mới này các nhà cung cấp dịch vụ phải quan tâm đến việc kết nối và truy cập tới mạng riêng của công ty mà nó cung cấp dịch vụ Những VPN đầu tiên đều gặp vấn đề về tính tơng thích giữa các sản phẩm VPN khác nhau, điều mà các nhà sản xuất và cung cấp dịch vụ cho đến nay vẫn cố gắng giải quyết.
Hiện tại, có rất nhiều các nghiên cứu và các bớc phát triển về dịch vụ viễn thông và truyền dữ liệu đã đợc thực hiện trên toàn thế giới Internet là một môi trờng mở, nó cho phép truy cập tới các thị trờng thơng mại rộng lớn và qua đó sẽ mở ra một nền tảng thông tin rộng và phổ biến Với những kết quả kinh doanh đạt đợc thông qua mạng dữ liệu ngày nay, Internet dờng nh là đối tợng chính cho việc khai thác các ứng dụng VPN.
VI Các khái niệm trong VPN
Các loại VPN
Các mạng riêng ảo đợc chia thành ba loại :
Access VPN : Cung cấp cho ngời dùng khả năng truy cập vào mạng riêng của một công ty thông qua cơ sở hạ tầng chung Ngời dùng sẽ phải tuân theo một số điều luật riêng của mạng nh khi đang truy cập tại mạng riêng của công ty Khi sử dụng loại hình này, ngời dùng sẽ có khả năng truy cập bất cứ lúc nào, bất cứ nơi nào mà họ muốn không phụ thuộc môi trờng truyền dẫn.
Intranet VPN : Loại hình này dùng để liên kết các văn phòng ở xa, các chi nhánh, v.v thông qua một đờng kết nối riêng ( lease - line) Các doanh nghiệp có thể thiết lập các điều luật nh trong mạng riêng bao gồm thiết lập mức bảo mật, QoS, khả năng quản lý và độ tin cậy.
Extranet VPN : Đợc dùng để liên kết các nhà cung cấp, hoặc bất cứ các thực thể nào thông qua một đờng kết nối riêng Doanh nghiệp có thể thiết lập các quy định về bảo mật, v v
Access VPN là một mô hình đợc sử dụng cho những ngời có nhu cầu truy nhập ở những vị trí không cố định hoặc cho các chi nhánh có phạm vi nhỏ của công ty Nh đợc minh hoạ trong sau, ngời sử dụng sẽ truy cập tới mạng riêng thông qua mạng của nhà cung cấp dịch vụ Theo cách này, một kết nối sẽ đợc tạo ra giữa ngời dùng và máy chủ truy cập mạng NAS của ISP Kết nối này th- ờng theo kiểu Dial-up có sử dụng modem và đợc thiết lập trên mạng PSTN truyền thống Máy chủ truy cập mạng của ISP sẽ tiếp nhận kết nối này và chuyển nó đến gateway của công ty Nh đã thấy ở hình dới đây, một đờng hầm sẽ đợc thiết lập giữa máy chủ truy cập mạng và gateway của công ty Về bản chất, tunnel là một kênh logic mà trên đó các gói tin ban đầu đợc đóng gói trong một gói khác với một giao thức hoặc địa chỉ nguồn, địa chỉ đích mới, ở đây chính là địa chỉ của NAS và gateway Khi đó địa chỉ nguồn, địa chỉ đích
Ng ời sử dụng không cố định
Ng ời sử dụng ở nhà
Chức năng : -Tiếp nhận cuộc gọi
-Khởi tạo tunnel -Định tuyến
Mạng của nhà cung cấp dịch vụ Internet
Gateway của công ty Chức năng :
- Lọc -Giải mã gói tin Router
Hình 30 : Mô hình Access VPN
Thông thờng, mô hình Intranet VPN đợc sử dụng khi các văn phòng chi nhánh muốn truy nhập đến mạng riêng của công ty.
Khác với Access VPN, Intranet VPN sử dụng thêm một gateway ở mạng của chi nhánh Lúc này, quá trình khởi tạo tunnel, mã hoá đợc thực hiện ở máy chủ truy nhập trớc đây đợc đẩy về phía mạng chi nhánh Tunnel sẽ đợc thiết lập từ mạng chi nhánh đến mạng của công ty Gateway của chi nhánh sẽ kết nối trực tiếp đến máy chủ truy cập thông qua một đờng thuê bao cố định Nh vậy so với mô hình Access VPN, liên kết giữa ngời dùng và máy chủ truy nhập trong mô hình này đợc đẩm bảo an toàn.
Trên thực tế, gateway của chi nhánh có thể kết nối trực tiếp đến gateway của công ty trên kênh truyền cố định, giải pháp này tuy đòi hỏi chi phí lớn song th- ờng đáp ứng đợc các yêu cầu về chất lợng dịch vụ và thờng đợc áp dụng khi khối lợng thông tin cần trao đổi là lớn Trong trờng hợp tổng quát, mạng trung gian là mạng công cộng, và nh thế Intranet VPN và Extranet VPN không khác nhau mấy về tôpô mạng mà khác nhau chủ yếu về chính sách an ninh đợc sử dông
Mạng của nhà cung cấp dịch vụ Internet Mạng truy nhập
Hình 31 : Mô hình Intranet và Extranet VPN
Extranet VPN đợc sử dụng khi có nhu cầu trao đổi thông tin giữa mạng của các công ty với nhau Hình trên minh hoạ tôpô của loại mạng này. Điểm khác biệt chính có thể thấy đợc về mô hình này là : mức độ an ninh đối với các khách hàng của Intranet VPN ít hơn do đó mà tài nguyên đợc sử dụng nhiều hơn.
8 Quá trình trao đổi thông tin trong mô hình Access VPN
Mặc dù các thành phần liên quan đến vấn đề an ninh mạng cha đợc trình bày, song cũng rất hữu ích khi xem việc trao đổi thông tin đợc diễn ra nh thế nào.
Việc thiết lập một đờng thông tin giữa hai điểm bao gồm các quá trình khởi tạo, quá trình thông tin và quá trình kết thúc thông tin Bởi vì quá trình khởi tạo là thú vị nhất nên ta sẽ tập trung vào nội dung này nhiều hơn Sau khi quá trình khởi tạo hoàn thành việc trao đổi thông tin có thể đợc bắt đầu Khi ngời sử dụng kết thúc quá trình thông tin, các liên kết sẽ bị huỷ bỏ.
Có ba liên kết đợc sử dụng khi khởi tạo trong mô hình VPN truy nhập từ xa. Các liên kết đó là :
Liên kết từ máy khách đến ISP.
2 Nhận thực ngời sử dụng tại ISP.
3 Định địa chỉ : máy khách sẽ đợc cấp một địa chỉ IP tạm thời.
Thông thờng máy khách sẽ gọi đến PoP của ISP bằng giao thức điểm nối điểm PPP qua mạng điện thoại công cộng PSTN và cuộc gọi sẽ đợc tiép nhận ở NAS ( máy chủ truy nhập mạng) Phần lớn các ISP hiện nay chỉ sử dụng PPP cho các ứng dụng VPN theo kiểu quay số từ xa Hiện nay cũng có những công nghệ mới và nhanh hơn để truy cập tới ISP nh sử dụng ISDN, DSL (đờng thuê bao số) Song một điều bắt buộc là các công nghệ này phải đợc hỗ trợ bởi ISP, nói cách khác ISP phải có các thiết bị đẻ tơng thích với các công nghệ mới này Trong quá trình khởi tạo ngời sử dụng phải qua một số thử tục nhận thực, các thông tin từ quá trình này có thể đợc gửi đến mạng công ty hoặc đợc xử lý ngay tại ISP Sau các thủ tục này ngời sử dụng sẽ đợc cấp một địa chỉ IP và môi trờng mạng sẽ bắt đầu ở ISP.
Trong quá trình xác thực máy khách có thể cho NAS biết mình thuộc về mạng nào Việc này có thể thông qua CHAP với một phần mềm có trong máy khách. Sau đó NAS sẽ thiết lập một liên kết với công ty và nhận thực ngời dùng cũng nh cấp quyền sử dụng tài nguyên của mạng riêng cho ngời dùng Nh vậy ở đây có hai việc phải xác thực là xác thực ngời dùng và xác thực quyền sử dụng tài nguyên của ngời dùng. b Liên kết thông tin giữa nhà cung cấp dịch vụ và mạng công ty
Phần mềm trong máy khách hoặc ISP đều có thể khởi tạo một tunnel Các bớc tiến hành nh sau :
2 Nhận thực ngời dùng tại mạng công ty
PPP không những đợc sử dụng để thiết lập liên kết giữa máy khách và ISP mà còn có thể đợc sử dụng giữa các bộ định tuyến, giữa ISP và máy chủ kết cuối tunnel.
Thông thờng, phần mềm trên máy khách có thể truy nhập đến máy chủ kết cuối tunnel Và chính phần mềm này hoặc ISP sẽ thiết lập tunnel thông qua những thông tin của quá trình nhận thực ngời dùng Khi ngời sử dụng đã đợc nhận thực, tunnel sẽ đợc thiết lập và một trong các giao thức tạo đờng hầm sẽ đợc sử dụng để chuyển dữ liệu đi. c Liên kết thông tin giữa mạng công ty đến đích
Máy chủ kết cuối tunnel sẽ nhận đợc các thông tin nhận thực về máy khách và kiểm tra với các thông tin đợc lu trữ trong cơ sở dữ liệu của mình Nếu các thông tin này là chính xác, tunnel sẽ đợc thiết lập và thông tin có thể bắt đầu đợc trao đổi Thông qua những thông tin này, máy chủ kết cuối tunnel cũng xác định đợc phạm vi truy nhập của máy khách.
Trong trờng hợp thông tin đợc mã hóa, nó có thể sẽ đợc giải mã ở máy chủ kết cuối tunnel Sau khi đợc giải mã để nhận lại gói tin ban đầu, máy chủ kết cuối tunnel (trong trờng hợp này có thể là các VPN gateway) sẽ gửi các gói tin này đến router của mạng riêng để router này định tuyến đến đích trong mạng.
9 Liên kết thông tin trong Intranet và Extranet VPN
các giao thức trong vpn
Nhóm ngiên cứu về giao thức bảo mật trong mạng IP (IPSec) của IETF đã đề nghị sử dụng IPSec nh một giao thức chuẩn cho các dịch vụ nh nhận thực, toàn vẹn dữ liệu, bảo mật thông tin, quản lý khoá Giao thức này có thể đợc sử dụng trong cả ba mô hình VPN và có mặt trong phần lớn các sản phẩm VPN hiện nay
Trớc tiên cần làm rõ ý nghĩa của việc đảm bảo an ninh cho lớp mạng, hay nói cách khác : đảm bảo an ninh có nghĩa là gì ?
Một cách tổng quát nó có ý nghĩa là tất cả dữ liệu trong các gói IP phải đợc mã hoá trớc khi da vào mạng Về mặt nguyên lý, quá trình mã hoá này có thể thực hiện bởi các thuật toán mã hoá đối xứng, mã hoá với khoá công cộng hoặc bởi các khoá đợc sử dụng trong mỗi phiên Dữ liệu đợc mã hoá có thể là các phân đoạn TCP, UDP hay các bản tin ICMP Nếu các dịch vụ này đợc thực hiện, tất cả dữ liệu đợc gửi đi từ host bao gồm th điện tử, các trang Web, các thông tin quản lý và điều khiển (ICMP hay SNMP) sẽ đợc bảo vệ khỏi các đối tợng thông tin khác Khi đó, tất cả các thông tin trao đổi trên Internet sẽ đợc đảm bảo an toàn.
Ngoài việc mã hoá để đảm bảo tính bảo mật cho thông tin, IPSec còn cung cấp khả năng nhận thực nguồn tin Khi một host đích nhận đợc một gói tin IP với một địa chỉ cụ thể nó phải chắc chắn rằng gói tin đó đợc phát ra từ host có địa chỉ IP trên Dịch vụ này sẽ hạn chế khả năng bị tấn công theo kiểu giả dạng nguồn (IP Spoofing).
Trong bộ giao thức IPSec có hai giao thức đợc sử dụng chính là : Authentication Header (AH) Protocol và Encapsulation Security Payload (ESP) Protocol, tạm dịch là giao thức nhận thực thông qua phần tiêu đề và giao thức đóng gói gói tin an toàn Khi host nguồn muốn gửi một gói tin đến host đích, nó đều có thể sử dụng AH hay ESP cho dữ liệu của mình AH cung cấp các chức năng nh nhận thực nguồn, toàn vẹn dữ liệu nhng không mã hoá, còn
1 Giao thức nhận thực thông qua phần tiêu đề - AH
Nh đã trình bày ở trên, AH cho phép nhận dạng nguồn tin, đảm bảo tính toàn vẹn thông tin nhng không thực hiện mã hoá Khi một host muốn gửi một hay nhiều phân đoạn dữ liệu tới một đích cụ thể, trớc tiên nó thiết lập một kết nối an toàn (SA) với đích đó Sau khi thiết lập SA host nguồn mới có thể gửi dữ liệu đi Các đơn vị dữ liệu đợc gửi đi sẽ bao gồm phần tiêu đề nhận thực (AH Header) đợc chèn vào giữa trờng dữ liệu và phần tiêu đề IP ban đầu Trong phần tiêu đề, giá trị 51 sẽ đợc gán vào trờng Protocol để chỉ thị rằng đơn vị dữ liệu đó có chứa phần tiêu đề dành cho quá trình nhận thực.
IP header AH header các phân đoạn TCP/UDP
Hình 32 : Vị trí của phần tiêu đề AH trong gói IP
Khi host đích nhận đợc gói tin, nó sẽ kiểm tra giá trị 51 trong trờng Protocol để xử lý gói tin theo giao thức AH Các bộ định tuyến trong mạng sẽ xử lý gói tin một cách thông thờng nh nó vẫn làm với các gói tin khác, nghĩa là cũng kiểm tra địa chỉ đích để định tuyến một cách thích hợp.
Phần tiêu đề AH bao gồm một số trờng sau :
Phần tiêu đề tiếp theo – Next header : trờng này dùng để chỉ thị dữ liệu theo sau tiêu đề AH là các phân đoạn TCP, UDP hay ICMP.
Nhãn của các kết nối logic – SPI : dài 32 bit, đợc kết hợp với địa chỉ IP đích để xác định gói tin thuộc về kết nối nào (SA).
Số thứ tự – Sequence number : dài 32 bit, chứa số thứ tự cho mỗi gói tin Nó thờng bắt đầu bằng số 0 khi khởi tạo SA Giao thức AH sử dụng trờng này để ngăn cản các cách tấn công theo kiểu playback và manin- middle.
Thông tin nhận thực – Authentication Data : trờng này có dạng một chữ kí số Nó đợc tính toán dựa trên toàn bộ gói tin ban đầu (kể cả địa chỉ IP), do đó nó sẽ cung cấp khả năng nhận thực nguồn và đảm bảo tính toàn vẹn thông tin Chữ kí số đợc tính toán theo các thuật toán nh DES, MD5
Khi host nguồn nhận đợc gói tin với phần tiêu đề nhận thực AH, nó sẽ xác định đợc gói tin đó thuộc về kết nối logic nào Sau đó sẽ kiểm tra các thông tin về host nguồn, về tính toán toàn vẹn của gói tin thông qua việc xử lý trờng nhận thực nói trên.
2 Giao thức đóng gói gói tin an toàn – ESP
Giao thức này sẽ đảm bảo an ninh cho lớp mạng cũng đề nhận thực host nguồn Trớc tiên, nó cũng phải thiết lập một liên kết logic giửa nguồn và đích, sau đó host nguồn mới có thể trao đổi thông tin đợc Khung dữ liệu đợc tạo ra sẽ bao gói tin IP ban đầu giữa trờng header và trailer, sau đó khung dữ liệu này sẽ đợc chèn vào một gói tin mới Trờng protocol trong phần header của gói tin sẽ nhận giá trị bằng 50 để chỉ thị rằng gói tin này chứa các phần header và trailer của ESP Khi host đích nhận đợc gói tin này, nó sẽ kiểm tra nội dung tr- ờng protocol để sử dụng gío thức ESP trong quá trình xử lý gói tin
IP header ESP header IP Payload ESP Trailer ESP Auth Đã mã hoá Đã nhận thực
H×nh 33 : Trêng ESP trong gãi tin IP
Nh minh hoạ trên hình trên, toàn bộ phần gói tin ban đầu và trờng ESP trailer đều đợc mã hoá Phần tiêu đề ESP gồm một trờng dài 32 bit dành cho SPI và một trờng 32 bit khác dành cho số thứ tự, ý nghĩa của các trờng này cũng giống nh trong các giao thức AH.
Sau đây là định dạng các gói tin ở hai chế độ là chế độ chuyển vận và chế độ đờng hầm (tunnel) Trong chế độ chuyển vận, phần header nhận thực đợc chèn vào giữa phần IP header và trờng tin payload của gói tin ban đầu Trong chế độ đờng hầm , nó đợc cài đặt trớc toàn bộ gói IP và IP header mới sẽ đợc thêm vào trớc phần AH header.
Hình 34 : Phần header nhận thực trong chế độ chuyển vận thông thờng và đờng hầm sử dụng giao thức AH
Gói tin ở chế độ ® êng hÇm
Gói tin ở chế độ chuyÓn vËn
IP header IP Payload Đã nhận thực Đã mã hoá
New IP header ESP header IP header IP Payload ESP Trailer ESP Auth
IP header ESP header IP Payload ESP Trailer ESP Auth Đã mã hoá Đã nhận thực
Hình35 : Định dạng gói tin trong chế độ chuyển vận thông thờng và đờng hầm sử dụng ESP
Cả AH và ESP đều có thể hoạt động ở chế độ chuyển vận thông thờng và chế độ đờng hầm Sự khác biệt giữa hai giao thức này đợc tổng kết trong bảng sau. Chế độ vận thông thờng đợc thiết kế cho việc mã hoá ở mức độ điểm - điểm trong khi chế độ đờng hầm thờng đợc sử dụng cho việc mã hoá giữa gateway – gateway.
Chế độ chuyển vận thông thờng Chế độ đờng hầm
AH Phần tiêu đề của AH đợc chèn vào giữa phần tiêu đề của gói IP và trờng dữ liệu của nó.
Toàn bộ khung dữ liệu đợc nhËn thùc.
Phần tiêu đề của AH và phần tiêu đề IP mới đợc đặt vào trớc khung dữ liệu IP
Toàn bộ khung dữ liệu đợc nhận thùc.
ESP Việc nhận thực chỉ bảo vệ tr- ờng dữ liệu của gói IP ban đầu đợc đóng gói bởi ESP.
Trờng dữ liệu của gói IP ban đầu và phần đuôi ESP đợc mã hoá.
Việc nhận thực bảo vệ toàn bộ khung dữ liệu IP đã đợc đóng gói Tuy nhiên nó không nhận nhận tực phần tiêu đề IP ngoài cùng.
Gói IP ban đầu và phần đuôi ESP đợc mã hoá.
Bảng nhận thực và mã hoá trong chế độ chuyển vận thông thờng và chế độ đ- êng hÇm
Nh đã trình bày ở trên, cần phải thiết lập các liên kết logic ở lớp mạng trớc khi thực sự trao đổi dữ liệu Đây là các thủ tục ban đầu mô tả về các giao thức, các thuật toán mã hoá và các khoá trong các phiên đợc sử dụng ISAKMP (hiệp hội an ninh Internet và giao thức quản lý khoá) sẽ cung cấp các thủ tục này ISAKMP thực hiện chức năng trong hai giai đoạn trong giai đoạn thứ nhất, các kênh thông tin đợc thiết lập Một trong các nội dung cần quan tâm là khoá dành cho phiên khởi tạo thuật toán Diffe-Hellman đợc sử dụng để tạo ra các khoá cho phiên này Giai đoạn thứ hai suy luận ra các khoá cho các phiên truyền mới từ khoá khởi tạo ban đầu Các khoá này thậm chí có thể đợc tính toán mà không cần dựa vào các khoá ban đầu Khả năng tự động tạo ra các khoá cho phiên truyền mới là một đặc điểm khá thú vị của IPSec.
II Giao thức tạo đờng hầm điểm nối điểm - PPTP
Một trong những giao thức ra đời sớm nhất và phổ biến nhất đợc phát triển cho VPN là PPTP PPTP đợc sử dụng chủ yếu cho mô hình VPN truy nhập từ xa theo kiểu quay số sử dụng giao thức thông tin điểm nối điểm – PPP.
Các thành phần trong vpn
I Các thành phần mạng không liên quan đến an ninh :
Máy chủ truy nhập mạng NAS
Máy chủ khởi tạo tunnel
Máy chủ kết cuối tunnel
Các thành phần này có thể đợc đánh giá một cách tốt nhất thông qua việc tìm hiểu chức năng của nó Một số thành phần chỉ cung cấp một chức năng trong khi các thành phần khác có khả năng cung cấp nhiều hơn một chức năng Ví dụ, chức năng truy nhập mạng có thể đợc cung cấp bởi một thiết bị có cả khả năng khởi tạo và kết cuối tunnel Mặt khác chức năng kết cuối tunnel lại có thể đợc hỗ trợ bởi một thiết bị có cả khả năng cung cấp các dịch vụ về an ninh
Các thành phần mạng có liên quan đến vấn đề bảo mật của hệ thống sẽ đợc đề cËp phÇn sau
1 Máy chủ truy nhập mạng - NAS
NAS là một thiết bị đáp ứng nhu cầu truy nhập mạng của ngời sử dụng Nó th- ờng sử dụng một bộ nhiều trong mạng riêng, khi đó nó đợc gọi là máy chủ truy nhập từ xa Khi đợc đặt trong mạng công cộng, nó cung cấp khả năng truy cập tới mạng đợc sở hữu bởi một ISP nào đó hoặc tới một mạng của ISP khác.
Một ISP có thể cung cấp các điểm truy nhập PoP nhằm mở rộng phạm vi và khả năng truy nhập tới các mạng riêng mà nó cung cấp dịch vụ Thông qua các PoP này ngời sử dụng có thể truy nhập từ xa vào mạng riêng với chi phí viễn thông nội hạt PoP chính là một máy chủ truy nhập mạng, thiết bị này còn thực hiện chức năng của một modem Rất nhiều máy chủ truy nhập mạng có thể phân biệt đợc các cuộc gọi tơng tự và số thông qua một thiết bị thông minh qua đó hớng cuộc gọi tới modem thích hợp
Ngày nay có rất nhiều thiết bị hỗ trợ các chức năng của NAS Những thiết bị thực hiện bởi một máy chủ riêng biệt, các chức năng lọc và định tuyến cũng đ- ợc hỗ trợ bởi thiết bị này.
2 Routers - các bộ định tuyến
Cả ba mô hình nêu trên đều có sự có mặt của các router Các phơng thức tổ chức VPN trong quá khứ đều sử dụng các router này và kết hợp thêm với một số chức năng khác Các router này có thể ở cả phía ISP và phía mạng công ty.
Ta cần phân biệt ba loại router là interior router (router nội bộ), exterior router (router dùng để thông tin với môi trờng bên ngoài) và defaul router (router ở chế độ mặc định) Các hệ thống tự trị (Autonomous System) sẽ bao gồm các interior và exterior router để thực hiện các chức năng sau : trong khi các exterior router cho phép thông tin với các exterior router của các AS khác thì interior cho phép thông tin với các interior router hay exterior router trong cùng một AS Khi một router không chứa thông tin định tuyến của một gói tới một đích nào đó nó sẽ gửi gói này đến một router mặc định với hy vọng router này sẽ biét cách gửi gói này đi VPN đợc tổ chức theo kiểu sử dụng các exterior router.
Trong trờng hợp tổng quát, VPN sử dụng phơng thức định tuyến trong Internet nh RIP, OSPF hay BGP Một vài giao thức mới đã đợc sử dụng trong các thiết bị VPN Các giao thức này sẽ đợc trình bày ở chơng sau.
Router néi bé Router néi bé
3 Máy chủ khởi tạo Tunnel
Mặc dù không phải là thuật ngữ chính thức, song thiết bị này đợc sử dụng để quản lý các tunnel Nó có thể thiết lập các tunnel cũng nh huỷ bỏ các tunnel này Ngời sử dụng các dịch vụ VPN sẽ sử dụng tài nguyên mạng thông qua các tunnel kết nối với một máy chủ đóng vai trò là kết cuối các tunnel Máy chủ khởi tạo tunnel có thể cung cấp đồng thời nhiều tunnel một lúc, song số l- ợng các tunnel này là có giới hạn và nó phụ thuộc vào khả năng phục vụ của thiết bị.
Trên thực tế, các thiết bị này truy nhập nh NAS đều có khả năng thực hiện chức năng này Ví dụ, Cisco sử dụng bộ truy nhập mạng tập trung L2TP (LAC) để định tuyến và tạo các tunnel Thiết bị này sẽ thiết lập một tunnel giữa bản thân nó với máy chủ kết cuối tunnel để trao đổi thông tin.
4 Máy chủ kết cuối Tunnel
Là một thiết bị để tiếp nhận và kết cuối tunnel sau đó giải mã (nếu có) và gửi các gói tin đến router của công ty để định tuyến tới host tơng ứng Trong trờng hợp khởi tạo ban đầu ngời sử dụng sẽ đợc nhận thực để chấp nhận hay là từ chối phục vụ Thiết bị này còn gọi là HomeGateway hay là CorporateGateway.
II Các thiết bị đảm bảo an ninh trong mạng
Máy chủ nhận thực (Authentication Server)
Các máy chủ lu trữ chính sách về an nninh mạng (Policy Server)
Trung tâm lu trữ và cấp chứng nhận (CA)
Máy chủ liên kết ở phạm vi rộng (GRS)
Một số thiết bị nêu trên có thể cung cấp nhiều hơn một dịch vụ an ninh và không phải tất cả các VPN đều sử dụng mọi thành phần nêu trên.
Khi ngời dùng kết nối tới máy chủ truy nhập mạng NAS, NAS phải kiểm tra xem ngời dùng đó muốn truy nhập vào Internet hay muốn sử dụng các dịch vụVPN ISP và công ty có thể lựa chọn phạm vi nhận thực khác nhau Trong hệ thống nhận thực đơn, chỉ duy nhất công ty thực hiện nhận thực, ngợc lại trong
Terminal Access Controller Access Control System – TACACS (tạm dịch là hệ thống điều khiển truy nhập vào bộ điều khiển truy nhập kết cuèi)
Remote Authentication Dial In User Server – RADIUS ( máy chủ nhận thực ngời sử dụng quay số từ xa) Khi nhận đợc yêu cầu kết nối tới mạng riêng từ máy khách, máy chủ truy nhập mạng NAS sẽ yêu cầu các thông tin nhận thực từ máy khách thông qua giao thức CHAP hay PAP Nó có thể tự xử lý các thông tin này cũng nh gửi về trung tâm nhận thực của mạng riêng, điều này tuỳ thuộc vào hệ thống cơ sở dữ liệu và cách thức quản lý giữa mạng riêng và ISP Một giải pháp khác thờng đợc dùng là NAS sẽ chuyển các cuộc gọi đến một trung tâm nhận thực ở mạng riêng gọi là Home Gateway, sau khi xử lý nó sẽ gửi trả lại kết quả cho NAS Các quy trình trên đợc minh hoạ một cách minh hoạ ở hình dới đây :
Máy chủ kết cuối tunnel
Hình40 : Quá trình nhận thực trong RADIUS
RADIUS proxy cho phép một ISP kết nối tới máy chủ RADIUS của công ty.Máy chủ này (RADIUS của công ty) sẽ cung cấp những thông tin phục vụ cho việc nhận thực đến RADIUS proxy tại ISP.
Trong phần trớc chúng ta đã đề cập đến các giao thức thiết lập đờng hầm (tunneling) có sử dụng các chức năng của VPN gateway trong mô hình VPN truy nhập từ xa Hiện nay, các thiết bị này đều có khả năng hỗ trợ cho cả ba loại VPN, chúng thực hiện các chức năng chính sau :
ứng dụng các công nghệ bảo mật (IPSec).
Xây dựng các chính sách cho phép xác định chính xác ai cũng có thể truy nhập dựa trên địa chỉ IP.
Dịch địa chỉ mạng NAT (tuỳ chọn).
Thực hiện các chức năng của firewall (tuỳ chọn).
Thực hiện các yêu cầu về QoS.
Quản lý VPN
Mạng của nhà cung cấp dịch vụ Mạng chi nhánh
Ng ời sử dông tõ xa
Hình43 : Các vùng quản lý
Trong hình này chúng ta có thể nhận ra 5 vùng quản lý khác nhau ứng với ba loại thuê bao VPN (ngời sử dụng từ xa, văn phòng chi nhánh, đối tác extranet), mỗi một vùng có thể đợc nhận dạng thông qua đối tợng tham gia của nó và đ- ợc phân biệt thông qua các điểm ranh giới (Xa đến Xc) Cho dù số lợng vùng và số ngời tham gia VPN tăng lên song việc quản lý các vùng này không khác mấy so với các loại thuê bao VPN khác Tuy nhiên nếu số lợng vùng tăng lên thì công việc quản lý toàn bộ mạng VPN cũng trở nên khó khăn hơn.
Trong việc quản lý VPN, một điều thú vị là xem ai quản lý cái gì Nh hình trên ngời sử dụng từ xa và văn phòng chi nhánh đợc ngăn cách với vùng của ISP bởi điểm ranh giới Xb Hai loại VPN này có thể có cách truy nhập khác nhau, nhng từ phơng diện của ngời quản lý chúng là nh nhau bởi vì chúng cùng thuộc một công ty Trong một số trờng hợp văn phòng chi nhánh muốn quản lý cấu hình VPN bởi chính bản thân họ hay ít nhất là kết hợp với ngời quản lý mạng của công ty trong mô hình phân tán thì ngời quản lý mạng cũng không thể quản lý cấu hình của ngời đối tác Extranet Tất nhiên, tất cả các công việc quản lý này đều có thể thuê từ nhà cung cấp dịch vụ Nhng trong chơng này chúng ta giả sử ISP chỉ cung cấp dịch vụ truy nhập mạng chứ không quan tâm đến phần quản lý cấu hình. Đối với ngời quản lý một điều đáng quan tâm là xem khả năng quản lý của mình đến đâu, nghĩa là xem có thể quản lý điểm nối điểm đợc không, điều đó cũng có nghĩa là có thể thực hiện các công việc quản lý trong vùng của ISP đ - ợc không ISP đảm nhiệm việc cung cấp kết nối, công ty lại muốn quản lý các loại kết nối và những yêu cầu về chất lợng dịch vụ của kết nối đó.
II Phạm vi quản lý
Có 3 lĩnh vực cần quản lý :
Các lĩnh vực này bao trùm lên tất cả các vùng quản lý mà ta đã đề cập đến tr- ớc Mô hình quản lý chức năng OSI đợc sử dụng để phân tích xem bằng cách nào các sản phẩm của giải pháp VPN hiện tại tập trung đợc 3 lĩnh vực quản lý chính này với nhau Những chức năng quản lý có thể liệt kê ra là quản lý lỗi (FM), quản lý cấu hình (CM), quản lý về mặt kế toán (AM), quản lý quá trình thực hiện (PM) và quản lý về an ninh mạng (SM) Các chức năng quản lý này có thể viết tắt dới dạng FCAPS Hình dới đây mô tả mối liên hệ giữa các lĩnh vực cần quản lý với các chức năng quản lý trên.
Tất cả ngời sử dụng VPN, ngoại trừ những ngời sử dụng đơn lẻ từ xa, nên yêu cầu chất lợng dịch vụ đối với nhà cung cấp Sự đáp ứng các yêu cầu này sẽ phụ thuộc phần lớn vào sự nỗ lực của nhà cung cấp Trong thực tế, VPN đợc thiết lập qua mạng của ISP và bắt đầu từ cuối biên mạng của ngời sử dụng (trong tr- ờng hợp Intranet và Extranet VPN ) hoặc từ host (trong mô hình VPN truy nhập từ xa) VPN có thể đợc sử dụng cho một loạt các ứng dụng yêu cầu băng tần cao với mục đích hỗ trợ các ứng dụng nh thế, khái niệm về chất lợng dịch vụ nên đợc áp dụng trên mô hình điểm nối điểm và không bị giới hạn vào kết nối giữa các điểm với nhau.
Fm Cm Am Pm Sm
Quản lý về an ninh mạng bao gồm việc ứng dụng các chính sách an ninh vào quá trình trao đổi thông tin Quản lý về kết nối trong VPN tập trung vào việc thiết lập và huỷ bỏ kết nối (tunnel), vì vậy nó còn đợc biết dới tên là quản lý tunnel Mặt khác ISP lại là đối tợng cung cấp các kết nối cho VPN, nên nó cũng đảm luôn việc quản lý cấu hình.
Quản lý VPN còn bao gồm việc quản lý các thiết bị VPN Các thiết bị này có thể đợc quản lý bởi công ty, bởi chi nhánh hay thậm chí cả ISP nếu ta thuê thiết bị của nhà cung cấp Các thiết bị VPN sẽ chịu trách nhiệm đầu tiên trong việc đảm bảo an toàn cho quá trình trao đổi thông tin Nó thiết lập các tunnel với các máy chủ kết nối cuối tunnel và vì vậy sẽ dựa vào các kết nối mà ISP cung cÊp
III Quản lý khoá, tunnel và băng thông
Trong 3 phần tiếp theo, các nội dung về quản lý khoá, quản lý tunnel và quản lý băng thông sẽ đợc đề cập đến Quản lý khoá là một phần trong quản lý an ninh mạng, quản lý tunnel là một phần trong việc quản lý chất lợng dịch vụ.
Quản lý khoá đợc sử dụng trong các dịch vụ nhận thực, dịch vụ này đợc thực hiện vì nhiều mục đích khác nhau Trớc hết, tất cả các thiết bị và các phần mềm quản lý của VPN phải đợc nhận thực Thứ hai ngời sử dụng trớc khi muốn sử dụng các tài nguyên của mạng cũng cần phải đợc nhận thực Thứ ba là việc nhận thực nguồn thông tin.
Một cách tổng quát, quản lý khóa bao gồm việc tạo, trao đổi và xoá bỏ các khoá công cộng hay khóa riêng giữa các đối tợng khác nhau Các khoá công cộng và khoá riêng có thể trao đổi một cách tự động Khía cạnh quan trọng nhất của quản lý khoá là các khoá có thể đợc thay đổi một cách có hệ thống và có quy tắc.
Với duy nhất một nhà cung cấp thiết bị VPN, việc quản lý khóa có thể diễn ra một cách hoàn toàn tự động Song, trong mô hình Extranet VPN, có rất nhiều các VPN gateway từ rất nhiều các nhà cung cấp khác nhau Điều này dẫn đến việc trao đổi các thông tin về chính sách an ninh mạng bị hạn chế mà cụ thể là không diễn ra một cách tự động đợc Mà ta biết rằng khả năng mở rộng mạng chỉ đợc thực hiện khi quá trình trao đổi khoá diễn ra một cách tự động.
Một hệ thống quản lý các vấn đề này, trao đổi và huỷ các khoá công cộng, đợc gọi là PKI (tạm dịch là cơ sở khoá công cộng) Thực tế, CA là đối tợng duy nhất có đủ khả năng thực hiện công việc này CA thực hiện quản lý khoá một cách tập trung, song khi có sự xác nhận chéo với các CA khác nó lại đợc coi là hệ thống quản lý khoá phân tán.
TimeStep sử dụng các máy chủ th mục LDAP để lu trữ những chứng nhận khóa công cộng này RADGard không sử dụng các máy chủ th mục này, nhng nó lại trao đổi một cách tự động danh sách các module IPSec đã đợc nhận thực giữa các module này với nhau Checkpoint có thể làm việc tơng thích với Entrust CA và sử dụng một cơ sở dữ liệu cụ thể để lu trữ các chứng nhận khoá công cộng.
2 Quản lý đờng hầm (tunnel)
Quản lý đờng hầm tập trung vào việc thiết lập các đờng hầm giữa hai điểm. Quá trình này có thể thực hiện một cách thủ công hoặc tự động Đặc biệt, khi có quá nhiều đờng hầm cần quản lý thì việc thực hiện thủ công sẽ gặp rất
Khi sử dụng các thiết bị từ các nhà sản xuất khác nhau, các tunnel có thể phải đợc thiết lập một cách thủ công Quá trình này có nghĩa là các khoá đợc sử dụng để nhận thực hai VPN gateway và các kỹ thuật đảm bảo an ninh đợc sử dụng cho việc bảo vệ thông tin phải đợc biết trớc Những thông tin này phải đ- ợc cung cấp thông qua một số phơng pháp bắt buộc (ví dụ nh qua điện thoại). Bởi vì tồn tại vấn đề tơng thích với các IPSec gateway nên cấu hình đợc đa ra là sử dụng các khoá chung và không cho phép quản lý khoá một cách tự động.
Có một số ngoại lệ về các đặc tính đợc hỗ trợ trong VPN gateway Nh đã đề cập, VPN gateway tập trung chủ yếu vào vấn đề an ninh Xedia, một nhà cung cấp thiết bị, có một sản phẩm gọi là QVPN, về bản chất tên gọi này có nghĩa là một số kỹ thuật đảm bảo chất lợng dịch vụ _ QoS đã đợc tích hợp vào VPN gateway của họ Nó bao gồm một module IPSec và một số kỹ thuật nh CBQ (xếp hàng theo lớp u tiên), kỹ thuật xếp hàng đặc biệt và Diffsevr Hơn thế nữa nó còn hỗ trợ VRRP và máy chủ kết cuối tunnel L2TP.
