XÂY DỰNG hệ THỐNG MẠNG VPN CHO một TRƯỜNG THCS (có code) ... XÂY DỰNG hệ THỐNG MẠNG VPN CHO một TRƯỜNG THCS (có code) ... XÂY DỰNG hệ THỐNG MẠNG VPN CHO một TRƯỜNG THCS (có code) ... XÂY DỰNG hệ THỐNG MẠNG VPN CHO một TRƯỜNG THCS (có code) ... XÂY DỰNG hệ THỐNG MẠNG VPN CHO một TRƯỜNG THCS (có code) ... XÂY DỰNG hệ THỐNG MẠNG VPN CHO một TRƯỜNG THCS (có code) ...
Trang 1XÂY DỰNG HỆ THỐNG MẠNG VPN
CHO MỘT TRƯỜNG THCS
Trang 2DANH MỤC CÁC BẢNG BIỂU VI DANH MỤC CÁC TỪ VIẾT TẮT VII
CHƯƠNG 1 TỔNG QUAN VỀ MẠNG 1
1.1 MẠNG LÀ GÌ? 1
1.2 CÁC THÀNH PHẦN CƠ BẢN TRONG MỘT HỆ THỐNG MẠNG: 1
1.2.1 Các thiết bị đầu cuối: 1
1.2.2 Các kết nối: 2
1.2.3 Card mạng (NIC – Network Interface Card): 2
1.2.4 Đầu nối cáp (connector): 2
1.3 CÁC TIÊU CHÍ CẦN THIẾT KHI THIẾT KẾ HỆ THỐNG MẠNG: 2
1.4 MÔ HÌNH OSI: 5
1.5 NGUYÊN TẮC HOẠT ĐỘNG CỦA MÔ HÌNH OSI: 6
1.6 MÔ HÌNH TCP/IP: 8
1.7 GIAO THỨC IP: 10
1.8 ĐỊA CHỈ IP: 11
1.8.1 Địa chỉ IPv4: 11
1.8.2 Địa chỉ IPv6: 13
CHƯƠNG 2 CÁC GIAO THỨC ĐỊNH TUYẾN 15
2.1 KHÁI NIỆM CHUNG: 15
2.2 RIP (ROUTING INFORMATION PROTOCOL): 15
2.3 OSPF (THE OPEN SHORTEST PATH FIRST PROTOCOL): 16
2.4 EIGRP (ENHANCE INTERIO GATEWAY ROUTING PROTOCOL): 16
2.5 KẾT LUẬN: 17
CHƯƠNG 3 TỔNG QUAN VỀ VPN 18
3.1 GIỚI THIỆU: 18
Trang 33.3.1 Khái niệm: 20
3.3.2 Chức năng: 21
3.3.3 Cấu trúc khung GRE header: 22
3.3.4 Phân loại: 23
3.4 ƯU – NHƯỢC ĐIỂM CỦA VPN: 24
3.4.1 Ưu điểm: 24
3.4.2 Nhược điểm: 24
CHƯƠNG 4 THIẾT KẾ MÔ HÌNH 25
4.1 YÊU CẦU THIẾT KẾ: 25
4.2 CÁC THIẾ BỊ ĐƯỢC SỬ DỤNG TRONG MÔ HÌNH: 25
4.3 SƠ ĐỒ HỆ THỐNG: 26
4.4 KẾT QUẢ MÔ PHỎNG: 27
4.4.1 Kết quả Ping trong trường hợp cùng chi nhánh: 27
4.4.2 Kết quả Ping trong trường hợp khác chi nhánh: 30
CHƯƠNG 5 KẾT LUẬN 34
5.1 KẾT LUẬN: 34
5.2 HƯỚNG PHÁT TRIỂN: 34
TÀI LIỆU THAM KHẢO 35 PHỤ LỤC A 36
Trang 4HÌNH 1-2: MẠNG VÒNG 4
HÌNH 1-3: MẠNG SAO 4
HÌNH 1-4: FULL - MESH 4
HÌNH 1-5: PARTIAL - MESH 4
HÌNH 1-6: MÔ HÌNH OSI 5
HÌNH 1-7: QUÁ TRÌNH ĐÓNG GÓI CỦA MÔ HÌNH OSI 7
HÌNH 1-8: QUÁ TRÌNH TÁCH GÓI CỦA MÔ HÌNH OSI 7
HÌNH 1-9: CÁC GÓI TIN TRONG TỪNG LỚP 8
HÌNH 1-10: MÔ HÌNH TCP/IP 8
HÌNH 1-11: CẤU TRÚC IP HEADER 10
HÌNH 1-12: CẤU TRÚC IP LỚP A 12
HÌNH 1-13: CẤU TRÚC IP LỚP B 12
HÌNH 1-14: CẤU TRÚC IP LỚP C 12
HÌNH 1-15: ĐỊA CHỈ IPV6 13
HÌNH 1-16: CẤU TRÚC ĐỊA CHỈ IPV6 14
HÌNH 1-17: PHẦN PREFIX VÀ PHẦN INTERFACE ID 14
HÌNH 2-1: GIAO THỨC RIP 16
HÌNH 2-2: GIAO THỨC OSPF 16
HÌNH 2-3: GIAO THỨC EIGRP 17
HÌNH 3-1: CẤU TRÚC IPSEC 19
HÌNH 3-2: KỸ THUẬT GRE VPN 20
HÌNH 3-3: CẤU TRÚC GIAO THỨC GRE 21
HÌNH 3-4: CẤU TRÚC VÀ CHỨC NĂNG CỦA KHUNG GRE HEADER 22
Trang 5HÌNH 4-2: THIẾT BỊ SWITCH 25
HÌNH 4-3: PC VÀ LAPTOP 26
HÌNH 4-4: SƠ ĐỒ HỆ THỐNG 26
HÌNH 4-5: PING TỪ VLAN 1 SANG ROUTER CÙNG CHI NHÁNH 1 27
HÌNH 4-6: PING TRONG CÙNG VLAN 1 TẠI CHI NHÁNH 1 27
HÌNH 4-7: PING TỪ VLAN 1 SANG VLAN 2 TẠI CHI NHÁNH 1 28
HÌNH 4-8: PING TỪ VLAN 1 SANG VLAN 3 TẠI CHI NHÁNH 1 28
HÌNH 4-9: PING TỪ VLAN 1 SANG VLAN 4 TẠI CHI NHÁNH 1 28
HÌNH 4-10: PING TỪ VLAN 1 SANG ROUTER KHÁC CHI NHÁNH 30
HÌNH 4-11: PING TỪ VLAN 1 SANG VLAN 1 KHÁC CHI NHÁNH 30
HÌNH 4-12: PING TỪ VLAN 1 SANG VLAN 2 KHÁC CHI NHÁNH 31
HÌNH 4-13: PING TỪ VLAN 1 SANG VLAN 3 KHÁC CHI NHÁNH 31
Trang 6BẢNG 4-2: TỪ VLAN 1 SANG VLAN 2 CÙNG CHI NHÁNH 29
BẢNG 4-3: TỪ VLAN 1 SANG VLAN 3 CÙNG CHI NHÁNH 29
BẢNG 4-4: TỪ VLAN 1 SANG VLAN 1 KHÁC CHI NHÁNH 31
BẢNG 4-5: TỪ VLAN 1 SANG VLAN 2 KHÁC CHI NHÁNH 32
BẢNG 4-6: TỪ VLAN 1 SANG VLAN 3 KHÁC CHI NHÁNH 32
Trang 7EIGRP Enhanced Interior Gateway Routing ProtocolESP Encapsulation Security Payload
GRE Generic Routing Encapsulation
IPSEC Internet Protocol Security
NAT Network Address Translation
OSI Open systems Interconnection Model
OSPF Open Shortest Path First
RIP Routing Information Protocol
TCP Transmission Control Protocol
VLAN Virtual Local Area Network
Trang 8CHƯƠNG 1 TỔNG QUAN VỀ MẠNG
1.1 Mạng là gì?
Mạng là một tập hợp các thiết bị hoặc các hệ thống đầu cuối sử dụng internet đểtruyền thông tin dữ liệu qua lại cho nhau qua một môi trường được gọi là mạnginternet công cộng Đây cũng là loại hình mạng có quy mô được sử dụng rộng rãinhất hiện nay ở khắp nơi trên thế giới Không chỉ truyền thông qua lại giữa 2 thiết
bị với nhau mà mạng còn có thể kết nối rất nhiều thiết bị lại cùng nhau để truyền tảithông tin một cách nhanh chóng và dễ dàng hơn, tiết kiệm thời gian hơn
1.2 Các thành phần cơ bản trong một hệ thống mạng:
1.1.1 Các thiết bị đầu cuối:
Là các PC công ty, các máy tính cá nhân hoặc là máy in, máy fax, điện thoại… Ngoài ra còn các thiết bị quan trọng hơn vì chúng có nhiệm vụ quan trọng hơn, nếukhông có chúng thì sẽ không thế truyền tải thông tin từ nơi này đến nơi khác đượcnhư:
‐ Switch: là thiết bị tập trung các máy tính PC đầu cuối lại với nhau, có nhiệm
vụ là chuyển mạch, chuyển các thông tin, gói tin mà các PC đầu cuối muốntruyền đến nhau Thiết bị này được sử dụng rất rộng rãi trong hệ thống mạngLan của các công ty, trường học… Thiết bị này hoạt động ở lớp 2 (Layer 2)hoặc lớp 3 (Layer 3) của mô hình OSI
‐ Router: thiết bị này sẽ tập trung các kết nối của switch lại với nhau và cóchức năng định tuyến các gói tin đến đứng các địa chỉ IP mà các thiết bị PCđầu cuối muốn gửi đến Chúng sẽ tìm đường đi tối ưu nhất để có thể truyềntải gói tin đến đia điểm mong muốn mà không bị mất gói Thiết bị này hoạtđộng ở lớp 3 (Layer 3) của mô hình OSI
1.1.2 Các kết nối:
Trang 9Cáp mạng: cụ thế như cáp thẳng, cáp chéo được sử dụng rất nhiều để kết nối cácthiết bị đầu cuối với nhau hoặc với các thiết bị mạng lại với nhau Chúng ta chiathành 2 nhóm:
‐ Nhóm 1: Router, PC, Laptop, Sever
‐ Nhóm 2: Switch, Hub
Khi các thiết bị đầu cuối này kết nối với nhau, nếu kết nối cùng nhóm thì ta sẽ dùngloại cáp chéo, và ngược lại khác nhóm ta sẽ dùng loại cáp thẳng
1.1.3 Card mạng (NIC – Network Interface Card):
Được gắn trong các PC, laptop, các thiết bị truyền tin như Switch Router
Có 2 loại:
‐ Card mạng có dây: là card được dùng để kết nối với các dây kết nối mạngvới các thiết bị khác
‐ Card mạng không dây: là card được dùng để kết nối wifi
1.1.4 Đầu nối cáp (connector):
Đây là dụng cụ để kết nối cáp mạng và các card mạng có trên các thiết bị đầu cuối.Loại đầu nối cáp được sử dụng rộng rãi nhất trong hệ thống mạng ngày nay là đầucáp RJ45
1.3 Các tiêu chí cần thiết khi thiết kế hệ thống mạng:
Với các thiết bị như trên thì việc thiết kế một hệ thống mạng cho một trường họchoặc một công ty… cần đáp ứng các yếu tố như sau:
‐ Tốc độ (Speed): yếu tố này sẽ cho chúng ta biết tốc độ của mạng nhanh đếnđâu trong các hoạt động truyền tải dữ liệu Yếu tố này được đo bằng đơn vịbps có nghĩa là tốc độ 1 bit truyền được trong một giây
‐ Chi phí (cost): đây là một yếu tố thuộc tầm quan trọng khi chúng ta nhận
Trang 10phí như mua sắm các thiết bị truyền dữ liệu (switch, router, hub…), chi phílắp đặt thiết bị, chi phí nâng cấp hệ thống, ngoài ra còn có chi phí vận hành
và bảo dưỡng hệ thống,…
‐ Tính bảo mật (security): có thể đây sẽ là yếu tố mà các nhà quản trị hoặc cácnhà đầu tư và cả người sử dụng đều đặc biệt quan tâm đến Một hệ thốngmạng muốn hoạt động bền bỉ và tốt về mọi mặt thì cần phải có các tính nănghoặc sử dụng các giao thức bảo mật mà cisco đã cung cấp (VPN, IPSEC,MPLS,… ) để có thể bảo mật được các thông tin của riêng công ty hoặc các
cá nhân đang hoạt động trong một tổ chức nào đó…
‐ Độ sẵn sàng (availability): tính liên tục của mạng cần được đảm bảo trongviệc truy nhập mạng và truyền dữ liệu qua mạng
‐ Tính tin cậy (reliability): khả năng truyền dữ liệu từ site này đến site kháchoặc từ pc này đến pc khác cần được đảm bảo, tránh bị mất gói, hoặc lỗitrong quá trình truyền dữ liệu, đảm bảo được sự tin cậy về chất lượng khitruyền qua môi trường mạng
‐ Sơ đồ mạng (topology): một mạng bao giờ cũng cần phải có các sơ đồ mạng,
vì các sơ đồ này sẽ thể hiện rõ các kết nối trong mạng đồng thời mỗi sơ đồmạng sẽ có các ưu - nhược điểm khác nhau tùy thuộc vào nhu cầu sử dụngcủa người sử dụng mạng
Có các loại mô hình mạng:
‐ Sơ đồ vật lý: là cách đấu nối giữa các thiết bị mạng với nhau
‐ Sơ đồ luận lý: cho biết cách thức dòng dữ liệu di chuyển giữa các thiết bị
Có nhiều cách đấu nối khác nhau giữa các thiết bị, trong đó phổ biến nhất là 3 môhình đấu nối: bus, star, ring
Trang 12Hình 1-6 Mô hình OSI
Bao gồm 7 lớp:
‐ Lớp 1 (Physical): định nghĩa các thủ tục cơ bản trước khi truy nhập mạngnhư cơ, điện, các loại cáp được sử dụng, các đầu nối, các kỹ thuật điều chếtín hiệu được sử dụng trên đường truyền không dây… Nhiệm vụ của lớpnày là phải đảm bảo truyền được các bit nhị phân qua một môi trường cụ thểnào đó
‐ Lớp 2 (Data link): định nghĩa các kỹ thuật đóng gói dữ liệu sao cho phù hợpvới các đường truyền, lớp này chỉ sử dụng một loại địa chỉ được gọi là địachỉ vật lý (physical address) Thiết bị hoạt động đặc trưng của lớp này làSwitch layer 2
‐ Lớp 3 (Network): định tuyến tìm đường đi tối ưu nhất từ site này đến sitekia là nhiệm vụ chính của lớp này Nhắc đến lớp 3 thì không thể không nhắcđến thiết bị hoạt động đặc trưng của lớp này là Router ngoài ra còn có cácSwitch layer 3 Lớp này sẽ sử dụng địa chỉ logic khác với địa chỉ được sửdụng ở lớp 2
‐ Lớp 4 (Transport): nếu các lớp trên (các lớp 1, 2, 3) phải chịu trách nhiệmđảm bảo gói tin phải di chuyển đúng đường đi đến đích của nó trên hệ thốngmạng internet thì lớp 4 chỉ phải quản lý hoạt động truyền dữ liệu khi việc đếnđích này đã được đảm bảo ở các lớp dưới Nói cách khác lớp 4 quản lý vàthực hiện các tác vụ truyền tải dữ liệu từ đầu cuối đến đầu cuối đảm bảo hoạtđộng này diễn ra một cách hiệu quả nhất
‐ Lớp 5 (Session): lớp này sẽ chịu trách nhiệm trong việc thiết lập và duy trì,giải phóng các session trao đổi dữ liệu giữa các thực thể ứng dụng trên cáchost giao tiếp với nhau
Trang 13‐ Lớp 6 (Presentation): khi các ứng dụng trên hai host sử dụng các định dạng
dữ liệu khác nhau, lớp trình bày phải chịu trách nhiệm phiên dịch và diễngiải để hai ứng dụng truyền thông với nhau có thể hiểu nhau
‐ Lớp 7 (Application): cung cấp giao diện tương tác trực tiếp và các dịch vụmạng đến người dùng
1.5 Nguyên tắc hoạt động của mô hình OSI:
Các lớp dưới cung cấp các dịch vụ trực tiếp cho các lớp ngay phía trên nó Các lớptrên sẽ gửi yêu cầu xuống các lớp dưới và nhận lại kết quả, các lớp trên không cầnbiết hoạt động của các lớp dưới cụ thể sẽ diễn ra như thế nào
Các lớp ngang hàng trên hai host giao tiếp trực tiếp với nhau Dữ liệu trao đổi giữahai lớp ngang hàng với nhau này phải thông qua các hoạt động của các lớp bên dưới
nó Quá trình truyền dữ liệu trong mô hình OSI sẽ đi từ các lớp trên xuống các lớpbên dưới, thông qua đường truyền vật lý để đến với host bên kia Khi dữ liệu đã điđến host bên kia thì chiều di chuyển của dữ liệu sẽ di chuyển ngược lại là từ các lớpdưới lên các lớp trên
Đóng gói và mở gói tin (Encapsulation and De - encapsulation): tại mỗi giao thứctruyền dữ liệu của các lớp trong mô hình OSI đều có các cách thức đóng gói tin,được sử dụng để đóng gói tin khi cần truyền Các gói tin đã được đóng gói này đượcgọi là các đơn vị thông tin PDU (Protocol Data Unit) Các PDU nào cũng sẽ baogồm 2 phần chính: một là header dùng để quản lý gói tin, hai là data dữ liệu của góitin Khi các gói PDU đi từ lớp trên xuống các lớp dưới, chúng được đóng gói để trởthành data cho các lớp bên dưới chúng, qua mỗi lớp thì sẽ được gắn thêm vào mộtheader của lớp đó
Trang 14Hình 1-7 Quá trình đóng gói của mô hình OSI
Nhưng khi data di chuyển xuống lớp 2 thì ngoài header được đóng gói thêm vào thì
sẽ còn thêm một phần nữa là FCS (Frame Check Sequence) đây là phần kiểm tra lỗiđược thêm vào để đảm bảo nhận biết được lỗi xảy ra khi truyền dữ liệu qua mộtđường truyền nào đó Mọi hoạt động sẽ diễn ra ngược lại khi dữ liệu đã được truyền
từ host này sang host khác
Hình 1-8 Quá trình tách gói tin của mô hình OSI
Các đơn vị dữ liệu của các giao thức thuộc từng lớp được quy ước theocác tên gọi như sau:
Hình 1-9 Các gói tin trong từng lớp
Ngoài mô hình OSI ra, còn một mô hình khác cũng được sử dụng rộng rãi như vậy
đó là mô hình TCP/IP
1.6 Mô hình TCP/IP:
Trang 15Mô hình này là một mô hình rút gọn của mô hình OSI khi lớp 5, 6, 7 sẽ được gộpchung thành một lớp trong mô hình đó là lớp Application Ngoài ra còn có lớp 3 sẽđược đổi tên thành Internet, lớp 1 và 2 sẽ được gộp thành 1 lớp là Network Access.Chỉ có lớp 4 vẫn được giữ nguyên là Transport.
Hình 1-10 Mô hình TCP/IP
Ngày nay trong hệ thống mạng người ta thường sử dụng mô hình TCP/IP hơn là môhình OSI, nhưng trong một số trường hợp đặc biệt thì mô hình OSI vẫn được dùng
vì nó là nền tảng để cho ra mô hình TCP/IP
Chức năng của các lớp trong mô hình TCP/IP sẽ giống như trong mô hình OSI:
‐ Lớp Applycation: do mô hình TCP/IP đã gộp 3 lớp 5, 6, 7 bên mô hình OSIlại nên lớp này sẽ đảm nhận nhiện vụ của cả 3 lớp
‐ Lớp Transport: đảm nhận vai trò Transport như bên mô hình OSI Hai giaothức nổi tiếng của tầng Transport thuộc mô hình TCP/IP là TCP và UDP
UDP (User Datagram Protocol): là giao thức truyền tài connectionless
Có nghĩa là giao thức này sẽ không cần xây dựng kết nối trước khi truyền
mà thực hiện truyền ngay lập tức khi có dữ liệu cần truyền, giao thức này
sẽ không có các phương pháp báo nhận hay điều khiển luồng, không thực
Trang 16hiện đánh số thứ tự cho các gói tin, vì thế mà UDP sẽ truyền nhanh hơntuy nhiên độ tin cậy không cao và dễ bị lỗi.
TCP (Transmission Control Protocol): là giao thức ngược lại với giaothức UDP vì trước khi truyền giao thức này sẽ xây dựng hướng kết nốitrước được gọi là bắt tay 3 bước Có các phương pháp báo nhận, đánh sốthứ tự và điều khiển luồng cho gói tin để tránh nghẽn xảy ra
‐ Lớp Network Access: sẽ có nhiệm vụ của hai lớp Data Link và Physical của
và hai là host – id
Hình 1-11 Cấu trúc IP header
Đây là kiến trúc của giao thức IP, trong đó:
‐ Version (4 bits): trường này cho biết version mà giao thức đang dùng Hiệnnay chỉ có 2 version là IPv4 và IPv6
‐ IP Header Length (4 bits): cho biết kích thước tính theo đơn vị word – 32 bitscủa IP header
Trang 17‐ Service Type (8 bits): sẽ đánh dấu dữ liệu phục vụ cho tác vụ QoS (Quality
of Service) với các gói tin IP nhằm đảm bảo chất lương dịch vụ mạng chocác loại dữ liệu
‐ Packet Length (16 bits): chobieets chều dài tính byte của toàn bộ gói tin IP
‐ Time to Live (8 bits): được sử dụng để chống Loop, vì khi gói tin đi qua mộtnode lớp 3 thì giá trị TTL sẽ được giảm đi 1 đơn vị
‐ Protocol (8 bits): trường này sẽ nhận dạng giao thức nào đang được truyềntải trong gói tin IP
‐ Header checksum (8 bits): trường này được sử dụng cho việc kiểm tra lỗi của
Một địa chỉ IP sẽ được chia thành 2 phần:
‐ Phần host – id dùng để gán địa chỉ cho các thiết bị đầu cuối và không đượcphép cho các bit ở phần host đồng thời bằng 0 vì đây chỉ dành cho các địachỉ mạng, và ngược lại các bit ở phần host đồng thời bằng 1 thì đây sẽ là địachỉ broadcast của một địa chỉ mạng nào đó
‐ Phần network – id là một địa chỉ dùng để xác định lớp mạng của một địa chỉ
IP nào đó Trong hệ thống IPv4 sẽ có 5 lớp mạng và địa chỉ loopback Mỗi
Trang 18lớp mạng sẽ có cách xác định địa chỉ Network – id và địa chỉ Host – id khácnhau.
1.1.1.1 Địa chỉ lớp A:
Các địa chỉ mạng của lớp A sẽ có cách nhận biết dễ dàng nhất khi chúng ta chỉ cầnnhìn vào octet đầu tiên của địa chỉ mạng và các octet còn lại sẽ được dùng làm phầnhost Thường được dùng cho các tổ chức lớn trên thế giới
Hình 1-12 Cấu trúc IP lớp A
Các địa chỉ của lớp mạng A gồm: 1.0.0.0 -> 126.0.0.0 (1 - 126) Địa chỉ 127.0.0.0
sẽ được dùng làm địa chỉ loopback của lớp mạng này
1.1.1.2 Địa chỉ lớp B:
Địa chỉ lớp B dùng 2 octet đầu để làm phần network – id, phần còn lại sẽ là phầnhost – id Các địa chỉ của lớp mạng B sẽ đi từ 128.0.0.0 -> 191.255.0.0 (128 - 191).Thường được dùng cho các tổ chức hạng trung trên thế giới
Hình 1-13 Cấu trúc IP lớp B
1.1.1.3 Địa chỉ lớp C:
Dùng 3 octet đầu làm phần network – id và octet cuối dùng làm phần host – id Sẽ
có các địa chỉ mạng nằm trong dãy từ: 192.0.0.0 -> 223.255.255.0 (192 - 223).Thường được dùng cho các tổ chức nhỏ
Trang 19Hình 1-15 Địa chỉ IPv6
Với ưu thế về kích cỡ không gian lớn như vậy, địa chỉ IPv6 sẽ có các ưu điểm vượttrội hơn IPv4:
‐ Các Host sử dụng IPv6 sẽ có khả năng truy nhập được trên toàn cầu
‐ Không cần sử dụng NAT vì địa chỉ IPv6 có số lượng rất lớn nên các host đều
có thể được sử dụng địa chỉ IP public chứ không phải IP private như ở IPv4
‐ Giao thức IPSEC trên IPv6 luôn được yêu cầu sử dụng
Trang 20‐ Do đặc tính của IPv6 là chiều dài rộng lớn nên sẽ không sử dụng địa chỉBroadcast mà thay vào đó là địa chỉ Multicast.
‐ Sử dụng gói tin với cấu trúc Header đơn giản hơn do đã có các đặc tính đượctích hợp sẵn bên trong IPv6
Cấu trúc địa chỉ IPv6 sẽ bao gồm 8 nhóm, mỗi nhóm bao gồm 4 số hex và mỗinhóm sẽ cách nhau bẳng dấu “:”
Hình 1-16 Cấu trúc địa chỉ IPv6
Cũng giống như địa chỉ IPv4, địa chỉ IPv6 vẫn được chia thành 2 phần network – id
và host – id nhưng sẽ được thay đổi tên khác là prefix và interface – id
Hình 1-17 Phần Prefix và phần Interfac ID
Địa chỉ IPv6 được chia thành 3 loại: Unicast, Multicast và Anycast
Tóm Lại: Nhiệm vụ chính của địa chỉ IP rõ ràng là được sử dụng cho các bên nhận
và bên gửi biết được địa chỉ gửi – nhận mà mình mong muốn Việc gửi và nhận này
sẽ đực thực hiện qua các thiết bị hầu như là Switch và Router Trong đó Switch sẽ
có tác dụng chuyển các gói tin từ các PC đầu cuối đến thiết bị lớp 3, và thiết bị lớp
3 ở đây là Router Router sẽ có nhiệm vụ định tuyến gói tin đến các địa điểm đầu xa
mà người gửi mong muốn Chính vì thế, muốn gửi được gói tin đến các thiết bị đầu
Trang 21xa chúng ta cần các giao thức định tuyến để có thể chọn đường đi đúng nhất và gửigói tin đến các địa điểm đầu xa.
1.9 Khái niệm chung:
Định tuyến (Routing) là quá trình xác định đường đi gói tin của bên gửi và bên nhận
để có thể chọn đường đi tối ưu nhất có thể Thiết bị được sử dụng để định tuyến góitin là Router ngoài ra có thể có Switch Layer 3
Có 2 dạng định tuyến:
‐ Định tuyến tĩnh (Static Routing): dạng này sẽ được người quản trị của một tổchức hay một công ty nào đó tự tay cấu hình và chọn đường đi, chỉ rõ hướng
đi để thiết bị Router có thể chuyển gói tin đến đích một cách chính xác
‐ Định tuyến động (Dynamic Routing): cơ cấu hoạt động của cơ chế này là doRouter quyết định, các Router trong hệ thống sẽ trao đổi các thông tin về địachỉ mạng cho nhau, tự chạy các giao thức định tuyến động (RoutingProtocol) mà đã được cấu hình sẵn từ người quản trị để có thể xác địnhđường đi nào là tối ưu nhất Bao gồm các giao thức định tuyến như:
1.10 RIP (Routing Information Protocol):
Là giao thức hoạt động dựa trên thuật toán distance – vector Bước đầu mỗi router
sẽ làm quen với Router láng giềng bằng cách gửi bảng định tuyến cho nhau cho đếnkhi đi toàn hệ thống mạng Ngoài ra đây còn gọi là cách học bảng Routing Tablecủa nhau để dễ dàng phục vụ chuyển tiếp gói tin Bên cạnh đó chi phí cost của từngmạng sẽ khác nhau, do đó giao thức RIP sẽ chọn Router nào mà tại mạng đó có chiphí thấp để chọn đường đi tối ưu nhất Bất cứ khi nào có sự thay đổi trong bảngđịnh tuyến thì các Router sẽ tự gửi sự thay đổi này cho nhau nhằm chỉnh sửa lạibảng định tuyến sao cho hoàn chỉnh để có thể dễ dàng hoạt động mà không sợ bịmất gói tin Hiện nay đã có 2 phiên bản của giao thức này đó là RIPv1 và RIPv2
Trang 22Hình 2-1 Giao thức RIP
1.11 OSPF (The Open Shortest Path First Protocol):
Llà giao thức Link – State điển hình Mỗi Router trong hệ thống khi chạy sẽ gửi cácbản tin trạng thái đường link LSA (Link State Advertisement) của nó cho tất cả cácRouter thuộc vùng đó Sau khi trao đổi xong các Router sẽ thống nhất với nhau để
có được một bản đồ mạng hoạt động chung Thuật toán Dijkstra sẽ được áp dụng đểtính toán để tìm ra được đường đi ngắn nhất từ đó sẽ có được bảng định tuyếnchung cho mỗi Router thuộc hệ thống
Hình 2-2 Giao thức OSPF
1.12 EIGRP (Enhance Interio Gateway Routing Protocol):
Là giao thức kết hợp giữa Distance – Vector và Link – State Là giao thức do Ciscophát triển và chỉ chạy trên sản phẩm của Cisco Với việc sử dụng thuật toán Dual(Diffusing Update Algorithym) nên sẽ có cách hoạt động khác với giao thức RIPchạy trên thuật toán Bellman – Ford và sẽ có một chút sự vay mượn cấu trúc cũngnhư khái niệm của giao thức OSPF như: xây dựng quan hệ láng giềng với cácRouter xung quanh, sử dụng bộ 3 bảng dữ lệu (bảng neighbor, bảng topology vàbảng định tuyến) Nhưng về bản chất thì EIGRP chỉ thực hiện việc gửi thông tin
Trang 23định tuyến là các route cho các Router láng giềng và tin tưởng tuyệt đối vào thôngtin nhận được từ láng giềng Việc gửi thông tin định tuyển chỉ gửi trong lần đầu tiêntrong quá trình thiết lập quan hệ láng giềng sau đó chỉ gửi cập nhật khi có sự thayđổi giúp tiết kiệm được rất nhiều tài nguyên mạng.
Hình 2-3 Giao thức EIGRP
1.13 Kết luận:
Tóm lại việc dùng loại định tuyến nào cũng đều có lợi ích riêng của chúng, vì mỗiloại sẽ có đặc điểm riêng nên chúng ta sẽ dựa vào đó để chọn được các phươngpháp sử dụng tối ưu nhất Mặt khác, cũng thiếu sót nếu chỉ sử dụng các dạng địnhtuyến hoặc các giao thức định tuyến mà không sử dụng đến các phương pháp bảomật đường đi, cũng như bảo vệ gói tin để tránh bị mất gói hoặc bị đánh cắp gói tin
Vì vậy phương pháp mà hiện nay các tổ chức hoặc các công ty thường sử dụng đó
là ta sẽ tạo một mạng riêng ảo VPN (Virtural Private Network) để bảo mật cho cácgói tin an toàn trên đường đi từ chi nhánh này đến chi nhánh khác nói riêng hoặc từthiết bị đầu cuối này đến thiết bị đầu cuối khác nói chung
CHƯƠNG 3 TỔNG QUAN VỀ VPN
Trang 24VPN là chữ viết tắt của Virtual Private Network Đây là một mạng lưới ảo, sử dụng
hệ thống mạng đã được cung cấp hoặc chia sẻ của một nhà cung cấp dịch vụ đểtriển khai một mạng dành riêng cho một đơn vị hoặc một cá thể nào đó Người dùng
có thể sử dụng mạng lưới này để tạo cho mình một đường đi ảo mà không cần thuêthêm bất kỳ một đường đi mạng nào khác từ nhà cung cấp dịch vụ
Đối với mỗi loại công nghệ trong VPN đều có các ưu - nhược điểm khác nhau vàcác cách sử dụng khác nhau vì thế tùy từng trường hợp, từng nhu cầu sử dụng củacác doanh nghiệp, công ty, trường học… sẽ chọn cách sử dụng phù hợp Nhưng đốivới các hệ thống VPN thì kỹ thuật Tunneling là một kỹ thuật đặc trưng của VPNđược dùng để tạo ra một đường hầm riêng biệt với hệ thống mạng bên ngoài.Đường hầm này sẽ đặt các gói tin vào một header chứa thông tin định tuyến đểtruyền qua mạng, nó tương tự như các header trong mô hình OSI, header này sẽ cónhiệm vụ bao phủ cả gói tin để truyền qua hệ thống mạng theo một đường ống(Tunnel) riêng biệt mà đã được người quản trị cài đặt sẵn
1.1.7 Kỹ thuật Tunneling:
Đây là một khái niệm rất quan trọng trong hệ thống mạng VPN Như đã biết kỹthuật này là một kỹ thuật sẽ tạo ra một đường hầm riêng biệt và sẽ đặt toàn bộ góitin chuyển đi vào một header riêng để tránh bị xâm nhập trái phép vào gói tin hoặcđánh cắp gói tin Gói tin sau khi được truyền đến đích sẽ được tách lớp header đãgắn thêm vào trước đó để nhằm đảm bảo toàn vẹn và an toàn đối với gói tin Đểthiết lặp kỹ thuật Tunnel này cho một hệ thống mạng cần yêu cầu các thiết bị đầucuối phải sử dụng chung một giao thức tunnel (Tunnel Protocol) Sở dĩ phải dùngchung một giao thức nhằm mục đích để các bên thiết bị đầu cuối nhận biết được dữliệu truyền từ đâu và sẽ xử lý dễ dàng và nhanh chóng hơn Một trong các kỹ thuậtđược ứng dụng nhiều nhất trong thực tế hiện nay là kỹ thuật GRE VPN và IPSECVPN
1.15 IPSEC VPN:
IPSEC là từ viết tắt của Internet Protocol Security Đây là một giao thức bảo mậtcủa hệ thống mạng VPN Bảo vệ gói tin khi gói tin đi qua một hệ thống mạng công
Trang 25cộng không an toàn Sở dĩ đây được gọi là giao thức bảo mật dữ liệu của hệ thốngVPN vì khi giao thức này được sử dụng thì chúng sẽ cung cấp cho chúng ta các dịch
vụ như sau:
‐ Mã hóa dữ liệu trước khi gửi (data confidentiality): dữ liệu sẽ được mã hóabởi các thuật toán mã hóa (DES, 3DES, ASE) để tránh việc bị đọc trộm hoặcđánh cắp nội dung trên đường di chuyển
‐ Toàn vẹn dữ liệu (data integrity): dữ liệu sẽ được bảo vệ chống lại việc bịthay đổi nội dung trên đường đi Tránh việc bị mất dữ liệu
‐ Xác thực dữ liệu (data authentication): việc xác thực dữ liệu sẽ diễn ra tạiphía thu nhầm xác định đúng đối tượng gửi gói tin
Hình 3-1 Cấu trúc IPSEC
Các giao thức IP Protocol được sử dụng trong giao thức IPSEC như:
‐ AH (Authenticaion Header): là giao thức bảo mật, cũng cấp những tính năngnhư xác thực nguồn gốc gửi gói tin, và toàn vẹn dữ liệu
‐ ESP (Encapsulation Security Payload): giao thức này sẽ khác với giao thức
AH là chúng sẽ được thêm vào tính năng mã hóa gói tin trước khi gửi nhầmtránh bị mất hoặc đánh cắp gói tin từ các hacker