Quản lý mô hình mạng long reach ethernet cho nhà cung cấp dịch vụ internet luận văn ths kỹ thuật điện tử viễn thông

Đ ồng thời, với m ột nhà cung cấp dịch vụ Internet cụ thể tại V iệt N am , việc cung cấp đường kết nối tốc độ cao này đổng nghĩa với việc phải q u ản lý, kiểm soát được chất lượng dịch v

Đ Ạ I H Ọ C Q U Ố C G IA H À N Ộ I

K H O A C Ô N G N G H Ệ

N G U Y Ễ N V IỆ T A N H

QUẢN LÝ MÔ HÌNH M ẠNG LONG-REACH ETHERNET

CỦA NHÀ CUNG CẤP DICH v u INTERNET

C h u y ê n n g à n h : K ĩ th u ậ t V ô tu y ế n đ iệ n tử v à T h ô n g tin liê n lạ c

CÁC CHỮ VIẾT TẤT

CPE C ustom er P rem ier E quipm ent

D M Z D elim ited Zone

DNS D om ain N am e System

IC M P Internet C ontrol M essage Protocol

ISO International O rganization for StandardizationISP Internet Service Provider

IX P Internet E xchange Provider

L A N Local A rea N etw ork

L R E L ong R each Ethernet

N T P N etw ork Tim e Service

PSTN Public Sw itched T elephone N etw ork

R A D IU S R em ote A uthentication D ial-In U ser Service

R FC R equest o f C om m ents

SN M P Simple N etw ork M anagem ent Protocol

T C P T ransm ission C ontrol Protocol

TC P/IP T ransm ission C ontrol Protocol/Internet Protocol

U D P U ser D atagram Protocol

V L A N V irtual Local A rea N etw ork

MỤC LỤC

CHƯƠNG 1: TỔNG QUAN VỀ QUẢN LÝ MẠNG

CỦA NHÀ CƯNG CẤP DỊCH v ụ INTERNET 1

1.1 Tổng quan về quản lý mạng 1

1.2 Quản lý mạng của nhà cung cấp dịch vụ Internet 2

CHƯƠNG 2: MÔ HÌNH MẠNG LONG-REACH ETHERNET CỦA NHÀ CUNG CẤP DỊCH v ụ INTERNET 12

CHUƠNG 3: QUẢN LÝ MÔ HÌNH MẠNG LONG-REACH ETHERNET CỦA NHÀ CUNG CẤP DỊCH v ụ INTERNET 17

3.1 Giới thiệu c h u n g 17

3.2 Phán tích các phương pháp kỹ thuật quản lý mạng Long-Reach Ethernet 18

3.3 Phát triển các phương pháp bảo mật trên mô hình mạng Long-Reach Ethernet 20

3.3.1 Chuyển mạch LAN và Virtual Local Area N etw ork 20

3.3.2 Quản lý danh sách truy cập 35

3.4 Chương trình quản lý bãng th ô n g 42

3.5 Giải quyết yêu cầu của bài toán tính cước 57

CHUƠNG 4: KẾT LUẬN 82

4.1 Đánh giá kết quả 82

4.2 Đề xuất hướng nghiên cứu 83

TÀI LIỆU THAM K H Ả O 84

MỞ ĐẦU

Hiện nay, sự phát triển các dịch vụ dựa trên Internet như tìm kiếm thông tin, trao đổi thư điện tử, truyền dữ liệu dung lượng lớn, thương m ại điện tử đã góp phần không nhỏ đến sự phát triển của các quốc gia trên th ế giới V iệt N am cũng không phải là

m ột ngoại lệ N hưng để có thể đưa V iệt N am trở thành m ột quốc gia có các dịch vụ trên In tern et hấp dẫn như các nước trong khu vực và trên th ế giới, thì hạ tầng viễn thông bắt buộc phải đủ m ạnh và linh hoạt, tốc độ đường truyền phải cao mới đủ sức đáp ứng được nhu cầu sử dụng dịch vụ Internet

Theo số liệu thống kẻ về nhu cầu sử dụng các dịch vụ Internet tốc cao của các công

ty, cơ quan nhà nước, các công ty nước ngoài tại V iệt N am , khoảng 98% các công ty này luôn m ong m uốn V iệt N am cần có m ột cơ sở hạ tầng viễn thông tốt hơn để nhằm đáp ứng rất nhiều các yêu cầu sử dụng Internet Lý do là tính đến thời điểm bây giờ, hầu hết các hệ thống truy cập các dịch vụ Internet tại V iệt N am phải thông qua hệ thống điện thoại công cộng (PSTN)

Đ ể đáp ứng m ột phần nhu cầu sử dụng dịch vụ Internet tốc độ cao của các công ty,

cơ quan nhà nước và các công ty nước ngoài tại V iệt N am , luận văn giới thiệu m ột

m ô hình m ạng mới đã và đang được thử nghiệm trên th ế giới M ô hình này có tên gọi là L ong-R each E thernet M ô hình này cho phép kết nối không dây giữa các toà nhà với nhau chứ không cần sử dụng hệ thống điện thoại thông thường V iệc vận dụng và triển khai m ô hình m ạng này và các liên m ạng tại V iệt N am , đặc biệt tại H à

N ội bước đầu đã cho kết quả rất khả quan trong việc cung cấp các đường kết nối Internet đến cho người dùng Đ ồng thời, với m ột nhà cung cấp dịch vụ Internet cụ thể tại V iệt N am , việc cung cấp đường kết nối tốc độ cao này đổng nghĩa với việc phải q u ản lý, kiểm soát được chất lượng dịch vụ và các thông số kỹ thuật của m ạng, nhằm đưa đến cho người dùng m ột đường kết nối Internet với các yêu cầu khắt khe như độ ổn định của m ạng, bảo m ật dữ liệu trên m ạng Đ iều đó dẫn đến việc phải làm th ế nào để tìm được các phương pháp quản lý m ạng tối ưu phục vụ cho m ạng

L o ng -R each E thernet này M ục đích của luận văn là giới thiệu, tìm hiểu, và phát

triển các phương pháp để quản lý m ạng, đáp ứng được các yêu cầu của m ổ hình

m ạng tốc độ cao ở trên

Luận văn bao gồm bốn chương Chương I là chương tổng quan, giới thiệu về các cấu trúc m ạng và sự khác nhau giữa việc quản lý các m ô hình m ạng này Chương này cũng giới thiệu cấu trúc m ạng tổng quát nhìn từ phía nhà cung cấp dịch vụ Internet,

từ đó chỉ ra những yêu cầu cần thiết trong việc quản lý m ạng đối với nhà cung cấp dịch vụ Internet Chương II giới thiệu m ột m ô hình m ạng cụ thể của nhà cung cấp dịch vụ Internet cung cấp dịch vụ cho khách hàng Chương III là chương trọng tâm, được chia thành 4 phần, trình bày việc phát triển các kỹ thuật quản lý m ạng cho m ô hình mới Phần 1 so sánh m ô hình cung cấp dịch vụ Internet hiện tại bằng đường điện thoại công cộng của nhà cung cấp dịch vụ Internet với m ô hình cung cấp dịch

vụ Internet tốc độ cao để tìm ra các phương pháp quản lý m ô hình m ạng mới Phần 2 trình bày các phương pháp bảo m ật cho m ô hình m ạng này, bao gồm các kỹ thuật quản lý danh sách truy cập, và m ô hình m ạng nội bộ ảo Phần 3 và 4 đưa ra các yêu cầu và giải quyết bài toán quản lý băng thông và bài toán tính cước Chương IV là kết luận của luận văn, tóm tắt các phương pháp kỹ thuật đã được phát triển để quản

lý m ô hình L ong-R each E thernet ứng dụng được trong thực tế, đồng thời đề xuất nghiên cứu tiếp theo về những khía cạnh khác của m ô hình này

sẻ tài n g u y ên cho nhau, điều m à trước đây m uốn chia sẻ tài n g u y ên h ay dữ liệu, thì người ta phải dùng m ột th iết bị lưu trữ như là đĩa m ềm để ch u y ển dữ liệu sang các

m áy tính khác Sau đó có các khái niệm về m ạng lớn hơn, như là m ộ t m ô hình các

m áy tính kết nối với n hau trong cù ng m ột trường đại học, hoặc cùng m ột công ty, để các m áy tính có thể cùng lưu trữ, truy cập tài nguyên trên các m áy tính lớn, hoặc nhiều m áy tính có thể ch ia sẻ m ột m áy in được kết nối với m ột m áy tính khác

Khi các nhà k h o a học phát m inh ra Intern et, lúc đó m ạng được hiểu rộng hơn là

m ạng củ a các m ạn g , tức là các m ạn g ở rất nhiều nơi trên th ế giới có thể kết nối với nhau bàng các đường kết nối th eo cù n g m ột giao thức kết nối T rên các m ạng này, các khái niệm và các dịch vụ k h ác được áp d ụng để phục vụ cho nhu cầu ngày càng tãng củ a người sử d ụ n g ở k h ắp nơi trên th ế giới, th í dụ các d ịch vụ tìm kiếm thông tin trên In tern et, dịch vụ gửi n h ận th ư điện tử, hoặc các dịch vụ tru y ền dữ liệu, vì th ế khái niệm m ạn g n gày càng trở nên phức tạp và rất khó định nghĩa Đ iều đó đã được các n h à k h o a học nhận xét rằng: “ K h ô ng có m ột chính phủ nào, cô n g ty, tổ chức nào

sở hữu hoặc q u ản lý được toàn bộ các tài ng u y ên trên In tern et” R õ ràng m ạng là

m ột k h ái niệm vô cù n g rộng lớn, trải k h ắp các quốc gia trên th ế giới, bao gồm tất cả những th iế t bị viễn th ô n g , m áy chủ, m áy tính trạm kết nối trực tiếp với nhau thông qua các đường kết nối tốc độ cao

m ạng, tài n g uy ên về vùng địa chỉ IP được cấp phát, cũng như là toàn bộ các dữ liệu trên m ạng đó R iên g đối với công việc q u ản lý m ạng của n hà cu n g cấp dịch vụ Internet, thì công việc q u ản lý m ạng còn bao gồm quản lý người d ù n g truy cập từ xa vào hệ th ố n g m ạn g đó, q u ả n lý việc cấp phát, phân lớp địa chỉ IP ch o người dùng, quản lý hệ th ố n g tính cước [10]

1.2 Quản lý m ạng của nhà cung cấp dịch vụ Internet

N hà cung c ấp dịch vụ In tern et là m ột công ty có khả năng cu n g cấp m ọi dịch vụ liên quan đến các hoạt đ ộ n g trên Intern et T uỳ vào từng quốc gia m à nhà cung cấp dịch

vụ có thể cu n g cấp được loại dịch vụ nào V í dụ như ở M ỹ và các nước châu  u, các dịch vụ trên Intern et rất phát triển , và nhà cu n g cấp dịch vụ Internet có thể cung cấp

m ột cách đ a d ạng rất nhiều d ịch vụ dựa trên Internet, ví dụ là dịch vụ tìm kiếm thông tin , d ịch vụ nhắn tin, dịch vụ ngân h àng trực tuyến, dịch vụ điện thoại qua Internet C òn với m ột số nước đang phát triển, tuy nhà cung cấp dịch vụ In tern et có thể cung cấp được tất cả các dịch vụ yêu cầu nhưng do các cơ sở hạ tầng, ch ín h sách của các q u ố c gia đó m à các dịch vụ In tern et chỉ hạn c h ế ở m ột số loại như là dịch vụ tìm kiếm th ô n g tin trên In tern et, dịch vụ thư điện tử, dịch vụ w ebsite C ác hạn c h ế

về cơ sở h ạ tầng củ a m ột số q u ố c gia đang phát triển như là hệ th ố n g viễn th ô n g ,

m ạng x ư ơ ng số n g q u ố c gia, hệ th ố n g tổ n g đài là nguyên nhân k h iến cho các quốc gia đó k h ố n g thể phát triển được các địch vụ cấp cao trên In tern et như là điện thoại qua In tern et, hội thảo trực tu y ến q u a In tern et, thương m ại điện tử trên Internet

H oặc do các chính sách của q u ố c gia đó k h ô n g cho phép các dịch vụ trên In tern et cạnh tran h với các d ịch vụ truyền th ố n g làm ch o m ột số dịch vụ trên In tern et bị hạn chế

Vì vậy, đi sâu vào việc qu ản lý m ạn g của nhà cung cấp dịch vụ In tern et, quản lý

m ạng củ a m ột nhà cu n g cấp dịch vụ In tern et ở m ột qu ốc gia n ào đó cũ n g sẽ có các cấp độ k h ác nhau V í dụ như là với m ột qu ố c g ia phát triển, hệ th ố n g truy cập từ xa vào m ạn g In tern et của n h à cun g cấp dịch vụ là hệ thốn g cáp q u an g , còn với m ột quốc gia đ an g ph át triển , hệ th ố n g tru y cập từ xa vào hệ thố n g m ạn g In tern et chỉ bằng hệ th ố n g điện thoại công cộng N h ư vậy dẫn đến các phương ph áp cũng n hư kỹ thuật q u ản lý hệ thố n g tru y cập từ xa của nh à cu n g cấp dịch vụ In tern et cũng sẽ khác nhau

Cấu hình cơ bản của m ộ t nhà cu n g cấp dịch vụ In tern et như sau:

Internet Service Provider

-PointOf Presence ( ^Protocols/ports^ Controtfsecure

■ Đ iểm tru y cập (PO P: Point o f P resen ce)

■ C ơ sở hạ tầng bên trong (In tern al In frastru ctu re)

Trong sơ đồ ở trên, người d ù n g k ết nối vào nhà cu n g cấp dịch vụ In tern et bằng m ạng điện thoại cô n g cộng V iệc truy cập giữa người dùng và đ iểm tru y cập được điều khiển và b ảo m ật C òn cơ sở hạ tầng bên tro n g biểu diễn m ôi trường của n hà cung cấp dịch vụ In tern et, là nơi các dịch vụ ch ạy và các m áy chủ nằm tro n g đó Các dịch

vụ tro n g cơ sở hạ tầng b ên tro n g có thể là các d ịch vụ cơ bản, các d ịch vụ của cơ sở

hạ tầng, các dịch vụ g iá trị gia tăng K hi các thuê bao k ết nối đến nhà cung cấp dịch

vụ In tern et, họ có thể tru y cập được các d ịch vụ ở b ên trong và ra Internet [10]

Cấu trúc củ a POP:

PO P là đ iểm tru y cập, nơi m à các th u ê bao k ết nối đến n hà cu n g cấp dịch vụ In tern et thông q u a m ạn g điện th o ại cô n g cộng P O P đ ảm bảo rằng người sử dụng phải có

chứng thực và quyền hạn hợp lệ để truy cập vào các m áy chủ của nhà cung cấp dịch

vụ Internet H ình dưới m ô tả cấu trúc của PO P và chỉ ra các dịch vụ nào cần thiết cho POP

• —

NAS

D H C P N TP R A D IU S

Hình 2: Các dịch vụ của PO P (Point o f Presence)

Các dịch vụ chạy ở PO P chỉ là những dịch vụ của cơ sở hạ tầng Tối thiểu, m ột nhà cung cấp dịch vụ Internet phải có m ột số dịch vụ cơ bản như là DNS (dịch vụ phân giải tên m iền), D H CP (dịch vụ cấp phát địa chỉ IP động), R A D IU S (Dịch vụ chứng thực truy cập từ xa) Y êu cầu được đặt ra là tất cả các dịch vụ này phải được coi là trong suốt đối với người sử dụng, tức là người sử dụng không cần biết là kiến trúc

m ạng của n hà cung cấp dịch vụ Internet như th ế nào

Cấu trúc cơ sở ha táng:

Ở bên trong cơ sở hạ tầng, kiến trúc m ạng được chia thành hai lớp, và việc truy cập vào m ỗi lớp này phải được bảo m ật và kiểm soát bằng m ột tập hợp các m áy chủ tường lửa V iệc phân chia m ạng thành nhiều lớp khác nhau sẽ làm đơn giản hoá quá trình thiết k ế hệ thống, đồng thời nhiều lớp làm việc cùng nhau tạo thành m ột hệ

th ố n g phức tạp sẽ giúp cho quản lý hệ thống m ạng và m ở rộng m ạng dễ dàng

K iến trúc của cơ sở hạ tầng được phân chia thành 7 lớp:

vrA QlOẹ,

High-speeơ trunk(s)

High-speed trunk(s)

D M Z N e tw o rk

<:

1 c

Hình 3: Kiến trúc 7 lớp của cơ sở hạ tầng m ạng

M ỗi lớp m ạng có chức năng của riêng nó, và mỗi m ột dịch vụ được đặt trên một hoặc nhiều lớp m ạng, tuỳ thuộc vào chức năng của nó Phụ thuộc vào chức năng của dịch vụ, m ột dịch vụ chạy trên m ột hoặc nhiều lớp, kết quả tạo nên một cấu trúc phức tạp tận dụng được m ức độ bảo m ật và mức độ xử lý tối ưu Đ ồng thời, việc chia

m ạng thành các lớp khác nhau sẽ chia các vùng quảng bá và va chạm K iến trúc

m ạng như vậy sẽ cô lập các đường đi không cần thiết, điều này làm tăng đáp ứng của m ạng và giảm được độ trễ V í dụ, vì m ột lý do nào đó xuất hiện sự tràn các thông tin quảng bá thì chỉ làm giảm sút hoạt động trong m ột lớp m ạng, còn các lớp

m ạng khác sẽ không bị ảnh hưởng

N hư vậy, việc phân lớp cơ sở hạ tầng của m ạng có các ưu điểm sau:

■ Tăng hoạt động của m ạng bằng cách phân chia các vùng quảng bá và va cham

■ T ăng cường bảo m ật thông qua việc phân chia các lớp với các mức độ bảo

m ật của các m áy chủ tường lửa khác nhau

■ Q uản lý và chuẩn đoán lỗi tốt hơn thông qua việc hệ thống m ạng đã chiathành các lớp

Lớp đầu tiên của cơ sở hạ tầng m ạng bao giờ cũng là vùng D M Z (de-m ilitarized zone) V ùng này là vùng chứa các dịch vụ cung cấp cho người sử dụng và được đặt giữa nhà cung cấp dịch vụ Internet và người sử dụng V ùng D M Z này ngăn cách

m ạng bên trong được bảo m ật và các m ạng không được bảo m ật khác (người dùng Internet) H ình dưới đây m ô tả m ột vùng D M Z cơ bản:

E xternal DNS (second ary)

N AS C ache G atew ays

Hình 4: Các thành phần của vùng DM Z (Delim ited Zone)

C ác dịch vụ chạy trong vùng D M Z thông thường là các dịch vụ dành cho người sử

d ụng và là dịch vụ được truy cập trực tiếp từ Internet N hư vậy, do vấn đề bảo mật, vùng D M Z này không bao giờ được giao tiếp trực tiếp với cơ sở hạ tầng m ạng ở bên trong của n h à cung cấp dịch vụ Internet

C ác dịch vụ PO P thông thường được tích hợp vào trong vùng D M Z này, hoạt động

n hư hệ thống trung gian giữa nhà cung cấp dịch vụ Internet và Internet, nó cung cấp các kênh k ết nối m ở ra Internet, nhưng vẫn đảm bảo các truy cập bảo m ật và có thể điều khiển được đến các dịch vụ của nhà cung cấp

Phần còn lại của kiến trúc cơ sở hạ tầng bao gồm các lớp như sau:

■ Lớp m ạng ứng dụng (A pplication N etw ork): Lớp m ạng này chứa các chương trình ứng dụng của m ạng, thông thường kết hợp với lớp m ạng nội dung để truy xuất dữ liệu, phục vụ cho các yêu cầu tìm kiếm thông tin dịch vụ trên Internet Với các nhà cung cấp dịch vụ Internet nhỏ, có thể không cần lớp

m ạng này nếu như các nội dung trang W eb của họ là tĩnh và không cần các ứng dụng dành cho m áy chủ Lớp m ạng này thực sự cần thiết nếu nhà cung cấp dịch vụ Internet cần cung cấp các dịch vụ liên quan đến các chương trình ứng dụng

■ Lớp m ạng nội dung (C ontent N etw ork): Lớp m ạng này được coi là phần quan trọng nhất của nhà cung cấp dịch vụ Internet vì tất cả thổng tin, cơ sở dữ liệu được đặt tại lớp m ạng này, chính vì vậy lớp m ạng này phải được thiết k ế để

có thể được bảo m ật cao nhất N hư vây, yêu cầu về thiết k ế cơ sở hạ tầng

m ạng sao cho không có m áy chủ nào hoặc dịch vụ nào trên Internet được phép giao tiếp trực tiếp với các m áy chủ và dịch vụ nằm trong lớp m ạng này Tập trung thông tin và dữ liệu trong lớp m ạng này sẽ giúp cho việc quản lý

m ạng tốt hơn và bảo m ật hơn Dưới đây là m ột số dịch vụ được đặt trong lớp

Hình 5: Các dịch vụ trong lớp mạng nội dung

■ Lớp m ạng “ staging” : Lớp m ạng này được các nhà cung cấp dịch vụ Internet

sử dụng để cài đặt, cấu hình, phát triển và chạy thử dịch vụ Trước khi một dịch vụ nào đó được đưa ra cho người sử dụng, cần phải được kiểm tra trước Lớp m ạng này luôn luôn có hai vùng là vùng phát triển và vùng kiểm tra

D eveloping 1 T esting 1

Hình 6: V ùng phát triển và kiểm tra

■ Lớp m ạng quản lý (M anagem ent N etw ork): Lớp m ạng này là m ột m ôi trường bảo m ật, được thiết k ế riêng biệt cho hệ thống, cho m ạng và quản lý bảo m ật cho n h à cung cấp dịch vụ Internet Lớp m ạng này luôn luôn được cấu hình tách rời khỏi hệ thống của người sử dụng, có nghĩa là lớp m ạng này là m ột

m ôi trường quản trị riêng biệt, được ngăn cách bởi các chính sách truy cập bảo m ật Theo kiến trúc của cơ sở hạ tầng, nhà cung cấp dịch vụ Internet có thể phán tách được lớp m ạng quản lý này bằng các bộ chuyển m ạch m ạng nằm đằng sau các tường lửa bảo mật Cần hạn chế việc truy cập vào vùng này bằng các quyền quản lý m ạng đặc biệt

Hình 7: Các thành phần của vùng quản lý

■ Lớp m ạng dự phòng (B ackup N etw ork): N hà cung cấp dịch vụ Internet cầnphải xây dựng lớp m ạng dự phòng trong các trường hợp cần thiết, ví dụ nhưtrong các trường hợp hệ thống hỏng hóc Đối với nhà cung cấp dịch vụ Internet nhỏ thì có thể không cần lớp m ạng dự phòng hoặc đặt lớp m ạng dự phòng này ở bên trong lớp m ạng quản lý Còn đối với nhà cung cấp dịch vụ Internet vừa và lớn thì bắt buộc phải có lớp m ạng dự phòng này

D inh nghĩa các thành phán của m ang:

Sau khi đã xác định được kiến trúc của m ạng, nhà cung cấp dịch vụ Internet cầnđịnh nghĩa các thành phần của m ạng (các thiết bị m ạng như là bộ định tuyến, bộ chuyển m ạch, các hệ thống cân bằng tải ) phù hợp nhất với các dịch vụ và thiết kế logic tổng quát

N hư đã nói ở phần trên, phương pháp luận để thiết k ế m ạng cho nhà cung cấp dịch

vụ In tern et cho thấy rằng m ộ t hệ th ố n g m ạn g tổng quát cần phải được phân chia thành m ột kiến trúc N lớp có th ứ bậc M ỗi lớp trong m ô hình có các chức năng độc lập với chức n ăng củ a các lớp khác T uy nhiên, các lớp phải được thiết k ế sao cho chúng được tương thích với nhau và hỗ trợ h oàn toàn cho nhau M ỗi lớp thành phần của m ạn g cu n g cấp được các chức n ăn g cần thiết cho m ạng Các lớp này không cần khai b áo như các thực th ể vật lý riên g biệt nhau M ỗi lớp có thể được khai báo với sự kết hợp của các th iết bị ch u y ển m ạch lớp 2 và các thiết bị định tu y ến của lớp 3

T hông thường, m ột m ô hình m ạn g phân lớp có ba lớp như sau:

Hình 8: M ô hình m ạng đuợc phân thành 3 lớp

Lớp lõi (core layer) cu n g cấp sự liên kết tối ưu giữa các vị trí k h ác nhau T hông thường lớp này lớp xương sống ch u y ển m ạch tốc độ cao của m ạn g , và nó có các đặc điểm sau:

■ Phân định ranh giới giữa các giao thức định tuyến động và tĩnh

■ Đ ịnh tuyến giữa các m ạng nội bộ ảo (VLAN : V irtual Local A rea N etw ork)

■ Phân chia các vùng quảng bá và va chạm

Lóp phân phối này m ô tả việc phân chia các dịch vụ m ạng đến các V LA N ở trong

m ôi trường m ạng Lớp này xác định vị trí của xương sống m ạng và thông thường là giao diện quang (FDDI: fiber distributed data interface), Fast Ethernet, và G igabit

E thernet

Lớp truy cập (access layer) luôn luôn chứa m ột hoặc nhiều V LA N để cung cấp việc truy cập vào các dịch vụ m ạng Lớp truy cập này là nơi hầu hết tất cả hệ thống kết nối đến m ạng, thông thường là Fast E thernet, G igabit Ethernet, FDDI Trong m ôi trường m ạng như là các nhà cung cấp dịch vụ Internet bao gồm nhiều m ạng công ty, hoặc doanh nghiệp, lớp truy cập thông thường là nơi các m áy chủ W eb, thư điện tử,

m áy chủ tường lửa kết nối vào Chức năng chủ yếu của lớp truy cập này là kết nối nhiều m ạng nội bộ tới lớp phân phối (distribution layer), cung cấp việc phân chia

m ạng m ột cách logic, và cách ly các giao dịch quảng bá giữa giữa các vùng đã phản chia Các lớp truy cập ở đây được hiểu là các switch và các m ôi trường chia sẻ băng thông [10]

có các đặc điểm riêng về các thiết bị viễn thông trên m ạng cũng như các dịch vụ

m ạng m à ta có thể tính toán các phương pháp cụ thể để quản lý m ạng thích hợp

Phần tiếp theo là m ột m ô hình m ạng cụ thể của m ột nhà cung cấp dịch vụ Internet

và các đặc điểm chính của m ạng này, trên cơ sở đó xem xét các phương pháp hiệu quả để quản lý mô hình m ạng đó

CHƯƠNG 2:

MÔ HÌNH MẠNG LONG-REACH ETHERNET

CỦA NHÀ CƯNG CẤP DỊCH v ụ INTERNET

N hư đã thấy ở phần trên, ta có thể nói rằng m ô hình m ạng của m ột nhà cung cấp dịch vụ Internet quy m ô vừa và lớn là khá phức tạp M ồ hình m ạng như vậy bao gồm tất cả các lớp, từ lớp hạ tầng truyền thông đến cấu trúc các m áy chủ dịch vụ, hoặc đến các dịch vụ cung cấp cho người dùng Bất kỳ m ô hình m ạng nào, dù đơn giản hay phức tạp cũng phải thoả m ãn m ột m ục tiêu cung cấp m ột cách tốt nhất các dịch

vụ cho người dùng Dưới đây là m ột m ô hình m ạng cụ thể, được phát triển từ kiến trúc m ạng m ở của nhà cung cấp dịch vụ Internet, có tên gọi là L ong-R each E thernet (L R E ) Đ ặc điểm nổi bật của m ô hình L R E là không sử dụng m ạng điện thoại công cộng để truy cập từ xa m à dùng hệ thống thu phát không dây và hệ thống đường điện thoại (không cần tín hiệu) trong các toà nhà để truy cập m ạng với tốc độ cao

K iến trúc củ a m ô hình truy cập từ xa gồm 2 thành phần:

a Sử dụng đường truyền viba để kết nối m ạng giữa các toà nhà với nhau

A nten định hướng

N hà cung cấp

d ịch v ụ Internet

K hách hàng

Am en

da hướng

K hách hàng

Hình 9: sử dụng viba két nòi mạng giữa các toà nhà

Trong m ô hình này, tại nhà cung cấp dịch vụ Internet có đặt m ột thiết bị thu phát viba, đồng thời trên đỉnh của những toà nhà của người sử dụng cũng đật thiết bị thu phát như vậy Tốc độ kết nối cao nhất của hai anten này là 1 lM b p s, và khoảng cách tối đa giữa hai anten có thể đạt được là 40km

b K ết nối L ong-R each E th m et ở trong toà nhà: Kết nối vật lý ở bên trong toà nhà như sau:

Telephone Line

**5to t * ,/<1133

H ình 10: Kết nối Long-Reach E th ernet ở bén tro n g toà nhà

D ữ liệu sau khi nhận được từ thiết bị truyền dẫn viba (cụ thể ở đây là chảo, hoặc anten đ a hướng) được đưa tới m ột brigde Brigde này có nhiệm vụ chuyển đổi tín hiệu viba th ành tín hiệu chuẩn E thernet và đưa vào LR E Switch Sau đó L R E Switch chuyển tín hiệu này vào Splitter T hiết bị này cho phép sử dụng đường dây điện thoại vật lý để truyền dữ liệu tốc độ cao ờ cuối các đường điện thoại vật lý này được đấu nối với m odem L R E 575 CPE cho phép tách đường thoại riêng và đường dữ liệu riêng N hư vậy, với kỹ thuật này, người dùng có thể vừa sử dụng điện thoại đấu nối với tổng đài PBX vừa có thể sử dụng Internet tốc độ cao M odem L R E 575 CPE có giao diện R J45 chuẩn, cho phép người dùng kết nối trực tiếp với m ạng m áy tính trong văn phòng N hư vậy, tuỳ theo số cổng của L R E Switch m à có thể đổng thời kết nối được bao nhiêu vãn phòng với Internet Thông thường số cổng của LR E

Sw itch là 24 hoặc 48 cổng, suy ra có thể cung cấp dịch vụ Internet tốc độ cao cho tối

đa 24 hoặc 48 khách hàng Đ iều này hết sức thuận lợi cho người dùng vì tận dụng được m ạn g điện thoại sẵn có của toà nhà, chứ không phải đấu nối thêm bất kỳ m ột đường cáp riêng nào nữa [2]

Về phương diện kết nối thiết bị, ta có m ô hình như sau:

Nhà cung cấp

dịch vụ Internet

Hình 11: Các thiết bị kết nối viba

Với m ô hình này, m ột nhà cung cấp dịch vụ Internet có thể sử dụng khoảng không gian và các nhà cao tầng để cung cấp dịch vụ Internet tốc độ cao tới chính những người sử d ụng trong toà nhà đó Phân tích nhu cầu sử dụng dịch vụ Internet tốc độ cao thấy rằng: C hín mươi phần trăm doanh nghiệp, hoặc công ty đều m ong m uốn sử dụng đường kết nối Internet tốc độ cao H iện tại khoảng năm mươi phần trăm số doanh n g h iệp này đang có trụ sở tại các khu nhà cao tầng và sô' lượng này không ngừng tãng lên

Song song với bài toán xây dựng m ô hình ở trên, m ột vấn đề quan trọng là làm thế nào để quản lý được m ột cách toàn diện và chặt chẽ toàn bộ hệ thống m ạng này, nhằm làm thoả m ãn m ọi yêu cầu đặt ra của k hách hàng Đ ồng thời, với bất kỳ m ột nhà cung cấp dịch vụ Internet nào, vấn đề tối ưu hoá, độ ổn định và bảo m ật luôn

luôn được đặt lên hàng đầu Đ ây cũng chính là m ục đích n g h iên cứu của luận văn

CHƯƠNG 3:

QUẢN LÝ MÔ HÌNH MẠNG LONG-REACH ETHERNET

CỦA NHÀ CƯNG CẤP DỊCH v ụ INTERNET

3.1 G iới thiệu chung

N hư đã đề c ập đ ến ở chương I, công việc q u ản lý m ột hệ th ố n g m ạ n g thường là hết sức khó khăn Đ ộ phức tạp củ a việc q uản lý m ột hệ thống m ạn g phụ thuộc vào m ô hình, yêu cầu của hệ th ố n g m ạn g đó đưa ra T rong thời đại công nghệ th ô ng tin, việc

m ột cô n g ty có kinh d o an h hoặc hoạt động hiệu quả haý kh ô n g h o àn toàn phụ thuộc vào việc q u ản lý hệ th ố n g đó

Phân tích m ô hình hiện nay củ a nhà cung cấp dịch vụ Internet q u a hệ thống m ạng điện thoại cô n g cộng, ta thấy như sau:

• V ì to àn bộ người dùng tru y cập vào hệ thống m ạng b ằn g k ết nối từ xa, như vậy vấn đề quản lý m o d u le truy cập từ xa là quan trọng hàng đầu Với những nhà cu n g cấp dịch vụ có vài chục nghìn đến hàng trăm n g h ìn k hách hàng, hệ

th ố n g truy cập từ xa này phải luôn luôn đảm bảo online 24/2 4 Đ ồ n g thời, các chương trình được lập sẵn trên hệ thống truy cập từ xa này phải hoạt động

ch ín h xác, để có thể chứng thực được tài k hoản của người dùng, đ ồng thời phân tích được thời gian vào, ra để tính được cước cho k h ách hàng khi truy cập Đ iều này d ẫn đến bài toán tính cước là cực kỳ phức tạp

• K hi đã truy cập được vào hệ th ố n g , các yêu cầu truy cập củ a k h ách hàng phải luôn luôn được đảm bảo đáp ứng với tốc độ cao V í dụ với dịch vụ thư điện

tử, hệ th ố n g m áy chủ thư điện tử phải đảm bảo có thể cùng m ột lúc chấp

n h ận k h o ản g hai n g h ìn đ ến ba n ghìn kết nối đồng thời để h o ạt đ ộng các giao

d ịch về th ư điện tử N h ư vậy, hệ thống m áy chủ thư điện tử của nhà cung cấp

d ịch vụ In tern et phải được qu ản lý rất tốt, đồng thời cô n g việc q u ản lý sao lưu thư cũ n g hết sức q u an trọ n g cho các yêu cầu trong tương lai

• Trong trường hợp dự phòng, nếu hệ thống hiện tại của nhà cung cấp dịch vụ

bị lỗi, thì yêu cầu hàng đầu là phải có m ột cơ cấu backup chạy song hành để đảm bảo các giao dịch trên m ạng không bị gián đoạn N hư vậy, người quản lý phải hiểu rõ được nguyên lý hoạt động của hệ thống chạy trong ch ế độ dự phòng để đảm bảo m ạng hoạt động 24/24

• N hà cung cấp dịch vụ Internet luôn luôn đặt yêu cầu bảo m ât lên hàng đầu

N hà quản lý m ạng phải hiểu rất rõ về các hộ thống, cấu trúc m ạng được bảo

m ật để có thể đối đầu với các hacker trên thế giới [10]

3.2 Phân tích các phương pháp kỹ thuật quản lý mạng Long-Reach

Ethernet

Trong chương II, ta thấy rằng m ô hình m ạng Long-R each E thernet có các tính chất riêng của m ột m ô hình m ạng tốc độ cao, vì vậy việc quản lý m ô hình m ạng này có những điểm khác biệt so với m ô hình cung cấp dịch vụ Internet thông thường qua hệ thống điện thoại công cộng:

1 M ô hình cung cấp dịch vụ Internet qua hệ thống điện thoại công cộng sử dụng hệ thống điện thoại của bưu điện để kết nối m odem đến nhà cung cấp dịch vụ Internet N hư vậy khi người dùng có nhu cầu sử dụng Internet mới kết nối

m odem để truy cập m ạng N hà cung cấp dịch vụ Internet phải quản lý được số lượng đường điện thoại kết nối đến m áy chủ truy cập từ xa, đồng thời quản lý được số lượng địa chỉ IP động cấp phát trên các cổng m odem cũng như cấu hình của các cổng m odem m áy chủ quản lý truy cập từ xa Còn đối với m ô hình m ạng

L ong-R each Ethernet, do toàn bộ người dùng được đấu nối vào các hệ thống

sw itch bằng đường dây điện thoại (không có tín hiệu điện thoại) chứ không phải

3 Trong mô hình dịch vụ Internet qua hệ thống m ạng điện thoại công cộng, người dùng không phải là kết nối 24/24, đồng thời được cấp phát IP động, nên khả nãng m áy tính của người dùng bị tấn công trên m ạng Internet là rất nhỏ Do với

mô hình m ạng tốc độ cao L ong-R each Ethernet, m áy chủ của người dùng được cấp phát các giải IP thật cỏ' định, đổng thời kết nối của các m áy chủ này trên

m ạng Internet là 24/24, như vậy vấn đề bảo mật, chống tấn công từ Internet đến người dùng phải được coi trọng

4 Với m ô hình dịch vụ Internet qua hệ thống tổng đài điên thoại, nên tốc độ tối đa của người dùng kết nối Internet là 56Kbps Ngược lại, theo quy định của các đường truyền dữ liệu tốc độ cao, người dùng sử dụng đường kết nối Internet với các tốc độ N *64K bps Đ ổng thời, do đường kết nối này là đường kết nối 24/24, nên việc quản lý hiệu quả băng thông của người dùng là rất quan trọng

5 Trong m ô hình dịch vụ Internet qua m ạng điện thoại công cộng, nhà cung cấp có thể tính được cước của người dùng kết nối vào m ạng bằng cách tính toán các thông số liên quan đến thời gian kết nối và ngắt kết nối của người dùng từ m áy chủ quản lý truy cập từ xa Còn đối với m ô hình m ạng L ong-R each Ethernet, người dùng sử dụng đường kết nối Internet kết nối 24/24 vào hộ thống m ạng, nên công việc quản lý truy cập của người dùng theo thời gian truy cập là khó khăn,

m ạng trước đây là, nếu một m áy trạm trong m ạng gửi nhận dữ liệu, nó phải gửi các khung dữ liệu đến tất cả các cổng trên m ạng LAN, như vậy sẽ làm tắc nghẽn đường truyền.

Ịshared Seg ment LAN Switch

Hình 12: Mỏ hình chuyển mạch LAN

Ưu điểm củ a chuyển m ạch LA N là tránh được các dữ liệu dư thừa khi truyền trên

m ạng bằng cách tạo ra các bảng chuyển tiếp giống như bảng định tuyến trên bộ định tuyến, những thông tin lưu trữ trong bảng chuyển tiếp của sw itch là địa chỉ M AC của card m ạng chứ không phải là thông tin về địa chỉ IP [7]

Các chức năng chính của sw itch là:

• N hận biết địa chỉ (address learning): Lần đầu tiên m ột m áy trạm truyền, hoặc gửi nhận dữ liệu qua sw itch, sw itch lưu lại thông tin của khung dữ liệu ở lớp 2, sau

đó ghi thông tin này vào CA M (content-addressable m em ory) K hung dữ liệu này chứa địa chỉ M A C card m ạng của m áy trạm này, đồng thời liên kết thông tin về số thứ tứ cổng của sw itch với địa chỉ này C A M được cập nhật thường xuyên để lưu các thông tin m ới nhất

V ới m ô hình ở trên, khi các m áy trạm được kết nối với switch thì ở trên sw itch tạo ra

m ột bảng liên kết các cổng kết nối của sw itch với địa chỉ card m ạng của m áy trạm ,

ở đây có sự liên kết là: A-3, B -l, C-4

K hi sw itch được bật lên lần đầu tiên, bảng chuyển tiếp/lọc các địa chỉ M A C chưa có thông tin nào

H ost A

Hình 14: Bảng lọc và chuyển tiếp địa chỉ MAC

Khi các m áy tính kết nối với sw itch bắt đầu truyền đi các khung dữ liệu, switch đưa các địa chỉ nguồn của khung vào trong bảng, cho phép bảng ghi lại số thứ tự cổng

m à m áy tính kết nối vào Trên thực tế có nhiều trường hợp không phải m áy tính kết nối trực tiếp với sw itch m à còn phải đi qua nhiều lớp khác, như vậy switch chỉ lưu được địa chỉ nguồn của khung dữ liệu đi đến switch Suy ra trên m ột cổng của

sw itch có thể có rất nhiều thông tin của địa chỉ MAC

Khi các m áy tính hoặc thiết bị này trả lời các thông tin quảng bá, sw itch sẽ bắt lấy địa chỉ nguồn của của khung đó và đưa địa chỉ M A C vào bảng, sau đó địa chỉ này sẽ được liên kết với số thứ tự cổng đã nhận địa chỉ này Vì ở trong sw itch đã có cả hai địa chỉ M A C liên quan đến nhau, như vậy hai m áy tính hoặc hai thiết bị có thể kết nối điểm - điểm với nhau trực tiếp T ừ thời điểm này trở đi, sw itch không cần gửi đi các thông tin quảng bá nữa, vì các khung cần thiết truyền giữa hai m áy tính chỉ tru y ền cho nhau chứ không gửi đến các cổng khác Đ ây cũng là lý do vì sao switch hoạt động hiệu quả hơn hub vì với hub thì các khung thường bị gửi đến tất cả các

MAC Forward/Filter Table

E0.Ủ: OOOO.ScOlOOOA step 2

E 0 /1 :0000.8c01.0008 step 4

E0.2:

EO S:

Hình 15: Bảng lọc và chuyển tiếp địa chỉ MAC

Ở hình vẽ trên, ta có 4 m áy tính được kết nối với switch Khi các m áy tính bắt đầu trao đổi dữ liệu, sw itch lưu các địa chỉ phần cứng nguồn của từng khung dữ liệu vào bảng dựa vào các cổng m à khung dữ liệu đi qua

1 M áy tính A gửi m ột khung dữ liệu đến m áy tính B Đ ịa chỉ M A C của m áy A

là 0080.8c01.000A , còn địa chỉ của m áy B là 0000.8c01.000B

2 Switch nhận được khung này ở trên cổng E0/0 và đưa đ ịa chỉ nguồn vào trong bảng địa chỉ M A C

3 Vì địa chỉ đích hiện chưa có trong bảng, vì vậy khung dữ liệu này sẽ được chuyển đến tất cả các cổng

4 M áy B nhận được khu n g dữ liệu này và trả lời ngược trở lại cho m áy A Switch n h ận được khung trả lời này trên cổng E0/1 và đưa địa chỉ phần cứng nguồn vào bảng

5 M áy A và m áy B có thể tạo kết nối điểm - điểm từ lúc này và chỉ hai m áy này nhận được các khung dữ liệu cần thiết M áy c và m áy D không nhìn thấy các khung này, đồng thòi trên bảng địa chỉ cũng không có các địa chỉ M AC của chúng vì các m áy này không gửi khung dữ liệu nào đến sw itch

N ếu m áy A và m áy B không truyền dữ liệu cho nhau nữa trong m ột khoảng thời gian nhất định, sw itch sẽ xoá thông tin về địa chỉ của những m áy này để lưu các thông tin mới

• Q uyết định lọc và chuyển tiếp (forw ard/filter decisions): K hi m ột khung dữ liệu đi đến m ột cổng của sw itch, sw itch sẽ tìm địa chỉ đích của m áy trạm nhận dữ liệu dựa trên bảng C A M ở trên, sau đó chuyển tiếp dữ liệu đến đúng cổng m à m áy trạm nhận dữ liệu đang kết nối vào Đ iều này làm giảm lưu lượng truyền trên m ạng, đồng thời tăng tốc độ truyền dữ liệu bên trong switch

• Tránh vòng lặp (loop avoidance): Nếu trong switch có nhiều kết nối được tạo

ra với m ục đích dư thừa hoặc dự phòng, thì vòng lặp ở trên m ạng có thể xảy ra Khi

đó, trong switch có giao thức Spanning Tree Protocol (STP) sẽ ngăn ngừa các vòng lặp này nhưng vẫn đảm bảo các kết nối dư thừa cần thiết Các liên kết dư thừa nên tồn tại giữa các sw itch vì nó ngàn ngừa tình trạng hỏng hóc của m ạng trong trường hợp m ột đường liên kết nào đó ngừng hoạt động [7] [11]

M ỡ hình V L A N :

M ạng LA N ảo được định nghĩa là m ột m ạng LA N được phân đoạn m ột cách logic theo chức năng, ứng dụng m à không cần để ý đến vị trí vật lý của người dùng Hay nói m ột cách khác, V L A N là m ột nhóm logic những người dùng và tài nguyên trên

m ạng được kết nối tới các cổng đ ã được định nghĩa sẵn ở trên switch Khi tạo

V L A N , ta có thể tạo được các m iền con nhỏ hơn của m ạng bằng cách gán các cổng khác nhau trên sw ich tới các m ạn g con N hư vậy, cách làm việc của V LA N giống hệt như với m ạng lớp 2 thông thường, điều đó có nghĩa là các khung truyền được quảng bá (broadcasted) chỉ được chuyển giữa các cổng trong nhóm logic ở trong cùng m ộ t V LA N

• M ột V LA N có thể nhóm nhiều m iền quảng bá thành nhiều m ạng con logic

• Có thể thêm , bớt, thay đổi người dùng m ạng, tài nguyên m ạng bằng cách cấu hình lại cổng ở V L A N tương ứng

• M ột nhóm người dùng có nhu cầu bảo m ật cao có thể đưa vào m ột V LA N , điều này đảm bảo người dùng nằm bên ngoài V LA N không thể truy xuất được vào nhóm này

• Có thể dùng V LA N để nhóm những người dùng có cùng chức năng lại thành nhóm m à không cần biết vị trí địa lý của họ ở đâu

• V L A N tăng cường tính năng bảo m ật m ạng

Mối quan hê giữa các V LANs:

Khi V L A N được tạo ra, ta cần phải gán các cổng của switch cho các V LA N này Tuỳ vào hoạt động của m ạng m à ta có hai kiểu của V LAN: V LA N tĩnh (Static

V LA N ) và V LA N động (dynam ic V LA N ) V LA N tĩnh yêu cầu cấu hình ban đầu không phức tạp nhưng việc quản lý về sau sẽ khó khăn, còn V L A N động ngược lại, cấu hình ban đầu phức tạp nhưng sẽ dễ dàng hơn trong việc quản lý người dùng

V LA N về sau

• V L A N tĩnh: V LA N tĩnh được xây dựng dựa trên mối quan hệ giữa các cổng trên sw itch, có nghĩa là m ột số cổng nhất định được gán cho m ột V LA N nào đó Người dùng trở thành thành viên của m ột V LA N tuỳ thuộc vào cổng vật lý m à họ kết nối vào Trong V LA N tĩnh không tồn tại giao thức quan hệ V LA N duy nhất,

vì vậy người dùng sẽ đương nhiên được xem như là thành viên của V LA N mỗi khi họ kết nối với m ột cổng định nghĩa sẵn cho VLA N Thông thường, người dùng không cần biết rằng V LA N tĩnh này có tồn tại hay không

T rên m ột switch, ta có thể chia được nhiều V LA N khác nhau Dù hai m áy tính cùng được kết nối trên m ột sw itch, nhưng nếu được gán vào hai V LA N khác nhau thì cũng không thể nhìn được thấy nhau

M ối quan hệ giữa cổng của V LA N đến V LA N được quản lý được bởi vi m ạch được lập trình sẵn ở trên sw itch M ối quan hệ này làm cho hoạt động của m ạng tốt hơn nhiều vì việc ánh xạ các cổng được thực hiện ở mức độ phần cứng chứ không phải truy xuất vào các bảng phức tạp

V L A N m ặc định ở trên sw itch được gán là V LA N 1, và được đặt ở ch ế độ V LA N của E thernet Đ ể định nghĩa các V LA N hoặc gán các cổng cho V LA N , ta phải truy cập vào sw itch bằng cổng console hoặc bằng lệnh telnet:

tch (vla n )# exit tch# configure te rm in a l tch (con fig)# interface in te rfa c e m o d u le /n u m b e r

tch (co n fig -if)# sw itch p o rt m ode access tch (co n fig -if)# sw itch p o rt a cce ss vlan vlan -n u m

tch (co n fig -if)# end

Ở đây dòng lệnh thứ 7 dùng để gán cổng vào V LA N được định nghĩa bằng lệnh ở dòng th ứ 2 Còn lệnh thứ 6 dùng để cấu hình cổng cho V L A N tĩnh Đ ể xác định lại cấu hình cửa V LA N , sử dụng dòng lệnh “show v la n ” để liệt kc các V LA N đã được định nghĩa, đồng thời cũng liệt kê ra các cổng nào đã được gán vào với

V L A N nào [3] [7]

• V L A N động: V L A N động ngoài việc dựa vào cổng của sw itch còn lấy các thông tin của thiết bị hoặc m áy tính kết nối vào N hư vậy, khi người dùng

m u ố n chuyển vị trí đến các nơi khác, V LA N động vẫn nhận biết được địa chỉ

M A C của m áy tính người dùng kết nối và tự động gán lại cổng vật lý cho

V L A N động đó Khi m ộ t m áy tính được kết nối với m ột cổng chưa được gán,

sw itch tương ứng sẽ kiểm tra địa chỉ M A C, địa chỉ logic, kiểu giao thức của

nó, sau đó so sánh với các dữ liệu ở trong cơ sở dữ liệu quản lý V LA N và tự

đ ộ n g gán cổng kết nối này các cấu hình của V L A N tương ứng Thông thường, để có thể cấu hình được V L A N động, người ta phải dùng m ột số phần m ềm đặc biệt để quét các cổng của các m áy tính kết nối vào V LA N để liên kết lại

V ì m ộ t sw itch thông thường chỉ có tối đa 24 cổng, và vì V L A N có thể được trải rộng trên n h iều sw itch chứ không đơn thuần là m ột sw itch đơn lẻ, vì vậy giữa các switch phải có các đường liên kết để tạo thành m ột sw itch logic có nhiều cổng hơn Người

ta sử d ụ n g m ột đường liên kết đặc biệt, gọi là “trunk link” để kết nối các switch với

nhau

V LAN s can span atíOĩG multiple SYíícheỉ

by using trunk links wtiich carry traffic

l a multiple VLAHs

RedVLAH Blue VLAN Green VLAN

Hình 17: Kết nối các switch bàng “trunk link”

Về bản chất, trunk link là đường kết nối điểm - điểm tốc độ lOOMbps đến lOOOMbps giữa các sw itch với nhau, hoặc giữa switch và bộ định tuyến router Trunk link này cho phép chuyển tải thông tin về các cổng V L A N để xác định m áy tính kết nối vào sw itch nào là thuộc về V LA N nào Tại cùng m ột thời điểm , trunk link cho phép chuyển tải thông tin từ V LA N 1 đến V LA N 1005 Trunk link được hoạt động thông qua m ột giao thức có tên là V TP (V L A N T runking Protocol) V TP

là giao thức nàm ở lớp 2, dùng để quản lý việc thêm , xoá hoặc thay đổi tên của

V L A N thông qua các sw itch, tối thiểu hoá việc cấu hình sai, hoặc cấu hình không nhất quán, ví dụ như các V LA N trùng tên hoặc V L A N bị khai báo cấu hình sai V í

dụ, trong m ộ t m ạng có 10 sw itch và được kết nối với nhau, nếu cả 10 switch này cần được khai báo V L A N 3, thông thường cần phải khai báo các thông tin của V LA N 3 này lên cả 10 sw itch và rất dễ gây nhầm lẫn Với VTP, chỉ cần khai báo m ột lần các thông tin củ a V L A N 3 trên m ột sw itch, sau đó 9 sw itch còn lại thông qu a trunk link

để cập n hật thông tin này tự động M ột switch được định ng h ĩa là V TP Server, khi

đó ta thay đổi các thông tin về V L A N trên sw itch này, sau đó dựa vào giao thức VTP, V TP Server gửi đi số sửa lại cấu hình (configuration revision num ber) và các thông tin về sự thay đổi của V LA N M ỗi lần V TP Server sửa đổi cấu hình của

4 Rev 3 -> Rev 4 4 Rev 3 -> Rev 4

5 Sync new VLAN info 5 Sync new VLAN info

Hình 18: Moi quan hệ giữa V T P Server và V T P Client

Do đặc điểm nổi bật của m ổ hình L ong-R each Ethernet là người dùng kết nối hệ thống m ạng của họ với sw itch, nên trên lý thuyết nếu không chia người dùng thành các V LA N khác nhau, thì người dùng này có thể truy cập vào hệ thống m ạng của người dùng khác

N goài ra, do có những trường hợp m ột người dùng có nhiều trụ sở khác nhau, và các trụ sở này được đấu nối với m ột sw itch trên m ô hình L ong-R each E thernet, nên cần phải chia m ô hình V L A N để đảm bảo thông suốt giữa m ô hình người dùng này.Cấu hình V L A N trẽn m ốt sw itch

Với m ô hình L o n g -R each Ethernet, người dùng trong m ỗi toà nhà hoặc m ột cao ốc được kết nối chung với m ột sw itch của toà nhà đó Khi đó ta có thể cấu hình switch

để ch ia V L A N trên m ột switch

Hình 19: Cấu hình VLAN trên một switch

sw tch (con fig)# vtp tra n sp a re n t dom ain Project

sw tch (co n fig )# vlan 2 nam e V LA N 2

sw tc h l(c o n fig )# vlan 3 nam e V LA N 3

Cấu hình V LA N trẽn nhiéu sw itch :

Đối với những người dùng chung trong m ột công ty nhưng có trụ sở tại nhiều toà

n hà khác nhau, ta phải cấu hình m ột V LA N nào đó trên nhiều switch Do tính chất

m ột V LA N trên nhiều sw itch, nên ta phải sử dụng trunk link

ữìrỉ

Hình 20: Cấu hình VLAN trên nhiều switch

N hìn trên hình vẽ, ta thấy rằng V L A N 1 và V LA N 3 được đặt trên 2 sw itch, như vậy

ta phải sử dụng trunk link, ở đây ta sử dụng hai cổng F astE them et 0/26 và 0/27 Dưới đây là cấu hình của sw itch 1

s w itc h l# configure te rm in a l

s w itc h l(c o n fig )# ip address 10.5.5.11 2 5 5 2 5 5 2 5 5 0

s w itc h l(c o n fig )# vlan 2 nam e V LA N 2

s w itc h l(c o n fig )# vlan 3 nam e VLAN 3

sw itch l(c o n fig )# interface e 0/5

s w itc h l(c o n fig -if)# v la n -m e m b e rsh ip sta tic 2

s w itc h l(c o n fig -if)# interface e 0/6

s w itc h l(c o n fig -if)# v la n -m e m b e rsh ip sta tic 2

s w itc h l(c o n fig -if)# interface e 0/7

s w itc h l(c o n fig -if)# v la n -m e m b e rsh ip sta tic 2

s w itc h l(c o n fig -if)# interface e 0/8

s w itc h l(c o n fig -if)# v la n -m e m b e rsh ip sta tic 2

s w itc h l(c o n fig -if)# interface e 0/9

s w itc h l(c o n fig -if)# v la n -m e m b e rsh ip sta tic 3

s w itc h l(c o n fig -if)# in terface e 0/10

s w itc h l(c o n fig -if)# v la n -m e m b e rsh ip sta tic 3

s w itc h l(c o n fig -if)# interface e 0/11

s w itc h l(c o n fig -if)# v la n -m e m b e rsh ip sta tic 3

s w itc h l(c o n fig -if)# interface e 0/12

s w itc h l(c o n fig -if)# v la n -m e m b e rsh ip sta tic 3

C ấu hình của sw itch 2:

sw itch2# configure te rm in a l

sw itch 2 (co n fig )# ip address 1 0 5 5 1 2 2 5 5 2 5 5 2 5 5 0

sw itch 2 (co n fig )# ip d e fau lt-g a te w ay 10.5 5 3

swTtch2(config)# vtp client

sw itch 2 (co n fig )# interface e 0/5

sw itch 2 (co n fig -if)# vla n -m e m b e rsh ip sta tic 2

sw itch 2 (co n fig -if)# interface e 0/6

sw itch 2 (co n fig -if)# v la n -m e m b e rsh ip sta tic 2

sw itch 2 (co n fig -if)# interface e 0/7

sw itch 2 (co n fig -if)# v la n -m e m b e rsh ip s ta tic 2

sw itch 2 (co n fig -if)# interface e 0/8

sw itch 2 (co n fig -if)# vla n -m e m b e rsh ip sta tic 2

sw itch 2 (co n fig -if)# interface e 0/9

sw itch 2 (co n fig -if)# v la n -m e m b e rsh ip sta tic 2

sw itch 2 (co n fig -if)# interface e 0/10

sw itch 2 (co n fiq -if)# vla n -m e m b e rsh ip sta tic 2 _

sw itch 2 (co n fig -if)# in terface e 0/11

sw itch 2 (co n fig -if)# v la n -m e m b e rsh ip sta tic 2

sw itch 2 (co n fig -if)# interface e 0/12

2

Rõ ràng ở đáy ta đã sử dụng Switch 1 làm V TP Server Switch 2 hiện tại đang ở chế

độ V T P C lient và nhận thông tin về V LA N từ V TP Server thông qua trunk link Trong cấu hình của sw itch 2 không cần định nghĩa về tên của V L A N 1 và V L A N 3 nữa, đồng thời V TP sẽ cắt hết những thông tin của V LA N ở sw itch 2 vì switch 2 không có V L A N 2 N goài ra, V TP sẽ coi các cổng F astE th em et 0/26 và 0/27 như là

m ột cổng của các V L A N 1 và V LA N 3, vì các cổng này là trung gian giữa các

V L A N cùng tên trên 2 switch

Trong m ô hình L ong-R each E thernet, do đặc điểm là ở m ỗi toà nhà ta đật m ột

sw tich, do đó m ỗi khi có người dùng kết nối vào cổng nào thì ta sẽ đặt VLA N cho chính cổng đó Đ ổng thời do trong các người dùng trong m ột toà nhà là khống liên quan đến nhau, nên với bao nhiêu người dùng, ta sẽ chia thành bấy nhiêu các V LA N khác nhau, do đó dù tất cả các người dùng đó có kết nối chung vào switch thì vẫn không thể gửi các gói quảng bá đến nhau được, điều này tránh cho việc người dùng

có thể brow se được những người dùng khác ở trong m ạng [2]

Khi th iết k ế m ô hình L ong-R each E thernet cho m ạng thực tế tại H à nội, xảy ra các trường hợp m ột công ty có nhiều chi nhánh ở các toà nhà khác nhau m uốn truy cập vào các m áy tính của nhau, ví dụ như các chi nhánh của công ty Prudential nằm ở các toà n hà khác nhau m uốn truy cập tài nguyên trên các m áy chủ của nhau, hoặc như là T oà nhà 31 Hai Bà Trưng và 63 Lý Thái Tổ có cùng m ột ban quản lý phụ trách M ô hình như sau:

63 Ly Thai To

O i

Ban Quan ly Toa nhã: Port 3

63 Ly Thai To's Switch 2924 LRE

31 Hai Ba Trung's Switch

2924 LRE

Ban Quan ly Toa nhã: Port 2

101 LRE

1

N hìn vào m ô hình ở trên, ta thấy rằng, để văn phòng Prudential (cổng 10 của swtich

M elia O ffice) có thể truy xuất được vào m áy chủ của văn phòng Prudential (cổng 3

của sw itch V ietcom bank) và ngược lại thì ta phải xây dựng V L A N có tên là

Prudential chỉ có hai cổng này Tương tự với Ban quản lý toà nhà (cổng 3 của switch

63 Lý Thái Tổ) và Ban quản lý toà nhà (cổng 2 của switch 31 H ai Bà Trưng) phải

được chia thành m ột V LA N riêng

N hư đã trình bày ở phần lý thuyết, để có thể chia V LA N trên nhiều switch khác

nhau, đồng thời để quản lý V LA N tốt hơn, ta phải dùng V TP Server (sw itch ở M elia

O ffice) để quản lý các V TP C lient (các switch khác) nhằm loại bỏ các thông tin dư

thừa về V LA N trên các sw itch, hoặc để cập nhật các thông tin về V LA N trên các kết

nối trunk, ở đây là các kết nối không dây

3.3.2 Quản lý danh sách truy cập

Bộ định tuyến hoạt động dựa trên các gói thống tin đi qua nó Trên các gói này có

chứa địa chỉ IP nguồn, IP đích, các giao thức được dùng Đ ể tăng cường tính nãng

bảo m ật cho m ạng, trên các bộ định tuyến có chứa các quy tắc lọc các địa chỉ IP

hoặc các giải địa chỉ IP cụ thể để ngăn chặn tấn công từ xa vào các m áy chủ nằm

trên Internet

Đ ê xây dựng danh sách truy cập IP, ta có thể đặt bộ định tuyến trên từng m ạng của

khách hàng, hoặc đặt ngay tại nhà cung cấp dịch vụ Internet, tức là đạt ngay tại cổng

kết nối của toàn bộ khách hàng N hư vậy, có thể quản lý danh sách truy cập tập

trung và an toàn hơn do bộ định tuyến của nhà cung cấp dịch vụ được đặt cùng với

các bức tường lửa để chống truy cập trái phép

V iệc này rất có ý nghĩa vì hầu hết người dùng không có kiến thức hoặc biết rất ít về

các nguyên tắc bảo m ật m ạng, điều này dẫn đến việc nếu nhà cung cấp dịch vụ

không xây dựng các nguyên tắc bảo m ật cho người dùng thì các m áy chủ của người

dùng thường xuyên bị tấn công từ bên ngoài [3] [6] [11]