- Định tuyến động (Dynamically learning a route): là quá trình giao thức định tuyến của bộ định tuyến tìm đường đi tối ưu nhất trong mạng và duy trì hoạt động của chúng. Có rất nhiều các[r]
Trang 1CHƯƠNG I TỔNG QUAN VỀ QUẢN TRỊ MẠNG
I CÁC KHÁI NIỆM
1 Máy chủ (Server)
Máy chủ hay còn gọi Máy phục vụ, là máy tính được cài đặt các phần mềm chuyên dụng có chức năng cung cấp các dịch vụ cho các máy tính khác Tùy theo dịch vụ do máy chủ cung cấp, có thể chia thành các loại máy chủ sau:
File server (cung cấp các dịch vụ về tệp và thư mục), Print server (cung cấp
các dịch vụ về in ấn) Do đảm nhận chức năng phục vụ cho các máy tính khác
nên cấu hình máy chủ phải mạnh, thông thường là máy chuyên dụng của các hãng như: HP, Intel, IBM
2 Máy trạm (Workstation hoặc Client)
Máy trạm, là máy tính sử dụng các dịch vụ do máy chủ cung cấp Máy
trạm thường xử lý số công việc không lớn nên thông thường không yêu cầu
có cấu hình mạnh
Máy kiêm nhiệm (Peer), là máy tính vừa đóng vai trò máy trạm, vừa là
máy cung cấp các dịch vụ Máy kiêm nhiệm thường sử dụng các hệ điều hành
như: DOS, WinNT Workstation, Win9X, Win2K Professional, WinXP Phương tiện truyền dẫn (Media), là cách thức và vật liệu kết nối các máy
lại với nhau
Dữ liệu dùng chung (Shared data), là tập hợp các tệp tin, thư mục mà
máy tính chia sẻ để các máy tính khác truy cập sử dụng chúng thông qua mạng
Tài nguyên (Resource), là tệp tin, thư mục, máy in, máy Fax, Modem, bộ
nhớ ngoài và các thành phần khác mà người dùng mạng sử dụng
Người dùng (User), là người sử dụng máy trạm để truy xuất các tài
nguyên mạng Thông thường một người dùng sẽ có một tên truy câp
(username) đi kèm với tài khoản (account) và một mật khẩu (password) truy
cập Hệ thống mạng sẽ dựa vào tên truy cập và mật khẩu để nhận biết người dùng, quyền truy cập và khai thác thông tin trên mạng
Người quản trị hệ thống (Administrator), là người quản lý và điều hành
hoạt động của mạng, quản lý người dùng, quản lý tài nguyên mạng.
3 Cài đặt (Install)
Việc cài đặt (Installation hay setup) một chương trình bao gồm cả trình
điều khiển, là hành động và kết quả của việc đặt một chương trình vào một hệ thống máy tính sao cho nó có thể hoạt động được
Trang 2Phần lớn chương trình được cung cấp dưới dạng nén, đã đóng thành gói,
để dùng được, cần phải được cài đặt để hệ thống mở gói tin nén trở về trạng thái ban đầu, tương thích với phần mềm hệ thống và hệ điều hành
Trong khi cài đặt, chương trình sẽ có những bước kiểm tra tính tương thích của hệ thống, Máy tính sẽ được cấu hình để lưu giữ những tệp tin thích hợp
và thiết lập cấu hình cần thiết để chương trình có thể hoạt động tốt
Có nhiều phần mềm, chạy trên các môi trường khác nhau nên việc đóng gói, mở gói tin cũng khác nhau Đối với phần cứng, thiết bị do nhiều nhà cung cấp nên mỗi thiết bị có trình điều khiển khác nhau, do đó cần có đĩa trình điều khiển đi kèm dùng để cài đặt riêng biệt Một chương trình cài đặt chuyên nghiệp thường tự động thực hiện thiết lập cấu hình, môi trường làm việc một cách tối ưu nhất
4 Cấu hình (Configuration)
Thiết lập các tham số cho thiết bị hoặc chương trình, trong môi trường làm việc, phù hợp với các yêu cầu cụ thể
5 Quản trị (Management)
Duy trì, bảo dưỡng, đảm bảo cho hệ thống hoạt động ổn định, đúng chức
năng đặt ra ban đầu Quản trị mạng lưới (network administration) được định
nghĩa là các công việc quản lý mạng lưới bao gồm cung cấp các dịch vụ hỗ trợ, đảm bảo mạng lưới hoạt động hiệu quả, đảm bảo chất lượng mạng lưới cung cấp đúng như chỉ tiêu định ra
Quản trị hệ thống (system administration) được định nghĩa là các công
việc cung cấp các dịch vụ hỗ trợ, đảm bảo sự tin cậy, nâng cao hiệu quả hoạt động của hệ thống, đảm bảo chất lượng dịch vụ cung cấp trên hệ thống đúng như chỉ tiêu định ra
Một định nghĩa cụ thể về công việc quản trị mạng là rất khó vì tính bao hàm rộng của nó, có thể được hiểu khái quát là tập hợp công việc quản trị mạng lưới và quản trị hệ thống Có thể khái quát công việc quản trị mạng bao gồm các công việc sau:
Quản trị cấu hình, tài nguyên mạng, bao gồm các công việc quản lý kiểm soát cấu hình, quản lý tài nguyên cấp phát cho các đối tượng sử dụng
Quản trị người dùng, dịch vụ mạng, bao gồm các công việc quản lý người
sử dụng trên hệ thống, trên mạng lưới và đảm bảo dịch vụ cung cấp có độ tin cậy cao, chất lượng đảm bảo theo đúng các chỉ tiêu đề ra
Trang 3Quản trị hiệu năng, hoạt động mạng, bao gồm các công việc quản lý, giám sát hoạt động mạng lưới, đảm bảo các thiết bị, hệ thống, dịch vụ trên mạng hoạt động ổn định, hiệu quả Các công việc quản lý, giám sát hoạt động của mạng lưới cho phép người quản trị tổng hợp, dự báo sự phát triển mạng lưới, dịch vụ, các điểm yếu, điểm mạnh của toàn mạng, các hệ thống và dịch vụ đồng thời giúp khai thác toàn bộ hệ thống mạng với hiệu suất cao nhất
6 An ninh mạng (Security)
Đảm bảo an toàn thông tin của người dùng mạng, chống sự xâm nhập trái phép từ bên ngoài cũng như bên trong hệ thống Thông tin truyền trên mạng phải đảm bảo không bị lấy cắp hoặc bị thay đổi, bao gồm các công việc quản
lý, giám sát mạng lưới Có nhiều nguyên nhân mang tính chủ quan và khách quan cần đảm bảo phòng tránh các truy nhập trái phép, phá hoại hệ thống, dịch vụ, hoặc đánh cắp thông tin quan trọng của các tổ chức, công ty, thay đổi nội dung cung cấp lên mạng với dụng ý xấu Việc phòng chống, ngăn chặn sự lây lan của các loại virus máy tính, các phương thức tấn công làm tê liệt hoạt động mạng Hiện nay, khi nhu cầu kết nối mạng Internet được mở rộng, yêu cầu công tác đảm bảo an ninh, an toàn được đặt lên hàng đầu, đặc biệt là với
các cơ quan cần bảo mật nội dung thông tin cao độ (nhà băng, các cơ quan an ninh, quốc phòng, tập đoàn kinh tế mũi nhọn).
II CÁC THÀNH PHẦN CỦA MẠNG
1 Các thiết bị phần cứng
1.1 Thiết bị kết nối cơ bản
1.1.1 Bộ điều hợp mạng (Network Adapter)
Card mạng (NIC hay Adapter) là thiết bị nối kết giữa máy tính và cáp
mạng Chúng thường giao tiếp với máy tính qua các khe cắm như: ISA, PCI hoặc USB Phần giao tiếp với cáp mạng thông thường theo các chuẩn như:
AUI, BNC, UTP, chức năng chính của card mạng gồm:
- Chuẩn bị dữ liệu đưa lên mạng,
trước khi đưa lên mạng, dữ liệu phải
được chuyển từ dạng byte, bit sang tín
hiệu điện để có thể truyền trên cáp
- Gửi dữ liệu đến máy tính khác
- Kiểm soát luồng dữ liệu giữa
máy tính và hệ thống cáp
Hình H1.1 Card mạng RE100TX theo
chuẩn Ethernet IEEE 802.3.
Trang 4- Địa chỉ MAC (Media Access Control), mỗi card mạng có một địa chỉ
riêng dùng để phân biệt card mạng này với card mạng khác trên mạng Địa
chỉ này do IEEE (Viện Công nghệ Điện và Điện tử) cấp cho các nhà sản xuất
card mạng Trên cơ sở đó các nhà sản xuất gán cố định địa chỉ vào bộ nhớ của mỗi card mạng, địa chỉ này gồm 6 byte, có dạng XXXXXX.XXXXXX, 3 byte đầu là mã số của nhà sản xuất, 3 byte sau là số serial của card mạng Địa
chỉ này được ghi cố định vào ROM nên còn gọi là địa chỉ vật lý Ví dụ, địa chỉ vật lý của một card Intel có dạng như sau: 00A0C90C4B3F Loại card
mạng này hỗ trợ cả hai băng thông 10Mbps và 100Mbps theo chuẩn
10Base-T và 100Base-10Base-TX Ngoài ra, card này còn cung cấp các tính năng như Wake
On LAN, Port Trunking, hỗ trợ cơ chế truyền Full Duplex và hỗ trợ hai cơ
chế boot ROM 16 bit (RPL) và 32 bit (PXE)
Card mạng không dây WL11A 11Mbps Wireless PCMCIA LAN Card,
giao tiếp với máy theo chuẩn PCMCIA nên khi sử dụng cho PC, cần phải
dùng thêm card chuyển đổi từ PCI sang PCMCIA Card được thiết kế theo
chuẩn IEEE802.11b ở dải tần 2.4GHz ISM, dùng cơ chế CSMA/CD để xử lý
đụng độ, băng thông của card là 11Mbps, có thể mã hóa 64 và 128 bit Đặc
biệt card này hỗ trợ cả hai kiến trúc kết nối mạng là Infrastructure và AdHoc.
Card mạng dùng cáp điện thoại: card HP10/100Mbps Phoneline
Network Adapter, là một card mạng đặc biệt vì không dùng cáp đồng trục
cũng không dùng cáp UTP mà dùng cáp điện thoại Một đặc tính quan trọng của card này là truyền số liệu song song với truyền âm thanh trên dây điện thoại Card này dùng đầu kết nối RJ11 và băng thông 10Mbps, chiều dài cáp
có thể dài đến gần 300m
1.1.2 Hub
Là thiết bị để kết nối các máy tính trong một mạng cục bộ (LAN) Hub nhận tín hiệu vào 1 cổng, chuyển tín hiệu đó đến tất cả các cổng còn lại Như vậy, tại 1 thời điểm bất kỳ, chỉ có 1 máy tính phát tín hiệu, tất cả các máy tính
của các cổng còn lại đều nhận tín hiệu, nhưng chỉ có 1 máy tính xử lý (máy tính có địa chỉ MAC là địa chỉ MAC đích của gói tin) Để tránh xung đột,
trước khi truyền tin, máy tính nghe ngóng tín hiệu trên đường truyền, nếu
không có tín hiệu mới bắt đầu truyền tin (cơ chế CSMA/CD) Thông thường
Hub hoạt động ở lớp 1 (lớp vật lý) Toàn bộ Hub được xem là một Collision Domain (vùng xung đột) Hub có ba loại, gồm:
Trang 5- Passive Hub: là thiết bị đấu nối cáp dùng để chuyển tiếp tín hiệu từ đoạn
cáp này đến các đoạn cáp khác, không có linh kiện điện tử và nguồn riêng nên không không khuếch đại và xử lý tín hiệu;
- Active Hub: là thiết bị đấu nối cáp dùng để chuyển tiếp tín hiệu từ đoạn
cáp này đến các đoạn cáp khác với chất lượng cao hơn Thiết bị này có linh kiện điện tử và nguồn điện riêng nên hoạt động như một bộ khuếch đại tín
hiệu có nhiều cổng (port);
- Intelligent Hub: là một Active hub có thêm các chức năng cho phép
quản lý từ các máy tính, chuyển mạch (switching), cho phép tín hiệu điện
chuyển đến đúng cổng cần nhận không chuyển đến các cổng không liên quan
1.1.3 Bridge
Bridge (cầu nối): là thiết bị cho phép kết nối hai nhánh mạng, có chức
năng chuyển có chọn lọc các gói tin đến nhánh mạng chứa địa chỉ máy nhận
tin Trong cầu nối có bảng địa chỉ MAC, dùng để quyết định đường đi của gói
tin Bảng địa chỉ này có thể được khởi tạo tự động hoặc phải cấu hình bằng
phương hủ công Cầu nối hoạt động ở lớp hai (Data link) trong mô hình OSI.
Ưu điểm của cầu nối là cho phép mở rộng cùng một mạng logic với nhiều
kiểu cáp khác nhau, chia mạng thành nhiều phân đoạn khác nhau nhằm giảm lưu lượng trên mạng
Nhược điểm: chậm hơn Hub vì phải xử lý các gói tin, chưa tìm được đường đi tối ưu trong trường hợp có nhiều đường đi Việc xử lý gói tin dựa trên phần mềm
Hình H1.2 Mô hình mạng sử dụng Bridge
Trang 61.1.4 Switch
Switch là thiết bị giống như cầu nối nhưng có nhiều cổng hơn, cho phép
ghép nối nhiều đoạn mạng với nhau Switch hoạt động trên nguyên lý dựa vào bảng địa chỉ MAC để quyết định đường đi của gói tin, nhằm tránh tình trạng tắc băng thông khi số máy trạm trong mạng tăng lên Switch hoạt động tại lớp hai trong mô hình OSI
Cầu nối và Switch hoạt động theo một nguyên lý giống nhau, dựa trên phần cứng, khi một gói tin đi chuyển đến, sẽ thực hiện như sau:
- Kiểm tra địa chỉ nguồn của gói tin xem đã có trong bảng MAC chưa, nếu chưa có thì nó sẽ thêm địa chỉ MAC và cổng nguồn, nơi gói tin xuất phát.
- Kiểm tra địa chỉ đích của gói tin đã có trong bảng MAC chưa, nếu chưa
có thì sẽ gửi gói tin tới tất cả các cổng, trừ cổng xuất phát
- Khi kiểm tra, nếu địa chỉ đích đã có trong bảng MAC: nếu cổng đích
trùng với cổng nguồn thì loại bỏ gói tin, còn khác nhau thì gói tin sẽ được gửi tới cổng tương ứng
Do phương thức hoạt động của Switch (hoặc Bridge) như vậy, nên mỗi
cổng của Switch là một vùng xung đột (Collision Domain) và toàn bộ Switch
được xem là một vùng quảng bá
Hình H1.3 Mô hình mạng sử dụng Switch
Ngoài các tính năng cơ sở, Switch còn các tính năng mở rộng như sau:
- Phương pháp chuyển gói tin (Switching mode): trong thiết bị của hãng
Cisco có thể sử dụng một trong ba loại sau:
Trang 7+ Store and Forward: là tính năng lưu dữ liệu trong bộ đệm trước khi
truyền sang các cổng khác để tránh đụng độ, thông thường tốc độ truyền khoảng 148.800 pps Với kỹ thuật này, toàn bộ gói tin phải được nhận đủ
trước khi Switch truyền frame đi, do đó độ trễ (latency) phụ thuộc vào chiều
dài của frame
+ Cut Through: Switch sẽ truyền gói tin ngay lập tức một khi nó biết
được địa chỉ đích của gói tin Kỹ thuật này sẽ có độ trễ thấp hơn so với kỹ
thuật Store and Forward và độ trễ luôn là con số xác định, bất chấp chiều
dài của gói tin
+ Fragment Free: Switch đọc 64 byte đầu tiên và sau đó bắt đầu truyền
dữ liệu
Hình H1.4 Mô hình mạng với nhiều máy tính sử dụng Switch.
VLAN: tạo các mạng ảo, nhằm đảm bảo tính bảo mật khi mở rộng mạng bằng cách nối các Switch với nhau Mỗi VLAN có thể được xem là một Broadcast Domain, nên khi chia các mạng ảo sẽ giúp phân vùng miền quảng
bá, nhằm cải tiến tốc độ và hiệu quả của hệ thống Nói cách khác, VLAN là
một nhóm logic các thiết bị hoặc người sử dụng Nhóm logic này được chia dựa vào chức năng, ứng dụng, không phụ thuộc vào vị trí địa lý Chỉ có các
thiết bị trong cùng VLAN mới liên lạc được với nhau Nếu muốn các VLAN
có thể liên lạc được với nhau thì phải sử dụng Router (thiết bị định tuyến) để
liên kết các VLAN.
- Spanning Tree: tạo đường dự phòng, bình thường dữ liệu được truyền
trên một cổng mang số thứ tự thấp Khi mất liên lạc thiết bị tự chuyển sang
cổng khác, nhằm đảm bảo mạng hoạt động liên tục Spanning Tree thực chất
là hạn chế các đường dư thừa trên mạng
Trang 81.2 Thiết bị định tuyến (Router)
1.2.1 Tổng quan về thiết bị định tuyến
Thiết bị định tuyến là thiết bị dùng nối kết các mạng logic, kiểm soát và
lọc các gói tin, nên hạn chế được lưu lượng trên các mạng thông qua cơ chế
Access-list Các thiết bị định tuyến dùng bảng định tuyến (Routing table) để
lưu giữ thông tin về mạng, từ đó tìm đường đi tối ưu cho các gói tin
Bảng định tuyến chứa các thông tin về đường đi, thời gian, khoảng cách giữa các nút trong mạng, bảng định tuyến có thể cấu hình tĩnh hay tự động
Thiết bị định tuyến nhận biết được địa chỉ logic IP, nên thông thường hoạt
động ở lớp mạng (Network) hoặc cao hơn.
Để đảm bảo thông tin, có thể thực hiện cài đặt bức tường lửa ở mức độ đơn
giản trên thiết bị định tuyến thông qua tính năng Accesslist bằng tạo một danh
sách truy cập hợp lệ, thực hiện việc ánh xạ địa chỉ thông qua tính năng NAT
(chuyển đổi địa chỉ).
1.2.2 Nguyên lý hoạt động của thiết bị định tuyến
Khi một gói tin đến thiết bị định tuyến, đầu tiên sẽ thực hiện việc kiểm tra
địa chỉ IP đích của gói tin, nếu địa chỉ mạng của IP đích có trong bảng định
tuyến thì gói tin sẽ được gửi tới cổng tương ứng Trường hợp không có trong bảng định tuyến, thiết bị định tuyến sẽ kiểm tra xem trong bảng định tuyến có
khai báo cổng mặc định (Default Gateway), nếu có khai báo thì gói tin sẽ
được chuyển đến cổng mặc định tương ứng Trong trường hợp chưa khai báo thì gói tin sẽ bị loại bỏ Mỗi cổng của thiết bị định tuyến là một vùng quảng bá
Hình H1.5 Mô hình mạng sử dụng router
1.2.3 Cơ chế định tuyến
Các thiết bị kết nối vào mạng TCP/IP đều có một địa chỉ IP duy nhất, giới hạn trong giao diện mạng của lớp tương ứng Địa chỉ IP là một dãy bốn số
Trang 9riêng, phân cách nhau bởi các dấu chấm Ví dụ, một địa chỉ IP lớp C thường dùng có dạng: 192.168.0.1 Địa chỉ IP gồm mã số địa chỉ mạng và mã số thiết
bị
Cổng vào mặc định là một phần của cấu hình TCP/IP trong một máy tính,
đó là thành phần cơ bản để kết nối với máy tính
Địa chỉ IP của thiết bị định tuyến chia sẻ cùng một địa chỉ mạng như các máy khác trong mạng cục bộ Để có thể truy cập tới các máy trong cùng mạng, mỗi thiết bị định tuyến có ít nhất hai địa chỉ IP, một dùng cùng địa chỉ mạng của mạng cục bộ, còn một do ISP của nhà cung cấp dịch vụ cấp theo quy định Địa chỉ IP dùng cùng một địa chỉ mạng của mạng ISP Công việc của thiết bị định tuyến là chuyển các gói dữ liệu từ mạng cục bộ sang mạng ISP theo định tuyến đường đi của gói dữ liệu tới các địa chỉ khác của Internet
1.2.4 Phương pháp định tuyến
Trước khi tuyến đường được đưa vào bảng định tuyến, thiết bị định tuyến phải xác định về những tuyến đường Có hai cách xác định tuyến đường:
- Định tuyến tĩnh (Statically defining a route): thông tin về tuyến đường
sẽ được nhập trực tiếp vào bảng định tuyến theo cú pháp sau (global configuration mode):
Ip route prefix mask {address/interface} distance
Prefix = IP route prefix for the destination
Mask = Prefix mask for the destination
Address = IP address of the next hop that can be used to reach the destination
Interface = Network interface to use
Distance = (Optional) Administrative distance
Nếu muốn cấu hình mặc định thiết bị định tuyến, phần prefix = 0.0.0.0 và mask = 0.0.0.0 Khi thiết lập chế độ mặc định, các gói tin có địa chỉ đích nằm trong bảng định tuyến sẽ được truyền đến các cổng mặc định
Ưu điểm của định tuyến tĩnh là ngưởi quản trị có thể trực tiếp điều khiển thông tin lưu trong bảng định tuyến, tránh lãng phí băng thông để xây dựng bảng định tuyến
Nhược điểm của định tuyến tĩnh là độ phức tạp của việc thiết lập cấu hình tăng lên khi kích thước của mạng tăng Giả sử một mạng có N thiết bị định
Trang 10tuyến, cần phải cấu hình (N-1)*N câu lệnh trên tất cả các thiết bị Mặt khác, định tuyến tĩnh không thích ứng với những mạng có cấu trúc thay đổi
- Định tuyến động (Dynamically learning a route): là quá trình giao thức
định tuyến của bộ định tuyến tìm đường đi tối ưu nhất trong mạng và duy trì hoạt động của chúng Có rất nhiều cách để xây dựng bảng định tuyến động, nhưng tất cả đều thực hiện theo quy tắc sau: duyệt tất cả các đường đi trong tuyến theo một số quy tắc đã định trước để xác định đường đi tốt nhất
Ưu điểm của định tuyến động là đơn giản trong việc thiết lập cấu hình và
tự động thực hiện chế độ dò tuyến đường trong trường hợp cấu trúc mạng có thay đổi
Nhược điểm của định tuyến động là yêu cầu xử lý cao hơn với định tuyến tĩnh, mặt khác chiếm dụng băng thông để xây dựng lên bảng định tuyến
1.2.5 Các giải thuật định tuyến
a) Giải thuật Distance-Vector Routing, được chia làm hai phần gồm:
- Khoảng cách (distance) là khoảng cách đường đi tới đích
- Hướng đi (vector) là hướng đi tới đích, được xác định bởi điểm đến tiếp theo (next-hop) của tuyến đường
Các giao thức định tuyến khoảng cách và hướng được cập nhật vào bảng định tuyến bằng cách thường xuyên gửi thông điệp cập nhật theo chu kỳ dưới dạng quảng bá Thông điệp quảng bá bao gồm toàn bộ bảng định tuyến, tuy nhiên có một vấn đề xảy ra đối với các giao thức định tuyến đó là định tuyến
quẩn (Routing Loop) Do các bộ định tuyến không được cập nhật tức thì khi
có thay đổi vì cơ chế cập nhật theo chu kỳ, dẫn đến các bộ định tuyến xây dựng bảng định tuyến không chính xác với thời điểm hiện tại, do đó các gói tin đi trên đường đã đi qua, kết quả là gói tin đi lòng vòng trên mạng Hiện tượng định tuyến quẩn đã làm phát sinh lưu lượng mạng, chiếm dụng băng thông, gây lãng phí Để khắc phục hiện tượng định tuyến quẩn là đưa vào các giao thức định tuyến nhiễm (Route poisoning) Bộ định tuyến bắt đầu hoạt động khi nhận thấy một trong những mạng đang kết nối bị mất tín hiệu
(down), khi đó sẽ thực hiện truyền quảng bá tín hiệu tới tất cả các bộ định
tuyến lân cận để thông báo trạng thái của mạng, từ đó bộ định tuyến sẽ chọn đường đi khác
Ví dụ, bộ định tuyến sẽ gửi thông báo tới các bộ định tuyến lân cận với chỉ
số hop count = 16 (tổng số chặng để tới đích) Kết quả là tuyến đường sẽ
được xoá khỏi bảng định tuyến Theo quy định chung, tất cả các bộ định tuyến có tổng số tuyến đường đi tới đích phải nhỏ hơn 16
- Giải thuật phân chia ngang (Split Horizon):