VIỆN ĐÀO TẠO CÔNG NGHỆ VÀ QUẢN LÝ QUỐC TẾ
KHOA CÔNG NGHỆ THÔNG TIN
-------------o0o-------------
Lời nói đầu
Sự phát triển...
MỤC LỤC
MỤC LỤC..............................................................................................................
CHƯƠNG 4............................................................................................................49
PHÁ...
CHƯƠNG 1
LÝ THUYẾT CƠ BẢN CỦA MẠNG MÁY TÍNH
1.1.Mô hình hệ thống mở OSI (Open Systems Interconnection).
1.1.1. Tổng quan m...
Tầng vật lý là tầng dưới cùng của mô hình OSI đặc tả các tính chất, đặc tính
kết nối vật lý, tính chất điện của thiết bị t...
loại khác. Để đạt được điều đó nó cung cấp một dạng biểu diễn chung dùng để
truyền thông và cho phép chuyển đổi từ dạng bi...
Địa chỉ IP là địa chỉ logic 32 bít sử dụng để xác nhận máy tính trên mạng
dùng giao thức TCP/IP. Địa chỉ IP gồm hai phần: ...
CSMA/CD ( Carrier Sense Multiple Access with Collision Detection ) để xử
lý việc truy cập đồng thời vào mạng.
• Các yếu tố...
trí và kích chuột”. Thông tin nhận được hiển thị ở dạng các trang Web, là thông
tin được lưu trữ trên máy chủ cung cấp dịc...
thư. Kiến trúc dịch vụ thư điện tử gồm có: CSDL lưu trữ người dùng E-mail,
CSDL xử lý lưu trữ E-mail dạng các hộp mail của...
Mail Server. mặt khác, nó cho phép các chương trình E-mail Client truy cập đến
các bản tin được lưu trữ trên Mail Server q...
Khi xem xét ứng dụng CSDL dùng mô hình Client/ Server, Client quản lý
giao diện người dùng và logic ứng dụng (được hiểu là...
Kiến trúc hai lớp Client-Server truyền thống: Các ứng dụng doanh nghiệp
dùng mô hình dữ liệu tập trung gồm có bốn thành ph...
Kiến trúc ba lớp:
Nhu cầu nâng cấp mở rộng hệ thống đối với sự phát triển của doanh nghiệp
thực sự cần thiết khi mà kiến t...
xác nhận đầu vào, và nó gọi là Thin Client. Xử lý đối tượng lõi của ứng dụng đặt
trên một lớp riêng biệt, kết nối vật lý đ...
Kiến trúc mạng WAN bao gồm các kết nối gồm có điểm - điểm, chuyển mạch
- circuit switching , chuyển mạch gói - packet swit...
đường kết nối sử dụng cho mục đích riêng của khách hàng. Những đường kêt nối
này phù hợp với hai phương thức truyền dữ liệ...
Chuyển mạch gói là một phương pháp chuyển mạch WAN, trong đó các thiết
bị mạng chia sẻ một kết nối điểm - điểm để truyền m...
của thiết bị. Những loại bộ kết nối phổ biến gồm (các số thể hiện số chân cắm trong
bộ kết nối): DB60, DB15, DB25, DB9.
Cá...
Các giao thức lớp liên kết vật lý còn xác định phương pháp đóng gói dữ liệu
hoặc định dạng của khung dữ liệu. Phương pháp ...
2.3. Thiết bị tích hợp mạng diện rộng
a. Modem số:
Modem số khác với các loại modem tương tự (chuẩn V90, V92) bởi khả năng...
d.Router: Là thiết bị được dùng khi thực hiện kết nối hai loại mạng khác
nhau. Chức năng của nó là định tuyến (dẫn đường “...
Tại đầu gửi tín hiệu, bộ dồn kênh là thiết bị kết hợp tín hiệu từ hai hay nhiều
thiết bị khác để truyền trên một đường tru...
nối truy cập Internet, nó có thể cấp cho băng thông đường xuống từ 1.5Mbps –
8Mbps, băng thông đường lên từ 64Kbps-640Kbps...
Kỹ thuật xử lý băng thông ADSL: Băng thông lớn nhất được hỗ trợ trên cặp
dây dẫn dùng cáp đồng là 1MHz, nó được chia làm b...
mức 2 (mức vật lý) và mức 3 (mức mạng) trong mô hình OSI (Open System
Interconnection), trong khi Frame Relay chỉ đơn giản...
Một mạng ATM được tạo nên bởi một chuyển mạch ATM và các điểm cuối
ATM. Chuyển mạch ATM tiếp nhận các tế bào vào từ một đi...
CHƯƠNG 3
AN NINH MẠNG
3.1. Tổng quan an ninh mạng.
Khai thác hệ thống thông tin hiệu quả là nhu cầu thiết thực nhất đối vớ...
• Chiến lược doanh nghiệp: (Xây dựng mô hình quản lý các nguy cơ an ninh
thông tin)
o Bảo vệ dữ liệu doanh nghiệp, tài sản...
o Phát hiện và quản lý xâm nhập trái phép
o Sử dụng các phương pháp mới, công nghệ mới
o Chọn lựa các thành phần xây dựng ...
nhất một cá nhân, thông thường người gửi mã hoá tài liệu đó bằng mã khoá riêng
và người nhận sẽ giải mã sử dụng mã khoá cô...
Tuy nhiên, chi phí và/hoặc sự phức tạp của nó có thể gây ra những rào cản nhất
định đối với khả năng ứng dụng.
Những vấn đ...
RSA là một hệ thống bảo mật khoá công cộng cho cả hai cơ chế mã hoá và
xác thực; nó được phát minh vào năm 1977 bởi Ron Ri...
phần mềm RSA Mobile yêu cầu người dùng định danh chính họ với hai yếu tố
riêng biệt của từng người – cái mà họ biết (số PI...
nhắn. Người dùng nhập mã truy cập này vào trình duyệt để hoàn tất quá trình xác
thực. Server RSA Mobile Authentication quả...
mật thông tin, ngăn chặn sự truy nhập không mong muốn từ bên ngoài (Internet)
và cấm truy nhập từ bên trong (Intranet) tới...
trong số các luật lệ của lọc packet hay không. Các luật lệ lọc packet này là dựa
trên các thông tin ở đầu mỗi packet (pack...
Do làm việc dựa trên header của các packet, rõ ràng là bộ lọc packet không
kiểm soát được nôi dung thông tin của packet. C...
Nguy cơ tác động tấn công vào những điểm yếu trên mạng thường xảy ra
thường xuyên, Sự xâm nhập tấn công mạng có thể gây ra...
mạng phân tán về mặt địa lý, công ty đa quốc gia. Giải pháp thông
thường được áp dụng là thuê các đường truyền riêng (leas...
Về căn bản, mỗi VPN là một mạng riêng rẽ sử dụng một mạng chung
(thường là internet) để kết nối cùng với các site (các mạn...
Extranet-based: Khi một công ty có một mối quan hệ mật thiết với một
công ty khác (ví dụ như, một đồng nghiệp, nhà hỗ trợ ...
• Quản trị mạng thuận tiện (Network management)
• Quản trị chính sách mạng tốt (Policy management)
3.3.2. Tính bảo mật của...
tương ứng với khoá public key để giải mã khoá bí mật (symetric key), sau đó sử
dụng khoá bí mật này để giải mã dữ liệu
Hệ ...
• Từ PC đến router
• Từ PC đến server
Máy chủ xác thực, xác nhận và quản lý tài khoản AAA Server
AAA: (Authentication, Aut...
tin (packet) trong một gói tin khác và gửi đi trên mạng. Giao thức sinh ra các gói
tin được đặt tại cả hai điểm thu phát g...
thường sử dụng như giao thức đóng gói. IPSec làm việc tốt trên cả hai mô hình
VPN Remote-Access và Site-to-Site. IPSec hỗ ...
48
CHƯƠNG 4
PHÁT TRIỂN NGN TRONG MÔ HÌNH DOANH NGHIỆP
4.1. Khái niệm mạng NGN (Next Generation Network)
Do nhu cầu phát triển...
Tailieu.vncty.com   bao cao xay dung he thong thong tin mang
Tailieu.vncty.com   bao cao xay dung he thong thong tin mang
Tailieu.vncty.com   bao cao xay dung he thong thong tin mang
Tailieu.vncty.com   bao cao xay dung he thong thong tin mang
Tailieu.vncty.com   bao cao xay dung he thong thong tin mang
Tailieu.vncty.com   bao cao xay dung he thong thong tin mang
Tailieu.vncty.com   bao cao xay dung he thong thong tin mang
Tailieu.vncty.com   bao cao xay dung he thong thong tin mang
Tailieu.vncty.com   bao cao xay dung he thong thong tin mang
Tailieu.vncty.com   bao cao xay dung he thong thong tin mang
Tailieu.vncty.com   bao cao xay dung he thong thong tin mang
Tailieu.vncty.com   bao cao xay dung he thong thong tin mang
Tailieu.vncty.com   bao cao xay dung he thong thong tin mang
Tailieu.vncty.com   bao cao xay dung he thong thong tin mang
Tailieu.vncty.com   bao cao xay dung he thong thong tin mang
Tailieu.vncty.com   bao cao xay dung he thong thong tin mang
Tailieu.vncty.com   bao cao xay dung he thong thong tin mang
Tailieu.vncty.com   bao cao xay dung he thong thong tin mang
Tailieu.vncty.com   bao cao xay dung he thong thong tin mang
Tailieu.vncty.com   bao cao xay dung he thong thong tin mang
Tailieu.vncty.com   bao cao xay dung he thong thong tin mang
Tailieu.vncty.com   bao cao xay dung he thong thong tin mang
Tailieu.vncty.com   bao cao xay dung he thong thong tin mang
Tailieu.vncty.com   bao cao xay dung he thong thong tin mang
Tailieu.vncty.com   bao cao xay dung he thong thong tin mang
Upcoming SlideShare
Loading in …5
×

Tailieu.vncty.com bao cao xay dung he thong thong tin mang

365 views

Published on

http://tailieu.vncty.com/index.php

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
365
On SlideShare
0
From Embeds
0
Number of Embeds
13
Actions
Shares
0
Downloads
9
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Tailieu.vncty.com bao cao xay dung he thong thong tin mang

  1. 1. VIỆN ĐÀO TẠO CÔNG NGHỆ VÀ QUẢN LÝ QUỐC TẾ KHOA CÔNG NGHỆ THÔNG TIN -------------o0o------------- Lời nói đầu Sự phát triển cuả công nghệ thông tin ở nước ta ngày càng mạnh mẽ và ngày càng được triển khai rộng rãi các ứng dụng tin học cho các tổ chức kinh tế xã hội và các ngành khoa học kĩ thuật và đặc biệt là trong công tác quản lý Trong các cơ quan, doanh nghiệp nhà nước cũng như tư nhân, công tác quản lý nếu phải thực hiện và xử lý một cách thủ công thì vừa chậm vừa mất thời gian đem lại hiệu quả kinh tế không cao trong sản xuất kinh doanh. Với những công việc tính toán, thống kê số liệu làm bằng tay vừa mất công vừa kém chính xác. Người làm công tác phải quản lý một khối lượng công việc khổng lồ, với phần lưu trữ, tìm kiếm là không đơn giản chút nào... Vì thế, việc ứng dụng tin học trong công tác quản lý đã phát triển mạnh mẽ, nó giúp cho công tác quản lý ngày càng trở nên hiệu quả hơn như: Nâng cao hiệu quả trong công việc, đưa ra báo cáo, số liệu thống kê một cách nhanh chóng, chính xác và kịp thời... Đồng thời nhờ có việc ứng dụng tin học mà đã tiết kiệm được nhiều thời gian, công sức của con người và giảm nhẹ bộ máy quản lý rất cồng kềnh từ trước tới nay Internet ở Việt Nam mới chỉ phát triển từ 7 năm gần đây, nhưng sự phát triển mạnh mẽ của nó thì không một ai có thể ngờ tới. Nó đã có sự phát triển vượt bậc so với sự phát triển trong lĩnh vực khác của ngành công nghệ thông tin. Đó cũng là xu thế tất yếu khi chúng ta chính thức hoà vào mạng viễn thông quốc tế. Sự phát triển của Internet đã tạo ra một xu thế mới trong công nghệ Đề tài mà em thực hiện là : Xây dựng hệ thống thông tin mạng 1
  2. 2. MỤC LỤC MỤC LỤC................................................................................................................2 CHƯƠNG 1..............................................................................................................4 LÝ THUYẾT CƠ BẢN CỦA MẠNG MÁY TÍNH...............................................4 1.1.Mô hình hệ thống mở OSI (Open Systems Interconnection)...........................4 1.1.1. Tổng quan mô hình hệ thống mở. ...........................................................4 1.1.2. Các chức năng chủ yếu của các tầng của mô hình OSI..........................4 1.2.Giao thức truyền thông mạng TCP/IP..............................................................6 1.3. Kỹ thuật mạng LAN ......................................................................................7 1.3.1. Tổng quan mạng Ethernet (LAN)............................................................7 1.3.2. Các thiết bị dùng cho mạng Ethernet.....................................................8 1.4.1.Dịch vụ Web............................................................................................8 1.4.2. Dịch vụ truyền file..................................................................................9 1.4.3. Dịch vụ E-mail........................................................................................9 1.4.4. Dịch vụ mạng Giao thức DNS, DHCP...................................................11 1.4 Kiến trúc ứng dụng Client/ Server.................................................................11 CHƯƠNG 2............................................................................................................15 PHƯƠNG PHÁP PHÁT TRIỂN MỞ RỘNG MẠNG........................................15 2.1. Tổng quan kiến trúc mạng WAN..................................................................15 2.2. Công nghệ xử lý truyền dẫn trên mạng diện rộng.........................................18 2.3. Thiết bị tích hợp mạng diện rộng..................................................................21 2.4. Phương tiện truyền dẫn trong mạng diện rộng..............................................23 2.4.1. Công nghệ đường dây thuê bao số xDSL..............................................23 2.4.2. Công nghệ ISDN....................................................................................25 2.4.3. Frame relay...........................................................................................25 2.4.4. Công nghệ ATM:...................................................................................26 2.4.5. Đường thuê bao kênh riêng(leased line): .............................................27 CHƯƠNG 3............................................................................................................28 AN NINH MẠNG..................................................................................................28 3.1. Tổng quan an ninh mạng...............................................................................28 3.2. An ninh trên hạ tầng cơ sở............................................................................30 3.2.1. Dùng PKI (Public Key Infrastructure).................................................30 3.2.2. Dùng RSA.............................................................................................32 3.2.3. Dùng Firewall......................................................................................35 3.2.4. Dùng IDS (Intrusion Detection Systems ).............................................38 3.3. Mạng VPN và Bảo mật trong VPN (Virtual Private network)......................39 3.3.1. Khái niệm VPN......................................................................................39 3.3.2. Tính bảo mật của VPN:.........................................................................43 3.3.3. Các kỹ thuật sử dụng trong VPN..........................................................45 3.3.4. Kỹ thuật Tunneling................................................................................45 2
  3. 3. CHƯƠNG 4............................................................................................................49 PHÁT TRIỂN NGN TRONG MÔ HÌNH DOANH NGHIỆP............................49 4.1. Khái niệm mạng NGN (Next Generation Network)......................................49 4.2. Đặc điểm NGN.............................................................................................51 4.3. Triển khai NGN............................................................................................54 4.4. Các thành phần của NGN chuẩn...................................................................56 4.5. Các công nghệ và các giao thức....................................................................57 CHƯƠNG 5............................................................................................................62 THIẾT KẾ, XÂY DỰNG HỆ THỐNG THÔNG TIN........................................62 5.1. Giới thiệu .....................................................................................................62 5.2. Phân tích yêu cầu..........................................................................................63 5.2. Thiết kế, xây dựng hạ tầng thông tin.............................................................65 5.3. Thiết kế, xây dựng dịch vụ quản lý và ứng dụng mạng ...............................70 5.3.1. Dịch vụ quản lý mạng...........................................................................70 5.3.2. Cài đặt, và quản lý dịch vụ E-mail......................................................71 KẾT LUẬN............................................................................................................73 TÀI LIỆU THAM KHẢO:....................................................................................74 3
  4. 4. CHƯƠNG 1 LÝ THUYẾT CƠ BẢN CỦA MẠNG MÁY TÍNH 1.1.Mô hình hệ thống mở OSI (Open Systems Interconnection). 1.1.1. Tổng quan mô hình hệ thống mở. Việc nghiên cứu OSI được bắt đầu bởi ISO (International Organization for Standardization) từ năm 1971 với mục đích dễ dàng giao tiếp kết nối các sản phẩm công nghệ mạng của các hãng sản xuất khác nhau. Ưu điểm chính của OSI là xây dựng được các giải pháp xử lý truyền thông giữa các mạng máy tính không đồng nhất. Hai hệ thống, dù có khác nhau đều có thể truyền thông với nhau một các hiệu quả nếu chúng đảm bảo những điều kiện chung sau đây: • Chúng cài đặt cùng một tập các chức năng truyền thông. • Các chức năng đó được tổ chức thành cùng một tập các tầng. các tầng đồng mức phải cung cấp các chức năng tương tự nhau. • Các tầng đồng mức khi trao đổi với nhau sử dụng chung một giao thức. Hình sau là mô hình hoá hai hệ thống máy tính kết nối trong mạng, kiến trúc các thành phần được phân tách dựa vào mô hình OSI. 1.1.2. Các chức năng chủ yếu của các tầng của mô hình OSI. Tầng 1: Tầng Vật lý (Physical Layer) 4 Hình 1.1. Mô hình OSI
  5. 5. Tầng vật lý là tầng dưới cùng của mô hình OSI đặc tả các tính chất, đặc tính kết nối vật lý, tính chất điện của thiết bị trên mạng như: Các loại cáp được dùng để nối các thiết bị, các loại tín hiệu được dùng khi chuyển dữ liệu trên cáp kết nối mạng, các kỹ thuật nối mạch điện, và tốc độ truyền dẫn dữ liệu trên cáp truyền dẫn. Phân loại các thiết bị mạng thuộc tầng này là HUB, MultiPlexer, Repeater. Tầng 2: Liên kết dữ liệu (Datalink Layer) Tầng LKDL (Liên kết dữ liệu) là tầng thường được dùng để định nghĩa dòng thông tin ở dạng ‘khung’ khi truyền giữa các điểm vật lý trên mạng. Tầng LKDL quy định được các dạng thức, kích thước của khung ‘frame’ thông tin được truyền (ví dụ, khung ethernet). Tầng 3: Tầng Mạng (Network Layer) Tầng mạng có chức năng giao tiếp truyền thông tin trong mạng, trên các mạng với nhau bằng cách định hướng (routing) cho các gói tin đi từ mạng này đến mạng khác được thực hiện bởi giao thức định tuyến. Tầng 4: Tầng Giao vận (Transport layer) Đây là tầng đảm bảo dữ liệu của dịch vụ ứng dụng mạng được truyền giữa các điểm kết nối logic trên mạng. Như vậy,nó định nghĩa các dịch vụ ứng dụng cho các tầng trên nó (ví dụ, TCP của dịch vụ www là 80) thông qua số hiệu cổng, kết kợp với các tầng dưới nó để thiết lập phương thức truyền dữ liệu tin cậy. Tầng 5: Tầng phiên (Session Layer) Tầng phiên thiết lập "các phiên giao dịch" giữa các ứng dụng trên máy tính mạng. Các phiên truyền mang thông tin về tên của máy tính tham gia thực hiện phiên truyền, khối lượng dữ liệu cần truyền. Tầng phiên đảm bảo cho các giao dịch được thiết lập và duy trì theo đúng qui định của từng loại dịch vụ dữ liệu. Tầng 6: Tầng Trình bày (Presentation Layer) Trong giao tiếp giữa các ứng dụng thông qua mạng với cùng một dữ liệu có thể có nhiều cách biểu diễn khác nhau. Thông thường dạng biểu diễn dùng bởi ứng dụng nguồn và dạng biểu diễn dùng bởi ứng dụng đích có thể khác nhau do các ứng dụng được chạy trên các hệ thống hoàn toàn khác nhau (như hệ máy Intel và hệ máy Motorola). Tầng trình bày (Presentation layer) phải chịu trách nhiệm chuyển đổi dữ liệu gửi đi trên mạng từ một loại biểu diễn này sang một 5
  6. 6. loại khác. Để đạt được điều đó nó cung cấp một dạng biểu diễn chung dùng để truyền thông và cho phép chuyển đổi từ dạng biểu diễn cục bộ sang biểu diễn chung và ngược lại. Tầng 7: Tầng Ứng dụng (Application layer) Tầng ứng dụng (Application layer) là tầng cao nhất của mô hình OSI, nó định nghĩa giao diện giữa người sử dụng và ứng dụng mạng. Giải quyết các kỹ thuật mà các chương trình ứng dụng dùng để giao tiếp với mạng. 1.2.Giao thức truyền thông mạng TCP/IP TCP/IP là tập các giao thức truyền thông tin trên mạng theo chuẩn công nghiệp được DoD (Department of Defense) thiết kế và ứng dụng, đảm bảo dữ liệu truyền trên mạng được an toàn, quá trình truyền thông tin qua môi trường mạng thông qua kết nối logic (kết nối ảo, chỉ tồn tại trong quá trình truyền thông tin). Hình sau so sánh sự tương ứng giữa mô hình OSI với mô hình mạng TCP/IP. Mô hình TCP/IP được phân chia làm 4 tầng, mục đích chủ yếu là đáp ứng được các yêu cầu truyền dữ liệu trên mạng Internet dùng TCP/IP. Tầng ứng dụng của DoD tương ứng với 3 tầng trên cùng của mô hình OSI. Tầng giao vận của OSI ứng với tầng host-to-host, tầng mạng của OSI ứng với tầng Internet, và tầng cuối cùng của DoD ứng với 2 tần còn lại của OSI. Ví dụ, khi ta xét SQL thuộc tầng ứng dụng của DoD, hoặc tầng phiên của OSI. Địa chỉ IP: (IP ver4) 6 Hình 1.5. So sánh mô hình OSI với mô hình DoD
  7. 7. Địa chỉ IP là địa chỉ logic 32 bít sử dụng để xác nhận máy tính trên mạng dùng giao thức TCP/IP. Địa chỉ IP gồm hai phần: Phần định danh cho mạng và phần định danh cho máy tính. • Định danh mạng dùng để nhận diện các máy trên cùng mạng logic • Định danh máy tính: nhận diện một máy trên mạng. Như vậy, mỗi máy tính khi kết nối vào mạng đều có một địa chỉ duy nhất, đó chính là địa chỉ IP. Địa chỉ này dùng để phân biệt máy tính đó với các máy khác còn lại trên mạng. Toàn bộ địa chỉ IP được chia vào 5 lớp khác nhau • Mạng riêng lớp A: có lớp mạng từ 10.0.0.0 đến 10.255.255.255 • Mạng riêng lớp B: có lớp mạng từ 172.16.0.0 đến 172.31.255.255 • Mạng riêng lớp C: có lớp mạng từ 192.168.0.0 đến 192.168.255.255 Trong cấu hình giao thức IP, phân biệt định danh lớp mạng với định danh máy tính dựa vào mặt nạ mạng (subnet mask), lớp A có subnetmask chuẩn 255.0.0.0, lớp B là 255.255.0.0, và lớp C là 255.255.255.0. Tuỳ theo kiến trúc mạng và cách sử dụng địa chỉ IP để định danh các subnet mask không chuẩn. Loopback: địa chỉ vòng lặp, 127.0.0.1, là địa chỉ IP kiểm tra vòng lặp giao tiếp mạng. 1.3. Kỹ thuật mạng LAN 1.3.1. Tổng quan mạng Ethernet (LAN) Ethernet là mạng cục bộ do các công ty Xerox, Intel và Digital equipment xây dựng và phát triển. Ethernet là mạng thông dụng nhất đối với các mạng nhỏ hiện nay. Ethernet LAN được xây dựng theo chuẩn 7 lớp trong cấu trúc mạng của ISO, mạng truyền số liệu Ethernet cho phép các loại máy tính khác nhau sử dụng chuẩn giao tiếp Ethernet tham gia truyền thông trên môi trường mạng. Ethernet có các đặc tính kỹ thuật chủ yếu sau đây: • Ethernet dùng cấu trúc mạng bus logic mà tất cả các nút trên mạng đều được kết nối với nhau một cách bình đẳng. Mỗi gói dữ liệu gửi đến nơi nhận dựa theo các địa chỉ quy định trong các gói. Ethernet dùng phương thức 7
  8. 8. CSMA/CD ( Carrier Sense Multiple Access with Collision Detection ) để xử lý việc truy cập đồng thời vào mạng. • Các yếu tố hạn chế kích thước mạng chủ yếu là mật độ lưu thông trên mạng. 1.3.2. Các thiết bị dùng cho mạng Ethernet Repeater: Thiết bị được dùng khi có nhu cầu khuếch đại tín hiệu trên đường truyền dài. Khi tín hiệu được truyền tải trên mạng sẽ có suy hao do trở kháng của dây dẫn, dẫn đến khả năng truyền đi trên đường truyền dài vược mức quy định là khó đảm bảo chất lượng. Do vậy, ta cần có. Hub: Về một khía cạnh xử lý truyền dẫn thì nó như một bộ ghép nối nhiều repeater, nó có nhiều cổng (4,8 hay thậm chí 24 port). Hub được dùng để xây dựng mạng Lan theo chuẩn Ethernet (mạng hình sao). Nhược điểm của HUB là tốc độ xử lý truyền tin thấp (10Mbps), dễ gây ra tắc nghẽn, xung đột mạng. Hiện nay, xu hướng dùng thiết bị fastHUB đạt được tốc độ 100Mbps, nhưng đối với những mạng lớn kiểu kiến trúc phân tầng thì dùng HUB/fastHUB là một hạn chế đối với tốc độ truyền tin trên mạng. Bridge: Công nghệ này ưu điểm hơn HUB ở chỗ nó có thể xử lý thông tin truyền dẫn trên mạng, nó làm việc tại tầng 2 của OSI nên có thể đọc được địa chỉ vật lý (MAC addres) của khung tin. Như vậy bridge sẽ thông minh hơn HUB khi mà nó có thể hiểu được khung tin truyền trên mạng được gửi từ máy tính nào, và máy tính nào sẽ nhận gói tin đó dẫn đến giảm được xung đột mạng, tăng tốc độ truyền tin. Switch: Thiết bị này có thể hiểu là một bridge nhiều cổng, và ưu điểm khác Bridge là nó được xử lý bằng mạch cứng. Switch có thể đọc được địa chỉ MAC của khung tin nên các nhà sản xuất đã phát triển ưu điểm này thiết kế cho switch có thể cấu hình bằng phần mềm khi có nhu cầu phân tách mạng tạo các mạng LAN riêng (VLAN). 1.4. Các dịch vụ ứng dụng mạng cơ bản 1.4.1.Dịch vụ Web Dịch vụ Web cung cấp thông tin để người dùng truy cập dịch vụ dưới dạng World Wide Web (www). www cung cấp tài nguyên đơn giản chỉ bằng “định vị 8
  9. 9. trí và kích chuột”. Thông tin nhận được hiển thị ở dạng các trang Web, là thông tin được lưu trữ trên máy chủ cung cấp dịch vụ Web, nó chứa đựng rất nhiều dạng thông tin gồm hình ảnh, âm thanh, văn bản …Hơn thế nữa, trên chính các trang web lại có những vị trí định vị để dẫn đường đến những trang thông tin khác. Rất nhiều các dịch vụ ngày nay phát triển dựa trên nền Web bởi sự tiện lợi của nó là không phụ thuộc vào các thành phần phần cứng hay hệ điều hành, sự tương thích với những giao thức mạng khác như FTP (File Transfer Protocol), NNTP (Network News Transfer Protocol), Gopher, và Telnet. Kiến trúc hoạt động của dịch vụ Web gồm có hai thành phần: Web server, là máy tính cài đặt dịch vụ Web và lưu trữ thông tin dưới dạng các trang Web để xuất bản trên mạng; Web client, là máy tính cài đặt trình duyệt web để truy xuất và hiển thị thông tin dưới dạng các trang Web. Phần mềm cài đặt Web server có thể là Apache (thường được cài đặt trên HĐH Linux), hay IIS (Internet Information Server) trên dòng HĐH Windows. Trình duyệt web thường được dùng là IE (Internet Explorer), hay Netscap Navigator. 1.4.2. Dịch vụ truyền file Dịch vụ truyền file dược phát triển vào thời kỳ đầu tiên của mạng được dùng để truyền các dạng file nhị phân (images, executable programs, compressed ZIP files) và các file ASCII trên môi trường mạng. Dịch vụ WWW tích hợp dịch vụ truyền file để hỗ trợ người dùng đăng tải (download/upload) thông tin. Các thành phần của dịch vụ FTP gồm FTP server, và FTP client. FTP server quản lý tài nguyên, giám sát người dùng truy cập dịch vụ. FTP Client yêu cầu truy nhập dịch vụ trên FTP server kiểu hand-shake và dùng tập các lệnh như (Get, Put, Quit,…) dựa trên nền giao thức TCP/IP để đảm bảo truyền file tin cậy. 1.4.3. Dịch vụ E-mail Dịch vụ truyền thư điện tử trên mạng máy tính được phát triển để đáp ứng nhu cầu truyền thông tin kiểu bản tin, file nhị phân, file văn bản dưới dạng thư tín. Kiến trúc thư tín có địa chỉ người gửi, địa chỉ người nhận, thông tin cần truyền dạng file đính kèm hoặc dạng văn bản soạn thảo ngay ở phần nội dung của 9
  10. 10. thư. Kiến trúc dịch vụ thư điện tử gồm có: CSDL lưu trữ người dùng E-mail, CSDL xử lý lưu trữ E-mail dạng các hộp mail của người dùng, và giao thức trao đổi E-mail. Dịch vụ E-mail gồm E-mail Server là phần mềm cung cấp dịch vụ E-mail, và phần mềm E-mail Client thường dùng để duyệt E-mail. Các phần mềm E-mail Server hiện có trên thị trường là MDEAMON tiện lợi dễ dùng, Microsoft Exchange chuyên nghiệp hơn ứng dụng cho môi trường doanh nghiệp vừa và lớn, và Lotus Domino là giải pháp phần mềm tích hợp với ứng dụng chủ yếu là cung cấp dịch vụ E-mail. Các phần mềm E-mail Client sẵn có như Microsoft Outlook, Outlook Express,… Giao thức truyền E-mail SMTP, (Simple Mail Transfer Protocol): là giao thức được dùng để xử lý truyền (đẩy) E-mail từ Client lên E-mail Server hoặc từ E-mail Server này đến E-mail Server khác. Nó là một giao thức tầng ứng dụng chạy trên nền giao thức TCP/IP, thực hiện phiên truyền tin dùng cơ chế mở socket (có cổng TCP là 25) thông qua một tập lệnh chuẩn , mỗi câu lệnh được kết thúc bằng ký tự đặc biệt <CRTF>. Các lệnh cơ bản như HELO, MAIL, RCPT,… POP (Post Office Protocol): Giao thức POP là giao thức ứng dụng cung cấp dịch vụ E-mail trên nền giao thức TCP/IP, nó được Client sử dụng mỗi khi mở socket (cổng TCP là 110) kết nối đến Mail Server để tải E-mail về ổ đĩa lưu trữ trên Client. Sau khi socket được mở, dịch vụ E-mail có thể tiếp nhận và xử lý các lệnh của POP. Các lệnh của POP đều được kết thúc bằng ký tự đặc biệt <CRTF>. Những lệnh cơ bản như USER, PASS, LIST, … Giao thức IMAP (Internet Message Access Protocol): là phương pháp truy cập dịch vụ E-mail hoặc các bản tin được lưu trong thư mục dùng chung trên 10 SMTP server POP Server IMAP ServeruserMail box Xử lý dịch vụ E-mail Server SMTP Client POP Client IMAP Client Hình 1.10: Kiến trúc dịch vụ E-mail
  11. 11. Mail Server. mặt khác, nó cho phép các chương trình E-mail Client truy cập đến các bản tin được lưu trữ trên Mail Server qua mạng diện rộng. Ví dụ, e-mail được lưu trên một IMAP server có thể được đọc bởi một máy tính khác thông qua mạng mà không cần phải trao đổi trên mạng toàn bộ nội dung của cả file, bản tin, hay của e-mail. 1.4.4. Dịch vụ mạng Giao thức DNS, DHCP Dịch vụ DNS (Domain Name System): là dịch vụ mạng sử dụng cả giao thức TCP (Transmission Control Protocol) và UDP (User Datagram Protocol), là một hệ cơ sở dữ liệu phân tán dùng để ánh xạ giữa các tên miền và các địa chỉ IP. DNS đưa ra một phương pháp đặc biệt để duy trì và liên kết các ánh xạ này trong một thể thống nhất. Trong phạm vi lớn hơn, các máy tính kết nối với internet sử dụng DNS để tạo địa chỉ liên kết dạng URL (Universal Resource Locators). Theo phương pháp này, mỗi máy tính sẽ không cần sử dụng địa chỉ IP cho kết nối. Dịch vụ DHCP (Dynamic host Configuration Protocol): DHCP là dịch vụ mạng gồm có DHCP Client và DHCP Server. DHCP Server dùng để quản lý địa chỉ IP của mạng, gán địa chỉ IP cho các DHCP Client (là những máy tính dùng địa chỉ IP gán động). Dịch vụ DHCP kết hợp với dịch vụ DNS sẽ đơn giản cho công việc quản trị mạng. 1.4 Kiến trúc ứng dụng Client/ Server Trong kiến trúc Client-server, các thành phần phần mềm giao tiếp với nhau tạo nên một dịch vụ ứng dụng. Client có ý nghĩa là một đối tượng yêu cầu sử dụng tài nguyên, Server là đối tượng cung cấp tài nguyên. Client và Server có thể cùng trên một hệ thống máy tính, nhưng trong thực tế thì Server thường được đứng riêng biệt, các Client là các máy tính mạng sử dụng dịch vụ ứng dụng mà server cung cấp. Kiến trúc Client/ Server có thể mô hình hoá như sau: 11 Hình 1.11: Kiến trúc giao tiếp ứng dụng Client/ server
  12. 12. Khi xem xét ứng dụng CSDL dùng mô hình Client/ Server, Client quản lý giao diện người dùng và logic ứng dụng (được hiểu là các thành phần phần mềm xử lý thông tin phía Client). Client nhận các yêu cầu truy vấn dữ liệu từ phía người dùng, kiểm tra cú pháp, và tạo một truy vấn SQL hoặc dạng ngôn ngữ truy vấn khác tương ứng với logic ứng dụng (như XML). Sau đó nó truyền thông điệp đến Server, chờ đợi sự trả lời, xư lý kết quả trả lại cho người dùng. Quá trình bao gồm kiểm tra, toàn vẹn dữ liệu, duy trì System Catalog, và các quá trình truy vấn/cập nhật dữ liệu. Hơn nữa, nó điều khiển đồng bộ, khôi phục dữ liệu. Các thuận lợi của mô hình Client/server như sau: • Cho phép nhiều Client (máy tính) dùng chung CSDL • Tăng khả năng thực thi: Như khi Client và Server được cấu hình trên hai máy tính riêng biệt, khi đó các CPU có thể xử lý các ứng dụng đồng thời • Giá thành phần cứng cho hệ thống giảm, vì chỉ cần tập trung RAM, ổ cứng, CPU cho máy chủ. • Môi trường truyền thông chỉ cần băng thông đủ để truyền tải các yêu cầu truy vấn, và các kết quả phản hồi. • Đảm bảo toàn vẹn dữ liệu, vì khi đó dữ liệu được lưu trữ tại một nơi, trên máy chủ. • Dễ dàng thiết kế theo chuẩn mở. Với kiến trúc Client/ server được mở rộng, khi đó có thể xử lý phân tán dữ liệu, hoặc phân lớp kiến trúc theo mô hình hai lớp: Kiến trúc client/server phân tách các chức năng thành phần của một ‘fat’ Client thành hai phần. Trong kiến trúc 3 lớp, ‘thin’ Client chỉ quản lý giao diện người dùng và lớp trung gian xử lý logic ứng dụng, lớp thứ ba vẫn là Server quản lý CSDL. Kiến trúc ba lớp đã được nghiên cứu ứng dụng trong nhiều môi trường, như Internet và các Intranet, các Client được gọi là các trình duyệt Web. 12
  13. 13. Kiến trúc hai lớp Client-Server truyền thống: Các ứng dụng doanh nghiệp dùng mô hình dữ liệu tập trung gồm có bốn thành phần chính như sau: CSDL, logic xử lý các giao dịch, logic ứng dụng, và giao diện người dùng.VớI kiến trúc xử lý tập trung sẽ kết hợp 4 thành phần trên vào cùng một Mainframe. Để xây dựng được mô hình doanh nghiệp không tập trung đáp ứng nhu cầu gia tăng của dịch vụ, kiến trúc Client-server được ứng dụng. Kiến trúc Client-Server truyền thống sẽ phân lập các chức năng công việc. Client (thuộc tier 1) ứng với công việc hiển thị dữ liệu người dùng, Server (tier 2) ứng với việc cung cấp các dịch vụ dữ liệu cho Client. Các dịch vụ hiển thị quản lý các hoạt động giao diện của người dùng, và các logic ứng dụng chính của doanh nghiệp. Các dịch vụ dữ liệu cung cấp logic ứng dụng doanh nghiệp có giới hạn. Điển hình là xác định rằng Client không thể thực hiện bởi vì sự thiếu hụt thông tin, và truy cập đến các dữ liệu cần có tuỳ thuộc vào vị trí của nó. dữ liệu có thể là của DBMS quan hệ, DBMS hướng đối tượng, hoặc các hệ thống quản lý truy cập dữ liệu bất kỳ khác. Điển hình là, Client có thể chạy trên desktop của người dùng và giao tiếp với CSDL tập trung thông qua môi trường mạng. 13 Hình 1.12: mô hình 2 lớp của kiến trúc phần mềm giao tiếp CSDL
  14. 14. Kiến trúc ba lớp: Nhu cầu nâng cấp mở rộng hệ thống đối với sự phát triển của doanh nghiệp thực sự cần thiết khi mà kiến trúc hai lớp gặp phải những hạn chế. • Một ‘fat’ client cần có tài nguyên phù hợp để xử lý công việc trên máy tính Client. Nó cần có ổ cứng, RAM, CPU. • Sự phức tạp đối với yêu cầu quản trị trên máy tính Client. • Vào khoảng 1995, kiến trúc mới được đề xuất thay thế cho kiến trúc Client- server, là kiến trúc ba lớp. Kiến trúc này cho thấy các ứng dụng chạy độc lập tương đối với kiến trúc phần cứng của các máy tính trên mạng. • Lớp giao diện người dùng, chạy trên máy tính của người dùng cuối (Client) • Lớp xử lý dữ liệu và xử lý các đối tượng ứng dụng thành phần (business logic), lớp này được gọi là lớp giữa chạy trên nền server và được gọi là application server • Một DBMS, lưu trữ dữ liệu phục vụ cho các yêu cầu của lớp trung gian, lớp này có thể chạy trên Server riêng biệt được gọi là Database Server. Như được mô tả hình trên, Client chỉ còn một chức năng là xử lý giao diện người dùng, và có thể thực hiện một số các đối tượng đơn giản của ứng dụng, như 14 Hình 1.13 : Mô hình 3 lớp của kiến trúc phần mềm giao tiếp CSDL
  15. 15. xác nhận đầu vào, và nó gọi là Thin Client. Xử lý đối tượng lõi của ứng dụng đặt trên một lớp riêng biệt, kết nối vật lý đến Client và Database Server qua mạng Lan hoặc qua mạng diện rộng. Ứng dụng Server được thiết kế để cùng lúc xử lý cho nhiều Client truy nhập. Mô hình 3 lớp có nhiều ưu điểm hơn hai lớp ở chỗ: • Thin Client cần ít tài nguyên phần cứng • Tập trung xử lý các đối tượng ứng dụng phần mềm trên một Server. Như vậy dễ quản lý, bảo trì. • Các modul chương trình được thay đổi trên từng lớp, hạn chế ảnh hưởng đến ứng dụng. • Phân tách lõi ứng dụng phần mềm với giao tiếp CSDL giúp cho dễ dàng hơn khi thực hiện cân bằng tải. Ứng dụng của mô hình ba lớp nổi bật ở chỗ nó được ứng dụng trong các dịch vụ WEB, Trình duyệt Web là Thin Client, Web Server là Application Server. Kiến trúc ba lớp có thể mở rộng đến kiến trúc ‘n’ lớp. Như vậy, các lớp khác thêm vào làm cho hệ thống dễ nâng cấp, tuỳ biến tốt hơn. Ví dụ, lớp trung gian của kiến trúc 3 lớp có thể phân thành hai lớp con, một lớp là Web Server và một lớp là Application Server. CHƯƠNG 2 PHƯƠNG PHÁP PHÁT TRIỂN MỞ RỘNG MẠNG 2.1. Tổng quan kiến trúc mạng WAN WAN là một mạng truyền dữ liệu trên một khu vực địa lý rộng lớn và thường sử dụng các phương tiện truyền dẫn của các nhà cung cấp như các công ty điện thọai để truyền dẫn dịch vụ. Công nghệ hạ tầng cơ sở WAN tập trung ở 3 lớp dưới của mô hình OSI : lớp vật lý, lớp LKDL và lớp mạng. 15
  16. 16. Kiến trúc mạng WAN bao gồm các kết nối gồm có điểm - điểm, chuyển mạch - circuit switching , chuyển mạch gói - packet switching, mạch ảo, và các thiết bị được sử dụng trong mạng WAN. Kết nối điểm - điểm: Kết nối điểm - điểm cung cấp cho khách hàng một đường kết nối WAN tới một mạng ở xa thông qua mạng của nhà cung cấp dịch vụ. Kết nối điểm - điểm còn được gọi là kênh thuê riêng ( leased line ) bởi vì nó thiết lập một đường kết nối cố định cho khách hàng tới các mạng ở xa thông qua các phương tiện của nhà cung cấp dịch vụ. Các công ty cung cấp dịch vụ dự trữ sẵn các 16 Hình 2.1: So sánh chuẩn OSI với chuẩn WAN Hình 2.2: Mô hình kết nối điểm -điểm (point –to-point)
  17. 17. đường kết nối sử dụng cho mục đích riêng của khách hàng. Những đường kêt nối này phù hợp với hai phương thức truyền dữ liệu : • Truyền bó dữ liệu (Datagram transmissions): Truyền dữ liệu mà các khung dữ liệu được đánh địa chỉ riêng biệt. • Truyền dòng dữ liệu (Data-stream transmissions): Truyền một dòng dữ liệu mà địa chỉ chỉ được kiểm tra một lần. Chuyển mạch kênh (Circuit switching): Chuyển mạch kênh là một phương pháp sử dụng các chuyển mạch vật lý để thiết lập, bảo trì và kết thúc một phiên làm việc thông qua mạng của nhà cung cấp dịch vụ của một kết nối WAN. Chuyển mạch kênh phù hợp với hai phương thức truyền dữ liệu : Truyền bó dữ liệu và Truyền dòng dữ liệu, được sử dụng rộng rãi trong các công ty điện thọai, chuyển mạch kênh hoạt động tương tự một cuộc gọi điện thoại thông thường. Chuyển mạch gói - Packet Switching: 17 Hình 2.3: Mô phỏng chuyển mạch mạng WAN Hình 2.4: Chuyển mạch gói dữ liệu qua mạng của nhà cung cấp dịch vụ
  18. 18. Chuyển mạch gói là một phương pháp chuyển mạch WAN, trong đó các thiết bị mạng chia sẻ một kết nối điểm - điểm để truyền một gói dữ liệu từ nơi gửi đến nơi nhận thông qua mạng của nhà cung cấp dịch vụ. Các kỹ thuật ghép kênh được sử dụng để cho phép các hiết bị chia sẻ kết nối . ATM ( Asynchronous Transfer Mode : Truyền không đồng bộ.), Frame relay, SMDS- Switched Multimegabit Data Service, X.25 là các ví dụ của công nghệ chuyển mạch gói . Mạch ảo - Virtual Circuits: Mạch ảo là một mạch logic được tạo nên để đảm bảo độ tin cậy của việc truyền thông giữa hai thiết bị mạng. Mạch ảo có 2 loại :Mạch ảo chuyển mạch ( Switched virtual circuit - SVC ) và mạch ảo cố định ( permanent virtual circuit - PVC). 2.2. Công nghệ xử lý truyền dẫn trên mạng diện rộng Các giao thức nối tiếp đồng bộ (Synchronous Serial Protocols): Các giao thức nối tiếp đồng bộ sử dụng tín hiệu đồng hồ chính xác giữa DCE và DTE để truyền dữ liệu theo thời gian. Trong truyền thông đồng bộ, một số lượng lớn khung dữ liệu được gửi đi khi đồng hồ đồng bộ và tốc độ truyền dữ liệu được xác lập từ trước. Đây là phương pháp truyền thông sử dụng băng thông rất hiệu quả, và các giao thức truyền tín hiệu đồng bộ bao gồm: V.35, X.21, RS-449, RS-530, RS -232 (EAI/TIA). Mặc dù mỗi giao thức “giao diện” sử dụng một loại bộ kết nối riêng, phần lớn các bộ kết nối có thể được sử dụng cho nhiều giao diện khác nhau. Thông thường, loại phần cứng bạn có sẽ quyết định bộ kết nối nào được sử dụng. Trong thực tế, hãy kiểm tra số đầu cắm trong bộ kết nối để chắc chắn nó phù hợp với cổng nối tiếp 18
  19. 19. của thiết bị. Những loại bộ kết nối phổ biến gồm (các số thể hiện số chân cắm trong bộ kết nối): DB60, DB15, DB25, DB9. Các giao thức không đồng bộ (Asynchronous Protocol): Các giao thức truyền không đồng bộ sẽ đưa thêm các bít bắt đầu (start bit) và bit kết thúc (stop bit) vào mỗi gói tin để truyền tin, thay vì bắt buộc thiết bị gửi và thiết bị nhận sử dụng thoả thuận trước về nhịp đồng hồ. Truyền tín hiệu không đồng bộ thường được sử dụng giữa 2 modem. Tuy nhiên, đây là phương pháp truyền có phụ phí vì các bit phụ thêm sẽ làm chậm tốc độ truyền dữ liệu. Các giao thức không đồng bộ được sử dụng để thiết lập chuẩn cho truyền thông của các modem tương tự. Một modem có thể hỗ trợ một hoặc nhiều chuẩn truyền thông không đồng bộ khác nhau. Các giao thức truyền thông không đồng bộ bao gồm: V92, V.45, V.35. V.34. V.32, V.32 bis, V.32 turbo.V.22. Truyền tín hiệu không đồng bộ sử dụng đường dây điện thoại và jack cắm chuẩn. Các bộ kết nối có thể là: RJ-11 (2dây), RJ-45 (4 dây), RJ-48. Các phương pháp đóng gói dữ liệu trong mạng WAN: Các giao thức lớp vật lý của mạng WAN sẽ xác định phần cứng và phương pháp truyền tín hiệu bit. Các giao thức thuộc lớp liên kết dữ liệu sẽ kiểm soát những chức năng dưới đây: • Kiểm tra và sửa lỗi. • Thiết lập liên kết. • Tổ chức các trường (field) của khung dữ liệu. • Điều khiển luồng điểm tới điểm (point-to-point flow control). 19 Hình 2.5: Mô phỏng Truyền dữ liệu đồng bộ Truyền dữ liệu không đồng bộ
  20. 20. Các giao thức lớp liên kết vật lý còn xác định phương pháp đóng gói dữ liệu hoặc định dạng của khung dữ liệu. Phương pháp đóng gói dữ liệu trong mạng WAN thường được gọi là HDLC (high-level data link control - điều khiển liên kết dữ liệu mức cao). Thuật ngữ này vừa là tên chung cho các giao thức Liên kết Dữ liệu vừa là tên của một giao thức trong bộ giao thức và dịch vụ mạng WAN. Tuỳ thuộc vào dịch vụ mạng WAN và phương pháp kết nối, bạn có thể sử dụng một trong những phương pháp đóng gói dữ liệu sau đây: • Cisco HDLC cho kết nối đồng bộ, điểm tới điểm với các bộ định tuyến Cisco khác. • LAPB cho mạng X.25. • LAPD, sử dụng kết hợp với các giao thức khác cho các kênh B trong mạng ISDN. • Cisco/IETF cho các mạng Frame Relay. Hình trên cho chúng ta thấy những phương pháp đóng gói dữ liệu thông thường nhất và cách thức sử dụng cho các loại kết nối mạng WAN điển hình. Như có thể thấy trong hình vẽ, PPP là phương pháp linh hoạt có thể sử dụng cho nhiều loại kết nối mạng WAN . Nói chung, sử dụng phương pháp nào sẽ phụ thuộc vào loại của dịch vụ mạng WAN, chẳng hạn Frame Relay hay ISDN, và cả phương pháp đóng gói dữ liệu của nhà cung cấp dịch vụ mạng. 20 Hình 2.6: Mô phỏng các kết nối WAN điển hình
  21. 21. 2.3. Thiết bị tích hợp mạng diện rộng a. Modem số: Modem số khác với các loại modem tương tự (chuẩn V90, V92) bởi khả năng xử lý số, tốc độ xử lý tương thích với các hệ thống phân cấp số chuẩn Châu âu, chuẩn Châu á b. CSU/DSU (Chanel Service Unit/Data Service Unit): Đây là thiết bị kết nối các mạng với đường truyền tốc độ cao như T1. Thiết bị này định dạng các dòng dữ liệu thành các khuôn dạng khung (framing) và xác định mã đường truyền cho các đường truyền số. Một số CSU/DSU còn là các bộ dồn kênh, hoặc được tích hợp sẵn trong các bộ định tuyến. CSU/DSU khác hơn so với modem số. Modem chuyển dữ liệu từ dạng tương tự sang dạng số và ngược lại trong khi đó CSU/DSU chỉ định dạng lại các dữ liệu từ dạng số đã có. • CSU nhận tín hiệu và truyền tín hiệu nhận được tới đường dây mạng WAN, phản xạ tín hiệu trả lời khi các công ty điện thoại cần kiểm tra thiết bị và ngăn nhiễu điện từ. • DSU tương tự như một modem giữa DTE và CSU. Nó chuyển các khung dữ liệu từ định dạng sử dụng trong mạng LAN thành định dạng sử dụng trên đường T-1 và ngược lại. Nó còn quản lý đường dây, lỗi phân chia thời gian và tái tạo tín hiệu. c. Thiết bị chuyển mạch: Công nghệ ngày nay có thể hiểu khái niệm về switch rộng hơn, nó không chỉ hạn chế ở tầng 2 của OSI mà nó được coi là một thiết bị chuyển mạch gói tin, chuyển mạch kênh thông tin, hoặc switch nhiều lớp. 21 Hình 2.7: kết nối mạng dùng Modem số
  22. 22. d.Router: Là thiết bị được dùng khi thực hiện kết nối hai loại mạng khác nhau. Chức năng của nó là định tuyến (dẫn đường “routing”) cho gói tin có thể đi từ mạng này sang mạng kia. Các gói tin khi truyền trên mạng cần biết được đường để đến đích (chuyển từ mạng này đến mạng khác), thông tin lưu trữ đường đi của gói tin được lưu trữ trong bảng định tuyến của router với các giá trị trong bảng routing table (bảng chứa đường dẫn đến các mạng). e. Multiplexer (Bộ dồn kênh): Như hình vẽ dưới đây, bộ dồn kênh hoạt động tại hai đầu của đường truyền. 22 Hình 2.8: Mô phỏng mạng chuyển mạch WAN Hình 2.9: Mô hình kết nối Router trong WAN Hình 2.10: Mô tả kết nối bộ dồn kênh trong WAN
  23. 23. Tại đầu gửi tín hiệu, bộ dồn kênh là thiết bị kết hợp tín hiệu từ hai hay nhiều thiết bị khác để truyền trên một đường truyền. Tại đầu nhận, một bộ dồn kênh với chức năng giải kênh sẽ tách tín hiệu kết hợp thành tín hiệu riêng rẽ như ban đầu. Nhiều bộ định tuyến trên mạng WAN có tích hợp sẵn các bộ dồn kênh. Bộ dồn kênh thống kê (Statistical multiplexer): Sử dụng các kênh ảo riêng biệt trên cùng một đường truyền vật lý để gửi đồng thời những tín hiệu khác nhau. (các tín hiệu được chuyển cùng một lúc trên đường truyền). Bộ dồn kênh phân chia theo thời gian (Time-division multiplexer): Gửi các gói dữ liệu của các tín hiệu khác nhau ở những khoảng thời gian khác nhau. Thay vì chia đường truyền vật lý thành các kênh, nó cho phép các dòng dữ liệu sử dụng đường truyền ở những “khe” thời gian xác định (các tín hiệu lần lượt được sử dụng đường truyền trong những khoảng thời gian ngắn). f. Access Server: Access Server có chức năng quản lý các luồng thông tin truy nhập trên WAN vào trong mạng LAN. 2.4. Phương tiện truyền dẫn trong mạng diện rộng. 2.4.1. Công nghệ đường dây thuê bao số xDSL Đường dây thuê bao số (DSL) là công nghệ làm tăng khả năng truyền dẫn thông tin trên đường điện thoại thông thường (các tổng đài PSTN địa phương) của các gia đình, văn phòng. Tốc độ đường DSL phụ thuộc vào khoảng cách giữa khách hàng và tổng đài cung cấp số cho thuê bao. Trên đường DSL có thể truyền đồng thời các tín hiệu thoại, hình ảnh, dữ liệu. DSL có hai dạng là DSL đối xứng, và DSL không đối xứng. DSL không đối xứng (ADSL) dùng để làm đường kết 23 Hình 2.11: Mô tả kết nối Access Server trong WAN
  24. 24. nối truy cập Internet, nó có thể cấp cho băng thông đường xuống từ 1.5Mbps – 8Mbps, băng thông đường lên từ 64Kbps-640Kbps. DSL đối xứng (SDSL, HDSL…) được xây dựng để phục vụ cho mạng truyền dữ liệu. Công nghệ ADSL:(Asymmetric Digital Subscriber Line) ASDL là một chuẩn được Viện tiêu chuẩn quốc gia Hoa Kỳ thông qua năm 1993 và gần đây đã được Liên minh viễn thông quốc tế ITU công nhận và phát triển. ADSL có thể coi là công nghệ ghép kênh theo tần số (FDM) ghép các kênh truyền logic trên đường truyền vật lý. Những kênh truyền logic được thiết lập bởi hệ thống modem số ở hai đầu dây điện thoại. Trên dải thông tần quy định cho đường lên, đường xuống, tốc độ đường xuống có ưu điểm là cao hơn (1,544 Mbps đến 8 Mbps), trong khi đường lên đạt tốc độ 64kbps đến 640kbps. 24 Hình 2.12: Cấu trúc chung của mạng cung cấp dịch vụ băng rộng Hình 2.13: Sử dụng băng tần của ADSL
  25. 25. Kỹ thuật xử lý băng thông ADSL: Băng thông lớn nhất được hỗ trợ trên cặp dây dẫn dùng cáp đồng là 1MHz, nó được chia làm ba phần riêng biệt: • Băng thông cho tín hiệu thoại thông thường • Kênh đường xuống phần tốc độ bit cao • Kênh đường lên tốc độ bit thấp Phương pháp xử lý ghép kênh như sau: Trên dải thông tần, phần băng tần cho tín hiệu thoại được giữ nguyên, Các phần băng tần xử lý cho đường uplink/downlink được phân chia thành các dải tần nhỏ hơn, mỗi dải thông tần nhỏ do một cặp modem ở hai đầu ADSL xử lý, sao cho thông tin có thể được mang trên dải thông tần đó. Thông tin sẽ được ghép lại bởi một hệ thống các modem bên trong thiết bị ADSL. Như vậy, chức năng ghép kênh theo tần số sẽ tạo được băng thông rộng khi ghép các băng thông con lại với nhau. 2.4.2. Công nghệ ISDN. Dịch vụ ISDN (Intergrated Services Digital network) là mạng số tích hợp đa dịch vụ cho phép tiếng nói, văn bản, hình ảnh và video truyền đồng thời qua đôi dây điện thoại thường. ISDN có thể thực hiện nhiều kết nối trên đôi dây này tại cùng một thời điểm với tốc độ cao. Các ứng dụng bao gồm: Voice, Fax, Data, và email đồng thời; hội nghị truyền hình giá thấp; quảng bá từ xa và truyền audio chất lượng cao. Ứng dụng phổ biến nhất của ISDN là kết nối quay số truy cập Internet tốc độ cao và dịch vụ kết nối LAN-LAN giữa hai văn phòng cách xa nhau. ISDN cũng được sử dụng rộng rãi trong dịch vụ video như điện thoại thấy hình: cho phép truyền đồng thời hình ảnh và âm thanh giữa hai điểm, nhờ vậy hai bên có thể cùng lúc đàm thoại và thấy hình ảnh của nhau. Ngoài ra truyền fax qua ISDN sẽ đạt tốc độ và chất lượng cao. Kênh truyền số ISDN có các cấp bậc khác nhau: 2.4.3. Frame relay. Frame Relay là dịch vụ nối mạng dữ liệu theo phương thức chuyển mạch gói, hoạt động ở mức liên kết (link level) và rất thích hợp với truyền số liệu dung lượng lớn. Về mặt cấu trúc, Frame Relay đóng gói dữ liệu và chuyển đi theo cùng cách thức được sử dụng bởi dịch vụ X25. Khác biệt là X25 được cài đặt ở 25
  26. 26. mức 2 (mức vật lý) và mức 3 (mức mạng) trong mô hình OSI (Open System Interconnection), trong khi Frame Relay chỉ đơn giản là một giao thức ở mức 2, bỏ qua các tiện ích sửa lỗi trong cấu trúc khung, điều khiển luồng thông tin (flow control). Khung có lỗi sẽ bị hủy bỏ chứ không sửa chữa, nhờ vậy thời gian xử lý tại bộ chuyển mach giảm, nên Frame Relay dạt mức thông lượng cao hơn cả mức cao nhất của X25. Frame Relay, cũng như X25, tiết kiệm đáng kể so với đường thuê riêng (private linh) nhờ tính năng dồn kênh cho phép thiết lập nhiều kết nối (hoặc cuộc thoại) trên cùng một đường dây vật lý. Trên đường vật lý kết nối duy nhất, Frame Relay hỗ trợ nhiều ứng dụng khác nhau của khách hàng như: TCP/IP, NetBIOS, SNA..., cho cả các ứng dụng thoại. Nhờ vậy tiết kiệm chi phí băng thông, đường dây cũng như thiết bị truyền dẫn và thiết bị kết nối. 2.4.4. Công nghệ ATM: Chế độ truyền không đồng bộ (Asynchoronous Trangfer Mode - ATM). Là một chuẩn của ITU-T dùng chuyển tiếp tế bào (là những gói tin kích thước nhỏ 53 byte) sử dụng cho nhiều loại dịch vụ như tiếng nói, hình ảnh, dữ liệu.. đáp ứng được thời gian thực. Các thiết bị ATM:ATM là công nghệ dồn kênh và chuyển mạch tế bào, nó là tổng hợp các ưu điểm của chuyển mạch kênh (đảm bảo dung lượng và trễ truyền cố định) với ưu điểm của chuyển mạch gói (xử lý mềm dẻo lưu lượng hay gián đoạn). ATM cũng cung cấp dải thông biến đổi từ vài Megabit/giây đến nhiều Gigabit/giây. ATM là công nghệ không đồng bộ có nhiều ưu điểm hơn so với các công nghệ như truyền đồng bộ, ghép kênh theo thời gian (TDM). Trong ghép kênh phân chia theo thời gian thiết bị tham gia truyền thông được gán cố định cho một khe thời gian. Đối với ATM, khe thời gian được xử lý mềm dẻo và có thể giải phóng ngay sau khi kết thúc phiên truyền thông. 26 Hình 2.14: Mô tả kiến trúc mạng ATM
  27. 27. Một mạng ATM được tạo nên bởi một chuyển mạch ATM và các điểm cuối ATM. Chuyển mạch ATM tiếp nhận các tế bào vào từ một điểm cuối hoặc một chuyển mạch ATM khác. Nó đọc và cập nhật thông tin trong phần mào đầu “header” của tế bào và nhanh chóng chuyển tiếp tế bào đó đến đích. Một điểm cuối ATM (hoặc là hệ thống cuối) có chứa một bộ tiếp hơp giao diện mạng ATM, và có thể là trạm làm việc, hay bộ chọn đường… Các dịch vụ ATM: Có ba kiểu dịch vụ ATM là: loại kênh ảo cố định (PVC, Permanent Virtual Chanel), kênh ảo chuyển mạch (SVC, Switching Virtual Chanel), và dịch vụ không kết nối. PVC cho phép kết nối trực tiếp giữa các vị trí tương tự với đường thuê bao riêng, SVC được tạo ra và duy trì trong quá trình truyền dữ liệu, huỷ kết nối sau khi hoàn thành quá trình truyền tin. ATM dùng hai kiểu kết nối: Tuyến ảo, được xác định bằng số hiệu tuyến ảo (VPI); kênh ảo (VC), được xác định bởi tổ hợp tuyến ảo và số hiệu kênh ảo. 2.4.5. Đường thuê bao kênh riêng(leased line): Cách kết nối phổ biến nhất hiện nay giữa hai điểm có khoảng cách xa vẫn là Leased Line (tạm gọi là đường thuê bao). Leased Line là các mạch số (digital circuit) kết nối liên tục, được các công ty viễn thông cho thuê, nên có tên là Leased Line. Leased Line được phân làm hai lớp chính là Tx (theo chuẩn của Mỹ và Canada) và Ex (theo chuẩn của châu Ấu, Nam Mỹ và Mehicô), x là mã số chỉ băng thông (bandwidth) của kết nối. Thông số kỹ thuật của các đường truyền Tx và Ex được liệt kê trong bảng dưới. 27 Hình 2.15: Kênh ảo (VC) và tuyến ảo (VP) trong ATM Bảng2.2: Phân cấp băng thông đường leased line
  28. 28. CHƯƠNG 3 AN NINH MẠNG 3.1. Tổng quan an ninh mạng. Khai thác hệ thống thông tin hiệu quả là nhu cầu thiết thực nhất đối với một doanh nghiệp, tính hiệu quả của khai thác thông tin phụ thuộc rất nhiều vào chất lượng thông tin nhận được. Môi trường thông tin doanh nghiệp bên cạnh những mặt lợi ích là những rủi ro gặp phải. Rủi ro có thể bắt nguồn từ nhiều nguyên nhân khác nhau như: Sự rò rỉ thông tin quan trọng ra bên ngoài, sự mất mát & sai khác thông tin quan trọng gây ra bởi tác động của con người. Để ngăn chặn những rủi ro không đáng có cần có những biện pháp để bảo mật, an ninh của doanh nghiệp chống lại những sự tấn công can thiệp từ bên ngoài, những hành vi tác động ở bên trong mạng. Yêu cầu cấp thiết của an toàn bảo mật thông tin ngày nay, đặc biệt trong môi trường mạng Internet là nhiệm vụ chung của các quốc gia, các tổ chức tham gia trao đổi thông tin trên môi trường mạng. Các tiêu chuẩn an toàn bảo mật được phát triển, ta có thể biết thông qua chuẩn ISO/IEC 17799, RFC 2401, 2402… 28
  29. 29. • Chiến lược doanh nghiệp: (Xây dựng mô hình quản lý các nguy cơ an ninh thông tin) o Bảo vệ dữ liệu doanh nghiệp, tài sản doanh nghiệp. o Xây dựng, và bảo vệ các giao dịch tin cậy với các khách hàng, các đối tác. o Hoạch định các nguy cơ bảo mật o Xây dựng hệ thống an ninh thông tin cho doanh nghiệp • Quy trình hoạt động doanh nghiệp: (xây dựng những giải pháp an toàn thông tin) o An ninh thông tin doanh nghiệp hoạt động liên tục o Giảm thiểu chi phí quản lý và quản trị an ninh thông tin. o Duy trì chính sách bảo mật thông tin riêng cho từng ứng dụng cụ thể • Ứng dụng doanh nghiệp: (bảo vệ an toàn các ứng dụng doanh nghiệp) o Quản lý định danh người dùng truy cập, khai thác mạng doanh nghiệp o Tăng cường kiểm tra, giám sát người dùng mạng o Thực hiện các giải pháp ứng với các mức an ninh thông tin tương xứng o Chủ động triển khai các giải pháp an ninh thông tin ứng dụng công nghệ mới • Hạ tầng hệ thống thông tin: (an toàn hạ tầng cơ sở HTTT) 29 Chiến lược doanh nghiệp Quy trình hoạt động doanh nghiệp Ứng dụng doanh nghiệp Hạ tầng cơ sở hệ thống thông tin Hình 3.1: Mô hình kiến trúc an ninh thông tin của doanh nghiệp
  30. 30. o Phát hiện và quản lý xâm nhập trái phép o Sử dụng các phương pháp mới, công nghệ mới o Chọn lựa các thành phần xây dựng hệ thống an ninh thông tin o Quản lý an ninh hạ tầng cơ sở HTTT 3.2. An ninh trên hạ tầng cơ sở 3.2.1. Dùng PKI (Public Key Infrastructure). Cấu trúc hạ tầng mã khoá công cộng (PKI - Public Key Infrastructure - hay còn gọi là Hạ tầng mã khoá bảo mật công cộng hoặc Hạ tầng mã khoá công khai) cùng các tiêu chuẩn và các công nghệ ứng dụng của nó có thể được coi là một giải pháp tổng hợp và độc lập. PKI bản chất là một hệ thống công nghệ vừa mang tính tiêu chuẩn, vừa mang tính ứng dụng được sử dụng để khởi tạo, lưu trữ và quản lý các chứng thực điện tử (digital certificate) cũng như các mã khoá công cộng và cá nhân. Sáng kiến PKI ra đời năm 1995, khi mà các tổ chức công nghiệp và các chính phủ xây dựng các tiêu chuẩn chung dựa trên phương pháp mã hoá để hỗ trợ một hạ tầng bảo mật trên mạng Internet. Tại thời điểm đó, mục tiêu được đặt ra là xây dựng một bộ tiêu chuẩn bảo mật tổng hợp cùng các công cụ và lý thuyết cho phép người sử dụng cũng như các tổ chức (doanh nghiệp hoặc phi lợi nhuận) có thể tạo lập, lưu trữ và trao đổi các thông tin một cách an toàn trong phạm vi cá nhân và công cộng. Giờ đây, những nỗ lực hoàn thiện PKI vẫn đang được đầu tư và thúc đẩy. Và để hiện thực hoá ý tưởng tuyệt vời này, các tiêu chuẩn cần phải được nghiên cứu phát triển ở các mức độ khác nhau bao gồm: mã hoá, truyền thông và liên kết, xác thực, cấp phép và quản lý. Nhiều chuẩn bảo mật trên mạng Internet, chẳng hạn Secure Sockets Layer/Transport Layer Security (SSL/TLS) và Virtual Private Network (VPN), chính là kết quả của sáng kiến PKI. Một minh chứng là thuật toán mã hoá bất đối xứng được xây dựng dựa trên phương pháp mã hoá và giải mã thông tin sử dụng hai loại mã khoá: công cộng và cá nhân. Trong trường hợp này, một người sử dụng có thể mã hoá tài liệu của mình với mã khoá bí mật và sau đó giải mã thông tin đó bằng chìa khoá công cộng. Nếu một văn bản có chứa các dữ liệu nhạy cảm và cần phải được truyền một cách bảo mật tới duy 30
  31. 31. nhất một cá nhân, thông thường người gửi mã hoá tài liệu đó bằng mã khoá riêng và người nhận sẽ giải mã sử dụng mã khoá công khai của người gửi. Mã khoá công khai này có thể được gửi kèm theo tài liệu này hoặc có thể được gửi cho người nhận trước đó. Bởi sự tồn tại của khá nhiều thuật toán bất đối xứng, các chuẩn công cộng tồn tại và thường xuyên được nghiên cứu cải tiến để phù hợp các thuật toán đó. Có một minh chứng khá đơn giản: Nếu những người sử dụng làm việc ở các tổ chức khác nhau và chỉ có thể truyền thông với nhau qua một mạng công cộng, chẳng hạn Internet, như vậy sẽ cần phải xây dựng các tiêu chuẩn ở từng bước khác nhau. Thứ nhất, cần phải xác định phương thức các chứng thực được phát hành. Một người nhận được xác thực cần phải chấp nhận tính hợp lệ của chứng thực đó và tin tưởng bộ phận thẩm quyền phát hành chứng thực đó. Thứ hai, các chuẩn phải thiết lập phương thức các chứng thực được truyền thông giữa các chủ thể (đơn vị hoặc bộ phận) khác nhau. Email và các dạng truyền thông khác đều dựa trên các tiêu chuẩn công nghệ và thông thường các chuẩn này không nhất thiết phải hỗ trợ PKI. Để hiện thực hoá kịch bản như mô tả ở trên, ta cần phải có các quy tắc và tiêu chuẩn hỗ trợ việc các chứng thực được phát hành bởi các chủ thể có thẩm quyền khác nhau có thể trao đổi và giao dịch giữa các tổ chức khác nhau. Thứ ba, các tiêu chuẩn phải định nghĩa rõ được các thuật toán có thể và phải bao gồm. Cuối cùng, các tiêu chuẩn phải chỉ ra được cách thức duy trì các hạ tầng cấu trúc truyền thông. Bên cạnh đó, chúng cũng phải xây dựng được danh sách người dùng được cấp chứng thực và danh sách những chứng thực bị huỷ bỏ. Hãy quyết định cách thức các thẩm quyền cấp chứng thực khác nhau sẽ được truyền thông với nhau và phương pháp tái lập lại một chứng thực trong trường hợp xảy ra mất mát. Cấu trúc PKI trong các hạ tầng HTTT được sử dụng trong các ứng dụng mạng. Như khi có website sử dụng SSL/TLS, như khi kết nối và làm việc trong mạng nội bộ sử dụng chuẩn VPN và Point To Point Tunneling Protocol (PPTP), hoặc như khi đang dùng các tính năng mã hoá của IPSec. PKI có thể đảm bảo một cơ chế bảo mật và tổng hợp để lưu trữ và chia sẻ các tài sản trí tuệ của tổ chức doanh nghiệp, cả trong và ngoài phạm vi tổ chức. 31
  32. 32. Tuy nhiên, chi phí và/hoặc sự phức tạp của nó có thể gây ra những rào cản nhất định đối với khả năng ứng dụng. Những vấn đề phức tạp có thể được hiểu như sau: Đa phần các giao dịch truyền thông của doanh nghiệp với khách hàng, chính quyền và các đối tác khác đều được diễn ra một cách điện tử. Khi ta nhận thức được tất cả các kênh khác nhau trong các giao dịch đó, ta sẽ là một trong số ít các chuyên gia IT giỏi nhất. Một khi ta mở cánh cửa đối với email, phải thừa nhận rằng mọi thứ có thể gửi đi sẽ được gửi đi, không kể đó là giữa các đối tác, trong nội bộ công ty hay thậm chí vượt qua “ranh giới” công ty. Một ví dụ trong số đó là một người nhận "bên ngoài" có tên trong dòng Cc có thể nhận được một tài liệu mật và gửi nó trên các kênh không an toàn khác. Khi có ý định giải quyết vấn đề này hoặc các vấn đề khác tương tự, một công việc quan trọng là cần phải quyết định về mức độ mở rộng của “biên giới" bảo mật, những tài sản " bạn phải bảo vệ, và mức độ bất hợp lý bạn sẽ phải áp dụng đối với những người dùng”. Ngày nay, một giải pháp an ninh toàn diện cạnh tranh với PKI thực sự chưa được tìm thấy. Từ góc độ giải pháp công nghệ, điều này làm cho việc chọn lựa trở nên đơn giản hơn. Nhiều hãng khác cũng cung cấp các giải pháp PKI, song nếu doanh nghiệp đã từng được đầu tư cho các công nghệ của Microsoft, thì có thể sẽ tận dụng được những lợi thế mà tập đoàn này hỗ trợ. Với những cải tiến lớn với PKI trong Windows XP Professional (dành cho máy trạm) và Windows Server (dành cho máy chủ) Microsoft đưa ra giải pháp có thể giải quyết được các vấn đề chính liên quan tới một chính sách bảo mật PKI. Những tính năng này, cùng khả năng quản lý và liên kết PKI, đã được tích hợp vào hệ điều hành và các ứng dụng có liên quan. PKI cho phép tạo ra một quan hệ tin cậy giữa các chứng thực của các tổ chức khác nhau và giải pháp PKI của Windows Server 2003 cũng bao gồm tính năng này. Nó giúp các doanh nghiệp bắt đầu với một phạm vi quan hệ tin cậy không lớn và cho phép mở rộng phạm vi này trong tương lai. 3.2.2. Dùng RSA Khái niệm RSA: 32
  33. 33. RSA là một hệ thống bảo mật khoá công cộng cho cả hai cơ chế mã hoá và xác thực; nó được phát minh vào năm 1977 bởi Ron Rivest, Adi Shamir, và Leonard Adleman. RSA được ứng dụng trong cả hai lĩnh vực an ninh thông tin là Mã hoá RSA privacy và Xác thực RSA. Mã hoá RSA privacy: Giả định rằng người A muốn gửi cho người B một bản tin m, A tạo một văn bản dạng mã hoá c tạo bởi (c=me mod n), e và n là khoá công cộng của người B. Người A gửi c cho người B. Để giải mã, người B thực hiện m=cd mod n; Mối liên hệ giữa e và d đảm bảo rằng người B khôi phục đúng n. Vì chỉ người B biết d, do vậy chỉ người B có thể giải mã. Xác thực RSA: Giả định người A muốn gửi cho người B bản tin m theo cái cách mà người B được đảm bảo rằng bản tin là tin cậy và được gửi từ người A. người A tạo một dạng chữ ký số hoá s bởi công thức: s=md mod n, d và n là khoá riêng của người A. Người A gửi m và s cho người B. Để xác minh lại chữ ký số, người B dùng công thức m=se mod n dựa trên bản tin m nhận được, e và n là khóa công cộng của người A. Vì thế, mã hoá và xác thực có thể được sử dụng mà không cần phải chia sẻ khoá riêng, mỗi người chỉ dùng khoá công cộng của người khác và khoá riêng của chính mình. Bất kỳ người nào có thể gửi một bản tin đã mã hoá hoặc xác minh lại bản tin đã được xác nhận chữ ký số, bằng cách chỉ dùng khoá chung, nhưng chỉ người nào đó có được khoá riêng đúng thì có thể giải mã hoặc xác thực bản tin. Ứng dụng RSA: Các sản phẩm RSA ngày nay đã trở nên phổ biến trong tất cả các lĩnh vực quan tâm đến giải pháp an ninh thông tin như: RSA securID authentication, Smart Card & USB tokens, Digital Certificate, Quản lý truy nhập Web, RSA Mobile … Công nghệ RSA Mobile: Công nghệ RSA Mobile là một giải pháp xác thực tiên tiến mà bảo vệ truy cập tới các tài nguyên thông tin trên web bằng cách cung cấp giải pháp xác thực hai yếu tố (Two-factor user authentication) thông qua việc sử dụng các thiết bị mobile phones và PDA. Được thiết kế để bảo vệ các ứng dụng B2C và B2B, 33
  34. 34. phần mềm RSA Mobile yêu cầu người dùng định danh chính họ với hai yếu tố riêng biệt của từng người – cái mà họ biết (số PIN – Personal Identification Number) và cái mà họ có (mã truy cập sử dụng một lần được gửi tới mobile phone hoặc PDA của họ) - trước khi họ được cấp quyền tới một trang web được bảo vệ. Với phần mềm RSA Mobile, các doanh nghiệp có thể nhận dạng một cách chắc chắn người dùng và cung cấp các dịch vụ quan trọng một cách riêng tư (confidently), thuận tiện và an toàn cho người dùng ở bất cứ địa điểm nào, tại bất kỳ thời gian nào. Lợi ích của người dùng là từ việc đăng nhập hệ thống đơn giản, loại trừ việc phải ghi nhớ quá nhiều mật khẩu hoặc phải sử dụng nhiều loại card khác nhau. Bảo vệ truy cập tới các ứng dụng web: Công nghệ RSA Mobile cung cấp một cách thuận lợi để bảo vệ các tài nguyên web (web resources) bằng giải pháp xác thực hai yếu tố. Thông qua trình duyệt web (browser), người dùng yêu cầu truy cập tới một tài nguyên web mà được bảo vệ bởi phần mềm RSA Moblie Agent bằng cách gửi tên và số PIN riêng của người dùng, phần mềm RSA Mobile Agent sẽ tạo ra một mã truy cập sử dụng một lần riêng cho mỗi người dùng và gửi nó tới mobile phone hoặc PDA của họ dưới dạng SMS hoặc tin 34 Hình 3.2 : Mô phỏng an ninh mạng dùng công nghệ RSA Mobile
  35. 35. nhắn. Người dùng nhập mã truy cập này vào trình duyệt để hoàn tất quá trình xác thực. Server RSA Mobile Authentication quản lý quá trình xác thực. Khi người dùng gửi thông tin xác thực tới, server này xác định thông tin có hợp lệ hay không. Giải pháp bảo mật được công nhận: Công nghệ RSA Mobile được xây dựng trên kỹ thuật đồng bộ thời gian (time-synchronous) và thuật toán (algorithms) đã được công nhận và đã được sử dụng thành công trong nhiều năm bởi hàng triệu người dùng. Mã truy cập RSA Mobile được gửi tới mobile phone hoặc PDA của người dùng bằng cách sử dụng các thuật toán mã hoá như với mã hoá đường thoại. Phần mềm RSA Mobile còn tiến hành thêm một bước là yêu cầu người dùng nhập mã truy cập của họ vào đúng trình duyệt web mà họ đã dùng để đưa ra yêu cầu truy cập, điều này ngăn chặn một ai đó đánh cắp được mã truy cập có thể sử dụng nó để truy cập bất hợp pháp trên một máy tính khác. Hỗ trợ nhiều phương thức xác thực : Công nghệ RSA Mobile cung cấp cho người quản trị khả năng chuyển đổi phương thức xác thực cho các tài nguyên khác nhau. Ví dụ, một vài tài nguyên có thể sử dụng các phương thức xác thực như sử dụng RSA token hoặc mật khẩu. Khả năng hỗ trợ nhiều phương thức xác thực cho phép người quản trị có thể xác định một cách linh hoạt phương thức xác thực thích hợp trong các hoàn cảnh khác nhau. Các hàm xác thực API được cung cấp với phần mềm RSA Mobile trao cho người quản trị khả năng tích hợp một cách dễ dàng các giao diện xác thực đã có vào sản phẩm RSA Mobile. 3.2.3. Dùng Firewall. Thuật ngữ Firewall có nguồn gốc từ một kỹ thuật thiết kế trong xây dựng để ngăn chặn, hạn chế hoả hoạn. Trong công nghệ mạng thông tin, Firewall là một kỹ thuật được tích hợp vào hệ thống mạng để chống sự truy cập trái phép, nhằm bảo vệ các nguồn thông tin nội bộ và hạn chế sự xâm nhập không mong muốn vào hệ thống. Cũng có thể hiểu Firewall là một cơ chế (mechanism) để bảo vệ mạng tin tưởng (Trusted network) khỏi các mạng không tin tưởng (Untrusted network). Thông thường Firewall được đặt giữa mạng bên trong (Intranet) của một doanh nghiệp, tổ chức, ngành hay một quốc gia, và Internet. Vai trò chính là bảo 35
  36. 36. mật thông tin, ngăn chặn sự truy nhập không mong muốn từ bên ngoài (Internet) và cấm truy nhập từ bên trong (Intranet) tới một số địa chỉ nhất định trên Internet. Chức năng chính của Firewall là kiểm soát luồng thông tin từ giữa Intranet và Internet. Thiết lập cơ chế điều khiển dòng thông tin giữa mạng bên trong (Intranet) và mạng Internet. Cụ thể là: • Cho phép hoặc cấm những dịch vụ truy nhập ra ngoài (từ Intranet ra Internet). • Cho phép hoặc cấm những dịch vụ phép truy nhập vào trong (từ Internet vào Intranet). • Theo dõi luồng dữ liệu mạng giữa Internet và Intranet. • Kiểm soát địa chỉ truy nhập, cấm địa chỉ truy nhập. • Kiểm soát người sử dụng và việc truy nhập của người sử dụng. • Kiểm soát nội dung thông tin thông tin lưu chuyển trên mạng. Firewall chuẩn bao gồm một hay nhiều các thành phần sau đây: • Bộ lọc packet (packet-filtering router) • Cổng ứng dụng (application-level gateway hay proxy server) • Cổng mạch (circuite level gateway) • Bộ lọc paket (Paket filtering router) Nguyên lý thực hiện của firewall như sau: Khi nói đến việc lưu thông dữ liệu giữa các mạng với nhau thông qua Firewall thì điều đó có nghĩa rằng Firewall hoạt động chặt chẽ với giao thức TCP/IP. Vì giao thức này làm việc theo thuật toán chia nhỏ các dữ liệu nhận đ- ược từ các ứng dụng trên mạng, hay nói chính xác hơn là các dịch vụ chạy trên các giao thức (Telnet, SMTP, DNS, SMNP, NFS...) thành các gói dữ liệu (data pakets) rồi gán cho các paket này những địa chỉ để có thể nhận dạng, tái lập lại ở đích cần gửi đến, do đó các loại Firewall cũng liên quan rất nhiều đến các packet và những con số địa chỉ của chúng. Bộ lọc packet cho phép hay từ chối mỗi packet mà nó nhận được. Nó kiểm tra toàn bộ đoạn dữ liệu để quyết định xem đoạn dữ liệu đó có thoả mãn một 36
  37. 37. trong số các luật lệ của lọc packet hay không. Các luật lệ lọc packet này là dựa trên các thông tin ở đầu mỗi packet (packet header), dùng để cho phép truyền các packet đó ở trên mạng. Đó là: • Địa chỉ IP nơi xuất phát ( IP Source address). • Địa chỉ IP nơi nhận (IP Destination address). • Những thủ tục truyền tin (TCP, UDP, ICMP, IP tunnel). • Cổng TCP/UDP nơi xuất phát (TCP/UDP source port). • Cổng TCP/UDP nơi nhận (TCP/UDP destination port) . • Dạng thông báo ICMP ( ICMP message type) . • Giao diện packet đến ( incomming interface of packet). • Giao diện packet đi ( outcomming interface of packet). Nếu luật lệ lọc packet được thoả mãn thì packet được chuyển qua firewall. Nếu không packet sẽ bị bỏ đi. Nhờ vậy mà Firewall có thể ngăn cản được các kết nối vào các máy chủ hoặc mạng nào đó được xác định, hoặc khoá việc truy cập vào hệ thống mạng nội bộ từ những địa chỉ không cho phép. Hơn nữa, việc kiểm soát các cổng làm cho Firewall có khả năng chỉ cho phép một số loại kết nối nhất định vào các loại máy chủ nào đó, hoặc chỉ có những dịch vụ nào đó (Telnet, SMTP, FTP...) được phép mới chạy được trên hệ thống mạng cục bộ. Ưu điểm: Đa số các hệ thống firewall đều sử dụng bộ lọc packet. Một trong những ưu điểm của phương pháp dùng bộ lọc packet là chi phí thấp vì cơ chế lọc packet đã được bao gồm trong mỗi phần mềm router. Ngoài ra, bộ lọc packet là trong suốt đối với người sử dụng và các ứng dụng, vì vậy nó không yêu cầu sự huấn luyện đặc biệt nào cả. Hạn chế: Việc định nghĩa các chế độ lọc package là một việc khá phức tạp; đòi hỏi người quản trị mạng cần có hiểu biết chi tiết vể các dịch vụ Internet, các dạng packet header, và các giá trị cụ thể có thể nhận trên mỗi trường. Khi đòi hỏi vể sự lọc càng lớn, các luật lệ về lọc càng trở nên dài và phức tạp, rất khó để quản lý và điều khiển. 37
  38. 38. Do làm việc dựa trên header của các packet, rõ ràng là bộ lọc packet không kiểm soát được nôi dung thông tin của packet. Các packet chuyển qua vẫn có thể mang theo những hành động với ý đồ ăn cắp thông tin hay phá hoại của kẻ xấu. Nhận xét firewall: Firewall không đủ thông minh như con người để có thể đọc hiểu từng loại thông tin và phân tích nội dung tốt hay xấu của nó. Firewall chỉ có thể ngăn chặn sự xâm nhập của những nguồn thông tin không mong muốn nhưng phải xác định rõ các thông số địa chỉ. Firewall không thể ngăn chặn một cuộc tấn công nếu cuộc tấn công này không "đi qua" nó. Một cách cụ thể, firewall không thể chống lại một cuộc tấn công từ một đường dial-up, hoặc sự dò rỉ thông tin do dữ liệu bị sao chép bất hợp pháp lên đĩa mềm. Firewall cũng không thể chống lại các cuộc tấn công bằng dữ liệu (data- drivent attack). Khi có một số chương trình được chuyển theo thư điện tử, vượt qua firewall vào trong mạng được bảo vệ và bắt đầu hoạt động ở đây. Một ví dụ là các virus máy tính. Firewall không thể làm nhiệm vụ rà quét virus trên các dữ liệu được chuyển qua nó, do tốc độ làm việc, sự xuất hiện liên tục của các virus mới và do có rất nhiều cách để mã hóa dữ liệu, thoát khỏi khả năng kiểm soát của firewall. Tuy nhiên, Firewall vẫn là giải pháp hữu hiệu được áp dụng rộng rãi. 3.2.4. Dùng IDS (Intrusion Detection Systems ). IDS cho phép các tổ chức doanh nghiệp bảo vệ mạng chống lại những sự đe doạ công mạng bao gồm: Những điểm yếu của mạng, những nguy cơ tiềm tàng, và những lỗ hổng mạng hiện tại. Sự đe doạ tấn công một mạng thường bị xảy ra bởi giao tiếp mạng với Internet, hoặc mạng ứng dụng các công nghệ mới. Những điểm dễ bị xâm nhập là những điểm yếu của các ứng dụng và HĐH, những điểm yếu sẽ là những nguy cơ để có thể bị xâm nhập tấn công mạng qua đó. Những điểm yếu thường được phát hiện bởi những công cụ kiểm tra, quét mạng. Mọi công nghệ, sản phẩm, những hệ thống mới sẽ sinh ra nhiều lỗi “bugs” và những điểm yếu cho mạng. 38
  39. 39. Nguy cơ tác động tấn công vào những điểm yếu trên mạng thường xảy ra thường xuyên, Sự xâm nhập tấn công mạng có thể gây ra dừng hệ thống, dừng dịch vụ, sai khác dữ liệu, mất mát dữ liệu, và là sự thiệt hại không lường trước cho doanh nghiệp IDS có thể tăng cường sự bảo vệ cho một tổ chức chống lại nguy cơ xâm nhập bằng cách mở rộng sự tuỳ chọn sẵn có để quản lý những rủi ro từ những đe doạ và những điểm yếu. Tương tự với cách sử dụng tuần tra bảo vệ cho một khu nhà, IDS liên tục kiểm tra mạng bên trong, kiểm tra tất cả các lưu thông trong mạng ngăn chặn những hoạt động không mong muốn. IDS được dùng để phát hiện xâm nhập, xác định và huỷ bỏ những phiên truyền thông bất hợp pháp, hỗ trợ kiểm tra và phát hiện những nguy cơ tiềm tàng, bảo vệ điểm yếu chống lại sự xâm nhập trong tương lai. Có ba loại cơ bản của IDS- Dựa vào mạng (quản lý gói), dựa vào host (kiểm tra system log phát hiện những biểu hiện xâm nhập hay nhứng hoạt động của ứng dụng không mong muốn trong thời gian thực), và hệ thống kết hợp. Hệ thống phát hiện xâm nhập dựa vào mạng: Một phần mềm quản lý mạng luôn kiểm tra các gói tin hoạt động trên mạng và tìm kiếm những dấu vết tấn công mạng, dùng sai chính sách mạng, sự bất thường của dữ liệu…Khi một IDS quan sát, nghi ngờ một sự kiện thì một tác động được kích hoạt như bật chức năng gửi bản tin, khi đó sự kiện sẽ bị dừng lại, và những chi tiết được ghi lại dùng để phân tích cho sau này. Loại IDS này dùng để triển khai trên các hệ thống đứng độc lập, phía trước firewall. Host Based Intrusion Detection Systems: Một phần mềm quản lý kiểm tra system logs để phát hiện các dấu vết, các ứng dụng không mong muốn thời gian thực. Nó cũng quản lý các file hệ thống để phát hiện nguy cơ xâm nhập 3.3. Mạng VPN và Bảo mật trong VPN (Virtual Private network). 3.3.1. Khái niệm VPN. Phương án truyền thông nhanh, an toàn và tin cậy đang trở thành mối quan tâm của nhiều tổ chức doanh nghiệp, đặc biệt là các tổ chức có các triển khai 39
  40. 40. mạng phân tán về mặt địa lý, công ty đa quốc gia. Giải pháp thông thường được áp dụng là thuê các đường truyền riêng (leased lines) để duy trì một mạng WAN (Wide Area Network). Các đường truyền này, được giới hạn từ ISDN (Integrated Services Digital Network, 128 Kbps) đến đường cáp quang OC3 (Optical Carrier-3, 155 Mbps). Mỗi mạng WAN đều có các điểm thuận lợi trên một mạng công cộng như Internet trong độ tin cậy, hiệu năng và tính an toàn, bảo mật. Nhưng để bảo trì một mạng WAN, đặc biệt khi sử dụng các đường truyền riêng, có thể trở lên quá đắt và làm tăng giá khi công ty muốn mở rộng các văn phòng đại diện. Do bởi gia tăng các dịch vụ ứng dụng trên Internet, các doanh nghiệp mở rộng mạng (intranet) thông qua môi trường Internet, mà các site được bảo mật bằng mật khẩu được thiết kế cho việc sử dụng chỉ bởi các thành viên trong công ty. Hiện tại, có rất nhiều doanh nghiệp sử dụng VPN để kết nối văn phòng chính với các văn phòng đại diện trên các quốc gia . Mỗi VPN có thể có một mạng LAN chung tại toà nhà trung tâm của một công ty, các mạng Lan khác tại các văn phòng từ xa hay các nhân viên làm việc tại nhà,... kết nối tới 40 Hình 3.5: Kiến trúc VPN của mạng doanh nghiệp
  41. 41. Về căn bản, mỗi VPN là một mạng riêng rẽ sử dụng một mạng chung (thường là internet) để kết nối cùng với các site (các mạng riêng lẻ) hay nhiều người sử dụng từ xa. Thay cho việc sử dụng bởi một kết nối thực, chuyên dụng như đường leased line, mỗi VPN sử dụng các kết nối ảo được dẫn đường qua Internet từ mạng riêng của các công ty tới các site hay các nhân viên từ xa. Trong bài viết này, chúng ta sẽ xét tới một số các khái niệm cơ bản của VPN và tìm hiểu về các thành phần cơ bản của VPN, các công nghệ, bảo mật VPN và đường truyền dẫn. Có 3 loại VPN thông dụng: Remote-Access: Hay cũng được gọi là Virtual Private Dial-up Network (VPDN), đây là dạng kết nối User-to-Lan áp dụng cho các công ty mà các nhân viên có nhu cầu kết nối tới mạng riêng (private network) từ các địa điểm từ xa. Điển hình, mỗi công ty có thể hy vọng rằng cài đặt một mạng kiểu Remote- Access diện rộng theo các tài nguyên từ một nhà cung cấp dịch vụ ESP (Enterprise Service Provider). ESP cài đặt một một công nghệ Network Access Server (NAS) và cung cấp cho các user ở xa với phần mềm client trên mỗi máy của họ. Các nhân viên từ xa này sau đó có thể quay một số từ 1-800 để kết nối được theo chuẩn NAS và sử dụng các phần mềm VPN client để truy cập mạng công ty của họ. Các công ty khi sử dụng loại kết nối này là những hãng lớnvới hàng trăm nhân viên thương mại. Remote-access VPNs đảm bảo các kết nối được bảo mật, mã hoá giữa mạng riêng rẽ của công ty với các nhân viên từ xa qua một nhà cung cấp dịch vụ thứ ba (third-party) Site-to-Site: Bằng việc sử dụng một thiết bị chuyên dụng và cơ chế bảo mật diện rộng, mỗi công ty có thể tạo kết nối với rất nhiều các site qua một mạng công cộng như Internet. Các mạng Site-to-site VPN có thể thuộc một trong hai dạng sau: Intranet-based: Áp dụng trong truờng hợp công ty có một hoặc nhiều địa điểm ở xa, mỗi địa điểm đều đã có 1 mạng cục bộ LAN. Khi đó họ có thể xây dựng một mạng riêng ảo VPN để kết nối các mạng cục bộ đó trong 1 mạng riêng thống nhất. 41
  42. 42. Extranet-based: Khi một công ty có một mối quan hệ mật thiết với một công ty khác (ví dụ như, một đồng nghiệp, nhà hỗ trợ hay khách hàng), họ có thể xây dựng một mạng extranet VPN để kết nối kiểu mạng Lan với mạng Lan và cho phép các công ty đó có thể làm việc trong một môi trường có chia sẻ tài nguyên. Lợi ích của VPN: • Mở rộng vùng địa lý có thể kết nối được • Tăng cường bảo mật cho hệ thống mạng • Giảm chi phí vận hành so với mạng WAN truyền thống • Giảm thời gian và chi phí truyền dữ liệu đến người dùng ở xa • Tăng cường năng suất • Giảm đơn giản hoá cấu trúc mạng • Cung cấp thêm một phương thức mạng toàn cầu • Cung cấp khả năng hỗ trợ thông tin từ xa • Cung cấp khả năng tương thích cho mạng băng thông rộng • Cung cấp khả năng sinh lợi nhuận cao hơn mạng WAN truyền thống • Một mạng VPN được thiết kế tốt sẽ đáp ứng được các yêu cầu sau: • Bảo mật (Security) • Tin cậy (Reliability) • Dễ mở rộng, nâng cấp (Scalability) 42 Hình 3.6: Kiến trúc mạng sử dụng 3 loại VPN
  43. 43. • Quản trị mạng thuận tiện (Network management) • Quản trị chính sách mạng tốt (Policy management) 3.3.2. Tính bảo mật của VPN: Một VPN được thiết kế tốt thường sử dụng vài phương pháp để duy trì kết nối và giữ an toàn khi truyền dữ liệu: Bức tường lửa: Một tường lửa (firewall) cung cấp biện pháp ngăn chặn hiệu quả giữa mạng riêng của bạn với Internet. Bạn có thể sử dụng tường lửa ngăn chặn các cổng được mở, loại gói tin được phép truyền qua và giao thức sử dụng. Một vài sản phẩm VPN, chẳng hạn như router 1700 của Cisco, có thể nâng cấp để bao gồm cả tường lửa bằng cách chạy Cisco IOS tương ứng ở trên router. Bạn cũng nên có tường lửa trước khi bạn sử dụng VPN, nhưng tường lửa cũng có thể ngăn chặn các phiên làm việc của VPN. Mã hoá: Đây là quá trình mật mã dữ liệu khi truyền đi khỏi máy tính theo một quy tắc nhất định và máy tính đầu xa có thể giải mã được. Hầu hết các hệ thống mã hoá máy tính thuộc về 1 trong 2 loại sau: • Mã hoá sử dụng khoá riêng (Symmetric-key encryption) • Mã hoá sử dụng khoá công khai (Public-key encryption) Trong hệ symmetric-key encryption, mỗi máy tính có một mã bí mật sử dụng để mã hoá các gói tin trước khi truyền đi. Khoá riêng này cần được cài trên mỗi máy tính có trao đổi thông tin sử dụng mã hoá riêng và máy tính phải biết được trình tự giải mã đã được quy ước trrước. Mã bí mật thì sử dụng để giải mã gói tin. Ví dụ; Khi tạo ra một bức thư mã hoá mà trong nội dung thư mỗi ký tự được thay thế bằng ký tự ở sau nó 2 vị trí trong bảng ký tự . Như vậy A sẽ được thay bằng C, và B sẽ được thay bằng D. Bạn đã nói với người bạn khoá riêng là Dịch đi 2 vị trí (Shift by 2). Bạn của bạn nhận được thư sẽ giải mã sử dụng chìa khoá riêng đó. Còn những người khác sẽ không đọc được nội dung thư. Máy tính gửi mã hoá dữ liệu cần gửi bằng khoá bí mật (symetric key), sau đó mã hoá chính khóa bí mật (symetric key) bằng khoá công khai của người nhận (public key). Máy tính nhận sử dụng khoá riêng của nó (private key) 43
  44. 44. tương ứng với khoá public key để giải mã khoá bí mật (symetric key), sau đó sử dụng khoá bí mật này để giải mã dữ liệu Hệ Public-key encryption sử dụng một tổ hợp khoá riêng và khoá công cộng để thực hiện mã hoá, giải mã. Khoá riêng chỉ sử dụng tại máy tính đó, còn khoá công cộng được truyền đi đến các máy tính khác mà nó muốn trao đổi thông tin bảo mật. Để giải mã dữ liệu mã hoá, máy tính kia phải sử dụng khoá công cộng nhận được, và khoá riêng của chính nó. Một phần mềm mã hóa công khai thông dụng là Pretty Good Privacy (PGP) cho phép mã hoá đựợc hầu hết mọi thứ. Bạn có thể xem thêm thông tin tại trang chủ PGP. (http://www.howstuffworks.com/framed.htm?parent=encryption.htm&url=http://www.pgp.com/) Ứng dụng Giao thức bảo mật IPSec: Internet Protocol Security Protocol cung cấp các tính năng bảo mật mở rộng bao gồm các thuật toán mã hóa và xác thực tốt hơn. IPSec có hai chế độ mã hoá: kênh tunnel và lớp truyền tải transport. Mã hoá kênh Tunnel mã hoá cả header và nội dung mỗi gói tin trong khi mã hoá lớp truyền tải chỉ mã hoá nội dung gói tin. Chỉ có những hệ thống sử dụng IPSec tương thích mới có khả năng tiên tiến này. Mặc dù vậy, tất cả các thiết bị phải sử dụng một khoá dùng chung và các tường lửa ở mỗi mạng phải có chính sách cấu hình bảo mật tương đương nhau. IPSec có thể mã hoá dữ liệu truyền giữa rất nhiều thiết bị, chẳng hạn như: • Từ router đến router • Từ firewall đến router 44 Hình 3.7: Một hệ thông truy cập xa dựa trên VPN sử dụng IPSec
  45. 45. • Từ PC đến router • Từ PC đến server Máy chủ xác thực, xác nhận và quản lý tài khoản AAA Server AAA: (Authentication, Authorization, Accounting Server) được sử dụng để tăng tính bảo mật trong truy nhập từ xa của VPN. Khi một yêu cầu được gửi đến để tạo nên một phiên làm việc, yêu cầu này phải đi qua một AAA server đóng via trò proxy. AAA sẽ kiểm tra: • Bạn là ai (xác thực) • Bạn được phép làm gì (xác nhận) • Bạn đang làm gì (quản lý tài khoản) Các thông tin về tài khoản sử dụng đặc biệt hữu ích khi theo dõi người dùng nhằm mục đích bảo mật, tính hoá đơn, hoặc lập báo cáo. 3.3.3. Các kỹ thuật sử dụng trong VPN Phụ thuộc vào kiểu VPN (truy nhập từ xa Remote-Access hay kết nối ngang hàng Site-to-Site), bạn sẽ cần một số thành phần nhất định để hình thành VPN, bao gồm: • Phần mềm máy trạm cho mỗi người dùng xa • Các thiết bị phần cứng riêng biệt, ví dụ như: bộ tập trung (VPN Concentrator) hoặc tường lửa (Secure PIX Firewall) • Các máy chủ VPN sử dụng cho dịch vụ quay số • Máy chủ truy cập NAS (Network Access Server) dùng cho các người dùng VPN ở xa truy nhập • Trung tâm quản lý mạng và chính sách VPN Hiện nay do chưa có tiêu chuẩn rộng rãi để triển khai VPN, rất nhiều công ty đã tự phát triển các giải pháp trọn gói cho riêng mình. 3.3.4. Kỹ thuật Tunneling Hầu hết các VPN đều dựa trên tunneling để hình thành mạng riêng ảo trên nền internet. Về cơ bản, tunneling là quá trình xử lý và đặt toàn bộ các gói 45
  46. 46. tin (packet) trong một gói tin khác và gửi đi trên mạng. Giao thức sinh ra các gói tin được đặt tại cả hai điểm thu phát gọi là giao tiếp kênh - tunnel interface, ở giao tiếp đó các gói tin truyền đi và đến. Kênh thông tin yêu cầu bao giao thức khác nhau: Giao thức sóng mang - Carrier protocol: (còn gọi là giao thức truyền tải) giao thức này sử dụng trên mạng để thông tin về trạng thái đường truyền. Giao thức đóng gói - Encapsulating protocol: bao gồm các giao thức GRE, IPSec, L2F, PPTP, L2TP cho phép che giấu nội dung truyền Giao thức gói - Passenger protocol: giao thức bao gồm IPX, NetBeui, IP Tunneling rất tốt khi sử dụng cho VPN. Ví dụ, bạn có thể đặt một gói tin có giao thức không hỗ trợ cho internet chẳng hạn như NetBeui vào trong một gói tin IP và truyền nó đi an toàn thông qua mạng Internet. Hoặc là bạn có thể đặt một gói tin sử dụng trong mạng riêng - không định tuyến được (non-routable) vào trong một gói tin có địa chỉ IP toàn cầu (định tuyến được) – “globally unique IP address” và dùng để mở rộng mạng riêng trên nền tảng mạng Internet. Trong mô hình VPN Site-to-Site, bộ định tuyến dùng chung GRE (Generic Routing Encapsulation) thường là giao thức đóng gói hỗ trợ cho việc đóng gói bản tin giao thức gói và truyền đi trên mạng nhờ giao thức sóng mang - thường dựa trên IP. Nó chứa các thông tin về kiểu gói tin được đóng gói, thông tin về kết nối giữa máy chủ và máy khách. Thay thế cho GRE, IPSec trong Tunnel Mode 46 Hình 3.8: Kiến trúc VPN Site-to-Site
  47. 47. thường sử dụng như giao thức đóng gói. IPSec làm việc tốt trên cả hai mô hình VPN Remote-Access và Site-to-Site. IPSec hỗ trợ cho cả hai giao thức này. Trong mô hình VPN truy nhập từ xa, tunneling thường sử dụng PPP. Một phần của giao thức TCP/IP, PPP là giao thức truyền tải cho các giao thức IP khác khi thông tin trên mạng giữa các máy tính. Remote-Access VPN tunneling dựa trên nền tảng PPP. Mỗi giao thức được liệt kê dưới đây được xây dựng dựa trên nền giao thức PPP và thường dùng trong VPN truy nhập từ xa. L2F (Layer 2 Forwarding): do Cisco phát triển, L2F sẽ sử dụng bất kỳ một cơ chế xác nhận do PPP hỗ trợ. PPTP (Point-to-Point Tunneling Protocol): do PPTP Forum phát triển, một nhóm cộng tác bao gồm US Robotics, Microsoft, 3COM, Ascend và ECI Telematics. PPTP hỗ trợ cho mã hoá 40-bit và 128-bit được sử dụng trong bất kỳ cơ chế xác nhận nào sử dụng trong PPP. L2TP (Layer 2 Tunneling Protocol): được phát triển gần đây nhất, L2TP là sản phẩm do các thành vỉên trong PPTP Forum hình thành nên, Cisco và IETF (Internet Engineering Task Force). Nó tích hợp các tính năng của cả PPTP và L2F, L2TP đồng thời cũng hỗ trợ IPSec. L2TP có thể sử dụng như giao thức kênh thông tin - tunneling protocol trong mô hình VPN Site-to-Site cũng như VPN tuy nhập từ xa. Trong thực tế, L2TP có thể tạo kênh thông tin giữa: • Client và Router • NAS và Router • Router và Router Tunneling giống như chuyên chở máy tính bằng xe ô tô. Nhà cung cấp đóng gói chiếc máy tính (passenger protocol) vào trong hộp đựng (encapsulating protocol) và đặt vào xe ô tô (carrier protocol) đang đỗ ở cổng nhà sản xuất (entry tunnel interface). Ô tô (carrier protocol) sẽ chuyên chở cái máy tình đóng hộp trên đường (Internet) đến nhà bạn (exit tunnel interface). Bạn nhận chiếc hộp rồi mở ra (encapsulating protocol) và nhận lấy chiếc máy tính (passenger protocol). Tunneling đơn giản là như vậy! 47
  48. 48. 48
  49. 49. CHƯƠNG 4 PHÁT TRIỂN NGN TRONG MÔ HÌNH DOANH NGHIỆP 4.1. Khái niệm mạng NGN (Next Generation Network) Do nhu cầu phát triển các dịch vụ thông tin mà kiến trúc mạng truyền thống hiện nay không đáp ứng kịp với nhu cầu phát triển của doanh nghiệp, đòi hỏi phải có một giải pháp mới hiệu quả và kinh tế hơn. Những dịch vụ mới được khai thác đưa vào ứng dụng là thoại (VoIP), hội thảo truyền hình từ xa, chẩn đoán khám chữa bệnh từ xa, thương mại điện tử, truyền âm thanh, video stream, dữ liệu tích hợp... Kiến trúc mạng mới để phát triển các dịch vụ này được gọi là mạng thế hệ tiếp theo NGN (Next Generation Network). NGN, một bước phát triển tiếp theo của mạng trong lĩnh vực truyền thông, là kết hợp bởi ba mạng truyền thống- PSTN, 49 Hình 4.1: Kiến trúc tổng quát của mạng NGN

×