khoa công nghỆ thông tin ĐỒ án tỐt nghiỆp tên ... · pdf...

137C Nguyễn Chí Thanh, P.9, Quận 5, Tp.HCM

Đề tài: “Xây dựng hạ tầng mạng doanh nghiệp” 1

KHOA CÔNG NGHỆ THÔNG TIN

ĐỒ ÁN TỐT NGHIỆP

Tên đề tài:

XÂY DỰNG HẠ TẦNG MẠNG DOANH NGHIỆP

Giảng viên hướng dẫn: ThS. Nguyễn Phi Thái

Sinh viên thực hiện

1. Lê Văn Thuận MSSV: 93510030067

Trình độ: Cao đẳng Chuyên ngành: Quản trị mạng máy tính

Lớp: 23CCHT02 Niên khoá: 2013 – 2015

Tp.HCM, năm 2015



LỜI MỞ ĐẦU

Mạng internet ngày càng mở rộng trên toàn Thế Giới, không chỉ vậy, việc tận dụng

nguồn tài nguyên “vô tận” này đem lại những hiệu quả vô cùng to lớn. Vấn đề trao đổi

thông tin liên lạc là cực kì quan trọng, đặc biệt với những tổ chức, công ty, doanh nghiệp

có trụ sở hoặc chi nhánh đặt khắp nơi trên các vùng địa lí khác nhau. Có rất nhiều giải pháp

được đặt ra, tuy nhiên, đâu là giải pháp vừa đáp ứng nhu cầu trao đổi thông tin vừa đáp

ứng nhu cầu bảo mật thông tin khi nó được truyền ngang qua mạng internet – một môi

trường không bảo mật. Những giải pháp này có thể là thuê những đường truyền leased line.

Như vậy vừa bảo mật vừa có băng thông nhiều. Tuy nhiên nó không khả thi khi phải kết

nối những nơi cách xa nhau. Giải pháp khác là sử dụng các công nghệ ATM hoặc Frame

Relay từ nhà cung cấp dịch vụ. Tuy nhiên, chi phí cho giải pháp này cũng khá cao.VPN là

giải pháp khả thi nhất vì vừa đảm bảo được những yếu tố bảo mật vừa bỏ ra chi phí vừa

phải. Hiện nay VPN đang được sử dụng rất rộng rãi. Công nghệ này ngày càng phát triển.

Mặc dù vậy, VPN thông thường có những nhược điểm của nó. Đó là các điểm kết nối phải

thuê những địa chỉ IP tĩnh, đồng thời trên router đóng vai trò trung tâm phải thực hiện việc

cấu hình khá nhiều và phức tạp. Thêm vào đó, khi các điểm muốn kết nối với nhau phải

thông qua router trung tâm này mà không thể kết nối trực tiếp được. Từ những hạn chế trên

nảy sinh công nghệ DMVPN. Công nghệ này là một bước phát triển của VPN nhằm cải

thiện những hạn chế trên. Với DMVPN, việc cấu hình trở nên đơn giản, các kết nối được

thực hiện một cách tự động và chi phí bỏ ra cũng ít hơn một VPN thông thường. Để hiểu

DMVPN là gì và tại sao lại sử dụng nó, để bắt đầu. Chúng ta cùng tìm hiểu đề tài này.

Với đề tài: “Xây Dựng Hệ Thống Hạ Tầng Mạng Cho Doanh Nghiệp”, Tôi hy vọng

rằng với nội dung tôi đã viết các bạn sẽ hiểu hơn về DMVPN và những ưu thế của nó từ

đó xây dựng được dự án hay trong tương lai.

Trân thành cảm ơn!



LỜI CẢM ƠN

Lời đầu tiên tôi xin chân thành cảm ơn đến tất cả các thầy cô giáo trong khoa Công

Nghệ Thông Tin – Trường Cao đẳng nghề CNTT Ispace, những người đã trực tiếp giảng

dạy, truyền đạt những kiến thức bổ ích trong suốt những năm học qua, đã cung cấp cho tôi

rất nhiều những kiến thức cơ bản, là những kiến thức vô cùng quý giá, là nền tảng phục

vụ cho công việc hiện tại cũng như công việc sau này.

Đặc biệt nhất, Tôi xin tỏ lòng biết ơn đến thầy Nguyễn Phi Thái, người đã trực tiếp

hướng dẫn tận tình và giúp đỡ tôi trong quá trình nghiên cứu thực hiện để hoàn thành đề

tài này.

Trân trọng cảm ơn!

TpHCM, Ngày 28 Tháng 03 năm 2015

Người thực hiện

Lê Văn Thuận



NHẬN XÉT CỦA DOANH NGHIỆP

................................................................................................................................................

................................................................................................................................................

................................................................................................................................................

................................................................................................................................................

................................................................................................................................................

................................................................................................................................................

................................................................................................................................................

................................................................................................................................................

NHẬN XÉT CỦA GIÁO VIÊN HƯỚNG DẪN

................................................................................................................................................

................................................................................................................................................

................................................................................................................................................

................................................................................................................................................

................................................................................................................................................

................................................................................................................................................

................................................................................................................................................

................................................................................................................................................

................................................................................................................................................

................................................................................................................................................

................................................................................................................................................



MỤC LỤC

DANH MỤC CÁC TỪ VIẾT TẮT ................................................................................... 11

DANH MỤC CÁC HÌNH VẼ ........................................................................................... 15

DANH MỤC BẢNG.......................................................................................................... 20

CHƯƠNG 1. TỔNG QUAN ĐỀ TÀI ............................................................................... 21

1.1 Giới thiệu đề tài ........................................................................................................... 21

1.2 Xu hướng công nghệ ................................................................................................... 21

1.3 Ứng dụng thực tiễn ...................................................................................................... 21

CHƯƠNG 2. TÌM HIỂU KIẾN THỨC ............................................................................. 23

I. TỔNG QUAN VỀ HỆ THỐNG MẠNG LAN .............................................................. 23

1. Khái niệm về LAN ......................................................................................................... 23

1.1 Một số thiết bị cấu thành mạng .................................................................................... 23

1.1.1 Thiết bị chuyển mạch (Switch) ................................................................................. 23

1.1.2 Bộ tìm đường (Router) .............................................................................................. 30

1.1.3 Cáp (Cable) ............................................................................................................... 31

1.1.4 Card mạng (Nic Card) ............................................................................................... 32

1.1.5 Cổng ra vào (Gateway) ............................................................................................. 32

1.1.6 Bộ điều giải (Modems) ............................................................................................. 33

1.2 Mô hình mạng 3 lớp của cisco ..................................................................................... 33

1.2.1 Lớp Core .................................................................................................................... 34

1.2.2 Lớp Distribution......................................................................................................... 35

1.2.3 Lớp Access ................................................................................................................. 35

2. Khái niệm Routing ......................................................................................................... 35

2.1 Khái quát về định tuyến ............................................................................................... 35

2.2 Nguyên tắc định tuyến ................................................................................................. 36

2.3 Phân loại định tuyến..................................................................................................... 38

2.3.1 Định tuyến tĩnh ......................................................................................................... 38

2.3.2 Định tuyến động ........................................................................................................ 38



2.3.3 Các thuật toán định tuyến động ................................................................................ 38

3. Khái niệm về VLAN ...................................................................................................... 44

3.1 Các Loại VLAN ........................................................................................................... 45

3.2 Cách thức hoạt động của VLAN .................................................................................. 46

3.3 Ưu điểm và ứng dụng của VLAN ................................................................................ 47

3.4 Vlan Trunking Protocol (VTP) .................................................................................... 48

3.4.1 Khái niệm về VTP và các mode trong VTP ............................................................. 50

3.4.2 Hoạt động của VTP ................................................................................................... 52

3.4.3 Quảng bá VTP........................................................................................................... 53

3.4.4 Sự lược bớt VTP ....................................................................................................... 55

3.4.5 Lợi ích của VTP ........................................................................................................ 56

4. Tổng quan về HIGH AVAILABILITY (H.A)............................................................... 56

4.1 Khái niệm High Availability ........................................................................................ 56

4.2 Các kỹ thuật H.A thông thường trong hạ tầng mạng ................................................... 58

4.3 Etherchannel ................................................................................................................ 59

4.3.1 Giới thiệu Etherchannel ............................................................................................ 59

4.3.2 Giao thức PAgP và LACP ........................................................................................ 60

4.4 Spanning Tree Protocol (STP) ..................................................................................... 62

4.4.1 Khái niệm .................................................................................................................. 62

4.4.2 Cơ chế hoạt động STP .............................................................................................. 64

4.4.3 Trạng thái của STP.................................................................................................... 65

4.4.4 Mô hình Spanning - Tree và BPDUs ........................................................................ 66

4.4.5 Bridge ID, Switch Priority, và Extended System ID ................................................ 68

4.5 Hot Standby Router Protocol (HSRP ) ........................................................................ 69

4.5.1 Các cơ chế hoạt động của HSRP .............................................................................. 70

4.5.2 Quy trình hoạt động HSRP ....................................................................................... 75

4.5.3 Đặc điểm của HSRP ................................................................................................. 78

4.5.4 Các trạng thái trong giao thức HSRP ........................................................................ 79



4.5.5 Vitural Router Redundancy Protocol và Gateway Load Balancing Protocol .......... 81

5. Giới thiệu Access Control List ...................................................................................... 83

5.1 Tại sao phải sử dụng ACL? ......................................................................................... 84

5.2 Ý nghĩa của IP và Wildcard trong ACL ...................................................................... 85

5.3 Các loại Access Control List ....................................................................................... 85

5.4 Các vị trí Access Control List ...................................................................................... 88

5.4.1 Inbound ACLs ........................................................................................................... 88

5.4.2 Outbound ACLs ........................................................................................................ 88

5.5 Hoạt động của ACLs .................................................................................................... 88

5.6 Một số điểm cần lưu ý ................................................................................................. 89

6. Dynamic Host Configuration Protocol (DHCP) ............................................................ 89

6.1 Mục đích và chức năng ................................................................................................ 89

6.2 Giới thiệu về NAT và PAT .......................................................................................... 90

6.2.1 Thuật ngữ trong kỹ thuật NAT ................................................................................. 91

6.3 Ưu điểm NAT .............................................................................................................. 92

6.4 PAT (Port- Address- Translation) ................................................................................ 93

II. KIẾN THỨC CƠ BẢN VỀ MẠNG WAN ................................................................... 93

1. Các công nghệ WAN phổ biến ...................................................................................... 93

1.1 Công nghệ Leased Line ............................................................................................... 93

1.2 Công nghệ Frame-Relay .............................................................................................. 94

1.3 Công nghệ DSL............................................................................................................ 96

1.4 Công nghệ MPLS ( Multi Protocol Label Switching ) ................................................ 98

1.4.1 Ưu điểm và ứng dụng của MPLS ............................................................................. 99

2. Công nghệ mạng riêng ảo VPN (Vitural Private Network) ......................................... 100

2.1 Định nghĩa VPN ......................................................................................................... 101

2.2 Lịch sử hình thành và phát triển ................................................................................ 102

2.3 Những lợi ích VPN mang lại ..................................................................................... 103

2.4 Những yêu cầu đối với VPN ...................................................................................... 105



2.5 Các mô hình kết nối VPN thông dụng ....................................................................... 106

2.5.1 VPN truy cập từ xa (Remote VPN) ........................................................................ 106

2.5.2 VPN cục bộ (Intranet VPN) .................................................................................... 106

2.5.3 VPN mở rộng (Extranet VPN) ................................................................................ 108

2.6 Giao thức đường hầm tại Layer 2 trong VPN ............................................................ 109

2.6.1 Giao thức PPTP (Point-to-Point Tunneling Protocol) ............................................ 109

2.6.2 Giao thức chuyển tiếp L2F (Layer 2 Forwarding) .................................................. 109

2.6.3 Giao thức L2TP (Layer 2 Tunneling Protocol) ...................................................... 109

2.7 Giao thức đường hầm tại Layer 3 trong VPN (IPSec) ............................................... 109

2.7.1 Tìm hiểu về IPSec ................................................................................................... 109

2.7.2 Liên kết bảo mật IPSec (SA-IPSec) ........................................................................ 110

2.7.3 IPSec Security Protocols ......................................................................................... 112

2.7.4 Các giao thức của IPSec ......................................................................................... 114

2.7.5 Các chế độ của IPSec .............................................................................................. 123

2.7.6 Giao thức Internet Key Exchange ........................................................................... 126

2.7.7 Quá trình hoạt động của IPSec ............................................................................... 131

2.8 Một vài giao thức an toàn bổ sung cho VPN ............................................................. 138

2.8.1 Xác thực với người dùng quay số truy cập từ xa .................................................... 139

2.8.2 Dịch vụ xác thực người dùng quay số từ xa(RADIUS) .......................................... 141

2.8.3 Hệ thống kiểm soát truy cập thiết bị đầu cuối (TACACS) ..................................... 142

2.8.4 Giao thức SOCKS ................................................................................................... 146

2.8.5 Giao thức SSL và TLS ............................................................................................ 148

3. Dynamic Multipoint VPN ( DMVPN ) ........................................................................ 153

3.1 Giới thiệu về DMVPN ............................................................................................... 153

3.2 Các thành phần của DMVPN ..................................................................................... 154

3.3 Kỹ thuật thiết kế ......................................................................................................... 155

3.4 Dual DMVPN Cloud Topology ................................................................................. 157

3.4.1 Hub-and-Spoke ....................................................................................................... 158



3.4.2 Spoke-and-Spoke .................................................................................................... 159

3.5 Kiến trúc hệ thống trung tâm (system headend) ........................................................ 159

3.5.1 Single Tier ............................................................................................................... 160

3.5.2 Dual Tier ................................................................................................................. 161

3.6 Single DMVPN Cloud Topology .............................................................................. 162

3.7 Các vấn đề khi triển khai DMVPN ............................................................................ 163

3.7.1 Cơ chế tunnel và địa chỉ IP ..................................................................................... 163

3.7.2 Giao thức GRE ........................................................................................................ 165

3.7.3 Giao thức NHRP ..................................................................................................... 166

3.7.4 Tunnel Protection Mode ......................................................................................... 167

3.7.5 Sử dụng giao thức định tuyến ................................................................................. 167

3.7.6 Cân nhắc sử dụng Crypto ........................................................................................ 168

3.7.7 IKE Call Admission Control ................................................................................... 168

3.8 So sánh giữa VPN và DMVPN .................................................................................. 170

3.8.1 Mô hình VPN thông thường ................................................................................... 170

3.8.2 Mô hình DMVPN ................................................................................................... 171

3.8.3 Ưu điểm của việc sử dụng DMVPN ....................................................................... 172

CHƯƠNG 3. PHÂN TÍCH VÀ THIẾT KẾ ĐỀ TÀI ...................................................... 173

1. Phân tích chi tiết ưu và nhược điểm của mô hình ........................................................ 173

1.1 Mô hình triển khai DMVPN, High Availability cho hệ thống ngân hàng Vietbank . 173

1.1.1 Mô hình ................................................................................................................. 173

1.1.2 Phân tích các dịch vụ và ưu nhược điểm của mô hình ........................................... 173

2. Phân tích yêu cầu và xác định mô hình cần thực hiện cho ngân hàng Vietbank ......... 174

2.1 Thiết kế mô hình ........................................................................................................ 175

4. Mô hình và các dịch vụ triển khai ................................................................................ 182

4.1 Mô hình ...................................................................................................................... 182

4.2 Các dịch vụ triển khai ................................................................................................ 182

CHƯƠNG 4. TRIỂN KHAI THỰC HIỆN ...................................................................... 183



TRIỂN KHAI THỰC HIỆN ............................................................................................ 183

1. Cấu hình hostname, password, ip(enable – console – vty pass) .................................. 183

2. Cấu hình Trunking và Etherchannel ............................................................................ 183

3. Cấu hình VTP .............................................................................................................. 185

4. Cấu hình VLAN và Gán Port cho từng VLAN ........................................................... 187

5. Cấu hình Spanning – Tree ........................................................................................... 189

6. Cấu hình HSRP ............................................................................................................ 190

7. Cấu hình DHCP cho trụ sở Tp.HCM ........................................................................... 196

8. Cấu hình OSPF cho trụ sở Tp.HCM ............................................................................ 198

9. Cấu hình ACL chỉ cho phòng IT telnet ........................................................................ 198

10. Cấu hình NAT chỉ cho phép phòng IT và Giám đốc ra internet ................................ 200

11. Cấu hình Routing InterVLAN cho Router HN & DN ............................................... 200

12. Cấu hình cấp DHCP cho chi nhánh HN – DN ........................................................... 201

13. Cấu hình DMVPN Dual-Hub-Dual Layout ............................................................... 203

13.1 Trên NAT-HN tạo tunnel 100 .................................................................................. 203

13.2 Trên NAT-DN tạo tunnel 200 .................................................................................. 203

13.3 Trên R-HN tạo tunnel 100 và tunnel 200 ................................................................ 204

13.4 Trên R-DN tạo tunnel 100 và tunnel 200 ................................................................ 206

13.5 Định tuyến OSPF các đường tunnel với các đường mạng nội bộ .......................... 207

13.6 Cấu hình IPSec cho các đường tunnel ..................................................................... 208

CHƯƠNG 5. KẾT LUẬN ............................................................................................... 210

1. Kết quả đã hoàn thành.................................................................................................. 210

2. Những mặt còn hạn chế ............................................................................................... 210

3. Hướng phát triển đề tài ................................................................................................ 211

TÀI LIỆU THAM KHẢO ............................................................................................... 212

I. TÀI LIỆU TIẾNG ANH ............................................................................................... 212

II. TÀI LIỆU TIẾNG VIỆT ............................................................................................. 212



DANH MỤC CÁC TỪ VIẾT TẮT

STT VIẾT

TẮT CỤM TỪ Ý NGHĨA

1 3DES Triple Data Encryption

Standard Thuật toán mật mã 3DES

2 ADSL Asymmetric Digital

Subscriber Line

Công nghệ truy nhập

đường dây thuê bao số bất

đối xứng

3 AES Advanced Encryption

Standard Chuẩn mật mã cao cấp

4 AH Authentication Header Giao thức tiêu đề xác thực

5 BGP Border Gateway Protocol Giao thức định tuyến cổng

miền

6 B-ISDN Broadband Integrated

Service Digital Network

Mạng số đa dịch vụ băng

rộng

7 CA Certificate Authority Nhà phân phối chứng thực

số

8 CHAP Challenge Handshake

Authentication Protocol.

Giao thức xác thực yêu

cầu bắt tay

9 CR Cell Relay Công nghệ chuyển tiếp tế

bào

10 DCE Data Communication

Equipment

Thiết bị truyền thông dữ

liệu

11 DES Data Encryption Standard Thuật toán mật mã DES

12 DHCP Dynamic Host

Configuration Protocol

Giao thức cấu hình host

động

13 DNS Domain Name System hệ thống tên miền

14 ESP Encapsulating Security

Payload.

Giao thức tải an ninh đóng

gói

15 FCS Frame Check Sequence Chuỗi kiểm tra khung



STT VIẾT


16 FR Frame Relay Chuyển tiếp khung dữ liệu

17 GVPNS Global VPN Service Dịch vụ VPN toàn cầu

18 ICMP Internet Control Message

Protocol

Giao thức bản tin điều

khiển Internet

19 IKE Internet Key Exchange Giao thức trao đổi khoá

Internet

20 IGP Interior Gateway Protocol Giao thức định tuyến

trong miền

21 IN Intelligent Network Mạng thông minh

22 IP Internet Protocol Giao thức Internet

23 IP-Sec Internet Protocol Security Giao thức an ninh Internet

24 ISAKMP

Internet Security Asociasion

and Key Management

Protocol

Giao thức quản lý khoá và

kết hợp an ninh Internet

25 ISDN Integrated Service Digital

Network Mạng số đa dịch vụ

26 ISO International Standard

Organization Tổ chức chuẩn quốc tế

27 ISP Internet Service Provider Nhà cung cấp dịch vụ

internet

28 L2F Layer 2 Forwarding Giao thức chuyển tiếp lớp

2

29 L2TP Layer 2 Tunneling Protocol Giao thức đường ngầm

lớp 2

30 LAC L2TP Access Concentrator Bộ tập trung truy cập

L2TP

31 LAN Local Area Network Mạng cục bộ



STT VIẾT


32 LCP Link Control Protocol Giao thức điều khiển liên

kết

33 LNS L2TP Network Server Máy chủ mạng L2TP

34 MAC Message Authentication

Code Mã xác thực bản tin

35 MD5 Message Digest 5 Thuật toán MD5

36 MG Media Gateway Cổng kết nối phương tiện

37 MGC Media Gateway Controller Thiết bị điều khiển truy

nhập

38 MPLS Multi Protocol Laber

Switching

Bộ định tuyến chuyển

mạch nhãn

39 MPPE Microsoft Point-to-Point

Encryption

Mã hoá điểm-điểm của

Microsoft

40 MTU Maximum Transfer Unit Đơn vị truyền tải lớn nhất

41 NAS Network Access Server Máy chủ truy nhập mạng

42 NCP Network Control Protocol Giao thức điều khiển

mạng

43 PAP Passwork Authentication

Protocol

Giao thức xác thực mật

khẩu.

44 PKI Public Key Infrastructure Cơ sở hạ tầng khoá công

khai

45 POP Point of Presence Điểm truy cập truyền

thống.

46 PPP Point to Point Protocol Giao thức điểm tới điểm

47 PPTP Point to Point Tunneling

Protocol

Giao thức đường ngầm

điểm tới điểm

48 PVC Permanrnent Virtual Circuit Mạng ảo cố định



STT VIẾT


49 QoS Quality of Service Chất lượng dịch vụ

50 RAS Remote Access Service Dịch vụ truy nhập từ xa

51 RADIUS Remote Authentication

Dial-In User Service

Xác thực người dùng quay

số từ xa

52 RRAS Routing and Remote Access

Server

Máy chủ truy cập định

hướng và truy vập từ xa.

53 SA Securty Association Kết hợp an ninh

54 SG Signling Gateway Cổng kết nối báo hiệu

55 RTP Real Time Protocol Giao thức thời gian thực

56 SVC Switched Virtual Circuit Mạch ảo chuyển mạch

57 TCP Transmission Control

Protocol

Giao thức điều khiển

đường truyền

58 TE Terminal Equipment Thiết bị đầu cuối

59 UDP User Datagram Protocol Giao thức UDP

60 VC Virtual Circuit Kênh ảo

61 VCI Virtual Circuit Identifier Nhận dạng kênh ảo

62 VNS Virtual Network Service Dịch vụ mạng ảo

63 VPI Virtual Path Identifier Nhận dạng đường ảo

64 VPN Virtual Private Network Mạng riêng ảo

65 VLAN Virtual Local Area Network Mạng LAN ảo

66 WAN Wide Area Network Mạng diện rộng



DANH MỤC CÁC HÌNH VẼ

Hình 1 Phạm vi hoạt động của bộ chuyển mạch .................................................... 24

Hình 2 Chuyển mạch Lớp 3 ................................................................................... 27

Hình 3 Một số dòng router của cisco ...................................................................... 30

Hình 4 Một số loại cáp thông dụng ........................................................................ 31

Hình 5 Card mạng ................................................................................................... 32

Hình 6 Gateway ...................................................................................................... 33

Hình 7 Modems ...................................................................................................... 33

Hình 8 Mạng 3 lớp .................................................................................................. 33

Hình 9 Mạng phân cấp ........................................................................................... 34

Hình 10 Định tuyến véc tơ khoảng cách ................................................................. 39

Hình 11 Mô hình Vlan ........................................................................................... 45

Hình 12 Cách thức hoạt động của Vlan ................................................................. 47

Hình 13 Mô hình VLAN TRUNKING PROTOCOL 1 ........................................ 48

Hình 14 Mô hình VLAN TRUNKING PROTOCOL 2 ......................................... 49

Hình 15 Các mode trong VTP ................................................................................ 52

Hình 16. Sự lượt bớt trong VTP ............................................................................ 55

Hình 17 Mô hình High Availability ....................................................................... 57

Hình 18 Mô hình Etherchannel .............................................................................. 59

Hình 19 Mô hình PAgP và LACP ......................................................................... 62

Hình 20 Cơ chế hoạt động STP ............................................................................. 65

Hình 21 Mô hình Default Gateway ........................................................................ 70

Hình 22 Mô hình Proxy ARP ................................................................................. 72

Hình 23 Mô hình Router Redundancy 1 ................................................................. 73

Hình 24 Mô hình Router Redundancy 2 ................................................................ 74

Hình 25 Quy trình hoạt động HSRP ....................................................................... 75

Hình 26 Cách thức hoạt động địa chỉ IP và địa chỉ Mac trong HSRP .................... 76

Hình 27 Cách thức hoạt động của các gói tin trong HSRP .................................... 78



Hình 28 Các trạng thái trong giao thức HSRP ...................................................... 79

Hình 29 Mô hình Vitural Router Redundancy Protocol ........................................ 81

Hình 30 Mô hình Gateway Load Balancing Protocol ........................................... 82

Hình 31 Bảng so sánh HSRP, VRRP, GLBP ......................................................... 83

Hình 32 Ưu điểm của Access Control List ............................................................ 84

Hình 33 Hoạt động của DHCP .............................................................................. 90

Hình 34 Mô hình Dynamic NAT ........................................................................... 91

Hình 35 Ưu điểm NAT .......................................................................................... 92

Hình 36 Mô hình Frame-Relay .............................................................................. 95

Hình 37 Tốc độ DSL .............................................................................................. 97

Hình 38 Mô hình MPLS Topology ........................................................................ 99

Hình 39 Mô hình VPN ......................................................................................... 102

Hình 40 Thiết lập VPN từ xa .............................................................................. 106

Hình 41 Thiết lập Intranet VPN ............................................................................ 107

Hình 42 Thiết lập mạng VPN Extranet ................................................................. 108

Hình 43 Ba trường của SA................................................................................... 111

Hình 44 Các giao thức trong IP-Sec ..................................................................... 114

Hình 45 Cấu trúc gói tin AH ................................................................................. 115

Hình 46 Các phần tin chứng thực trong AH ......................................................... 117

Hình 47 Quá trình tạo gói tin trong AH ............................................................... 117

Hình 48 Cấu trúc gói tin ESP .............................................................................. 119

Hình 49 Quá trình tạo gói tin trong ESP .............................................................. 121

Hình 50 So sánh giữa AH và ESP ....................................................................... 123

Hình 51 Chế độ Tunnel Mode và Transport Mode.............................................. 124

Hình 52 Datagram IPSec trong Tunnel Mode ..................................................... 124

Hình 53 Datagram IPSec trong Transport Mode ................................................. 125

Hình 54 Các giai đoạn của IKE Phases ................................................................ 127

Hình 55 Các quá trình của Main mode ................................................................ 128



Hình 56 Cả Main mode và Aggressive mode đều thuộc giai đoạn I. ................... 129

Hình 57 Các quá trình của Quick mode ................................................................ 130

Hình 58 Các quá trình của New group mode ...................................................... 130

Hình 59 IKE Phase 1 ........................................................................................... 132

Hình 60 Tập chính sách IKE ................................................................................ 133

Hình 61 Xác thực các đối tác ............................................................................... 134

Hình 62 Thoả thuận các thông số bảo mật IPSec ................................................. 135

Hình 63 Tập chuyển đổi IPSec ............................................................................ 136

Hình 64 Các kết hợp an ninh ................................................................................ 137

Hình 65 Kết thúc đường hầm................................................................................ 138

Hình 66 Dịch vụ xác thực người dùng quay số từ xa RADIUS. .......................... 142

Hình 67 Xác thực từ xa dựa trên TACACS. ......................................................... 142

Hình 68 Luồng thông tin trong RADIUS. ........................................................... 144

Hình 69 Sử dụng RADIUS với các đường hầm tầng 2. ....................................... 146

Hình 70 Cổng mạch vòng. ................................................................................... 147

Hình 71 SSL – so sánh chuẩn giữa chuẩn và phiên SSL. ..................................... 149

Hình 72 Mô hình triển khai DMVPN .................................................................. 153

Hình 73 Dual DMVPN Cloud Topology ............................................................. 156

Hình 74 Single DMVPN Cloud Topology .......................................................... 157

Hình 75 Hub-and-Spoke Deployment Model ....................................................... 158

Hình 76 Spoke-to-Spoke Deployment Model ..................................................... 159

Hình 77 Single Tier Headend Architecture ......................................................... 160

Hình 78 Dual Tier Headend Architecture ............................................................ 161

Hình 79 Single DMVPN Cloud Topology ........................................................... 162

Hình 80 Mô hình VPN với cơ chế Tunnel ............................................................ 164

Hình 81 Mô hình IP ............................................................................................. 164

Hình 82 Ví dụ về GRE .......................................................................................... 166

Hình 83 Mô hình VPN thông thường ................................................................... 170



Hình 84 Mô hình DMVPN .................................................................................. 171

Hình 85 Mô hình sử dụng DMVPN, HA .............................................................. 173

Hình 86 Sơ đồ tổng quan kết nối trụ sở và chi nhánh .......................................... 175

Hình 87 Sơ đồ tổng quan trụ sở TP.HCM ............................................................ 176

Hình 88 Sơ đồ tổng quan chi nhánh Hà Nội ......................................................... 177

Hình 89 Sơ đồ tổng quan chi nhánh Đà Nẵng ...................................................... 178

Hình 90 Sơ đồ lab thực hiện đề tài ....................................................................... 182

Hình 91 Etherchannel trên SW-CORE1 ............................................................... 185

Hình 92 Etherchannel trên SW-ACCESS2........................................................... 185

Hình 93 VTP trên SW-CORE1 ............................................................................. 186

Hình 94 VTP trên SW-ACCESS1 ........................................................................ 186

Hình 95 VLAN trên SW-CORE1 ......................................................................... 187

Hình 96 Gán port cho VLAN trên SW-ACCESS1 ............................................... 188

Hình 97 HSRP VLAN 10 SW-CORE1 ................................................................ 190



Hình 100 HSRP VLAN 40 SW-CORE1 .............................................................. 192







Hình 107 IP được cấp bởi DHCP Server .............................................................. 196

Hình 108 DHCP cấp cho VLAN 10 Giám Đốc .................................................... 197

Hình 109 Kế toán telnet thất bại ........................................................................... 199

Hình 110 IT Telnet thành công ............................................................................. 200

Hình 111 Kiểm tra NAT tại NAT-HN .................................................................. 200



Hình 112 DHCP cấp cho R-HN. ........................................................................... 202

Hình 113 Tunnel trên NAT-HN ........................................................................... 203

Hình 114 Tunnel trên NAT-DN ........................................................................... 204

Hình 115 Tunnel trên R-HN ................................................................................. 205

Hình 116 Tunnel trên R-DN ................................................................................. 206

Hình 117 Kiểm tra IPSec trên NAT-HN .............................................................. 208



DANH MỤC BẢNG

2.2 Bảng phân hoạch địa chỉ IP ......................................................................... 179

3. Bảng thống kê chi phí thiết bị ....................................................................... 181



CHƯƠNG 1. TỔNG QUAN ĐỀ TÀI

1.1 Giới thiệu đề tài

Ngân hàng Vietbank đã hình thành triển khai kết nối mạng WAN tới nhiều tỉnh và

thành phố lớn trong cả nước (Tp.HCM, Hà nội, Đà nẵng), Vietbank đang từng bước xây

dựng hệ thống mạng trục chính kết nối 3 trung tâm – 3 thành phố lớn Tp.HCM, Hà nội, Đà

nẵng nối xuống các chi nhánh cấp dưới theo mô hình phân cấp, do yêu câu phát triển của

dịch vụ ngân hàng mới mạng WAN này cần phải kết nối và trao đổi thông tin với mạng

Internet toàn cầu và với mạng của các đơn vị khác ở Việt Nam. Do vậy Vietbank đã quyết

định xây dựng 2 cổng kết nối ra Internet và các tổ chức bên ngoài. Trong đó trụ sở chính

lắp đặt tại TP.HCM là trọng điểm phát triển công nghệ nền tảng cho toàn bộ công đoạn

phát triển mạng WAN trong tương lai của Vietbank.

1.2 Xu hướng công nghệ

Cùng với sự phát triển của xã hội và nhu cầu của người sử dụng cho công việc ngày

càng cao do đó càng thúc đẩy quá trình phát triển của nghành công nghệ thông tin. Trong

một công ty, tổ chức thì nhu cầu trao đổi thông tin tài liệu giữa các nhân viên với nhau là

rất quan trọng, vì vậy việc thiết kế mạng cho công ty là điều không thể thiếu. Và các công

nghệ mạng đã được ra đời nhằm hỗ trợ cho các doanh nghiệp, cơ quan tiết kiệm được chi

phí cho hệ thống mà vẫn đảm bảo được sự vận hành của hệ thống, nâng cao hiệu suất làm

việc, tăng tính bảo mật.

1.3 Ứng dụng thực tiễn

VLAN (Virual Local Area Network) hay còn gọi là mạng Lan ảo là một lựa chọn tối

ưu của các cơ quan doanh nghiệp ứng dụng hệ thống CNTT, với chi phí hợp lý tận dụng

được cơ sở hạ tầng có sẵn, giảm chi phí vận hành và bảo dưỡng, tính linh động cao giúp

cho các cơ quan, doanh nghiệp tận dụng tối đa tài nguyên hệ thống dựa trên nền của hệ



thống mạng cục bộ, giúp cho việc sử dụng hệ thống, thông tin truyền tải dữ liệu diễn ra

một cách an toàn và hiệu quả.

DMVPN (Dynamic Multipoint Virtual Network) là sự kết hợp của các công nghệ:

IPSec, MGRE và NHRP các công nghệ này kết hợp lại cho phép được triển khai IPSec

trong mạng riêng ảo, có thể xây dựng trên cơ sở hạ tầng sẵn có của mạng Internet giúp

kết nối các nhánh hệ thống mạng lại với nhau trên vùng địa lý rộng lớn nhưng lại có được

các tính chất của một mạng cục bộ như khi sử dụng các đường Leased-line. Với chi phí

hợp lý, DMVPN có thể giúp doanh nghiệp tiếp xúc toàn cầu một cách nhanh chóng và hiệu

quả.



CHƯƠNG 2. TÌM HIỂU KIẾN THỨC

I. TỔNG QUAN VỀ HỆ THỐNG MẠNG LAN

1. Khái niệm về LAN

LAN (viết tắt từ tên tiếng Anh Local Area Network, "mạng máy tính cục bộ") là một

hệ thống mạng dùng để kết nối các máy tính trong một phạm vi nhỏ như nhà ở, phòng làm

việc, trường học. Các máy tính trong mạng LAN có thể chia sẻ tài nguyên với nhau, mà

điển hình là chia sẻ tập tin, máy in, máy quét và một số thiết bị khác.

Một mạng LAN tối thiểu cần có máy chủ (server), các thiết bị ghép nối (Repeater, Hub,

Switch, Bridge), máy tính con (client), card mạng (Network Interface Card – NIC) và dây

cáp (cable) để kết nối các máy tính lại với nhau. Trong thời đại của hệ điều hành MS-DOS,

máy chủ mạng LAN thường sử dụng phần mềm Novell NetWare, tuy nhiên điều này đã

trở nên lỗi thời hơn sau khi Windows NT và Windows for Workgroups xuất hiện. Ngày

nay hầu hết máy chủ sử dụng hệ điều hành Windows, và tốc độ mạng LAN có thể lên đến

10 Mbps, 100 Mbps hay thậm chí là 1 Gbps.

1.1 Một số thiết bị cấu thành mạng

1.1.1 Thiết bị chuyển mạch (Switch)

Có hai loại là Switch lớp 2 làm việc trên tầng Data Link và Switch lớp 3 làm việc

trên tầng Network của mô hình OSI.

Chuyển mạch là một quá trình thực hiện đấu nối và chuyển thông tin cho người sử

dụng thông qua hạ tầng mạng viễn thông. Nói cách khác, chuyển mạch trong viễn thông

bao gồm chức năng định tuyến cho thông tin và chức năng chuyển tiếp thông tin. Như vậy,

theo khía cạnh thông tin thường khái niệm chuyển mạch gắn liền với mạng và lớp liên kết

dữ liệu trong mô hình OSI của tổ chức tiêu chuẩn quốc tế ISO.

Bộ chuyển mạch là sự tiến hóa của cầu nối, nhưng có nhiều cổng và dùng các mạch tích

hợp nhanh để giảm độ trễ của việc chuyển khung dữ liệu.



Hình 1 Phạm vi hoạt động của bộ chuyển mạch

Nhiệm vụ của switch là chuyển tiếp các khung từ nhánh mạng này sang nhánh mạng

khác một cách có chọn lọc dựa vào địa chỉ MAC của máy tính. Để làm được điều này,

switch cần phải duy trì trong bộ nhớ của mình một bảng địa chỉ cục bộ chứa vị trí của tất

cả các máy tính trong mạng. Mỗi máy tính sẽ chiếm một mục từ trong bảng địa chỉ. Mỗi

switch được thiết kế với một dung lượng bộ nhớ giới hạn. Và như thế, nó xác định khả

năng phục vụ tối đa của một switch. Chúng ta không thể dùng switch để nối quá nhiều

mạng với nhau.

Switch là một thiết bị chọn lựa đường dẫn để gửi frame đến đích, switch hoạt động ở

Lớp 2 của mô hình OSI.

Switch quyết định chuyển frame dựa trên địa chỉ MAC, do đó switch được xếp vào thiết

bị hoạt động ở Lớp 2. Chính nhờ switch lựa chọn đường dẫn để quyết định chuyển frame

lên mạng LAN có thể hoạt động hiệu quả hơn. Switch nhận biết máy nào kết nối vào cổng

của nó bằng cách đọc địa chỉ MAC nguồn trong frame mà nó nhận được. Khi hai máy thực

hiện liên lạc với nhau, switch chỉ thiết lập một mạch ảo giữa hai cổng tương ứng mà không

làm ảnh hưởng đến lưu thông trên các cổng khác. Do đó, mạng LAN có hiệu suất hoạt

động cao thường sử dụng chuyển mạch toàn bộ.



Switch tập trung các kết nối và quyết định chọn đường dẫn để truyền dữ liệu hiệu quả.

Frame được chuyển mạch từ cổng nhận vào đến cổng phát ra. Mỗi cổng là một kết nối

cung cấp chọn băng thông cho máy.

Để chuyển frame hiệu quả giữa các cổng, switch lưu giữ một bảng địa chỉ. Khi switch

nhận vào một frame, nó sẽ ghi địa chỉ MAC của máy gửi tương ứng với cổng mà nó nhận

frame đó vào.

Các đặc điểm chính của switch:

- Tách biệt giao thông trên từng đoạn mạng.

- Tăng nhiều hơn lượng băng thông dành cho mỗi người dùng bằng cách tạo ra miền

đụng độ nhỏ hơn.

Đặc điểm đầu tiên: Tách biệt giao thông trên từng đoạn mạng, switch chia hệ thống mạng

ra thành các đơn vị cực nhỏ gọi là microsegment. Các segment như vậy cho phép các

người dùng trên nhiều segment khác nhau có thể gửi dữ liệu cùng một lúc mà không làm

chậm các hoạt động của mạng.

Bằng cách chia nhỏ hệ thống mạng, sẽ làm giảm lượng người dùng và thiết bị cùng chia sẻ

một băng thông. Mỗi segment là một miền đụng độ riêng biệt, switch giới hạn lưu lượng

băng thông chỉ chuyển gói tin đến đúng cổng cần thiết dựa trên địa chỉ MAC Lớp 2.

Đặc điểm thứ hai: Switch là bảo đảm cung cấp băng thông nhiều hơn cho người dùng bằng

cách tạo ra các miền đụng độ nhỏ hơn. Switch chia nhỏ mạng LAN thành nhiều đoạn mạng

(segment) nhỏ. Mỗi segment này là một kết nối riêng giống như một làn đường riêng 100

Mb/s. Mỗi server có thể đặt trên một kết nối 100 Mb/s riêng. Trong các hệ thống mạng

hiện nay Fast Ethernet switch được sử dụng làm đường trục chính cho mạng LAN, còn

Ethernet switch hoặc Fast Ethernet hub được sử dụng kết nối xuống máy tính.

Thời gian trễ của Ethernet switch



Thời gian trể là thời gian từ lúc switch nhận frame vào cho đến khi switch đã chuyển

hết frame ra cổng đích. Thời gian trể này phụ thuộc vào cấu hình chuyển mạch và lượng

giao thông qua switch.

Thời gian trễ được đo bằng đơn vị nhỏ hơn giây. Đối với thiết bị mạng hoạt động với

tốc độ cao thì mỗi nano giây (ns) trễ hơn là một ảnh hưởng lớn đến hoạt động mạng.

Chuyển mạch Lớp 2 và Lớp 3

Chuyển mạch là tiến trình nhận frame vào từ một cổng và chuyển frame ra tới một cổng

khác. Router sử dụng chuyển mạch Lớp 3 để chuyển các gói đã được định tuyến xong.

Switch sử dụng chuyển mạch Lớp 2 để chuyển frame.

Sự khác nhau giữa chuyển mạch Lớp 2 và Lớp 3 là loại thông tin nằm trong frame được

sử dụng để quyết định chọn cổng ra là khác nhau. Chuyển mạch Lớp 2 dựa trên thông tin

là địa chỉ MAC. Còn chuyển mạch Lớp 3 là dựa trên địa chỉ lớp mạng (ví dụ như: địa chỉ

IP).

Chuyển mạch Lớp 2 nhìn vào địa chỉ MAC đích trong phần header của frame và chuyển

frame ra đúng cổng dựa theo thông tin địa chỉ MAC trên bảng chuyển mạch. Bảng chuyển

mạch được lưu trong bộ nhớ địa chỉ CAM ( Content Addressable Memory). Nếu switch

lớp 2 không biết gửi frame vào port nào, cụ thể thì đơn giản là nó quảng bá frame ra tất cả

các port của nó. Khi nhận được gói trả lời về, switch sẽ nhận địa chỉ mới vào CAM.

Chuyển mạch Lớp 3 là một chức năng của Lớp mạng. Chuyển mạch Lớp 3 kiểm tra

thông tin nằm trong phần header của Lớp 3 và dựa vào địa chỉ IP đó để chuyển gói.

Dòng giao thông trong mạng chuyển mạch ngang hàng hoàn toàn khác với dòng giao

thông trong mạng định tuyến hay mạng phân cấp. Trong mạng phân cấp dòng giao thông

trong mạng được uyển chuyển hơn trong mạng ngang hàng.

7 Application

6 Presention

4 Transport

5 Session



Hình 2 Chuyển mạch Lớp 3

Khái niệm về collisont domain :

Miền xung đột được định nghĩa là vùng mạng mà trong đó các khung phát ra có thể gây

xung đột với nhau. Càng nhiều trạm trong cùng một miền xung đột thì sẽ làm tăng sự xung

đột và làm giảm tốc độ truyền, vì thế mà miền xung đột còn có thể gọi là miền băng thông

(các trạm trong cùng miền này sẽ chia sẻ băng thông của miền) một trong những nguyên

nhân chính làm cho hoạt động của mạng không hiệu quả.

Mỗi khi một đụng độ xảy ra trên một mạng, tất cả các hoạt động truyền dừng lại trong

một khoảng thời gian. Khoảng thời gian ngưng tất cả hoạt động truyền này thay đổi và

được xác định bởi một thuật toán vãn hồi (backoff) trong mỗi thiết bị mạng.

Bộ nhớ đệm

Ethernet switch sử dụng bộ đệm để giữ và chuyển frame. Bộ đệm còn được sử dụng khi

cổng đích đang bận. Có hai loại bộ đệm có thể sử dụng để chuyển frame là bộ đệm theo

cổng và bộ đệm chia sẻ.



Trong bộ đệm theo cổng, frame được lưu thành từng đợt tương ứng với từng cổng nhận

vào. Sau đó frame sẽ được chuyển sang hàng đợi của cổng đích khi tất cả các frame trước

nó trong hàng đợi đã được chuyển hết. Như vậy một frame có thể làm cho tất cả các frame

còn lại trong trong hàng đợi phải hoãn lại vì cổng đích của frame này đang bận. Ngay khi

cổng đích còn đang trống thì cũng phải chờ một khoảng thời gian để chuyển hết frame đó.

Bộ được chia sẻ để tất cả các frame vào chung một bộ nhớ. Tất cả các cổng của switch

chia sẻ cùng một bộ đệm dung lượng bộ đệm phân bổ theo nhu cầu của mỗi cổng tại mỗi

thời điểm. Frame được tự động đưa ra cổng phát. Nhờ cơ chế chia sẻ này, một frame nhận

được từ cổng này không cần phải chuyển hàng đợi để phát ra cổng khác.

Swicth giữ một sơ đồ cho biết frame nào tương ứng với cổng nào và sơ đồ này sẽ xóa đi

sau khi đã truyền frame thành công. Bộ đệm được sử dụng theo dạng chia sẻ. Do đó lượng

frame trong bộ đệm bị giới hạn bởi tổng dung lượng của bộ đệm chứ không phụ thuộc vào

vùng đệm của từng cổng như dạng bộ đệm theo cổng. Do đó frame lớn có thể chuyển đi

được và ít bị rớt gói hơn. Điều này rất quan trọng đố với chuyển mạch bất đồng bộ vì frame

được chuyển giữa hai cổng có hai tốc độ khác nhau.

- Bộ đệm theo cổng lưu các frame theo hàng đợi tương ứng với từng cổng nhận vào.

- Bộ đệm chia sẻ lưu tất cả các frame vào chung một bộ nhớ. Tất cả các cổng trên

switch chia sẻ cùng một vùng nhớ này.

Phương pháp chuyển mạch

Có hai phương pháp chuyển mạch:

- Store – and – forward: Nhận vào toàn bộ frame xong rồi mới bắt đầu chuyển đi.

Switch đọc địa chỉ nguồn, đích và lọc frame nếu cần trước khi quyết định chuyển

frame ra. Vì switch phải nhận xong toàn bộ frame rồi mới bắt đầu tiến trình chuyển

mạch frame nên thời gian trễ càng lớn đối với frame càng lớn. Tuy nhiên nhờ vậy

switch mới kiểm tra lỗi cho toàn bộ frame giúp khả năng phát hiện lỗi cao hơn.



- Cut – through: Frame được chuyển đi trước khi nhận xong toàn bộ frame. Chỉ cần

địa chỉ đích có thể đọc được rồi là có thể chuyển frame ra. Phương pháp này làm

giảm thời gian trễ nhưng đồng thời làm giảm khả năng phát hiện lỗi frame.

Sau đây là hai chế độ chuyển mạch cụ thể theo phương pháp cut – through:

o Fast – forward: Chuyển mạch nhanh có thời gian gian trễ thấp nhất. Chuyển

mạch nhanh sẽ chuyển frame ra ngay sau khi đọc được địa chỉ đích của frame

mà không cần phải chờ nhận hết frame. Do đó cơ chế này không kiểm tra

được frame nhận vào có bị lỗi hay không dù điều này không xảy ra thường

xuyên và máy đích sẽ hủy gói tin nếu gói tin đó bị lỗi. Trong cơ chế chuyển

mạch nhanh, thời gian trễ được tính từ lúc switch nhận vào bit đầu tiên cho

đến khi switch phát ra bit đầu tiên.

o Fragment – free: cơ chế chuyển mạch này sẽ lọc bỏ các mảnh gãy do dụng

độ gây ra trước khi bắt đầu chuyển gói. Hầu hết các frame bị lỗi trong mạng

là những gãy của frame do bị đụng độ. Trong mạng hoạt động bình thường,

một mảnh frame gãy do đụng độ gây ra phải nhỏ hơn 64 byte. Bất kỳ trong

frame nào lớn hơn 64 byte đều xem là hợp lệ và thường không có lỗi. Do cơ

chế chuyển mạch không mảnh gãy sẽ chờ nhận đủ 64byte đầu tiên của frame

để bảo đảm frame nhận được không phải là một mảnh gãy do bị đụng độ rồi

mới bắt đầu chuyển frame đi. Trong chế độ chuyển mạch này, thời gian trễ

cũng được tính từ switch nhận được bit đầu tiên cho đến khi switch phát

switch phát đi bit đầu tiên đó.

Thời gian trễ của mỗi chế độ chuyển mạch phụ thuộc vào cách mà switch chuyển frame

như thế nào. Để chuyển frame được nhanh hơn, switch đã bớt thời gian kiểm tra lỗi frame

đi nhưng làm như vậy lại làm tăng dữ liệu cần truyền lại.



1.1.2 Bộ tìm đường (Router)

Hình 3 Một số dòng router của cisco

Cấu tạo của một router tương tự như một máy tính bao gồm các thành phần chính: CPU,

ROM, RAM, NVRAM, Flash memory, interface.

Router là một thiết bị hoạt động trên tầng 3, nó có thể tìm được đường đi tốt nhất cho

các gói tin qua nhiều kết nối để đi từ trạm gửi thuộc mạng đầu đến trạm nhận thuộc mạng

cuối. Router có thể được sử dụng trong việc nối nhiều mạng với nhau và cho phép các gói

tin có thể đi theo nhiều đường khác nhau để tới đích.

Khi xử lý một gói tin Router phải tìm được đường đi của gói tin qua mạng. Để làm được

điều đó Router phải tìm được đường đi tốt nhất trong mạng dựa trên các thông tin nó có về

mạng, thông thường trên mỗi Router có một bảng chỉ đường (Router table). Dựa trên dữ

liệu về Router gần đó và các mạng trong liên mạng, Router tính được bảng chỉ đường

(Router table) tối ưu dựa trên một thuật toán xác định trước.



1.1.3 Cáp (Cable)

Cáp dùng làm phương tiện truyền dẫn kết nối giữa các thành phần của mạng với nhau.

Trong mô hình OSI cáp được coi là thiết bị tầng 1.

Cáp đồng trục

mảnh 10Base2

Cáp đồng trục

dày 10Base5

Cáp xoắn đôi

10BaseT

Cáp quang

Chi phí Đắt hơn cáp

xoắn đôi

Đắt hơn cáp

mảnh

Rẻ nhất Đắt nhất

Độ dài đường

chạy tối đa

185m 500m 100m Dài đến vài

Km

Chống nhiễu Tốt Tốt Không tốt Rất tốt

Tốc độ truyền 10Mbps 10Mbps 10Mbps Có thể đến

2Gbps

Hình 4 Một số loại cáp thông dụng



1.1.4 Card mạng (Nic Card)

Card mạng (hay còn gọi là NIC card hay Adapter card) là thiết bị nối kết giữa máy tính

và cáp mạng. Chúng thường giao tiếp với máy tính qua các khe cắm. Các chức năng chính

của card mạng:

- Chuẩn bị dữ liệu đưa lên mạng: trước khi đưa lên mạng, dữ liệu phải được chuyển

từ dạng byte, bit sang tín hiệu điện để có thể truyền trên cáp.

- Gửi dữ liệu đến máy tính khác.

- Kiểm soát luồng dữ liệu giữa máy tính và hệ thống cáp.

Hình 5 Card mạng

1.1.5 Cổng ra vào (Gateway)

Gateway dùng để kết nối các mạng không thuần nhất chẳng hạn như các mạng cục

bộ và các mạng máy tính lớn (Mainframe), do các mạng hoàn toàn không thuần nhất nên

việc chuyển đổi thực hiện trên cả 7 tầng của hệ thống mở OSI. Thường được sử dụng nối

các mạng LAN vào máy tính lớn. Gateway có các giao thức xác định trước thường là nhiều

giao thức, một Gateway đa giao thức thường được chế tạo như các Card có chứa các bộ xử

lý riêng và cài đặt trên các máy tính hoặc thiết bị chuyên biệt.

Hoạt động của Gateway thông thường phức tạp hơn là Router nên thông suất của nó

thường chậm hơn và thường không dùng nối mạng LAN - LAN.



Hình 6 Gateway

1.1.6 Bộ điều giải (Modems)

Modem là bộ điều chế và giải điều chế để biến đổi các tín hiệu số thành tín hiệu tương

tự và ngược lại trên mạng.

Tín hiệu số từ máy tính đến Modem, được Modem biến đổi thành tín hiệu tương tự để

có thể đi qua mạng. Tín hiệu này đến Modem ở điểm B được biến đổi ngược lại thành tín

hiệu số đưa vào máy tính ở B

Hình 7 Modems

1.2 Mô hình mạng 3 lớp của cisco

Hình 8 Mạng 3 lớp



Cisco đưa ra mô hình thiết kế mạng cho phép người thiết kế tạo một mạng luận lý bằng

cách định nghĩa và sử dụng các lớp của thiết bị mang lại tính hiệu quả, tính thông minh,

tính mở rộng và quản lý dễ dàng.

Mô hình mạng phân cấp (Hierarchical Network Model)

Hình 9 Mạng phân cấp

Mô hình này gồm có ba lớp: Access, Distribution, và Core. Mỗi lớp có các thuộc tính

riêng để cung cấp cả chức năng vật lý lẫn luận lý ở mỗi điểm thích hợp trong mạng Campus.

Việc hiểu rõ mỗi lớp và chức năng cũng như hạn chế của nó là điều quan trọng để ứng

dụng các lớp đúng cách quá trính thiết kế.

1.2.1 Lớp Core

Lớp Core của mạng Campus cung cấp các kết nối của tất cả các thiết bị lớp Distribution.

Lớp Core thường xuất hiện ở backbone của mạng, và phải có khả năng chuyển mạch lưu

lượng một cách hiệu quả. Các thiết bị lớp Core thường được gọi là các backbone switch,

và có những thuộc tính sau:

• Thông lượng ở lớp 2 hoặc lớp 3 rất cao.

• Chi phí cao

• Có khả năng dự phòng và tính co dãn cao.



• Chức năng QoS.

1.2.2 Lớp Distribution

Lớp Distribution cung cấp kết nối bên trong giữa lớp Access và lớp Core của mạng

Campus.

Thiết bị lớp này được gọi là các siwtch phân phát, và có các đặc điểm như sau:

• Thông lượng lớp ba cao đối với việc xử lý gói.

• Chức năng bảo mật và kết nối dựa trên chính sách qua danh sách truy cập

hoặc lọc gói.

• Tính năng QoS.

1.2.3 Lớp Access

Lớp Access xuất hiện ở người dùng đầu cuối được kết nối vào mạng. Các thiết bị trong

lớp này thường được gọi là các switch truy cập, và có các đặc điểm sau:

• Chi phí trên mỗi port của switch thấp.

• Mật độ port cao.

• Mở rộng các uplink đến các lớp cao hơn.

• Chức năng truy cập của người dùng như là thành viên VLAN, lọc lưu lượng

và giao thức, và QoS.

Tính co dãn thông qua nhiều uplink.

2. Khái niệm Routing

2.1 Khái quát về định tuyến

Định tuyến trên Internet được thực hiện dựa trên các bảng định tuyến (Routing table)

được lưu tại các trạm (Host) hay trên các thiết bị định tuyến (Router). Thông tin trong các

bảng định tuyến được cập nhật tự' động hoặc do người dùng cập nhật.

Các phạm trù dùng trong định tuyến là:



Tính có thể được (Reachability) dùng cho các giao thức EGP như BGP.

Vectơ kkoảng cách (Vector-Distance) giữa nguồn và đích dùng cho RIP.

Trạng thái kết nối (Link State) như thông tin về kết nối dùng cho OSPF.

2.2 Nguyên tắc định tuyến

Trong hoạt động định tuyến, người ta chia làm hai loại là định tuyến trực tiếp và định

tuyến gián tiếp. Định tuyến trực tiếp là định tuyến giữa hai máy tính nối với nhau vào một

mạng vật lý. Định tuyến gián tiếp là định tuyến giữa hai máy tính ở các mạng vật lý khác

nhau nên chúng phải thực hiện thông qua các Gateway.

Để kiểm tra xem máy đích có nằm trên cùng một mạng vật lý với máy nguồn không

thì người gửi phải tách lấy địa chỉ mạng của máy đích trong phần tiêu đề của gói dữ liệu

và so sánh với phần địa chỉ mạng trong phần địa chỉ IP của nó. Nếu trùng thì gói tin sẽ

được truyền trực tiếp nếu không cần phải xác định một Gateway

để truyền các gói tin này thông qua nó để ra mạng ngoài thích hợp.

Hoạt động định tuyến bao gồm hai hoạt động cơ bản sau:

• Quản trị cơ sở dữ liệu định tuyến: Bảng định tuyến(bảng thông tin chọn đường)

là nơi lưu thông tin về các đích có thế tới được và cách thức để tới được đích đó. Khi phần

mềm định tuyến IP tại một trạm hay một cổng truyền nhận được yêu cầu truyền một gói

dữ liệu, trước hết nó phải tìm trong bảng định tuyến, để quyết định xem sẽ phải gửi

Datagram đến đâu. Tuy nhiên, không phải bảng định tuyến của mỗi trạm hay cống đều

chứa tất cả các thông tin về các tuyến đường có thể tới được. Một bảng định tuyến bao

gồm các cặp (N,G). Trong đó:

+ N là địa chỉ của IP mạng đích

+ G là địa chỉ cống tiếp theo dọc theo trên đường truyền đến mạng N



Bảng định tuyến của một cổng truyền

Đến Host trên mạng Bộ định tuyến Cổng vật lý

10.0.0.0 Direct 2

11.0.0.0 Direct 1

12.0.0.0 11.0.0.2 1

13.0.0.0 Direct 3

13.0.0.0 13.0.0.2 3

15.0.0.0 10.0.02 5

Như vậy, mỗi cổng truyền không biết được đường truyền đầy đủ để đi đến đích.

Trong bảng định tuyến còn có những thông tin về các cổng có thể tới đích

nhưng không nằm trên cùng một mạng vật lý. Phần thông tin này được che khuất đi và

được gọi là mặc định (default). Khi không tìm thấy các thông tin về địa chỉ đích cần tìm,

các gói dữ liệu được gửi tới cổng truyền mặc định.

• Thuật toán định tuyến được mô tả như sau:

+ Nếu địa chỉ đích là một trong các địa chỉ IP của các kết nối trên mạng thì xử lý gói

dữ liệu IP tại chổ.

+ Xác định địa chỉ mạng đích bằng cách nhân (AND) mặt nạ mạng (Network Mask)

với địa chỉ IP đích.

+ Nếu địa chỉ đích không tìm thấy trong bảng định tuyến thì tìm tiếp trong tuyến đường

mặc định, sau khi tìm trong tuyến đường mặc định mà không tìm thấy các thông tin về địa

chỉ đích thì huỷ bỏ gói dữ liệu này và gửi thông điệp ICMP báo lỗi “mạng đích không đến

được” cho thiết bị gửi.

+ Nếu địa chỉ mạng đích bằng địa chỉ mạng của hệ thống, nghĩa là thiết bị đích đến

được kết nối trong cùng mạng với hệ thống, thì tìm địa chỉ mức liên kết tương ứng với

bảng tương ứng địa chỉ IP-MAC, nhúng gói IP trong gói dữ liệu mức liên kết và chuyển

tiếp gói tin trong mạng.

+ Trong trường hợp địa chỉ mạng đích không bằng địa chỉ mạng của hệ thống thì



chuyển tiếp gói tin đến thiết bị định tuyến cùng mạng.

2.3 Phân loại định tuyến

2.3.1 Định tuyến tĩnh

Ở phương pháp này, thông tin định tuyến được cung cấp từ nhà quản trị mạng thông

qua các thao tác bằng tay vào trong cấu hình của Router. Nhà quản trị mạng phải cập nhật

bằng tay đối với các mục chỉ tuyến tĩnh này bất cứ khi nào topo liên mạng bị thay đổi.

2.3.2 Định tuyến động

Ớ phương pháp này, thông tin định tuyến được cập nhật một cách tự động. Công việc

này được thực hiện bởi các giao thức định tuyến được cài đặt trong Router. Chức năng của

giao thức định tuyến là định đường dần mà một gói tin truyền qua một mạng từ nguồn đến

đích. Ví dụ giao thức thông tin định tuyến RIP, OSPF.

2.3.3 Các thuật toán định tuyến động

a. Định tuyến vector khoảng cách (distance-vector routing protocols)

Định tuyến vector khoảng cách dựa trên thuật toán định tuyến Bellman Ford là một

phương pháp định tuyến đơn giản, hiệu quả và được sử dụng trong nhiều giao thức định

tuyến như RIP, OSPF.

Vector khoảng cách được thiết kế đế giảm tối đa sự liên lạc giữa các Router cũng như

lượng dữ liệu trong bảng định tuyến. Bản chất của định tuyến vector khoảng cách là một

Router không cần biết tất cả các đường đi đến các phân đoạn mạng, nó chỉ cần biết phải

truyền một datagram được gán địa chỉ đến một phân đoạn mạng đi theo hướng nào. Khoảng

cách giữa các phân đoạn mạng được tính bằng số lượng Router mà datagram phải đi qua

khi được truyền từ phân đoạn mạng này đến phân đoạn mạng khác. Router sử dụng thuật

toán vector khoảng cách để tối ưu hoá đường đi bằng cách giảm tối đa số lượng Router mà

datagram đi qua. Tham số khoảng cách này chính là số chặng phải qua (hop count).

Định tuyến vector khoảng cách dựa trên quan niệm rằng một router sẽ thông báo cho

các router lân cận nó về tất cả các mạng nó biết và khoảng cách đến mỗi mạng này. Một



router chạy giao thức định tuyến vector khoảng cách sẽ thông báo đến các router kế cận

được kết nối trực tiếp với nó một hoặc nhiều hơn các vector khoảng cách. Một vector

khoảng cách bao gồm một bộ (network, cost) với network là mạng đích và cost là một giá

trị có liên quan nó biểu diễn số các router hoặc link trong đường dẫn giữa router thông báo

và mạng đích. Do đó cơ sở dữ liệu định tuyến bao gồm một số các vector khoảng cách

hoặc cost đến tất cả các mạng từ router đó.

Khi một router thu được bản tin cập nhật vector khoảng cách từ router kế cận nó thì

nó bổ xung giá trị cost của chính nó (thường bằng 1) vào giá trị cost thu được trong bản

tin cập nhật. Sau đó router so sánh giá trị cost tính được này với thông tin thu được trong

bản tin cập nhật trước đó. Nếu cost nhỏ hơn thì router cập nhật cơ sở dữ liệu định tuyến

với các cost mới, tính toán một bảng định tuyến mới, nó bao gồm các router kế cận vừa

thông báo thông tin vector khoảng cách mới như next-hop.

Hình 10 Định tuyến véc tơ khoảng cách

Router C thông báo một vecto khoảng cách (netl, lhop) cho mạng đích netl được nối

trực tiếp với nó. Router B thu được véc tơ khoảng cách này thực hiện bố sung cost của nó

(lhop) và thông báo nó cho router A (netl, 2hop). Nhờ đó router A biết rằng nó có thế đạt

tới netl với 2 hop và qua router B.

Mặc dù định tuyến véc tơ khoảng cách đơn giản nhưng một số vấn đề phổ biến có thế

xảy ra. Ví dụ liên kết giữa 2 router B và C bị hỏng thì router B sẽ cố gắng tái định tuyến

các gói qua router A vì router A theo một đường nào đó thông báo cho router B một véc

tơ khoảng cách là (netl, 4hop). Router B sẽ thu véc tơ khoảng cách này và gửi ngược lại

(netl,lhop) (netl.2hop)

----- —► -------------- ---- ►



cho router A véc tơ khoảng cách (netl, 5hop). Đây là sự cố đếm vô hạn có thế làm cho thời

gian cần thiết đế hội tụ kéo dài hơn.

b. Định tuyến theo trạng thái liên kết (Link-state routing protocols)

Định tuyến vector khoảng cách sẽ không còn phù hợp đối với một mạng lớn gồm rất

nhiều Router. Khi đó mỗi Router phải duy trì một mục trong bảng định tuyến cho mỗi đích,

và các mục này chỉ đơn thuần chứa các giá trị vector và hop count. Router cũng không thể

tiết kiệm năng lực của mình khi đã biết nhiều về cấu trúc mạng. Hơn nữa, toàn bộ bảng giá

trị khoảng cách và hop count phải được truyền giữa các Router cho dù hầu hết các thông

tin này không thực sự cần thiết trao đổi giữa các Router.

Định tuyến trạng thái liên kết ra đời là đã khắc phục được các nhược điếm của định

tuyến vector khoảng cách.

Bản chất của định tuyến trạng thái liên kết là mỗi Router xây dựng bên trong nó một

sơ đồ cấu trúc mạng. Định kỳ, mỗi Router cũng gửi ra mạng những thông điệp trạng thái.

Những thông điệp này liệt kê những Router khác trên mạng kết nối trực tiếp với Router

đang xét và trạng thái của liên kết. Các Router sử dụng bản tin trạng thái nhận được từ các

Router khác đế xây dựng sơ đồ mạng. Khi một Router chuyển tiếp dữ liệu, nó sẽ chọn

đường đi đến đích tốt nhất dựa trên nhũng điều kiện hiện tại.

Giao thức trạng thái liên kết đòi hỏi nhiều thời gian xử lí trên mỗi Router, nhưng giảm

được sự tiêu thụ băng thông bởi vì mỗi Router không cần gửi toàn bộ bảng định tuyến của

mình. Hơn nữa, Router cũng dễ dàng theo dõi lỗi trên mạng vì bản tin trạng thái từ một

Router không thay đối khi lan truyền trên mạng (ngược lại, đối với phương pháp vector

khoảng cách, giá trị hop count tăng lên mỗi khi thông tin định tuyến đi qua một Router

khác).

Định tuyến trạng thái liên kết làm việc trên quan điểm rằng một router có thể thông

báo với mọi router khác trong mạng trạng thái của các tuyến được kết nối đến nó, cost của

các tuyến đó và xác định bất kỳ router kế cận nào được kết nối với các tuyến này. Các

router chạy một giao thức định tuyến trạng thái đường sẽ truyền bá các gói trạng thái đường



LSP (Link State Paket) khắp mạng. Một LSP nói chung chứa một xác định nguồn, xác định

kế cận và cost của tuyến giữa chúng. Các LSP được thu bởi tất cả các router được sử dụng

để tạo nên một cơ sở dữ liệu cấu hình của toàn bộ mạng. Bảng định tuyến sau đó được tính

toán dựa trên nội dung của cơ sở dữ liệu cấu hình. Tất cả các router trong mạng chứa một

sơ đồ của cấu hình mạng và từ đó chúng tính toán đường ngắn nhất (least-cost path) từ

nguồn bất kỳ đến đích bất kỳ. Giá trị gắn với các link giữa các router là cost của link đó.

Các router truyền bá các LSP đến tất cả các router khác trong mạng, nó được sử dụng đế

xây dựng cơ sở dữ liệu trạng thái đường. Tiếp theo, mỗi router trong mạng tính toán một

cây bắt nguồn từ chính nó và phân nhánh đến tất cả các router khác dựa trên tiêu chí đường

ngắn nhất hay đường có chi phí ít nhất.

c. So sánh các thuật toán định tuyến

Các giao thức định tuyển với thuật toán vector tỏ ra đơn giản và hiệu quả trong các

mạng nhỏ, và đòi hỏi ít (nếu có) sự giám sát. Tuy nhiên, chúng không làm việc tốt, và có

tài nguyên tập hợp ít ỏi, dẫn đến sự phát triển của các thuật toán trạng thái kết nối tuy phức

tạp hơn nhưng tốt hơn để dùng trong các mạng lớn. Giao thức vector kém hơn với rắc rối

về đếm đến vô tận.

ưu điểm chính của định tuyến bằng trạng thái kết nối là phản ứng nhanh nhạy hơn,

và trong một khoảng thời gian có hạn, đối với sự thay đối kết nối. Ngoài ra, những gói

được gửi qua mạng trong định tuyến bằng trạng thái kết nối thì nhỏ hơn những gói dùng

trong định tuyến bảng vector. Định tuyến bảng vector đòi hỏi bảng định tuyến đầy đủ

phải được truyền đi, trong khi định tuyến bằng trạng thái kết nối thì chỉ có thông tin về

“hàng xóm” của node được truyền đi. Vì vậy, các gói này dùng tài nguyên mạng ở mức

không đáng kế. Khuyết điếm chính của định tuyến bằng trạng thái kết nối là nó đòi hỏi

nhiều sự lưu trữ và tính toán để chạy hơn định tuyến bảng vector.

d. Các giao thức định tuyến được sử dụng

e. Giao thức định tuyến RIP



RIP sử dụng một thuật toán Vector khoảng cách mà đường xác định đường tốt nhất

bằng sử dụng metric bước nhảy. Khi được sử dụng trong những mạng cùng loại nhỏ,

RIP là một giao thức hiệu quả và sự vận hành của nó là khá đơn giản. RIP duy trì tất cả

bảng định tuyến trong một mạng được cập nhật bởi truyền những lời nhắn cập nhật bảng

định tuyến sau mỗi 30s. Sau một thiết bị RIP nhận một cập nhật, nó so sánh thông tin

hiện tại của nó với những thông tin được chứa trong thông tin cập nhật.

Vào giữa năm 1988, IETF đã phát hành RFC 1058 mô tả hoạt động của hệ thống sử

dụng RIP. Tuy nhiên RFC này ra đời sau khi rất nhiềuhệ thốngRIP đã

được triển khai thành công. Do đó, một số hệ thống sử dụng RIP không hỗ trợ tất cả

những cải tiến của thuật toán vector khoảng cách cơ bản.

❖ Các đặc tính chức năng cơ bán của RIP

• Sử dụng thuật toán định tuyến vector khoảng cách.

• Sử dụng tham số host-count.

• Các router broadcast toàn bộ cơ sở dữ liệu định tuyến 30s một lần.

• Đường kính mạng cực đại mà RIP hỗ trợ là 15hop.

• Nó không hồ trợ VLSM (Variable Length Subnet Mask).

❖ Hạn chế của RIP

Giới hạn độ dài tuyến đường: Trong RIP, cost có giá trị lớn nhất được đặt là 16. Do đó,

RIP không cho phép một tuyến đường có cost lớn hơn 15. Tức là, những mạng có kích

thước lớn hơn 15 bước nhảy phải dùng thuật toán khác. Lưu lượng cần thiết cho việc

trao đôi thông tin định tuyến lớn.

• Tốc độ hội tụ khá chậm

• Không hổ trợ mặt nạ mạng con có độ dài thay đối (VLSM): Khi trao đổi thông tin

về các tuyến đường, RIP không kèm theo thông tin gì về mặt nạ mạng con. Do đó, mạng

sử dụng RIP không thể hỗ trợ mặt nạ mạng con có độ dài thay đổi.

❖ Giao thức thông tín định tuyến phiên bản 2 (RIP-2)

Tổ chức IETF đưa ra hai phiên bản RIP-2 để khắc phục những hạn chế của RIP-1. RIP-



2 có những cải tiến sau so với RIP:

• Hỗ trợ CIDR và VLSM.

• Hỗ trợ chuyển gói đa điểm.

• Hỗ trợ nhận thực.

Hỗ trợ RIP-1: RIP-2 tương thích hoàn toàn với RIP-1.

f. Giao thức định tuyến OSPF

Giao thức OSPF là một giao thức cổng trong. Nó được phát triển đế khắc phục những

hạn chế của giao thức RIP. Bắt đầu được xây dựng vào năm 1988 và hoàn thành vào năm

1991, các phiên bản cập nhật của giao thức này hiện vẫn được phát hành. Tài liệu mới nhất

hiện nay của chuẩn OSPF là RFC2328.OSPF có nhiều tính năng không có ở các giao thức

vector khoảng cách.Việc hỗ trợ các tính năng này đã khiến cho OSPF trở thành một giao

thức định tuyến được sử dụng rộng rãi trong các môi trường mạng lớn. Trong thực tế, RFC

1812 (đưa ra các yêu cầu cho bộ định tuyến IPv4) - đã xác định OSPF là giao thức định

tuyến động duy nhất cần thiết. Sau đây sẽ liệt kê các tính năng đã tạo nên thành công của

giao thức này:

• Cân bằng tải giữa các tuyến cùng cost: Việc sử dụng cùng lúc nhiều tuyến cho phép

tận dụng có hiệu quả tài nguyên mạng.

• Phân chia mạng một cách logic: điều này làm giảm bớt các thông tin phát ra trong

những điều kiện bất lợi. Nó cũng giúp kết hợp các thông báo về định tuyến, hạn chế việc

phát đi những thông tin không cần thiết về mạng.

Hỗ trợ nhận thực: OSPF hỗ trợ nhận thực cho tất cả các node phát thông tin quảng cáo

định tuyến. Điều này hạn chế được nguy cơ thay đối bảng định tuyến với mục đích xấu.

• Thời gian hội tụ nhanh hơn: OSPF cho phép truyền các thông tin về thay đôi tuyến

một cách tức thì. Điều đó giúp rút ngắn thời gian hội tụ cần thiết để cập nhật thông tin cấu

hình mạng.

• Hồ trợ CIDR và VLSM: Điều này cho phép nhà quản trị mạng có thể phân phối

nguồn địa chỉ IP một cách có hiệu quả hơn.



OSPF là một giao thức dựa theo trạng thái liên kết. Giống như các giao thức trạng

thái liên kết khác, mỗi bộ định tuyến OSPF đều thực hiện thuật toán SPF để xử lý các

thông tin chứa trong cơ sở dừ liệu trạng thái liên kết. Thuật toán tạo ra một cây đường đi

ngắn nhất mô tả cụ thể các tuyến đường nên chọn dẫn tới mạng đích.

3. Khái niệm về VLAN

- VLAN là một nhóm các thiết bị mạng không bị giới hạn theo vị trí vật lý hoặc theo

Lan switch mà chúng kết nối vào.

- VLAN là một segment mạng theo logic dựa trên chức năng, đội nhóm hoặc ứng dụng

của một tổ chức chứ không phụ thuộc vị trí vật lý hay kết nối vật lý trong mạng. Tất cả các

máy trạm và server được sử dụng bởi cùng một nhóm làm việc sẽ được đặt trong cùng

VLAN bất kể vị trí hay kết nối vật lý của chúng.

- Mọi công việc cấu hình VLAN hoặc thay đổi cấu hình VLAN đều được thực hiện

trên phần mềm mà không cần thay đổi cáp và thiết bị vật lý.

- Một máy trạm trong một VLAN chỉ được liên lạc với file server trong cùng VLAN

với nó. VLAN được nhóm theo chức năng logic và mỗi VLAN là một broadcast, do đó

gói dữ liệu chỉ được chuyển mạch trong cùng một VLAN.

- VLAN có khả năng mở rộng, bảo mật và quản lý mạng tốt hơn. Router trong cấu trúc

VLAN thực hiện ngăn chặn quảng bá, bảo mật và quản lý traffics. Switch không thể

chuyển mạch traffic giữa các VLAN khác nhau, traffic giữa các VLAN phải được định

tuyến thông qua router.



Hình 11 Mô hình Vlan

3.1 Các Loại VLAN

Có 3 loại thành viên VLAN để xác định và kiểm soát việc xử lý các gói dữ liệu:

- VLAN dựa trên cổng (port based VLAN): mỗi cổng (Ethernet hoặc Fast Ethernet)

được gắn với một VLAN xác định. Do đó mỗi máy tính/thiết bị host kết nối một cổng

của switch đều phụ thuộc vào VLAN đó. Đây là cách cấu hình VLAN đơn giản và phổ

biến nhất.

- VLAN theo địa chỉ MAC ( MAC address based VLAN): mỗi địa chỉ MAC được gán

tới một VLAN nhất định. Cách cấu hình này rất phức tạp và khó khăn trong việc quản

lý.

- VLAN theo giao thức (protocol based VLAN): tương tự với VLAN dựa trên địa chỉ

MAC nhưng sử dụng địa chỉ IP thay cho địa chỉ MAC.

Cách cấu hình này không thông dụng.

- Người dùng thuộc VLAN nào thì tùy theo vào port kết nối của người dùng đó.

- Không cần tìm trong cơ sở dữ liệu khi xác định thành viên của VLAN.

- Dễ dàng quản lý bằng giao diện đồ họa (GUIs).

- Quản lý thành viên của VLAN theo port cũng dễ dàng và đơn giản.



- Bảo mật tối đa giữa các VLAN.

- Gói dữ liệu không “rò rỉ” sang các miền khác.

- Dễ dàng kiểm soát qua mạng.

3.2 Cách thức hoạt động của VLAN

- Mỗi port trên switch có thể gán cho một VLAN khác nhau. Các port nằm trong cùng

một VLAN sẽ chia sẻ gói tin quảng bá với nhau. Nhờ đó mà mạng LAN hoạt động hiệu

quả hơn.

- Thành viên cố định của VLAN được xác định theo port. Khi thiết bị kết nối một port

vào switch, tùy theo port thuộc loại VLAN nào thì thiết bị sẽ nằm trong VLAN đó.

- Mặc định, tất cả các port trên một switch đều nằm trong VLAN quản lý. VLAN quản

lý luôn luôn là VLAN 1 và chúng ta không thể xóa VLAN này được. Sau đó chúng ta có

thể cấu hình gán port vào các VLAN khác. VLAN cung cấp băng thông tin nhiều hơn cho

user so với mạng chia sẻ. Trong mạng chia sẻ, các user cùng chia sẻ một băng thông trong

mạng đó, càng nhiều user trong một mạng chia sẻ thì lượng băng thông càng thấp hơn và

hiệu suất hoạt động càng giảm đi.

- Thành viên động của VLAN được cấu hình bằng phần mềm quản lý mạng. Bạn có thể

sử dụng Ciscoworks 2000 hoặc Ciscoworks for Switch Internetworks để tạo VLAN động.

VLAN động cho phép các định thành viên dựa theo địa chỉ MAC của thiết bị kết nối vào

switch chứ không còn xác định theo port nữa. Khi thiết bị kết nối vào switch, Switch sẽ

tìm trong cơ sở dữ liệu của nó để xác định thiết bị này thuộc VLAN nào.



Hình 12 Cách thức hoạt động của Vlan

3.3 Ưu điểm và ứng dụng của VLAN

- Lợi ích của VLAN là cho phép người quản trị mạng tổ chức mạng theo logic chứ không

theo vật lý nữa. Nhờ đó những công việc sau thực hiện dễ dàng hơn:

+ Có tính linh động cao: Di chuyển máy trạm trong LAN dễ dàng.

+ Thêm máy trạm vào LAN dễ dàng: Trên một switch nhiều cổng, có thể cấu hình

VLAN khác nhau cho từng cổng, do đó dễ dàng kết nối thêm các máy tính với các

VLAN.

+ Thay đổi cấu hình LAN dễ dàng.

+ Kiểm soát giao thông mạng dễ dàng.

+ Gia tăng bảo mật: Các VLAN khác nhau không truy cập được vào nhau ( trừ khi có

khai báo định tuyến ).

+ Tiết kiệm băng thông của mạng: Do VLAN có thể chia nhỏ LAN thành các đoạn (

hay một vùng quảng bá ). Khi một gói tin quảng bá, nó sẽ được truyền đi chỉ trong một



VLAN duy nhất, không truyền đi ở các VLAN khác nên giảm lưu lượng quảng bá, tiết

kiệm băng thông đường truyền.

3.4 Vlan Trunking Protocol (VTP)

- Giả sử trong một mạng có nhiều switch được kết nối với nhau, trên đó cấu hình nhiều

VLAN. Mỗi VLAN được cấu hình bằng tay trên nhiều switch. Khi hệ thống mạng phát

triển lớn hơn, thêm nhiều switch hơn , mỗi switch thêm vào lại cấu hình bằng tay các thông

tin VLAN cho nó. Quá mất thời gian và công sức và tiềm tàng lỗi rất cao. Vì thế ta dùng

VTP để giải quyết vấn đề trên.

- VTP viết tắt của từ VLAN Trunking Protocol là phuơng thức độc quyền của Cisco

hoạt động ở tầng 2. VTP giúp cho việc cấu hình VLAN luôn đồng nhất khi thêm, xóa, sửa

thông tin về VLAN trong một hệ thống mạng. Với VTP, bạn phải cấu hình VLAN ban đầu

trên một switch duy nhất, switch này có vai trò quảng bá bất kỳ Revison VLAN ( khi ta

xóa, sữa, hoặc tạo thì số revision sẽ

Hình 13 Mô hình VLAN TRUNKING PROTOCOL 1

tăng lên 1 đơn vị ) , để các switch khác nhận được cập nhật này thì phải có chung miền

VTP (nếu ta đặt khác nhau thì các switch sẽ không liên kết với nhau . Các thông tin này sẽ



được gửi như địa chỉ quảng bá đến một địa chỉ MAC duy nhất mà các thiết bị Cisco tham

gia vào VTP sẽ là 01-00-0C-CC- CC-CC.

Hình 14 Mô hình VLAN TRUNKING PROTOCOL 2



3.4.1 Khái niệm về VTP và các mode trong VTP

- Tất cả switch muốn nhận lưu luợng với nhau thì phải cùng tên miền . Các chế độ

VTP muốn tham gia vào miền quản lý , mỗi switch phải được cấu hình để hoạt động

ở chế độ nhất định nào đó . Ta có 3 chế độ sau:

a. Chế độ máy chủ ( server)

- Các VTP chế độ này sẽ điều khiển việc tạo VLAN và thay đổi miền của nó. Tất cả

thông tin VTP đều được quảng bá đến các switch trong miền , và các switch khác sẽ

nhận đồng thời . Mặc định là một switch hoạt động ở chế độ máy chủ .

Chú ý là miền VTP phải có ít nhất một máy chủ , thay đổi hoặc xóa và truyền thông

tin VLAN.

Nhiệm vụ của VTP server :

- Tạo VLAN

- Chỉnh sửa VLAN

- Xóa VLAN

- Gửi hoặc chuyển thông tin quảng bá

- Đồng bộ hóa thông tin VLAN

- Lưu cấu hình vào NVRAM

b. Chế độ máy khách (Client)

- Các VTP chế độ này không cho phép người quản trị tạo, thay đổi hoặc xóa bất cứ

VLAN nào thay vì lắng nghe các quảng bá VTP từ các switch khác và thay đổi cấu

hình VLAN một cách thích hợp. Đây là chế độ lắng nghe thụ động .Các thông tin VTP

được chuyển tiếp ra liên kết trunkđến các switch lân cận trong miền



Nhiệm vụ của VTP client :

- Chuyển thông tin quảng bá .

- Đồng bộ hóa thông tin VLAN .

- Không lưu cấu hình vào NVRAM.

c. Chế độ trong suốt (Transparent Mode)

- Chế độ này được gọi là trong suốt vì không tham gia trong VTP. Ở chế độ trong

suốt , một switch không quảng bá cấu hình VLAN của chính nó, và một switch không

đồng bộ cở sở dữ liệu VLAN của nó với thông tin quảng bá nhận được. Trong phiên

bản 1, switch hoạt động ở chế độ trong suốt không chuyển tiếp thông tin quảng bá VTP

nhận được đến các switch khác, trừ khi tên miền và số phiên bản VTP của nó khớp với

các switch khác . Trong phiên bản 2 , switch trong suốt chuyển tiếp thông tin quảng

bá VTP nhận được ra cổng trunk của nó

- Chú ý: switch hoạt động ở chế độ trong suốt có thể tạo và xóa VLAN cục bộ của

nó. Tuy nhiên các thay đổi của VLAN không được truyền đến bất cứ switch nào.

Nhiệm vụ của VTP Transparent

- Tạo VLAN

- Chỉnh sửa VLAN

- Xóa VLAN

- Chuyển thông tin quảng bá

- Không đồng bộ hóa thông tin VLAN

- Lưu cấu hình vào NVRAM



Hình 15 Các mode trong VTP

3.4.2 Hoạt động của VTP

Giao thức Trunking được phát triển để nâng cao hiệu quả quản lý việc lưu chuyển các

Frame từ VLAN khác nhau trên một đường truyền vật lý. Giao thức Trunking thiết lập

các thỏa thuận cho việc sắp xếp các frame vào các cổng được liện kết với nhau ở hai

đầu đường trunk.

Hiện nay có 2 kỹ thuật Trunking là Frame Filtering và Frame Tagging. Trong khuôn

khổ đồ án này chỉ đề cập đến kỹ thuật Frame Tagging.

Giao thức Trunking Frame Tagging để phân biệt các Frame và để dàng quản lý và

phân

phát Frame nhanh hơn. Các tag được thêm vào trên đường gói tin đi ra vào đường



trunk. Các gói tin có gắn tag không phải là gói tin quảng bá.

Một đường vật lý duy nhất kết nối giữa hai switch thì có thể truyền tải cho mọi VLAN.

Để lưu trữ, mỗi Frame được gắn tag để nhận dạng trước khi gửi đi, Frame của VLAN

nào thì thì đi về VLAN đó.

3.4.3 Quảng bá VTP

- Mỗi thiết bị switch tham gia vào VTP phải quảng bá số VLAN (chỉ các VLAN từ

1 đến 1005) , và các tham số VLAN trên cổng trunk của nó để báo cho các switch khác

trong miền quản lý. Quảng bá VTP được gửi theo kiểu gửi gói thông tin tới một số địa

chỉ trong mạng . Switch chặn các đối tuợng gửi đến địa chỉ VTP và xử lý nó. Các đối

tuợng VTP được chuyển tiếp ra ngoài liên kết trunk như là một trường hợp đặc biệt.

- Bởi vì tất cả switch trong miền quản lý học sự thay đổi cấu hình VLAN mới , nên

một VLAN phải được tạo và cấu hình chỉ trên một máy chủ trong miền. Mặc định ,

miền quản lý sử dụng quảng bá ở cơ chế không có mật khẩu . Ta có thể thêm mật khẩu

để thiết lập miền ở chế độ bảo mật. Mỗi switch trong miền phải được cấu hình với cùng

mật khẩu để tất cả switch sử dụng phương pháp mã hóa đúng thông tin thay đổi của

VTP.

- Quá trình quảng bá VTP bắt đầu cấu hình với số lần sửa lại là 0. Khi có sự thay

đổi tiếp theo, số này tăng lên trước khi gửi quảng bá ra ngoài. Khi swich nhận một

quảng bá với số lần sửa lại lớn hơn số lưu trữ cục bộ thì quảng bá sẽ được ghi đè lên

thông tin VLAN, vì vậy thêm số 0 này vào rất quan trọng. Số lần sửa lại VTP được

lưu trữ trong NVRAM và switch không được thay đổi. Số lần sửa lại này chỉ được

khởi tạo là 0 bằng một trong cách sau :



Switch thay đổi thành chế độ trong suốt, và sau đó thay đổi thành chế độ

máy chủ .

Thay đổi miền VTP của switch thành tên không tồn tại và sau đó thay đổi

miền VTP thành tên cũ.

Tắt hay mở chế độ lựoc bỏ VTP trên máy chủ. Nếu số lần sửa lại VTP

không được thiết lập lại 0, thì một chế độ máy chủ mới trên switch phải

quảng bá VLAN không tồn tại , hoặc đã xóa. Nếu số lần sửa lớn hơn lần

quảng bá liền trước, thì switch lắng nghe rồi ghi đè lên toàn bộ cơ sở dữ

liệu của VLAN với thông tin trạng thái VLAN bị xóa. Điều này đề cập đến

vấn đề đồng bộ VTP.



3.4.4 Sự lược bớt VTP

Hình 16. Sự lượt bớt trong VTP

- Sự lựơc bớt VTP là một tính năng được sử dụng để loại lưu lượng truy cập không

cần thiết . Theo mặc định, tất cả các thiết bị switch của Cisco được cấu hình ở chế độ

máy chủ . Điều này là phù hợp với quy mô nhỏ, nơi các mạng lưới kích cỡ của VLAN

thông tin vừa và nhỏ, dễ dàng lưu trữ trong tất cả các thiết bị trong NVRAM . Trong

một mạng lưới rộng lớn , phải được thực hiện cuộc gọi tại một số điểm khi NVRAM

lưu trữ cần thiết là lãng phí, vì nó được nhân đôi trên mỗi lần chuyển đổi. Tại thời

điểm này,nguời dùng nên chọn một số trang thiết bị và giữ nó như chế độ máy chủ .

Tất cả mọi thứ gì khác tham gia vào VTP có thể được chuyển sang chế độ máy khách.

- Sự lược bớt VTP sẽ sử dụng hiệu quả băng thông bằng cách giảm bớt việc lưu

lương không cần thiết. Các đối tuỡng quảng bá không xác định trên một VLAN chỉ

được chuyển tiếp trên liên kết trunk nếu switch nhận trên đầu cuối của trunk có cổng

thuộc VLAN đó. Sự lựoc bớt VTP là sự mở rộng trên phiên bản 1 của VTP, sử dụng



kiểu thông điệp VTP bổ sung. Khi một switch có một cổng với một VLAN, thì switch

gửi quảng bá đến các switch lân cận mà có cổng hoạt động trên VLAN đó. Các miền

lân cận của nó sẽ giữ thông tin này để giải quyết nếu có lưu lượng tràn từ một VLAN

có sử dụng cổng trunk hay không.

3.4.5 Lợi ích của VTP

VTP có thể cấu hình không đúng, khi sự thay đổi tạo ra. Các cấu hình không đúng

có

thể tổng hợp trong trường hợp thống kê các vi phạm nguyên tắc bảo mật. bởi vì

các kế

nối VLAN bị chồng chéo khi các VLAN bị đặt trùng tên. Các cấu hình không

đúng này

có thể bị cắt kết nối khi chúng được ánh xạ từ một kiểu LAN tới một kiểu LAN

khác.

VTP cung cấp các lợi ích sau:

Cấu hình đúng các VLAN qua mạng.

4. Tổng quan về HIGH AVAILABILITY (H.A)

4.1 Khái niệm High Availability

- High Availability tạm hiểu là 1 mô hình hệ thống có tính dự phòng sự cố về đường

truyền trên mạng .Mục đích chính của mô hình này giúp cho hệ thống mạng không bao giờ

bị gián đoạn tín hiệu truyền tải dữ liệu, tin tức, ... Có thể hiểu đơn giản như sau: Chúng ta

muốn đi từ điểm A đến điểm B, nhưng trên đường đi tới B thì giao thông bị tắc nghẽn. Nếu

chúng ta biết NHIỀU con đường khác có thể đi đến B thì không còn vấn đề phải lo sợ tình

trạng băng thông bị tắc nghẽn .



- Một hệ thống mạng với tính sẵn sàng cao cung cấp phương tiện thay thế mà theo đó

tất cả các cơ sở hạ tầng và các máy chủ quan trọng có thể truy cập mọi lúc và thời gian

gián đoạn nếu có là thấp nhất

Hình 17 Mô hình High Availability

KHUYẾT ĐIỂM:

Duy trì 1 đường kết nối đã tốn kém, nay làm thêm 1 (vài) đường khác để "đảm bảo"

HA sẽ càng tốn hơn (về mặt kinh tế)

Nếu phải thực hiện việc chuyển kết nối sang đường kết nối dự phòng thủ công thì

chắc phải sắm 1 router hay 1 máy làm monitor khi nào "đường truyền nó chết" để còn

biết đường chuyển qua

Trước đây chỉ phải quản lý 1 đường kết nối, giờ phải tốn công quản lý thêm 1 (số)

đường nữa



ƯU ĐIỂM:

Có thêm đường dự phòng thì "tốt hơn" là không có (vì có cái để mà chuyển sang

nhằm đảm bảo được tính sẵn sàng)

Việc sắm thêm tài nguyên đường truyền, giúp chúng ta có thêm cơ hội thực hiện việc

giảm tải & phân bổ tải hợp lý bằng các kỹ thuật load balancing & load sharing trên các

đường truyền

Và đặt biệt đối với những công ty có tính đặc thù công việc cần thiết bảo mật và

mong muốn đường truyền được liên tục mang tính sẵn sàng cao thì H.A là một tính năng

không thể thiếu khi triển khai hạ tầng.

4.2 Các kỹ thuật H.A thông thường trong hạ tầng mạng

High Availability trong hạ tầng mạng đều được thực hiện ở cả layer2 và layer3.

Tại Layer 2 có các kĩ thuật H.A thông dụng như :

- Etherchannel

- Spanning-tree

Tại Layer 3 có các kĩ thuật H.A thông dụng như :

- Hot Standby Router Protocol

- Vitural Router Redundacy Protocol

- Gateway Load Balancing Protocol



4.3 Etherchannel

4.3.1 Giới thiệu Etherchannel

- Etherchannel sẽ cung cấp khả năng dự phòng, kết nối tốc độ cao hơn giữa các switch,

với switch hoặc với router hoặc với các server. Một etherchannel có chứa nhiều liên kết

Fast Ethernet hoặc Gigabit Ethernet vào trong một liên kết logical. Nếu một liên kết nằm

trong Etherchannel mà bị lỗi, thì lưu lượng dữ liệu sẽ được thay đổi để truyền trên những

liên kết còn lại thuộc etherchannel đó

- Một etherchannel có chứa từ 2 đến 8 liên kết Fast ethernet hoặc Gygabit Ethernet vào

trong một liên kết logical .

- Kết nối này cung cấp một băng thông lên đến 1600 Mbps hoặc 16 Gbps tính cả 2 chiều

truyền và nhận tương đương 8 đường FastEthernet hoặc Gygabit Ethernet

Hình 18 Mô hình Etherchannel



4.3.2 Giao thức PAgP và LACP

a. Giao thức PAgP

- Giao thức PAgP ( Port Aggregation Protocol ) là một giao thức độc quyền của Cisco ,

các gói tin PAgP được trao đổi giữa các Switch trên các cổng Etherchannel .

- Các thông số của Switch láng giềng được xác định( như khả năng của cổng) và sẽ

được so sánh với switch cục bộ

- PAgP hình thành nên EtherChannel chỉ trên những cổng được cấu hình cùng Static

Vlan hoặc là cùng loại Trunkking (MAX=8 cổng)

- PAgP thay đổi các thông số động của EtherChannel nếu một trong những cổng của

bundle( bó) bị thay đổi .

- PAgP có thể được cấu hình ở chế độ Desirable trong đó một switch chủ động yêu cầu

1 switch đầu xa hình thành nên Etherchannel

- Khi Switch hoạt động ở chế độ Auto của PAgP, Switch sẽ chỉ bắt tay nếu Switch đầu

xa yêu cầu nó.

b. Một số tính năng khác của PagP

- Giao thức DTP (Dynamic Trunking Protocol) và giao thức CDP (Cisco Discovery

Protocol) có khả năng gửi và nhận những gói tin trên những port vật lý trong một

EtherChannel. Các port được cấu hình trunk có thể gửi và nhận các gói tin PAgP protocol

data units (PDUs) trên Vlan có ID thấp nhất.

- Trong mỗi EtherChannel, port vật lý đầu tiên trong channel đó sẽ hoạt động và cung

cấp địa chỉ MAC của nó cho EtherChannel. Nếu port đó bị xóa bỏ khỏi EtherChannel, thì



một port nào đó còn lại trong EtherChannel sẽ hoạt động (up) và cung cấp địa chỉ MAC

của nó cho EtherChannel đó.

- PAgP có khả năng gửi và nhân PAgP PDU duy nhất trên những port vật lý hoạt động

(up) và có giao thức PAgP được hoạt động ở một trong hai chế độ: Auto hoặc Desirable

c. Giao thức LACP

- LACP ( Link Aggregation Control Protocol)

- LACP cũng gửi các gói trên cổng Etherchannel của switch. Tuy nhiên LACP cũng

gán vai trò cổng đến các đầu cuối của Etherchannel .

- Các Switch có độ ưu tiên thấp nhất sẽ được quyết định về các cổng nào sẽ được tham

gia vào Etherchannel ở một thời điểm.

- Các cổng được chọn lựa và trở thành Active theo giá trị độ ưu tiên priority của nó,

trong đó giá trị ưu tiên thấp sẽ có mức độ ưu tiên cao.

- Một tập hợp 16 kết nối có thể được tham gia một Etherchannel.

- Thông qua LACP, một switch sẽ lựa chọn ra 8 cổng có độ ưu tiên thấp nhất như là

các member Active của Etherchannel.

- Các cổng còn lại sẽ nằm trong trạng thái standby và sẽ được enable nếu một trong

những kết nối active bị down .

- LACP có thể được cấu hình trong mode active, trong đó có một switch sẽ chủ động

hỏi đằng xa bắt tay hình thành Etherchannel.

- Chế độ Passive switch chỉ chủ động hình thành Etherchannel nếu switch đầu xa khởi

tạo nó.



Hình 19 Mô hình PAgP và LACP

4.4 Spanning Tree Protocol (STP)

4.4.1 Khái niệm

- STP là một giao thức quản lý liên kết layer 2, cung cấp một đường dự phòng trong

khi vẫn ngăn cản được hiện tượng loop xảy ra trong hệ thống. Khi công nghệ Ethernet

hoạt động ở Layer 2 trong mô hình OSI đã được cấu hình đúng, thì duy nhất một đường

sẽ được hoạt động giữa hai PC.

- Trong hệ thống tồn tại nhiều đường cùng hoạt động giữa 2 PC sẽ là nguyên nhân của

hiện tượng loop xảy ra.

- Nếu một loop tồn tại trong hệ thống, thì các thiết bị đầu cuối (PC) sẽ phải nhận nhiều

các thông điệp trùng nhau (Cơ chế này gọi là Multi-Frame copy). Switch sẽ phải học thông

tin về địa chỉ MAC của các PC trên nhiều port (Cơ chế này gọi là MAC Table Instable).



- Những hậu quả như vậy sẽ làm cho hệ thống của chúng ta trở nên không ổn định.

Spanning-Tree hoạt động trên các switch sẽ có thể giúp hệ thống của chúng ta ngăn được

loop và vẫn cho phép hệ thống xây dựng được mô hình có dự phòng.

- STP sử dụng thuật toán Spanning-Tree để chọn một switch đóng vai trò làm Root

Bridge trong mô hình hệ thống có dự phòng. Thuật toán Spanning-tree sẽ tính toán đường

tốt nhất không có loop thông qua hệ thống switch layer2 bằng cách gán vai trò cho mỗi

port hoạt động trong mô hình hệ thống đó, và mỗi port sẽ có một vai trò trong số những

vai trò dưới đây:

- Root: là một port có khả truyền dữ liệu trong mô hình spanning-Tree.

- Designated: một port có khả năng truyền dữ liệu được chọn cho tất cả các switch trong

segment LAN.

- Alternate: là một port sẽ bị blocked và port sẽ là port được dùng trong trường hợp dự

phòng.

- Backup: là một port blocked trong cấu hình loopback.

- Switch có tất cả các port của nó đóng vai trò là designated hoặc đóng vai trò là backup

thì swtich là root swtich. Switch có ít nhất một port của nó đóng vai trò là designated thì

switch đó gọi là designated switch.



4.4.2 Cơ chế hoạt động STP

- Spanning tree sẽ đưa đường dùng cho việc dự phòng trở về trạng thái standby

(blocked).

Nếu một hệ thống đang dùng spanning-tree bị lỗi xẩy ra và đường dự phòng vẫn có, thì

thuật toán spanning-tree sẽ thực hiện việc tính toán lại mô hình spanning-tree và đưa đường

dự phòng nên hoạt động. Các switch sẽ gửi và nhân các frame spanning-tree, những frame

đó được gọi là Bridge Protocol Data Units (BPDUs).

- Có rất nhiều switch không thực hiện việc truyền những frame BPDUs nhưng những

switch đó vẫn sử dụng để xây dựng đường không loop (loop-free). BPDUs chứa những

thông tin về swtich gửi và các port của switch đó, bao gồm MAC address, switch priority,

port priority, và cost path.

- Thuật toán Spanning-Tree sẽ sử dụng những thông tin đó để bầu chọn root swtich và

root port cho hệ thống switch và các root port và designated port cho mỗi một phân đoạn

mạng chuyển mạch (Colision domain = segment).

- Khi hai port trên một switch là thành phần của một loop, giá trị độ ưu tiên của port

spanning-tree và chi phí đường đi sẽ điều khiển và đưa một port trở về trạng thái forwarding

(trạng thái truyền dữ liệu) và một port trở về trạng thái blocking.

- Giá trị độ ưu tiên của port sẽ đại diện cho vị trí của port đó mô hình hệ thống và hơn

hết nó xác định vị trí để cho phép lưu lượng đi qua. Chi phí đường đi là giá trị đại diện cho

tốc độ đường truyền.



Hình 20 Cơ chế hoạt động STP

4.4.3 Trạng thái của STP

Trạng thái Mục đích

Forwading Gửi và nhận dữ liệu

Learning Xây dựng cây STP

Listening Xây dựng cây STP

Blocking Chỉ nhận BPDU

Disabled Tắt cổng

- Trạng thái Blocking :

Hủy bỏ các frame nhận được

Không có bảng MAC

Nhận các BPDU



Không gửi BPDU nhận được

Nhận và trả lời những bản tin quản trị mạng

- Trạng thái Listening

Hủy bỏ các frame nhận được và các Frame từ khác cổng khác chuyển đến

Không có bảng MAC

Nhận và xử lý các BPDU


- Trạng thái Learning

Hủy bỏcác frame nhận được và các Frame từ khác cổng khác chuyển đến

Xây dựng bảng địa chỉ MAC

Nhận, gửi và xử lý các BPDU


- Trạng thái Forwarding

Chuyển tiếp các frame nhận được từ mạng và từ các cổng khác chuyển đến

Xây dựng bảng địa chỉ MAC

Nhận BPDU và xử lý BPDU


4.4.4 Mô hình Spanning - Tree và BPDUs

- Spanning-tree hoạt động trong hệ thống switch sẽ được điều khiển bởi những thành

phần sau:

Bridge ID (switch priority và MAC address) tương ứng với mỗi một VLan trên một

switch.



Spanning-Tree path cost đến root switch.

Port ID (port priority và MAC address) tương ứng với mỗi một interface layer 2 của

switch.

- Khi các switch trong hệ thống được khởi động, thì mỗi switch sẽ hoạt động với chức

năng như một root swtich. Mỗi switch sẽ gửi một cấu hình BPDU thông qua tất cả các port

của switch đó đến các switch khác. BPDUs dùng để thông báo và tính toán mô hình

spanning-tree. Mỗi gói BPDU có chứa những thông tin sau:

Bridge ID của switch đóng vai trò là root switch (trong trường hợp này chính là switch

đang gửi gói BPDU)

Chi phí của đường tới root.

Bridge ID của switch đang gửi gói BPDU.

Thời gian tồn tại của gói BPDU.

ID của port đã gửi BPDU ra ngoài qua port đó.

Thời gian của gói Hello, Forward delay, và max-age.

- Khi một switch nhận một gói tin BPDU có chứa những thông tin tốt hơn (như: Bridge

ID thấp hơn, Chi phí đường đi thấp hơn), swtich đó sẽ lưu thông tin đó lại trên port của

switch. Nếu BPDU này được nhận trên root port của switch thì switch đó sẽ chuyển tiếp

gói BPDU này đến tất cả các designated Switch.

- Nếu một switch nhận được một gói BPDU có chứa những thông tin không tốt bằng

những thông tin mà switch đó đang có trên port đó thì switch đó sẽ hủy gói BPDU đi. Nếu

switch đóng vai trò là designated switch cho mạng LAN mà nhận được một gói BPDU có



thông tin không tin bằng những thông tin mà switch đó đang có trên port thì switch đó sẽ

thay thế những thông tin tốt hơn của mình vào gói BPDU và sẽ gửi đi. Với phương pháp

hoạt động như vậy, thì những thông tin không tốt sẽ bị hủy và những thông tin tốt hơn sẽ

được quảng bá ra toàn bộ hệ thống.

- Kết quả cuối cùng của việc trao đổi các gói BPUD giữa các switch sẽ là:

Một switch trọng hệ thống sẽ được bầu chọn là root switch. Trong mỗi Vlan, switch

có priority cao nhất (giá trị số priority thấp nhất) sẽ được bầu chọn với vai trò là root

switch. Nếu tất cả các switch trong hệ thống được cấu hình priority mặc định (32768),

thì switch nào có địa chỉ MAC thấp nhất trong VLAN sẽ trở thành root switch.

Một root port sẽ được chọn trên mỗi switch (trừ trường hợp là root switch). Port này

sẽ cung cấp chi phí thấp nhất khi mà switch chuyển dữ liệu đến root switch.

Khoảng cách ngắn nhất đến root switch được tính toán cho mỗi switch dựa trên chi

phí đường đi.

Một designated Switch cho mỗi LAN segment (Colision Domain) sẽ được chọn.

Designated Switch sẽ phải có đường có chi phí thấp nhất khi chuyển dữ liệu từ mạng

LAN đến Root Switch. Port được dùng để truyền dữ liệu thông qua nó trên

designated switch được gắn vào mạng LAN gọi là designated port.

Tất cả các đường đi nếu không cần thiết để truyền dữ liệu đến root switch từ mọi nơi

trên các switch trong mạng thì sẽ được đưa về trạng thái spanning-tree blocking.

4.4.5 Bridge ID, Switch Priority, và Extended System ID

- Chuẩn IEEE 802.1D yêu cầu mỗi switch phải có duy nhất một bridge ID, được dùng

trong quá trình bầu chọn root switch. Bởi vì mỗi VLAN có logical bridge khác nhau với

PVST+ và rapid PVST+, trên cùng switch phải có các bridge ID khác nhau cho mỗi cấu



hình VLAN. Mỗi VLan trên mỗi switch có duy nhất 8-byte bridge ID. Trong đó dùng 2

byte để xác định switch priority, và 6 byte còn lại dành cho switch MAC Address.

- Catalyst switch 2960 hỗ trợ IEEE 802.1t spanning-tree mở rộng, và các bit trước kia

được dùng cho switch priority thì bây giờ được sử dụng làm VLAN ID. Các bạn có thấy

rằng trong 2 byte trước kia được dùng làm switch priority thì trong đó có 4-bit được dùng

làm giá trị priority và 12-bit còn lại được mở rộng làm System ID tương ứng với VLAN

ID.

- Spanning tree sử dụng System ID mở rộng, switch priority và MAC address để làm

bridge ID duy nhất trọng mỗi một VLAN.

- Dựa vào việc các catalyst switch có hỗ trợ System ID, bạn có thể cấu hình để chọn root

switch, secondary root switch, và switch priority cho mỗi VLAN. Ví dụ, khi bạn thay đổi

giá trị switch priority, việc thay đổi đó có thể dẫn đến switch đó sẽ được bầu chọn làm root

switch.

4.5 Hot Standby Router Protocol (HSRP )

- Một network được cung cấp tính năng High Availability nghĩa là các cơ sở hạ tầng

mạng hay các server quan trọng trong network đó luôn luôn ở trong trạng thái có thể được

truy cập đến vào bất kỳ thời điểm nào.

- Hot Standby Routing Prototocol (HSRP) là một trong những số tính năng cung cấp khả

năng Redundancy ở layer 3 cho các host trong network. HSRP sẽ tối ưu hóa việc cung cấp

các đường kết nối khi phát hiện một đường link bị fail và những cơ chế phục hồi sau khi ta

gặp sự cố trong mạng.



- Virtual Router Redundancy Protocol (VRRP) và Gateway Load Balancing Protocol

(GLBP)cũng là những giao thức cung cấp khả năng Redundancy ở layer 3. VRRP là một

giao thức standard. GLBP là giao thức của Cisco.

- Nó được cải tiến từ VRRP và cung cấp thêm tính năng cân bằng tải.

-Trước tiên ta cần phải hiểu một số khái niệm có liên quan đến quá trình routing như sau

4.5.1 Các cơ chế hoạt động của HSRP

a. Sử dụng Default Gateway

Hình 21 Mô hình Default Gateway



- Một máy tính trong mạng để có thể đi đến các đường mạng khác nhau thì ta phải cấu

hình default gateway. Giả sử PC trên sơ đồ cấu hình default gateway hướng đến Router A

để chuyển tiếp gói tin đi đến file server A. Và Router B cũng đã được cấu hình định tuyến.

- Trong mô hình bên dưới Router A có chức năng routing các packet nó nhận được đến

subnet A. Còn router B có chức năng routing đến subnet B. Nếu như Router A bị hỏng hóc

không có còn sử dụng được nữa thì các cơ chế định tuyến động sẽ tính toán lại và quyết

định Router B sẽ là thiết bị chuyển tiếp gói tin thay thế cho router A.

- Nhưng PC A thì không thể nào nhận biết được thông tin định tuyến này được. Ở các

PC ta thường chỉ cấu hình duy nhất một default gateway IP và địa chỉ IP này sẽ không thay

đổi khi mô hình mạng của ta thay đổi. Như vậy dẫn đến trường hợp là PC A không thể gửi

traffic đi đến các host thuộc các đường mạng khác trong mô hình mạng.

- Nếu như một router nào đó dự phòng và hoạt động giống như default gateway cho

segment đó thì ta không cần phải cấu hình lại địa chỉ IP default gatway cho các PC.



b. Proxy ARP

Hình 22 Mô hình Proxy ARP

- Cisco IOS sử dụng proxy Arp để cho phép các host mà nó không có tính năng định

tuyến có thể lấy được địa chỉ Mac address của gateway để có thể forward packet ra khỏi

local subnet. Ví dụ như trong mô hình trên proxy ARP router nhận được một gói tin ARP

request từ một host cho một địa chỉ IP. Địa chỉ IP này không có cùng nằm chung một

segment so với host gửi gói tin request. Router sẽ gửi về một gói tin ARP với Mac address

là của router và IP là địa chỉ mà máy cần đi đến. Như vậy host sẽ gửi toàn bộ tất cả các

packet đến địa chỉ IP đã được phân giải thành Mac address của router. Sau đó router lại

làm tiếp công việc đẩy gói tin này đi đến địa chỉ IP cần đến.

- Như vậy với tính năng proxy ARP các end-user station sẽ coi như là các destination

device đã được kết nối đến chính phân đoạn mạng của nó. Nếu như router là chức năng



proxy ARP bị fail thì các end station vẫn tiếp tục gửi packet đến IP đã được phân giải thành

Mac address của fail router. Và các packet sẽ bị discard.

- Thực tế thì Proxy Mac address có thời gian sống nhất định trong bảng ARP cache của

máy tính. Sau khoảng thời gian này thì workstation sẽ yêu cầu địa chỉ của một router khác.

Nhưng nó không thể gửi traffic trong suốt khoảng thời gian này.

c. Router Redundancy

Hình 23 Mô hình Router Redundancy 1

- Trong HSRP một thiết lập cho các router hoạt động phối hợp với nhau để đưa ra một

router ảo cho các host trong mạng LAN. Bằng cách dùng chung một địa chỉ IP và địa chỉ

Mac ở layer 2, hai hay nhiều router có thể hoạt động như là một router ảo. IP address ảo

được cấu hình như là default gateway cho các máy trạm trong một segment. Khi những

frame được gửi từ một máy trạm đến đến default gateway, các máy trạm dùng cơ chế ARP

để phân giải MAC address với địa chỉ IP default gateway. Cơ chế ARP sẽ được trả về bằng

Mac address của virtual router. Các frame gửi đến Mac address ảo và sau đó frame này



được xử lý tiếp tục bởi active hoặc là standby router trực thuộc group router ảo mà ta đang

cấu hình.

- Một hay nhiều router sử dụng giao thức này để quyết định router vật lý nào sẽ có trách

nhiệm xử lý frame được gửi đến địa chỉ IP ảo và địa chỉ Mac ảo. Các máy trạm sẽ gửi

traffic đến router ảo. Một router thật sẽ có trách nhiệm forward traffic này đi tiếp tuy nhiên

router thật nay trong trạng thái transparent so với các máy trạm ở đầu cuối.Giao thức

redundacy này cung cấp cho ta một cơ chế để quyết định router nào sẽ ở vai trò active trong

việc forward traffic và router nào sẽ ở vai trò standby.

Hình 24 Mô hình Router Redundancy 2

- Khi một forwarding router bị fail thì quá trình chuyển đổi sẽ diễn ra như sau

Khi standby router không còn nhận được gói tin hello từ một forwarding router

Sau đó standby router sẽ giả định vai trò của nó lúc này là forwarding router

Lúc này quá trình truyền frame của PC sẽ không bị ảnh hưởng gì bởi vì router

đang ở trạng thái forwarding sẽ dùng IP address ảo vào Mac address như lúc

ban đầu.



4.5.2 Quy trình hoạt động HSRP

Hình 25 Quy trình hoạt động HSRP

Tất cả router trong một HSRP group có một vai trò cụ thể và tương tác với nhau theo

một phương pháp xác định

- Virtual Router: thực tế chỉ là một cặp IP address và Mac address mà tất cả các thiết bị

đầu cuối dùng nó làm IP default gateway. Active router xử lý tất cả packet và tất cả các

frame được gửi tới virtual router address.

- Active Router: trong HSRP group một router sẽ được chọn làm active router. Active

router thực tế là thiết bị vật lý forward packet và nó cũng là thiết bị gửi Mac address ảo

đến các thiết bị đầu cuối

- Trong mô hình trên router A được giả định ở vai trò active và forward tất cả các frame

đến địa chỉ Mac là 0000.0c07.acXX với XX là số group của HSRP. XX là hệ số hexa



- Địa chỉ IP và địa chỉ Mac tương ứng của virtual router được duy trì trong bảng ARP

của mỗi router thuộc HSRP group. Để kiểm tra bảng ARP trong bảng ARP ta dùng

lệnh show ip arp

Hình 26 Cách thức hoạt động địa chỉ IP và địa chỉ Mac trong HSRP

- Hình trên hiển thị bảng ARP của một router đang làm thành viên của HSRP group 1

trong Vlan 10. Trong bảng ARP trên ta thấy rằng virtual router có địa chỉ là

172.16.10.110 và có một Well-known Mac là 0000.0c07.ac01 với 01 là số group. Số

HSRP group 1 hiện thị dưới dạng cơ số 10 và 01 là dưới hệ cơ số 16

- HSRP standby router luôn theo dõi trạng thái hoạt động của HSRP group và sẽ nhanh

chóng chuyển trạng thái forwarding packet nếu active router không có hoạt động. Cả hai

active router và standby router sẽ truyền hello message để thông báo cho tất cả router khác

trong group HSRP biết rằng vai trò của nó lúc này là gì ? Các router dùng địa chỉ destination

multicast 224.0.0.2, kiểu truyền UDP port 1985. Và địa chỉ IP source là địa chỉ IP của

sending router.



- Ngoài ra bên trong HSRP group có thể chứa một số router khác nhưng vai trò của nó

không phải active hay standby. Những router dạng này sẽ monitor hello message được gửi

bởi active và standby router để chắc chắn rằng active và standby router đang tồn tại trong

HSRP group. Router này chỉ forward những packet đến chính địa chỉ IP của nó nhưng

không forward packet được đặt địa chỉ đến virtual router. Những router dạng này sẽ đọc

message tại mỗi thời gian giữa hai gói tin hello

- Một số thuật ngữ trong HSRP

Hello Interval Time: Khoảng thời gian giữa hai gói tin Hello HSRP thành công từ một

router. Thời gian này là 3 giây

Hold Interval Time: khoảng thời gian giữa hai gói tin hello được nhận và giả định rằng

sender router bị fail. Mặc định là 10 giây

- Khi active router bị fail, thì những router khác thuộc cùng HSRP group sẽ không còn

nhận được message từ active router. Và standby router sau đó sẽ được giả định là Active

router. Và nếu như có router khác bên trong HSRP group thì nó sẽ được đưa lên làm

standby router. Nếu như cả hai active và standby router bị fail thì tất cả router trong group

làm active và standby router.



Hình 27 Cách thức hoạt động của các gói tin trong HSRP

- Trong quá trình này new activer router gánh lấy IP ảo và Mac ảo của virtual router như

vậy dẫn đến các thiết bị đầu cuối sẽ nhận thấy tình trạng hư hỏng của các dịch vụ. Các thiết

bị đầu cuối tiếp tục gửi traffic đến Mac addres của virtual router. New activer router sẽ

gánh vác chấp nhận phân phối gói tin.

4.5.3 Đặc điểm của HSRP

- Địa chỉ IP là ảo và địa chỉ MAC cũng ảo trên router active.

- Các router dự phòng sẽ lắng nghe các gói hello từ router đang active, mặc định mỗi 3

giây và 10 giây cho khoảng thời gian dead.

- Độ ưu tiên cao nhất (mặc định là 100, trong tầm từ 1-255) sẽ xác định router, với cơ chế

pre-emption bị tắt.

- Hỗ trợ tính năng tracking, trong đó độ ưu tiên của một router sẽ bị giảm khi một

interface đang bị theo dõi bị hỏng hóc.

- Có thể có tối đa 255 nhóm HSRP trên mỗi interface, cho phép một hình thức cân bằng



tải.

- Địa chỉ MAC ảo có dạng 0000.0C07.Acxx trong đó xx là chỉ số của nhóm HSRP.

- Địa chỉ của IP ảo phải trong cùng giá trị subnet của cổng của router trong LAN.

- Địa chỉ của IP ảo phải khác với bất kỳ một địa chỉ thật nào của các cổng tham gia vào

HSRP.

4.5.4 Các trạng thái trong giao thức HSRP

- Một router trong HSRP group có một số trạng thái hoạt động như sau: initial, learn,

listen, speak, standby hoặc là active

Hình 28 Các trạng thái trong giao thức HSRP

- Khi một router đang ở trong một số những trạng thái trên thì nó sẽ thực hiện một số

hành động nhất định. Không phải tất cả HSRP router trong group sẽ chuyển đổi sang tất cả

các trạng thái. Ví dụ như ta có 3 router trong group, một trong ba con router thuộc group

không đóng vai trò là standby hay active thì con router này vẫn duy trì ở trạng thái Listen.



- Tất cả các router đều bắt đầu ở trạng thái Initial, điều này hiển thị rằng HSRP đang

không hoạt động. Sau đó nó sẽ chuyển sang trạng thái learn, ở trạng thái này router sẽ mong

chờ thấy được HSRP packet và từ những packet này nó quyết định xem virtual IP là gì ?

và xác định active router trong HSRP group.

- Khi một interface thấy HSRP packet và quyết định xem virtual IP là gì thì nó tiếp tục

chuyển sang trạng thái listen. Mục đích của trạng thái listen là để xác định xem có Active

hay Standby router cho HSRP group. Nếu như đã có active hay standby router rồi thì nó

vẫn giữ nguyên trạng thái. Tuy nhiên nếu gói tin hello không được thấy từ bất kỳ router

nào, interface chuyển sang trạng thái Speak.

- Trạng trạng thái Speak, các router chủ động tham dự vào quá trình chọn lựa ra active

router, standby router bằng cách nhìn vào gói tin hello để xác định vai trò.

- Có 3 dạng timer được sử dụng trong giao thức HSRP đó là active, standby, hello. Nếu

như không có một gói tin hello nào được nhận từ Active HSRP router trong khoảng thời

gian active, thì router chuyển sang trạng thái HSRP mới.

- Active timer: dùng để monitor Active Router. Timer sẽ reset lại vào bất kỳ thời điểm

nào khi một router trong group HSRP nhận được gói tin hello được gửi ra từ Active Router.

Giá trị Timer expire phù hợp với giá trị hold time đang được set tương ứng với field trong

HSRP hello message.

- Standby timer: dùng để monitor standby router. Timer sẽ reset lại vào bất kỳ thời điểm

nào khi một router trong group HSRP nhận được gói tin hello được gửi ra từ Standby

Router. Giá trị Timer expire phù hợp với giá trị hold time đang được set tương ứng với

field trong HSRP hello message.

- Hello timer: thời gian của hello packet. Tất cả HSRP router trong bất kỳ trạng thái nào

của HSRP đều tạo ra hello packetkhi mà hello timer expire



4.5.5 Vitural Router Redundancy Protocol và Gateway Load Balancing Protocol

a. Vitural Router Redundancy Protocol (VRRP)

- VRRP tạo ra một gateway dự phòng từ một nhóm các router. Router active được gọI

là master router, tất cả các router còn lạI đều trong trạng thái backup. Router master là

router có độ ưu tiên cao nhất trong nhóm VRRP.

- Chỉ số nhóm của VRRP thay đổI từ 0 đến 255; độ ưu tiên của router thay đổI từ 1 cho

đến 254 (254 là cao nhất, mặc định là 100).

- Địa chỉ MAC của router ảo sẽ có dạng 0000.5e00.01xx, trong đó xx là một số dạng

thập lục phân chỉ ra số của nhóm.

- Các quảng bá của VRRP được gửI mỗI chu kỳ một giây. Các router backup có thể học

các chu kỳ quảng bá từ router master.

- Mặc định, tất cả các VRRP router được cấu hình theo chế độ pre-empt. Nghĩa là nếu

có router nào có độ ưu tiên cao hơn độ ưu tiên của router master thì router đó sẽ chiếm

quyền.

- VRRP không có cơ chế để theo dõi một cổng của router.

Hình 29 Mô hình Vitural Router Redundancy Protocol



- VRRP dùng địa chỉ multicast 224.0.0.18, dùng giao thức IP 112. VRRP có trong router

IOS phiên bản Cisco IOS Software Release 12.0(18)ST.

b. Gateway Load Balancing Protocol ( GLBP )

- GLBP là một giao thức mới hơn của Cisco cho phép đặc tính cân bằng tải bên cạnh

tính năng dự phòng cho gateway. Các host vẫn có thể chỉ đến một địa chỉ gateway mặc

định, nhưng GLBP cho phép các host gửi traffic đến một trong bốn router trong một nhóm

GLBP. Để thực hiện việc này, router AVG sẽ gán từng router trong một nhóm một địa chỉ

MAC duy nhất có dạng 0007.B400.xxyy trong đó xx là địa chỉ nhóm và yy là các số khác

nhau cho từng router (01,02,03 hay 04).

Hình 30 Mô hình Gateway Load Balancing Protocol

- Khi một máy client hỏi địa chỉ MAC của địa chỉ ảo của nó, AVG sẽ trả lời bằng một

trong bốn địa chỉ MAC ảo có thể. Do được trả lời với các địa chỉ MAC khác nhau, các host

trong subnet đó sẽ cân bằng traffic giữa các router chứ không chỉ gửi traffic về một router

duy nhất. Để cung cấp tính năng dự phòng cho một group các user nào đó, ta sử dụng nhiều

router để đảm bảo độ tin cậy.



Hình 31 Bảng so sánh HSRP, VRRP, GLBP

5. Giới thiệu Access Control List

- ACL là một danh sách các câu lệnh được áp đặt vào các cổng (interface) của router.

Danh sách này chỉ ra cho router biết loại packet nào được chấp nhận (allow) và loại packet

nào bị hủy bỏ (deny). Sự chấp nhận và huỷ bỏ này có thể dựa vào địa chỉ nguồn, địa chỉ

đích hoặc chỉ số port.



5.1 Tại sao phải sử dụng ACL?

Hình 32 Ưu điểm của Access Control List

- Quản lý các IP traffic

- Hỗ trợ mức độ cơ bản về bảo mật cho các truy cập mạng, thể hiện ở tính năng lọc các

packet qua router

• Chức năng:

- Xác định tuyến đường thích hợp cho DDR (dial-on-demand routing)

- Thuận tiện cho việc lọc gói tin ip

- Cung cấp tính sẵn sàn mạng cao



5.2 Ý nghĩa của IP và Wildcard trong ACL

IP và Wildcard được sử dụng để so sánh coi gói tin có phải đúng là đối tượng cần

xác định không

Với Standard ACL, chỉ địa chỉ nguồn của gói tin được đem ra so sánh

Với Extended ACL, sẽ so sánh tất cả các thông tin khai báo trong mỗi đề mục của

ACL

Địa chỉ IP (nguồn hoặc đích) của gói tin sẽ được đối sánh với nội dung tương ứng

trong một mục kê của ACL theo cách:

o IP tương ứng của đề mục trong ACL được cộng logic (OR) với Wildcard

o IP của gói tin được cộng logic (OR) với Wildcard

o Hai kết quả được so sánh, nếu trùng nhau phù hợp

Ví dụ:

ACL: IP = 172.16.0.0; Wildcard = 0.15.255.255

Gói tin 1: IP = 172.17.1.100

OR #1 (ACE): 172.31.255.255 = OR #2: 172.31.255.255

Gói tin 2: IP = 172.32.1.100

OR #1 (ACE): 172.31.255.255 != OR #2: 172.47.255.255

Do kết quả của OR luôn bằng 1 khi bất kỳ giá trị nào trong số giá trị đầu vào bằng

1, thực chất việc đối sánh chỉ xảy ra với các bít trong Wildcard có giá trị bằng 0.

5.3 Các loại Access Control List

* Có 2 loại Access lists là: Standard Access lists và Extended Access lists

- Standard (ACLs): Lọc (Filter) địa chỉ ip nguồn (Source) vào trong mạng – đặt gần đích

(Destination).



- Extended (ACLs): Lọc địa chỉ ip nguồn và đích của 1 gói tin (packet), giao thức tầng

“Network layer header” như TCP, UDP, ICMP…, và port numbers trong tầng “Transport

layer header”. Nên đặt gần nguồn (source).

* ACLs đặc biệt

a. Dynamic ACLs

Đặc điểm: chỉ sử dụng lọc các IP traffic, Dynamic ACLs bị phụ thuộc vào sự kết nối Telnet,

sự xác thực (local or remote), và extended ACLs.

-Một user sẽ mở kết nối đến router biên được cấu hình lock-and-key. Những kết nối của

user thông qua virtual terminal port trên router.

-Khi nhận telnet packet router sẽ mỡ một telnet session và yêu cầu xác thực một password

hoặc một tài khoản username. User phải vượt qua sát thực mới được cho phép đi qua router.

Quá trình xác thực sẽ thực hiện bởi router hoặc một server xác thực sử dụng giao thức

RADIUS hoặc TACACS server.

-Khi user qua được sát thực, chúng sẽ thoát ra khỏi telnet session và một entry sẽ xuất hiện

trọng Dynamic ACLs

-Lúc đó, các người dùng sẽ trao đổi dữ liệu thông qua Firewall.

- Khi đúng khoảng thời gian timeout được cấu hình, router sẽ xóa entry vừa tạo trong

dynamic ACLs hoặc người quản trị có thể xóa bằng tay. Timeout có hai loại là idle timeout

hoặc absolute timeout. Idle timeout là nếu user không sử dụng session này trong một

khoảng thời gian thì entry trong Dynamip sẽ bị xóa. Absolute timeout là khoảng thời gian

cố định cho phép user sử dụng session này khi hết thời gian thì entry trong Dynamic ACLs

sẽ bị xóa.

Ứng dụng:

- Khi bạn muốn chỉ định một user hay một group user truy cập đến một host nào đó trong

mạng của bạn, hay kết nối tới những host từ xa thông qua Internet. Lock-and-key ACLs sẽ

xác thực người dùng và sau đó cho phép giới hạn truy cập thông qua router firewall cho

một host hay một mạng con trong một chu kỳ thời gian giới hạn.



- Khi bạn muốn một đường mạng con trong mạng local network truy cập tới một host nào

đó trong mạng từ xa mà được bảo vệ bởi một firewall. Với lock-and-key ACLs, bạn có thể

truy cập tới host ở xa chỉ với một nhóm host được đề nghị. Lock-and-key ACLs yêu cầu

những người dùng xác thực thông qua một AAA, TACACS+ server, hay những server bảo

mật khác trước khi cho phép những host truy cập đến những host ở xa.

b. Reflexive ACLs

Đặc điểm: ACLs này chỉ đc tạo bởi Extend Name ACLs không đc tạo bởi Numbering hay

Standard Name ACL

Ứng dụng: được sử dụng để cho phép các IP traffic từ bên ngoài của session mà khởi tạo

từ bên trọng nội mạng và ngăn những IP traffic khởi tạo session từ mạng bên ngoài. ACLs

này sẽ xem xét gói tin gởi ra ngoài nếu là gói khởi tạo session nó tự động thêm vào một

outbound entry để cho phép traffic trả lời về. Rèflexive ACLs có thể lọc session tốt hơn

thay vì chỉ ACK và RST bit như câu lệnh permit…established. Rèflexive lọc cả địa chỉ

nguồn, đích, port, ACK và RST bit của gói tin. Ngoài ra, session filtering sử dụng những

bộ lọc tạm thời cái mà được xóa khi một session kết thúc.

c. Time-based ACLs

· Đặc điểm: chức năng tương tự extended ACLs, nhưng chúng cho phép điều khiển truy

cập dựa vào thời gian

· Ứng dụng: Dùng để lọc gói tin dựa vào nhiều thông tin như Exended ACLs và dựa vào

cả thông tin về thời gian.



5.4 Các vị trí Access Control List

5.4.1 Inbound ACLs

+ Inbound: nói nôm na là 1 cái cổng vào(theo chiều đi vào của gói tin) trên Router những

gói tin sẽ được xử lý thông qua ACL trước khi được định tuyến ra ngoài (outbound

interface). Tại đây những gói tin sẽ “dropped” nếu không trùng với bảng định tuyến

(routing table), nếu gói tin (packet) được chấp nhận nó sẽ được xử lý trước khi chuyển giao

(transmission).

5.4.2 Outbound ACLs

+Outbound: là cổng đi ra của gói tin trên Router, những gói tin sẽ được định tuyến đến

outbound interface và xử lý thông qua ACLs, trước khi đưa đến ngoài hàng đợi (outbound

queue).

5.5 Hoạt động của ACLs

- ACL sẽ được thực hiện theo trình tự của các câu lệnh trong danh sách cấu hình khi tạo

access-list. Nếu có một điều kiện được so khớp (matched) trong danh sách thì nó sẽ thực

hiện, và các câu lệnh còn lại sẽ không được kiểm tra nữa.Trường hợp tất cả các câu lệnh

trong danh sách đều không khớp (unmatched) thì một câu lệnh mặc định “deny any” được

thực hiện. Cuối access-list mặc định sẽ là lệnh loại bỏ tất cả (deny all). Vì vậy, trong access-

list cần phải có ít nhất một câu lệnh permit.

• Khi packet đi vào một interface, router sẽ kiểm tra xem có một ACL trong inbound

interface hay không, nếu có packet sẽ được kiểm tra đối chiếu với những điều kiện trong

danh sách.

• Nếu packet đó được cho phép (allow) nó sẽ tiếp tục được kiểm tra trong bảng routing

để quyết định chọn interface để đi đến đích.



• Tiếp đó, router sẽ kiểm tra xem outbound interface có ACL hay không. Nếu không

thì packet có thể sẽ được gửi tới mạng đích. Nếu có ACL ở outbound interface, nó sẽ

kiểm tra đối chiếu với những điều kiện trong danh sách ACL đó.

5.6 Một số điểm cần lưu ý

* Chỉ có thể thiết lập 1 ACL trên giao thức cho mỗi hướng trên mỗi interface. Một

interface có thể có nhiều ACL.

* Router không thể lọc traffic mà bắt đầu từ chính nó.

* Câu lệnh nào đặt trước thì xử lý trước. Khi 1 câu lệnh mới thêm vào danh sách, nó sẽ

đặt cuối danh sách.

* Standard ACLs: Nên đặt gần đích của traffic.

* Extended ACLs: Nên đặt gần nguồn của traffic.

* Mặc định cả hai lệnh “the Access-Group” hay “the Access-Class” theo chiều “OUT”

6. Dynamic Host Configuration Protocol (DHCP)

6.1 Mục đích và chức năng

- DHCP làm việc theo chế độ Client-Server. DHCP server cho phép các DHCP client

trong một mạng IP nhận cấu hình IP từ một DHCP server.

- Khi sử dụng DHCP thì công việc quản lý mạng IP sẽ ít hơn vì phần lớn cấu hình IP

của Client được lấy về từ Server.

- Một DHCP client có thể chạy hầu hết các hệ điều hành Windows, Netvell, Sun

Solairs, Linux và Mac OS.

- DHCP là giải pháp giúp quản lý hệ thống mạng đễ dàng và có khả năng mở rộng.



Hình 33 Hoạt động của DHCP

6.2 Giới thiệu về NAT và PAT

- NAT ( Network-Address-Translation)

- Là cơ chế chuyển đổi địa chỉ IP private trong Lan sang địa chỉ public trong WAN

định tuyến được ra Internet.

- NAT được dùng để tiết kiệm địa chỉ IP đăng kí trong một mạng lớn và giúp đơn giản

hóa trong việc quản lý địa chỉ IP.

- NAT mang đến rất nhiều lợi ích cho các công ty và Internet.

- Thường là giao thức được áp trên Firewall hoặc các Router biên.

Static NAT

- Cho phép các thiết bị với một địa chỉ Private để được nhìn thấy trên một mạng

Public.



- Static NAT được nhập trực tiếp vào cấu hình và nằm trong bảng translation, thường

được sử dụng cho các máy chủ web.

Dynamic NAT

- Được thiết kế để ánh xạ một địa chỉ IP này sang một địa chỉ IP khác một cách tự

động, thông thường là ánh xạ từ một địa chỉ private sang một địa chỉ public.

- Bất kỳ một địa chỉ IP nào nằm trong dải địa chỉ IP công cộng (public) đã được định

trước đều có thể được gán cho một host bên trọng mạng (private)

Hình 34 Mô hình Dynamic NAT

6.2.1 Thuật ngữ trong kỹ thuật NAT

- Địa chỉ inside local : là địa chỉ IP gán cho một host ở mạng bên trong .

- Địa chỉ inside global : là địa chỉ đã được đăng kí với NIC ( Global IP Address), dùng

để thay thế một hay nhiều địa chỉ IP inside local.

- Địa chỉ outside local: là địa chỉ IP của một host bên ngoài khi nó xuất hiện bên trong

mạng.



- Địa chỉ outside glocal: là địa chỉ IP gán cho một host ở mạng bên ngoài. Địa chỉ này

được lấy từ địa chỉ có thể dùng định tuyến toàn cầu hay từ không gian địa chỉ mạng.

6.3 Ưu điểm NAT

- Không cần gán địa chỉ IP mới cho từng host khi thay đổi sang một ISP mới, tiết kiệm

thời gian và tiền bạc.

- Tiết kiệm địa chỉ thông qua ứng dụng PAT

- Bảo vệ mạng an toàn vì mạng nội bộ không để lộ địa chỉ và cấu trúc bên trong và

ngoài .

Hình 35 Ưu điểm NAT



6.4 PAT (Port- Address- Translation)

- Cho phép nhiều địa chỉ IP private được dịch chuyển sang một địa chỉ IP public duy

nhất

- PAT sử dụng số PORT nguồn cùng với địa chỉ IP Private bên trong để phân biệt khi

chuyển đổi.

II. KIẾN THỨC CƠ BẢN VỀ MẠNG WAN

1. Các công nghệ WAN phổ biến

1.1 Công nghệ Leased Line

- Leased-Line, hay còn gọi là kênh thuê riêng, là một hình thức kết nối trực tiếp giữa các

node mạng sử dụng kênh truyền dẫn số liệu thuê riêng. Kênh truyền dẫn số liệu thông

thường cung cấp cho người sử dụng sự lựa chọn trong suốt về giao thức đấu nối hay nói

cách khác, có thể sử dụng các giao thức khác nhau trên kênh thuê riêng như PPP, HDLC,

LAPB v.v…

- Về mặt hình thức, kênh thuê riêng có thể là các đường cáp đồng trục tiếp kết nối giữa

hai điểm hoặc có thể bao gồm các tuyến cáp đồng và các mạng truyền dẫn khác nhau. Khi

kênh thuê riêng phải đi qua các mạng khác nhau, các quy định về các giao tiếp với mạng

truyền dẫn sẽ được quy định bởi nhà cung cấp dịch vụ. Do đó, các thiết bị đầu cuối CSU

/DSU cần thiết để kết nối kênh thuê riêng sẽ phụ thuộc vào nhà cung cấp dịch vụ. Một số

các chuẩn kết nối chính được sử dụng là HDSL, G703 v.v…

- Khi sử dụng kênh thuê riêng, người sử dụng cần thiết phải có đủ các giao tiếp trên các

bộ định tuyến sao cho có một giao tiếp kết nối WAN cho mỗi kết nối kênh thuê riêng tại

mỗi node. Điều đó có nghĩa là, tại điểm node có kết nối kênh thuê riêng đến 10 điểm khác

nhất thiết phải có đủ 10 giao tiếp WAN để phục vụ cho các kết nối kênh thuê riêng. Đây là

một vấn đề hạn chế về đầu tư thiết bị ban đầu, không linh hoạt trong mở rộng phát triển,



phức tạp trong quản lý, đặc biệt là chi phí thuê kênh lớn đối với các yêu cầu kết nối xa về

khoảng cách địa lý.

- Giao thức sử dụng với leased-line là HDLC, PPP, LAPB.

HDLC: là giao thức được sử dụng với họ bộ định tuyến Cisco hay nói cách khác chỉ

có thể sử dụng HDLC khi cả hai phía của kết nối leased-line đều là bộ định tuyến

Cisco.

PPP: là giao thức chuẩn quốc tế, tương thích với tất cả các bộ định tuyến của các nhà

sản xuất khác nhau. Khi đấu nối kênh leased-line giữa một phía là thiết bị của Cisco

và một phía là thiết bị của hãng thứ ba thì nhất thiết phải dùng giao thức đấu nối này.

PPP là giao thức lớp 2 cho phép nhiều giao thức mạng khác nhau có thể chạy trên

nó, do vậy nó được sử dụng phổ biến.

APB: là giao thức truyền thông lớp 2 tương tự như giao thức mạng X.25 với đầy đủ

các thủ tục, quá trình kiểm soát truyền dẫn, phát triển và sửa lỗi. LAPB ít được sử

dụng.

1.2 Công nghệ Frame-Relay

- Là chuẩn của tổ chức liên minh viễn thông thế giới (ITU-T) và viện tiêu chuẩn quốc

gia Mỹ (ANSI)

- Là công nghệ chuyển mạch gói ở lớp Data-Link theo hướng kết nối. Sử dụng một phần

giao thức HDLC làm giao thức LADF (Link Access Procedure for Frame Relay )

- Thực hiện truyền frame giữa DTE và DCE tại điểm demarcation. Các Router biên của

Lan là DTE. Các DTE sẽ được kết nối qua đường E1/T1 vào Frame-Relay Switch là DCE.



- Tốc độ từ 64KB /s đến 45MB/s, độ tin cậy cao, độ trễ thấp và kiểm soát tốt nghẽn

mạng. Hỗ trợ các mô hình kết nối point to point và point to multipoint.

- Được xem như giao diện giữa người dùng và thiết bị mạng, do ISP cung cấp hoặc mạng

do tư nhân quản lý, triễn khai dịch vụ Frame Relay công cộng bằng việc đặt Frame Relay

Switch trong tổng đài của ISP.

- Dùng Frame Relay tiết kiệm kết nối hơn Leased Line nhưng phải tốn thêm chi phí cho

các Frame Relay Switch

Hình 36 Mô hình Frame-Relay

a. Quá trình đóng gói Frame Relay

- Quá trình đóng gói Frame Relay thực hiện theo các bước như sau :

* Nhận gói dữ liệu từ lớp mạng, ví dụ nư IP và IPX

* Đóng gói thành cấu trúc frame của Frame Relay

* Chuyển frame xuống tầng vật lý để chuyển đi

- Tầng vật lý thường là V.35, X.21, EIA/TIA-232, 449 hay 530



- Frame của Frame Relay sử dụng một phần định dạng của HDLC nên cũng có phần

flag 01111110, phần FCS được dùng để kiểm tra lỗi của frame. Việc kiểm tra lỗi được

giao cho các lớp trên của mô hình OSI đảm nhận

- Hai kiểu đóng gói Frame Relay trên Router Cisco

* Cisco :

- Là kiểu đóng gói Frame Relay độc quyền của Cisco

- Là mặc định của Router Cisco khi đóng gói Frame Relay

- Kiểu đóng gói này sử dụng 2 byte phần Header, trong đó:

- 1 byte xác định chỉ số DLCI

- 1 byte xác định loại gói dữ liệu

- Sử dụng chuẩn Cisco khi router ở hai đầu đều của Cisco. Tuy nhiên một số router của

hãng khác cũng hỗ trợ chuẩn này.

* IETF:

- Kiểu đóng gói phù hợp với chuẩn RFC 1490 của IETF

- Sử dụng chuẩn IETF khi router đầu bên kia không phải của Cisco

1.3 Công nghệ DSL

- DSL ( Digital Subscriber Line) : Là công nghệ cho phép sử dụng những tần số chưa

dùng trên cáp đồng để truyền dữ liệu ở tốc độ cao, lên đến hàng Megabits.

- DSL sử dụng kỹ thuật truyền băng thông rộng ghép nhiều dãi tần số khác nhau trên

cùng một đường truyền vật lý để truyền dữ liệu.



a. Đặc điểm DSL

- Trên đường dây điện thoại thường chỉ dùng khoảng tần số từ 0 – 4 KHZ để truyền dữ

liệu âm thanh.

- Công nghệ DSL tận dụng đặc điểm này để truyền trên cùng đường dây nhưng ở tần

số trên 4Khz đến 1Mhz.

- DSL có thể cho phép tín hiệu thoại và dữ liệu cùng truyền một lúc qua cùng một

đường cáp.

- Vì dịch vụ DSL luôn sẵn sàng nên người dùng không phải quay số dialup hoặc đợi

cho cuộc gọi được thiết lập.

- DSL types

Hình 37 Tốc độ DSL

Ưu điểm và giới hạn của DSL:

Các ưu điểm của ADSL:

- Tốc độ truy cập cao

- Truyền thông tin tích hợp data, voice và video.



- Luôn luôn online (always on): giúp triển khai các dịch vụ như personal web.

- Chi phí bảo trì thấp.

Giới hạn của DSL:

- Tốc độ truyền DSL tỉ lệ nghịch với khoảng cách giữa CPE và DSLAM.

- Vì là mạng công cộng nên phải tốn kém chi phí cho vấn đề bảo mật.

Các yếu tố ảnh hưởng đến chất lượng của DSL là:

- Số lượng các thiết bị gắn vào line DSL.

- Bridge-tap : mở rộng của CPE và CO.

1.4 Công nghệ MPLS ( Multi Protocol Label Switching )

- MPLS ( Multi Protocol Label Switching) là công nghệ chuyển mạch sử dụng label

(nhãn ) để chuyển các gói tin, sử dụng với cả các giao thức Non-IP.

- Mỗi nhãn luôn được gán cho một IP đích nhất định ( Giống bảng IP Forwarding).

- Các nhãn được chèn vào giữa header của lớp 3 và header của lớp 2 trong trường hợp

sử dụng kỹ thuật dựa trên khung lớp 2. Mục tiêu chính của MPLS là tạo ra một cấu trúc

mạng mềm dẻo để cung cấp cho đặc tính mở rộng và ổn định của mạng.

- MPLS hỗ trợ điều khiển lưu lượng và khả năng hoạt động của VPN và có liên quan

đến Chất lượng dịch vụ ( QoS) với nhiều lớp dịch vụ (Cos)

- MPLS bao gồm 2 thành phần chính là:

* Mặt phẳng điều khiển : Trao đổi thông tin định tuyến và các nhãn.

* Mặt phẳng dữ liệu : Chuyển gói tin (packet) hoặc tế bào dữ liệu (cell)

- Mỗi LSR đăng kí một nhãn cho mỗi đích đến trong bảng định tuyến. Nhãn chỉ có giá

trị nội bộ và có thể được quảng bá trực tiếp với các neighbor.



- Các gói tin được chuyển tiếp sử dụng nhãn từ bảng LFIB, quá trình cấu hình MPLS

bao gồm cấu hình IP CEF, tag switching, và thiết lập kích thước MTU.

- Kỹ thuật MPLS VPN kết hợp tính năng tốt nhất cho chuyển mạch ở mạng lõi và định

tuyến ở mạng biên. Router PE chuyển các gói tin theo đường MPLS VPN sử dụng chồng

nhãn (label stack)

Hình 38 Mô hình MPLS Topology

1.4.1 Ưu điểm và ứng dụng của MPLS

Ưu điểm :

* MPLS nhanh hơn các giao thức kết nối WAN khác về tốc độ và giảm thời gian trễ

một cách hiệu quả

* Khả năng mở rộng cao về số lượng người dùng

* Công nghệ tương đối đơn giản



* MPLS cung cấp tính năng điều khiển lưu lượng để sử dụng hiệu quả tài nguyên

mạng

Ứng dụng :

- MPLS VPN

- MPLS traffic Engineering

- MPLS QoS

- MPLS Multicast/ Unicast Routing….

2. Công nghệ mạng riêng ảo VPN (Vitural Private Network)

Mạng riêng ảo, có tên tiếng Anh là Virtual Private Network, viết tắt là VPN. Sau đây ta

thường gọi ngắn gọn theo tên viết tắt. VPN là phương pháp làm cho một mạng công cộng

(như mạng Internet) hoạt động giống như mạng cục bộ, cũng có các đặc tính như bảo mật

và tính ưu tiên mà người dùng yêu thích.

Theo cách nói đơn giản, VPN là một sự mở rộng của mạng Intranet qua một mạng công

cộng (như Internet) mà đảm bảo sự bảo mật và hiệu quả kết nối giữa 2 điểm truyền thông

cuối. Mạng Intranet riêng được mở rộng nhờ sự trợ giúp của các "đường hầm". Các đường

hầm này cho phép các thực thể cuối trao đổi dữ liệu theo cách tương tự như truyền thông

điểm - điểm.

Một báo cáo nghiên cứu về VPN cho thấy: Có thể tiết kiệm từ 20% đến 47% chi phí

mạng WAN khi thay thế các đường Lease-Line để truy cập mạng từ xa bằng VPN. Và với

VPN truy cập từ xa có thể tiết kiệm từ 60% đến 80% chi phí khi sử dụng đường Dial-up

để truy cập từ xa đến Công ty.

Mạng riêng ảo đã thực sự chinh phục cuộc sống. Việc kết nối các mạng máy tính của

các doanh nghiệp lâu nay vẫn được thực hiện trên các đường truyền thuê riêng, cũng có

thể là kết nối Frame Relay hay ATM. Nhưng, rào cản lớn nhất đến với các doanh nghiệp



tổ chức đó là chi phí. Chi phí từ nhà cung cấp dịch vụ, chi phí từ việc duy trì, vận hành hạ

tầng mạng, các thiết bị riêng của doanh nghiệp... rất lớn. Vì vậy, điều dễ hiểu là trong thời

gian dài, chúng ta gần như không thấy được nhiều ứng dụng, giải pháp hữu ích trên mạng

diện rộng WAN.

Rõ ràng, sự ra đời của công nghệ mạng riêng ảo đã cho phép các tổ chức, doanh nghiệp

có thêm sự lựa chọn mới. Không phải vô cớ mà các chuyên gia viễn thông nhận định:

"Mạng riêng ảo chính là công nghệ mạng WAN thế hệ mới".

2.1 Định nghĩa VPN

Công ty/doanh nghiệp của bạn có nhiều chi nhánh muốn kết nối với nhau để trao đổi dữ

liệu và sử dụng các dịch vụ trong mạng nội bộ của trụ sở chính? Hoặc bạn là người phải

thường xuyên làm việc lưu động muốn kết nối vào hệ thống mạng nội bộ của công ty mình

thông qua một môi trường public như Internet?

Vậy đâu là giải pháp cho những yêu cầu trên? Câu trả lời đó là VPN (Virtual Private

Network), một giải pháp mạng riêng ảo cho phép bạn thực hiện những yêu cầu trên.

VPN cho phép các host giữa nhiều chi nhánh truyền thông với nhau thông qua một đường

hầm ảo (tunnel). Khi đó, giữa các chi nhánh đó như được kết nối trực tiếp với nhau trong

cùng một mạng Private.

Và tuyệt vời hơn nữa là VPN đảm bảo dữ liệu được bảo mật an toàn một cách tuyệt đối khi

truyền thông qua một môi trường không tin cậy như Internet.



Hình 39 Mô hình VPN

2.2 Lịch sử hình thành và phát triển

- Khái niệm đầu tiên về VPN được AT&T (tên 1 công ty viễn thông ở Mỹ) đưa ra

vào khoảng cuối thập niên 80. VPN được biết đến như là “mạng được định nghĩa bởi phần

mềm” (Software Defined Network – SDN). SDN là mạng WAN với khoảng cách xa, nó

được thiết lập dành riêng cho người dùng. SDN dựa vào cơ sở dữ liệu truy nhập để phân

loại truy nhập vào mạng ở gần hoặc từ xa. Dựa vào thông tin, gói dữ liệu sẽ được định

tuyến đến đích thông qua cơ sở hạ tầng chuyển mạch công cộng. Thế hệ thứ 2 của VPN

xuất hiện cùng với sự ra đời của công nghệ X25 và ISDN vào đầu thập kỷ 90. Trong một

thời gian, giao thức X25 qua mạng ISDN được thiết lập như là 1 giao thức của VPN, tuy

nhiên, tỉ lệ sai lỗi trong quá trình truyền dẫn vượt quá sự cho phép. Do đó thế hệ thứ hai

của VPN nhanh chóng bị lãng quên trong một thời gian ngắn. Sau thế hệ thứ 2, thị trường

VPN bị chậm lại cho đến khi công nghệ Frame Relay và công nghệ ATM ra đời - thế hệ

thứ 3 của VPN dựa trên 2 công nghệ này. Những công nghệ này dựa trên khái niệm chuyển

mạch kênh ảo. Trong thời gian gần đây, thương mại điện tử đã trở thành 1 phương thức

thương mại hữu hiệu, những yêu cầu của người sử dụng mạng VPN cũng rõ ràng hơn.

Người dùng mong muốn 1 giải pháp mà có thể dễ dàng được thực hiện, thay đổi, quản trị,

có khả năng truy nhập trên toàn cầu và có khả năng cung cấp bảo mật ở mức cao, từ đầu

cuối đến đầu cuối. Thế hệ gần đây (thế hệ thứ 4) của VPN là IP-VPN. IP-VPN đã đáp ứng

được tất cả những yêu cầu này bằng cách ứng dụng công nghệ đường hầm.



2.3 Những lợi ích VPN mang lại

VPN mang lại nhiều lợi ích, những lợi ích này bao gồm:

- Giảm chi phí thực thi: Chi phí cho VPN ít hơn rất nhiều so với các giải pháp truyền

thống dựa trên đường Lease-Line như Frame Relay, ATM hay ISDN. Bởi vì VPN loại trừ

được những yếu tố cần thiết cho các kết nối đường dài bằng cách thay thế chúng bởi các

kết nối cục bộ tới ISP hoặc điểm đại diện của ISP.

- Giảm được chi phí thuê nhân viên và quản trị: Vì giảm được chi phí truyền thông

đường dài. VPN cũng làm giảm được chi phí hoạt động của mạng dựa vào WAN một cách

đáng kể. Hơn nữa, một tổ chức sẽ giảm được toàn bộ chi phí mạng nếu các thiết bị dùng

trong mạng VPN được quản trị bởi ISP. Vì lúc này, thực tế là Tổ chức không cần thuê

nhiều nhân viên mạng cao cấp.

- Nâng cao khả năng kết nối: VPN tận dụng Internet để kết nối giữa các phần tử ở xa

của một Intranet. Vì Internet có thể được truy cập toàn cầu, nên hầu hết các nhánh văn

phòng, người dùng, người dùng di động từ xa đều có thể dễ dàng kết nối tới Intranet của

Công ty mình.

- Bảo mật các giao dịch: Vì VPN dùng công nghệ đường hầm để truyền dữ liệu qua

mạng công cộng không an toàn. Dữ liệu đang truyền được bảo mật ở một mức độ nhất

định, Thêm vào đó, công nghệ đường hầm sử dụng các biện pháp bảo mật như: Mã hoá,

xác thực và cấp quyền để bảo đảm an toàn, tính tin cậy, tính xác thực của dữ liệu được

truyền, Kết quả là VPN mang lại mức độ bảo mật cao cho việc truyền tin.

- Sử dụng hiệu quả băng thông: Trong kết nối Internet dựa trên đường Lease-Line, băng

thông hoàn toàn không được sử dụng trong một kết nối Internet không hoạt động. Các

VPN, chỉ tạo các đường hầm logic đề truyền dữ liệu khi được yêu cầu, kết quả là băng



thông mạng chỉ được sử dụng khi có một kết nối Internet hoạt động. Vì vậy làm giảm đáng

kể nguy cơ lãng phí băng thông mạng.

- Nâng cao khả năng mở rộng: Vì VPN dựa trên Internet, nên cho phép Intranet của một

công ty có thể mở rộng và phát triển khi công việc kinh doanh cần phải thay đổi với phí

tổn tối thiểu cho việc thêm các phương tiện, thiết bị. Điều này làm cho Intranet dựa trên

VPN có khả năng mở rộng cao và dễ dàng tương thích với sự phát triển trong tương lai.

- Như chúng ta thấy, yêu cầu ứng dụng các công nghệ mới và mở rộng mạng đối với các

mạng riêng ngày càng trở nên phức tạp và tốn kém. Với giải pháp mạng riêng ảo, chi phí

này được tiết kiệm do sử dụng cơ sở hạ tầng là mạng truyền số liệu công cộng (ở Việt Nam,

thực tế chi phí tốn kém cho mạng riêng là chi phí cho các kênh thuê riêng đường dài, các

mạng riêng cũng không quá lớn và phức tạp, giải pháp VPN sẽ là giải pháp giúp tiết kiệm

chi phí cho kênh truyền riêng cũng như sử dụng hiệu quả hơn cơ sở hạ tầng mạng truyền

số liệu công cộng).

- Trên đây là một số lợi ích cơ bản mà giải pháp VPN mang lại. Tuy nhiên bên cạnh đó,

nó cũng không tránh khỏi một số bất lợi như: Phụ thuộc nhiều vào Internet. Sự thực thi của

một mạng dựa trên VPN phụ thuộc nhiều vào sự thực thi của Internet. Các đường Lease-

Line bảo đảm băng thông được xác định trong hợp đồng giữa nhà cung cấp và Công ty.

Tuy nhiên không có một đảm bảo về sự thực thi của Internet. Một sự quá tải lưu lượng và

tắc nghẽn mạng có thể ảnh hưởng và từ chối hoạt động của toàn bộ mạng dựa trên VPN.

- Khả năng quản lý: cũng là vấn đề khó khăn của VPN. Cũng với lý do là chạy ngang

qua mạng Internet nên khả năng quản lý kết nối end to end từ phía một nhà cung cấp đơn

lẻ là điều không thể thực hiện được. Vì thế nhà cung cấp dịch vụ (ISP) không thể cung cấp

chất lượng 100% như cam kết mà chỉ có thể cố hết sức. Cũng có một lối thoát là các nhà

cung cấp ký kết với nhau các bản thoả thuận về các thông số mạng, đảm bảo chất lượng

dịch vụ cho khách hàng. Tuy nhiên các cam kết này cũng không đảm bảo 100%.



2.4 Những yêu cầu đối với VPN

- Việc triển khai hệ thống VPN cơ bản cần đáp ứng một số yêu cầu sau:

Tính tương thích (Compatibility): Mỗi công ty, mỗi doanh nghiệp đều được xây

dựng các hệ thống mạng nội bộ và diện rộng của mình dựa trên các thủ tục khác

nhau và không tuân theo một chuẩn nhất định của nhà cung cấp dịch vụ. Rất nhiều

các hệ thống mạng không sử dụng các chuẩn TCP/IP vì vậy không thể kết nối trực

tiếp với Internet. Để có thể sử dụng được IP VPN tất cả các hệ thống mạng riêng

đều phải được chuyển sang một hệ thống địa chỉ theo chuẩn sử dụng trong Internet

cũng như bổ sung các tính năng về tạo kênh kết nối ảo, cài đặt cổng kết nối Internet

có chức năng trong việc chuyển đổi các thủ tục khác nhau sang chuẩn IP. Phần lớn

số lượng khách hàng được hỏi yêu cầu khi chọn một nhà cung cấp dịch vụ IP VPN

phải tương thích với các thiết bị hiện có của họ.

Tính khả dụng (Availability): Một giải pháp VPN cần thiết phải cung cấp được tính

bảo đảm về chất lượng, hiệu suất sử dụng dịch vụ cũng như dung lượng truyền.

Tiêu chuẩn về chất lượng dịch vụ (QoS) – một tiêu chuẩn đánh giá của một mạng

lưới có khả năng đảm bảo chất lượng dịch vụ cung cấp đầu cuối đến đầu cuối. QoS

liên quan đến khả năng đảm bảo độ trễ dịch vụ trong một phạm vi nhất định hoặc

liên quan đến cả hai vấn đề trên.

An toàn dữ liệu: Mạng VPN cần cung cấp 4 chức năng giới hạn để đảm bảo độ

bảo mật cho giữ liệu:

Xác thực (Authentication): giúp đảm bảo dữ liệu đến bắt đầu từ một nguồn theo

yêu cầu.

Điều khiển truy cập (Access control): han chế việc thăng cấp quyền truy cập vào

mạng của những người dùng bất hợp pháp.

Tin cậy (Confidentiality): ngăn không cho tin tặc đọc hoặc sao chép dữ liệu khi

dữ liệu được truyền trong mạng Internet.

Tính toàn vẹn của dữ liệu (Data integrity): giúp cho dữ liệu không bị thay đổi vì

bất kỳ lý do gì khi nó truyền đi trên mạng Internet.



2.5 Các mô hình kết nối VPN thông dụng

2.5.1 VPN truy cập từ xa (Remote VPN)

Hình 40 Thiết lập VPN từ xa

- Được gọi là “ Mạng quay số riêng ảo “ (VPDN), đây là dạng kết nối User-to-Lan áp

dụng cho dành cho các nhân viên ở công ty khi có nhu cầu kết nối đến mạng riêng từ các

địa điểm xa và bằng các thiết bị khác nhau.

- Khi VPN được triển khai, các nhân viên chỉ cần kết nối internet hong qua các ISP

và sử dụng các phần mềm VPN để truy cập đến một mạng Intranet hay Extranet của một

tổ chức trên nền hạ tầng mạng công cộng. Dịch vụ này cho phép người dùng truy xuất tài

nguyên mạng của Công ty họ như là họ đang kết nối trực tiếp vào mạng đó.

- VPN Remote cung cấp khả năng truy nhập từ xa đến intranet hay extranet của tổ

chức qua cơ sở hạ tầng chung. Truy nhập VPN sử dụng kỹ thuật tương tự, quay số, ISDN,

DSL, mobile IP và cáp để thực hiện kết nối an toàn cho người dùng lưu động, người dùng

truyền hong và các văn phòng chi nhánh.

2.5.2 VPN cục bộ (Intranet VPN)



Hình 41 Thiết lập Intranet VPN

- Intranet VPN được áp dụng thiết lập cho các công ty khi họ có nhiều chi nhánh ở

xa và mỗi chi nhánh đều có một cục bộ mạng LAN. Liên kết các văn phòng trung

tâm, các chi nhánh tới mạng intranet thông qua cơ sở hạ tầng dùng chung bằng

các kết nối chuyên biệt.

- Ưu điểm:

+ Vì Internet hoạt động như một phương tiện kết nối, nó dễ dàng cung cấp các liên

kết ngang hàng mới.

+ Vì kết nối tới các ISP cục bộ, khả năng truy cập nhanh hơn, tốt hơn. Cùng với việc

loại trừ các dịch vụ đường dài giúp cho tổ chức giảm được chi phí của hoạt động Intranet.

- Nhược điểm:

+ Vì dữ liệu được định đường hầm qua một mạng chia sẽ công cộng nên các tấn công

mạng như: từ chối dịch vụ vẫn đe doạ nghiêm trọng đến an ninh mạng.

+ Khả năng mất các gói dữ liệu khi truyền vẫn còn cao.

+ Đường truyền dữ liệu đầu trên như multimedia, độ trể truyền tin vẫn rất cao và

thông lượng có thể bị giảm xuống rất thấp dưới sự hiện diện của Internet.



+ Vì sự hiện diện của kết nối Internet sự thực thi có thể bị gián đoạn và QoS có thể

không được đảm bảo.

2.5.3 VPN mở rộng (Extranet VPN)

Hình 42 Thiết lập mạng VPN Extranet

- VPN Extranet được áp dụng cho các công ty khi họ có nhu cầu kết nối cùng với

nhiều đối tác, khách hàng thân thiết kết cùng nhau làm việc qua một mạng riêng

ảo.

- Liên kết khách hàng, nhà cung cấp, đối tác hay các cộng đồng quyền lợi tới mạng

tổ chức thông qua cơ sở hạ tầng dùng chung bằng các kết nối chuyên biệt. Extranet

VPN khác với intranet VPN là chúng cho phép truy nhập tới người dùng bên ngoài

tổ chức.

- Ưu điểm:

+ Dễ thực thi, duy trì và dễ thay đổi

+ Chi phí thiết lập thấp

- Nhược điểm:



+ Tăng rủi ro vì các xâm nhập vào Intranet của tổ chức

+ Độ trễ truyền thông vẫn lớn

2.6 Giao thức đường hầm tại Layer 2 trong VPN

2.6.1 Giao thức PPTP (Point-to-Point Tunneling Protocol)

- Giao thức PPTP được sử dụng trên các máy client chạy HĐH Microsoft fro NT

4.0 và Win 95+. Giao thức này được sử dụng để mã hoá dữ liệu lưu thông trên mạng LAN.

Giống giao thức NETBEUI và IPX trong một packet gửi lên mạng. PPTP dựa chuẩn RSA

RC4 và được hỗ trợ bởi sự mã hoá 40-bits or 128-bits. Giao thức này dùng bất kỳ cơ chế

thẩm định quyền truy cập nào được PPP hỗ trợ.

2.6.2 Giao thức chuyển tiếp L2F (Layer 2 Forwarding)

- Là giao thức được phát triển bởi Cisco System. L2F được thiết kế cho phép tạo ra

đường hầm giữa NAS và một thiết bị VPN Gateway để truyền các Frame, người sử dụng

từ xa có thể kết nối đến NAS và truyền Fram PPP từ remote user đến VPN Gateway trong

đường hầm được tạo ra.

2.6.3 Giao thức L2TP (Layer 2 Tunneling Protocol)

- Là chuẩn giao thức do IETF đề xuất, L2TP tích hợp cả 2 điểm mạnh là truy nhập

từ xa của L2F (Layer 2 Forwarding của Cisco System) và tính kết nối nhanh của poinh-to-

point của PPTP (Point to point tunneling Protocol của Microsoft). Trong môi trường

Remote Access L2TP cho phép khởi tạo đường hầm cho các Frame và sử dụng giao thức

PPP truyên dữ liệu trong đường hầm. Cuối cùng, giao thức L2TP không cung cấp mã hoá.

2.7 Giao thức đường hầm tại Layer 3 trong VPN (IPSec)

2.7.1 Tìm hiểu về IPSec

- IP Security (IPSec) là một giao thức được chuẩn hoá bởi IETF từ năm 1998 nhằm

mục đích nâng cấp các cơ chế mã hoá và xác thực thông tin cho chuỗi thông tin truyền đi

trên mạng bằng giao thức IP. Hay nói cách khác, IPSec là sự tập hợp của các chuẩn mở

được thiết lập để đảm bảo sự cẩn mật dữ liệu, đảm bảo tính toàn vẹn dữ liệu và chứng thực

dữ liệu giữa các thiết bị mạng.



- IPSec thực hiện mã hóa và xác thực ở lớp mạng. Nó cung cấp một giải pháp an

toàn dữ liệu từ đầu cuối-đến-đầu cuối trong bản thân cấu trúc mạng (ví dụ khi thực hiện

mạng riêng ảo VPN). Vì vậy vấn đề an toàn được thực hiện mà không cần thay đổi các ứng

dụng cũng như các hệ thống cuối. Các gói mã hóa có khuôn dạng giống như gói tin IP

thông thường, nên chúng dễ dàng được định tuyến qua mạng Internet mà không phải thay

đổi các thiết bị mạng trung gian, qua đó cho phép giảm đáng kể các chi phí cho việc triển

khai và quản trị. IPSec cung cấp bốn chức năng quan trọng sau:

- Bảo mật(mã hóa)- Confidentiality: Người gửi có thể mã hóa dữ liệu trước khi

truyền chúng qua mạng. Bằng cách đó, không ai có thể nghe trộm trên đường truyền. Nếu

giao tiếp bị ngăn chặn, dữ liệu không thể đọc được.

- Toàn vẹn dữ liệu- Data integrity: Người nhận có thể xác minh các dữ liệu được

truyền qua mạng Internet mà không bị thay đổi. IPSec đảm bảo toàn vẹn dữ liệu bằng cách

sử dụng checksums (cũng được biết đến như là một giá trị băm).

- Xác thực- Authentication: Xác thực đảm bảo kết nối được thực hiện và các đúng

đối tượng. Người nhận có thể xác thực nguồn gốc của gói tin, bảo đảm, xác thực nguồn

gốc của thông tin.

- Antireplay protection: xác nhận mỗi gói tin là duy nhất và không trùng lặp.

- IPSec là một nền(Frame work) kết hợp giao thức bảo mật và cung cấp mạng riêng

ảo với các dữ liệu bảo mật, toàn vẹn và xác thực. Làm việc với sự tập hợp của các chuẩn

mở được thiết lập để đảm bảo sự bảo mật dữ liệu, đảm bảo tính toàn vẹn dữ liệu, và chứng

thực dữ liệu giữa các thiết bị tham gia vào mạng VPN. Các thiết bị này có thể là các host

hoặc là các security gateway (routers, firewalls, VPN concentrator,...) hoặc là giữa 1 host

và gateway như trong trường hợp remote access VPNs.

2.7.2 Liên kết bảo mật IPSec (SA-IPSec)

- Security Associations (SAs) là một khái niệm cơ bản của bộ giao thức IPSec. SA

là một kết nối luận lý theo một phương hướng duy nhất giữa hai thực thể sử dụng các dịch

vụ IPSec.

Các giao thức xác nhận, các khóa, và các thuật toán.



Phương thức và các khóa cho các thuật toán xác nhận được dùng bởi các giao thức

Authentication Header (AH) hay Encapsulation Security Payload (ESP) của bộ IPSec.

Thuật toán mã hóa và giải mã và các khóa.

Thông tin liên quan khóa như khoảng thời gian thay đổi hay khoảng thời gian làm

tươi của các khóa.

Thông tin liên quan đến chính bản thân SA bao gồm địa chỉ nguồn SA và khoảng

thời gian làm mới.

IPSec SA gồm có 3 trường:

Hình 43 Ba trường của SA

SPI (Security Parameter Index): Đây là một trường 32 bit dùng nhận dạng giao

thức bảo mật, được định nghĩa bởi trường Security protocol, trong bộ IPSec đang dùng.

SPI được mang theo như là một phần đầu của giao thức bảo mật và thường được chọn bởi

hệ thống đích trong suốt quá trình thỏa thuận của SA.

Destination IP address: Đây là địa chỉ IP của nút đích. Mặc dù nó có thể là địa

chỉ broadcast, unicast, hay multicast, nhưng cơ chế quản lý hiện tại của SA chỉ được định

nghĩa cho hệ thống unicast.

Security protocol: Phần này mô tả giao thức bảo mật IPSec, có thể là AH hoặc

ESP.

Chú thích:

- Broadcasts có nghĩa cho tất cả hệ thống thuộc cùng một mạng hoặc mạng con. Còn

multicasts gửi đến nhiều (nhưng không phải tât cả) nút của một mạng hoặc mạng con cho

sẵn. Unicast có nghĩa cho 1 nút đích đơn duy nhất.

- Bở vì bản chất theo một chiều duy nhất của SA, cho nên 2 SA phải được định

nghĩa cho hai bên thông tin đầu cuối, một cho mỗi hướng. Ngoài ra, SA có thể cung cấp



các dịch vụ bảo mật cho một phiên VPN được bảo vệ bởi AH hoặc ESP. Do vậy, nếu một

phiên cần bảo vệ kép bởi cả hai AH và ESP, 2 SA phải được định nghĩa cho mỗi hướng.

Việc thiết lập này của SA được gọi là SA bundle.

- Một IPSec SA dùng 2 cơ sở dữ liệu. Security Association Database (SAD) nắm

giữ thông tin liên quan đến mỗi SA. Thông tin này bao gồm thuật toán khóa, thời gian sống

của SA, và chuỗi số tuần tự. Cơ sở dữ liệu thức hai của IPSec SA, Security Policy Database

(SPD), nắm giữ thông tin về các dịch vụ bảo mật kèm theo với một danh sách thứ tự chính

sách các điểm vào và ra. Giống như firewall rules và packet filters, những điểm truy cập

này định nghĩa lưu lượng nào được xữ lý và lưu lượng nào bị từ chối theo từng chuẩn của

IPSec.

2.7.3 IPSec Security Protocols

- Bộ IPSec đưa ra 3 tính năng chính bao gồm:

Tính xác nhận và tính toàn vẹn dữ liệu (Authentication and data integrity)

IPSec cung cấp một cơ chế mạnh mẽ để xác nhận tính chất xác thực của người gửi

và kiểm chứng bất kỳ sự sữa đổi không được bảo vệ trước đó của nội dung gói dữ liệu bởi

người nhận. Các giao thức IPSec đưa ra khả năng bảo vệ mạnh để chống lại các dạng tấn

công giả mạo, phát hiện và từ chối dịch vụ.

Sự cẩn mật (Confidentiality)

Các giao thức IPSec mã hóa dữ liệu bằng cách sử dụng kỹ thuật mã hóa cao cấp,

giúp ngăn cản người chưa chứng thực truy cập dữ liệu trên đường đi của nó. IPSec cũng

dùng cơ chế tạo hầm để ẩn địa chỉ IP của nút nguồn (người gửi) và nút đích (người nhận)

từ những kẻ nghe lén.

Quản lý khóa (Key management)

IPSec dùng một giao thức thứ ba, Internet Key Exchange (IKE), để thỏa thuận các

giao thức bao mật và các thuật toán mã hóa trước và trong suốt phiên giao dịch. Một phần

quan trọng nữa, IPSec phân phối và kiểm tra các khóa mã và cập nhật những khóa đó khi

được yêu cầu.



Hai tính năng đầu tiên của bộ IPSec, authentication and data integrity, và

confidentiality, được cung cấp bởi hai giao thức chính của trong bộ giao thức IPSec. Những

giao thức này bao gồm Authentication Header (AH) và Encapsulating Security Payload

(ESP). Tính năng thứ ba, key management, nằm trong bộ giao thức khác, được bộ IPSec

chấp nhận bởi nó là một dịch vụ quản lý khóa mạnh. Giao thức này là IKE.



2.7.4 Các giao thức của IPSec

Hình 44 Các giao thức trong IP-Sec

- IPSec bảo mật kết nối mạng bằng việc sử dụng 2 giao thức và cung cấp bảo mật

cho các gói tin của cả hai phiên bản IPv4 và IPv6:

IP Authentication Header đảm bảo 3 tính chất cơ bản:

o Toàn vẹn thông tin.

o Xác thực thông tin.

o Chống phát lại.



IP Encapsulating Security Payload đảm bảo 4 tính chất cơ bản:

o Toàn vẹn thông tin.

o Xác thực thông tin.

o Mã hóa thông tin.

o Chống phát lại.

Thuật toán mã hoá được sử dụng trong IPsec bao gồm HMAC-SHA1 cho tính toàn

vẹn dữ liệu (integrity protection), và thuật toán 3DES-CBC và AES-CBC cho mã mã hoá

và đảm bảo độ an toàn của gói tin.

- Authentication Header (AH)

AH được sử dụng trong các kết nối không có tính đảm bảo dữ liệu. Hơn nữa nó là

lựa chọn nhằm chống lại các tấn công replay attack bằng cách sử dụng công nghệ chống

tấn công sliding windows và discarding older packets. AH bảo vệ quá trình truyền dữ liệu

khi sử dụng IP. Trong IPv4, IP header có bao gồm TOS, Flags, Fragment Offset, TTL, và

Header Checksum. AH thực hiện trực tiếp trong phần đầu tiên của gói tin IP. dưới đây là

mô hình của AH header.

Hình 45 Cấu trúc gói tin AH



- Ý nghĩa của từng trường:

Next header (8 Bits): Nhận dạng giao thức trong sử dụng truyền thông tin, xác định

loại dữ liệu chứa bên trong tiêu đề AH.

Payload length (8 Bits): Độ lớn của gói tin AH tính bằng đơn vị từ (32 Bits) và trừ

đi 2 đơn vị. Ví dụ: toàn bộ chiều dài tiêu đề AH là 6 thì chiều dài vùng Payload length là

4.

RESERVED (16 Bits): Sử dụng trong tương lai (cho tới thời điểm này nó được biểu

diễn bằng các số 0).

Security parameters index (SPI – 32 Bits): Nhận ra các thông số bảo mật, được tích

hợp với địa chỉ IP, và nhận dạng các thương lượng bảo mật được kết hợp với gói tin.Giá

trị 1-255 được dành riêng, giá trị 0 sử dụng cho mục đích đặc biệt, các giá trị khác dùng

gán cho SPI.

Sequence number (32 bits): Đây là một giá trị không dấu, luôn tăng và cho phép

cung cấp dịch vụ antireplay cho một SA. Thông tin này không nhất thiết được dùng bởi

bên nhận nhưng nó phải bao gồm bởi thiết bị gửi. Chỉ số này được khởi động về 0 khi SA

được thiết lập. Nếu dịch vụ antireplay được dùng, chỉ số này không bao giờ được phép lặp

lại. Bởi vì bên gửi không biết bên nhận có dùng dịch vụ antireplay, SA sẽ được hủy và một

SA mới sẽ được tái thiết lập sau khi có 232 gói tin được truyền.

Authentication data (Chiều dài không xác định): Trường này chứa giá trị Integrity

Check Value (ICV) cho gói tin. Trường này phải là một số nguyên bội số của 32 và có thể

chứa các giá trị đệm (padding) để lấp đầy các bit trống cho đủ 32 bits. Giá trị ICV này được

tính dùng các giải thuật như Message Authentication Code (MACs). MACs được dựa trên

các giải thuật mã hóa đối xứng như DES và 3DES hoặc các hàm hash một chiều như MD5

hoặc SHA-1. Khi tính toán chỉ số ICV, phép tính sẽ tính trên toàn bộ gói tin mới. Một khóa

bí mật dùng chung sẽ được dùng trong MAC làm cho giá trị này khó bị bẻ gãy. Mỗi đầu

của kết nối VPN sẽ tính toán chỉ số ICV này một cách độc lập. Nếu các giá trị này không



trùng, gói tin sẽ bị bỏ qua. Điều này giúp đảm bảo gói tin đã không bị thay đổi trong quá

trình truyền.

- AH cung cấp tính xác thực, tính nguyên vẹn và khâu lặp cho toàn bộ gói tin bao

gồm cả phần tiêu đề của IP (IP header) và các gói dữ liệu được chuyển trong các gói tin.

- AH không cung cấp tính riêng tư, không mã hóa dữ liệu như vậy dữ liệu có thể

được đọc nhưng chúng sẽ được bảo vệ để chống lại sự thay đổi. AH sẽ sử dụng thuật toán

Key AH để đánh dấu gói dữ liệu nhằm đảm bảo tính toàn vẹn của gói dữ liệu.

Hình 46 Các phần tin chứng thực trong AH

Hình 47 Quá trình tạo gói tin trong AH

- Quá trình gửi AH

Khi một AH SA được khởi tạo lần đầu tiên, thuật toán xác thực và các khóa được

ghi lại, và số chuỗi truy cập được thiết lập là 0. Khi IPsec xác định rằng một gói tin ra bên

ngoài có AH được áp dụng, nó nằm trong SA thích hợp và thực hiện các bước sau.

1. Một tiêu đề AH mẫu được chèn vào giữa IP Header và tiêu đề lớp trên.



2. Số sequence number tăng dần và được lưu giữ trong các tiêu đề AH. Vào thời gian này,

AH kiểm tra để đảm bảo rằng số thứ tự sẽ không lặp. Nếu lặp, AH tạo ra một SA mới và

khởi tạo dãy số 0. Trong trường hợp số sequence number không lặp, số thứ tự đó được tăng

lên và được lưu giữ trong các tiêu đề AH.

3. Phần còn lại của các trường AH, ngoại trừ của ICV, được làm đầy với chiều dài qui

định.

4. Nếu cần, padding tùy ý được thêm vào tiêu đề AH để đảm bảo rằng nó là một bội số của

32 bit (64 bit cho IPv6).

5. Các trường có thê thay đôi trong IP Header và trường ICV trong tiêu đề AH được đánh

0, và ICV được tính trên toàn bộ datagram IP. Nếu có nhiều nguồn định tuyến khác trong

khi truyền (truyền qua các thiết bị trung gian) trong IP header, địa chỉ đích phải được đặt

là địa chỉ đích cuối cùng trước khi tính toán ICV.

6. Các trường có thê thay đôi được làm đầy, và ICV được lưu trữ trong tiêu đề AH. Nếu

có một nguồn định tuyến tùy chọn trung gian khác, trường địa chỉ đích của tiêu đề IP được

thiết lập lại các điểm đến trung gian.

7. Các datagram IP được đặt vào hàng đợi đầu ra cho truyền dẫn đến đích của nó.

- Quá trình nhận AH

Một datagram IP xác thực có thể đã bị phân mảnh trên đường tới đích. Nếu vậy, các

mảnh này phải được thu thập và tái hợp thành datagram trước khi xử lý AH. Một khi

datagram được tái hợp, AH thực hiện các bước sau đây.

1. Dựa trên SPI trong tiêu đề AH và địa chỉ đích trong IP Header, AH SA thích hợp sẽ

được xác định. Nếu một SA áp dụng cho một datagram không thể xác định được, datagram

đó sẽ bị loại bỏ.

2. Nếu kích hoạt việc kiểm tra sequence number, AH xác định số chuỗi như tính toán trước

đó trong quá trình gửi. Nếu số chuỗi là quá cũ hoặc là một sự trùng nhau, datagram bị loại

bỏ.

3. AH sao chép IP header và AH header và làm cho các trường có thể thay đổi trong IP

Header cũng như ICV trong AH header trở về 0.



4. Thuật toán xác thực và xác định khóa trong SA được sử dụng để tính toán một ICV cho

toàn bộ các gói dữ liệu, và kết quả được so sánh với giá trị ban đầu trong tiêu đề AH. Nếu

giá trị không giống nhau, gói dữ liệu bị loại bỏ. Nếu giá trị giống nhau, gói tin được xác

thực là toàn vẹn.

5. Các tiêu đề AH được lấy ra từ datagram, và các trường IP header gốc được phục hồi.

Datagram được đặt vào hàng đợi đầu vào xử lý cho gói tin IP bình thường.

- Encapsulating Security Payload (ESP)

Giao thức ESP cung cấp xác thực, độ toàn vẹn, đảm bảo tính bảo mật cho gói tin.

ESP cũng hỗ trợ tính năng cấu hình sử dụng trong tính huống chỉ cần mã hoá hay chỉ cần

xác thực.

Hình 48 Cấu trúc gói tin ESP

Security parameters index (SPI – 32 Bits): Nhận ra các thông số được tích hợp với

địa chỉ IP, nhận dạng liên kết SA.

Sequence number (32 Bits): Tự động tăng có tác dụng phát lại.

Payload data (Độ dài bất kì): Đây là gói tin IP hoặc một phần của gói tin ban đầu

tùy thuộc vào chế độ (mode) của IPSec đang được dùng. Khi dùng Tunnel Mode, trường

này chứa toàn bộ gói tin IP ban đầu. Trong Transport Mode, nó chỉ bao gồm phần giao



thức các lớp bên trên của gói tin ban đầu. Chiều dài của payload luôn là một số nguyên của

bytes.

Padding (Độ dài bất kì) và Pad Length (8Bits): Dữ liệu chèn vào độ dài của nó.

Next header (8 Bits): Nhận ra giao thức được sử dụng trong quá trình truyền thông

tin. Nếu là TCP giá trị là 6, nếu là UDP giá trị là 17 khi dùng Transport Mode, khi dùng

Tunnel mode là 4 (IP-in-IP).

Authentication data (Bội số của 32 Bits): Bao gồm dữ liệu để xác thực cho gói tin,

được tính trên toàn bộ gói ESP trừ phần Authentication data.

- Các thuật toán mã hóa bao gồm DES, 3DES, AES.

- Các thuật toán để xác thực bao gồm MD5 hoặc SHA-1.

- ESP còn cung cấp tính năng anti-replay để bảo vệ các gói tin bị chỉnh sửa.

- ESP trong trạng thái vận chuyển sẽ không đóng gói thuật toán trên toàn bộ gói tin mà

chỉ đóng gói phần thân IP, loại trừ phần IP Header. ESP có thể sử dụng độc lập hay kết

hợp với AH. Dưới đây là một mô hình của quá trình thực thi ESP trên user data để bảo vệ

giữa 2 IPSec Peers.



Hình 49 Quá trình tạo gói tin trong ESP

- ESP sử dụng mật mã đối xứng để cung cấp sự mật hoá dữ liệu cho các gói tin

IPSec. Cho nên, để kết nối của cả hai đầu cuối đều được bảo vệ bởi mã hoá ESP thì hai bên

phải sử dụng khóa giống nhau mới mã hoá và giải mã được gói tin.

- Khi một đầu cuối mã hoá dữ liệu, nó sẽ chia dữ liệu thành các block nhỏ, và sau

đó thực hiện thao tác mã hoá nhiều lần sử dụng các block dữ liệu và khóa. Thuật toán mã

hoá hoạt động trong chiều này được xem như Blocks Cipher Algorithms.

- Khi một đầu cuối khác nhận được dữ liệu mã hoá, nó thực hiện giải mã sử dụng

key giống nhau và quá trình thực hiện tương tự, nhưng trong bước này ngược với thao tác

mã hoá. ESP có chỉ số IP Protocol là 50.

- Quá trình gửi ESP

Khi đã sẵn sàng để được đặt trên hàng đợi đầu ra, một datagram IP được kiểm tra

xem có thể xử lý bằng IPSec hay không. Nếu đóng gói ESP được yêu cầu, thì cần biết

chính xác SA hoạt động trong Transport Mode hay Tunnel Mode. Quá trình xử lý thực hiện

các bước sau đây.

1. SPD tìm kiếm một SA phù hợp với các thông tin chính xác như địa chỉ đích, cổng, giao

thức... Nếu một SA chưa tồn tại, một cặp SA được thương lượng giữa hai bên truyền nhận.



2. Các số thứ tự từ SA tăng dần và được đặt trong tiêu đề ESP. Nếu peer không vô hiệu

hóa chức năng anti-replay, số thứ tự được kiểm tra để chắc chắn rằng nó không bằng 0.

3. Nếu cần thiết, Padding sẽ được thêm vào cho đủ số bit, chiều dài pad và next header sẽ

được làm đầy. Nếu thuật toán mã hóa yêu cầu, IV sẽ được thêm vào payload data (IV –

Initializatin vector là một block tùy ý được XOR với block dữ liệu đầu tiên trước khi được

mã hóa để tránh tình trạng chuỗi mã hóa giống nhau vì dữ liệu gốc giống nhau), IV và

payload data cùng ESP trailer sẽ được mã hóa, sử dụng khóa và thuật toán mã hóa đã chỉ

định trong SA.

4. ICV được tính trên ESP header, IV, payload data, trường ESP trailer và đặt trong trường

Authentication data, sử dụng khóa và thuật toán mã hóa trong SA.

5. Nếu các gói dữ liệu kết quả yêu cầu phân mảnh, nó được thực hiện tại thời điểm này.

Trong Transport Mode, ESP chỉ được áp dụng cho toàn bộ datagrams IP. Ở Tunnel Mode,

ESP có thể được áp dụng cho một mảnh datagram IP.

* Chú ý:

- Trình tự trong quá trình mã hóa và xác thực là rất quan trọng. Vì xác thực được

thực hiện cuối cùng, ICV sẽ tính toán trên dữ liệu mã hóa trước đó, có nghĩa là người nhận

có thể thực hiện việc xác minh chứng thực tương đối nhanh chóng trước khi thực hiện quá

trình giải mã khá chậm. Điều này có thể phần nào ngăn cản tấn công DoS bởi một loạt các

dữ liệu ngẫu nhiên được mã hóa gửi tới đầu nhận.

- Quá trình nhận ESP

Vì dữ liệu đến có thể bị phân mảnh do quá trình định tuyến, chúng phải được tái

hợp. Và sau khi tái hợp, quá trình xử lý ESP sẽ thực hiện các bước sau đây:

1. SA nhận được bằng cách so sánh địa chỉ đích, giao thức (ESP) và SPI của gói đến. Nếu

không có SA nào tồn tại, gói sẽ bị loại bỏ.

2. Nếu antireplay được kích hoạt, nó sẽ thực hiện việc kiểm tra số sequence number.

3. Gói tin được xác thực bằng việc tính toán ICV dựa trên ESP Header, payload, và trường

ESP trailer, sử dụng thuật toán mã hóa và khóa trong SA, nếu xác thực thất bại, gói tin này



bị loại bỏ. Nếu gói tin được xác thực, nó sẽ được chấp nhận và đầu nhận cập nhật lại số

sequence number.

4. Payload và trường ESP trailer được giải mã bằng việc sử dụng thuật toán và khóa trong

SA. Nếu Padding đã được thêm, nó cần được kiểm tra để chắc chắn có những giá trị thích

hợp cho thuật toán giải mã. Gói IP gốc được tái hợp bỏ đi các trường ESP, việc tái hợp này

phụ thuộc vào việc sử dụng Transport Mode hay Tunnel Mode.

Hình 50 So sánh giữa AH và ESP

2.7.5 Các chế độ của IPSec

SA trong IPSec hiện tại được triển khai bằng 2 chế độ. Được mô tải ở hình dưới đó là chế

độ Transport và chế độ Tunnel. Cả AH và ESP đều có thể làm việc với một trong hai chế

độ này.



Hình 51 Chế độ Tunnel Mode và Transport Mode

Tunnel Mode

Không giống Transport Mode, Tunnel mode bảo vệ toàn bộ gói dữ liệu. Toàn bộ

gói dữ liệu IP được đóng gói trong một gói dữ liệu IP khác và một IPSec header được chèn

vào giữa phần đầu nguyên bản và phần đầu mới của IP.

Hình 52 Datagram IPSec trong Tunnel Mode

Toàn bộ gói IP ban đầu sẽ bị đóng gói bởi AH hoặc ESP và một IP header mới sẽ

được bao bọc xung quanh gói dữ liệu. Toàn bộ gói IP sẽ được mã hoá và trở thành dữ liệu



mới của gói IP mới. chế độ này cho phép các thiết bị mạng, chẳng hạn như Router, hoạt

động như một IPSec proxy thực hiện chức năng mã hóa thay cho host. Router nguồn sẽ mã

hóa các packets và truyền chúng dọc theo tunnel. Router đích sẽ giải mã gói IP ban đầu và

chuyển nó về hệ thống cuối.

Với Tunnel hoạt động giữa hai Security Gateway, địa chỉ nguồn và đích có thể được

mã hóa.

Trong AH Tunnel Mode, phần đầu mới (AH) được chèn vào giữa phần Header mới

và phần Header nguyên bản.

Trong ESP Tunnel Mode, phần ESP Header được chèn vào giữa New IP Header và

phần Header nguyên bản.

Transport Mode

Transport Mode bảo vệ giao thức tầng trên và các ứng dụng. Trong Transport

Mode, phần IPSec header được chèn vào giữa phần IP header và phần header của giao

thức tầng trên. Vì vậy, chỉ có tải (IP payload) là được mã hóa và IP header ban đầu là

được giữ nguyên vẹn. Transport Mode có thể được dùng khi cả hai host hỗ trợ IPSec.

Hình 53 Datagram IPSec trong Transport Mode



Transport Mode thiếu mất quá trình xử lý phần đầu, do đó nó nhanh hơn, chế độ

Transport này có thuận lợi là chỉ thêm vào vài bytes cho mỗi packets và nó cũng cho

phép các thiết bị trên mạng thấy được địa chỉ đích cuối cùng của gói. Tuy nhiên, nó

không hiệu quả trong trường hợp ESP có khả năng không xác nhận mà cũng không mã

hóa phần đầu IP.

2.7.6 Giao thức Internet Key Exchange

Về cơ bản được biết như ISAKMP/Oakley, ISAKMP là chữ viết tắc của Internet

Security Association and Key Management Protocol, IKE giúp các bên giao tiếp hòa hợp

các tham số bảo mật và khóa xác nhận trước khi một phiên bảo mật IPSec được triển khai.

Ngoài việc hòa hợp và thiết lập các tham số bảo mật và khóa mã hóa, IKE cũng sữa đổi

những tham số khi cần thiết trong suốt phiên làm việc. IKE cũng đảm nhiệm việc xoá bỏ

những SAs và các khóa sau khi một phiên giao dịch hoàn thành. Thuận lợi chính của IKE

include bao gồm:

IKE không phải là một công nghệ độc lập, do đó nó có thể dùng với bất kỳ cơ

chế bảo mật nào.

Cơ chế IKE, mặc dù không nhanh, nhưng hiệu quả cao bởi vì một lượng lớn

những hiệp hội bảo mật thỏa thuận với nhau với một vài thông điệp khá ít.

a. IKE Phases

Giai đoạn I và II là hai giai đoạn tạo nên phiên làm việc dựa trên IKE, hình dưới

trình bày một số đặc điểm chung của hai giai đoạn. Trong một phiên làm việc IKE, nó giả

sử đã có một kênh bảo mật được thiết lập sẵn. Kênh bảo mật này phải được thiết lập trước

khi có bất kỳ thỏa thuận nào xảy ra.



Hình 54 Các giai đoạn của IKE Phases

Giai đoạn I của IKE

Giai đoạn I của IKE đầu tiên xác nhận các điểm hong tin, và sau đó thiết lập một

kênh bảo mật cho sự thiết lạp SA. Tiếp đó, các bên hong tin thỏa thuận một ISAKMP

SA đồng ý lẫn nhau, bao gồm các thuật toán mã hóa, hàm băm, và các phương pháp xác

nhận bảo vệ mã khóa.

Sau khi cơ chế mã hóa và hàm băm đã được đồng ý ở trên, một khóa chi sẽ bí mật

được phát sinh. Theo sau là những thông tin được dùng để phát sinh khóa bí mật:

Giá trị Diffie-Hellman

SPI của ISAKMP SA ở dạng cookies

Số ngẩu nhiên known as nonces (used for signing purposes)

Nếu hai bên đồng ý sử dụng phương pháp xác nhận dựa trên public key, chúng cũng

cần trao đổi IDs. Sau khi trao đổi các thông tin cần thiết, cả hai bên phát sinh những key

riêng của chính mình sử dụng chúng để chia sẽ bí mật. Theo cách này, những khóa mã hóa

được phát sinh mà không cần thực sự trao đổi bất kỳ khóa nào thông qua mạng.

Giai đoạn II của IKE

Trong khi giai đoạn I thỏa thuận thiết lập SA cho ISAKMP, giai đoạn II giải quyết

bằng việc thiết lập Sas cho IPSec. Trong giai đoạn này, Sas dùng nhiều dịch vụ khác nhau

thỏa thuận. Cơ chế xác nhận, hàm băm, và thuật toán mã hóa bảo vệ gói dữ liệu IPSec tiếp

theo (sử dụng AH và ESP) dưới hình thức một phần của giai đoạn SA.

Sự thỏa thuận của giai đoạn xảy ra thường xuyên hơn giai đoạn I. Điển hình, sự thỏa

thuận có thể lặp lại sau 4-5 phút. Sự thay đổi thường xuyên các mã khóa ngăn cản các

hacker bẻ gãy những khóa này và sau đó là nội dung của gói dữ liệu.



Tổng quát, một phiên làm việc ở giai đoạn II tương đương với một phiên làmviệc

đơn của giai đoạn I. Tuy nhiên, nhiều sự thay đổi ở giai đoạn II cũng có thể được hổ trợ

bởi một trường hợp đơn ở giai đoạn I. Điều này làm qua trình giao dịch chậm chạp của

IKE tỏ ra tương đối nhanh hơn.

Oakley là một trong số các giao thức của IKE. Oakley is one of the protocols on

which IKE is based. Oakley lần lượt định nghĩa 4 chế độ phổ biến IKE.

b. IKE Modes

Có 4 chế độ IKE phổ biến thường được triển khai đó là:

Main Mode

Main mode xác nhận và bảo vệ tính đồng nhất của các bên có liên quan trong qua

trình giao dịch. Trong chế độ này, 6 thông điệp được trao đổi giữa các điểm:

Hai thông điệp đầu tiên dùng để thỏa thuận chính sách bảo mật cho sự thay đổi.

Hai thông điệp kế tiếp phục vụ để thay đổi các khóa Diffie-Hellman và nonces.

Những khóa sau này thực hiện một vai tro quan trọng trong cơ chế mã hóa.

Hai thông điệp cuối cùng của chế độ này dùng để xác nhận các bên giao dịch với sự

giúp đỡ của chữ ký, các hàm băm, và tuỳ chọn với chứng nhận.

Hình 55 Các quá trình của Main mode

Aggressive Mode



Aggressive mode về bản chất giống Main mode. Chỉ khác nhau thay vì main mode

có 6 thông điệp thì chết độ này chỉ có 3 thông điệp được trao đổi. Do đó, Aggressive mode

nhanh hơn mai mode. Các thông điệp đó bao gồm:

Thông điệp đầu tiên dùng để đưa ra chính sách bảo mật, pass data cho khóa chính,

và trao đổi nonces cho việc ký và xác minh tiếp theo.

Thông điệp kế tiếp hồi đáp lại cho thông tin đầu tiên. Nó xác thực người nhận và

hoàn thành chính sách bảo mật bằng các khóa.

Thông điệp cuối cùng dùng để xác nhận người gửi (hoặc bộ khởi tạo của phiên

làm việc).

Hình 56 Cả Main mode và Aggressive mode đều thuộc giai đoạn I.

Quick Mode

Chế độ thứ ba của IKE, Quick mode, là chế độ trong giai đoạn II. Nó dùng để thỏa

thuận SA cho các dịch vụ bảo mật IPSec. Ngoài ra, Quick mode cũng có thể phát sinh

khóa chính mới. Nếu chính sách của Perfect Forward Secrecy (PFS) được thỏa thuận

trong giai đoạn I, một sự thay đổi hoàn toàn Diffie-Hellman key được khởi tạo. Mặt khác,

khóa mới được phát sinh bằng các giá trị băm



Hình 57 Các quá trình của Quick mode

New Group Mode

New Group mode được dùng để thỏa thuận một private group mới nhằm tạo điều

kiện trao đổi Diffie-Hellman key được dễ dàng. Hình 58 mô tả New Group mode. Mặc dù

chế độ này được thực hiện sau giai đoạn I, nhưng nó không thuộc giai đoạn II.

Hình 58 Các quá trình của New group mode

Ngoài 4 chế độ IKE phổ biến trên, còn có thêm Informational mode. Chế độ này kết

hợp với quá trình thay đổ của giai đoạn II và SAs. Chế độ này cung cấp cho các bên có liên

quan một số thông tin thêm, xuất phát từ những thất bại trong quá trình thỏa thuận. Ví dụ,



nếu việc giải mã thất bại tại người nhận hoặc chữ ký không được xác minh thành công,

Informational mode được dùng để thông báo cho các bên khác biết.

2.7.7 Quá trình hoạt động của IPSec

Ta biết rằng, mục đích chính của IPSec là bảo vệ luồng dữ liệu mong muốn với các

dịch vụ bảo mật cần thiếtvà hoạt động của IPSec có thể chia thành 5 bước chính như sau:

Bước 1- Kích hoạt lưu lượng cần bảo vệ.

Việc xác định lưu lượng nào cần được bảo vệ là một phần việc trong chính sách an

ninh (Security Policy) của một mạng VPN. Chính sách được sử dụng để quyết định lưu

lượng nào cần được bảo vệ và không cần bảo vệ (lưu lượng ở dạng bản rõ (clear text) không

cần bảo vệ).

Chính sách sau đó sẽ được thực hiện ở giao diện của mỗi đối tác IPSec. Đối với mỗi

gói dữ liệu đầu vào và đầu ra sẽ có ba lựa chọn: Dùng IPSec, cho qua IPSec, hoặc huỷ gói

dữ liệu. Đối với mọi gói dữ liệu được bảo vệ bởi IPSec, người quản trị hệ thống cần chỉ rõ

các dịch vụ bảo mật được sử dụng cho gói dữ liệu. Các cơ sở dữ liệu, chính sách bảo mật

chỉ rõ các giao thức IPSec, các node, và các thuật toán được sử dụng cho luồng lưu lượng.

Ví dụ: các danh sách điều khiển truy nhập (ACLs – Access Control Lists) của các

router được sử dụng để biết lưu lượng nào cần mật mã. ALCs định nghĩa bởi các dòng lệnh.

Chẳng hạn: - Lệnh Permit: Xác định lưu lượng phải được mật mã.

- Lệnh deny: Xác định lưu lưọng phải được gửi đi dưới dạng không mật mã.

Khi phát hiện ra lưu lượng cần bảo vệ thì một đối tác IPSec sẽ kích hoạt bước tiếp

theo: Thoả thuận một trao đổi IKE Phase 1.

Bước 2 – IKE Phase 1

Mục đích cơ bản của IKE Phase 1 là để thoả thuận các tập chínhsách IKE (IKE policy),

xác thực các đối tác ngang hàng, và thiết lập kênh an toàn giữa các đối tác. IKE Phase 1 có

hai chế độ: Chế độ chính (main mode) và Chế độ nhanh (Aggressive mode).



Hình 59 IKE Phase 1

Chế độ chính có 3 trao đổi hai chiều giữa bên khởi tạo và bên nhận:

- Trao đổi thứ nhất – Các thuật toán mật mã và xác thực (sử dụng để bảo vệ các trao đổi

thông tin IKE) sẽ được thoả thuận giữa các đối tác.

- Trao đổi thứ hai – Sử dụng trao đổi DH để tạo các khoá bí mật chung (shared secret keys),

trao đổi các số ngẫu nhiên (nonces) để khẳng định nhận dạng của mỗi đối tác. Khoá bí mật

chung được sử dụng để tạo ra tất cả các khoá mật mã và xác thực khác.

- Trao đổi thứ ba – xác minh nhận dạng của nhau (xác thực đối tác).

Kết quả chủ yếu của chế độ chính là một đường truyền thông an toàn cho các trao đổi tiếp

theo của hai đối tác. Chế độ nhanh thực hiện ít trao đổi hơn (tất nhiên là ít gói dữ liệu hơn).

Hầu hết mọi thứ đều được thực hiện trong trao đổi thứ nhất: Thoả thuận tập chính sách

IKE; tạo khoá công cộng DH; và một gói nhận dạng (identify packet), có thể sử dụng để

xác định nhận dạng thông qua một bên thứ ba (third party). Bên nhận gửi trở lại mọi thứ

cần thiết để hoàn thành (complete)việc trao đổi. cuối cùng bên khởi tạo khẳng định

(confirm) việc trao đổi.

Các tập chính sách IKE:

Khi thiết lập một kết nối an toàn giữa Host A và Host B thông qua Internet, một

đường hầm an toàn được thiết lập giữa Router A và Router B. Thông qua đường hầm, các



giao thức mật mã, xác thực và các giao thức khác được thoả thuận. Thay vì phải thoả từng

giao thức một, các giao thức được nhóm thành các tập, chính là tập chính sách IKE (IKE

policy set). Các tập chính sách IKE được trao đổi trong IKE Phase 1 ở chế độ chính và

trong trao đổi thứ nhất. Nếu một chính sách thống nhất (matching policy) được tìm thấy ở

hai phía thì chế độ chính tiếp tục. Nếu không tìm thấy chính sách thống nhất nào thì đường

hầm sẽ bị loại bỏ.

Hình 60 Tập chính sách IKE

Trao đổi khoá Diffie-Hellman

Trao đổi khoá Diffie-Hellman là một phương pháp mật mã khoá công khai cho phép

hai bên thiết lập một khoá bí mật chung qua một môi trường truyền thông an toàn. Khoá

mật mã này sẽ được sử dụng để tạo ra tất cả các khoá xác thực và mã hoá khác.

Khi đã hoàn thành viêc htoả thuận các nhóm, khoá bí mật chung SKEYID sẽ được

tính. SKEYID được sử dụng để tạo ra 3 khoá khác SKEYID_a, SKEYID_e, SKEYID_d.

Mỗi khoá có một mục đích riêng:

SKEYID_a đựoc sử dụng trong quá trình xác thực.

SKEYID_e được sử dụng trong quá trình mật mã.



SKEYID_d được sử dụng để tạo ra các khoá cho các kết hợp an ninh không theo

giao thức ISAKMP (non-ISAKMP SAs). Cả bốn khoá trên đều được tính trong IKE Phase

1. Khi bước này hoàn thành, các đối tác ngang hàng có cùng một mật mã chia sẻ nhưng

các đối tương này không được xác thực. Qua trình này diễn ra ở quá trình thứ 3, quá trình

xác thực đối tác.

Xác thực đối tác:

Xác thực đối tác là bước trao đổi cuối cùng được sử dụng để xác thực các đối tác

nghĩa là thực hiện kiểm tra xem ai đang ở bên kia của đường hầm. Các thiết bị ở hai đầu

đường hầm VPN phải được xác thực trước khi đường truyền thông được coi là an toàn.

Trao đổi cuối cùng của IKE Phase 1 có mục đích là để xác thực đối tác.

Hình 61 Xác thực các đối tác

Ba phương pháp xác thực nguồn gốc dữ liệu:

- Pre-shared keys (Các khoá chia sẻ trước) – một giá trị khoá bí mật được nhập vào bằng

tay để xác định đối tác.

- RSA signatures (Các chữ ký RSA) – sử dụng việc trao đổi các chứng nhận số (digital

certificates) để xác thực đối tác.

- RSA encryption nonces – Các số ngẫu nhiên (nonces_một số ngẫu nhiên được tạo ra bổi

mỗi đối tác) được mã hoá và sau đó được trao đổi giữa các đối tác ngang hàng, 2 nonce

được sử dụng trong suốt quá trình xác thực đối tác ngang hàng.

Bước 3 – IKE Phase 2

Mục đích của IKE Phase 2 là để thoả thuận các thông số bảo mật IPSec được sử

dụng để bảo mật đường hầm IPSec.



Hình 62 Thoả thuận các thông số bảo mật IPSec

IKE Phase 2 thức hiện các chức năng sau:

+ Thoả thuận các thông số bảo mật IPSec (IPSec security parameters), các tập chuyển đổi

IPSec (IPSec transform sets).

+ Thiết lập các kết hợp an ninh IPSec (IPSec Security Associations).

+ Định kỳ thoả thuận lại IPSec SAs để đảm bảo tính an toàn của đường hầm.

+ Thực hiện một trao đổi DH bổ xung (khi đó các SA và các khoá mới được tạo ra, làm

tăng tính an toàn của đường hầm). IKE Phase 2 chỉ có một chế độ được gọi là: Quick Mode

Chế độ này diễn ra khi IKE đã thiết lập được đường hầm an toàn ở IKE Phase 1. IKE Phase

2 thoả thuận một tập chuyển đổi IPSec chung, tạo các khoá bí mật chung sủ dụng cho các

thuật toán an ninh IPSec và thiết lập các SA IPSec. Quick mode trao đổi các nonce mà

được sử dụng để tạo ra khoá mật mã chung mới và ngăn cản các tấn công “Replay” từ việc

tạo ra các SA khong có thật. Quick mode cũng được sử dụng để thoả thuận lại một SA

IPSec mới khi SA IPSec cũ đã hết hạn.

+ Các tập chuyển đổi IPSec: Mục đích cuối cùng của IKE Phase 2 là thiết lập một phiên

IPSec an toàn giữa các điểm đầu cuối. Trước khi thực hiện được điều này thì mỗi cặp điểm

cuối cần thoả thuận múc độ an toàn cần thiết (ví dụ, các thuật toán xác thực và mật mã

dung trong phiên đó). Thay vì phải thoả thuận từng giao thức riêng lẻ, các giao thức được

nhóm thành các tập, chính là các tập chuyển đổi IPSec. Các tập chuyển đổi này được trao

đổi giữa hai phía trong Quick Mode. Nếu tìm thấy một tập chuyển đổi tương đương ở hai

phía thì quá trình thiết lập phiên tiếp tục, ngược lại phiên đó sẽ bị loại bỏ.



Hình 63 Tập chuyển đổi IPSec

Ví dụ: Router A gửi IPSec transform set 30 và 40 tới Router B , Router B so sánh với IPSec

transform set 55 của nó và thấy tương đương với IPSec transform set 30 của Router A, các

thuật toán xác thực và mật mã trong các tập chuyển đổi này hình thành một kết hợp an ninh

SA.

+ Kết hợp an ninh (SA): Khi một tập chuyển đổi đã được thống nhất giữa hai bên, mỗi thiết

bị VPN sẽ đưa thông tin này vào một cơ sở dữ liệu. Thông tin này bao gồm các thuật toán

xác thức, mật mã; địa chỉ của đối tác, Chế độ truyền dẫn, thồi gian sống của khoá. v.v.

Những thông tin này được biết đến như là một kết hợp an ninh SA. Một SA là một kết nối

logic một chiều cung cấp sự bảo mật cho tất cả lưu lượng đi qua kết nối. Bởi vì hầu hết lưu

lượng là hai chiều nên phải cần hai SA, một cho đầu vào và một cho đầu ra. Thiết bị VPN

sau đó sẽ đánh số SA bằng một số SPI (Security Parameter Index – chỉ số thông số bảo

mật). Thay vì gửi từng thông số của SA qua đường hầm, mỗi phía chỉ đơn giản chèn số

SPI vào ESP Header. Khi bên thu nhận được gói sẽ tìm kiếm địa chỉ đích và SPI trong cơ

sở dữ liệu của nó SAD (Security Association database), sau đó xử lý gói theo các thuật

toán được chỉ định bởi SPI / ra trong SPD.



Hình 64 Các kết hợp an ninh

IPSec SA là một sự tổ hợp của SAD và SPD. SAD được sử dụng để định nghĩa địa

chỉ IP đối tác đích, giao thức IPSec, số SPI. SPD định nghĩa các dịch vụ bảo mật được sử

dụng cho đối tác SA, các thuật toán mã hoá và xác thực, mode, và thời gian sống của khoá.

Ví dụ: đối với một kết nối mạng Công ty – Ngân hàng , một đường hầm rất an toàn được

thiết lập giữa hai phía, đường hầm này sử dụng 3DES, SHA, tunnel mode, và thời hạn của

khoá là 28800, giá trị SAD là 192.168.2.1, ESD và SPI là 12. Với người sử dụng từ xa truy

nhập vào e-mail thì đường hầm có mức bảo mật thấp hơn được thoả thuận, sử dụng DES,

MD5, tunnel mode, thời hạn của khoá là 28800, tương ứng với SPI là 39.

+ Thời hạn (lifetime) của một kết hợp an ninh Vấn đề tương đương với thời hạn của một

mật khẩu sử dụng mật khẩu trong máy tính, thời hạn càng dài thì nguy cơ mất an toàn càng

lớn. Các khoá và các SA cũng vậy, để đảm bảo tính an toàn cao thì các khoá

và các SA phải được thay đổi một cách thường xuyên. Có hai thông số cần được xác định

để thay đổi khoá và SA: Lifetime type- Xác định kiểu tính là theo số Byte hay theo thời

gian đã truyền đi. Duration – Xác định đơn vị tính là Kbs dữ liệu hay giây.

Ví dụ: lifetime là 10000Kbs dữ liệu đã truyền đi hoặc 28800s. Các khoá và SAs còn hiệu

lực cho đến khi lifetime hết hạn hoặc có một nguyên nhân bên ngoài, chẳng hạn một bên

ngắt đường hầm, khi đó khoá và SA bị xoá bỏ.



Bước 4 – Đường hầm mật mã IPSec

Sau khi đã hoàn thành IKE Phase 2 và quick mode đã thiết lập các kết hợp an ninh

IPSec SA, lưu lượng trao đổi giữa Host A và Host B thông qua một đường hầm an toàn.

Lưu lượng được mật mã và giải mã theo các thuật toán xác định trong IPSec SA.

Đường hầm IPSec được thiết lập

Bước 5 – Kết thúc đường hầm

Hình 65 Kết thúc đường hầm

Các kết hợp an ninh IPSec SA kết thúc khi bị xoá hoặc hết hạn. Một SA hết hạn khi

lượng thời gian chỉ ra dã hết hoặc một số lượng Byte nhất định đã truyền qua đường hầm.

Khi các SA kết thúc, các khoá cũng bị huỷ. Lúc đó các IPSec SA mới cần được thiết lập,

một IKE Phase 2 mới sẽ được thực hiện, và nếu cần thiết thì sẽ thoả thuận một IKE Phase

1 mới. Một hoả thuận thành công sẽ tạo ra cacSA và khoá mới. Các SA mới được thiết lập

trước các SA cũ hết hạn để đảm bảo tính liên tục của luồng thông tin.

2.8 Một vài giao thức an toàn bổ sung cho VPN

Ở phần trên, chúng ta đã tìm hiểu về các công nghệ an toàn có thể được dùng để xây

dựng mạng riêng ảo. Trong khi các công nghệ đó thường đủ và hiệu quả với các tác vụ đơn



lẻ, nhưng có những trường hợp mà một mình các công nghệ đó không đáp ứng được yêu

cầu cho một giải pháp VPN đầy đủ.

Một trong những trường hợp như vậy là sử dụng chứng chỉ số, xác thực và mã hóa.

Phần này sẽ mô tả về một số công nghệ an toàn có thể bổ sung thêm vào một giải pháp

mạng riêng ảo hoặc đồng thời tồn tại trong một môi trường mạng riêng ảo dưới hoàn cảnh

nào đó.

2.8.1 Xác thực với người dùng quay số truy cập từ xa

Quay số từ xa tới Intranet của công ty, cũng như tới Internet đã tạo ra Server truy

cập từ xa (RAS), một phần rất quan trọng của các dịch vụ liên mạng ngày nay. Như chúng

ta biết, càng ngày càng nhiều người dùng di động yêu cầu truy cập không chỉ tới tài nguyên

mạng trung tâm mà cả với nguồn thông tin trên Internet. Sự phổ biến của Internet và

Intranet trong các tổ chức đã thúc đẩy sự phát triển của các dịch vụ và thiết bị truy cập từ

xa. Nhu cầu kết nối một cách đơn giản tới các tài nguyên của tổ chức từ các thiết bị máy

tính di động như máy xách tay chẳng hạn ngày càng tăng. Sự xuất hiện của truy cập từ xa

cũng là một trong các nguyên nhân của sự phát triển trong lĩnh vực bảo mật. Mô hình bảo

mật xác thức – cấp quyền và kiểm toán(AAA) đã được phát triển để nhằm vào vấn đề bảo

mật truy cập từ xa. AAA là một bộ khung được dùng để cấu hình ba chức năng an toàn cơ

bản: xác thực, cấp quyền và kiểm toán. Ngày nay, mô hình an toàn AAA được sử dụng

trong tất cả các kịch bản truy cập từ xa trong thực tế vì nó cho phép người quản trị mạng

nhận dạng và trả lời ba câu hỏi quan trọng sau:

Ai đang truy cập mạng?

Người dùng được phép làm những gì? Và những hoạt động nào được hạn chế khi

người dùng truy cập mạng thành công?

Người dùng đang làm gì và lúc nào?

AAA được mô tả ngắn gọn như sau:

Xác thực(Authentication): Xác thực là bước đầu tiên đối với bảo mật. Đây là hoạt

động xác định một người dùng(hoặc thực thể) là ai trước khi anh ta có thể truy cập các tài

nguyên trong mạng. Xác thực có thể dưới nhiều dạng, dạng truyền thống sử dụng một tên



đăng nhập và một mật khẩu cố định. Hầu hết các máy tính làm việc theo cách này. Tuy

nhiên, phần lớn mật khẩu cố định có những giới hạn nhất định trong lĩnh vực bảo mật. Nhiều

cơ chế xác thực hiện đại sử dụng mật khẩu một lần hay một truy vấn dạng yêu cầu – đáp

ứng (Ví dụ các giao thức xác thực: PAP, CHAP, EAP…). Thông thường, xác thực xảy ra

lúc người dùng đăng nhập lần đầu tiên vào máy hoặc yêu cầu một dịch vụ từ nó.

Cấp quyền(Authorization): Đây là hoạt động xác định một người dùng được phép

làm những gì. Nghĩa là muốn nói đến việc kiểm soát các hoạt động mà người dùng được

phép thực hiện trong mạng và tài nguyên mà người dùng được phép truy cập. Kết quả là,

cấp quyền cung cấp các cơ chế cho việc kiểm soát truy cập từ xa bằng các phương tiện

như: cấp quyền một lần, cấp quyề cho mỗi dịch vụ, trên từng danh sách tài khoản người

dùng hoặc chính sách nhóm.

Thông thường các thuộc tính, đặc quyền và quyền truy cập được biên dịch và lưu

trữ tại một cơ sở dữ liệu trung tâm cho mục đích cấp quyền. Các thuộc tính và các quyền

này quyết định những hoạt động mà một người dùng được phép thực hiện. Khi một người

dùng cần được cấp quyền sau khi đã được xác thực thành công, các thuộc tính và quyền

này được xác minh dựa vào cơ sở dữ liệu với người dùng và chuyển tiếp tới Server liên

quan(ví dụ: Server truy cập từ xa). Thông thường, xác thực được thực hiện trước cấp quyền,

nhưng điều đó là không nhất thiết phải yêu cầu như vậy. Nếu một tài nguyên mạng, như

Server, nhận một yêu cầu cấp quyền mà không qua xác thực, Agent cấp quyền trên thiết bị

mạng phải quyết định người dùng có thể truy cập thiết bị mạng và được phép thực hiện các

dịch vụ đã xác định trong yêu cầu cấp quyền hay không.

Kiểm toán (Accounting): Đây là hoạt động điển hình thứ 3 sau xác thực và cấp

quyền. Kiểm toán là ghi lại những hoạt động mà người dùng đã và đang thực hiện. Kiểm

toán là cơ chế ghi lại những hoạt động mà người dùng thực hiện sau khi đã đăng nhập thành

công vào mạng. Kiểm toán bao hàm việc: thu thập, ghi danh sách, kiểm toán, ghi nhật ký

và báo cáo về các định danh người dùng, các lệnh đã được thực hiện trong một phiên, số

lượng các gói được truyền tải, v.v… Lúc một hoạt động của người dùng được ghi lại, thời

gian nó được thực hiện, khoảng thời gian của toàn bộ phiên người dùng và khoảng thời



gian với mỗi hoạt động riêng lẻ cũng được ghi lại. Thông tin chi tiết về người dùng giúp

người quản trị mạng theo dõi được những hoạt động của người dùng và đưa ra những hành

động phù hợp để duy trì an toàn mạng. Mặc dù, kiểm toán được xem là bước lôgic tiếp

theo của xác thực và cấp quyền, nhưng nó có thể thực thi không theo tuần tự đó. Trong

thực tế, kiểm toán có thể được thực thi ngay cả khi hoạt động xác thực và cấp quyền không

được thực hiện. Trong mô hình cơ sở dữ liệu bảo mật Client/Server phân tán, một số các

Client, Server trong truyền thông xác thực một định danh của người dùng quay số qua một

trung tâm cơ sở dữ liệu đơn hoặc một Server xác thực. Server xác thực lưu trữ tất cả thông

tin về người dùng, các mật khẩu và các quyền ưu tiên truy cập của họ. Phân phối bảo mật

đóng vai trò như một trung tâm về dữ liệu xác thực, nó an toàn hơn sự phân tán thông tin

người dùng trên các thiết bị khác qua một mạng. Một Server xác thực đơn có thể hỗ trợ cả

hàng trăm Server truyền thông, hàng nghìn người dùng. Các Server trong quá trình truyền

thông có thể truy cập một Server xác thực cục bộ hoặc từ xa qua kết nối mạng diện

rộng(WAN).

Một số đại lý cung cấp truy cập từ xa và IETF đã đi đầu trong việc cố gắng bảo đảm an

toàn cho truy cập từ xa, các phương tiện bảo mật được chuẩn hoá. Dịch vụ xác thực người

dùng quy số từ xa(RADIUS) và hệ thống kiểm soát truy cập các thiết bị cuối(TACACS)

như là hai dự án đã mở ra bộ khung của chuẩn Internet và các đại lý truy cập từ xa.

2.8.2 Dịch vụ xác thực người dùng quay số từ xa(RADIUS)

RADIUS là một hệ thống bảo mật phân tán được phát triển bởi Livingston

Enterprises. RADIUS được thiết kế dựa trên những khuyến cáo trước đó từ nhóm Network

Access Server Working Requirements của IETF. Một nhóm IETF làm việc với RADIUS

được thành lập vào tháng 1 năm 1996 để đưa ra các chuẩn cho giao thức RADIUS,

RADIUS bây giờ là một giải pháp bảo mật đường quay số được thừa nhận bởi IETF.



Hình 66 Dịch vụ xác thực người dùng quay số từ xa RADIUS.

2.8.3 Hệ thống kiểm soát truy cập thiết bị đầu cuối (TACACS)

Tương tự với RADIUS, TACACS là một giao thức chuẩn công nghiệp. Như trong hình

4.2, lúc một Client từ xa đưa ra một yêu cầu xác thực tới NAS gần nó nhất, yêu cầu này

được chuyển tiếp tới TACACS. Sau đó TACACS chuyển tiếp ID và mật khẩu được cung

cấp tới cơ sở dữ liệu trung tâm, cơ sở dữ liệu trung tâm này có thể là một cơ sở dữ liệu

TACACS hoặc một cơ sở dữ liệu bảo mật mở rộng. Cuối cùng, thông tin được lấy lại và

chuyển tiếp tới TACACS, nó lần lượt được chấp nhận hoặc từ chối yêu cầu kết nối trên cơ

sở thông tin nó nhận được từ cơ sở dữ liệu.

Hình 67 Xác thực từ xa dựa trên TACACS.

Hiện tại, có hai phiên bản của TACACS trên thị trường, cả hai phiên bản này đều

được phát triển bởi Cisco. Đó là:



- XTACACS (eXtended TACACS): Là một mở rộng của TACACS, nó hỗ trợ các tính

năng cao cấp.

- TACACS+: Phiên bản này của TACACS ban đầu sử dụng một Server truy cập riêng dưới

dạng Server TACACS+. Server này cung cấp các dịch vụ xác thực, cấp quyền và kiểm toán

độc lập.

NAS giữ một vai trò quan trọng trong cả xác thực dựa trên RADIUS và dựa trên TACACS.

Là một Client RADIUS hay TACACS, NAS mã hoá các thông tin(ID/Mật khẩu của người

dùng) được cung cấp bởi người dùng từ xa trước khi chuyển tiếp nó tới Server xác thực tại

mạng chủ cuối, NAS cũng có khả năng định tuyến một yêu cầu xác thực tới Server xác

thực khác nếu Server xác thực đích không đến được.

Hoạt động của RADIUS:

RADIUS đầu tiên được phát triển bởi Livingston Enterprises, nhưng bây giờ thuộc

quyền sở hữu của IETF và là một giao thức mở, có thể được phân phối dưới dạng mã nguồn

và bất kỳ người nào cũng đều có thể sửa đổi. Mặc dùng RADIUS ban đầu được phát triển

cho người quản trị của NAS, các sản phẩm hỗ trợ được bổ sung thêm các ứng dụng/thiết

bị khác như firewall, truy cập trang web cá nhân, các tài khoản Email và các vấn đề bảo

mật Internet liên quan đến xác thực khác.

RADIUS gồm 2 phần: Có Client RADIUS, ví dụ: NAS hay bất kỳ phần mềm khác

như Firewall, Client gửi một yêu cầu AAA tới RADIUS Server. Mặt khác, có RADIUS

Server, nó kiểm tra yêu cầu theo dữ liệu đã được cấu hình trước.



Hình 68 Luồng thông tin trong RADIUS.

Mặc dù các Server xác thực RADIUS và TACACS có thể được cài đặt theo nhiều

cách khác nhau, tuỳ thuộc vào lược đồ bảo mật của mạng mà chúng phục vụ, nhưng tiến

trình cơ sở cho việc xác thực một người dùng về cơ bản là giống nhau. Sử dụng một

Moderm, một người dùng quay số từ xa kết nối tới một Server từ xa (gọi là Server truy cập

mạng NAS), với một Moderm số hoặc tương tự. Lúc một kết nối Moderm được tạo, NAS

nhắc người dùng về tên đăng nhập và mật khẩu. NAS sau đó sẽ tạo ra yêu cầu xác thực từ

gói dữ liệu được cung cấp, nó bao gồm cả thông tin định danh mà thiết bị NAS xác định

gửi yêu cầu xác thực như: cổng đang được dùng cho kết nối Moderm và Tên đăng nhập/Mật

khẩu.

Một vai trò rất quan trọng được thực thi bởi Server xác thực, nó là một Server trong

mạng để xác nhận tính hợp lệ của ID/mật khẩu người dùng cho mạng. Nếu một thiết bị

được cấu hình cho xác thực qua một Server xác thực và thiết bị nhận một gói dữ liệu từ

một giao thức xác thực, thiết bị gửi qua ID và Mật khẩu của người dùng tới Server cho việc

xác thực. Nếu ID/mật khẩu của người dùng là đúng, Server phản hồi lại. Thiết bị sau đó có

thể liên lạc với người khởi tạo yêu cầu ban đầu. Nếu Server không tìm thấy ID/mật khẩu



của người dùng thì nó từ chối thiết bị và gửi phản hồi tới thiết bị. Thiết bị sau đó từ chối

phiên với nơi mà nó đã nhận yêu cầu xác thực.

Server xác thực có thể là chính một Server RADIUS hoặc một Server khác dựa trên

các công nghệ xác thực trung tâm khác như Kerberos, DCE, SecureID hoặc RACF. Một

Server RADIUS có thể được cấu hình để chuyển tiếp yêu cầu tới một Server xác thực trung

tâm và truy cập thành công hoặc từ chối thông tin và cấu hình trở lại Client.

Với việc bảo vệ trước các cuộc nghe lén của hacker, NAS hoạt động như Client

RADIUS hoặc TACACS, mã hoá mật khẩu trước khi nó gửi mật khẩu tới Server xác thực.

Nếu Server bảo mật chính không đến được, Client bảo mật hoặc thiết bị NAS có thể định

tuyến yêu cầu tới một Server thay thế kế tiếp. Lúc nhận được một yêu cầu xác thực, Server

xác thực sẽ xác minh yêu cầu và sau đó giải mã gói dữ liệu để truy cập thông tin tên đăng

nhập/mật khẩu của người dùng. Nếu tên đăng nhập/mật khẩu của người dùng là đúng,

Server gửi một gói dữ liệu báo đã nhận xác thực. Gói dữ liệu báo nhận này có thể gồm cả

thông tin lọc bổ sung như thông tin trên các yêu cầu tài nguyên mạng của người dùng và

các mức cấp quyền. Server bảo mật có thể, với thể hiện dưới dạng NAS mà một người

dùng cần TCP/IP và/hoặc Internet Packet Exchange (IPX) sử dụng PPP, hoặc cái mà người

dùng cần SLIP để kết nối tới mạng. Nó có thể gồm cả thông tin trên tài nguyên mạng xác

định mà người dùng được phép truy cập.

Để phá hỏng việc nghe lén trên mạng, Server bảo mật gửi một khóa xác thực hoặc

chữ ký, nhận dạng của chính nó tới Client bảo mật. Một NAS nhận thông tin này, nó cho

phép cấu hình ở mức cần thiết để cho phép người dùng quyền truy các cập dịch vụ và tài

nguyên mạng. Nếu tại bất kỳ điểm nào trong tất cả tiến trình đăng nhập mà các điều kiện

xác thực cần thiết không thỏa mãn, Server cơ sở dữ liệu bảo mật sẽ gửi một thông điệp từ

chối xác thực tới thiết bị NAS và người dùng bị từ chối truy cập mạng.

Sử dụng RADIUS với các đường hầm tầng 2

RADIUS có thể được dùng để xác thực các đường hầm tầng 2 cũng như các kết nối

PPP một phần quan trọng với các mạng riêng ảo. Có 2 mô hình đường hầm tại tầng 2, mô

hình tự nguyện và bắt buộc. RADIUS có thể được dùng trong cả 2 trường hợp để xác thực



người dùng và cấp quyền/từ chối một thiết lập đường hầm hay thiết lập phiên. Điều này bổ

sung thêm một tầng bảo mật với kịch bản mạng riêng ảo tại tầng 2 vì cho đến khi đường

hầm được thiết lập và phiên được thiết lập, không có luồng thông tin nào được phép chuyển

qua đường hầm, thêm vào đó, việc xác thực và truy cập tới các đường hầm đó có thể được

kiểm soát tập trung. Hình 4.4 minh họa các cách sử dụng RADIUS khác nhau đó trong một

môi trường mạng riêng ảo mà trong đó các đường hầm bắt buộc được dùng liên quan tới

một ISP để thiết lập một đường hầm hay bắt đầu một phiên mới qua một đường hầm đang

tồn tại với tư cách là đại diện của một Client từ xa. ISP có thể dùng một server ủy quyền

RADIUS để chuyển thiếp xác thực client trở lại Server xác thực trung tâm vì vậy không

cần phải duy trì thông tin người dùng tại hai vị trí, ISP và Server trung tâm.

Hình 69 Sử dụng RADIUS với các đường hầm tầng 2.

2.8.4 Giao thức SOCKS:

Một cổng mạch vòng tiếp nhận TCP cũng như các kết nối UPD và không cung cấp

thêm bất kỳ tiến trình xử lý hoặc lọc gói nào. Một cổng mạch vòng là một loại đặc biệt của

cổng nối mức ứng dụng. Điều này là bởi các cổng nối mức ứng dụng có thể được cấu hình

để chuyển qua tất cả thông tin của một người dùng đã được xác thực, được xem như là

cổng mạch vòng (xem hình ). Tuy nhiên trong thực hành, có sự khác nhau đáng kể giữa

chúng:

- Các cổng mạch vòng có thể sử dụng một số ứng dụng TCP/IP cũng như các ứng dụng

UDP mà không phải sửa đổi gì trên Client cho mỗi ứng dụng. Như vậy, điều này làm cho

các cổng mạch vòng trở thành một lựa chọn tốt để thoã mãn các yêu cầu của người dùng.



- Các cổng mạch vòng không cung cấp xử lý hoặc lọc gói. Như vậy một cổng nối dạng này

thường xem như một cổng nối trong suốt.

- Các cổng nối mức ứng dụng thiếu hỗ trợ UDP.

- Các cổng mạch vòng thường được dùng cho các kết nối hướng ngoại, trong khi các cổng

nối mức ứng dụng thường được dùng cho cả kết nối hướng ngoại và hướng ngoại.. Thông

thường, trong trường hợp sử dụng kết hợp cả 2 loại, cổng mạch vòng thường được dùng

cho các kết nối hướng ngoại còn cổng nối mức ứng dụng được dùng cho các kết nối hướng

nội để thoả mãn yêu cầu bảo mật và yêu cầu của người dùng.

Một ví dụ dễ hiểu về cổng mạch vòng là SOCKS. Vì dữ liệu đi qua SOCKS không

được giám sát hoặc lọc, một vấn đề bảo mật có thể nảy sinh. Để tối thiểu hoá các vấn đề

bảo mật, các tài nguyên và dịch vụ tin cậy nên được dùng cho mạng ngoài (mạng không

an toàn).

Hình 70 Cổng mạch vòng.

SOCKS là một chuẩn cho các cổng mạch vòng. Nó không yêu cầu overhead của

nhiều hơn một Server uỷ quyền thông thường trong đó một người dùng phải chủ ý kết nối

trước hết là tới firewall trước khi có yêu cầu thứ 2 là kết nối tới đích. Người dùng khởi

động một ứng dụng phía Client với địa chỉ IP của Server đích. Thay vì trực tiếp khởi động

một phiên với Server đích, Client khởi tạo một phiên với Server SOCKS trên Firewall.

Server SOCKS sau đó xác minh địa chỉ nguồn và ID người dùng được cho phép để

thiết lập kết nối tới mạng không an toàn, và sau đó tạo ra phiên thứ 2. SOCKS cần có một



phiên bản mã nguồn Client mới và một tập riêng biệt các chính sách cấu hình trên Firewall.

Tuy nhiên, máy server không cần thay đổi, thật vậy, nó không cần biết rằng phiên đang

được tiếp bởi Server SOCKS. Cả Client và Server SOCKS đều cần có mã SOCKS. Server

SOCKS hoạt động như một router mức ứng dụng giữa Client và Server ứng dụng thực.

SOCKSv4 chỉ với các phiên TCP hướng ngoại. Nó rất đơn giản cho mạng riêng của người

dùng, nhưng không được phân phối mật khẩu an toàn vì vậy nó không được dùng cho các

phiên giữa người dùng mạng công cộng và các ứng dụng mạng riêng. SOCKSv5 với một

số phương pháp xác thực và vì thế được sử dụng cho các kết nối hướng nội, SOCKS cũng

hỗ trợ các giao thức và ứng dụng dựa trên UDP.

Phần lớn các trình duyệt Web là SOCKSified và người dùng có thể nhận được các

ngăn xếp TCP/IP SOCKSified cho hầu hết các nền.

2.8.5 Giao thức SSL và TLS:

SSL là giao thức bảo mật được phát triển bởi hãng truyền thông Netscape, cùng với

hãng bảo mật dữ liệu RSA. Mục đích chính của giao thức SSL là cung cấp một kênh riêng

giữa các ứng dụng đang liên lạc với nhau, trong đó đảm bảo tính riêng tư của dữ liệu, tính

toàn vẹn và xác thực cho các đối tác. SSL cung cấp một khả năng lựa chọn cho API socket

TCP/IP chuẩn có thực thi bảo mật bên trong nó. Do đó, về lý thuyết nó có khả năng chạy

với bất kỳ ứng dụng TCP/IP nào theo cách an toàn mà không phải thay đổi ứng dụng. Trong

thực tế, SSL chỉ được thực thi với các kết nối HTTP, nhưng hãng truyền thông Netscape

đã tuyên bố ý định tận dụng nó cho các kiểu ứng dụng khác, như giao thức NNTP và Telnet,

và có một số miễn phí sẵn có trên Internet. Ví dụ, IBM đang sử dụng SSL để nâng cao tính

bảo mật cho các phiên TN3270 trong các Host của nó, các phương tiện liên lạc cá nhân và

các sản phẩm Server, miễn là cấu hình bảo mật truy cập được các Firewall.

SSL gồm có 2 tầng:

Tại tầng thấp, có một giao thức truyền dữ liệu sử dụng loại mật mã được xác định

trước và kết hợp xác thực, gọi là giao thức bản ghi SSL, hình 35 minh họa giao thức này,

và đối chiếu nó với một kết nối socket HTTP chuẩn.



Hình 71 SSL – so sánh chuẩn giữa chuẩn và phiên SSL.

Tại tầng trên, có một giao thức cho việc khởi tạo xác thực và truyền các khóa mã

hóa, gọi là giao thức thăm dò trước SSL.

Một phiên SSL được thiết lập như sau:

- Một người dùng phía Client(Trình duyệt) yêu cầu một tài liệu bằng một địa chỉ URL xác

định bắt đầu bằng https(thay cho http).

- Mã phía Client nhận ra SSL yêu cầu và thiết lập một kết nối qua cổng TCP 443 tới mã

SSL trên phía Server.

- Client sau đó khởi tạo pha thăm dò trước SSL, dùng giao thức bản ghi SSL như một sự

hỗ trợ. Tại đây không có sự mã hóa hay kiểm tra tính toàn vẹn gắn liền với kết nối.

Giao thức SSL đề ra các vấn đề an toàn sau:

+ Tính riêng tư: Sau khi khóa đối xứng được thiết lập trong khi thăm dò trước để khởi tạo,

các thông điệp được mã hóa bằng khóa này.

+ Tính toàn vẹn: Các thông điệp chứa một mã xác thực thông điệp(MAC).



+ Tính xác thực: trong khi thăm dò trước, Client xác thực Server sử dụng khóa công khai.

Nó cũng có thể dựa trên chứng chỉ.

TLS được phát triển nhờ sử dụng SSL, giống như SSL, TLS cho phép các Server và

Client cuối liên lạc một cách an toàn qua các mạng công cộng không an toàn. Thêm vào

các khả năng bảo mật được cung cấp bởi SSL, TLS cũng ngăn chặn kẻ nghe trộm, giả mạo,

chặn bắt gói tin.

TLS cũng gồm 2 tầng: Giao thức bản ghi TLS và giao thức thăm dò trước TLS.

Giao thức bản ghi TLS mang lại sự an toàn bằng cách tận dụng các cơ chế mã hóa, như

DES chẳng hạn. Giao thức thăm dò trước TLS cung cấp khả năng xác thực 2 chiều bằng

cách cho phép cả Server và Client xác thực lẫn nhau, hơn nữa 2 thực thể muốn liên lạc có

thể thương lượng các thuật toán mã hóa và các khóa phục vụ cho việc trao đổi dữ liệu về

sau giữa chúng.

Trong các kịch bản mạng riêng ảo, SSL và TLS có thể được thực thi tạo Server VPN

cũng như tại Client đầu cuối.

So sánh giao thức IPSec với SSL:

Như đã mô tả ở các phần trên, IPSec cung cấp tính năng mã hoá và xác thực mạnh

cho lưu lượng IP và cũng cung cấp tính năng trao đổi và làm tươi khoá dựa trên chứng chỉ

nhờ sử dụng IKE.

Để đi đến kết luận một cách thận trọng, ta phải đề xuất rằng những tính năng này là

cần thiết giống như các tính năng mà SSL và TLS cung cấp. Trong phần này chúng ta lưu

ý đến sự giống nhau và khác nhau cơ bản giữa IPSec và SSL và giải thích những phạm vi

nào sử dụng cả hai giao thức.

Những điểm giống nhau:

o IPSec(qua IKE) và SSL cung cấp xác thực Client và Server.

o IPSec và SSL cung cấp tính năng đảm bảo an toàn và xác thực đối với dữ liệu,

thậm chí trên các mức khác nhau của chồng giao thức.

o IPSec và SSL có thể dùng các thuật toán mật mã mạnh cho việc mã hoá và các

hàm băm, có thể sử dụng xác thực dựa trên chứng chỉ (IPSec qua IKE).



o IPSec(qua IKE) và SSL cung cấp tính năng sinh khoá và làm tươi khoá mà không

phải truyền bất kỳ khoá nào dưới dạng rõ hay ngoại tuyến.

Những điểm khác nhau:

o SSL được thực thi như một API giữa tầng ứng dụng và tầng vận tải; IPSec được

thực thi như một khung làm việc tại tầng liên mạng.

o SSL cung cấp tính năng bảo mật từ ứng dụng - tới - ứng dụng (ví dụ: giữa

WebBrowser và WebServer); IPSec cung cấp tính năng bảo mật từ thiết bị - tới -

thiết bị.

o SSL không bảo vệ lưu lượng UDP; IPSec thì có.

o SSL hoạt động từ điểm cuối - tới - điểm cuối và không có khái niệm đường hầm.

Điều này có thể là một vấn đề lúc lưu lượng cần được xem xét bằng cách kiểm tra

nội dung và quét virus trước khi nó được phân phối thành công đến đích; IPSec có

thể hoạt động theo hai cách, điểm cuối - tới - điểm cuối và như một đường hầm.

o SSL có thể vượt qua NAT hoặc SOCKS, chúng dùng để che dấu cấu trúc địa chỉ

bên trong hoặc tránh sự xung đột địa chỉ IP riêng; IPSec trong chế độ vận tải (end –

to- end) không thể sử dụng NAT nhưng nó có thể dùng một đường hầm IPSec để

đạt được mục tiêu tương tự và thậm chí bảo mật hơn NAT vì đường hầm cũng có

thể được mã hoá.

o Các ứng dụng cần phải sửa đổi để sử dụng SSL. Điều này có thể là một vấn đề

lúc ta không truy cập được mã nguồn của ứng dụng hoặc không có thời gian hay

kinh nghiệm để thay đổi mã nguồn của ứng dụng; IPSec hoàn toàn trong suốt với

các ứng dụng.

Thông thường SSL là tốt lúc ta chỉ có một ứng dụng được bảo vệ và nó đã sẵn có

trong một phiên bản SSL-aware. Đây là trường hợp có một ứng dụng chuẩn đa dạng, không

chỉ với WebBrowser và WebServer. Ngoài ra, nếu có tuỳ chọn của việc thực thi khái niệm

3-tier bằng cách tận dụng các cổng ứng dụng Web tại vành đai của mạng, SSL là một sự

lựa chọn tốt. Nếu có một số lượng lớn các ứng dụng để bảo đảm an toàn có thể phải chọn

giải pháp tốt hơn cho mạng. Trong trường hợp này, IPSec là sự lựa chọn tốt hơn. Trừ khi



tự ta phát triển các ứng dụng, IPSec mềm dẻo hơn SSL để thực thi một chính sách bảo mật

yêu cầu nhiều mức khác nhau và sự kết hợp của xác thực, mã hoá và đường hầm.

Cuối cùng nhưng không kém phần quan trọng, sự lựa chọn một công nghệ bảo mật

thích hợp còn phụ thuộc vào mô hình giao dịch. Nếu mục đích của các Server ứng dụng là

phải có khả năng truy cập mạng công cộng thì một thiết kế dựa trên Web và công nghệ bảo

mật dựa trên SSL có lẽ là lựa chọn đúng. SSL là sẵn có trên bất kỳ một trình duyệt Web

chuẩn nào và đó sẽ chỉ là công cụ được sử dụng và yêu cầu bởi người dùng. Tuy nhiên,

những người dùng nên được hạn chế truy cập tới Server ứng dụng hay mạng của chúng ta,

khi đó một mạng riêng ảo dựa trên IPSec và có thể cả một số công nghệ đường hầm tầng

2 là giải pháp được ưa thích hơn. Trong trường hợp này, những người tham gia và vai trò

của họ trong việc trao đổi dữ liệu sẽ được xác định trước.



3. Dynamic Multipoint VPN ( DMVPN )

3.1 Giới thiệu về DMVPN

Hình 72 Mô hình triển khai DMVPN

Để triển khai mạng DMVPN, chúng ta có hai cách thức triển khai. Đó là hub-and-spoke

và spoke-and-spoke. Để hiểu được hai khái niệm này, trước tiên bạn nên hiểu hub là gì, và

spoke là gì. Hub ở đây là trung tâm (central), tức là hệ thống mạng WAN đặt ở trung tâm

của công ty. Còn Spoke chỉ chi nhánh, văn phòng. Hình 72 minh họa cho điều đó, Hub

chính là phần Central Site, còn Spoke chính là phần Branches.

Chúng ta thấy rõ đường màu xanh chính là kết nối giữa Spoke-and-Spoke, còn màu đỏ

chính là kết nối giữa Hub-and-Spoke. Như vậy, Hub-and-Spoke là kết nối từ trung tâm đến

chi nhánh, nó tương tự như khái niệm trong Site-to-Site. Khái niệm mới chính là ở chỗ

Spoke-and-Spoke, là kết nối giữa các chi nhánh với nhau.



Nếu như trong VPN, bạn chỉ nghe nhắc đến kết nối một Client đến một Site, hoặc một

Site đến một Site, thì trong DMVPN, bạn sẽ tiếp tục có một khái niệm mới hơn, đó là kết

nối giữa nhiều Hub đến nhiều Spoke, điều này lý giải tại sao nó có thêm chữ Multipoint.

Khi nói đến Hub và Spoke là ý đang nói đến router thực hiện chức năng DMVPN ở

trung tâm và chi nhánh. Còn khi nói đến Site Central và Site Branch (hay gọi tắc là Central

và Branch) là nói đến nhiều thiết bị có ở đó, Hub và Spoke nằm ở Central và Branch.

Dynamic Multipoint Virtual Private Network (DMVPN) là sự kết hợp của các công

nghệ: IPSec, mGRE và NHRP.

IPSec: Mã hóa dữ liệu, cung cấp những tính năng chứng thực và toàn vẹn dữ liệu.

GRE: Thiết lập những “đường hầm” (tunnel) cho phép đóng gói bất kì gói tin nào

của lớp network. Ngoài ra GRE còn có thể định tuyến trên tunnel.

NHRP: Giao thức dùng để ánh xạ địa chỉ tunnel sang địa chỉ trên cổng vật lí của

Router. Nó giải quyết được vấn đề các spoke có thể sử dụng địa chỉ IP được cấp

động bởi ISP.

Các công nghệ này kết hợp lại cho phép triển khai IPSec trong DMVPN một cách dễ dàng,

linh động và an toàn.

3.2 Các thành phần của DMVPN

Đầu tiên, không cần phải tính toán, đó là hệ thống Hub và Spoke. Ở hai phía phải có

những thiết bị hổ trợ tốt trong việc tạo kết nối DMVPN. Có nhiều giải pháp để chúng ta

lựa chọn, nhưng phổ biến nhất vẫn là Router của Cisco.

Nhìn vào mô hình ở hình 72, chúng ta nhận thấy rằng, để kết nối được giữa Hub và

Spoke nó phải kết nối thông qua Cloud. Cloud ở đây ám chỉ nhà cung cấp dịch vụ internet



(ISP). Có nhiều giải pháp cho bạn sử dụng các dịch vụ của ISP cung cấp. Cloud này có thể

là Frame-Reply, ATM, Leased Lines

3.3 Kỹ thuật thiết kế:

Trong thiết kế DMVPN, có hai topology được đưa ra bàn luận:

Dual hub-dual DMVPN cloud

Dual hub-single DMVPN cloud

Trước tiên cần phải hiểu DMVPN cloud là gì, nó là tập hợp các router được cấu hình

định tuyến để giao tiếp với nhau. Bạn có thể dùng giao thức mGRE hoặc PPP hoặc là

cả hai để cấu hình giao tiếp với các router này, chúng phải có cùng subnet.

Như vậy hai kỹ thuật đề cập ở trên có thể hiểu là đa hub đa DMVPN cloud và đa hub

đơn DMVPN cloud.



Hình 73 Dual DMVPN Cloud Topology

Trong mô hình Dual hub dual DMVPN cloud, hình 73, Hub 1 là trung tâm chính, nó

kết nối với các Branch qua DMVPN cloud 1, và dĩ nhiên chúng có cùng subnet. Nó duy trì

kết nối thường xuyên hơn. Trong khi đó, Hub 2 được khuyến cáo là để dự phòng trong

trường hợp Hub 1 gặp chút trục trặc. Giữa Hub1 và Hub 2 được khuyến cáo kết nối với

nhau trong mạng campus và không cùng subnet (cùng một net, tức là net được chia mạng

con). Điều tất nhiên phải đảm bảo là cả hub 1 và hub 2 đều phải giao tiếp được với hệ thống

mạng bên trong. Giải pháp này được biết đến với khả năng Failover, tức là hạn chế sự cố,

luôn duy trì kết nối.

Trong mô hình thứ hai, dual hub single DMVPN cloud, hình 74, bạn chỉ có một đường

mạng để kết nối tất cả các hub và branch. Từ DMVPN Cloud bạn thấy chúng ta có hai kết

nối về hai hub. Giải pháp này được biết đến với khả năng load balanced.



DMVPN cloud hổ trợ cho cả hai mô hình triển khai hub-and-spoke và spoke-and-spoke.

Trong hub-and-spoke, mỗi headend chứa một interface mGRE và mỗi branch có chứa cả

p2p hoặc mGRE interface. Trong mô hình spoke-and-spoke cả hai đầu headend

và branch đều có mGRE interface.

Hình 74 Single DMVPN Cloud Topology

3.4 Dual DMVPN Cloud Topology:

Với Dual DMVPN Cloud, ta có hai model triển khai:

Hub-and-spoke

Spoke-to-spoke



3.4.1 Hub-and-Spoke:

Hình 75 Hub-and-Spoke Deployment Model

Với Dual DMVPN cloud trong model hub-and-spoke, có chứa hai headend (hub1 và

hub2), mỗi cái có một hoặc nhiều tunnel mGRE kết nối đến tất cả các branch. Hình 75

minh họa cho chúng ta điều đó.

Mỗi DMVPN cloud được đại diện bằng IP duy nhất trong subnet. Một DMVPN cloud

được gọi là primary (cloud chính), chịu trách nhiệm cho mọi lượng mạng của Branch đi

qua. Mỗi branch có chứa hai interface P2P GRE kết nối đến mỗi Hub riêng lẽ. Trong model

triển khai này không có tunnel nào giữa các branch. Giao tiếp nội bộ giữa các branch được

cung cấp thông qua hub. Thông số metric của giao thức định tuyến mà hệ thống sử dụng,

được sử dụng để xác định đâu là primary hub.



3.4.2 Spoke-and-Spoke:

Hình 76 Spoke-to-Spoke Deployment Model

Cũng giống như Hub-and-spoke, trong model này cũng có hai Hub ở trung tâm, mỗi hub

có một hoặc nhiều tunnel kết nối đến tất cả các chi nhánh. Giao tiếp giữa các Branch được

thực hiện thông qua Hub, trừ khi nó có một đường kết nối được tạo ra giữa hai Spoke. Đó

chính là sự khác biệt của trường hợp này. Tunnel giữa Spoke and Spoke được gọi là

dynamic, nó phải nằm trong một single DMVPN cloud hoặc cùng một subnet. Tunnel của

spoke-and-spoke thì không ở giữa hai DMVPN cloud.

3.5 Kiến trúc hệ thống trung tâm (system headend)

Có hai kiến trúc dành cho hệ thống trung tâm được đưa ra triển khai là:

Single Tier

Dual Tier



3.5.1 Single Tier

Trong kiến trúc Single Tier, về mặt chức năng thì mGRE và Crypto cùng tồn tại trong

một CPU của router.

Hình 77 Single Tier Headend Architecture

Hình 77 là giải pháp dual cloud với model hud-and-spoke. Tất cả các Headend đều có

tunnel mGRE và Crypto được gộp chung lại trong một multiple GRE tunnel, để phục vụ

cho các luồng dữ liệu của branch. Mặt khác, để kết thúc tunnel VPN tại trung tâm, headend

có thể gửi một thông điệp để báo cho giao thức định tuyến đang được sử dụng tại branch

như EIGRP, OSPF, bất kể đường nào được chọn trong cloud (cloud path – đường kết nối

giữa các router trong cloud).



3.5.2 Dual Tier

Với kiến trúc dual tier, mGRE và Crypto không cùng tồn tại trong cùng CPU của router.

Hình 78 Dual Tier Headend Architecture

Hình 78 là giải pháp dual DMVPN cloud với model hub-and-spoke. Ở đây mGRE và

Crypto tại headend nằm riêng lẽ nhau , chúng phục vụ cho nhau và cho multiple mGRE

tunnel để chuyển luồng lưu lượng mạng cho branch. Đầu cuối của VPN tunnel, Crypto sẽ

nhận dữ liệu gửi từ branch và sau đó chuyển tiếp cho mGRE, để mGRE quảng bá cho các

giao thức định tuyến tại branch như EIGRP hoặc OSPF.

Router trong tất cả các mô hình của DMVPN đóng vai trò là điểm kết thức của tunnel.

Đồng thời nó còn kiêm theo nhiều chức năng khác như Firewall. Địa chỉ ip mặt ngoài của

router có thể là tĩnh hoặc động, và nó phải được “map” trong bản đồ của router. Hành động

này có nghĩa là: Một inteface mặt ngoài của router có địa chỉ ip public của riêng nó, và một



tunnel cũng có ip (public hoặc private), nó phải ảnh xạ để biết tunnel này được chuyển ra

interface tương ứng.

Các Branch trong kiểu triển khai này kết nối với nhau thông qua tunnel riêng, và phải đi

qua DMVPN Cloud. Giao thức thường xuyên thấy giữa các tunnel này là IPSec. Để giao

tiếp với hệ thống trung tâm, chúng ta có giao thức Single Tier, trong đó các chức năng của

mGRE và Crypto được gói gọn trong một router.

3.6 Single DMVPN Cloud Topology

Trong mô hình này, có hai headend được sử dụng, nhưng chúng có cùng một subnet.

Các văn phòng chi nhánh sẽ kết nối với trung tâm thông qua giao diện mGRE. Và chúng

cũng phải có cùng subnet để thực hiện giao tiếp nội bộ. Mô hình này không được khuyến

cáo vì chúng không khả dụng và không chống lỗi được. Với kiểu triển khai Spoke-and-

Spoke thì việc triển khai theo Single DMVPN này cần được cân nhắc kỹ.

Hai headend phải được cấu hình DMVPN giống nhau, có địa chỉ IP cùng một subnet.

Khi đó chúng sẽ hổ trợ cho chúng ta chức năng load balanced giữa hai trung tâm.

Hình 79 Single DMVPN Cloud Topology



Như vậy khi nhắc đến topology để triển khai cho giải pháp DMVPN, chúng ta có sự tóm

tắt như sau:

- Mô hình triển khai dành cho:

Hub-and-Spoke: Giữa trung tâm và chi nhánh. Trong Hub-and-Spoke có hai kiến

trúc dành cho cloud.

o Dual Cloud: Có nhiều subnet

o Single Cloud: Có một subnet

Trong cả hai kiến trúc thì ở trung tâm (header) có thể triển khai theo hai giải pháp:

o Single Tier: hai giao thức mGRE và Crypto trên cùng một router.

o Dual Tier: hai giao thức mGRE và Crypto ở hai router khác nhau.

Spoke-and-Spoke: giữa các chi nhánh với nhau

3.7 Các vấn đề khi triển khai DMVPN

3.7.1 Cơ chế tunnel và địa chỉ IP

Như vậy tunnel là một cơ chế, mà người ta gọi là đường ống, nó có chức năng che dấu

đi dữ liệu A nào đó bằng một lớp dữ liệu B khác. Mô hình là vậy để chúng ta dễ hiễu, thực

chất công việc này trong truyền thông là gắn thêm vào dữ liệu một header riêng, để biết

rằng đó là gói dữ liệu theo định dạng của B.



Hình 80: Mô hình VPN với cơ chế Tunnel

Hình 81 Mô hình IP

Nhìn vào mô hình minh họa này, chúng ta cũng thấy có một vấn đề được đề cập đến

chính là địa chỉ IP. Bản thân gói dữ liệu gửi từ A, đã có địa chỉ IP của riêng nó và của đích

mà nó cần đến. Khi được tunnel hóa đi, nó mang thêm vào một địa chỉ IP nguồn và đích

của tunnel. Người ta gọi đây là IP tunnel, và giao tiếp giữa hai IP tunnel này gọi là Tunnel



Interface. Như vậy, giữa hai đầu của tunnel, về mặt luận lý, bạn có thể hiểu nó là một sợi

cáp mạng nối hai điểm cần giao tiếp với nhau.

Mục đích của việc tạo tunnel là để che dấu địa chỉ IP private bằng địa chỉ IP public, từ

đó giúp hai hệ thống mạng private có thể giao tiếp được với nhau. Tại đầu gửi, địa chỉ IP

private nằm trong gói dữ liệu, được gói thành một gói dữ liệu mới (đúng hơn là gắn thêm

header) mang địa chỉ IP public, và thông qua tunnel nó được gửi đến đầu nhận có địa chỉ

IP public. Tại đầu nhận gói dữ liệu được tháo ra để lấy dữ liệu bên trong và trả vào cho

mạng private.

3.7.2 Giao thức GRE

Làm thế nào để có được tunnel? Như đã đề cập, tunnel thực chất là gắn thêm một header

theo định dạng quy định vào trong gói tin cần gửi. Như vậy định dạng quy định này là gì?.

Câu trả lời rằng nó là những giao thức đóng gói dữ liệu trong tunnel. Một vài giao thức có

thể kể tên như PPTP (Point-to-Point Tunneling Protocol), L2TP (Layer 2 Tunneling

Protocol), L2F (Layer 2 Forwarding), GRE (Generic Routing Encapsulation). Tất cả giao

thức này đều sẽ gắn vào gói tin cần gửi những dữ liệu của riêng nó, và phía đầu nhận phải

hiểu để bóc gói (Discapsulation) cho đúng.

Thế nhưng cả ba giao thức PPTP, L2TP và L2F đều vướng phải một vấn đề là không

thể định tuyến. Khi cơ chế tunnel được tạo ra, hai site kết nối với nhau thì chúng có thể

nằm trong cùng một mạng LAN, và phía sau chúng có thể là hàng loạt các mạng LAN

khác. Hai router giữ vai trò đầu cuối của VPN (nơi tạo ra tunnel) phải chịu trách nhiệm gửi

cập nhật định tuyến bên trong mạng cho nhau. Chúng ta đều biết rằng, cập nhật định tuyến

này gửi theo broadcast, mà đa phần môi trường mạng public không cho phép gói tin

broadcast đi qua. GRE sẽ giải quyết vấn đề này.

GRE được dùng trong việc đóng gói định tuyến, dành cho môi trường mạng non-

broadcast (mạng không cho phép broadcast). GRE cung cấp một cơ chế đóng gói tất cả các

giao thức của tầng mạng, gửi đến cho những giao thức của tầng mạng khác. GRE sử dụng

để truyền tải các gói tin IP từ mạng private này đến mạng private khác, thông qua internet.



GRE tunnel cũng cho phép các giao thực định tuyến hoạt động khi nó chuyển tiếp từ mạng

private đến các router khác trên mạng internet. GRE cũng đóng gói dữ liệu multicast để

chuyển qua internet.

Hình 82 Ví dụ về GRE

GRE không cung cấp cơ chế mã hoá, do đó nó cần IPSEC để mã hoá dữ liệu trên đường

truyền. Một gói tin khi cần chuyển ra mạng public thông qua GRE, nó sẽ được đóng gói

theo chuẩn của GRE, bằng cách thêm vào GRE header, có độ dài 32 đến 160 bits.

Triển khai GRE có hai giải pháp, giải pháp Point-to-Point (ppp GRE) và giải pháp

Multi-Point (mGRE). Đối với mô hinh DMVPN Hub-and-Spoke thì mGRE được lựa

chọn trong cấu hình.

3.7.3 Giao thức NHRP

Hai router (đã tạo tunnel) kết nối với nhau xem nhau như trong mạng LAN. Điều đầu

tiên để gửi được dữ liệu giữa hai router này là xác định địa chỉ IP. Đứng ở khía cạnh người

gửi tại 2 router, nó chỉ biết địa chỉ IP private. Công việc thứ hai là xác định với IP này thì

MAC là bao nhiêu, bằng giao thức ARP. Tuy nhiên, giao thức ARP không thể hoạt động,

vì ở đây đang dùng cơ chế tunnel, nó không cho phép gói tin của ARP chạy qua để tìm

MAC. Vì thế NHRP (Next Hop Resolution Protocol) ra đời.



NHRP là giao thức giống giao thức ARP (giao thức phân giải địa chỉ) làm giảm những

vấn đề mạng NBMA (Non-Broadcast Multiple Access). Với NHRP, các hệ thống học địa

chỉ của các hệ thống khác được cố định đến mạng NBMA một cách linh động. Cho phép

các mạng này thông trực tiếp với nhau mà traffic được dùng không cần qua hop trung gian.

NHRP được thiết kế để trợ giúp IP dò đường cho quá trình truyền khối dữ liệu trên hệ

thống mạng NBMA. NHRP không phải là giao thức dò đường. Đó chỉ là một giải pháp kỹ

thuật về địa chỉ để sắp xếp lại các địa chỉ của IP trong quá trình chuyển dữ liệu sang các

địa chỉ kiểu mạng NBMA trái ngược lại với mạng phát tán. Trên hệ thống mạng phát tán,

nhiều máy tính cũng như các thiết bị cùng dùng chung một cáp mạng hay các thiết bị truyền

thông khác. Khi một máy tính truyền đi các frame thông tin, tất cả các nút trên mạng cùng

“lắng nghe “ các frame, nhưng chỉ nút nào mà địa chỉ của nó được chỉ định trên frame mới

thật sự nhận được các frame này. Bởi vậy, các frame gọi là được phát tán. Mạng kiểu

NBMA sử dụng các mạch hướng kết nối để phân phối các frame hay cell từ đầu này đến

đầu kia của mạch. Không có trạm nào khác liên quan đến mạch này ngoại trừ 2 nút cuối

của nó. Các dịch vụ chuyển dữ liệu trong IP phi kết nối (connectionless) không phải luôn

luôn phù hợp với các liên kết hướng kết nối của ATM.

3.7.4 Tunnel Protection Mode

Tiêu biểu vẫn là IPSec, chúng ta có thể cấu hình crypto theo kiểu dynamic hoặc static ở

cả hai đầu router header và branch.Trong các phiên bản IOS 13 (hoặc lớn hơn) hổ trợ hầu

hết các cấu hình của IPSec. Cũng từ phiên bản 13 này, khái niệm IPSec profile được giới

thiệu. IPSec Profile được áp dụng cho hầu hết các kết nối, chúng ta không cần phải sử dụng

nhiều ACL cho mỗi interface. Tuy nhiên, chỉ có những subnet nào được cấu hình giao tiếp

và được phép giao tiếp với IPSec thì mới sử dụng được profile này.

3.7.5 Sử dụng giao thức định tuyến

Trong thiết kế của DMVPN khuyến cáo sử dụng các giao thức định tuyến động để định

tuyến từ headen đến branch. Việc sử dụng các giao thức định tuyến động có nhiều lợi thế

hơn đóng góp trực tuyến bằng IPSec (IPSec Direct Encapsulation). Trong VPN, giao thức

định tuyến phải đảm bảo cùng một lợi ích so với mạng truyền thống, nó bao gồm:



Thông tin về topology của mạng

Thông báo thay đổi trong cấu trúc của topology

Trạng thái điều khiển từ xa của mỗi đối tượng

Một số giao thức định tuyến có thể được sử dụng trong một thiết kế DMVPN bao gồm

EIGRP, OSPF, RIPv2, và ODR (chỉ dùng trong hub-and-spoke). Giao thức EIGRP được

khuyến cáo sử dụng nhiều nhất, bởi vì giao thức định tuyến động này duy trì định tuyến

theo chu kỳ của CPU và băng thông mạng, cũng như thời gian hội tụ nhanh chóng của nó.

EIGRP cung cấp một loạt các tùy chọn để tổng hợp địa chỉ (summarization) và quảng bá

định tuyến mặc định (default route).

Các giao thức định tuyến như OSPF cũng đã được xác minh là dễ sử dụng, nhưng không

được thảo luận rất chi tiết. ODR có thể không được sử dụng trong mô hình triển khai spoke-

to-spoke vì ODR không hỗ trợ chia tách tunnel (split tunneling).

Giao thức định tuyến động làm tăng việc sử dụng CPU trên thiết bị mạng, do đó tác động

này phải được xem xét khi tăng kích thước mạng.

3.7.6 Cân nhắc sử dụng Crypto

IPSec hỗ trợ hai cơ chế mã hóa là transport và tunnel. Với cơ chế transport thì chỉ mã

hóa phần dữ liệu (payload), còn phần header có chứa địa nguồn và đích thì không được mã

hóa. Với cơ chế tunnel thì cả phần dữ liệu và header đều được mã hóa, giúp bảo vệ thông

tin trong phần header. Cơ chế transport còn thêm vào 20 byte đệm trong tổng kích thước

gói tin. Cả hai cơ chế này đều được sử dụng để triển khai trong DMVPN.

Nếu crypto tunnel được sử dụng cho NAT hoặc PAT thì bắt buộc phải dùng cơ chế

tunnel. Mặc khác, trong triển khai DMVPN, nếu triển khai dual tier với cả GRE tunnel và

crypto tunnel thì cũng bắt buộc phải dùng cơ chế tunnel trong IPSec.

3.7.7 IKE Call Admission Control

Trước đây phiên bản IOS 12.3 không có một chương trình nào điều khiển và giới hạn số

lượng và tốc độ khởi tạo các yêu cầu chứng thực của ISAKMP (giao thức dùng đề quản lý



khóa và khởi tạo kết nối), đều đó dẫn đến sự quá tải của router và làm tràn ngậm băng

thông mạng.

IKE Call Admission Control (CAC) được giới thiệu trong phiên bản 12.3 đã giới hạn

được số lượng chứng thực của ISAKMP cho phép đến và đi từ một router. Bằng cách giới

hạn số lượng crypto động được tạo ra, chúng ta có thể ngăn chặn không cho router bị tràn

ngậm các yêu cầu ISAKMP được tạo ra. Việc giới hạn này còn phụ thuộc vào nền tản công

nghệ, mô hình mạng, ứng dụng và luồng dữ liệu truyền tải qua mạng. Nếu bạn chỉ định

một giới hạn IKE CAC ít hơn số lượng hiện tại của hoạt động IKE SA, một lời cảnh báo

được hiển thị, nhưng ISAKMP SA không chấm dứt. Một yêu cầu ISAKMP SA mới bị từ

chối cho đến khi bộ đếm ISAKMP SA hoạt động là dưới mức giới hạn cấu hình.

CAC cung cấp hai phương pháp tiếp cận để hạn chế IKE SA có thể dùng để triển khai

trong mạng DMVPN. Đầu tiên, CAC bình thường là một giám sát tài nguyên toàn cục,

thăm dò phản hồi để đảm bảo rằng tất cả các quá trình bao gồm IKE không làm quá tải

CPU của router hoặc bộ nhớ đệm. Người dùng có thể cấu hình một giới hạn tài nguyên,

đại diện bởi một tỷ lệ phần trăm tài nguyên hệ thống từ 0 đến 100. Nếu người dùng xác

định một giới hạn tài nguyên là 90%, sau đó IKE CAC loại bỏ các yêu cầu ISAKMP SA

hệ thống tiêu thụ đến 90% hiệu suất. Tính năng này rất có giá trị trên các bộ định tuyến

headend, có thể phân loại và mã hóa các gói dữ liệu trong các công cụ mã hoá phần cứng

với tốc độ dòng. Điều này hữu ích trên các bộ định tuyến khi triển khai theo mô hình hub-

and-spoke, bởi vì các bộ định tuyến chi nhánh thường đạt ngưỡng trước khi được nạp đầy

đủ với ISAKMP SA.

Cách tiếp cận thứ hai cho phép người sử dụng cấu hình một giới hạn xác thực IKE

ISAKMP SA (IKE CAC). Khi giới hạn này được đạt tới, IKE CAC loại bỏ tất cả các yêu

cầu ISAKMP SA mới. Các Yêu cầu then chốt của IPsec SA lại luôn được cho phép vì để

bảo tồn tính toàn vẹn của phiên hiện tại. Chức năng này chủ yếu nhắm vào các bộ định

tuyến ở chi nhánh trong một mô hình triển khai spoke-to-spoke. Bằng cách cấu hình một

giới hạn số lượng các dynamic tunnel có thể được tạo ra, người sử dụng có thể ngăn chặn

một bộ định tuyến không bị tràn ngập nếu nó đột nhiên tràn ngập các yêu cầu SA. Ý tưởng



CAC IKE phụ thuộc rất nhiều vào các nền tảng cụ thể và công nghệ crypto, cấu trúc liên

kết mạng, và những thiết lập được triển khai.

3.8 So sánh giữa VPN và DMVPN

3.8.1 Mô hình VPN thông thường

Hình 83 Mô hình VPN thông thường

Mô hình mạng gồm một site trung tâm (HUB) kết nối đến các site chi nhánh (SpokeA

và SpokeB) qua internet. Với việc sử dụng VPN thông thường (IPSec + GRE), trên router

HUB cần cấu hình 2 tunnel đến SpokeA và SpokeB.

Một số hạn chế của mô hình trên:

-Khi tạo tunnel point-to-point, phải biết được địa chỉ IP của nguồn và đích. Do đó, ở các

spoke và HUB chúng ta phải thuê những địa chỉ IP tĩnh, dẫn đến chi phí cao.

-Ở router HUB, chúng ta phải cấu hình 2 tunnel, 1 cho spokeA và 1 cho spokeB. Giả sử

mạng công ty gồm rất nhiều chi nhánh thì trên router HUB sẽ phải cấu hình bấy nhiêu

tunnel.



-Mỗi tunnel khi được tạo sẽ có một cơ sở dữ liệu đi kèm. Như vậy trên router phải lưu

trữ một cơ sở dữ liệu khá lớn. Điều này dẫn đến sự tiêu tốn bộ nhớ và CPU trên router

HUB là khá lớn, gây tốn kém.

-Khi spokeA muốn giao tiếp với spokeB, nó phải thông qua HUB. Điều này không linh

động.

3.8.2 Mô hình DMVPN:

Với việc sử dụng DMVPN chúng ta sẽ giải quyết được những hạn chế trên và làm cho

hệ thống trở nên mở rộng và linh động hơn, bằng cách sử dụng các giao thức mGRE và

NHRP

Hình 84 Mô hình DMVPN

-Ở mỗi spoke, chúng ta không cần phải dùng một địa chỉ tĩnh nữa, mà có thể sử dụng

địa chỉ IP động do ISP cung cấp. Vì mGRE chỉ yêu cầu xác định địa chỉ nguồn, còn địa chỉ

đích thì sẽ nhờ một giao thức khác xác định. Trên router HUB cũng bắt buộc phải là một

địa chỉ tĩnh.



-Trên router HUB, bây giờ chỉ cần cấu hình một tunnel mGRE. Nếu thêm một spoke

nào nữa thì trên HUB cũng không cần phải cấu hình thêm. Điều này làm giảm tải ở router

HUB

-Khi sử dụng mGRE thì việc định địa chỉ đích sẽ nhờ vào một giao thức khác, đó là

NHRP.

Như vậy, việc sử dụng DMVPN đem lại nhiều thuận lợi hơn so với VPN thông thường.

3.8.3 Ưu điểm của việc sử dụng DMVPN

DMVPN cho phép mở rộng những mạng IPSec VPN. Ngoài ra nó còn có một số thuận

lợi như sau:

-Giảm độ phức tạp khi cấu hình trên router hub mà nó cung cấp khả năng thêm nhiều

kênh một cách tự động mà không đụng đến cấu hình của hub.

-Bảo đảm các packet được mã hóa khi truyền đi

-Hỗ trợ nhiều giao thức định tuyến động chạy trên DMVPN tunnels

-Khả năng thiết lập động và trực tiếp giữa các kênh spoke-to-spoke IPSec giữa các site

mà không cần thông qua hub (nhờ mGRE và NHRP)

-Hỗ trợ các spoke router với những địa chỉ IP vật lý động (được cấp bởi ISP)



CHƯƠNG 3. PHÂN TÍCH VÀ THIẾT KẾ ĐỀ TÀI

1. Phân tích chi tiết ưu và nhược điểm của mô hình

1.1 Mô hình triển khai DMVPN, High Availability cho hệ thống ngân hàng

Vietbank

1.1.1 Mô hình :

Hình 85 Mô hình sử dụng DMVPN, HA

1.1.2 Phân tích các dịch vụ và ưu nhược điểm của mô hình

- Dịch vụ : Mô hình trên sử dụng dịch vụ DMVPN (Dynamic-Multipoint-Vitural-Private-

Network). IP tại các chi nhánh Đà Nẵng và Hà Nội sử dụng IP động của nhà cung cấp dịch

vụ.

- Ưu điểm : DMVPN với các tunnel sẽ vẫn đảm bảo tốt các yêu cầu bảo mật, an toàn dữ

liệu giữa các site, ngoài ra chúng ta có thể tiết kiệm tối đa chi phí mua IP ở các chi nhánh.

Đồng thời việc cấu hình sẽ đơn giản hơn ở các Hub. Các chi nhánh mới nếu có nhu cầu,

thì chỉ cấu hình đơn giản tại các router chi nhánh( Spoke). Ngoài ra các site spoke cũng sẽ

được tự động kết nối với nhau bằng tính năng trong DMVPN.



- Nhược điểm : Các HUB router phải luôn luôn bắt đầu đường tunnel DMVPN trước đến

các spoke. Các spoke không thể bắt đầu đường tunnel tới các HUB trước được.

Hạn chế các gói tin Multicast.

Rất hạn chế QoS giữa các spoke. Vì vậy các ứng dụng có độ trễ nhạy cảm như VoIP và

video thường không ổn định.

2. Phân tích yêu cầu và xác định mô hình cần thực hiện cho ngân hàng Vietbank

Kết nối các chi nhánh về trụ sở chính có bảo mật thông qua dịch vụ internet

của ISP.

Giảm tối đa chi phí mua IP tĩnh.

Áp dụng chính sách bảo mật lên từng phòng ban & nhân viên.

Đảm bảo high availability cho trụ sở chính bằng cách dùng Router và Switch

dự phòng.

Đảm bảo redundancy cho trụ sở chính bằng cách sử dụng các Switch để

backup và dùng VTP phân chia phòng ban.

Đảm bảo kết nối giữa trụ sở chính và các chi nhánh luôn ổn định.

Có nhiều cách, tình huống có thể giải quyết được các yếu tố trên. Nhưng để giải quyết

triệt để thì lại rất ít, đồng thời phải thỏa một yêu cầu mà nhiều doanh nghiệp mong muốn

đó chính là chi phí thi công và vận hành hệ thống. Vì thế Tôi lựa chọn giải pháp là DMVPN.



2.1 Thiết kế mô hình

SƠ ĐỒ KẾT NỐI MẠNG TỔNG QUÁT

Hình 86 Sơ đồ tổng quan kết nối trụ sở và chi nhánh

SƠ ĐỒ TỔNG QUÁT TRỤ SỞ TP. HỒ CHÍ MINH



Hình 87 Sơ đồ tổng quan trụ sở TP.HCM



INTERNETPhòng Quản Lý: 4PC và 8 Laptop

Network: 192.168.2.0/28

Phòng Tư Vấn: 6PC

Network: 192.168.2.16/28

ADSL FPT

DM

VPN

SƠ ĐỒ TỔNG QUÁT CHI

NHÁNH HÀ NỘI

Hình 88 Sơ đồ tổng quan chi nhánh Hà Nội



INTERNETPhòng Quản Lý: 4PC

Network: 192.168.3.32/28

Phòng Tư Vấn: 8PC

Network: 192.168.3.16/28

ADSL FPT

DM

VPN

SƠ ĐỒ TỔNG QUÁT CHI

NHÁNH ĐÀ NẴNG

Phòng Kinh Doanh: 12PC

Network: 192.168.3.0/28

Hình 89 Sơ đồ tổng quan chi nhánh Đà Nẵng



2.2 Bảng phân hoạch địa chỉ IP

Tên Router Interface IP OSPF Note

ISP

S1/0

S1/1

S1/2

S1/3

113.190.46.1/30

113.190.47.1/30

113.190.48.1/30

113.190.49.1/30

NAT-HN

S1/0

F0/0

F0/1

TUNNEL

100

113.190.46.2/30

172.16.1.2/30

172.16.2.2/30

100.100.100.1/29

AREA

1

AREA

1

NAT-DN

S1/1

F0/0

F0/1

TUNNEL

200

113.190.47.2/30

172.16.3.2/30

172.16.4.2/30

200.200.200.1/29

AREA

1

AREA

1

SW-CORE1

F1/0 – 1

F1/2 – 3

F1/4 – 5

PORT CHANNEL 1

PORT CHANNEL 2

PORT CHANNEL 3

SW-CORE2

F1/0 – 1

F1/2 – 3

F1/4 – 5

PORT CHANNEL 1

PORT CHANNEL 2

PORT CHANNEL 3

SW-

ACCESS1

F1/2 – 3

F1/4 – 5

F1/6 – 7

F1/8 – 9

PORTCHANNEL 2

PORTCHANNEL 3

VLAN 10

GIAMDOC



F1/10 – 11

F1/12 – 13

F1/14 – 15

VLAN 20 IT

VLAN 30

KINHDOANH

VLAN 40 NHANSU

VLAN 50

KETOAN

SW-

ACCESS2

F1/2 – 3

F1/4 – 5

F1/6 – 7

F1/8 – 9

F1/10 – 11

F1/12 – 13

F1/14 – 15

PORTCHANNEL 2

PORTCHANNEL 3

VLAN 10

GIAMDOC

VLAN 20 IT

VLAN 30

KINHDOANH

VLAN 40 NHANSU

VLAN 50 KETOAN

R-HN

S1/3

F0/0.10

F0/0.20

TUNNEL

100

TUNNEL

200

113.190.49.2/30

192.168.2.1/28

192.168.2.17/28

100.100.100.2/29

200.200.200.2/29

AREA

1

AREA

1

AREA

1

AREA

1

VLAN 10 QUANLY

VLAN 20 TUVAN

SW-HN F1/1 – 5

F1/6 – 10

VLAN 10 QUANLY

VLAN 20 TUVAN

R-DN S1/2 113.190.48.2/30



F0/0.10

F0/0.20

F0/0.30

TUNNEL

100

TUNNEL

200

192.168.3.1/28

192.168.3.17/28

192.168.3.33/29

100.100.100.3/29

200.200.200.3/29

AREA

1

AREA

1

AREA

1

AREA

1

AREA

1

VLAN 10

KINHDOANH

VLAN 20 TUVAN

VLAN 30

QUANLY

SW-DN

F1/1 – 5

F1/6 – 10

F1/11 – 15

VLAN 10

KINHDOANH

VLAN 20 TUVAN

VLAN 30

QUANLY

3. Bảng thống kê chi phí thiết bị

Tên thiết bị Mã thiết bị Số lượng Giá tiền $

Router cisco Cisco router 7200 4 4.400

Switch cisco L2 WS-C2960S-24TS-S 4 1.100

Switch cisco L3 WS-C3560 WS-24TS-E 2 4.000

Cable Golden Link Cat 6.SFTP 6 100

Tủ rack 27U series 600 ECP-27W600 3 300

Tổng tiền 31.500



4. Mô hình và các dịch vụ triển khai

4.1 Mô hình

Hình 90 Sơ đồ lab thực hiện đề tài

4.2 Các dịch vụ triển khai

- Tại site Hồ Chí Minh vùng LAN nội bộ các end user sẽ kết nối với con Core-SW thông

qua các SW layer2 tương ứng cho từng cụm từng phong ban. Các SW layer3 sẽ làm nhiệm

vụ DHCP cấp phát IP toàn bộ cho các phòng ban trên từng VLAN khác nhau tương ứng

cho các phòng ban.

- Đồng thời là VTP server cung cấp thông tin VLAN cho các SW layer2. SW layer2 sẽ

gán port cho các VLAN. SW layer3 sẽ ghép các cặp dây lại để chạy etherchannel nhằm

tăng cường băng thông cho nội bộ Lan, đảm bảo sự liên tục cho toàn hệ thống.

- Hai Router bên site Thành phố Hồ Chí Minh sẽ được cấu hình các tunnel triển khai

DMVPN kết hợp với IPsec. Ngoài ra cơ chế HSRP được triển khai trên hai con router nhằm

dự phòng cho toàn hệ thống, tránh sự ngừng trệ do hư hỏng….

- Môi trường Wan là MPLS



- Site Hà Nội và Đà Nẵng mỗi site sẽ có một con SW layer 2 được triển khai VLAN

đồng thời gán port cho từng phòng ban tại 2 site này. Router tại 2 site là các SPOKE trong

DMVPN.

CHƯƠNG 4. TRIỂN KHAI THỰC HIỆN

TRIỂN KHAI THỰC HIỆN

1. Cấu hình hostname, password, ip(enable – console – vty pass)

Router>enable

Router#configure terminal

Router(config)#hostname ISP

ISP(config)#banner motd "ROUTER ISP"

ISP(config)#line console 0

ISP (config-line)#password VietBankconsole

ISP (config-line)#login

ISP (config-line)#exit

ISP (config)#line vty 0 4

ISP (config-line)#password VietBankvty

ISP (config-line)#login

ISP (config-line)#exit

ISP (config)#enable secret VietBank

ISP (config)#service password-encryption

Gán ip cho từng interface trên ISP

Các thiết bị còn lại cấu hình tương tự

2. Cấu hình Trunking và Etherchannel

Cấu hình Trunking :

SW-CORE1 & SW-CORE2

SW-CORE1(config)#interface range f1/0 – 5

SW-CORE1(config-if-range)# switchport mode trunk

SW-CORE1(config-if-range)# switchport trunk encapsulation dot1q




SW-CORE2(config-if-range)# switchport mode trunk

SW-CORE2(config-if-range)# switchport trunk encapsulation dot1q

SW-ACCESS1 & SW-ACCESS2:

SW-ACCESS1(config)#interface range f1/2 – 5

SW-ACCESS1(config-if-range)#switchport mode trunk

SW-ACCESS1(config-if-range)#switchport trunk encapsulation dot1q


SW-ACCESS2(config-if-range)#switchport mode trunk

SW-ACCESS2(config-if-range)#switchport trunk encapsulation dot1q

SW-HN & SW-DN:

SW-HN(config)#interface f1/0

SW-HN(config-if-range)#switchport mode trunk

SW-HN(config-if-range)#switchport trunk encapsulation dot1q

SW-DN(config)#interface f1/0

SW-DN(config-if-range)#switchport mode trunk

SW-DN(config-if-range)#switchport trunk encapsulation dot1q

Cấu hình Etherchannel:


SW-CORE1(config-if-range)#channel-group 1 mode on







Hình 91 Etherchannel trên SW-CORE1


SW-ACCESS2(config-if-range)#channel-group 2 mode on


SW-ACCESS2(config-if-range)#channel-group 3 mode on

Hình 92 Etherchannel trên SW-ACCESS2

Cấu hình tương tự trên SW-CORE2 và SW-ACCESS1.

3. Cấu hình VTP

SW-CORE1 & SW-CORE2 làm VTP Server:

SW-CORE1(config)#vtp mode server

SW-CORE1(config)#vtp domain vietbank.com

SW-CORE1(config)#vtp password vietbank



SW-CORE1(config)#vtp pruning

Hình 93 VTP trên SW-CORE1

SW-CORE2(config)#vtp mode server

SW-CORE2(config)#vtp domain vietbank.com

SW-CORE2(config)#vtp password vietbank

SW-CORE2(config)#vtp pruning

SW-ACCESS1 & SW-ACCESS2 làm VTP Client

SW-ACCESS1(config)#vtp mode client

SW-ACCESS1(config)#vtp domain vietbank.com

SW-ACCESS1(config)#vtp password vietbank

Hình 94 VTP trên SW-ACCESS1

SW-ACCESS2(config)#vtp mode client

SW-ACCESS2(config)#vtp domain vietbank.com

SW-ACCESS2(config)#vtp password vietbank



4. Cấu hình VLAN và Gán Port cho từng VLAN

Chia VLAN trên SW-CORE1, SW-HN, SW-DN

SW-CORE1#vlan database

SW-CORE1(vlan)#vlan 10 name giamdoc

SW-CORE1(vlan)#vlan 20 name it

SW-CORE1(vlan)#vlan 30 name kinhdoanh

SW-CORE1(vlan)#vlan 40 name nhansu

SW-CORE1(vlan)#vlan 50 name ketoan

Hình 95 VLAN trên SW-CORE1

SW-HN#vlan database

SW-HN(vlan)#vlan 10 name quanly

SW-HN(vlan)#vlan 20 name tuvan

SW-DN#vlan database

SW-DN(vlan)#vlan 10 name kinhdoanh

SW-DN(vlan)#vlan 20 name tuvan

SW-DN(vlan)#vlan 30 name quanly



Gán port trên SW-ACCESS1, SW-ACCESS2, SW-HN và SW-DN


SW-ACCESS1(config)# switchport mode access

SW-ACCESS1(config)# switchport access vlan 10













Hình 96 Gán port cho VLAN trên SW-ACCESS1

Gán port cho SW-HN

SW-HN(config)#interface range f1/1 -5

SW-HN(config-if-range)#switchport mode access



SW-HN(config-if-range)#switchport access vlan 10

SW-HN(config)#interface range f1/6 -10

SW-HN(config-if-range)#switchport mode access

SW-HN(config-if-range)#switchport access vlan 20

Gán port cho SW-DN

SW-DN(config)#interface range f1/1 -5

SW-DN(config-if-range)#switchport mode access

SW-DN(config-if-range)#switchport access vlan 10







5. Cấu hình Spanning – Tree

Trên SW-CORE1 cấu hình cho VLAN 10, 30, 50 làm root primary:

SW-CORE1(config)#spanning-tree vlan 10 root primary



VLAN 20, 40 làm root secondary:

SW-CORE1(config)#spanning-tree vlan 20 root secondary


Trên SW-CORE2 cấu hình cho VLAN 20, 40 làm root primary:



VLAN 10, 30, 50 làm root secondary:






6. Cấu hình HSRP

Trên SW_CORE_1

SW-CORE1(config)#interface vlan 10

SW-CORE1(config-if)#ip address 192.168.1.49 255.255.255.240

SW-CORE1(config-if)#standby 10 ip 192.168.1.50

SW-CORE1(config-if)#standby 10 priority 150

SW-CORE1(config-if)#standby 10 preempt

SW-CORE1(config-if)#standby 10 track port-channel 2 55

SW-CORE1(config-if)#standby 10 authentication 10

Hình 97 HSRP VLAN 10 SW-CORE1





SW-CORE1(config-if)#standby 20 track port-channel 2





Trên SW-CORE2


















7. Cấu hình DHCP cho trụ sở Tp.HCM

SW-CORE1(config)#ip dhcp pool kinhdoanh

SW-CORE1(dhcp-config)#network 192.168.1.0 255.255.255.224

SW-CORE1(dhcp-config)#default-router 192.168.1.2

SW-CORE1(dhcp-config)#dns-server 8.8.8.8

SW-CORE1(config)#ip dhcp pool giamdoc




Hình 107 IP được cấp bởi DHCP Server



Hình 108 DHCP cấp cho VLAN 10 Giám Đốc

SW-CORE1(config)#ip dhcp pool it




SW-CORE1(config)#ip dhcp pool nhansu




SW-CORE1(config)#ip dhcp pool ketoan




Cấu hình tương tự cho SW-CORE2.



8. Cấu hình OSPF cho trụ sở Tp.HCM

NAT-HN(config)#router ospf 1

NAT-HN (config-router)#network 172.16.1.0 0.0.0.3 area 1


NAT-DN (config)#router ospf 1

NAT-DN (config-router)#network 172.16.3.0 0.0.0.3 area 1


SW-CORE1(config)#router ospf 1

SW-CORE1(config-router)#network 172.16.1.0 0.0.0.3 area 1







SW-CORE2(config)#router ospf 1








9. Cấu hình ACL chỉ cho phòng IT telnet

NAT-HN (config)#access-list 10 permit 192.168.1.80 0.0.0.15



NAT-HN (config)#access-list 10 deny any

NAT-HN (config)#line vty 0 4

NAT-HN (config-line)#access-class 10 in

Hình 109 Kế toán telnet thất bại



Hình 110 IT Telnet thành công

Thực hiện tương tự cho router NAT-DN.

10. Cấu hình NAT chỉ cho phép phòng IT và Giám đốc ra internet



NAT-HN (config)#access-list 1 deny any

NAT-HN (config)#ip nat inside source list 1 interface serial 1/0 overload

NAT-HN (config)#interface serial 1/0

NAT-HN (config-if)#ip nat outside

NAT-HN (config)#interface f0/0

NAT-HN (config-if)#ip nat inside

NAT-HN (config)#interface f0/1

NAT-HN (config-if)#ip nat inside

Tạo đường default route

NAT-HN (config)#ip route 0.0.0.0 0.0.0.0 serial 1/0

NAT-HN (config)#router ospf 1

NAT-HN (config-router)#default-information originate

Hình 111 Kiểm tra NAT tại NAT-HN

Làm tương tự trên Router NAT-DN.

11. Cấu hình Routing InterVLAN cho Router HN & DN

R-HN(config)#interface f0/0

R-HN(config-if)#no shutdown

R-HN(config)#interface f0/0.10

R-HN(config-subif)#encapsulation dot1Q 10

R-HN(config-subif)#ip address 192.168.2.1 255.255.255.240



R-HN(config)#interface f0/0.20

R-HN(config-subif)#encapsulation dot1Q 20

R-HN(config-subif)#ip address 192.168.2.17 255.255.255.240

R-DN(config)#interface f0/0

R-DN(config-if)#no shutdown

R-DN(config)#interface f0/0.10

R-DN(config-subif)#encapsulation dot1Q 10

R-DN(config-subif)#ip address 192.168.3.1 255.255.255.240







12. Cấu hình cấp DHCP cho chi nhánh HN – DN

R-HN(config)#ip dhcp pool quanly

R-HN(dhcp-config)#network 192.168.2.0 255.255.255.240

R-HN(dhcp-config)#default-router 192.168.2.1

R-HN(dhcp-config)#dns-server 8.8.8.8

R-HN(config)#ip dhcp pool tuvan

R-HN(dhcp-config)#network 192.168.2.16 255.255.255.240

R-HN(dhcp-config)#default-router 192.168.2.17

R-HN(dhcp-config)#dns-server 8.8.8.8



Hình 112 DHCP cấp cho R-HN.

R-DN(config)#ip dhcp pool kinhdoanh

R-DN(dhcp-config)#network 192.168.3.0 255.255.255.240

R-DN(dhcp-config)#default-router 192.168.3.1

R-DN(dhcp-config)#dns-server 8.8.8.8

R-DN(config)#ip dhcp pool tuvan




R-DN(config)#ip dhcp pool quanly






13. Cấu hình DMVPN Dual-Hub-Dual Layout

13.1 Trên NAT-HN tạo tunnel 100

NAT-HN (config)#interface tunnel 100

NAT-HN (config-if)#ip address 100.100.100.1 255.255.255.248

NAT-HN (config-if)#no ip redirects

NAT-HN (config-if)#ip nhrp network-id 100

NAT-HN (config-if)#ip ospf network non-broadcast

NAT-HN (config-if)#ip ospf cost 10

NAT-HN (config-if)#ip ospf priority 200

NAT-HN (config-if)#tunnel source serial 1/0

NAT-HN (config-if)#tunnel mode gre multipoint

NAT-HN (config-if)#tunnel key 100

Hình 113 Tunnel trên NAT-HN

13.2 Trên NAT-DN tạo tunnel 200

NAT-DN (config)#interface tunnel 200

NAT-DN (config-if)#ip address 200.200.200.1 255.255.255.248

NAT-DN (config-if)#no ip redirects

NAT-DN (config-if)#ip nhrp network-id 200

NAT-DN (config-if)#ip ospf network non-broadcast

NAT-DN (config-if)#ip ospf cost 100

NAT-DN (config-if)#ip ospf priority 200

NAT-DN (config-if)#tunnel source serial 1/1



NAT-DN (config-if)#tunnel mode gre multipoint

NAT-DN (config-if)#tunnel key 200

Hình 114 Tunnel trên NAT-DN

13.3 Trên R-HN tạo tunnel 100 và tunnel 200

R-HN(config)#interface tunnel 100

R-HN(config-if)#ip address 100.100.100.2 255.255.255.248

R-HN(config-if)#ip nhrp map 100.100.100.1 113.190.46.2

R-HN(config-if)#ip nhrp network-id 100

R-HN(config-if)#ip nhrp nhs 100.100.100.1

R-HN(config-if)#ip ospf network non-broadcast

R-HN(config-if)#ip ospf cost 10

R-HN(config-if)#ip ospf priority 0

R-HN(config-if)#tunnel source serial 1/3

R-HN(config-if)#tunnel destination 113.190.46.2

R-HN(config-if)#tunnel key 100



Hình 115 Tunnel trên R-HN

R-HN(config)#interface tunnel 200

R-HN(config-if)#ip address 200.200.200.2 255.255.255.248

R-HN(config-if)#ip nhrp map 200.200.200.1 113.190.47.2

R-HN(config-if)#ip nhrp network-id 200

R-HN(config-if)#ip nhrp nhs 200.200.200.1

R-HN(config-if)#ip ospf network non-broadcast

R-HN(config-if)#ip ospf cost 100

R-HN(config-if)#ip ospf priority 0

R-HN(config-if)#tunnel source serial 1/3

R-HN(config-if)#tunnel destination 113.190.47.2

R-HN(config-if)#tunnel key 200



13.4 Trên R-DN tạo tunnel 100 và tunnel 200

R-DN(config)#interface tunnel 100

R-DN(config-if)#ip address 100.100.100.3 255.255.255.248

R-DN(config-if)#ip nhrp map 100.100.100.1 113.190.46.2

R-DN(config-if)#ip nhrp network-id 100

R-DN(config-if)#ip nhrp nhs 100.100.100.1

R-DN(config-if)#ip ospf network non-broadcast

R-DN(config-if)#ip ospf cost 10

R-DN(config-if)#ip ospf priority 0

R-DN(config-if)#tunnel source serial 1/2

R-DN(config-if)#tunnel destination 113.190.46.2

R-DN(config-if)#tunnel key 100

Hình 116 Tunnel trên R-DN

R-DN(config)#interface tunnel 200

R-DN(config-if)#ip address 2000.2000.200.3 255.255.255.248

R-DN(config-if)#ip nhrp map 200.200.200.1 113.190.47.2

R-DN(config-if)#ip nhrp network-id 200

R-DN(config-if)#ip nhrp nhs 200.200.200.1



R-DN(config-if)#ip ospf network non-broadcast

R-DN(config-if)#ip ospf cost 100

R-DN(config-if)#ip ospf priority 0

R-DN(config-if)#tunnel source serial 1/2

R-DN(config-if)#tunnel destination 113.190.47.2

R-DN(config-if)#tunnel key 200

13.5 Định tuyến OSPF các đường tunnel với các đường mạng nội bộ

NAT-HN(config)#router ospf 1


NAT-HN (config-router)#neighbor 100.100.100.2





NAT-DN (config)#router ospf 1


NAT-DN (config-router)#neighbor 100.100.100.1





R-HN(config)#router ospf 1

R-HN (config-router)#network 100.100.100.0 0.0.0.7 area 1






R-HN (config)#ip route 0.0.0.0 0.0.0.0 serial 1/3

R-DN(config)#router ospf 1

R-DN (config-router)#network 100.100.100.0 0.0.0.7 area 1





R-DN (config)#ip route 0.0.0.0 0.0.0.0 serial 1/2

13.6 Cấu hình IPSec cho các đường tunnel

NAT-HN(config)#crypto isakmp policy 1

NAT-HN (config-isakmp)#authentication pre-share

NAT-HN (config)#crypto isakmp key 6 vietbank address 0.0.0.0 0.0.0.0

NAT-HN (config)#crypto ipsec transform-set myset esp-aes esp-sha-hmac

NAT-HN (config)#crypto ipsec profile dmvpn

NAT-HN (ipsec-profile)#set security-association lifetime seconds 120

NAT-HN (ipsec-profile)#set transform-set myset

NAT-HN (ipsec-profile)#set pfs group2

NAT-HN (config)#interface tunnel 100

NAT-HN (config-if)#tunnel protection ipsec profile dmvpn

Hình 117 Kiểm tra IPSec trên NAT-HN

Làm tương tự cho Router NAT-DN.



R-HN(config)#crypto isakmp policy 1

R-HN (config-isakmp)#authentication pre-share

R-HN (config)#crypto isakmp key 6 vietbank address 0.0.0.0 0.0.0.0

R-HN (config)#crypto ipsec transform-set myset esp-aes esp-sha-hmac

R-HN (config)#crypto ipsec profile dmvpn

R-HN (ipsec-profile)#set security-association lifetime seconds 120

R-HN (ipsec-profile)#set transform-set myset

R-HN (ipsec-profile)#set pfs group2

R-HN (config)#interface tunnel 100

R-HN (config-if)#tunnel protection ipsec profile dmvpn

R-HN (config)#interface tunnel 200

R-HN (config-if)#tunnel protection ipsec profile dmvpn



CHƯƠNG 5. KẾT LUẬN

1. Kết quả đã hoàn thành

Sau thời gian nghiên cứu và thực hiện đề tài “XÂY DỰNG HỆ THỐNG HẠ TẦNG

MẠNG DOANH NGHIỆP”, Người thực hiện đề tài đã đáp ứng đúng tiến độ và đạt các

yêu cầu của đề tài.

Về đề tài:

Thiết kế và cấu hình thành công hệ thống hạ tầng mạng theo yêu cầu của doanh

nghiệp.

Thực thi cấu hình được các chính sách mà doanh nghiệp yêu cầu, trên thiết bị

Cisco.

Sử dụng công nghệ Etherchannel nhằm đảm bảo tính HA & Redundancy cho hệ

thống mạng, đáp ứng lưu lượng băng thông cho toàn bộ hệ thống.

Sử dụng VLAN & VTP để quản lý và tối ưu hóa hệ thống mạng.

Giảm thiểu tối đa chi phí mua IP tĩnh bằng việc sử dụng DMVPN.

Về người thực hiện đề tài:

Nắm vững kiến thức mạng căn bản, mô hình OSI, mô hình TCP/IP.

Nắm vững kiến thức cấu hình các thiết bị mạng. và tính năng các thiết bị mạng.

Nắm vững kiến thức thiết kế mạng, kiến trúc mạng.

Sử dụng thành thạo các phần mềm mô phỏng cấu hình mạng.

Tshoot thành thạo khi mạng xảy ra sự cố.

2. Những mặt còn hạn chế

Do thực hiện đề tài trên phần mềm mô phỏng GNS3, GNS3 hỗ trợ nhiều trên các

thiết bi layer 3, hỗ trợ ít trên thiết bị Layer 2 nên cấu hình lớp Distribution trên

Switch nên khó khăn cho việc cấu hình.

GNS3 không hỗ trợ các thiết bị Wireless nên không thực hiện cấu hình được trên

các thiết bị Wireless.

Chưa xây dựng được hệ thống giám sát thiết bị mạng trong doanh nghiệp.



3. Hướng phát triển đề tài

Hướng phát triển của đề tài khi triển khai DMVPN cho môi trường doanh nghiệp tài chính

là ngân hàng hay công ty chứng khoán…

Thực tế với mô hình đã triển khai có thể đáp ứng được một phần nhu cầu thiết yếu

về bảo mật thông tin đến mức tối ưu nhất.

Đối với các doanh nghiệp tài chính như các ngân hàng hay công ty chứng khoán cần

độ bảo mật cao, có thể triển khai theo hướng khác là sử dụng công nghệ kết nối

leased line sẽ đảm bảo kết nối và bảo mật an toàn hơn.

DMVPN dù có nhiều cải thiện so với kết nói VPN thông thường, vẫn kết nối ra môi

trường public nên nhiều khi vấn đề bảo mật vẫn chưa đảm bảo, vẫn có khả năng bị

tấn công, ăn cắp dữ liệu thông tin khách hàng.

Với khả năng có hạn về kiến thức thực tế nên đồ án của tôi mong muốn sẽ được

các bạn tham khảo và nghiên cứu sâu hơn những vấn đề mà đồ án của tôi chưa

thực hiện được, để đề tài hoàn thiện hơn. Xin chân thành cảm ơn!



TÀI LIỆU THAM KHẢO

I. TÀI LIỆU TIẾNG ANH

1. Cisco CCNA Routing and Switching 200-120 Official Cert Guide Library by

Wendell Odom – Published by Cisco Press.

2. Cisco IOS DMVPN Overview (February 2008)

3. http://www.cisco.com

II. TÀI LIỆU TIẾNG VIỆT

1. Tài liệu CCNA tiếng việt (CCNA exam Preparation ) NXB: Nhà sách Minh Khai

2. CCNA Labpro - Vnpro, CCNP Labpro- Vnpro

3. http://www.thuvien-it.net

4. http://www.solarclipse.wordpress.com

5. http://www.vnpro.vn, support forum: http://www.vnpro.org

http://www.vpnlabs.org/

http://www.cisco.com/

http://www.thuvien-it.net/

http://solarclipse.wordpress.com/

khoa công nghỆ thông tin ĐỒ án tỐt nghiỆp tên ... · pdf...

Documents