khoa công nghỆ thông tin ĐỒ án tỐt nghiỆp tên ... · pdf...
TRANSCRIPT
137C Nguyễn Chí Thanh, P.9, Quận 5, Tp.HCM
Đề tài: “Xây dựng hạ tầng mạng doanh nghiệp” 1
KHOA CÔNG NGHỆ THÔNG TIN
ĐỒ ÁN TỐT NGHIỆP
Tên đề tài:
XÂY DỰNG HẠ TẦNG MẠNG DOANH NGHIỆP
Giảng viên hướng dẫn: ThS. Nguyễn Phi Thái
Sinh viên thực hiện
1. Lê Văn Thuận MSSV: 93510030067
Trình độ: Cao đẳng Chuyên ngành: Quản trị mạng máy tính
Lớp: 23CCHT02 Niên khoá: 2013 – 2015
Tp.HCM, năm 2015
137C Nguyễn Chí Thanh, P.9, Quận 5, Tp.HCM
Đề tài: “Xây dựng hạ tầng mạng doanh nghiệp” 2
LỜI MỞ ĐẦU
Mạng internet ngày càng mở rộng trên toàn Thế Giới, không chỉ vậy, việc tận dụng
nguồn tài nguyên “vô tận” này đem lại những hiệu quả vô cùng to lớn. Vấn đề trao đổi
thông tin liên lạc là cực kì quan trọng, đặc biệt với những tổ chức, công ty, doanh nghiệp
có trụ sở hoặc chi nhánh đặt khắp nơi trên các vùng địa lí khác nhau. Có rất nhiều giải pháp
được đặt ra, tuy nhiên, đâu là giải pháp vừa đáp ứng nhu cầu trao đổi thông tin vừa đáp
ứng nhu cầu bảo mật thông tin khi nó được truyền ngang qua mạng internet – một môi
trường không bảo mật. Những giải pháp này có thể là thuê những đường truyền leased line.
Như vậy vừa bảo mật vừa có băng thông nhiều. Tuy nhiên nó không khả thi khi phải kết
nối những nơi cách xa nhau. Giải pháp khác là sử dụng các công nghệ ATM hoặc Frame
Relay từ nhà cung cấp dịch vụ. Tuy nhiên, chi phí cho giải pháp này cũng khá cao.VPN là
giải pháp khả thi nhất vì vừa đảm bảo được những yếu tố bảo mật vừa bỏ ra chi phí vừa
phải. Hiện nay VPN đang được sử dụng rất rộng rãi. Công nghệ này ngày càng phát triển.
Mặc dù vậy, VPN thông thường có những nhược điểm của nó. Đó là các điểm kết nối phải
thuê những địa chỉ IP tĩnh, đồng thời trên router đóng vai trò trung tâm phải thực hiện việc
cấu hình khá nhiều và phức tạp. Thêm vào đó, khi các điểm muốn kết nối với nhau phải
thông qua router trung tâm này mà không thể kết nối trực tiếp được. Từ những hạn chế trên
nảy sinh công nghệ DMVPN. Công nghệ này là một bước phát triển của VPN nhằm cải
thiện những hạn chế trên. Với DMVPN, việc cấu hình trở nên đơn giản, các kết nối được
thực hiện một cách tự động và chi phí bỏ ra cũng ít hơn một VPN thông thường. Để hiểu
DMVPN là gì và tại sao lại sử dụng nó, để bắt đầu. Chúng ta cùng tìm hiểu đề tài này.
Với đề tài: “Xây Dựng Hệ Thống Hạ Tầng Mạng Cho Doanh Nghiệp”, Tôi hy vọng
rằng với nội dung tôi đã viết các bạn sẽ hiểu hơn về DMVPN và những ưu thế của nó từ
đó xây dựng được dự án hay trong tương lai.
Trân thành cảm ơn!
137C Nguyễn Chí Thanh, P.9, Quận 5, Tp.HCM
Đề tài: “Xây dựng hạ tầng mạng doanh nghiệp” 3
LỜI CẢM ƠN
Lời đầu tiên tôi xin chân thành cảm ơn đến tất cả các thầy cô giáo trong khoa Công
Nghệ Thông Tin – Trường Cao đẳng nghề CNTT Ispace, những người đã trực tiếp giảng
dạy, truyền đạt những kiến thức bổ ích trong suốt những năm học qua, đã cung cấp cho tôi
rất nhiều những kiến thức cơ bản, là những kiến thức vô cùng quý giá, là nền tảng phục
vụ cho công việc hiện tại cũng như công việc sau này.
Đặc biệt nhất, Tôi xin tỏ lòng biết ơn đến thầy Nguyễn Phi Thái, người đã trực tiếp
hướng dẫn tận tình và giúp đỡ tôi trong quá trình nghiên cứu thực hiện để hoàn thành đề
tài này.
Trân trọng cảm ơn!
TpHCM, Ngày 28 Tháng 03 năm 2015
Người thực hiện
Lê Văn Thuận
137C Nguyễn Chí Thanh, P.9, Quận 5, Tp.HCM
Đề tài: “Xây dựng hạ tầng mạng doanh nghiệp” 4
NHẬN XÉT CỦA DOANH NGHIỆP
................................................................................................................................................
................................................................................................................................................
................................................................................................................................................
................................................................................................................................................
................................................................................................................................................
................................................................................................................................................
................................................................................................................................................
................................................................................................................................................
NHẬN XÉT CỦA GIÁO VIÊN HƯỚNG DẪN
................................................................................................................................................
................................................................................................................................................
................................................................................................................................................
................................................................................................................................................
................................................................................................................................................
................................................................................................................................................
................................................................................................................................................
................................................................................................................................................
................................................................................................................................................
................................................................................................................................................
................................................................................................................................................
137C Nguyễn Chí Thanh, P.9, Quận 5, Tp.HCM
Đề tài: “Xây dựng hạ tầng mạng doanh nghiệp” 5
MỤC LỤC
DANH MỤC CÁC TỪ VIẾT TẮT ................................................................................... 11
DANH MỤC CÁC HÌNH VẼ ........................................................................................... 15
DANH MỤC BẢNG.......................................................................................................... 20
CHƯƠNG 1. TỔNG QUAN ĐỀ TÀI ............................................................................... 21
1.1 Giới thiệu đề tài ........................................................................................................... 21
1.2 Xu hướng công nghệ ................................................................................................... 21
1.3 Ứng dụng thực tiễn ...................................................................................................... 21
CHƯƠNG 2. TÌM HIỂU KIẾN THỨC ............................................................................. 23
I. TỔNG QUAN VỀ HỆ THỐNG MẠNG LAN .............................................................. 23
1. Khái niệm về LAN ......................................................................................................... 23
1.1 Một số thiết bị cấu thành mạng .................................................................................... 23
1.1.1 Thiết bị chuyển mạch (Switch) ................................................................................. 23
1.1.2 Bộ tìm đường (Router) .............................................................................................. 30
1.1.3 Cáp (Cable) ............................................................................................................... 31
1.1.4 Card mạng (Nic Card) ............................................................................................... 32
1.1.5 Cổng ra vào (Gateway) ............................................................................................. 32
1.1.6 Bộ điều giải (Modems) ............................................................................................. 33
1.2 Mô hình mạng 3 lớp của cisco ..................................................................................... 33
1.2.1 Lớp Core .................................................................................................................... 34
1.2.2 Lớp Distribution......................................................................................................... 35
1.2.3 Lớp Access ................................................................................................................. 35
2. Khái niệm Routing ......................................................................................................... 35
2.1 Khái quát về định tuyến ............................................................................................... 35
2.2 Nguyên tắc định tuyến ................................................................................................. 36
2.3 Phân loại định tuyến..................................................................................................... 38
2.3.1 Định tuyến tĩnh ......................................................................................................... 38
2.3.2 Định tuyến động ........................................................................................................ 38
137C Nguyễn Chí Thanh, P.9, Quận 5, Tp.HCM
Đề tài: “Xây dựng hạ tầng mạng doanh nghiệp” 6
2.3.3 Các thuật toán định tuyến động ................................................................................ 38
3. Khái niệm về VLAN ...................................................................................................... 44
3.1 Các Loại VLAN ........................................................................................................... 45
3.2 Cách thức hoạt động của VLAN .................................................................................. 46
3.3 Ưu điểm và ứng dụng của VLAN ................................................................................ 47
3.4 Vlan Trunking Protocol (VTP) .................................................................................... 48
3.4.1 Khái niệm về VTP và các mode trong VTP ............................................................. 50
3.4.2 Hoạt động của VTP ................................................................................................... 52
3.4.3 Quảng bá VTP........................................................................................................... 53
3.4.4 Sự lược bớt VTP ....................................................................................................... 55
3.4.5 Lợi ích của VTP ........................................................................................................ 56
4. Tổng quan về HIGH AVAILABILITY (H.A)............................................................... 56
4.1 Khái niệm High Availability ........................................................................................ 56
4.2 Các kỹ thuật H.A thông thường trong hạ tầng mạng ................................................... 58
4.3 Etherchannel ................................................................................................................ 59
4.3.1 Giới thiệu Etherchannel ............................................................................................ 59
4.3.2 Giao thức PAgP và LACP ........................................................................................ 60
4.4 Spanning Tree Protocol (STP) ..................................................................................... 62
4.4.1 Khái niệm .................................................................................................................. 62
4.4.2 Cơ chế hoạt động STP .............................................................................................. 64
4.4.3 Trạng thái của STP.................................................................................................... 65
4.4.4 Mô hình Spanning - Tree và BPDUs ........................................................................ 66
4.4.5 Bridge ID, Switch Priority, và Extended System ID ................................................ 68
4.5 Hot Standby Router Protocol (HSRP ) ........................................................................ 69
4.5.1 Các cơ chế hoạt động của HSRP .............................................................................. 70
4.5.2 Quy trình hoạt động HSRP ....................................................................................... 75
4.5.3 Đặc điểm của HSRP ................................................................................................. 78
4.5.4 Các trạng thái trong giao thức HSRP ........................................................................ 79
137C Nguyễn Chí Thanh, P.9, Quận 5, Tp.HCM
Đề tài: “Xây dựng hạ tầng mạng doanh nghiệp” 7
4.5.5 Vitural Router Redundancy Protocol và Gateway Load Balancing Protocol .......... 81
5. Giới thiệu Access Control List ...................................................................................... 83
5.1 Tại sao phải sử dụng ACL? ......................................................................................... 84
5.2 Ý nghĩa của IP và Wildcard trong ACL ...................................................................... 85
5.3 Các loại Access Control List ....................................................................................... 85
5.4 Các vị trí Access Control List ...................................................................................... 88
5.4.1 Inbound ACLs ........................................................................................................... 88
5.4.2 Outbound ACLs ........................................................................................................ 88
5.5 Hoạt động của ACLs .................................................................................................... 88
5.6 Một số điểm cần lưu ý ................................................................................................. 89
6. Dynamic Host Configuration Protocol (DHCP) ............................................................ 89
6.1 Mục đích và chức năng ................................................................................................ 89
6.2 Giới thiệu về NAT và PAT .......................................................................................... 90
6.2.1 Thuật ngữ trong kỹ thuật NAT ................................................................................. 91
6.3 Ưu điểm NAT .............................................................................................................. 92
6.4 PAT (Port- Address- Translation) ................................................................................ 93
II. KIẾN THỨC CƠ BẢN VỀ MẠNG WAN ................................................................... 93
1. Các công nghệ WAN phổ biến ...................................................................................... 93
1.1 Công nghệ Leased Line ............................................................................................... 93
1.2 Công nghệ Frame-Relay .............................................................................................. 94
1.3 Công nghệ DSL............................................................................................................ 96
1.4 Công nghệ MPLS ( Multi Protocol Label Switching ) ................................................ 98
1.4.1 Ưu điểm và ứng dụng của MPLS ............................................................................. 99
2. Công nghệ mạng riêng ảo VPN (Vitural Private Network) ......................................... 100
2.1 Định nghĩa VPN ......................................................................................................... 101
2.2 Lịch sử hình thành và phát triển ................................................................................ 102
2.3 Những lợi ích VPN mang lại ..................................................................................... 103
2.4 Những yêu cầu đối với VPN ...................................................................................... 105
137C Nguyễn Chí Thanh, P.9, Quận 5, Tp.HCM
Đề tài: “Xây dựng hạ tầng mạng doanh nghiệp” 8
2.5 Các mô hình kết nối VPN thông dụng ....................................................................... 106
2.5.1 VPN truy cập từ xa (Remote VPN) ........................................................................ 106
2.5.2 VPN cục bộ (Intranet VPN) .................................................................................... 106
2.5.3 VPN mở rộng (Extranet VPN) ................................................................................ 108
2.6 Giao thức đường hầm tại Layer 2 trong VPN ............................................................ 109
2.6.1 Giao thức PPTP (Point-to-Point Tunneling Protocol) ............................................ 109
2.6.2 Giao thức chuyển tiếp L2F (Layer 2 Forwarding) .................................................. 109
2.6.3 Giao thức L2TP (Layer 2 Tunneling Protocol) ...................................................... 109
2.7 Giao thức đường hầm tại Layer 3 trong VPN (IPSec) ............................................... 109
2.7.1 Tìm hiểu về IPSec ................................................................................................... 109
2.7.2 Liên kết bảo mật IPSec (SA-IPSec) ........................................................................ 110
2.7.3 IPSec Security Protocols ......................................................................................... 112
2.7.4 Các giao thức của IPSec ......................................................................................... 114
2.7.5 Các chế độ của IPSec .............................................................................................. 123
2.7.6 Giao thức Internet Key Exchange ........................................................................... 126
2.7.7 Quá trình hoạt động của IPSec ............................................................................... 131
2.8 Một vài giao thức an toàn bổ sung cho VPN ............................................................. 138
2.8.1 Xác thực với người dùng quay số truy cập từ xa .................................................... 139
2.8.2 Dịch vụ xác thực người dùng quay số từ xa(RADIUS) .......................................... 141
2.8.3 Hệ thống kiểm soát truy cập thiết bị đầu cuối (TACACS) ..................................... 142
2.8.4 Giao thức SOCKS ................................................................................................... 146
2.8.5 Giao thức SSL và TLS ............................................................................................ 148
3. Dynamic Multipoint VPN ( DMVPN ) ........................................................................ 153
3.1 Giới thiệu về DMVPN ............................................................................................... 153
3.2 Các thành phần của DMVPN ..................................................................................... 154
3.3 Kỹ thuật thiết kế ......................................................................................................... 155
3.4 Dual DMVPN Cloud Topology ................................................................................. 157
3.4.1 Hub-and-Spoke ....................................................................................................... 158
137C Nguyễn Chí Thanh, P.9, Quận 5, Tp.HCM
Đề tài: “Xây dựng hạ tầng mạng doanh nghiệp” 9
3.4.2 Spoke-and-Spoke .................................................................................................... 159
3.5 Kiến trúc hệ thống trung tâm (system headend) ........................................................ 159
3.5.1 Single Tier ............................................................................................................... 160
3.5.2 Dual Tier ................................................................................................................. 161
3.6 Single DMVPN Cloud Topology .............................................................................. 162
3.7 Các vấn đề khi triển khai DMVPN ............................................................................ 163
3.7.1 Cơ chế tunnel và địa chỉ IP ..................................................................................... 163
3.7.2 Giao thức GRE ........................................................................................................ 165
3.7.3 Giao thức NHRP ..................................................................................................... 166
3.7.4 Tunnel Protection Mode ......................................................................................... 167
3.7.5 Sử dụng giao thức định tuyến ................................................................................. 167
3.7.6 Cân nhắc sử dụng Crypto ........................................................................................ 168
3.7.7 IKE Call Admission Control ................................................................................... 168
3.8 So sánh giữa VPN và DMVPN .................................................................................. 170
3.8.1 Mô hình VPN thông thường ................................................................................... 170
3.8.2 Mô hình DMVPN ................................................................................................... 171
3.8.3 Ưu điểm của việc sử dụng DMVPN ....................................................................... 172
CHƯƠNG 3. PHÂN TÍCH VÀ THIẾT KẾ ĐỀ TÀI ...................................................... 173
1. Phân tích chi tiết ưu và nhược điểm của mô hình ........................................................ 173
1.1 Mô hình triển khai DMVPN, High Availability cho hệ thống ngân hàng Vietbank . 173
1.1.1 Mô hình ................................................................................................................. 173
1.1.2 Phân tích các dịch vụ và ưu nhược điểm của mô hình ........................................... 173
2. Phân tích yêu cầu và xác định mô hình cần thực hiện cho ngân hàng Vietbank ......... 174
2.1 Thiết kế mô hình ........................................................................................................ 175
4. Mô hình và các dịch vụ triển khai ................................................................................ 182
4.1 Mô hình ...................................................................................................................... 182
4.2 Các dịch vụ triển khai ................................................................................................ 182
CHƯƠNG 4. TRIỂN KHAI THỰC HIỆN ...................................................................... 183
137C Nguyễn Chí Thanh, P.9, Quận 5, Tp.HCM
Đề tài: “Xây dựng hạ tầng mạng doanh nghiệp” 10
TRIỂN KHAI THỰC HIỆN ............................................................................................ 183
1. Cấu hình hostname, password, ip(enable – console – vty pass) .................................. 183
2. Cấu hình Trunking và Etherchannel ............................................................................ 183
3. Cấu hình VTP .............................................................................................................. 185
4. Cấu hình VLAN và Gán Port cho từng VLAN ........................................................... 187
5. Cấu hình Spanning – Tree ........................................................................................... 189
6. Cấu hình HSRP ............................................................................................................ 190
7. Cấu hình DHCP cho trụ sở Tp.HCM ........................................................................... 196
8. Cấu hình OSPF cho trụ sở Tp.HCM ............................................................................ 198
9. Cấu hình ACL chỉ cho phòng IT telnet ........................................................................ 198
10. Cấu hình NAT chỉ cho phép phòng IT và Giám đốc ra internet ................................ 200
11. Cấu hình Routing InterVLAN cho Router HN & DN ............................................... 200
12. Cấu hình cấp DHCP cho chi nhánh HN – DN ........................................................... 201
13. Cấu hình DMVPN Dual-Hub-Dual Layout ............................................................... 203
13.1 Trên NAT-HN tạo tunnel 100 .................................................................................. 203
13.2 Trên NAT-DN tạo tunnel 200 .................................................................................. 203
13.3 Trên R-HN tạo tunnel 100 và tunnel 200 ................................................................ 204
13.4 Trên R-DN tạo tunnel 100 và tunnel 200 ................................................................ 206
13.5 Định tuyến OSPF các đường tunnel với các đường mạng nội bộ .......................... 207
13.6 Cấu hình IPSec cho các đường tunnel ..................................................................... 208
CHƯƠNG 5. KẾT LUẬN ............................................................................................... 210
1. Kết quả đã hoàn thành.................................................................................................. 210
2. Những mặt còn hạn chế ............................................................................................... 210
3. Hướng phát triển đề tài ................................................................................................ 211
TÀI LIỆU THAM KHẢO ............................................................................................... 212
I. TÀI LIỆU TIẾNG ANH ............................................................................................... 212
II. TÀI LIỆU TIẾNG VIỆT ............................................................................................. 212
137C Nguyễn Chí Thanh, P.9, Quận 5, Tp.HCM
Đề tài: “Xây dựng hạ tầng mạng doanh nghiệp” 11
DANH MỤC CÁC TỪ VIẾT TẮT
STT VIẾT
TẮT CỤM TỪ Ý NGHĨA
1 3DES Triple Data Encryption
Standard Thuật toán mật mã 3DES
2 ADSL Asymmetric Digital
Subscriber Line
Công nghệ truy nhập
đường dây thuê bao số bất
đối xứng
3 AES Advanced Encryption
Standard Chuẩn mật mã cao cấp
4 AH Authentication Header Giao thức tiêu đề xác thực
5 BGP Border Gateway Protocol Giao thức định tuyến cổng
miền
6 B-ISDN Broadband Integrated
Service Digital Network
Mạng số đa dịch vụ băng
rộng
7 CA Certificate Authority Nhà phân phối chứng thực
số
8 CHAP Challenge Handshake
Authentication Protocol.
Giao thức xác thực yêu
cầu bắt tay
9 CR Cell Relay Công nghệ chuyển tiếp tế
bào
10 DCE Data Communication
Equipment
Thiết bị truyền thông dữ
liệu
11 DES Data Encryption Standard Thuật toán mật mã DES
12 DHCP Dynamic Host
Configuration Protocol
Giao thức cấu hình host
động
13 DNS Domain Name System hệ thống tên miền
14 ESP Encapsulating Security
Payload.
Giao thức tải an ninh đóng
gói
15 FCS Frame Check Sequence Chuỗi kiểm tra khung
137C Nguyễn Chí Thanh, P.9, Quận 5, Tp.HCM
Đề tài: “Xây dựng hạ tầng mạng doanh nghiệp” 12
STT VIẾT
TẮT CỤM TỪ Ý NGHĨA
16 FR Frame Relay Chuyển tiếp khung dữ liệu
17 GVPNS Global VPN Service Dịch vụ VPN toàn cầu
18 ICMP Internet Control Message
Protocol
Giao thức bản tin điều
khiển Internet
19 IKE Internet Key Exchange Giao thức trao đổi khoá
Internet
20 IGP Interior Gateway Protocol Giao thức định tuyến
trong miền
21 IN Intelligent Network Mạng thông minh
22 IP Internet Protocol Giao thức Internet
23 IP-Sec Internet Protocol Security Giao thức an ninh Internet
24 ISAKMP
Internet Security Asociasion
and Key Management
Protocol
Giao thức quản lý khoá và
kết hợp an ninh Internet
25 ISDN Integrated Service Digital
Network Mạng số đa dịch vụ
26 ISO International Standard
Organization Tổ chức chuẩn quốc tế
27 ISP Internet Service Provider Nhà cung cấp dịch vụ
internet
28 L2F Layer 2 Forwarding Giao thức chuyển tiếp lớp
2
29 L2TP Layer 2 Tunneling Protocol Giao thức đường ngầm
lớp 2
30 LAC L2TP Access Concentrator Bộ tập trung truy cập
L2TP
31 LAN Local Area Network Mạng cục bộ
137C Nguyễn Chí Thanh, P.9, Quận 5, Tp.HCM
Đề tài: “Xây dựng hạ tầng mạng doanh nghiệp” 13
STT VIẾT
TẮT CỤM TỪ Ý NGHĨA
32 LCP Link Control Protocol Giao thức điều khiển liên
kết
33 LNS L2TP Network Server Máy chủ mạng L2TP
34 MAC Message Authentication
Code Mã xác thực bản tin
35 MD5 Message Digest 5 Thuật toán MD5
36 MG Media Gateway Cổng kết nối phương tiện
37 MGC Media Gateway Controller Thiết bị điều khiển truy
nhập
38 MPLS Multi Protocol Laber
Switching
Bộ định tuyến chuyển
mạch nhãn
39 MPPE Microsoft Point-to-Point
Encryption
Mã hoá điểm-điểm của
Microsoft
40 MTU Maximum Transfer Unit Đơn vị truyền tải lớn nhất
41 NAS Network Access Server Máy chủ truy nhập mạng
42 NCP Network Control Protocol Giao thức điều khiển
mạng
43 PAP Passwork Authentication
Protocol
Giao thức xác thực mật
khẩu.
44 PKI Public Key Infrastructure Cơ sở hạ tầng khoá công
khai
45 POP Point of Presence Điểm truy cập truyền
thống.
46 PPP Point to Point Protocol Giao thức điểm tới điểm
47 PPTP Point to Point Tunneling
Protocol
Giao thức đường ngầm
điểm tới điểm
48 PVC Permanrnent Virtual Circuit Mạng ảo cố định
137C Nguyễn Chí Thanh, P.9, Quận 5, Tp.HCM
Đề tài: “Xây dựng hạ tầng mạng doanh nghiệp” 14
STT VIẾT
TẮT CỤM TỪ Ý NGHĨA
49 QoS Quality of Service Chất lượng dịch vụ
50 RAS Remote Access Service Dịch vụ truy nhập từ xa
51 RADIUS Remote Authentication
Dial-In User Service
Xác thực người dùng quay
số từ xa
52 RRAS Routing and Remote Access
Server
Máy chủ truy cập định
hướng và truy vập từ xa.
53 SA Securty Association Kết hợp an ninh
54 SG Signling Gateway Cổng kết nối báo hiệu
55 RTP Real Time Protocol Giao thức thời gian thực
56 SVC Switched Virtual Circuit Mạch ảo chuyển mạch
57 TCP Transmission Control
Protocol
Giao thức điều khiển
đường truyền
58 TE Terminal Equipment Thiết bị đầu cuối
59 UDP User Datagram Protocol Giao thức UDP
60 VC Virtual Circuit Kênh ảo
61 VCI Virtual Circuit Identifier Nhận dạng kênh ảo
62 VNS Virtual Network Service Dịch vụ mạng ảo
63 VPI Virtual Path Identifier Nhận dạng đường ảo
64 VPN Virtual Private Network Mạng riêng ảo
65 VLAN Virtual Local Area Network Mạng LAN ảo
66 WAN Wide Area Network Mạng diện rộng
137C Nguyễn Chí Thanh, P.9, Quận 5, Tp.HCM
Đề tài: “Xây dựng hạ tầng mạng doanh nghiệp” 15
DANH MỤC CÁC HÌNH VẼ
Hình 1 Phạm vi hoạt động của bộ chuyển mạch .................................................... 24
Hình 2 Chuyển mạch Lớp 3 ................................................................................... 27
Hình 3 Một số dòng router của cisco ...................................................................... 30
Hình 4 Một số loại cáp thông dụng ........................................................................ 31
Hình 5 Card mạng ................................................................................................... 32
Hình 6 Gateway ...................................................................................................... 33
Hình 7 Modems ...................................................................................................... 33
Hình 8 Mạng 3 lớp .................................................................................................. 33
Hình 9 Mạng phân cấp ........................................................................................... 34
Hình 10 Định tuyến véc tơ khoảng cách ................................................................. 39
Hình 11 Mô hình Vlan ........................................................................................... 45
Hình 12 Cách thức hoạt động của Vlan ................................................................. 47
Hình 13 Mô hình VLAN TRUNKING PROTOCOL 1 ........................................ 48
Hình 14 Mô hình VLAN TRUNKING PROTOCOL 2 ......................................... 49
Hình 15 Các mode trong VTP ................................................................................ 52
Hình 16. Sự lượt bớt trong VTP ............................................................................ 55
Hình 17 Mô hình High Availability ....................................................................... 57
Hình 18 Mô hình Etherchannel .............................................................................. 59
Hình 19 Mô hình PAgP và LACP ......................................................................... 62
Hình 20 Cơ chế hoạt động STP ............................................................................. 65
Hình 21 Mô hình Default Gateway ........................................................................ 70
Hình 22 Mô hình Proxy ARP ................................................................................. 72
Hình 23 Mô hình Router Redundancy 1 ................................................................. 73
Hình 24 Mô hình Router Redundancy 2 ................................................................ 74
Hình 25 Quy trình hoạt động HSRP ....................................................................... 75
Hình 26 Cách thức hoạt động địa chỉ IP và địa chỉ Mac trong HSRP .................... 76
Hình 27 Cách thức hoạt động của các gói tin trong HSRP .................................... 78
137C Nguyễn Chí Thanh, P.9, Quận 5, Tp.HCM
Đề tài: “Xây dựng hạ tầng mạng doanh nghiệp” 16
Hình 28 Các trạng thái trong giao thức HSRP ...................................................... 79
Hình 29 Mô hình Vitural Router Redundancy Protocol ........................................ 81
Hình 30 Mô hình Gateway Load Balancing Protocol ........................................... 82
Hình 31 Bảng so sánh HSRP, VRRP, GLBP ......................................................... 83
Hình 32 Ưu điểm của Access Control List ............................................................ 84
Hình 33 Hoạt động của DHCP .............................................................................. 90
Hình 34 Mô hình Dynamic NAT ........................................................................... 91
Hình 35 Ưu điểm NAT .......................................................................................... 92
Hình 36 Mô hình Frame-Relay .............................................................................. 95
Hình 37 Tốc độ DSL .............................................................................................. 97
Hình 38 Mô hình MPLS Topology ........................................................................ 99
Hình 39 Mô hình VPN ......................................................................................... 102
Hình 40 Thiết lập VPN từ xa .............................................................................. 106
Hình 41 Thiết lập Intranet VPN ............................................................................ 107
Hình 42 Thiết lập mạng VPN Extranet ................................................................. 108
Hình 43 Ba trường của SA................................................................................... 111
Hình 44 Các giao thức trong IP-Sec ..................................................................... 114
Hình 45 Cấu trúc gói tin AH ................................................................................. 115
Hình 46 Các phần tin chứng thực trong AH ......................................................... 117
Hình 47 Quá trình tạo gói tin trong AH ............................................................... 117
Hình 48 Cấu trúc gói tin ESP .............................................................................. 119
Hình 49 Quá trình tạo gói tin trong ESP .............................................................. 121
Hình 50 So sánh giữa AH và ESP ....................................................................... 123
Hình 51 Chế độ Tunnel Mode và Transport Mode.............................................. 124
Hình 52 Datagram IPSec trong Tunnel Mode ..................................................... 124
Hình 53 Datagram IPSec trong Transport Mode ................................................. 125
Hình 54 Các giai đoạn của IKE Phases ................................................................ 127
Hình 55 Các quá trình của Main mode ................................................................ 128
137C Nguyễn Chí Thanh, P.9, Quận 5, Tp.HCM
Đề tài: “Xây dựng hạ tầng mạng doanh nghiệp” 17
Hình 56 Cả Main mode và Aggressive mode đều thuộc giai đoạn I. ................... 129
Hình 57 Các quá trình của Quick mode ................................................................ 130
Hình 58 Các quá trình của New group mode ...................................................... 130
Hình 59 IKE Phase 1 ........................................................................................... 132
Hình 60 Tập chính sách IKE ................................................................................ 133
Hình 61 Xác thực các đối tác ............................................................................... 134
Hình 62 Thoả thuận các thông số bảo mật IPSec ................................................. 135
Hình 63 Tập chuyển đổi IPSec ............................................................................ 136
Hình 64 Các kết hợp an ninh ................................................................................ 137
Hình 65 Kết thúc đường hầm................................................................................ 138
Hình 66 Dịch vụ xác thực người dùng quay số từ xa RADIUS. .......................... 142
Hình 67 Xác thực từ xa dựa trên TACACS. ......................................................... 142
Hình 68 Luồng thông tin trong RADIUS. ........................................................... 144
Hình 69 Sử dụng RADIUS với các đường hầm tầng 2. ....................................... 146
Hình 70 Cổng mạch vòng. ................................................................................... 147
Hình 71 SSL – so sánh chuẩn giữa chuẩn và phiên SSL. ..................................... 149
Hình 72 Mô hình triển khai DMVPN .................................................................. 153
Hình 73 Dual DMVPN Cloud Topology ............................................................. 156
Hình 74 Single DMVPN Cloud Topology .......................................................... 157
Hình 75 Hub-and-Spoke Deployment Model ....................................................... 158
Hình 76 Spoke-to-Spoke Deployment Model ..................................................... 159
Hình 77 Single Tier Headend Architecture ......................................................... 160
Hình 78 Dual Tier Headend Architecture ............................................................ 161
Hình 79 Single DMVPN Cloud Topology ........................................................... 162
Hình 80 Mô hình VPN với cơ chế Tunnel ............................................................ 164
Hình 81 Mô hình IP ............................................................................................. 164
Hình 82 Ví dụ về GRE .......................................................................................... 166
Hình 83 Mô hình VPN thông thường ................................................................... 170
137C Nguyễn Chí Thanh, P.9, Quận 5, Tp.HCM
Đề tài: “Xây dựng hạ tầng mạng doanh nghiệp” 18
Hình 84 Mô hình DMVPN .................................................................................. 171
Hình 85 Mô hình sử dụng DMVPN, HA .............................................................. 173
Hình 86 Sơ đồ tổng quan kết nối trụ sở và chi nhánh .......................................... 175
Hình 87 Sơ đồ tổng quan trụ sở TP.HCM ............................................................ 176
Hình 88 Sơ đồ tổng quan chi nhánh Hà Nội ......................................................... 177
Hình 89 Sơ đồ tổng quan chi nhánh Đà Nẵng ...................................................... 178
Hình 90 Sơ đồ lab thực hiện đề tài ....................................................................... 182
Hình 91 Etherchannel trên SW-CORE1 ............................................................... 185
Hình 92 Etherchannel trên SW-ACCESS2........................................................... 185
Hình 93 VTP trên SW-CORE1 ............................................................................. 186
Hình 94 VTP trên SW-ACCESS1 ........................................................................ 186
Hình 95 VLAN trên SW-CORE1 ......................................................................... 187
Hình 96 Gán port cho VLAN trên SW-ACCESS1 ............................................... 188
Hình 97 HSRP VLAN 10 SW-CORE1 ................................................................ 190
Hình 98 HSRP VLAN 20 SW-CORE1 ................................................................ 191
Hình 99 HSRP VLAN 30 SW-CORE1 ................................................................ 191
Hình 100 HSRP VLAN 40 SW-CORE1 .............................................................. 192
Hình 101 HSRP VLAN 50 SW-CORE1 .............................................................. 193
Hình 102 HSRP VLAN 10 SW-CORE2 .............................................................. 193
Hình 103 HSRP VLAN 20 SW-CORE2 .............................................................. 194
Hình 104 HSRP VLAN 30 SW-CORE2 .............................................................. 194
Hình 105 HSRP VLAN 40 SW-CORE2 .............................................................. 195
Hình 106 HSRP VLAN 50 SW-CORE2 .............................................................. 196
Hình 107 IP được cấp bởi DHCP Server .............................................................. 196
Hình 108 DHCP cấp cho VLAN 10 Giám Đốc .................................................... 197
Hình 109 Kế toán telnet thất bại ........................................................................... 199
Hình 110 IT Telnet thành công ............................................................................. 200
Hình 111 Kiểm tra NAT tại NAT-HN .................................................................. 200
137C Nguyễn Chí Thanh, P.9, Quận 5, Tp.HCM
Đề tài: “Xây dựng hạ tầng mạng doanh nghiệp” 19
Hình 112 DHCP cấp cho R-HN. ........................................................................... 202
Hình 113 Tunnel trên NAT-HN ........................................................................... 203
Hình 114 Tunnel trên NAT-DN ........................................................................... 204
Hình 115 Tunnel trên R-HN ................................................................................. 205
Hình 116 Tunnel trên R-DN ................................................................................. 206
Hình 117 Kiểm tra IPSec trên NAT-HN .............................................................. 208
137C Nguyễn Chí Thanh, P.9, Quận 5, Tp.HCM
Đề tài: “Xây dựng hạ tầng mạng doanh nghiệp” 20
DANH MỤC BẢNG
2.2 Bảng phân hoạch địa chỉ IP ......................................................................... 179
3. Bảng thống kê chi phí thiết bị ....................................................................... 181
137C Nguyễn Chí Thanh, P.9, Quận 5, Tp.HCM
Đề tài: “Xây dựng hạ tầng mạng doanh nghiệp” 21
CHƯƠNG 1. TỔNG QUAN ĐỀ TÀI
1.1 Giới thiệu đề tài
Ngân hàng Vietbank đã hình thành triển khai kết nối mạng WAN tới nhiều tỉnh và
thành phố lớn trong cả nước (Tp.HCM, Hà nội, Đà nẵng), Vietbank đang từng bước xây
dựng hệ thống mạng trục chính kết nối 3 trung tâm – 3 thành phố lớn Tp.HCM, Hà nội, Đà
nẵng nối xuống các chi nhánh cấp dưới theo mô hình phân cấp, do yêu câu phát triển của
dịch vụ ngân hàng mới mạng WAN này cần phải kết nối và trao đổi thông tin với mạng
Internet toàn cầu và với mạng của các đơn vị khác ở Việt Nam. Do vậy Vietbank đã quyết
định xây dựng 2 cổng kết nối ra Internet và các tổ chức bên ngoài. Trong đó trụ sở chính
lắp đặt tại TP.HCM là trọng điểm phát triển công nghệ nền tảng cho toàn bộ công đoạn
phát triển mạng WAN trong tương lai của Vietbank.
1.2 Xu hướng công nghệ
Cùng với sự phát triển của xã hội và nhu cầu của người sử dụng cho công việc ngày
càng cao do đó càng thúc đẩy quá trình phát triển của nghành công nghệ thông tin. Trong
một công ty, tổ chức thì nhu cầu trao đổi thông tin tài liệu giữa các nhân viên với nhau là
rất quan trọng, vì vậy việc thiết kế mạng cho công ty là điều không thể thiếu. Và các công
nghệ mạng đã được ra đời nhằm hỗ trợ cho các doanh nghiệp, cơ quan tiết kiệm được chi
phí cho hệ thống mà vẫn đảm bảo được sự vận hành của hệ thống, nâng cao hiệu suất làm
việc, tăng tính bảo mật.
1.3 Ứng dụng thực tiễn
VLAN (Virual Local Area Network) hay còn gọi là mạng Lan ảo là một lựa chọn tối
ưu của các cơ quan doanh nghiệp ứng dụng hệ thống CNTT, với chi phí hợp lý tận dụng
được cơ sở hạ tầng có sẵn, giảm chi phí vận hành và bảo dưỡng, tính linh động cao giúp
cho các cơ quan, doanh nghiệp tận dụng tối đa tài nguyên hệ thống dựa trên nền của hệ
137C Nguyễn Chí Thanh, P.9, Quận 5, Tp.HCM
Đề tài: “Xây dựng hạ tầng mạng doanh nghiệp” 22
thống mạng cục bộ, giúp cho việc sử dụng hệ thống, thông tin truyền tải dữ liệu diễn ra
một cách an toàn và hiệu quả.
DMVPN (Dynamic Multipoint Virtual Network) là sự kết hợp của các công nghệ:
IPSec, MGRE và NHRP các công nghệ này kết hợp lại cho phép được triển khai IPSec
trong mạng riêng ảo, có thể xây dựng trên cơ sở hạ tầng sẵn có của mạng Internet giúp
kết nối các nhánh hệ thống mạng lại với nhau trên vùng địa lý rộng lớn nhưng lại có được
các tính chất của một mạng cục bộ như khi sử dụng các đường Leased-line. Với chi phí
hợp lý, DMVPN có thể giúp doanh nghiệp tiếp xúc toàn cầu một cách nhanh chóng và hiệu
quả.
137C Nguyễn Chí Thanh, P.9, Quận 5, Tp.HCM
Đề tài: “Xây dựng hạ tầng mạng doanh nghiệp” 23
CHƯƠNG 2. TÌM HIỂU KIẾN THỨC
I. TỔNG QUAN VỀ HỆ THỐNG MẠNG LAN
1. Khái niệm về LAN
LAN (viết tắt từ tên tiếng Anh Local Area Network, "mạng máy tính cục bộ") là một
hệ thống mạng dùng để kết nối các máy tính trong một phạm vi nhỏ như nhà ở, phòng làm
việc, trường học. Các máy tính trong mạng LAN có thể chia sẻ tài nguyên với nhau, mà
điển hình là chia sẻ tập tin, máy in, máy quét và một số thiết bị khác.
Một mạng LAN tối thiểu cần có máy chủ (server), các thiết bị ghép nối (Repeater, Hub,
Switch, Bridge), máy tính con (client), card mạng (Network Interface Card – NIC) và dây
cáp (cable) để kết nối các máy tính lại với nhau. Trong thời đại của hệ điều hành MS-DOS,
máy chủ mạng LAN thường sử dụng phần mềm Novell NetWare, tuy nhiên điều này đã
trở nên lỗi thời hơn sau khi Windows NT và Windows for Workgroups xuất hiện. Ngày
nay hầu hết máy chủ sử dụng hệ điều hành Windows, và tốc độ mạng LAN có thể lên đến
10 Mbps, 100 Mbps hay thậm chí là 1 Gbps.
1.1 Một số thiết bị cấu thành mạng
1.1.1 Thiết bị chuyển mạch (Switch)
Có hai loại là Switch lớp 2 làm việc trên tầng Data Link và Switch lớp 3 làm việc
trên tầng Network của mô hình OSI.
Chuyển mạch là một quá trình thực hiện đấu nối và chuyển thông tin cho người sử
dụng thông qua hạ tầng mạng viễn thông. Nói cách khác, chuyển mạch trong viễn thông
bao gồm chức năng định tuyến cho thông tin và chức năng chuyển tiếp thông tin. Như vậy,
theo khía cạnh thông tin thường khái niệm chuyển mạch gắn liền với mạng và lớp liên kết
dữ liệu trong mô hình OSI của tổ chức tiêu chuẩn quốc tế ISO.
Bộ chuyển mạch là sự tiến hóa của cầu nối, nhưng có nhiều cổng và dùng các mạch tích
hợp nhanh để giảm độ trễ của việc chuyển khung dữ liệu.
137C Nguyễn Chí Thanh, P.9, Quận 5, Tp.HCM
Đề tài: “Xây dựng hạ tầng mạng doanh nghiệp” 24
Hình 1 Phạm vi hoạt động của bộ chuyển mạch
Nhiệm vụ của switch là chuyển tiếp các khung từ nhánh mạng này sang nhánh mạng
khác một cách có chọn lọc dựa vào địa chỉ MAC của máy tính. Để làm được điều này,
switch cần phải duy trì trong bộ nhớ của mình một bảng địa chỉ cục bộ chứa vị trí của tất
cả các máy tính trong mạng. Mỗi máy tính sẽ chiếm một mục từ trong bảng địa chỉ. Mỗi
switch được thiết kế với một dung lượng bộ nhớ giới hạn. Và như thế, nó xác định khả
năng phục vụ tối đa của một switch. Chúng ta không thể dùng switch để nối quá nhiều
mạng với nhau.
Switch là một thiết bị chọn lựa đường dẫn để gửi frame đến đích, switch hoạt động ở
Lớp 2 của mô hình OSI.
Switch quyết định chuyển frame dựa trên địa chỉ MAC, do đó switch được xếp vào thiết
bị hoạt động ở Lớp 2. Chính nhờ switch lựa chọn đường dẫn để quyết định chuyển frame
lên mạng LAN có thể hoạt động hiệu quả hơn. Switch nhận biết máy nào kết nối vào cổng
của nó bằng cách đọc địa chỉ MAC nguồn trong frame mà nó nhận được. Khi hai máy thực
hiện liên lạc với nhau, switch chỉ thiết lập một mạch ảo giữa hai cổng tương ứng mà không
làm ảnh hưởng đến lưu thông trên các cổng khác. Do đó, mạng LAN có hiệu suất hoạt
động cao thường sử dụng chuyển mạch toàn bộ.
137C Nguyễn Chí Thanh, P.9, Quận 5, Tp.HCM
Đề tài: “Xây dựng hạ tầng mạng doanh nghiệp” 25
Switch tập trung các kết nối và quyết định chọn đường dẫn để truyền dữ liệu hiệu quả.
Frame được chuyển mạch từ cổng nhận vào đến cổng phát ra. Mỗi cổng là một kết nối
cung cấp chọn băng thông cho máy.
Để chuyển frame hiệu quả giữa các cổng, switch lưu giữ một bảng địa chỉ. Khi switch
nhận vào một frame, nó sẽ ghi địa chỉ MAC của máy gửi tương ứng với cổng mà nó nhận
frame đó vào.
Các đặc điểm chính của switch:
- Tách biệt giao thông trên từng đoạn mạng.
- Tăng nhiều hơn lượng băng thông dành cho mỗi người dùng bằng cách tạo ra miền
đụng độ nhỏ hơn.
Đặc điểm đầu tiên: Tách biệt giao thông trên từng đoạn mạng, switch chia hệ thống mạng
ra thành các đơn vị cực nhỏ gọi là microsegment. Các segment như vậy cho phép các
người dùng trên nhiều segment khác nhau có thể gửi dữ liệu cùng một lúc mà không làm
chậm các hoạt động của mạng.
Bằng cách chia nhỏ hệ thống mạng, sẽ làm giảm lượng người dùng và thiết bị cùng chia sẻ
một băng thông. Mỗi segment là một miền đụng độ riêng biệt, switch giới hạn lưu lượng
băng thông chỉ chuyển gói tin đến đúng cổng cần thiết dựa trên địa chỉ MAC Lớp 2.
Đặc điểm thứ hai: Switch là bảo đảm cung cấp băng thông nhiều hơn cho người dùng bằng
cách tạo ra các miền đụng độ nhỏ hơn. Switch chia nhỏ mạng LAN thành nhiều đoạn mạng
(segment) nhỏ. Mỗi segment này là một kết nối riêng giống như một làn đường riêng 100
Mb/s. Mỗi server có thể đặt trên một kết nối 100 Mb/s riêng. Trong các hệ thống mạng
hiện nay Fast Ethernet switch được sử dụng làm đường trục chính cho mạng LAN, còn
Ethernet switch hoặc Fast Ethernet hub được sử dụng kết nối xuống máy tính.
Thời gian trễ của Ethernet switch
137C Nguyễn Chí Thanh, P.9, Quận 5, Tp.HCM
Đề tài: “Xây dựng hạ tầng mạng doanh nghiệp” 26
Thời gian trể là thời gian từ lúc switch nhận frame vào cho đến khi switch đã chuyển
hết frame ra cổng đích. Thời gian trể này phụ thuộc vào cấu hình chuyển mạch và lượng
giao thông qua switch.
Thời gian trễ được đo bằng đơn vị nhỏ hơn giây. Đối với thiết bị mạng hoạt động với
tốc độ cao thì mỗi nano giây (ns) trễ hơn là một ảnh hưởng lớn đến hoạt động mạng.
Chuyển mạch Lớp 2 và Lớp 3
Chuyển mạch là tiến trình nhận frame vào từ một cổng và chuyển frame ra tới một cổng
khác. Router sử dụng chuyển mạch Lớp 3 để chuyển các gói đã được định tuyến xong.
Switch sử dụng chuyển mạch Lớp 2 để chuyển frame.
Sự khác nhau giữa chuyển mạch Lớp 2 và Lớp 3 là loại thông tin nằm trong frame được
sử dụng để quyết định chọn cổng ra là khác nhau. Chuyển mạch Lớp 2 dựa trên thông tin
là địa chỉ MAC. Còn chuyển mạch Lớp 3 là dựa trên địa chỉ lớp mạng (ví dụ như: địa chỉ
IP).
Chuyển mạch Lớp 2 nhìn vào địa chỉ MAC đích trong phần header của frame và chuyển
frame ra đúng cổng dựa theo thông tin địa chỉ MAC trên bảng chuyển mạch. Bảng chuyển
mạch được lưu trong bộ nhớ địa chỉ CAM ( Content Addressable Memory). Nếu switch
lớp 2 không biết gửi frame vào port nào, cụ thể thì đơn giản là nó quảng bá frame ra tất cả
các port của nó. Khi nhận được gói trả lời về, switch sẽ nhận địa chỉ mới vào CAM.
Chuyển mạch Lớp 3 là một chức năng của Lớp mạng. Chuyển mạch Lớp 3 kiểm tra
thông tin nằm trong phần header của Lớp 3 và dựa vào địa chỉ IP đó để chuyển gói.
Dòng giao thông trong mạng chuyển mạch ngang hàng hoàn toàn khác với dòng giao
thông trong mạng định tuyến hay mạng phân cấp. Trong mạng phân cấp dòng giao thông
trong mạng được uyển chuyển hơn trong mạng ngang hàng.
7 Application
6 Presention
4 Transport
5 Session
137C Nguyễn Chí Thanh, P.9, Quận 5, Tp.HCM
Đề tài: “Xây dựng hạ tầng mạng doanh nghiệp” 27
Hình 2 Chuyển mạch Lớp 3
Khái niệm về collisont domain :
Miền xung đột được định nghĩa là vùng mạng mà trong đó các khung phát ra có thể gây
xung đột với nhau. Càng nhiều trạm trong cùng một miền xung đột thì sẽ làm tăng sự xung
đột và làm giảm tốc độ truyền, vì thế mà miền xung đột còn có thể gọi là miền băng thông
(các trạm trong cùng miền này sẽ chia sẻ băng thông của miền) một trong những nguyên
nhân chính làm cho hoạt động của mạng không hiệu quả.
Mỗi khi một đụng độ xảy ra trên một mạng, tất cả các hoạt động truyền dừng lại trong
một khoảng thời gian. Khoảng thời gian ngưng tất cả hoạt động truyền này thay đổi và
được xác định bởi một thuật toán vãn hồi (backoff) trong mỗi thiết bị mạng.
Bộ nhớ đệm
Ethernet switch sử dụng bộ đệm để giữ và chuyển frame. Bộ đệm còn được sử dụng khi
cổng đích đang bận. Có hai loại bộ đệm có thể sử dụng để chuyển frame là bộ đệm theo
cổng và bộ đệm chia sẻ.
137C Nguyễn Chí Thanh, P.9, Quận 5, Tp.HCM
Đề tài: “Xây dựng hạ tầng mạng doanh nghiệp” 28
Trong bộ đệm theo cổng, frame được lưu thành từng đợt tương ứng với từng cổng nhận
vào. Sau đó frame sẽ được chuyển sang hàng đợi của cổng đích khi tất cả các frame trước
nó trong hàng đợi đã được chuyển hết. Như vậy một frame có thể làm cho tất cả các frame
còn lại trong trong hàng đợi phải hoãn lại vì cổng đích của frame này đang bận. Ngay khi
cổng đích còn đang trống thì cũng phải chờ một khoảng thời gian để chuyển hết frame đó.
Bộ được chia sẻ để tất cả các frame vào chung một bộ nhớ. Tất cả các cổng của switch
chia sẻ cùng một bộ đệm dung lượng bộ đệm phân bổ theo nhu cầu của mỗi cổng tại mỗi
thời điểm. Frame được tự động đưa ra cổng phát. Nhờ cơ chế chia sẻ này, một frame nhận
được từ cổng này không cần phải chuyển hàng đợi để phát ra cổng khác.
Swicth giữ một sơ đồ cho biết frame nào tương ứng với cổng nào và sơ đồ này sẽ xóa đi
sau khi đã truyền frame thành công. Bộ đệm được sử dụng theo dạng chia sẻ. Do đó lượng
frame trong bộ đệm bị giới hạn bởi tổng dung lượng của bộ đệm chứ không phụ thuộc vào
vùng đệm của từng cổng như dạng bộ đệm theo cổng. Do đó frame lớn có thể chuyển đi
được và ít bị rớt gói hơn. Điều này rất quan trọng đố với chuyển mạch bất đồng bộ vì frame
được chuyển giữa hai cổng có hai tốc độ khác nhau.
- Bộ đệm theo cổng lưu các frame theo hàng đợi tương ứng với từng cổng nhận vào.
- Bộ đệm chia sẻ lưu tất cả các frame vào chung một bộ nhớ. Tất cả các cổng trên
switch chia sẻ cùng một vùng nhớ này.
Phương pháp chuyển mạch
Có hai phương pháp chuyển mạch:
- Store – and – forward: Nhận vào toàn bộ frame xong rồi mới bắt đầu chuyển đi.
Switch đọc địa chỉ nguồn, đích và lọc frame nếu cần trước khi quyết định chuyển
frame ra. Vì switch phải nhận xong toàn bộ frame rồi mới bắt đầu tiến trình chuyển
mạch frame nên thời gian trễ càng lớn đối với frame càng lớn. Tuy nhiên nhờ vậy
switch mới kiểm tra lỗi cho toàn bộ frame giúp khả năng phát hiện lỗi cao hơn.
137C Nguyễn Chí Thanh, P.9, Quận 5, Tp.HCM
Đề tài: “Xây dựng hạ tầng mạng doanh nghiệp” 29
- Cut – through: Frame được chuyển đi trước khi nhận xong toàn bộ frame. Chỉ cần
địa chỉ đích có thể đọc được rồi là có thể chuyển frame ra. Phương pháp này làm
giảm thời gian trễ nhưng đồng thời làm giảm khả năng phát hiện lỗi frame.
Sau đây là hai chế độ chuyển mạch cụ thể theo phương pháp cut – through:
o Fast – forward: Chuyển mạch nhanh có thời gian gian trễ thấp nhất. Chuyển
mạch nhanh sẽ chuyển frame ra ngay sau khi đọc được địa chỉ đích của frame
mà không cần phải chờ nhận hết frame. Do đó cơ chế này không kiểm tra
được frame nhận vào có bị lỗi hay không dù điều này không xảy ra thường
xuyên và máy đích sẽ hủy gói tin nếu gói tin đó bị lỗi. Trong cơ chế chuyển
mạch nhanh, thời gian trễ được tính từ lúc switch nhận vào bit đầu tiên cho
đến khi switch phát ra bit đầu tiên.
o Fragment – free: cơ chế chuyển mạch này sẽ lọc bỏ các mảnh gãy do dụng
độ gây ra trước khi bắt đầu chuyển gói. Hầu hết các frame bị lỗi trong mạng
là những gãy của frame do bị đụng độ. Trong mạng hoạt động bình thường,
một mảnh frame gãy do đụng độ gây ra phải nhỏ hơn 64 byte. Bất kỳ trong
frame nào lớn hơn 64 byte đều xem là hợp lệ và thường không có lỗi. Do cơ
chế chuyển mạch không mảnh gãy sẽ chờ nhận đủ 64byte đầu tiên của frame
để bảo đảm frame nhận được không phải là một mảnh gãy do bị đụng độ rồi
mới bắt đầu chuyển frame đi. Trong chế độ chuyển mạch này, thời gian trễ
cũng được tính từ switch nhận được bit đầu tiên cho đến khi switch phát
switch phát đi bit đầu tiên đó.
Thời gian trễ của mỗi chế độ chuyển mạch phụ thuộc vào cách mà switch chuyển frame
như thế nào. Để chuyển frame được nhanh hơn, switch đã bớt thời gian kiểm tra lỗi frame
đi nhưng làm như vậy lại làm tăng dữ liệu cần truyền lại.
137C Nguyễn Chí Thanh, P.9, Quận 5, Tp.HCM
Đề tài: “Xây dựng hạ tầng mạng doanh nghiệp” 30
1.1.2 Bộ tìm đường (Router)
Hình 3 Một số dòng router của cisco
Cấu tạo của một router tương tự như một máy tính bao gồm các thành phần chính: CPU,
ROM, RAM, NVRAM, Flash memory, interface.
Router là một thiết bị hoạt động trên tầng 3, nó có thể tìm được đường đi tốt nhất cho
các gói tin qua nhiều kết nối để đi từ trạm gửi thuộc mạng đầu đến trạm nhận thuộc mạng
cuối. Router có thể được sử dụng trong việc nối nhiều mạng với nhau và cho phép các gói
tin có thể đi theo nhiều đường khác nhau để tới đích.
Khi xử lý một gói tin Router phải tìm được đường đi của gói tin qua mạng. Để làm được
điều đó Router phải tìm được đường đi tốt nhất trong mạng dựa trên các thông tin nó có về
mạng, thông thường trên mỗi Router có một bảng chỉ đường (Router table). Dựa trên dữ
liệu về Router gần đó và các mạng trong liên mạng, Router tính được bảng chỉ đường
(Router table) tối ưu dựa trên một thuật toán xác định trước.
137C Nguyễn Chí Thanh, P.9, Quận 5, Tp.HCM
Đề tài: “Xây dựng hạ tầng mạng doanh nghiệp” 31
1.1.3 Cáp (Cable)
Cáp dùng làm phương tiện truyền dẫn kết nối giữa các thành phần của mạng với nhau.
Trong mô hình OSI cáp được coi là thiết bị tầng 1.
Cáp đồng trục
mảnh 10Base2
Cáp đồng trục
dày 10Base5
Cáp xoắn đôi
10BaseT
Cáp quang
Chi phí Đắt hơn cáp
xoắn đôi
Đắt hơn cáp
mảnh
Rẻ nhất Đắt nhất
Độ dài đường
chạy tối đa
185m 500m 100m Dài đến vài
Km
Chống nhiễu Tốt Tốt Không tốt Rất tốt
Tốc độ truyền 10Mbps 10Mbps 10Mbps Có thể đến
2Gbps
Hình 4 Một số loại cáp thông dụng
137C Nguyễn Chí Thanh, P.9, Quận 5, Tp.HCM
Đề tài: “Xây dựng hạ tầng mạng doanh nghiệp” 32
1.1.4 Card mạng (Nic Card)
Card mạng (hay còn gọi là NIC card hay Adapter card) là thiết bị nối kết giữa máy tính
và cáp mạng. Chúng thường giao tiếp với máy tính qua các khe cắm. Các chức năng chính
của card mạng:
- Chuẩn bị dữ liệu đưa lên mạng: trước khi đưa lên mạng, dữ liệu phải được chuyển
từ dạng byte, bit sang tín hiệu điện để có thể truyền trên cáp.
- Gửi dữ liệu đến máy tính khác.
- Kiểm soát luồng dữ liệu giữa máy tính và hệ thống cáp.
Hình 5 Card mạng
1.1.5 Cổng ra vào (Gateway)
Gateway dùng để kết nối các mạng không thuần nhất chẳng hạn như các mạng cục
bộ và các mạng máy tính lớn (Mainframe), do các mạng hoàn toàn không thuần nhất nên
việc chuyển đổi thực hiện trên cả 7 tầng của hệ thống mở OSI. Thường được sử dụng nối
các mạng LAN vào máy tính lớn. Gateway có các giao thức xác định trước thường là nhiều
giao thức, một Gateway đa giao thức thường được chế tạo như các Card có chứa các bộ xử
lý riêng và cài đặt trên các máy tính hoặc thiết bị chuyên biệt.
Hoạt động của Gateway thông thường phức tạp hơn là Router nên thông suất của nó
thường chậm hơn và thường không dùng nối mạng LAN - LAN.
137C Nguyễn Chí Thanh, P.9, Quận 5, Tp.HCM
Đề tài: “Xây dựng hạ tầng mạng doanh nghiệp” 33
Hình 6 Gateway
1.1.6 Bộ điều giải (Modems)
Modem là bộ điều chế và giải điều chế để biến đổi các tín hiệu số thành tín hiệu tương
tự và ngược lại trên mạng.
Tín hiệu số từ máy tính đến Modem, được Modem biến đổi thành tín hiệu tương tự để
có thể đi qua mạng. Tín hiệu này đến Modem ở điểm B được biến đổi ngược lại thành tín
hiệu số đưa vào máy tính ở B
Hình 7 Modems
1.2 Mô hình mạng 3 lớp của cisco
Hình 8 Mạng 3 lớp
137C Nguyễn Chí Thanh, P.9, Quận 5, Tp.HCM
Đề tài: “Xây dựng hạ tầng mạng doanh nghiệp” 34
Cisco đưa ra mô hình thiết kế mạng cho phép người thiết kế tạo một mạng luận lý bằng
cách định nghĩa và sử dụng các lớp của thiết bị mang lại tính hiệu quả, tính thông minh,
tính mở rộng và quản lý dễ dàng.
Mô hình mạng phân cấp (Hierarchical Network Model)
Hình 9 Mạng phân cấp
Mô hình này gồm có ba lớp: Access, Distribution, và Core. Mỗi lớp có các thuộc tính
riêng để cung cấp cả chức năng vật lý lẫn luận lý ở mỗi điểm thích hợp trong mạng Campus.
Việc hiểu rõ mỗi lớp và chức năng cũng như hạn chế của nó là điều quan trọng để ứng
dụng các lớp đúng cách quá trính thiết kế.
1.2.1 Lớp Core
Lớp Core của mạng Campus cung cấp các kết nối của tất cả các thiết bị lớp Distribution.
Lớp Core thường xuất hiện ở backbone của mạng, và phải có khả năng chuyển mạch lưu
lượng một cách hiệu quả. Các thiết bị lớp Core thường được gọi là các backbone switch,
và có những thuộc tính sau:
• Thông lượng ở lớp 2 hoặc lớp 3 rất cao.
• Chi phí cao
• Có khả năng dự phòng và tính co dãn cao.
137C Nguyễn Chí Thanh, P.9, Quận 5, Tp.HCM
Đề tài: “Xây dựng hạ tầng mạng doanh nghiệp” 35
• Chức năng QoS.
1.2.2 Lớp Distribution
Lớp Distribution cung cấp kết nối bên trong giữa lớp Access và lớp Core của mạng
Campus.
Thiết bị lớp này được gọi là các siwtch phân phát, và có các đặc điểm như sau:
• Thông lượng lớp ba cao đối với việc xử lý gói.
• Chức năng bảo mật và kết nối dựa trên chính sách qua danh sách truy cập
hoặc lọc gói.
• Tính năng QoS.
1.2.3 Lớp Access
Lớp Access xuất hiện ở người dùng đầu cuối được kết nối vào mạng. Các thiết bị trong
lớp này thường được gọi là các switch truy cập, và có các đặc điểm sau:
• Chi phí trên mỗi port của switch thấp.
• Mật độ port cao.
• Mở rộng các uplink đến các lớp cao hơn.
• Chức năng truy cập của người dùng như là thành viên VLAN, lọc lưu lượng
và giao thức, và QoS.
Tính co dãn thông qua nhiều uplink.
2. Khái niệm Routing
2.1 Khái quát về định tuyến
Định tuyến trên Internet được thực hiện dựa trên các bảng định tuyến (Routing table)
được lưu tại các trạm (Host) hay trên các thiết bị định tuyến (Router). Thông tin trong các
bảng định tuyến được cập nhật tự' động hoặc do người dùng cập nhật.
Các phạm trù dùng trong định tuyến là:
137C Nguyễn Chí Thanh, P.9, Quận 5, Tp.HCM
Đề tài: “Xây dựng hạ tầng mạng doanh nghiệp” 36
Tính có thể được (Reachability) dùng cho các giao thức EGP như BGP.
Vectơ kkoảng cách (Vector-Distance) giữa nguồn và đích dùng cho RIP.
Trạng thái kết nối (Link State) như thông tin về kết nối dùng cho OSPF.
2.2 Nguyên tắc định tuyến
Trong hoạt động định tuyến, người ta chia làm hai loại là định tuyến trực tiếp và định
tuyến gián tiếp. Định tuyến trực tiếp là định tuyến giữa hai máy tính nối với nhau vào một
mạng vật lý. Định tuyến gián tiếp là định tuyến giữa hai máy tính ở các mạng vật lý khác
nhau nên chúng phải thực hiện thông qua các Gateway.
Để kiểm tra xem máy đích có nằm trên cùng một mạng vật lý với máy nguồn không
thì người gửi phải tách lấy địa chỉ mạng của máy đích trong phần tiêu đề của gói dữ liệu
và so sánh với phần địa chỉ mạng trong phần địa chỉ IP của nó. Nếu trùng thì gói tin sẽ
được truyền trực tiếp nếu không cần phải xác định một Gateway
để truyền các gói tin này thông qua nó để ra mạng ngoài thích hợp.
Hoạt động định tuyến bao gồm hai hoạt động cơ bản sau:
• Quản trị cơ sở dữ liệu định tuyến: Bảng định tuyến(bảng thông tin chọn đường)
là nơi lưu thông tin về các đích có thế tới được và cách thức để tới được đích đó. Khi phần
mềm định tuyến IP tại một trạm hay một cổng truyền nhận được yêu cầu truyền một gói
dữ liệu, trước hết nó phải tìm trong bảng định tuyến, để quyết định xem sẽ phải gửi
Datagram đến đâu. Tuy nhiên, không phải bảng định tuyến của mỗi trạm hay cống đều
chứa tất cả các thông tin về các tuyến đường có thể tới được. Một bảng định tuyến bao
gồm các cặp (N,G). Trong đó:
+ N là địa chỉ của IP mạng đích
+ G là địa chỉ cống tiếp theo dọc theo trên đường truyền đến mạng N
137C Nguyễn Chí Thanh, P.9, Quận 5, Tp.HCM
Đề tài: “Xây dựng hạ tầng mạng doanh nghiệp” 37
Bảng định tuyến của một cổng truyền
Đến Host trên mạng Bộ định tuyến Cổng vật lý
10.0.0.0 Direct 2
11.0.0.0 Direct 1
12.0.0.0 11.0.0.2 1
13.0.0.0 Direct 3
13.0.0.0 13.0.0.2 3
15.0.0.0 10.0.02 5
Như vậy, mỗi cổng truyền không biết được đường truyền đầy đủ để đi đến đích.
Trong bảng định tuyến còn có những thông tin về các cổng có thể tới đích
nhưng không nằm trên cùng một mạng vật lý. Phần thông tin này được che khuất đi và
được gọi là mặc định (default). Khi không tìm thấy các thông tin về địa chỉ đích cần tìm,
các gói dữ liệu được gửi tới cổng truyền mặc định.
• Thuật toán định tuyến được mô tả như sau:
+ Nếu địa chỉ đích là một trong các địa chỉ IP của các kết nối trên mạng thì xử lý gói
dữ liệu IP tại chổ.
+ Xác định địa chỉ mạng đích bằng cách nhân (AND) mặt nạ mạng (Network Mask)
với địa chỉ IP đích.
+ Nếu địa chỉ đích không tìm thấy trong bảng định tuyến thì tìm tiếp trong tuyến đường
mặc định, sau khi tìm trong tuyến đường mặc định mà không tìm thấy các thông tin về địa
chỉ đích thì huỷ bỏ gói dữ liệu này và gửi thông điệp ICMP báo lỗi “mạng đích không đến
được” cho thiết bị gửi.
+ Nếu địa chỉ mạng đích bằng địa chỉ mạng của hệ thống, nghĩa là thiết bị đích đến
được kết nối trong cùng mạng với hệ thống, thì tìm địa chỉ mức liên kết tương ứng với
bảng tương ứng địa chỉ IP-MAC, nhúng gói IP trong gói dữ liệu mức liên kết và chuyển
tiếp gói tin trong mạng.
+ Trong trường hợp địa chỉ mạng đích không bằng địa chỉ mạng của hệ thống thì
137C Nguyễn Chí Thanh, P.9, Quận 5, Tp.HCM
Đề tài: “Xây dựng hạ tầng mạng doanh nghiệp” 38
chuyển tiếp gói tin đến thiết bị định tuyến cùng mạng.
2.3 Phân loại định tuyến
2.3.1 Định tuyến tĩnh
Ở phương pháp này, thông tin định tuyến được cung cấp từ nhà quản trị mạng thông
qua các thao tác bằng tay vào trong cấu hình của Router. Nhà quản trị mạng phải cập nhật
bằng tay đối với các mục chỉ tuyến tĩnh này bất cứ khi nào topo liên mạng bị thay đổi.
2.3.2 Định tuyến động
Ớ phương pháp này, thông tin định tuyến được cập nhật một cách tự động. Công việc
này được thực hiện bởi các giao thức định tuyến được cài đặt trong Router. Chức năng của
giao thức định tuyến là định đường dần mà một gói tin truyền qua một mạng từ nguồn đến
đích. Ví dụ giao thức thông tin định tuyến RIP, OSPF.
2.3.3 Các thuật toán định tuyến động
a. Định tuyến vector khoảng cách (distance-vector routing protocols)
Định tuyến vector khoảng cách dựa trên thuật toán định tuyến Bellman Ford là một
phương pháp định tuyến đơn giản, hiệu quả và được sử dụng trong nhiều giao thức định
tuyến như RIP, OSPF.
Vector khoảng cách được thiết kế đế giảm tối đa sự liên lạc giữa các Router cũng như
lượng dữ liệu trong bảng định tuyến. Bản chất của định tuyến vector khoảng cách là một
Router không cần biết tất cả các đường đi đến các phân đoạn mạng, nó chỉ cần biết phải
truyền một datagram được gán địa chỉ đến một phân đoạn mạng đi theo hướng nào. Khoảng
cách giữa các phân đoạn mạng được tính bằng số lượng Router mà datagram phải đi qua
khi được truyền từ phân đoạn mạng này đến phân đoạn mạng khác. Router sử dụng thuật
toán vector khoảng cách để tối ưu hoá đường đi bằng cách giảm tối đa số lượng Router mà
datagram đi qua. Tham số khoảng cách này chính là số chặng phải qua (hop count).
Định tuyến vector khoảng cách dựa trên quan niệm rằng một router sẽ thông báo cho
các router lân cận nó về tất cả các mạng nó biết và khoảng cách đến mỗi mạng này. Một
137C Nguyễn Chí Thanh, P.9, Quận 5, Tp.HCM
Đề tài: “Xây dựng hạ tầng mạng doanh nghiệp” 39
router chạy giao thức định tuyến vector khoảng cách sẽ thông báo đến các router kế cận
được kết nối trực tiếp với nó một hoặc nhiều hơn các vector khoảng cách. Một vector
khoảng cách bao gồm một bộ (network, cost) với network là mạng đích và cost là một giá
trị có liên quan nó biểu diễn số các router hoặc link trong đường dẫn giữa router thông báo
và mạng đích. Do đó cơ sở dữ liệu định tuyến bao gồm một số các vector khoảng cách
hoặc cost đến tất cả các mạng từ router đó.
Khi một router thu được bản tin cập nhật vector khoảng cách từ router kế cận nó thì
nó bổ xung giá trị cost của chính nó (thường bằng 1) vào giá trị cost thu được trong bản
tin cập nhật. Sau đó router so sánh giá trị cost tính được này với thông tin thu được trong
bản tin cập nhật trước đó. Nếu cost nhỏ hơn thì router cập nhật cơ sở dữ liệu định tuyến
với các cost mới, tính toán một bảng định tuyến mới, nó bao gồm các router kế cận vừa
thông báo thông tin vector khoảng cách mới như next-hop.
Hình 10 Định tuyến véc tơ khoảng cách
Router C thông báo một vecto khoảng cách (netl, lhop) cho mạng đích netl được nối
trực tiếp với nó. Router B thu được véc tơ khoảng cách này thực hiện bố sung cost của nó
(lhop) và thông báo nó cho router A (netl, 2hop). Nhờ đó router A biết rằng nó có thế đạt
tới netl với 2 hop và qua router B.
Mặc dù định tuyến véc tơ khoảng cách đơn giản nhưng một số vấn đề phổ biến có thế
xảy ra. Ví dụ liên kết giữa 2 router B và C bị hỏng thì router B sẽ cố gắng tái định tuyến
các gói qua router A vì router A theo một đường nào đó thông báo cho router B một véc
tơ khoảng cách là (netl, 4hop). Router B sẽ thu véc tơ khoảng cách này và gửi ngược lại
(netl,lhop) (netl.2hop)
----- —► -------------- ---- ►
137C Nguyễn Chí Thanh, P.9, Quận 5, Tp.HCM
Đề tài: “Xây dựng hạ tầng mạng doanh nghiệp” 40
cho router A véc tơ khoảng cách (netl, 5hop). Đây là sự cố đếm vô hạn có thế làm cho thời
gian cần thiết đế hội tụ kéo dài hơn.
b. Định tuyến theo trạng thái liên kết (Link-state routing protocols)
Định tuyến vector khoảng cách sẽ không còn phù hợp đối với một mạng lớn gồm rất
nhiều Router. Khi đó mỗi Router phải duy trì một mục trong bảng định tuyến cho mỗi đích,
và các mục này chỉ đơn thuần chứa các giá trị vector và hop count. Router cũng không thể
tiết kiệm năng lực của mình khi đã biết nhiều về cấu trúc mạng. Hơn nữa, toàn bộ bảng giá
trị khoảng cách và hop count phải được truyền giữa các Router cho dù hầu hết các thông
tin này không thực sự cần thiết trao đổi giữa các Router.
Định tuyến trạng thái liên kết ra đời là đã khắc phục được các nhược điếm của định
tuyến vector khoảng cách.
Bản chất của định tuyến trạng thái liên kết là mỗi Router xây dựng bên trong nó một
sơ đồ cấu trúc mạng. Định kỳ, mỗi Router cũng gửi ra mạng những thông điệp trạng thái.
Những thông điệp này liệt kê những Router khác trên mạng kết nối trực tiếp với Router
đang xét và trạng thái của liên kết. Các Router sử dụng bản tin trạng thái nhận được từ các
Router khác đế xây dựng sơ đồ mạng. Khi một Router chuyển tiếp dữ liệu, nó sẽ chọn
đường đi đến đích tốt nhất dựa trên nhũng điều kiện hiện tại.
Giao thức trạng thái liên kết đòi hỏi nhiều thời gian xử lí trên mỗi Router, nhưng giảm
được sự tiêu thụ băng thông bởi vì mỗi Router không cần gửi toàn bộ bảng định tuyến của
mình. Hơn nữa, Router cũng dễ dàng theo dõi lỗi trên mạng vì bản tin trạng thái từ một
Router không thay đối khi lan truyền trên mạng (ngược lại, đối với phương pháp vector
khoảng cách, giá trị hop count tăng lên mỗi khi thông tin định tuyến đi qua một Router
khác).
Định tuyến trạng thái liên kết làm việc trên quan điểm rằng một router có thể thông
báo với mọi router khác trong mạng trạng thái của các tuyến được kết nối đến nó, cost của
các tuyến đó và xác định bất kỳ router kế cận nào được kết nối với các tuyến này. Các
router chạy một giao thức định tuyến trạng thái đường sẽ truyền bá các gói trạng thái đường
137C Nguyễn Chí Thanh, P.9, Quận 5, Tp.HCM
Đề tài: “Xây dựng hạ tầng mạng doanh nghiệp” 41
LSP (Link State Paket) khắp mạng. Một LSP nói chung chứa một xác định nguồn, xác định
kế cận và cost của tuyến giữa chúng. Các LSP được thu bởi tất cả các router được sử dụng
để tạo nên một cơ sở dữ liệu cấu hình của toàn bộ mạng. Bảng định tuyến sau đó được tính
toán dựa trên nội dung của cơ sở dữ liệu cấu hình. Tất cả các router trong mạng chứa một
sơ đồ của cấu hình mạng và từ đó chúng tính toán đường ngắn nhất (least-cost path) từ
nguồn bất kỳ đến đích bất kỳ. Giá trị gắn với các link giữa các router là cost của link đó.
Các router truyền bá các LSP đến tất cả các router khác trong mạng, nó được sử dụng đế
xây dựng cơ sở dữ liệu trạng thái đường. Tiếp theo, mỗi router trong mạng tính toán một
cây bắt nguồn từ chính nó và phân nhánh đến tất cả các router khác dựa trên tiêu chí đường
ngắn nhất hay đường có chi phí ít nhất.
c. So sánh các thuật toán định tuyến
Các giao thức định tuyển với thuật toán vector tỏ ra đơn giản và hiệu quả trong các
mạng nhỏ, và đòi hỏi ít (nếu có) sự giám sát. Tuy nhiên, chúng không làm việc tốt, và có
tài nguyên tập hợp ít ỏi, dẫn đến sự phát triển của các thuật toán trạng thái kết nối tuy phức
tạp hơn nhưng tốt hơn để dùng trong các mạng lớn. Giao thức vector kém hơn với rắc rối
về đếm đến vô tận.
ưu điểm chính của định tuyến bằng trạng thái kết nối là phản ứng nhanh nhạy hơn,
và trong một khoảng thời gian có hạn, đối với sự thay đối kết nối. Ngoài ra, những gói
được gửi qua mạng trong định tuyến bằng trạng thái kết nối thì nhỏ hơn những gói dùng
trong định tuyến bảng vector. Định tuyến bảng vector đòi hỏi bảng định tuyến đầy đủ
phải được truyền đi, trong khi định tuyến bằng trạng thái kết nối thì chỉ có thông tin về
“hàng xóm” của node được truyền đi. Vì vậy, các gói này dùng tài nguyên mạng ở mức
không đáng kế. Khuyết điếm chính của định tuyến bằng trạng thái kết nối là nó đòi hỏi
nhiều sự lưu trữ và tính toán để chạy hơn định tuyến bảng vector.
d. Các giao thức định tuyến được sử dụng
e. Giao thức định tuyến RIP
137C Nguyễn Chí Thanh, P.9, Quận 5, Tp.HCM
Đề tài: “Xây dựng hạ tầng mạng doanh nghiệp” 42
RIP sử dụng một thuật toán Vector khoảng cách mà đường xác định đường tốt nhất
bằng sử dụng metric bước nhảy. Khi được sử dụng trong những mạng cùng loại nhỏ,
RIP là một giao thức hiệu quả và sự vận hành của nó là khá đơn giản. RIP duy trì tất cả
bảng định tuyến trong một mạng được cập nhật bởi truyền những lời nhắn cập nhật bảng
định tuyến sau mỗi 30s. Sau một thiết bị RIP nhận một cập nhật, nó so sánh thông tin
hiện tại của nó với những thông tin được chứa trong thông tin cập nhật.
Vào giữa năm 1988, IETF đã phát hành RFC 1058 mô tả hoạt động của hệ thống sử
dụng RIP. Tuy nhiên RFC này ra đời sau khi rất nhiềuhệ thốngRIP đã
được triển khai thành công. Do đó, một số hệ thống sử dụng RIP không hỗ trợ tất cả
những cải tiến của thuật toán vector khoảng cách cơ bản.
❖ Các đặc tính chức năng cơ bán của RIP
• Sử dụng thuật toán định tuyến vector khoảng cách.
• Sử dụng tham số host-count.
• Các router broadcast toàn bộ cơ sở dữ liệu định tuyến 30s một lần.
• Đường kính mạng cực đại mà RIP hỗ trợ là 15hop.
• Nó không hồ trợ VLSM (Variable Length Subnet Mask).
❖ Hạn chế của RIP
Giới hạn độ dài tuyến đường: Trong RIP, cost có giá trị lớn nhất được đặt là 16. Do đó,
RIP không cho phép một tuyến đường có cost lớn hơn 15. Tức là, những mạng có kích
thước lớn hơn 15 bước nhảy phải dùng thuật toán khác. Lưu lượng cần thiết cho việc
trao đôi thông tin định tuyến lớn.
• Tốc độ hội tụ khá chậm
• Không hổ trợ mặt nạ mạng con có độ dài thay đối (VLSM): Khi trao đổi thông tin
về các tuyến đường, RIP không kèm theo thông tin gì về mặt nạ mạng con. Do đó, mạng
sử dụng RIP không thể hỗ trợ mặt nạ mạng con có độ dài thay đổi.
❖ Giao thức thông tín định tuyến phiên bản 2 (RIP-2)
Tổ chức IETF đưa ra hai phiên bản RIP-2 để khắc phục những hạn chế của RIP-1. RIP-
137C Nguyễn Chí Thanh, P.9, Quận 5, Tp.HCM
Đề tài: “Xây dựng hạ tầng mạng doanh nghiệp” 43
2 có những cải tiến sau so với RIP:
• Hỗ trợ CIDR và VLSM.
• Hỗ trợ chuyển gói đa điểm.
• Hỗ trợ nhận thực.
Hỗ trợ RIP-1: RIP-2 tương thích hoàn toàn với RIP-1.
f. Giao thức định tuyến OSPF
Giao thức OSPF là một giao thức cổng trong. Nó được phát triển đế khắc phục những
hạn chế của giao thức RIP. Bắt đầu được xây dựng vào năm 1988 và hoàn thành vào năm
1991, các phiên bản cập nhật của giao thức này hiện vẫn được phát hành. Tài liệu mới nhất
hiện nay của chuẩn OSPF là RFC2328.OSPF có nhiều tính năng không có ở các giao thức
vector khoảng cách.Việc hỗ trợ các tính năng này đã khiến cho OSPF trở thành một giao
thức định tuyến được sử dụng rộng rãi trong các môi trường mạng lớn. Trong thực tế, RFC
1812 (đưa ra các yêu cầu cho bộ định tuyến IPv4) - đã xác định OSPF là giao thức định
tuyến động duy nhất cần thiết. Sau đây sẽ liệt kê các tính năng đã tạo nên thành công của
giao thức này:
• Cân bằng tải giữa các tuyến cùng cost: Việc sử dụng cùng lúc nhiều tuyến cho phép
tận dụng có hiệu quả tài nguyên mạng.
• Phân chia mạng một cách logic: điều này làm giảm bớt các thông tin phát ra trong
những điều kiện bất lợi. Nó cũng giúp kết hợp các thông báo về định tuyến, hạn chế việc
phát đi những thông tin không cần thiết về mạng.
Hỗ trợ nhận thực: OSPF hỗ trợ nhận thực cho tất cả các node phát thông tin quảng cáo
định tuyến. Điều này hạn chế được nguy cơ thay đối bảng định tuyến với mục đích xấu.
• Thời gian hội tụ nhanh hơn: OSPF cho phép truyền các thông tin về thay đôi tuyến
một cách tức thì. Điều đó giúp rút ngắn thời gian hội tụ cần thiết để cập nhật thông tin cấu
hình mạng.
• Hồ trợ CIDR và VLSM: Điều này cho phép nhà quản trị mạng có thể phân phối
nguồn địa chỉ IP một cách có hiệu quả hơn.
137C Nguyễn Chí Thanh, P.9, Quận 5, Tp.HCM
Đề tài: “Xây dựng hạ tầng mạng doanh nghiệp” 44
OSPF là một giao thức dựa theo trạng thái liên kết. Giống như các giao thức trạng
thái liên kết khác, mỗi bộ định tuyến OSPF đều thực hiện thuật toán SPF để xử lý các
thông tin chứa trong cơ sở dừ liệu trạng thái liên kết. Thuật toán tạo ra một cây đường đi
ngắn nhất mô tả cụ thể các tuyến đường nên chọn dẫn tới mạng đích.
3. Khái niệm về VLAN
- VLAN là một nhóm các thiết bị mạng không bị giới hạn theo vị trí vật lý hoặc theo
Lan switch mà chúng kết nối vào.
- VLAN là một segment mạng theo logic dựa trên chức năng, đội nhóm hoặc ứng dụng
của một tổ chức chứ không phụ thuộc vị trí vật lý hay kết nối vật lý trong mạng. Tất cả các
máy trạm và server được sử dụng bởi cùng một nhóm làm việc sẽ được đặt trong cùng
VLAN bất kể vị trí hay kết nối vật lý của chúng.
- Mọi công việc cấu hình VLAN hoặc thay đổi cấu hình VLAN đều được thực hiện
trên phần mềm mà không cần thay đổi cáp và thiết bị vật lý.
- Một máy trạm trong một VLAN chỉ được liên lạc với file server trong cùng VLAN
với nó. VLAN được nhóm theo chức năng logic và mỗi VLAN là một broadcast, do đó
gói dữ liệu chỉ được chuyển mạch trong cùng một VLAN.
- VLAN có khả năng mở rộng, bảo mật và quản lý mạng tốt hơn. Router trong cấu trúc
VLAN thực hiện ngăn chặn quảng bá, bảo mật và quản lý traffics. Switch không thể
chuyển mạch traffic giữa các VLAN khác nhau, traffic giữa các VLAN phải được định
tuyến thông qua router.
137C Nguyễn Chí Thanh, P.9, Quận 5, Tp.HCM
Đề tài: “Xây dựng hạ tầng mạng doanh nghiệp” 45
Hình 11 Mô hình Vlan
3.1 Các Loại VLAN
Có 3 loại thành viên VLAN để xác định và kiểm soát việc xử lý các gói dữ liệu:
- VLAN dựa trên cổng (port based VLAN): mỗi cổng (Ethernet hoặc Fast Ethernet)
được gắn với một VLAN xác định. Do đó mỗi máy tính/thiết bị host kết nối một cổng
của switch đều phụ thuộc vào VLAN đó. Đây là cách cấu hình VLAN đơn giản và phổ
biến nhất.
- VLAN theo địa chỉ MAC ( MAC address based VLAN): mỗi địa chỉ MAC được gán
tới một VLAN nhất định. Cách cấu hình này rất phức tạp và khó khăn trong việc quản
lý.
- VLAN theo giao thức (protocol based VLAN): tương tự với VLAN dựa trên địa chỉ
MAC nhưng sử dụng địa chỉ IP thay cho địa chỉ MAC.
Cách cấu hình này không thông dụng.
- Người dùng thuộc VLAN nào thì tùy theo vào port kết nối của người dùng đó.
- Không cần tìm trong cơ sở dữ liệu khi xác định thành viên của VLAN.
- Dễ dàng quản lý bằng giao diện đồ họa (GUIs).
- Quản lý thành viên của VLAN theo port cũng dễ dàng và đơn giản.
137C Nguyễn Chí Thanh, P.9, Quận 5, Tp.HCM
Đề tài: “Xây dựng hạ tầng mạng doanh nghiệp” 46
- Bảo mật tối đa giữa các VLAN.
- Gói dữ liệu không “rò rỉ” sang các miền khác.
- Dễ dàng kiểm soát qua mạng.
3.2 Cách thức hoạt động của VLAN
- Mỗi port trên switch có thể gán cho một VLAN khác nhau. Các port nằm trong cùng
một VLAN sẽ chia sẻ gói tin quảng bá với nhau. Nhờ đó mà mạng LAN hoạt động hiệu
quả hơn.
- Thành viên cố định của VLAN được xác định theo port. Khi thiết bị kết nối một port
vào switch, tùy theo port thuộc loại VLAN nào thì thiết bị sẽ nằm trong VLAN đó.
- Mặc định, tất cả các port trên một switch đều nằm trong VLAN quản lý. VLAN quản
lý luôn luôn là VLAN 1 và chúng ta không thể xóa VLAN này được. Sau đó chúng ta có
thể cấu hình gán port vào các VLAN khác. VLAN cung cấp băng thông tin nhiều hơn cho
user so với mạng chia sẻ. Trong mạng chia sẻ, các user cùng chia sẻ một băng thông trong
mạng đó, càng nhiều user trong một mạng chia sẻ thì lượng băng thông càng thấp hơn và
hiệu suất hoạt động càng giảm đi.
- Thành viên động của VLAN được cấu hình bằng phần mềm quản lý mạng. Bạn có thể
sử dụng Ciscoworks 2000 hoặc Ciscoworks for Switch Internetworks để tạo VLAN động.
VLAN động cho phép các định thành viên dựa theo địa chỉ MAC của thiết bị kết nối vào
switch chứ không còn xác định theo port nữa. Khi thiết bị kết nối vào switch, Switch sẽ
tìm trong cơ sở dữ liệu của nó để xác định thiết bị này thuộc VLAN nào.
137C Nguyễn Chí Thanh, P.9, Quận 5, Tp.HCM
Đề tài: “Xây dựng hạ tầng mạng doanh nghiệp” 47
Hình 12 Cách thức hoạt động của Vlan
3.3 Ưu điểm và ứng dụng của VLAN
- Lợi ích của VLAN là cho phép người quản trị mạng tổ chức mạng theo logic chứ không
theo vật lý nữa. Nhờ đó những công việc sau thực hiện dễ dàng hơn:
+ Có tính linh động cao: Di chuyển máy trạm trong LAN dễ dàng.
+ Thêm máy trạm vào LAN dễ dàng: Trên một switch nhiều cổng, có thể cấu hình
VLAN khác nhau cho từng cổng, do đó dễ dàng kết nối thêm các máy tính với các
VLAN.
+ Thay đổi cấu hình LAN dễ dàng.
+ Kiểm soát giao thông mạng dễ dàng.
+ Gia tăng bảo mật: Các VLAN khác nhau không truy cập được vào nhau ( trừ khi có
khai báo định tuyến ).
+ Tiết kiệm băng thông của mạng: Do VLAN có thể chia nhỏ LAN thành các đoạn (
hay một vùng quảng bá ). Khi một gói tin quảng bá, nó sẽ được truyền đi chỉ trong một
137C Nguyễn Chí Thanh, P.9, Quận 5, Tp.HCM
Đề tài: “Xây dựng hạ tầng mạng doanh nghiệp” 48
VLAN duy nhất, không truyền đi ở các VLAN khác nên giảm lưu lượng quảng bá, tiết
kiệm băng thông đường truyền.
3.4 Vlan Trunking Protocol (VTP)
- Giả sử trong một mạng có nhiều switch được kết nối với nhau, trên đó cấu hình nhiều
VLAN. Mỗi VLAN được cấu hình bằng tay trên nhiều switch. Khi hệ thống mạng phát
triển lớn hơn, thêm nhiều switch hơn , mỗi switch thêm vào lại cấu hình bằng tay các thông
tin VLAN cho nó. Quá mất thời gian và công sức và tiềm tàng lỗi rất cao. Vì thế ta dùng
VTP để giải quyết vấn đề trên.
- VTP viết tắt của từ VLAN Trunking Protocol là phuơng thức độc quyền của Cisco
hoạt động ở tầng 2. VTP giúp cho việc cấu hình VLAN luôn đồng nhất khi thêm, xóa, sửa
thông tin về VLAN trong một hệ thống mạng. Với VTP, bạn phải cấu hình VLAN ban đầu
trên một switch duy nhất, switch này có vai trò quảng bá bất kỳ Revison VLAN ( khi ta
xóa, sữa, hoặc tạo thì số revision sẽ
Hình 13 Mô hình VLAN TRUNKING PROTOCOL 1
tăng lên 1 đơn vị ) , để các switch khác nhận được cập nhật này thì phải có chung miền
VTP (nếu ta đặt khác nhau thì các switch sẽ không liên kết với nhau . Các thông tin này sẽ
137C Nguyễn Chí Thanh, P.9, Quận 5, Tp.HCM
Đề tài: “Xây dựng hạ tầng mạng doanh nghiệp” 49
được gửi như địa chỉ quảng bá đến một địa chỉ MAC duy nhất mà các thiết bị Cisco tham
gia vào VTP sẽ là 01-00-0C-CC- CC-CC.
Hình 14 Mô hình VLAN TRUNKING PROTOCOL 2
137C Nguyễn Chí Thanh, P.9, Quận 5, Tp.HCM
Đề tài: “Xây dựng hạ tầng mạng doanh nghiệp” 50
3.4.1 Khái niệm về VTP và các mode trong VTP
- Tất cả switch muốn nhận lưu luợng với nhau thì phải cùng tên miền . Các chế độ
VTP muốn tham gia vào miền quản lý , mỗi switch phải được cấu hình để hoạt động
ở chế độ nhất định nào đó . Ta có 3 chế độ sau:
a. Chế độ máy chủ ( server)
- Các VTP chế độ này sẽ điều khiển việc tạo VLAN và thay đổi miền của nó. Tất cả
thông tin VTP đều được quảng bá đến các switch trong miền , và các switch khác sẽ
nhận đồng thời . Mặc định là một switch hoạt động ở chế độ máy chủ .
Chú ý là miền VTP phải có ít nhất một máy chủ , thay đổi hoặc xóa và truyền thông
tin VLAN.
Nhiệm vụ của VTP server :
- Tạo VLAN
- Chỉnh sửa VLAN
- Xóa VLAN
- Gửi hoặc chuyển thông tin quảng bá
- Đồng bộ hóa thông tin VLAN
- Lưu cấu hình vào NVRAM
b. Chế độ máy khách (Client)
- Các VTP chế độ này không cho phép người quản trị tạo, thay đổi hoặc xóa bất cứ
VLAN nào thay vì lắng nghe các quảng bá VTP từ các switch khác và thay đổi cấu
hình VLAN một cách thích hợp. Đây là chế độ lắng nghe thụ động .Các thông tin VTP
được chuyển tiếp ra liên kết trunkđến các switch lân cận trong miền
137C Nguyễn Chí Thanh, P.9, Quận 5, Tp.HCM
Đề tài: “Xây dựng hạ tầng mạng doanh nghiệp” 51
Nhiệm vụ của VTP client :
- Chuyển thông tin quảng bá .
- Đồng bộ hóa thông tin VLAN .
- Không lưu cấu hình vào NVRAM.
c. Chế độ trong suốt (Transparent Mode)
- Chế độ này được gọi là trong suốt vì không tham gia trong VTP. Ở chế độ trong
suốt , một switch không quảng bá cấu hình VLAN của chính nó, và một switch không
đồng bộ cở sở dữ liệu VLAN của nó với thông tin quảng bá nhận được. Trong phiên
bản 1, switch hoạt động ở chế độ trong suốt không chuyển tiếp thông tin quảng bá VTP
nhận được đến các switch khác, trừ khi tên miền và số phiên bản VTP của nó khớp với
các switch khác . Trong phiên bản 2 , switch trong suốt chuyển tiếp thông tin quảng
bá VTP nhận được ra cổng trunk của nó
- Chú ý: switch hoạt động ở chế độ trong suốt có thể tạo và xóa VLAN cục bộ của
nó. Tuy nhiên các thay đổi của VLAN không được truyền đến bất cứ switch nào.
Nhiệm vụ của VTP Transparent
- Tạo VLAN
- Chỉnh sửa VLAN
- Xóa VLAN
- Chuyển thông tin quảng bá
- Không đồng bộ hóa thông tin VLAN
- Lưu cấu hình vào NVRAM
137C Nguyễn Chí Thanh, P.9, Quận 5, Tp.HCM
Đề tài: “Xây dựng hạ tầng mạng doanh nghiệp” 52
Hình 15 Các mode trong VTP
3.4.2 Hoạt động của VTP
Giao thức Trunking được phát triển để nâng cao hiệu quả quản lý việc lưu chuyển các
Frame từ VLAN khác nhau trên một đường truyền vật lý. Giao thức Trunking thiết lập
các thỏa thuận cho việc sắp xếp các frame vào các cổng được liện kết với nhau ở hai
đầu đường trunk.
Hiện nay có 2 kỹ thuật Trunking là Frame Filtering và Frame Tagging. Trong khuôn
khổ đồ án này chỉ đề cập đến kỹ thuật Frame Tagging.
Giao thức Trunking Frame Tagging để phân biệt các Frame và để dàng quản lý và
phân
phát Frame nhanh hơn. Các tag được thêm vào trên đường gói tin đi ra vào đường
137C Nguyễn Chí Thanh, P.9, Quận 5, Tp.HCM
Đề tài: “Xây dựng hạ tầng mạng doanh nghiệp” 53
trunk. Các gói tin có gắn tag không phải là gói tin quảng bá.
Một đường vật lý duy nhất kết nối giữa hai switch thì có thể truyền tải cho mọi VLAN.
Để lưu trữ, mỗi Frame được gắn tag để nhận dạng trước khi gửi đi, Frame của VLAN
nào thì thì đi về VLAN đó.
3.4.3 Quảng bá VTP
- Mỗi thiết bị switch tham gia vào VTP phải quảng bá số VLAN (chỉ các VLAN từ
1 đến 1005) , và các tham số VLAN trên cổng trunk của nó để báo cho các switch khác
trong miền quản lý. Quảng bá VTP được gửi theo kiểu gửi gói thông tin tới một số địa
chỉ trong mạng . Switch chặn các đối tuợng gửi đến địa chỉ VTP và xử lý nó. Các đối
tuợng VTP được chuyển tiếp ra ngoài liên kết trunk như là một trường hợp đặc biệt.
- Bởi vì tất cả switch trong miền quản lý học sự thay đổi cấu hình VLAN mới , nên
một VLAN phải được tạo và cấu hình chỉ trên một máy chủ trong miền. Mặc định ,
miền quản lý sử dụng quảng bá ở cơ chế không có mật khẩu . Ta có thể thêm mật khẩu
để thiết lập miền ở chế độ bảo mật. Mỗi switch trong miền phải được cấu hình với cùng
mật khẩu để tất cả switch sử dụng phương pháp mã hóa đúng thông tin thay đổi của
VTP.
- Quá trình quảng bá VTP bắt đầu cấu hình với số lần sửa lại là 0. Khi có sự thay
đổi tiếp theo, số này tăng lên trước khi gửi quảng bá ra ngoài. Khi swich nhận một
quảng bá với số lần sửa lại lớn hơn số lưu trữ cục bộ thì quảng bá sẽ được ghi đè lên
thông tin VLAN, vì vậy thêm số 0 này vào rất quan trọng. Số lần sửa lại VTP được
lưu trữ trong NVRAM và switch không được thay đổi. Số lần sửa lại này chỉ được
khởi tạo là 0 bằng một trong cách sau :
137C Nguyễn Chí Thanh, P.9, Quận 5, Tp.HCM
Đề tài: “Xây dựng hạ tầng mạng doanh nghiệp” 54
Switch thay đổi thành chế độ trong suốt, và sau đó thay đổi thành chế độ
máy chủ .
Thay đổi miền VTP của switch thành tên không tồn tại và sau đó thay đổi
miền VTP thành tên cũ.
Tắt hay mở chế độ lựoc bỏ VTP trên máy chủ. Nếu số lần sửa lại VTP
không được thiết lập lại 0, thì một chế độ máy chủ mới trên switch phải
quảng bá VLAN không tồn tại , hoặc đã xóa. Nếu số lần sửa lớn hơn lần
quảng bá liền trước, thì switch lắng nghe rồi ghi đè lên toàn bộ cơ sở dữ
liệu của VLAN với thông tin trạng thái VLAN bị xóa. Điều này đề cập đến
vấn đề đồng bộ VTP.
137C Nguyễn Chí Thanh, P.9, Quận 5, Tp.HCM
Đề tài: “Xây dựng hạ tầng mạng doanh nghiệp” 55
3.4.4 Sự lược bớt VTP
Hình 16. Sự lượt bớt trong VTP
- Sự lựơc bớt VTP là một tính năng được sử dụng để loại lưu lượng truy cập không
cần thiết . Theo mặc định, tất cả các thiết bị switch của Cisco được cấu hình ở chế độ
máy chủ . Điều này là phù hợp với quy mô nhỏ, nơi các mạng lưới kích cỡ của VLAN
thông tin vừa và nhỏ, dễ dàng lưu trữ trong tất cả các thiết bị trong NVRAM . Trong
một mạng lưới rộng lớn , phải được thực hiện cuộc gọi tại một số điểm khi NVRAM
lưu trữ cần thiết là lãng phí, vì nó được nhân đôi trên mỗi lần chuyển đổi. Tại thời
điểm này,nguời dùng nên chọn một số trang thiết bị và giữ nó như chế độ máy chủ .
Tất cả mọi thứ gì khác tham gia vào VTP có thể được chuyển sang chế độ máy khách.
- Sự lược bớt VTP sẽ sử dụng hiệu quả băng thông bằng cách giảm bớt việc lưu
lương không cần thiết. Các đối tuỡng quảng bá không xác định trên một VLAN chỉ
được chuyển tiếp trên liên kết trunk nếu switch nhận trên đầu cuối của trunk có cổng
thuộc VLAN đó. Sự lựoc bớt VTP là sự mở rộng trên phiên bản 1 của VTP, sử dụng
137C Nguyễn Chí Thanh, P.9, Quận 5, Tp.HCM
Đề tài: “Xây dựng hạ tầng mạng doanh nghiệp” 56
kiểu thông điệp VTP bổ sung. Khi một switch có một cổng với một VLAN, thì switch
gửi quảng bá đến các switch lân cận mà có cổng hoạt động trên VLAN đó. Các miền
lân cận của nó sẽ giữ thông tin này để giải quyết nếu có lưu lượng tràn từ một VLAN
có sử dụng cổng trunk hay không.
3.4.5 Lợi ích của VTP
VTP có thể cấu hình không đúng, khi sự thay đổi tạo ra. Các cấu hình không đúng
có
thể tổng hợp trong trường hợp thống kê các vi phạm nguyên tắc bảo mật. bởi vì
các kế
nối VLAN bị chồng chéo khi các VLAN bị đặt trùng tên. Các cấu hình không
đúng này
có thể bị cắt kết nối khi chúng được ánh xạ từ một kiểu LAN tới một kiểu LAN
khác.
VTP cung cấp các lợi ích sau:
Cấu hình đúng các VLAN qua mạng.
4. Tổng quan về HIGH AVAILABILITY (H.A)
4.1 Khái niệm High Availability
- High Availability tạm hiểu là 1 mô hình hệ thống có tính dự phòng sự cố về đường
truyền trên mạng .Mục đích chính của mô hình này giúp cho hệ thống mạng không bao giờ
bị gián đoạn tín hiệu truyền tải dữ liệu, tin tức, ... Có thể hiểu đơn giản như sau: Chúng ta
muốn đi từ điểm A đến điểm B, nhưng trên đường đi tới B thì giao thông bị tắc nghẽn. Nếu
chúng ta biết NHIỀU con đường khác có thể đi đến B thì không còn vấn đề phải lo sợ tình
trạng băng thông bị tắc nghẽn .
137C Nguyễn Chí Thanh, P.9, Quận 5, Tp.HCM
Đề tài: “Xây dựng hạ tầng mạng doanh nghiệp” 57
- Một hệ thống mạng với tính sẵn sàng cao cung cấp phương tiện thay thế mà theo đó
tất cả các cơ sở hạ tầng và các máy chủ quan trọng có thể truy cập mọi lúc và thời gian
gián đoạn nếu có là thấp nhất
Hình 17 Mô hình High Availability
KHUYẾT ĐIỂM:
Duy trì 1 đường kết nối đã tốn kém, nay làm thêm 1 (vài) đường khác để "đảm bảo"
HA sẽ càng tốn hơn (về mặt kinh tế)
Nếu phải thực hiện việc chuyển kết nối sang đường kết nối dự phòng thủ công thì
chắc phải sắm 1 router hay 1 máy làm monitor khi nào "đường truyền nó chết" để còn
biết đường chuyển qua
Trước đây chỉ phải quản lý 1 đường kết nối, giờ phải tốn công quản lý thêm 1 (số)
đường nữa
137C Nguyễn Chí Thanh, P.9, Quận 5, Tp.HCM
Đề tài: “Xây dựng hạ tầng mạng doanh nghiệp” 58
ƯU ĐIỂM:
Có thêm đường dự phòng thì "tốt hơn" là không có (vì có cái để mà chuyển sang
nhằm đảm bảo được tính sẵn sàng)
Việc sắm thêm tài nguyên đường truyền, giúp chúng ta có thêm cơ hội thực hiện việc
giảm tải & phân bổ tải hợp lý bằng các kỹ thuật load balancing & load sharing trên các
đường truyền
Và đặt biệt đối với những công ty có tính đặc thù công việc cần thiết bảo mật và
mong muốn đường truyền được liên tục mang tính sẵn sàng cao thì H.A là một tính năng
không thể thiếu khi triển khai hạ tầng.
4.2 Các kỹ thuật H.A thông thường trong hạ tầng mạng
High Availability trong hạ tầng mạng đều được thực hiện ở cả layer2 và layer3.
Tại Layer 2 có các kĩ thuật H.A thông dụng như :
- Etherchannel
- Spanning-tree
Tại Layer 3 có các kĩ thuật H.A thông dụng như :
- Hot Standby Router Protocol
- Vitural Router Redundacy Protocol
- Gateway Load Balancing Protocol
137C Nguyễn Chí Thanh, P.9, Quận 5, Tp.HCM
Đề tài: “Xây dựng hạ tầng mạng doanh nghiệp” 59
4.3 Etherchannel
4.3.1 Giới thiệu Etherchannel
- Etherchannel sẽ cung cấp khả năng dự phòng, kết nối tốc độ cao hơn giữa các switch,
với switch hoặc với router hoặc với các server. Một etherchannel có chứa nhiều liên kết
Fast Ethernet hoặc Gigabit Ethernet vào trong một liên kết logical. Nếu một liên kết nằm
trong Etherchannel mà bị lỗi, thì lưu lượng dữ liệu sẽ được thay đổi để truyền trên những
liên kết còn lại thuộc etherchannel đó
- Một etherchannel có chứa từ 2 đến 8 liên kết Fast ethernet hoặc Gygabit Ethernet vào
trong một liên kết logical .
- Kết nối này cung cấp một băng thông lên đến 1600 Mbps hoặc 16 Gbps tính cả 2 chiều
truyền và nhận tương đương 8 đường FastEthernet hoặc Gygabit Ethernet
Hình 18 Mô hình Etherchannel
137C Nguyễn Chí Thanh, P.9, Quận 5, Tp.HCM
Đề tài: “Xây dựng hạ tầng mạng doanh nghiệp” 60
4.3.2 Giao thức PAgP và LACP
a. Giao thức PAgP
- Giao thức PAgP ( Port Aggregation Protocol ) là một giao thức độc quyền của Cisco ,
các gói tin PAgP được trao đổi giữa các Switch trên các cổng Etherchannel .
- Các thông số của Switch láng giềng được xác định( như khả năng của cổng) và sẽ
được so sánh với switch cục bộ
- PAgP hình thành nên EtherChannel chỉ trên những cổng được cấu hình cùng Static
Vlan hoặc là cùng loại Trunkking (MAX=8 cổng)
- PAgP thay đổi các thông số động của EtherChannel nếu một trong những cổng của
bundle( bó) bị thay đổi .
- PAgP có thể được cấu hình ở chế độ Desirable trong đó một switch chủ động yêu cầu
1 switch đầu xa hình thành nên Etherchannel
- Khi Switch hoạt động ở chế độ Auto của PAgP, Switch sẽ chỉ bắt tay nếu Switch đầu
xa yêu cầu nó.
b. Một số tính năng khác của PagP
- Giao thức DTP (Dynamic Trunking Protocol) và giao thức CDP (Cisco Discovery
Protocol) có khả năng gửi và nhận những gói tin trên những port vật lý trong một
EtherChannel. Các port được cấu hình trunk có thể gửi và nhận các gói tin PAgP protocol
data units (PDUs) trên Vlan có ID thấp nhất.
- Trong mỗi EtherChannel, port vật lý đầu tiên trong channel đó sẽ hoạt động và cung
cấp địa chỉ MAC của nó cho EtherChannel. Nếu port đó bị xóa bỏ khỏi EtherChannel, thì
137C Nguyễn Chí Thanh, P.9, Quận 5, Tp.HCM
Đề tài: “Xây dựng hạ tầng mạng doanh nghiệp” 61
một port nào đó còn lại trong EtherChannel sẽ hoạt động (up) và cung cấp địa chỉ MAC
của nó cho EtherChannel đó.
- PAgP có khả năng gửi và nhân PAgP PDU duy nhất trên những port vật lý hoạt động
(up) và có giao thức PAgP được hoạt động ở một trong hai chế độ: Auto hoặc Desirable
c. Giao thức LACP
- LACP ( Link Aggregation Control Protocol)
- LACP cũng gửi các gói trên cổng Etherchannel của switch. Tuy nhiên LACP cũng
gán vai trò cổng đến các đầu cuối của Etherchannel .
- Các Switch có độ ưu tiên thấp nhất sẽ được quyết định về các cổng nào sẽ được tham
gia vào Etherchannel ở một thời điểm.
- Các cổng được chọn lựa và trở thành Active theo giá trị độ ưu tiên priority của nó,
trong đó giá trị ưu tiên thấp sẽ có mức độ ưu tiên cao.
- Một tập hợp 16 kết nối có thể được tham gia một Etherchannel.
- Thông qua LACP, một switch sẽ lựa chọn ra 8 cổng có độ ưu tiên thấp nhất như là
các member Active của Etherchannel.
- Các cổng còn lại sẽ nằm trong trạng thái standby và sẽ được enable nếu một trong
những kết nối active bị down .
- LACP có thể được cấu hình trong mode active, trong đó có một switch sẽ chủ động
hỏi đằng xa bắt tay hình thành Etherchannel.
- Chế độ Passive switch chỉ chủ động hình thành Etherchannel nếu switch đầu xa khởi
tạo nó.
137C Nguyễn Chí Thanh, P.9, Quận 5, Tp.HCM
Đề tài: “Xây dựng hạ tầng mạng doanh nghiệp” 62
Hình 19 Mô hình PAgP và LACP
4.4 Spanning Tree Protocol (STP)
4.4.1 Khái niệm
- STP là một giao thức quản lý liên kết layer 2, cung cấp một đường dự phòng trong
khi vẫn ngăn cản được hiện tượng loop xảy ra trong hệ thống. Khi công nghệ Ethernet
hoạt động ở Layer 2 trong mô hình OSI đã được cấu hình đúng, thì duy nhất một đường
sẽ được hoạt động giữa hai PC.
- Trong hệ thống tồn tại nhiều đường cùng hoạt động giữa 2 PC sẽ là nguyên nhân của
hiện tượng loop xảy ra.
- Nếu một loop tồn tại trong hệ thống, thì các thiết bị đầu cuối (PC) sẽ phải nhận nhiều
các thông điệp trùng nhau (Cơ chế này gọi là Multi-Frame copy). Switch sẽ phải học thông
tin về địa chỉ MAC của các PC trên nhiều port (Cơ chế này gọi là MAC Table Instable).
137C Nguyễn Chí Thanh, P.9, Quận 5, Tp.HCM
Đề tài: “Xây dựng hạ tầng mạng doanh nghiệp” 63
- Những hậu quả như vậy sẽ làm cho hệ thống của chúng ta trở nên không ổn định.
Spanning-Tree hoạt động trên các switch sẽ có thể giúp hệ thống của chúng ta ngăn được
loop và vẫn cho phép hệ thống xây dựng được mô hình có dự phòng.
- STP sử dụng thuật toán Spanning-Tree để chọn một switch đóng vai trò làm Root
Bridge trong mô hình hệ thống có dự phòng. Thuật toán Spanning-tree sẽ tính toán đường
tốt nhất không có loop thông qua hệ thống switch layer2 bằng cách gán vai trò cho mỗi
port hoạt động trong mô hình hệ thống đó, và mỗi port sẽ có một vai trò trong số những
vai trò dưới đây:
- Root: là một port có khả truyền dữ liệu trong mô hình spanning-Tree.
- Designated: một port có khả năng truyền dữ liệu được chọn cho tất cả các switch trong
segment LAN.
- Alternate: là một port sẽ bị blocked và port sẽ là port được dùng trong trường hợp dự
phòng.
- Backup: là một port blocked trong cấu hình loopback.
- Switch có tất cả các port của nó đóng vai trò là designated hoặc đóng vai trò là backup
thì swtich là root swtich. Switch có ít nhất một port của nó đóng vai trò là designated thì
switch đó gọi là designated switch.
137C Nguyễn Chí Thanh, P.9, Quận 5, Tp.HCM
Đề tài: “Xây dựng hạ tầng mạng doanh nghiệp” 64
4.4.2 Cơ chế hoạt động STP
- Spanning tree sẽ đưa đường dùng cho việc dự phòng trở về trạng thái standby
(blocked).
Nếu một hệ thống đang dùng spanning-tree bị lỗi xẩy ra và đường dự phòng vẫn có, thì
thuật toán spanning-tree sẽ thực hiện việc tính toán lại mô hình spanning-tree và đưa đường
dự phòng nên hoạt động. Các switch sẽ gửi và nhân các frame spanning-tree, những frame
đó được gọi là Bridge Protocol Data Units (BPDUs).
- Có rất nhiều switch không thực hiện việc truyền những frame BPDUs nhưng những
switch đó vẫn sử dụng để xây dựng đường không loop (loop-free). BPDUs chứa những
thông tin về swtich gửi và các port của switch đó, bao gồm MAC address, switch priority,
port priority, và cost path.
- Thuật toán Spanning-Tree sẽ sử dụng những thông tin đó để bầu chọn root swtich và
root port cho hệ thống switch và các root port và designated port cho mỗi một phân đoạn
mạng chuyển mạch (Colision domain = segment).
- Khi hai port trên một switch là thành phần của một loop, giá trị độ ưu tiên của port
spanning-tree và chi phí đường đi sẽ điều khiển và đưa một port trở về trạng thái forwarding
(trạng thái truyền dữ liệu) và một port trở về trạng thái blocking.
- Giá trị độ ưu tiên của port sẽ đại diện cho vị trí của port đó mô hình hệ thống và hơn
hết nó xác định vị trí để cho phép lưu lượng đi qua. Chi phí đường đi là giá trị đại diện cho
tốc độ đường truyền.
137C Nguyễn Chí Thanh, P.9, Quận 5, Tp.HCM
Đề tài: “Xây dựng hạ tầng mạng doanh nghiệp” 65
Hình 20 Cơ chế hoạt động STP
4.4.3 Trạng thái của STP
Trạng thái Mục đích
Forwading Gửi và nhận dữ liệu
Learning Xây dựng cây STP
Listening Xây dựng cây STP
Blocking Chỉ nhận BPDU
Disabled Tắt cổng
- Trạng thái Blocking :
Hủy bỏ các frame nhận được
Không có bảng MAC
Nhận các BPDU
137C Nguyễn Chí Thanh, P.9, Quận 5, Tp.HCM
Đề tài: “Xây dựng hạ tầng mạng doanh nghiệp” 66
Không gửi BPDU nhận được
Nhận và trả lời những bản tin quản trị mạng
- Trạng thái Listening
Hủy bỏ các frame nhận được và các Frame từ khác cổng khác chuyển đến
Không có bảng MAC
Nhận và xử lý các BPDU
Nhận và trả lời những bản tin quản trị mạng
- Trạng thái Learning
Hủy bỏcác frame nhận được và các Frame từ khác cổng khác chuyển đến
Xây dựng bảng địa chỉ MAC
Nhận, gửi và xử lý các BPDU
Nhận và trả lời những bản tin quản trị mạng
- Trạng thái Forwarding
Chuyển tiếp các frame nhận được từ mạng và từ các cổng khác chuyển đến
Xây dựng bảng địa chỉ MAC
Nhận BPDU và xử lý BPDU
Nhận và trả lời những bản tin quản trị mạng
4.4.4 Mô hình Spanning - Tree và BPDUs
- Spanning-tree hoạt động trong hệ thống switch sẽ được điều khiển bởi những thành
phần sau:
Bridge ID (switch priority và MAC address) tương ứng với mỗi một VLan trên một
switch.
137C Nguyễn Chí Thanh, P.9, Quận 5, Tp.HCM
Đề tài: “Xây dựng hạ tầng mạng doanh nghiệp” 67
Spanning-Tree path cost đến root switch.
Port ID (port priority và MAC address) tương ứng với mỗi một interface layer 2 của
switch.
- Khi các switch trong hệ thống được khởi động, thì mỗi switch sẽ hoạt động với chức
năng như một root swtich. Mỗi switch sẽ gửi một cấu hình BPDU thông qua tất cả các port
của switch đó đến các switch khác. BPDUs dùng để thông báo và tính toán mô hình
spanning-tree. Mỗi gói BPDU có chứa những thông tin sau:
Bridge ID của switch đóng vai trò là root switch (trong trường hợp này chính là switch
đang gửi gói BPDU)
Chi phí của đường tới root.
Bridge ID của switch đang gửi gói BPDU.
Thời gian tồn tại của gói BPDU.
ID của port đã gửi BPDU ra ngoài qua port đó.
Thời gian của gói Hello, Forward delay, và max-age.
- Khi một switch nhận một gói tin BPDU có chứa những thông tin tốt hơn (như: Bridge
ID thấp hơn, Chi phí đường đi thấp hơn), swtich đó sẽ lưu thông tin đó lại trên port của
switch. Nếu BPDU này được nhận trên root port của switch thì switch đó sẽ chuyển tiếp
gói BPDU này đến tất cả các designated Switch.
- Nếu một switch nhận được một gói BPDU có chứa những thông tin không tốt bằng
những thông tin mà switch đó đang có trên port đó thì switch đó sẽ hủy gói BPDU đi. Nếu
switch đóng vai trò là designated switch cho mạng LAN mà nhận được một gói BPDU có
137C Nguyễn Chí Thanh, P.9, Quận 5, Tp.HCM
Đề tài: “Xây dựng hạ tầng mạng doanh nghiệp” 68
thông tin không tin bằng những thông tin mà switch đó đang có trên port thì switch đó sẽ
thay thế những thông tin tốt hơn của mình vào gói BPDU và sẽ gửi đi. Với phương pháp
hoạt động như vậy, thì những thông tin không tốt sẽ bị hủy và những thông tin tốt hơn sẽ
được quảng bá ra toàn bộ hệ thống.
- Kết quả cuối cùng của việc trao đổi các gói BPUD giữa các switch sẽ là:
Một switch trọng hệ thống sẽ được bầu chọn là root switch. Trong mỗi Vlan, switch
có priority cao nhất (giá trị số priority thấp nhất) sẽ được bầu chọn với vai trò là root
switch. Nếu tất cả các switch trong hệ thống được cấu hình priority mặc định (32768),
thì switch nào có địa chỉ MAC thấp nhất trong VLAN sẽ trở thành root switch.
Một root port sẽ được chọn trên mỗi switch (trừ trường hợp là root switch). Port này
sẽ cung cấp chi phí thấp nhất khi mà switch chuyển dữ liệu đến root switch.
Khoảng cách ngắn nhất đến root switch được tính toán cho mỗi switch dựa trên chi
phí đường đi.
Một designated Switch cho mỗi LAN segment (Colision Domain) sẽ được chọn.
Designated Switch sẽ phải có đường có chi phí thấp nhất khi chuyển dữ liệu từ mạng
LAN đến Root Switch. Port được dùng để truyền dữ liệu thông qua nó trên
designated switch được gắn vào mạng LAN gọi là designated port.
Tất cả các đường đi nếu không cần thiết để truyền dữ liệu đến root switch từ mọi nơi
trên các switch trong mạng thì sẽ được đưa về trạng thái spanning-tree blocking.
4.4.5 Bridge ID, Switch Priority, và Extended System ID
- Chuẩn IEEE 802.1D yêu cầu mỗi switch phải có duy nhất một bridge ID, được dùng
trong quá trình bầu chọn root switch. Bởi vì mỗi VLAN có logical bridge khác nhau với
PVST+ và rapid PVST+, trên cùng switch phải có các bridge ID khác nhau cho mỗi cấu
137C Nguyễn Chí Thanh, P.9, Quận 5, Tp.HCM
Đề tài: “Xây dựng hạ tầng mạng doanh nghiệp” 69
hình VLAN. Mỗi VLan trên mỗi switch có duy nhất 8-byte bridge ID. Trong đó dùng 2
byte để xác định switch priority, và 6 byte còn lại dành cho switch MAC Address.
- Catalyst switch 2960 hỗ trợ IEEE 802.1t spanning-tree mở rộng, và các bit trước kia
được dùng cho switch priority thì bây giờ được sử dụng làm VLAN ID. Các bạn có thấy
rằng trong 2 byte trước kia được dùng làm switch priority thì trong đó có 4-bit được dùng
làm giá trị priority và 12-bit còn lại được mở rộng làm System ID tương ứng với VLAN
ID.
- Spanning tree sử dụng System ID mở rộng, switch priority và MAC address để làm
bridge ID duy nhất trọng mỗi một VLAN.
- Dựa vào việc các catalyst switch có hỗ trợ System ID, bạn có thể cấu hình để chọn root
switch, secondary root switch, và switch priority cho mỗi VLAN. Ví dụ, khi bạn thay đổi
giá trị switch priority, việc thay đổi đó có thể dẫn đến switch đó sẽ được bầu chọn làm root
switch.
4.5 Hot Standby Router Protocol (HSRP )
- Một network được cung cấp tính năng High Availability nghĩa là các cơ sở hạ tầng
mạng hay các server quan trọng trong network đó luôn luôn ở trong trạng thái có thể được
truy cập đến vào bất kỳ thời điểm nào.
- Hot Standby Routing Prototocol (HSRP) là một trong những số tính năng cung cấp khả
năng Redundancy ở layer 3 cho các host trong network. HSRP sẽ tối ưu hóa việc cung cấp
các đường kết nối khi phát hiện một đường link bị fail và những cơ chế phục hồi sau khi ta
gặp sự cố trong mạng.
137C Nguyễn Chí Thanh, P.9, Quận 5, Tp.HCM
Đề tài: “Xây dựng hạ tầng mạng doanh nghiệp” 70
- Virtual Router Redundancy Protocol (VRRP) và Gateway Load Balancing Protocol
(GLBP)cũng là những giao thức cung cấp khả năng Redundancy ở layer 3. VRRP là một
giao thức standard. GLBP là giao thức của Cisco.
- Nó được cải tiến từ VRRP và cung cấp thêm tính năng cân bằng tải.
-Trước tiên ta cần phải hiểu một số khái niệm có liên quan đến quá trình routing như sau
4.5.1 Các cơ chế hoạt động của HSRP
a. Sử dụng Default Gateway
Hình 21 Mô hình Default Gateway
137C Nguyễn Chí Thanh, P.9, Quận 5, Tp.HCM
Đề tài: “Xây dựng hạ tầng mạng doanh nghiệp” 71
- Một máy tính trong mạng để có thể đi đến các đường mạng khác nhau thì ta phải cấu
hình default gateway. Giả sử PC trên sơ đồ cấu hình default gateway hướng đến Router A
để chuyển tiếp gói tin đi đến file server A. Và Router B cũng đã được cấu hình định tuyến.
- Trong mô hình bên dưới Router A có chức năng routing các packet nó nhận được đến
subnet A. Còn router B có chức năng routing đến subnet B. Nếu như Router A bị hỏng hóc
không có còn sử dụng được nữa thì các cơ chế định tuyến động sẽ tính toán lại và quyết
định Router B sẽ là thiết bị chuyển tiếp gói tin thay thế cho router A.
- Nhưng PC A thì không thể nào nhận biết được thông tin định tuyến này được. Ở các
PC ta thường chỉ cấu hình duy nhất một default gateway IP và địa chỉ IP này sẽ không thay
đổi khi mô hình mạng của ta thay đổi. Như vậy dẫn đến trường hợp là PC A không thể gửi
traffic đi đến các host thuộc các đường mạng khác trong mô hình mạng.
- Nếu như một router nào đó dự phòng và hoạt động giống như default gateway cho
segment đó thì ta không cần phải cấu hình lại địa chỉ IP default gatway cho các PC.
137C Nguyễn Chí Thanh, P.9, Quận 5, Tp.HCM
Đề tài: “Xây dựng hạ tầng mạng doanh nghiệp” 72
b. Proxy ARP
Hình 22 Mô hình Proxy ARP
- Cisco IOS sử dụng proxy Arp để cho phép các host mà nó không có tính năng định
tuyến có thể lấy được địa chỉ Mac address của gateway để có thể forward packet ra khỏi
local subnet. Ví dụ như trong mô hình trên proxy ARP router nhận được một gói tin ARP
request từ một host cho một địa chỉ IP. Địa chỉ IP này không có cùng nằm chung một
segment so với host gửi gói tin request. Router sẽ gửi về một gói tin ARP với Mac address
là của router và IP là địa chỉ mà máy cần đi đến. Như vậy host sẽ gửi toàn bộ tất cả các
packet đến địa chỉ IP đã được phân giải thành Mac address của router. Sau đó router lại
làm tiếp công việc đẩy gói tin này đi đến địa chỉ IP cần đến.
- Như vậy với tính năng proxy ARP các end-user station sẽ coi như là các destination
device đã được kết nối đến chính phân đoạn mạng của nó. Nếu như router là chức năng
137C Nguyễn Chí Thanh, P.9, Quận 5, Tp.HCM
Đề tài: “Xây dựng hạ tầng mạng doanh nghiệp” 73
proxy ARP bị fail thì các end station vẫn tiếp tục gửi packet đến IP đã được phân giải thành
Mac address của fail router. Và các packet sẽ bị discard.
- Thực tế thì Proxy Mac address có thời gian sống nhất định trong bảng ARP cache của
máy tính. Sau khoảng thời gian này thì workstation sẽ yêu cầu địa chỉ của một router khác.
Nhưng nó không thể gửi traffic trong suốt khoảng thời gian này.
c. Router Redundancy
Hình 23 Mô hình Router Redundancy 1
- Trong HSRP một thiết lập cho các router hoạt động phối hợp với nhau để đưa ra một
router ảo cho các host trong mạng LAN. Bằng cách dùng chung một địa chỉ IP và địa chỉ
Mac ở layer 2, hai hay nhiều router có thể hoạt động như là một router ảo. IP address ảo
được cấu hình như là default gateway cho các máy trạm trong một segment. Khi những
frame được gửi từ một máy trạm đến đến default gateway, các máy trạm dùng cơ chế ARP
để phân giải MAC address với địa chỉ IP default gateway. Cơ chế ARP sẽ được trả về bằng
Mac address của virtual router. Các frame gửi đến Mac address ảo và sau đó frame này
137C Nguyễn Chí Thanh, P.9, Quận 5, Tp.HCM
Đề tài: “Xây dựng hạ tầng mạng doanh nghiệp” 74
được xử lý tiếp tục bởi active hoặc là standby router trực thuộc group router ảo mà ta đang
cấu hình.
- Một hay nhiều router sử dụng giao thức này để quyết định router vật lý nào sẽ có trách
nhiệm xử lý frame được gửi đến địa chỉ IP ảo và địa chỉ Mac ảo. Các máy trạm sẽ gửi
traffic đến router ảo. Một router thật sẽ có trách nhiệm forward traffic này đi tiếp tuy nhiên
router thật nay trong trạng thái transparent so với các máy trạm ở đầu cuối.Giao thức
redundacy này cung cấp cho ta một cơ chế để quyết định router nào sẽ ở vai trò active trong
việc forward traffic và router nào sẽ ở vai trò standby.
Hình 24 Mô hình Router Redundancy 2
- Khi một forwarding router bị fail thì quá trình chuyển đổi sẽ diễn ra như sau
Khi standby router không còn nhận được gói tin hello từ một forwarding router
Sau đó standby router sẽ giả định vai trò của nó lúc này là forwarding router
Lúc này quá trình truyền frame của PC sẽ không bị ảnh hưởng gì bởi vì router
đang ở trạng thái forwarding sẽ dùng IP address ảo vào Mac address như lúc
ban đầu.
137C Nguyễn Chí Thanh, P.9, Quận 5, Tp.HCM
Đề tài: “Xây dựng hạ tầng mạng doanh nghiệp” 75
4.5.2 Quy trình hoạt động HSRP
Hình 25 Quy trình hoạt động HSRP
Tất cả router trong một HSRP group có một vai trò cụ thể và tương tác với nhau theo
một phương pháp xác định
- Virtual Router: thực tế chỉ là một cặp IP address và Mac address mà tất cả các thiết bị
đầu cuối dùng nó làm IP default gateway. Active router xử lý tất cả packet và tất cả các
frame được gửi tới virtual router address.
- Active Router: trong HSRP group một router sẽ được chọn làm active router. Active
router thực tế là thiết bị vật lý forward packet và nó cũng là thiết bị gửi Mac address ảo
đến các thiết bị đầu cuối
- Trong mô hình trên router A được giả định ở vai trò active và forward tất cả các frame
đến địa chỉ Mac là 0000.0c07.acXX với XX là số group của HSRP. XX là hệ số hexa
137C Nguyễn Chí Thanh, P.9, Quận 5, Tp.HCM
Đề tài: “Xây dựng hạ tầng mạng doanh nghiệp” 76
- Địa chỉ IP và địa chỉ Mac tương ứng của virtual router được duy trì trong bảng ARP
của mỗi router thuộc HSRP group. Để kiểm tra bảng ARP trong bảng ARP ta dùng
lệnh show ip arp
Hình 26 Cách thức hoạt động địa chỉ IP và địa chỉ Mac trong HSRP
- Hình trên hiển thị bảng ARP của một router đang làm thành viên của HSRP group 1
trong Vlan 10. Trong bảng ARP trên ta thấy rằng virtual router có địa chỉ là
172.16.10.110 và có một Well-known Mac là 0000.0c07.ac01 với 01 là số group. Số
HSRP group 1 hiện thị dưới dạng cơ số 10 và 01 là dưới hệ cơ số 16
- HSRP standby router luôn theo dõi trạng thái hoạt động của HSRP group và sẽ nhanh
chóng chuyển trạng thái forwarding packet nếu active router không có hoạt động. Cả hai
active router và standby router sẽ truyền hello message để thông báo cho tất cả router khác
trong group HSRP biết rằng vai trò của nó lúc này là gì ? Các router dùng địa chỉ destination
multicast 224.0.0.2, kiểu truyền UDP port 1985. Và địa chỉ IP source là địa chỉ IP của
sending router.
137C Nguyễn Chí Thanh, P.9, Quận 5, Tp.HCM
Đề tài: “Xây dựng hạ tầng mạng doanh nghiệp” 77
- Ngoài ra bên trong HSRP group có thể chứa một số router khác nhưng vai trò của nó
không phải active hay standby. Những router dạng này sẽ monitor hello message được gửi
bởi active và standby router để chắc chắn rằng active và standby router đang tồn tại trong
HSRP group. Router này chỉ forward những packet đến chính địa chỉ IP của nó nhưng
không forward packet được đặt địa chỉ đến virtual router. Những router dạng này sẽ đọc
message tại mỗi thời gian giữa hai gói tin hello
- Một số thuật ngữ trong HSRP
Hello Interval Time: Khoảng thời gian giữa hai gói tin Hello HSRP thành công từ một
router. Thời gian này là 3 giây
Hold Interval Time: khoảng thời gian giữa hai gói tin hello được nhận và giả định rằng
sender router bị fail. Mặc định là 10 giây
- Khi active router bị fail, thì những router khác thuộc cùng HSRP group sẽ không còn
nhận được message từ active router. Và standby router sau đó sẽ được giả định là Active
router. Và nếu như có router khác bên trong HSRP group thì nó sẽ được đưa lên làm
standby router. Nếu như cả hai active và standby router bị fail thì tất cả router trong group
làm active và standby router.
137C Nguyễn Chí Thanh, P.9, Quận 5, Tp.HCM
Đề tài: “Xây dựng hạ tầng mạng doanh nghiệp” 78
Hình 27 Cách thức hoạt động của các gói tin trong HSRP
- Trong quá trình này new activer router gánh lấy IP ảo và Mac ảo của virtual router như
vậy dẫn đến các thiết bị đầu cuối sẽ nhận thấy tình trạng hư hỏng của các dịch vụ. Các thiết
bị đầu cuối tiếp tục gửi traffic đến Mac addres của virtual router. New activer router sẽ
gánh vác chấp nhận phân phối gói tin.
4.5.3 Đặc điểm của HSRP
- Địa chỉ IP là ảo và địa chỉ MAC cũng ảo trên router active.
- Các router dự phòng sẽ lắng nghe các gói hello từ router đang active, mặc định mỗi 3
giây và 10 giây cho khoảng thời gian dead.
- Độ ưu tiên cao nhất (mặc định là 100, trong tầm từ 1-255) sẽ xác định router, với cơ chế
pre-emption bị tắt.
- Hỗ trợ tính năng tracking, trong đó độ ưu tiên của một router sẽ bị giảm khi một
interface đang bị theo dõi bị hỏng hóc.
- Có thể có tối đa 255 nhóm HSRP trên mỗi interface, cho phép một hình thức cân bằng
137C Nguyễn Chí Thanh, P.9, Quận 5, Tp.HCM
Đề tài: “Xây dựng hạ tầng mạng doanh nghiệp” 79
tải.
- Địa chỉ MAC ảo có dạng 0000.0C07.Acxx trong đó xx là chỉ số của nhóm HSRP.
- Địa chỉ của IP ảo phải trong cùng giá trị subnet của cổng của router trong LAN.
- Địa chỉ của IP ảo phải khác với bất kỳ một địa chỉ thật nào của các cổng tham gia vào
HSRP.
4.5.4 Các trạng thái trong giao thức HSRP
- Một router trong HSRP group có một số trạng thái hoạt động như sau: initial, learn,
listen, speak, standby hoặc là active
Hình 28 Các trạng thái trong giao thức HSRP
- Khi một router đang ở trong một số những trạng thái trên thì nó sẽ thực hiện một số
hành động nhất định. Không phải tất cả HSRP router trong group sẽ chuyển đổi sang tất cả
các trạng thái. Ví dụ như ta có 3 router trong group, một trong ba con router thuộc group
không đóng vai trò là standby hay active thì con router này vẫn duy trì ở trạng thái Listen.
137C Nguyễn Chí Thanh, P.9, Quận 5, Tp.HCM
Đề tài: “Xây dựng hạ tầng mạng doanh nghiệp” 80
- Tất cả các router đều bắt đầu ở trạng thái Initial, điều này hiển thị rằng HSRP đang
không hoạt động. Sau đó nó sẽ chuyển sang trạng thái learn, ở trạng thái này router sẽ mong
chờ thấy được HSRP packet và từ những packet này nó quyết định xem virtual IP là gì ?
và xác định active router trong HSRP group.
- Khi một interface thấy HSRP packet và quyết định xem virtual IP là gì thì nó tiếp tục
chuyển sang trạng thái listen. Mục đích của trạng thái listen là để xác định xem có Active
hay Standby router cho HSRP group. Nếu như đã có active hay standby router rồi thì nó
vẫn giữ nguyên trạng thái. Tuy nhiên nếu gói tin hello không được thấy từ bất kỳ router
nào, interface chuyển sang trạng thái Speak.
- Trạng trạng thái Speak, các router chủ động tham dự vào quá trình chọn lựa ra active
router, standby router bằng cách nhìn vào gói tin hello để xác định vai trò.
- Có 3 dạng timer được sử dụng trong giao thức HSRP đó là active, standby, hello. Nếu
như không có một gói tin hello nào được nhận từ Active HSRP router trong khoảng thời
gian active, thì router chuyển sang trạng thái HSRP mới.
- Active timer: dùng để monitor Active Router. Timer sẽ reset lại vào bất kỳ thời điểm
nào khi một router trong group HSRP nhận được gói tin hello được gửi ra từ Active Router.
Giá trị Timer expire phù hợp với giá trị hold time đang được set tương ứng với field trong
HSRP hello message.
- Standby timer: dùng để monitor standby router. Timer sẽ reset lại vào bất kỳ thời điểm
nào khi một router trong group HSRP nhận được gói tin hello được gửi ra từ Standby
Router. Giá trị Timer expire phù hợp với giá trị hold time đang được set tương ứng với
field trong HSRP hello message.
- Hello timer: thời gian của hello packet. Tất cả HSRP router trong bất kỳ trạng thái nào
của HSRP đều tạo ra hello packetkhi mà hello timer expire
137C Nguyễn Chí Thanh, P.9, Quận 5, Tp.HCM
Đề tài: “Xây dựng hạ tầng mạng doanh nghiệp” 81
4.5.5 Vitural Router Redundancy Protocol và Gateway Load Balancing Protocol
a. Vitural Router Redundancy Protocol (VRRP)
- VRRP tạo ra một gateway dự phòng từ một nhóm các router. Router active được gọI
là master router, tất cả các router còn lạI đều trong trạng thái backup. Router master là
router có độ ưu tiên cao nhất trong nhóm VRRP.
- Chỉ số nhóm của VRRP thay đổI từ 0 đến 255; độ ưu tiên của router thay đổI từ 1 cho
đến 254 (254 là cao nhất, mặc định là 100).
- Địa chỉ MAC của router ảo sẽ có dạng 0000.5e00.01xx, trong đó xx là một số dạng
thập lục phân chỉ ra số của nhóm.
- Các quảng bá của VRRP được gửI mỗI chu kỳ một giây. Các router backup có thể học
các chu kỳ quảng bá từ router master.
- Mặc định, tất cả các VRRP router được cấu hình theo chế độ pre-empt. Nghĩa là nếu
có router nào có độ ưu tiên cao hơn độ ưu tiên của router master thì router đó sẽ chiếm
quyền.
- VRRP không có cơ chế để theo dõi một cổng của router.
Hình 29 Mô hình Vitural Router Redundancy Protocol
137C Nguyễn Chí Thanh, P.9, Quận 5, Tp.HCM
Đề tài: “Xây dựng hạ tầng mạng doanh nghiệp” 82
- VRRP dùng địa chỉ multicast 224.0.0.18, dùng giao thức IP 112. VRRP có trong router
IOS phiên bản Cisco IOS Software Release 12.0(18)ST.
b. Gateway Load Balancing Protocol ( GLBP )
- GLBP là một giao thức mới hơn của Cisco cho phép đặc tính cân bằng tải bên cạnh
tính năng dự phòng cho gateway. Các host vẫn có thể chỉ đến một địa chỉ gateway mặc
định, nhưng GLBP cho phép các host gửi traffic đến một trong bốn router trong một nhóm
GLBP. Để thực hiện việc này, router AVG sẽ gán từng router trong một nhóm một địa chỉ
MAC duy nhất có dạng 0007.B400.xxyy trong đó xx là địa chỉ nhóm và yy là các số khác
nhau cho từng router (01,02,03 hay 04).
Hình 30 Mô hình Gateway Load Balancing Protocol
- Khi một máy client hỏi địa chỉ MAC của địa chỉ ảo của nó, AVG sẽ trả lời bằng một
trong bốn địa chỉ MAC ảo có thể. Do được trả lời với các địa chỉ MAC khác nhau, các host
trong subnet đó sẽ cân bằng traffic giữa các router chứ không chỉ gửi traffic về một router
duy nhất. Để cung cấp tính năng dự phòng cho một group các user nào đó, ta sử dụng nhiều
router để đảm bảo độ tin cậy.
137C Nguyễn Chí Thanh, P.9, Quận 5, Tp.HCM
Đề tài: “Xây dựng hạ tầng mạng doanh nghiệp” 83
Hình 31 Bảng so sánh HSRP, VRRP, GLBP
5. Giới thiệu Access Control List
- ACL là một danh sách các câu lệnh được áp đặt vào các cổng (interface) của router.
Danh sách này chỉ ra cho router biết loại packet nào được chấp nhận (allow) và loại packet
nào bị hủy bỏ (deny). Sự chấp nhận và huỷ bỏ này có thể dựa vào địa chỉ nguồn, địa chỉ
đích hoặc chỉ số port.
137C Nguyễn Chí Thanh, P.9, Quận 5, Tp.HCM
Đề tài: “Xây dựng hạ tầng mạng doanh nghiệp” 84
5.1 Tại sao phải sử dụng ACL?
Hình 32 Ưu điểm của Access Control List
- Quản lý các IP traffic
- Hỗ trợ mức độ cơ bản về bảo mật cho các truy cập mạng, thể hiện ở tính năng lọc các
packet qua router
• Chức năng:
- Xác định tuyến đường thích hợp cho DDR (dial-on-demand routing)
- Thuận tiện cho việc lọc gói tin ip
- Cung cấp tính sẵn sàn mạng cao
137C Nguyễn Chí Thanh, P.9, Quận 5, Tp.HCM
Đề tài: “Xây dựng hạ tầng mạng doanh nghiệp” 85
5.2 Ý nghĩa của IP và Wildcard trong ACL
IP và Wildcard được sử dụng để so sánh coi gói tin có phải đúng là đối tượng cần
xác định không
Với Standard ACL, chỉ địa chỉ nguồn của gói tin được đem ra so sánh
Với Extended ACL, sẽ so sánh tất cả các thông tin khai báo trong mỗi đề mục của
ACL
Địa chỉ IP (nguồn hoặc đích) của gói tin sẽ được đối sánh với nội dung tương ứng
trong một mục kê của ACL theo cách:
o IP tương ứng của đề mục trong ACL được cộng logic (OR) với Wildcard
o IP của gói tin được cộng logic (OR) với Wildcard
o Hai kết quả được so sánh, nếu trùng nhau phù hợp
Ví dụ:
ACL: IP = 172.16.0.0; Wildcard = 0.15.255.255
Gói tin 1: IP = 172.17.1.100
OR #1 (ACE): 172.31.255.255 = OR #2: 172.31.255.255
Gói tin 2: IP = 172.32.1.100
OR #1 (ACE): 172.31.255.255 != OR #2: 172.47.255.255
Do kết quả của OR luôn bằng 1 khi bất kỳ giá trị nào trong số giá trị đầu vào bằng
1, thực chất việc đối sánh chỉ xảy ra với các bít trong Wildcard có giá trị bằng 0.
5.3 Các loại Access Control List
* Có 2 loại Access lists là: Standard Access lists và Extended Access lists
- Standard (ACLs): Lọc (Filter) địa chỉ ip nguồn (Source) vào trong mạng – đặt gần đích
(Destination).
137C Nguyễn Chí Thanh, P.9, Quận 5, Tp.HCM
Đề tài: “Xây dựng hạ tầng mạng doanh nghiệp” 86
- Extended (ACLs): Lọc địa chỉ ip nguồn và đích của 1 gói tin (packet), giao thức tầng
“Network layer header” như TCP, UDP, ICMP…, và port numbers trong tầng “Transport
layer header”. Nên đặt gần nguồn (source).
* ACLs đặc biệt
a. Dynamic ACLs
Đặc điểm: chỉ sử dụng lọc các IP traffic, Dynamic ACLs bị phụ thuộc vào sự kết nối Telnet,
sự xác thực (local or remote), và extended ACLs.
-Một user sẽ mở kết nối đến router biên được cấu hình lock-and-key. Những kết nối của
user thông qua virtual terminal port trên router.
-Khi nhận telnet packet router sẽ mỡ một telnet session và yêu cầu xác thực một password
hoặc một tài khoản username. User phải vượt qua sát thực mới được cho phép đi qua router.
Quá trình xác thực sẽ thực hiện bởi router hoặc một server xác thực sử dụng giao thức
RADIUS hoặc TACACS server.
-Khi user qua được sát thực, chúng sẽ thoát ra khỏi telnet session và một entry sẽ xuất hiện
trọng Dynamic ACLs
-Lúc đó, các người dùng sẽ trao đổi dữ liệu thông qua Firewall.
- Khi đúng khoảng thời gian timeout được cấu hình, router sẽ xóa entry vừa tạo trong
dynamic ACLs hoặc người quản trị có thể xóa bằng tay. Timeout có hai loại là idle timeout
hoặc absolute timeout. Idle timeout là nếu user không sử dụng session này trong một
khoảng thời gian thì entry trong Dynamip sẽ bị xóa. Absolute timeout là khoảng thời gian
cố định cho phép user sử dụng session này khi hết thời gian thì entry trong Dynamic ACLs
sẽ bị xóa.
Ứng dụng:
- Khi bạn muốn chỉ định một user hay một group user truy cập đến một host nào đó trong
mạng của bạn, hay kết nối tới những host từ xa thông qua Internet. Lock-and-key ACLs sẽ
xác thực người dùng và sau đó cho phép giới hạn truy cập thông qua router firewall cho
một host hay một mạng con trong một chu kỳ thời gian giới hạn.
137C Nguyễn Chí Thanh, P.9, Quận 5, Tp.HCM
Đề tài: “Xây dựng hạ tầng mạng doanh nghiệp” 87
- Khi bạn muốn một đường mạng con trong mạng local network truy cập tới một host nào
đó trong mạng từ xa mà được bảo vệ bởi một firewall. Với lock-and-key ACLs, bạn có thể
truy cập tới host ở xa chỉ với một nhóm host được đề nghị. Lock-and-key ACLs yêu cầu
những người dùng xác thực thông qua một AAA, TACACS+ server, hay những server bảo
mật khác trước khi cho phép những host truy cập đến những host ở xa.
b. Reflexive ACLs
Đặc điểm: ACLs này chỉ đc tạo bởi Extend Name ACLs không đc tạo bởi Numbering hay
Standard Name ACL
Ứng dụng: được sử dụng để cho phép các IP traffic từ bên ngoài của session mà khởi tạo
từ bên trọng nội mạng và ngăn những IP traffic khởi tạo session từ mạng bên ngoài. ACLs
này sẽ xem xét gói tin gởi ra ngoài nếu là gói khởi tạo session nó tự động thêm vào một
outbound entry để cho phép traffic trả lời về. Rèflexive ACLs có thể lọc session tốt hơn
thay vì chỉ ACK và RST bit như câu lệnh permit…established. Rèflexive lọc cả địa chỉ
nguồn, đích, port, ACK và RST bit của gói tin. Ngoài ra, session filtering sử dụng những
bộ lọc tạm thời cái mà được xóa khi một session kết thúc.
c. Time-based ACLs
· Đặc điểm: chức năng tương tự extended ACLs, nhưng chúng cho phép điều khiển truy
cập dựa vào thời gian
· Ứng dụng: Dùng để lọc gói tin dựa vào nhiều thông tin như Exended ACLs và dựa vào
cả thông tin về thời gian.
137C Nguyễn Chí Thanh, P.9, Quận 5, Tp.HCM
Đề tài: “Xây dựng hạ tầng mạng doanh nghiệp” 88
5.4 Các vị trí Access Control List
5.4.1 Inbound ACLs
+ Inbound: nói nôm na là 1 cái cổng vào(theo chiều đi vào của gói tin) trên Router những
gói tin sẽ được xử lý thông qua ACL trước khi được định tuyến ra ngoài (outbound
interface). Tại đây những gói tin sẽ “dropped” nếu không trùng với bảng định tuyến
(routing table), nếu gói tin (packet) được chấp nhận nó sẽ được xử lý trước khi chuyển giao
(transmission).
5.4.2 Outbound ACLs
+Outbound: là cổng đi ra của gói tin trên Router, những gói tin sẽ được định tuyến đến
outbound interface và xử lý thông qua ACLs, trước khi đưa đến ngoài hàng đợi (outbound
queue).
5.5 Hoạt động của ACLs
- ACL sẽ được thực hiện theo trình tự của các câu lệnh trong danh sách cấu hình khi tạo
access-list. Nếu có một điều kiện được so khớp (matched) trong danh sách thì nó sẽ thực
hiện, và các câu lệnh còn lại sẽ không được kiểm tra nữa.Trường hợp tất cả các câu lệnh
trong danh sách đều không khớp (unmatched) thì một câu lệnh mặc định “deny any” được
thực hiện. Cuối access-list mặc định sẽ là lệnh loại bỏ tất cả (deny all). Vì vậy, trong access-
list cần phải có ít nhất một câu lệnh permit.
• Khi packet đi vào một interface, router sẽ kiểm tra xem có một ACL trong inbound
interface hay không, nếu có packet sẽ được kiểm tra đối chiếu với những điều kiện trong
danh sách.
• Nếu packet đó được cho phép (allow) nó sẽ tiếp tục được kiểm tra trong bảng routing
để quyết định chọn interface để đi đến đích.
137C Nguyễn Chí Thanh, P.9, Quận 5, Tp.HCM
Đề tài: “Xây dựng hạ tầng mạng doanh nghiệp” 89
• Tiếp đó, router sẽ kiểm tra xem outbound interface có ACL hay không. Nếu không
thì packet có thể sẽ được gửi tới mạng đích. Nếu có ACL ở outbound interface, nó sẽ
kiểm tra đối chiếu với những điều kiện trong danh sách ACL đó.
5.6 Một số điểm cần lưu ý
* Chỉ có thể thiết lập 1 ACL trên giao thức cho mỗi hướng trên mỗi interface. Một
interface có thể có nhiều ACL.
* Router không thể lọc traffic mà bắt đầu từ chính nó.
* Câu lệnh nào đặt trước thì xử lý trước. Khi 1 câu lệnh mới thêm vào danh sách, nó sẽ
đặt cuối danh sách.
* Standard ACLs: Nên đặt gần đích của traffic.
* Extended ACLs: Nên đặt gần nguồn của traffic.
* Mặc định cả hai lệnh “the Access-Group” hay “the Access-Class” theo chiều “OUT”
6. Dynamic Host Configuration Protocol (DHCP)
6.1 Mục đích và chức năng
- DHCP làm việc theo chế độ Client-Server. DHCP server cho phép các DHCP client
trong một mạng IP nhận cấu hình IP từ một DHCP server.
- Khi sử dụng DHCP thì công việc quản lý mạng IP sẽ ít hơn vì phần lớn cấu hình IP
của Client được lấy về từ Server.
- Một DHCP client có thể chạy hầu hết các hệ điều hành Windows, Netvell, Sun
Solairs, Linux và Mac OS.
- DHCP là giải pháp giúp quản lý hệ thống mạng đễ dàng và có khả năng mở rộng.
137C Nguyễn Chí Thanh, P.9, Quận 5, Tp.HCM
Đề tài: “Xây dựng hạ tầng mạng doanh nghiệp” 90
Hình 33 Hoạt động của DHCP
6.2 Giới thiệu về NAT và PAT
- NAT ( Network-Address-Translation)
- Là cơ chế chuyển đổi địa chỉ IP private trong Lan sang địa chỉ public trong WAN
định tuyến được ra Internet.
- NAT được dùng để tiết kiệm địa chỉ IP đăng kí trong một mạng lớn và giúp đơn giản
hóa trong việc quản lý địa chỉ IP.
- NAT mang đến rất nhiều lợi ích cho các công ty và Internet.
- Thường là giao thức được áp trên Firewall hoặc các Router biên.
Static NAT
- Cho phép các thiết bị với một địa chỉ Private để được nhìn thấy trên một mạng
Public.
137C Nguyễn Chí Thanh, P.9, Quận 5, Tp.HCM
Đề tài: “Xây dựng hạ tầng mạng doanh nghiệp” 91
- Static NAT được nhập trực tiếp vào cấu hình và nằm trong bảng translation, thường
được sử dụng cho các máy chủ web.
Dynamic NAT
- Được thiết kế để ánh xạ một địa chỉ IP này sang một địa chỉ IP khác một cách tự
động, thông thường là ánh xạ từ một địa chỉ private sang một địa chỉ public.
- Bất kỳ một địa chỉ IP nào nằm trong dải địa chỉ IP công cộng (public) đã được định
trước đều có thể được gán cho một host bên trọng mạng (private)
Hình 34 Mô hình Dynamic NAT
6.2.1 Thuật ngữ trong kỹ thuật NAT
- Địa chỉ inside local : là địa chỉ IP gán cho một host ở mạng bên trong .
- Địa chỉ inside global : là địa chỉ đã được đăng kí với NIC ( Global IP Address), dùng
để thay thế một hay nhiều địa chỉ IP inside local.
- Địa chỉ outside local: là địa chỉ IP của một host bên ngoài khi nó xuất hiện bên trong
mạng.
137C Nguyễn Chí Thanh, P.9, Quận 5, Tp.HCM
Đề tài: “Xây dựng hạ tầng mạng doanh nghiệp” 92
- Địa chỉ outside glocal: là địa chỉ IP gán cho một host ở mạng bên ngoài. Địa chỉ này
được lấy từ địa chỉ có thể dùng định tuyến toàn cầu hay từ không gian địa chỉ mạng.
6.3 Ưu điểm NAT
- Không cần gán địa chỉ IP mới cho từng host khi thay đổi sang một ISP mới, tiết kiệm
thời gian và tiền bạc.
- Tiết kiệm địa chỉ thông qua ứng dụng PAT
- Bảo vệ mạng an toàn vì mạng nội bộ không để lộ địa chỉ và cấu trúc bên trong và
ngoài .
Hình 35 Ưu điểm NAT
137C Nguyễn Chí Thanh, P.9, Quận 5, Tp.HCM
Đề tài: “Xây dựng hạ tầng mạng doanh nghiệp” 93
6.4 PAT (Port- Address- Translation)
- Cho phép nhiều địa chỉ IP private được dịch chuyển sang một địa chỉ IP public duy
nhất
- PAT sử dụng số PORT nguồn cùng với địa chỉ IP Private bên trong để phân biệt khi
chuyển đổi.
II. KIẾN THỨC CƠ BẢN VỀ MẠNG WAN
1. Các công nghệ WAN phổ biến
1.1 Công nghệ Leased Line
- Leased-Line, hay còn gọi là kênh thuê riêng, là một hình thức kết nối trực tiếp giữa các
node mạng sử dụng kênh truyền dẫn số liệu thuê riêng. Kênh truyền dẫn số liệu thông
thường cung cấp cho người sử dụng sự lựa chọn trong suốt về giao thức đấu nối hay nói
cách khác, có thể sử dụng các giao thức khác nhau trên kênh thuê riêng như PPP, HDLC,
LAPB v.v…
- Về mặt hình thức, kênh thuê riêng có thể là các đường cáp đồng trục tiếp kết nối giữa
hai điểm hoặc có thể bao gồm các tuyến cáp đồng và các mạng truyền dẫn khác nhau. Khi
kênh thuê riêng phải đi qua các mạng khác nhau, các quy định về các giao tiếp với mạng
truyền dẫn sẽ được quy định bởi nhà cung cấp dịch vụ. Do đó, các thiết bị đầu cuối CSU
/DSU cần thiết để kết nối kênh thuê riêng sẽ phụ thuộc vào nhà cung cấp dịch vụ. Một số
các chuẩn kết nối chính được sử dụng là HDSL, G703 v.v…
- Khi sử dụng kênh thuê riêng, người sử dụng cần thiết phải có đủ các giao tiếp trên các
bộ định tuyến sao cho có một giao tiếp kết nối WAN cho mỗi kết nối kênh thuê riêng tại
mỗi node. Điều đó có nghĩa là, tại điểm node có kết nối kênh thuê riêng đến 10 điểm khác
nhất thiết phải có đủ 10 giao tiếp WAN để phục vụ cho các kết nối kênh thuê riêng. Đây là
một vấn đề hạn chế về đầu tư thiết bị ban đầu, không linh hoạt trong mở rộng phát triển,
137C Nguyễn Chí Thanh, P.9, Quận 5, Tp.HCM
Đề tài: “Xây dựng hạ tầng mạng doanh nghiệp” 94
phức tạp trong quản lý, đặc biệt là chi phí thuê kênh lớn đối với các yêu cầu kết nối xa về
khoảng cách địa lý.
- Giao thức sử dụng với leased-line là HDLC, PPP, LAPB.
HDLC: là giao thức được sử dụng với họ bộ định tuyến Cisco hay nói cách khác chỉ
có thể sử dụng HDLC khi cả hai phía của kết nối leased-line đều là bộ định tuyến
Cisco.
PPP: là giao thức chuẩn quốc tế, tương thích với tất cả các bộ định tuyến của các nhà
sản xuất khác nhau. Khi đấu nối kênh leased-line giữa một phía là thiết bị của Cisco
và một phía là thiết bị của hãng thứ ba thì nhất thiết phải dùng giao thức đấu nối này.
PPP là giao thức lớp 2 cho phép nhiều giao thức mạng khác nhau có thể chạy trên
nó, do vậy nó được sử dụng phổ biến.
APB: là giao thức truyền thông lớp 2 tương tự như giao thức mạng X.25 với đầy đủ
các thủ tục, quá trình kiểm soát truyền dẫn, phát triển và sửa lỗi. LAPB ít được sử
dụng.
1.2 Công nghệ Frame-Relay
- Là chuẩn của tổ chức liên minh viễn thông thế giới (ITU-T) và viện tiêu chuẩn quốc
gia Mỹ (ANSI)
- Là công nghệ chuyển mạch gói ở lớp Data-Link theo hướng kết nối. Sử dụng một phần
giao thức HDLC làm giao thức LADF (Link Access Procedure for Frame Relay )
- Thực hiện truyền frame giữa DTE và DCE tại điểm demarcation. Các Router biên của
Lan là DTE. Các DTE sẽ được kết nối qua đường E1/T1 vào Frame-Relay Switch là DCE.
137C Nguyễn Chí Thanh, P.9, Quận 5, Tp.HCM
Đề tài: “Xây dựng hạ tầng mạng doanh nghiệp” 95
- Tốc độ từ 64KB /s đến 45MB/s, độ tin cậy cao, độ trễ thấp và kiểm soát tốt nghẽn
mạng. Hỗ trợ các mô hình kết nối point to point và point to multipoint.
- Được xem như giao diện giữa người dùng và thiết bị mạng, do ISP cung cấp hoặc mạng
do tư nhân quản lý, triễn khai dịch vụ Frame Relay công cộng bằng việc đặt Frame Relay
Switch trong tổng đài của ISP.
- Dùng Frame Relay tiết kiệm kết nối hơn Leased Line nhưng phải tốn thêm chi phí cho
các Frame Relay Switch
Hình 36 Mô hình Frame-Relay
a. Quá trình đóng gói Frame Relay
- Quá trình đóng gói Frame Relay thực hiện theo các bước như sau :
* Nhận gói dữ liệu từ lớp mạng, ví dụ nư IP và IPX
* Đóng gói thành cấu trúc frame của Frame Relay
* Chuyển frame xuống tầng vật lý để chuyển đi
- Tầng vật lý thường là V.35, X.21, EIA/TIA-232, 449 hay 530
137C Nguyễn Chí Thanh, P.9, Quận 5, Tp.HCM
Đề tài: “Xây dựng hạ tầng mạng doanh nghiệp” 96
- Frame của Frame Relay sử dụng một phần định dạng của HDLC nên cũng có phần
flag 01111110, phần FCS được dùng để kiểm tra lỗi của frame. Việc kiểm tra lỗi được
giao cho các lớp trên của mô hình OSI đảm nhận
- Hai kiểu đóng gói Frame Relay trên Router Cisco
* Cisco :
- Là kiểu đóng gói Frame Relay độc quyền của Cisco
- Là mặc định của Router Cisco khi đóng gói Frame Relay
- Kiểu đóng gói này sử dụng 2 byte phần Header, trong đó:
- 1 byte xác định chỉ số DLCI
- 1 byte xác định loại gói dữ liệu
- Sử dụng chuẩn Cisco khi router ở hai đầu đều của Cisco. Tuy nhiên một số router của
hãng khác cũng hỗ trợ chuẩn này.
* IETF:
- Kiểu đóng gói phù hợp với chuẩn RFC 1490 của IETF
- Sử dụng chuẩn IETF khi router đầu bên kia không phải của Cisco
1.3 Công nghệ DSL
- DSL ( Digital Subscriber Line) : Là công nghệ cho phép sử dụng những tần số chưa
dùng trên cáp đồng để truyền dữ liệu ở tốc độ cao, lên đến hàng Megabits.
- DSL sử dụng kỹ thuật truyền băng thông rộng ghép nhiều dãi tần số khác nhau trên
cùng một đường truyền vật lý để truyền dữ liệu.
137C Nguyễn Chí Thanh, P.9, Quận 5, Tp.HCM
Đề tài: “Xây dựng hạ tầng mạng doanh nghiệp” 97
a. Đặc điểm DSL
- Trên đường dây điện thoại thường chỉ dùng khoảng tần số từ 0 – 4 KHZ để truyền dữ
liệu âm thanh.
- Công nghệ DSL tận dụng đặc điểm này để truyền trên cùng đường dây nhưng ở tần
số trên 4Khz đến 1Mhz.
- DSL có thể cho phép tín hiệu thoại và dữ liệu cùng truyền một lúc qua cùng một
đường cáp.
- Vì dịch vụ DSL luôn sẵn sàng nên người dùng không phải quay số dialup hoặc đợi
cho cuộc gọi được thiết lập.
- DSL types
Hình 37 Tốc độ DSL
Ưu điểm và giới hạn của DSL:
Các ưu điểm của ADSL:
- Tốc độ truy cập cao
- Truyền thông tin tích hợp data, voice và video.
137C Nguyễn Chí Thanh, P.9, Quận 5, Tp.HCM
Đề tài: “Xây dựng hạ tầng mạng doanh nghiệp” 98
- Luôn luôn online (always on): giúp triển khai các dịch vụ như personal web.
- Chi phí bảo trì thấp.
Giới hạn của DSL:
- Tốc độ truyền DSL tỉ lệ nghịch với khoảng cách giữa CPE và DSLAM.
- Vì là mạng công cộng nên phải tốn kém chi phí cho vấn đề bảo mật.
Các yếu tố ảnh hưởng đến chất lượng của DSL là:
- Số lượng các thiết bị gắn vào line DSL.
- Bridge-tap : mở rộng của CPE và CO.
1.4 Công nghệ MPLS ( Multi Protocol Label Switching )
- MPLS ( Multi Protocol Label Switching) là công nghệ chuyển mạch sử dụng label
(nhãn ) để chuyển các gói tin, sử dụng với cả các giao thức Non-IP.
- Mỗi nhãn luôn được gán cho một IP đích nhất định ( Giống bảng IP Forwarding).
- Các nhãn được chèn vào giữa header của lớp 3 và header của lớp 2 trong trường hợp
sử dụng kỹ thuật dựa trên khung lớp 2. Mục tiêu chính của MPLS là tạo ra một cấu trúc
mạng mềm dẻo để cung cấp cho đặc tính mở rộng và ổn định của mạng.
- MPLS hỗ trợ điều khiển lưu lượng và khả năng hoạt động của VPN và có liên quan
đến Chất lượng dịch vụ ( QoS) với nhiều lớp dịch vụ (Cos)
- MPLS bao gồm 2 thành phần chính là:
* Mặt phẳng điều khiển : Trao đổi thông tin định tuyến và các nhãn.
* Mặt phẳng dữ liệu : Chuyển gói tin (packet) hoặc tế bào dữ liệu (cell)
- Mỗi LSR đăng kí một nhãn cho mỗi đích đến trong bảng định tuyến. Nhãn chỉ có giá
trị nội bộ và có thể được quảng bá trực tiếp với các neighbor.
137C Nguyễn Chí Thanh, P.9, Quận 5, Tp.HCM
Đề tài: “Xây dựng hạ tầng mạng doanh nghiệp” 99
- Các gói tin được chuyển tiếp sử dụng nhãn từ bảng LFIB, quá trình cấu hình MPLS
bao gồm cấu hình IP CEF, tag switching, và thiết lập kích thước MTU.
- Kỹ thuật MPLS VPN kết hợp tính năng tốt nhất cho chuyển mạch ở mạng lõi và định
tuyến ở mạng biên. Router PE chuyển các gói tin theo đường MPLS VPN sử dụng chồng
nhãn (label stack)
Hình 38 Mô hình MPLS Topology
1.4.1 Ưu điểm và ứng dụng của MPLS
Ưu điểm :
* MPLS nhanh hơn các giao thức kết nối WAN khác về tốc độ và giảm thời gian trễ
một cách hiệu quả
* Khả năng mở rộng cao về số lượng người dùng
* Công nghệ tương đối đơn giản
137C Nguyễn Chí Thanh, P.9, Quận 5, Tp.HCM
Đề tài: “Xây dựng hạ tầng mạng doanh nghiệp” 100
* MPLS cung cấp tính năng điều khiển lưu lượng để sử dụng hiệu quả tài nguyên
mạng
Ứng dụng :
- MPLS VPN
- MPLS traffic Engineering
- MPLS QoS
- MPLS Multicast/ Unicast Routing….
2. Công nghệ mạng riêng ảo VPN (Vitural Private Network)
Mạng riêng ảo, có tên tiếng Anh là Virtual Private Network, viết tắt là VPN. Sau đây ta
thường gọi ngắn gọn theo tên viết tắt. VPN là phương pháp làm cho một mạng công cộng
(như mạng Internet) hoạt động giống như mạng cục bộ, cũng có các đặc tính như bảo mật
và tính ưu tiên mà người dùng yêu thích.
Theo cách nói đơn giản, VPN là một sự mở rộng của mạng Intranet qua một mạng công
cộng (như Internet) mà đảm bảo sự bảo mật và hiệu quả kết nối giữa 2 điểm truyền thông
cuối. Mạng Intranet riêng được mở rộng nhờ sự trợ giúp của các "đường hầm". Các đường
hầm này cho phép các thực thể cuối trao đổi dữ liệu theo cách tương tự như truyền thông
điểm - điểm.
Một báo cáo nghiên cứu về VPN cho thấy: Có thể tiết kiệm từ 20% đến 47% chi phí
mạng WAN khi thay thế các đường Lease-Line để truy cập mạng từ xa bằng VPN. Và với
VPN truy cập từ xa có thể tiết kiệm từ 60% đến 80% chi phí khi sử dụng đường Dial-up
để truy cập từ xa đến Công ty.
Mạng riêng ảo đã thực sự chinh phục cuộc sống. Việc kết nối các mạng máy tính của
các doanh nghiệp lâu nay vẫn được thực hiện trên các đường truyền thuê riêng, cũng có
thể là kết nối Frame Relay hay ATM. Nhưng, rào cản lớn nhất đến với các doanh nghiệp
137C Nguyễn Chí Thanh, P.9, Quận 5, Tp.HCM
Đề tài: “Xây dựng hạ tầng mạng doanh nghiệp” 101
tổ chức đó là chi phí. Chi phí từ nhà cung cấp dịch vụ, chi phí từ việc duy trì, vận hành hạ
tầng mạng, các thiết bị riêng của doanh nghiệp... rất lớn. Vì vậy, điều dễ hiểu là trong thời
gian dài, chúng ta gần như không thấy được nhiều ứng dụng, giải pháp hữu ích trên mạng
diện rộng WAN.
Rõ ràng, sự ra đời của công nghệ mạng riêng ảo đã cho phép các tổ chức, doanh nghiệp
có thêm sự lựa chọn mới. Không phải vô cớ mà các chuyên gia viễn thông nhận định:
"Mạng riêng ảo chính là công nghệ mạng WAN thế hệ mới".
2.1 Định nghĩa VPN
Công ty/doanh nghiệp của bạn có nhiều chi nhánh muốn kết nối với nhau để trao đổi dữ
liệu và sử dụng các dịch vụ trong mạng nội bộ của trụ sở chính? Hoặc bạn là người phải
thường xuyên làm việc lưu động muốn kết nối vào hệ thống mạng nội bộ của công ty mình
thông qua một môi trường public như Internet?
Vậy đâu là giải pháp cho những yêu cầu trên? Câu trả lời đó là VPN (Virtual Private
Network), một giải pháp mạng riêng ảo cho phép bạn thực hiện những yêu cầu trên.
VPN cho phép các host giữa nhiều chi nhánh truyền thông với nhau thông qua một đường
hầm ảo (tunnel). Khi đó, giữa các chi nhánh đó như được kết nối trực tiếp với nhau trong
cùng một mạng Private.
Và tuyệt vời hơn nữa là VPN đảm bảo dữ liệu được bảo mật an toàn một cách tuyệt đối khi
truyền thông qua một môi trường không tin cậy như Internet.
137C Nguyễn Chí Thanh, P.9, Quận 5, Tp.HCM
Đề tài: “Xây dựng hạ tầng mạng doanh nghiệp” 102
Hình 39 Mô hình VPN
2.2 Lịch sử hình thành và phát triển
- Khái niệm đầu tiên về VPN được AT&T (tên 1 công ty viễn thông ở Mỹ) đưa ra
vào khoảng cuối thập niên 80. VPN được biết đến như là “mạng được định nghĩa bởi phần
mềm” (Software Defined Network – SDN). SDN là mạng WAN với khoảng cách xa, nó
được thiết lập dành riêng cho người dùng. SDN dựa vào cơ sở dữ liệu truy nhập để phân
loại truy nhập vào mạng ở gần hoặc từ xa. Dựa vào thông tin, gói dữ liệu sẽ được định
tuyến đến đích thông qua cơ sở hạ tầng chuyển mạch công cộng. Thế hệ thứ 2 của VPN
xuất hiện cùng với sự ra đời của công nghệ X25 và ISDN vào đầu thập kỷ 90. Trong một
thời gian, giao thức X25 qua mạng ISDN được thiết lập như là 1 giao thức của VPN, tuy
nhiên, tỉ lệ sai lỗi trong quá trình truyền dẫn vượt quá sự cho phép. Do đó thế hệ thứ hai
của VPN nhanh chóng bị lãng quên trong một thời gian ngắn. Sau thế hệ thứ 2, thị trường
VPN bị chậm lại cho đến khi công nghệ Frame Relay và công nghệ ATM ra đời - thế hệ
thứ 3 của VPN dựa trên 2 công nghệ này. Những công nghệ này dựa trên khái niệm chuyển
mạch kênh ảo. Trong thời gian gần đây, thương mại điện tử đã trở thành 1 phương thức
thương mại hữu hiệu, những yêu cầu của người sử dụng mạng VPN cũng rõ ràng hơn.
Người dùng mong muốn 1 giải pháp mà có thể dễ dàng được thực hiện, thay đổi, quản trị,
có khả năng truy nhập trên toàn cầu và có khả năng cung cấp bảo mật ở mức cao, từ đầu
cuối đến đầu cuối. Thế hệ gần đây (thế hệ thứ 4) của VPN là IP-VPN. IP-VPN đã đáp ứng
được tất cả những yêu cầu này bằng cách ứng dụng công nghệ đường hầm.
137C Nguyễn Chí Thanh, P.9, Quận 5, Tp.HCM
Đề tài: “Xây dựng hạ tầng mạng doanh nghiệp” 103
2.3 Những lợi ích VPN mang lại
VPN mang lại nhiều lợi ích, những lợi ích này bao gồm:
- Giảm chi phí thực thi: Chi phí cho VPN ít hơn rất nhiều so với các giải pháp truyền
thống dựa trên đường Lease-Line như Frame Relay, ATM hay ISDN. Bởi vì VPN loại trừ
được những yếu tố cần thiết cho các kết nối đường dài bằng cách thay thế chúng bởi các
kết nối cục bộ tới ISP hoặc điểm đại diện của ISP.
- Giảm được chi phí thuê nhân viên và quản trị: Vì giảm được chi phí truyền thông
đường dài. VPN cũng làm giảm được chi phí hoạt động của mạng dựa vào WAN một cách
đáng kể. Hơn nữa, một tổ chức sẽ giảm được toàn bộ chi phí mạng nếu các thiết bị dùng
trong mạng VPN được quản trị bởi ISP. Vì lúc này, thực tế là Tổ chức không cần thuê
nhiều nhân viên mạng cao cấp.
- Nâng cao khả năng kết nối: VPN tận dụng Internet để kết nối giữa các phần tử ở xa
của một Intranet. Vì Internet có thể được truy cập toàn cầu, nên hầu hết các nhánh văn
phòng, người dùng, người dùng di động từ xa đều có thể dễ dàng kết nối tới Intranet của
Công ty mình.
- Bảo mật các giao dịch: Vì VPN dùng công nghệ đường hầm để truyền dữ liệu qua
mạng công cộng không an toàn. Dữ liệu đang truyền được bảo mật ở một mức độ nhất
định, Thêm vào đó, công nghệ đường hầm sử dụng các biện pháp bảo mật như: Mã hoá,
xác thực và cấp quyền để bảo đảm an toàn, tính tin cậy, tính xác thực của dữ liệu được
truyền, Kết quả là VPN mang lại mức độ bảo mật cao cho việc truyền tin.
- Sử dụng hiệu quả băng thông: Trong kết nối Internet dựa trên đường Lease-Line, băng
thông hoàn toàn không được sử dụng trong một kết nối Internet không hoạt động. Các
VPN, chỉ tạo các đường hầm logic đề truyền dữ liệu khi được yêu cầu, kết quả là băng
137C Nguyễn Chí Thanh, P.9, Quận 5, Tp.HCM
Đề tài: “Xây dựng hạ tầng mạng doanh nghiệp” 104
thông mạng chỉ được sử dụng khi có một kết nối Internet hoạt động. Vì vậy làm giảm đáng
kể nguy cơ lãng phí băng thông mạng.
- Nâng cao khả năng mở rộng: Vì VPN dựa trên Internet, nên cho phép Intranet của một
công ty có thể mở rộng và phát triển khi công việc kinh doanh cần phải thay đổi với phí
tổn tối thiểu cho việc thêm các phương tiện, thiết bị. Điều này làm cho Intranet dựa trên
VPN có khả năng mở rộng cao và dễ dàng tương thích với sự phát triển trong tương lai.
- Như chúng ta thấy, yêu cầu ứng dụng các công nghệ mới và mở rộng mạng đối với các
mạng riêng ngày càng trở nên phức tạp và tốn kém. Với giải pháp mạng riêng ảo, chi phí
này được tiết kiệm do sử dụng cơ sở hạ tầng là mạng truyền số liệu công cộng (ở Việt Nam,
thực tế chi phí tốn kém cho mạng riêng là chi phí cho các kênh thuê riêng đường dài, các
mạng riêng cũng không quá lớn và phức tạp, giải pháp VPN sẽ là giải pháp giúp tiết kiệm
chi phí cho kênh truyền riêng cũng như sử dụng hiệu quả hơn cơ sở hạ tầng mạng truyền
số liệu công cộng).
- Trên đây là một số lợi ích cơ bản mà giải pháp VPN mang lại. Tuy nhiên bên cạnh đó,
nó cũng không tránh khỏi một số bất lợi như: Phụ thuộc nhiều vào Internet. Sự thực thi của
một mạng dựa trên VPN phụ thuộc nhiều vào sự thực thi của Internet. Các đường Lease-
Line bảo đảm băng thông được xác định trong hợp đồng giữa nhà cung cấp và Công ty.
Tuy nhiên không có một đảm bảo về sự thực thi của Internet. Một sự quá tải lưu lượng và
tắc nghẽn mạng có thể ảnh hưởng và từ chối hoạt động của toàn bộ mạng dựa trên VPN.
- Khả năng quản lý: cũng là vấn đề khó khăn của VPN. Cũng với lý do là chạy ngang
qua mạng Internet nên khả năng quản lý kết nối end to end từ phía một nhà cung cấp đơn
lẻ là điều không thể thực hiện được. Vì thế nhà cung cấp dịch vụ (ISP) không thể cung cấp
chất lượng 100% như cam kết mà chỉ có thể cố hết sức. Cũng có một lối thoát là các nhà
cung cấp ký kết với nhau các bản thoả thuận về các thông số mạng, đảm bảo chất lượng
dịch vụ cho khách hàng. Tuy nhiên các cam kết này cũng không đảm bảo 100%.
137C Nguyễn Chí Thanh, P.9, Quận 5, Tp.HCM
Đề tài: “Xây dựng hạ tầng mạng doanh nghiệp” 105
2.4 Những yêu cầu đối với VPN
- Việc triển khai hệ thống VPN cơ bản cần đáp ứng một số yêu cầu sau:
Tính tương thích (Compatibility): Mỗi công ty, mỗi doanh nghiệp đều được xây
dựng các hệ thống mạng nội bộ và diện rộng của mình dựa trên các thủ tục khác
nhau và không tuân theo một chuẩn nhất định của nhà cung cấp dịch vụ. Rất nhiều
các hệ thống mạng không sử dụng các chuẩn TCP/IP vì vậy không thể kết nối trực
tiếp với Internet. Để có thể sử dụng được IP VPN tất cả các hệ thống mạng riêng
đều phải được chuyển sang một hệ thống địa chỉ theo chuẩn sử dụng trong Internet
cũng như bổ sung các tính năng về tạo kênh kết nối ảo, cài đặt cổng kết nối Internet
có chức năng trong việc chuyển đổi các thủ tục khác nhau sang chuẩn IP. Phần lớn
số lượng khách hàng được hỏi yêu cầu khi chọn một nhà cung cấp dịch vụ IP VPN
phải tương thích với các thiết bị hiện có của họ.
Tính khả dụng (Availability): Một giải pháp VPN cần thiết phải cung cấp được tính
bảo đảm về chất lượng, hiệu suất sử dụng dịch vụ cũng như dung lượng truyền.
Tiêu chuẩn về chất lượng dịch vụ (QoS) – một tiêu chuẩn đánh giá của một mạng
lưới có khả năng đảm bảo chất lượng dịch vụ cung cấp đầu cuối đến đầu cuối. QoS
liên quan đến khả năng đảm bảo độ trễ dịch vụ trong một phạm vi nhất định hoặc
liên quan đến cả hai vấn đề trên.
An toàn dữ liệu: Mạng VPN cần cung cấp 4 chức năng giới hạn để đảm bảo độ
bảo mật cho giữ liệu:
Xác thực (Authentication): giúp đảm bảo dữ liệu đến bắt đầu từ một nguồn theo
yêu cầu.
Điều khiển truy cập (Access control): han chế việc thăng cấp quyền truy cập vào
mạng của những người dùng bất hợp pháp.
Tin cậy (Confidentiality): ngăn không cho tin tặc đọc hoặc sao chép dữ liệu khi
dữ liệu được truyền trong mạng Internet.
Tính toàn vẹn của dữ liệu (Data integrity): giúp cho dữ liệu không bị thay đổi vì
bất kỳ lý do gì khi nó truyền đi trên mạng Internet.
137C Nguyễn Chí Thanh, P.9, Quận 5, Tp.HCM
Đề tài: “Xây dựng hạ tầng mạng doanh nghiệp” 106
2.5 Các mô hình kết nối VPN thông dụng
2.5.1 VPN truy cập từ xa (Remote VPN)
Hình 40 Thiết lập VPN từ xa
- Được gọi là “ Mạng quay số riêng ảo “ (VPDN), đây là dạng kết nối User-to-Lan áp
dụng cho dành cho các nhân viên ở công ty khi có nhu cầu kết nối đến mạng riêng từ các
địa điểm xa và bằng các thiết bị khác nhau.
- Khi VPN được triển khai, các nhân viên chỉ cần kết nối internet hong qua các ISP
và sử dụng các phần mềm VPN để truy cập đến một mạng Intranet hay Extranet của một
tổ chức trên nền hạ tầng mạng công cộng. Dịch vụ này cho phép người dùng truy xuất tài
nguyên mạng của Công ty họ như là họ đang kết nối trực tiếp vào mạng đó.
- VPN Remote cung cấp khả năng truy nhập từ xa đến intranet hay extranet của tổ
chức qua cơ sở hạ tầng chung. Truy nhập VPN sử dụng kỹ thuật tương tự, quay số, ISDN,
DSL, mobile IP và cáp để thực hiện kết nối an toàn cho người dùng lưu động, người dùng
truyền hong và các văn phòng chi nhánh.
2.5.2 VPN cục bộ (Intranet VPN)
137C Nguyễn Chí Thanh, P.9, Quận 5, Tp.HCM
Đề tài: “Xây dựng hạ tầng mạng doanh nghiệp” 107
Hình 41 Thiết lập Intranet VPN
- Intranet VPN được áp dụng thiết lập cho các công ty khi họ có nhiều chi nhánh ở
xa và mỗi chi nhánh đều có một cục bộ mạng LAN. Liên kết các văn phòng trung
tâm, các chi nhánh tới mạng intranet thông qua cơ sở hạ tầng dùng chung bằng
các kết nối chuyên biệt.
- Ưu điểm:
+ Vì Internet hoạt động như một phương tiện kết nối, nó dễ dàng cung cấp các liên
kết ngang hàng mới.
+ Vì kết nối tới các ISP cục bộ, khả năng truy cập nhanh hơn, tốt hơn. Cùng với việc
loại trừ các dịch vụ đường dài giúp cho tổ chức giảm được chi phí của hoạt động Intranet.
- Nhược điểm:
+ Vì dữ liệu được định đường hầm qua một mạng chia sẽ công cộng nên các tấn công
mạng như: từ chối dịch vụ vẫn đe doạ nghiêm trọng đến an ninh mạng.
+ Khả năng mất các gói dữ liệu khi truyền vẫn còn cao.
+ Đường truyền dữ liệu đầu trên như multimedia, độ trể truyền tin vẫn rất cao và
thông lượng có thể bị giảm xuống rất thấp dưới sự hiện diện của Internet.
137C Nguyễn Chí Thanh, P.9, Quận 5, Tp.HCM
Đề tài: “Xây dựng hạ tầng mạng doanh nghiệp” 108
+ Vì sự hiện diện của kết nối Internet sự thực thi có thể bị gián đoạn và QoS có thể
không được đảm bảo.
2.5.3 VPN mở rộng (Extranet VPN)
Hình 42 Thiết lập mạng VPN Extranet
- VPN Extranet được áp dụng cho các công ty khi họ có nhu cầu kết nối cùng với
nhiều đối tác, khách hàng thân thiết kết cùng nhau làm việc qua một mạng riêng
ảo.
- Liên kết khách hàng, nhà cung cấp, đối tác hay các cộng đồng quyền lợi tới mạng
tổ chức thông qua cơ sở hạ tầng dùng chung bằng các kết nối chuyên biệt. Extranet
VPN khác với intranet VPN là chúng cho phép truy nhập tới người dùng bên ngoài
tổ chức.
- Ưu điểm:
+ Dễ thực thi, duy trì và dễ thay đổi
+ Chi phí thiết lập thấp
- Nhược điểm:
137C Nguyễn Chí Thanh, P.9, Quận 5, Tp.HCM
Đề tài: “Xây dựng hạ tầng mạng doanh nghiệp” 109
+ Tăng rủi ro vì các xâm nhập vào Intranet của tổ chức
+ Độ trễ truyền thông vẫn lớn
2.6 Giao thức đường hầm tại Layer 2 trong VPN
2.6.1 Giao thức PPTP (Point-to-Point Tunneling Protocol)
- Giao thức PPTP được sử dụng trên các máy client chạy HĐH Microsoft fro NT
4.0 và Win 95+. Giao thức này được sử dụng để mã hoá dữ liệu lưu thông trên mạng LAN.
Giống giao thức NETBEUI và IPX trong một packet gửi lên mạng. PPTP dựa chuẩn RSA
RC4 và được hỗ trợ bởi sự mã hoá 40-bits or 128-bits. Giao thức này dùng bất kỳ cơ chế
thẩm định quyền truy cập nào được PPP hỗ trợ.
2.6.2 Giao thức chuyển tiếp L2F (Layer 2 Forwarding)
- Là giao thức được phát triển bởi Cisco System. L2F được thiết kế cho phép tạo ra
đường hầm giữa NAS và một thiết bị VPN Gateway để truyền các Frame, người sử dụng
từ xa có thể kết nối đến NAS và truyền Fram PPP từ remote user đến VPN Gateway trong
đường hầm được tạo ra.
2.6.3 Giao thức L2TP (Layer 2 Tunneling Protocol)
- Là chuẩn giao thức do IETF đề xuất, L2TP tích hợp cả 2 điểm mạnh là truy nhập
từ xa của L2F (Layer 2 Forwarding của Cisco System) và tính kết nối nhanh của poinh-to-
point của PPTP (Point to point tunneling Protocol của Microsoft). Trong môi trường
Remote Access L2TP cho phép khởi tạo đường hầm cho các Frame và sử dụng giao thức
PPP truyên dữ liệu trong đường hầm. Cuối cùng, giao thức L2TP không cung cấp mã hoá.
2.7 Giao thức đường hầm tại Layer 3 trong VPN (IPSec)
2.7.1 Tìm hiểu về IPSec
- IP Security (IPSec) là một giao thức được chuẩn hoá bởi IETF từ năm 1998 nhằm
mục đích nâng cấp các cơ chế mã hoá và xác thực thông tin cho chuỗi thông tin truyền đi
trên mạng bằng giao thức IP. Hay nói cách khác, IPSec là sự tập hợp của các chuẩn mở
được thiết lập để đảm bảo sự cẩn mật dữ liệu, đảm bảo tính toàn vẹn dữ liệu và chứng thực
dữ liệu giữa các thiết bị mạng.
137C Nguyễn Chí Thanh, P.9, Quận 5, Tp.HCM
Đề tài: “Xây dựng hạ tầng mạng doanh nghiệp” 110
- IPSec thực hiện mã hóa và xác thực ở lớp mạng. Nó cung cấp một giải pháp an
toàn dữ liệu từ đầu cuối-đến-đầu cuối trong bản thân cấu trúc mạng (ví dụ khi thực hiện
mạng riêng ảo VPN). Vì vậy vấn đề an toàn được thực hiện mà không cần thay đổi các ứng
dụng cũng như các hệ thống cuối. Các gói mã hóa có khuôn dạng giống như gói tin IP
thông thường, nên chúng dễ dàng được định tuyến qua mạng Internet mà không phải thay
đổi các thiết bị mạng trung gian, qua đó cho phép giảm đáng kể các chi phí cho việc triển
khai và quản trị. IPSec cung cấp bốn chức năng quan trọng sau:
- Bảo mật(mã hóa)- Confidentiality: Người gửi có thể mã hóa dữ liệu trước khi
truyền chúng qua mạng. Bằng cách đó, không ai có thể nghe trộm trên đường truyền. Nếu
giao tiếp bị ngăn chặn, dữ liệu không thể đọc được.
- Toàn vẹn dữ liệu- Data integrity: Người nhận có thể xác minh các dữ liệu được
truyền qua mạng Internet mà không bị thay đổi. IPSec đảm bảo toàn vẹn dữ liệu bằng cách
sử dụng checksums (cũng được biết đến như là một giá trị băm).
- Xác thực- Authentication: Xác thực đảm bảo kết nối được thực hiện và các đúng
đối tượng. Người nhận có thể xác thực nguồn gốc của gói tin, bảo đảm, xác thực nguồn
gốc của thông tin.
- Antireplay protection: xác nhận mỗi gói tin là duy nhất và không trùng lặp.
- IPSec là một nền(Frame work) kết hợp giao thức bảo mật và cung cấp mạng riêng
ảo với các dữ liệu bảo mật, toàn vẹn và xác thực. Làm việc với sự tập hợp của các chuẩn
mở được thiết lập để đảm bảo sự bảo mật dữ liệu, đảm bảo tính toàn vẹn dữ liệu, và chứng
thực dữ liệu giữa các thiết bị tham gia vào mạng VPN. Các thiết bị này có thể là các host
hoặc là các security gateway (routers, firewalls, VPN concentrator,...) hoặc là giữa 1 host
và gateway như trong trường hợp remote access VPNs.
2.7.2 Liên kết bảo mật IPSec (SA-IPSec)
- Security Associations (SAs) là một khái niệm cơ bản của bộ giao thức IPSec. SA
là một kết nối luận lý theo một phương hướng duy nhất giữa hai thực thể sử dụng các dịch
vụ IPSec.
Các giao thức xác nhận, các khóa, và các thuật toán.
137C Nguyễn Chí Thanh, P.9, Quận 5, Tp.HCM
Đề tài: “Xây dựng hạ tầng mạng doanh nghiệp” 111
Phương thức và các khóa cho các thuật toán xác nhận được dùng bởi các giao thức
Authentication Header (AH) hay Encapsulation Security Payload (ESP) của bộ IPSec.
Thuật toán mã hóa và giải mã và các khóa.
Thông tin liên quan khóa như khoảng thời gian thay đổi hay khoảng thời gian làm
tươi của các khóa.
Thông tin liên quan đến chính bản thân SA bao gồm địa chỉ nguồn SA và khoảng
thời gian làm mới.
IPSec SA gồm có 3 trường:
Hình 43 Ba trường của SA
SPI (Security Parameter Index): Đây là một trường 32 bit dùng nhận dạng giao
thức bảo mật, được định nghĩa bởi trường Security protocol, trong bộ IPSec đang dùng.
SPI được mang theo như là một phần đầu của giao thức bảo mật và thường được chọn bởi
hệ thống đích trong suốt quá trình thỏa thuận của SA.
Destination IP address: Đây là địa chỉ IP của nút đích. Mặc dù nó có thể là địa
chỉ broadcast, unicast, hay multicast, nhưng cơ chế quản lý hiện tại của SA chỉ được định
nghĩa cho hệ thống unicast.
Security protocol: Phần này mô tả giao thức bảo mật IPSec, có thể là AH hoặc
ESP.
Chú thích:
- Broadcasts có nghĩa cho tất cả hệ thống thuộc cùng một mạng hoặc mạng con. Còn
multicasts gửi đến nhiều (nhưng không phải tât cả) nút của một mạng hoặc mạng con cho
sẵn. Unicast có nghĩa cho 1 nút đích đơn duy nhất.
- Bở vì bản chất theo một chiều duy nhất của SA, cho nên 2 SA phải được định
nghĩa cho hai bên thông tin đầu cuối, một cho mỗi hướng. Ngoài ra, SA có thể cung cấp
137C Nguyễn Chí Thanh, P.9, Quận 5, Tp.HCM
Đề tài: “Xây dựng hạ tầng mạng doanh nghiệp” 112
các dịch vụ bảo mật cho một phiên VPN được bảo vệ bởi AH hoặc ESP. Do vậy, nếu một
phiên cần bảo vệ kép bởi cả hai AH và ESP, 2 SA phải được định nghĩa cho mỗi hướng.
Việc thiết lập này của SA được gọi là SA bundle.
- Một IPSec SA dùng 2 cơ sở dữ liệu. Security Association Database (SAD) nắm
giữ thông tin liên quan đến mỗi SA. Thông tin này bao gồm thuật toán khóa, thời gian sống
của SA, và chuỗi số tuần tự. Cơ sở dữ liệu thức hai của IPSec SA, Security Policy Database
(SPD), nắm giữ thông tin về các dịch vụ bảo mật kèm theo với một danh sách thứ tự chính
sách các điểm vào và ra. Giống như firewall rules và packet filters, những điểm truy cập
này định nghĩa lưu lượng nào được xữ lý và lưu lượng nào bị từ chối theo từng chuẩn của
IPSec.
2.7.3 IPSec Security Protocols
- Bộ IPSec đưa ra 3 tính năng chính bao gồm:
Tính xác nhận và tính toàn vẹn dữ liệu (Authentication and data integrity)
IPSec cung cấp một cơ chế mạnh mẽ để xác nhận tính chất xác thực của người gửi
và kiểm chứng bất kỳ sự sữa đổi không được bảo vệ trước đó của nội dung gói dữ liệu bởi
người nhận. Các giao thức IPSec đưa ra khả năng bảo vệ mạnh để chống lại các dạng tấn
công giả mạo, phát hiện và từ chối dịch vụ.
Sự cẩn mật (Confidentiality)
Các giao thức IPSec mã hóa dữ liệu bằng cách sử dụng kỹ thuật mã hóa cao cấp,
giúp ngăn cản người chưa chứng thực truy cập dữ liệu trên đường đi của nó. IPSec cũng
dùng cơ chế tạo hầm để ẩn địa chỉ IP của nút nguồn (người gửi) và nút đích (người nhận)
từ những kẻ nghe lén.
Quản lý khóa (Key management)
IPSec dùng một giao thức thứ ba, Internet Key Exchange (IKE), để thỏa thuận các
giao thức bao mật và các thuật toán mã hóa trước và trong suốt phiên giao dịch. Một phần
quan trọng nữa, IPSec phân phối và kiểm tra các khóa mã và cập nhật những khóa đó khi
được yêu cầu.
137C Nguyễn Chí Thanh, P.9, Quận 5, Tp.HCM
Đề tài: “Xây dựng hạ tầng mạng doanh nghiệp” 113
Hai tính năng đầu tiên của bộ IPSec, authentication and data integrity, và
confidentiality, được cung cấp bởi hai giao thức chính của trong bộ giao thức IPSec. Những
giao thức này bao gồm Authentication Header (AH) và Encapsulating Security Payload
(ESP). Tính năng thứ ba, key management, nằm trong bộ giao thức khác, được bộ IPSec
chấp nhận bởi nó là một dịch vụ quản lý khóa mạnh. Giao thức này là IKE.
137C Nguyễn Chí Thanh, P.9, Quận 5, Tp.HCM
Đề tài: “Xây dựng hạ tầng mạng doanh nghiệp” 114
2.7.4 Các giao thức của IPSec
Hình 44 Các giao thức trong IP-Sec
- IPSec bảo mật kết nối mạng bằng việc sử dụng 2 giao thức và cung cấp bảo mật
cho các gói tin của cả hai phiên bản IPv4 và IPv6:
IP Authentication Header đảm bảo 3 tính chất cơ bản:
o Toàn vẹn thông tin.
o Xác thực thông tin.
o Chống phát lại.
137C Nguyễn Chí Thanh, P.9, Quận 5, Tp.HCM
Đề tài: “Xây dựng hạ tầng mạng doanh nghiệp” 115
IP Encapsulating Security Payload đảm bảo 4 tính chất cơ bản:
o Toàn vẹn thông tin.
o Xác thực thông tin.
o Mã hóa thông tin.
o Chống phát lại.
Thuật toán mã hoá được sử dụng trong IPsec bao gồm HMAC-SHA1 cho tính toàn
vẹn dữ liệu (integrity protection), và thuật toán 3DES-CBC và AES-CBC cho mã mã hoá
và đảm bảo độ an toàn của gói tin.
- Authentication Header (AH)
AH được sử dụng trong các kết nối không có tính đảm bảo dữ liệu. Hơn nữa nó là
lựa chọn nhằm chống lại các tấn công replay attack bằng cách sử dụng công nghệ chống
tấn công sliding windows và discarding older packets. AH bảo vệ quá trình truyền dữ liệu
khi sử dụng IP. Trong IPv4, IP header có bao gồm TOS, Flags, Fragment Offset, TTL, và
Header Checksum. AH thực hiện trực tiếp trong phần đầu tiên của gói tin IP. dưới đây là
mô hình của AH header.
Hình 45 Cấu trúc gói tin AH
137C Nguyễn Chí Thanh, P.9, Quận 5, Tp.HCM
Đề tài: “Xây dựng hạ tầng mạng doanh nghiệp” 116
- Ý nghĩa của từng trường:
Next header (8 Bits): Nhận dạng giao thức trong sử dụng truyền thông tin, xác định
loại dữ liệu chứa bên trong tiêu đề AH.
Payload length (8 Bits): Độ lớn của gói tin AH tính bằng đơn vị từ (32 Bits) và trừ
đi 2 đơn vị. Ví dụ: toàn bộ chiều dài tiêu đề AH là 6 thì chiều dài vùng Payload length là
4.
RESERVED (16 Bits): Sử dụng trong tương lai (cho tới thời điểm này nó được biểu
diễn bằng các số 0).
Security parameters index (SPI – 32 Bits): Nhận ra các thông số bảo mật, được tích
hợp với địa chỉ IP, và nhận dạng các thương lượng bảo mật được kết hợp với gói tin.Giá
trị 1-255 được dành riêng, giá trị 0 sử dụng cho mục đích đặc biệt, các giá trị khác dùng
gán cho SPI.
Sequence number (32 bits): Đây là một giá trị không dấu, luôn tăng và cho phép
cung cấp dịch vụ antireplay cho một SA. Thông tin này không nhất thiết được dùng bởi
bên nhận nhưng nó phải bao gồm bởi thiết bị gửi. Chỉ số này được khởi động về 0 khi SA
được thiết lập. Nếu dịch vụ antireplay được dùng, chỉ số này không bao giờ được phép lặp
lại. Bởi vì bên gửi không biết bên nhận có dùng dịch vụ antireplay, SA sẽ được hủy và một
SA mới sẽ được tái thiết lập sau khi có 232 gói tin được truyền.
Authentication data (Chiều dài không xác định): Trường này chứa giá trị Integrity
Check Value (ICV) cho gói tin. Trường này phải là một số nguyên bội số của 32 và có thể
chứa các giá trị đệm (padding) để lấp đầy các bit trống cho đủ 32 bits. Giá trị ICV này được
tính dùng các giải thuật như Message Authentication Code (MACs). MACs được dựa trên
các giải thuật mã hóa đối xứng như DES và 3DES hoặc các hàm hash một chiều như MD5
hoặc SHA-1. Khi tính toán chỉ số ICV, phép tính sẽ tính trên toàn bộ gói tin mới. Một khóa
bí mật dùng chung sẽ được dùng trong MAC làm cho giá trị này khó bị bẻ gãy. Mỗi đầu
của kết nối VPN sẽ tính toán chỉ số ICV này một cách độc lập. Nếu các giá trị này không
137C Nguyễn Chí Thanh, P.9, Quận 5, Tp.HCM
Đề tài: “Xây dựng hạ tầng mạng doanh nghiệp” 117
trùng, gói tin sẽ bị bỏ qua. Điều này giúp đảm bảo gói tin đã không bị thay đổi trong quá
trình truyền.
- AH cung cấp tính xác thực, tính nguyên vẹn và khâu lặp cho toàn bộ gói tin bao
gồm cả phần tiêu đề của IP (IP header) và các gói dữ liệu được chuyển trong các gói tin.
- AH không cung cấp tính riêng tư, không mã hóa dữ liệu như vậy dữ liệu có thể
được đọc nhưng chúng sẽ được bảo vệ để chống lại sự thay đổi. AH sẽ sử dụng thuật toán
Key AH để đánh dấu gói dữ liệu nhằm đảm bảo tính toàn vẹn của gói dữ liệu.
Hình 46 Các phần tin chứng thực trong AH
Hình 47 Quá trình tạo gói tin trong AH
- Quá trình gửi AH
Khi một AH SA được khởi tạo lần đầu tiên, thuật toán xác thực và các khóa được
ghi lại, và số chuỗi truy cập được thiết lập là 0. Khi IPsec xác định rằng một gói tin ra bên
ngoài có AH được áp dụng, nó nằm trong SA thích hợp và thực hiện các bước sau.
1. Một tiêu đề AH mẫu được chèn vào giữa IP Header và tiêu đề lớp trên.
137C Nguyễn Chí Thanh, P.9, Quận 5, Tp.HCM
Đề tài: “Xây dựng hạ tầng mạng doanh nghiệp” 118
2. Số sequence number tăng dần và được lưu giữ trong các tiêu đề AH. Vào thời gian này,
AH kiểm tra để đảm bảo rằng số thứ tự sẽ không lặp. Nếu lặp, AH tạo ra một SA mới và
khởi tạo dãy số 0. Trong trường hợp số sequence number không lặp, số thứ tự đó được tăng
lên và được lưu giữ trong các tiêu đề AH.
3. Phần còn lại của các trường AH, ngoại trừ của ICV, được làm đầy với chiều dài qui
định.
4. Nếu cần, padding tùy ý được thêm vào tiêu đề AH để đảm bảo rằng nó là một bội số của
32 bit (64 bit cho IPv6).
5. Các trường có thê thay đôi trong IP Header và trường ICV trong tiêu đề AH được đánh
0, và ICV được tính trên toàn bộ datagram IP. Nếu có nhiều nguồn định tuyến khác trong
khi truyền (truyền qua các thiết bị trung gian) trong IP header, địa chỉ đích phải được đặt
là địa chỉ đích cuối cùng trước khi tính toán ICV.
6. Các trường có thê thay đôi được làm đầy, và ICV được lưu trữ trong tiêu đề AH. Nếu
có một nguồn định tuyến tùy chọn trung gian khác, trường địa chỉ đích của tiêu đề IP được
thiết lập lại các điểm đến trung gian.
7. Các datagram IP được đặt vào hàng đợi đầu ra cho truyền dẫn đến đích của nó.
- Quá trình nhận AH
Một datagram IP xác thực có thể đã bị phân mảnh trên đường tới đích. Nếu vậy, các
mảnh này phải được thu thập và tái hợp thành datagram trước khi xử lý AH. Một khi
datagram được tái hợp, AH thực hiện các bước sau đây.
1. Dựa trên SPI trong tiêu đề AH và địa chỉ đích trong IP Header, AH SA thích hợp sẽ
được xác định. Nếu một SA áp dụng cho một datagram không thể xác định được, datagram
đó sẽ bị loại bỏ.
2. Nếu kích hoạt việc kiểm tra sequence number, AH xác định số chuỗi như tính toán trước
đó trong quá trình gửi. Nếu số chuỗi là quá cũ hoặc là một sự trùng nhau, datagram bị loại
bỏ.
3. AH sao chép IP header và AH header và làm cho các trường có thể thay đổi trong IP
Header cũng như ICV trong AH header trở về 0.
137C Nguyễn Chí Thanh, P.9, Quận 5, Tp.HCM
Đề tài: “Xây dựng hạ tầng mạng doanh nghiệp” 119
4. Thuật toán xác thực và xác định khóa trong SA được sử dụng để tính toán một ICV cho
toàn bộ các gói dữ liệu, và kết quả được so sánh với giá trị ban đầu trong tiêu đề AH. Nếu
giá trị không giống nhau, gói dữ liệu bị loại bỏ. Nếu giá trị giống nhau, gói tin được xác
thực là toàn vẹn.
5. Các tiêu đề AH được lấy ra từ datagram, và các trường IP header gốc được phục hồi.
Datagram được đặt vào hàng đợi đầu vào xử lý cho gói tin IP bình thường.
- Encapsulating Security Payload (ESP)
Giao thức ESP cung cấp xác thực, độ toàn vẹn, đảm bảo tính bảo mật cho gói tin.
ESP cũng hỗ trợ tính năng cấu hình sử dụng trong tính huống chỉ cần mã hoá hay chỉ cần
xác thực.
Hình 48 Cấu trúc gói tin ESP
Security parameters index (SPI – 32 Bits): Nhận ra các thông số được tích hợp với
địa chỉ IP, nhận dạng liên kết SA.
Sequence number (32 Bits): Tự động tăng có tác dụng phát lại.
Payload data (Độ dài bất kì): Đây là gói tin IP hoặc một phần của gói tin ban đầu
tùy thuộc vào chế độ (mode) của IPSec đang được dùng. Khi dùng Tunnel Mode, trường
này chứa toàn bộ gói tin IP ban đầu. Trong Transport Mode, nó chỉ bao gồm phần giao
137C Nguyễn Chí Thanh, P.9, Quận 5, Tp.HCM
Đề tài: “Xây dựng hạ tầng mạng doanh nghiệp” 120
thức các lớp bên trên của gói tin ban đầu. Chiều dài của payload luôn là một số nguyên của
bytes.
Padding (Độ dài bất kì) và Pad Length (8Bits): Dữ liệu chèn vào độ dài của nó.
Next header (8 Bits): Nhận ra giao thức được sử dụng trong quá trình truyền thông
tin. Nếu là TCP giá trị là 6, nếu là UDP giá trị là 17 khi dùng Transport Mode, khi dùng
Tunnel mode là 4 (IP-in-IP).
Authentication data (Bội số của 32 Bits): Bao gồm dữ liệu để xác thực cho gói tin,
được tính trên toàn bộ gói ESP trừ phần Authentication data.
- Các thuật toán mã hóa bao gồm DES, 3DES, AES.
- Các thuật toán để xác thực bao gồm MD5 hoặc SHA-1.
- ESP còn cung cấp tính năng anti-replay để bảo vệ các gói tin bị chỉnh sửa.
- ESP trong trạng thái vận chuyển sẽ không đóng gói thuật toán trên toàn bộ gói tin mà
chỉ đóng gói phần thân IP, loại trừ phần IP Header. ESP có thể sử dụng độc lập hay kết
hợp với AH. Dưới đây là một mô hình của quá trình thực thi ESP trên user data để bảo vệ
giữa 2 IPSec Peers.
137C Nguyễn Chí Thanh, P.9, Quận 5, Tp.HCM
Đề tài: “Xây dựng hạ tầng mạng doanh nghiệp” 121
Hình 49 Quá trình tạo gói tin trong ESP
- ESP sử dụng mật mã đối xứng để cung cấp sự mật hoá dữ liệu cho các gói tin
IPSec. Cho nên, để kết nối của cả hai đầu cuối đều được bảo vệ bởi mã hoá ESP thì hai bên
phải sử dụng khóa giống nhau mới mã hoá và giải mã được gói tin.
- Khi một đầu cuối mã hoá dữ liệu, nó sẽ chia dữ liệu thành các block nhỏ, và sau
đó thực hiện thao tác mã hoá nhiều lần sử dụng các block dữ liệu và khóa. Thuật toán mã
hoá hoạt động trong chiều này được xem như Blocks Cipher Algorithms.
- Khi một đầu cuối khác nhận được dữ liệu mã hoá, nó thực hiện giải mã sử dụng
key giống nhau và quá trình thực hiện tương tự, nhưng trong bước này ngược với thao tác
mã hoá. ESP có chỉ số IP Protocol là 50.
- Quá trình gửi ESP
Khi đã sẵn sàng để được đặt trên hàng đợi đầu ra, một datagram IP được kiểm tra
xem có thể xử lý bằng IPSec hay không. Nếu đóng gói ESP được yêu cầu, thì cần biết
chính xác SA hoạt động trong Transport Mode hay Tunnel Mode. Quá trình xử lý thực hiện
các bước sau đây.
1. SPD tìm kiếm một SA phù hợp với các thông tin chính xác như địa chỉ đích, cổng, giao
thức... Nếu một SA chưa tồn tại, một cặp SA được thương lượng giữa hai bên truyền nhận.
137C Nguyễn Chí Thanh, P.9, Quận 5, Tp.HCM
Đề tài: “Xây dựng hạ tầng mạng doanh nghiệp” 122
2. Các số thứ tự từ SA tăng dần và được đặt trong tiêu đề ESP. Nếu peer không vô hiệu
hóa chức năng anti-replay, số thứ tự được kiểm tra để chắc chắn rằng nó không bằng 0.
3. Nếu cần thiết, Padding sẽ được thêm vào cho đủ số bit, chiều dài pad và next header sẽ
được làm đầy. Nếu thuật toán mã hóa yêu cầu, IV sẽ được thêm vào payload data (IV –
Initializatin vector là một block tùy ý được XOR với block dữ liệu đầu tiên trước khi được
mã hóa để tránh tình trạng chuỗi mã hóa giống nhau vì dữ liệu gốc giống nhau), IV và
payload data cùng ESP trailer sẽ được mã hóa, sử dụng khóa và thuật toán mã hóa đã chỉ
định trong SA.
4. ICV được tính trên ESP header, IV, payload data, trường ESP trailer và đặt trong trường
Authentication data, sử dụng khóa và thuật toán mã hóa trong SA.
5. Nếu các gói dữ liệu kết quả yêu cầu phân mảnh, nó được thực hiện tại thời điểm này.
Trong Transport Mode, ESP chỉ được áp dụng cho toàn bộ datagrams IP. Ở Tunnel Mode,
ESP có thể được áp dụng cho một mảnh datagram IP.
* Chú ý:
- Trình tự trong quá trình mã hóa và xác thực là rất quan trọng. Vì xác thực được
thực hiện cuối cùng, ICV sẽ tính toán trên dữ liệu mã hóa trước đó, có nghĩa là người nhận
có thể thực hiện việc xác minh chứng thực tương đối nhanh chóng trước khi thực hiện quá
trình giải mã khá chậm. Điều này có thể phần nào ngăn cản tấn công DoS bởi một loạt các
dữ liệu ngẫu nhiên được mã hóa gửi tới đầu nhận.
- Quá trình nhận ESP
Vì dữ liệu đến có thể bị phân mảnh do quá trình định tuyến, chúng phải được tái
hợp. Và sau khi tái hợp, quá trình xử lý ESP sẽ thực hiện các bước sau đây:
1. SA nhận được bằng cách so sánh địa chỉ đích, giao thức (ESP) và SPI của gói đến. Nếu
không có SA nào tồn tại, gói sẽ bị loại bỏ.
2. Nếu antireplay được kích hoạt, nó sẽ thực hiện việc kiểm tra số sequence number.
3. Gói tin được xác thực bằng việc tính toán ICV dựa trên ESP Header, payload, và trường
ESP trailer, sử dụng thuật toán mã hóa và khóa trong SA, nếu xác thực thất bại, gói tin này
137C Nguyễn Chí Thanh, P.9, Quận 5, Tp.HCM
Đề tài: “Xây dựng hạ tầng mạng doanh nghiệp” 123
bị loại bỏ. Nếu gói tin được xác thực, nó sẽ được chấp nhận và đầu nhận cập nhật lại số
sequence number.
4. Payload và trường ESP trailer được giải mã bằng việc sử dụng thuật toán và khóa trong
SA. Nếu Padding đã được thêm, nó cần được kiểm tra để chắc chắn có những giá trị thích
hợp cho thuật toán giải mã. Gói IP gốc được tái hợp bỏ đi các trường ESP, việc tái hợp này
phụ thuộc vào việc sử dụng Transport Mode hay Tunnel Mode.
Hình 50 So sánh giữa AH và ESP
2.7.5 Các chế độ của IPSec
SA trong IPSec hiện tại được triển khai bằng 2 chế độ. Được mô tải ở hình dưới đó là chế
độ Transport và chế độ Tunnel. Cả AH và ESP đều có thể làm việc với một trong hai chế
độ này.
137C Nguyễn Chí Thanh, P.9, Quận 5, Tp.HCM
Đề tài: “Xây dựng hạ tầng mạng doanh nghiệp” 124
Hình 51 Chế độ Tunnel Mode và Transport Mode
Tunnel Mode
Không giống Transport Mode, Tunnel mode bảo vệ toàn bộ gói dữ liệu. Toàn bộ
gói dữ liệu IP được đóng gói trong một gói dữ liệu IP khác và một IPSec header được chèn
vào giữa phần đầu nguyên bản và phần đầu mới của IP.
Hình 52 Datagram IPSec trong Tunnel Mode
Toàn bộ gói IP ban đầu sẽ bị đóng gói bởi AH hoặc ESP và một IP header mới sẽ
được bao bọc xung quanh gói dữ liệu. Toàn bộ gói IP sẽ được mã hoá và trở thành dữ liệu
137C Nguyễn Chí Thanh, P.9, Quận 5, Tp.HCM
Đề tài: “Xây dựng hạ tầng mạng doanh nghiệp” 125
mới của gói IP mới. chế độ này cho phép các thiết bị mạng, chẳng hạn như Router, hoạt
động như một IPSec proxy thực hiện chức năng mã hóa thay cho host. Router nguồn sẽ mã
hóa các packets và truyền chúng dọc theo tunnel. Router đích sẽ giải mã gói IP ban đầu và
chuyển nó về hệ thống cuối.
Với Tunnel hoạt động giữa hai Security Gateway, địa chỉ nguồn và đích có thể được
mã hóa.
Trong AH Tunnel Mode, phần đầu mới (AH) được chèn vào giữa phần Header mới
và phần Header nguyên bản.
Trong ESP Tunnel Mode, phần ESP Header được chèn vào giữa New IP Header và
phần Header nguyên bản.
Transport Mode
Transport Mode bảo vệ giao thức tầng trên và các ứng dụng. Trong Transport
Mode, phần IPSec header được chèn vào giữa phần IP header và phần header của giao
thức tầng trên. Vì vậy, chỉ có tải (IP payload) là được mã hóa và IP header ban đầu là
được giữ nguyên vẹn. Transport Mode có thể được dùng khi cả hai host hỗ trợ IPSec.
Hình 53 Datagram IPSec trong Transport Mode
137C Nguyễn Chí Thanh, P.9, Quận 5, Tp.HCM
Đề tài: “Xây dựng hạ tầng mạng doanh nghiệp” 126
Transport Mode thiếu mất quá trình xử lý phần đầu, do đó nó nhanh hơn, chế độ
Transport này có thuận lợi là chỉ thêm vào vài bytes cho mỗi packets và nó cũng cho
phép các thiết bị trên mạng thấy được địa chỉ đích cuối cùng của gói. Tuy nhiên, nó
không hiệu quả trong trường hợp ESP có khả năng không xác nhận mà cũng không mã
hóa phần đầu IP.
2.7.6 Giao thức Internet Key Exchange
Về cơ bản được biết như ISAKMP/Oakley, ISAKMP là chữ viết tắc của Internet
Security Association and Key Management Protocol, IKE giúp các bên giao tiếp hòa hợp
các tham số bảo mật và khóa xác nhận trước khi một phiên bảo mật IPSec được triển khai.
Ngoài việc hòa hợp và thiết lập các tham số bảo mật và khóa mã hóa, IKE cũng sữa đổi
những tham số khi cần thiết trong suốt phiên làm việc. IKE cũng đảm nhiệm việc xoá bỏ
những SAs và các khóa sau khi một phiên giao dịch hoàn thành. Thuận lợi chính của IKE
include bao gồm:
IKE không phải là một công nghệ độc lập, do đó nó có thể dùng với bất kỳ cơ
chế bảo mật nào.
Cơ chế IKE, mặc dù không nhanh, nhưng hiệu quả cao bởi vì một lượng lớn
những hiệp hội bảo mật thỏa thuận với nhau với một vài thông điệp khá ít.
a. IKE Phases
Giai đoạn I và II là hai giai đoạn tạo nên phiên làm việc dựa trên IKE, hình dưới
trình bày một số đặc điểm chung của hai giai đoạn. Trong một phiên làm việc IKE, nó giả
sử đã có một kênh bảo mật được thiết lập sẵn. Kênh bảo mật này phải được thiết lập trước
khi có bất kỳ thỏa thuận nào xảy ra.
137C Nguyễn Chí Thanh, P.9, Quận 5, Tp.HCM
Đề tài: “Xây dựng hạ tầng mạng doanh nghiệp” 127
Hình 54 Các giai đoạn của IKE Phases
Giai đoạn I của IKE
Giai đoạn I của IKE đầu tiên xác nhận các điểm hong tin, và sau đó thiết lập một
kênh bảo mật cho sự thiết lạp SA. Tiếp đó, các bên hong tin thỏa thuận một ISAKMP
SA đồng ý lẫn nhau, bao gồm các thuật toán mã hóa, hàm băm, và các phương pháp xác
nhận bảo vệ mã khóa.
Sau khi cơ chế mã hóa và hàm băm đã được đồng ý ở trên, một khóa chi sẽ bí mật
được phát sinh. Theo sau là những thông tin được dùng để phát sinh khóa bí mật:
Giá trị Diffie-Hellman
SPI của ISAKMP SA ở dạng cookies
Số ngẩu nhiên known as nonces (used for signing purposes)
Nếu hai bên đồng ý sử dụng phương pháp xác nhận dựa trên public key, chúng cũng
cần trao đổi IDs. Sau khi trao đổi các thông tin cần thiết, cả hai bên phát sinh những key
riêng của chính mình sử dụng chúng để chia sẽ bí mật. Theo cách này, những khóa mã hóa
được phát sinh mà không cần thực sự trao đổi bất kỳ khóa nào thông qua mạng.
Giai đoạn II của IKE
Trong khi giai đoạn I thỏa thuận thiết lập SA cho ISAKMP, giai đoạn II giải quyết
bằng việc thiết lập Sas cho IPSec. Trong giai đoạn này, Sas dùng nhiều dịch vụ khác nhau
thỏa thuận. Cơ chế xác nhận, hàm băm, và thuật toán mã hóa bảo vệ gói dữ liệu IPSec tiếp
theo (sử dụng AH và ESP) dưới hình thức một phần của giai đoạn SA.
Sự thỏa thuận của giai đoạn xảy ra thường xuyên hơn giai đoạn I. Điển hình, sự thỏa
thuận có thể lặp lại sau 4-5 phút. Sự thay đổi thường xuyên các mã khóa ngăn cản các
hacker bẻ gãy những khóa này và sau đó là nội dung của gói dữ liệu.
137C Nguyễn Chí Thanh, P.9, Quận 5, Tp.HCM
Đề tài: “Xây dựng hạ tầng mạng doanh nghiệp” 128
Tổng quát, một phiên làm việc ở giai đoạn II tương đương với một phiên làmviệc
đơn của giai đoạn I. Tuy nhiên, nhiều sự thay đổi ở giai đoạn II cũng có thể được hổ trợ
bởi một trường hợp đơn ở giai đoạn I. Điều này làm qua trình giao dịch chậm chạp của
IKE tỏ ra tương đối nhanh hơn.
Oakley là một trong số các giao thức của IKE. Oakley is one of the protocols on
which IKE is based. Oakley lần lượt định nghĩa 4 chế độ phổ biến IKE.
b. IKE Modes
Có 4 chế độ IKE phổ biến thường được triển khai đó là:
Main Mode
Main mode xác nhận và bảo vệ tính đồng nhất của các bên có liên quan trong qua
trình giao dịch. Trong chế độ này, 6 thông điệp được trao đổi giữa các điểm:
Hai thông điệp đầu tiên dùng để thỏa thuận chính sách bảo mật cho sự thay đổi.
Hai thông điệp kế tiếp phục vụ để thay đổi các khóa Diffie-Hellman và nonces.
Những khóa sau này thực hiện một vai tro quan trọng trong cơ chế mã hóa.
Hai thông điệp cuối cùng của chế độ này dùng để xác nhận các bên giao dịch với sự
giúp đỡ của chữ ký, các hàm băm, và tuỳ chọn với chứng nhận.
Hình 55 Các quá trình của Main mode
Aggressive Mode
137C Nguyễn Chí Thanh, P.9, Quận 5, Tp.HCM
Đề tài: “Xây dựng hạ tầng mạng doanh nghiệp” 129
Aggressive mode về bản chất giống Main mode. Chỉ khác nhau thay vì main mode
có 6 thông điệp thì chết độ này chỉ có 3 thông điệp được trao đổi. Do đó, Aggressive mode
nhanh hơn mai mode. Các thông điệp đó bao gồm:
Thông điệp đầu tiên dùng để đưa ra chính sách bảo mật, pass data cho khóa chính,
và trao đổi nonces cho việc ký và xác minh tiếp theo.
Thông điệp kế tiếp hồi đáp lại cho thông tin đầu tiên. Nó xác thực người nhận và
hoàn thành chính sách bảo mật bằng các khóa.
Thông điệp cuối cùng dùng để xác nhận người gửi (hoặc bộ khởi tạo của phiên
làm việc).
Hình 56 Cả Main mode và Aggressive mode đều thuộc giai đoạn I.
Quick Mode
Chế độ thứ ba của IKE, Quick mode, là chế độ trong giai đoạn II. Nó dùng để thỏa
thuận SA cho các dịch vụ bảo mật IPSec. Ngoài ra, Quick mode cũng có thể phát sinh
khóa chính mới. Nếu chính sách của Perfect Forward Secrecy (PFS) được thỏa thuận
trong giai đoạn I, một sự thay đổi hoàn toàn Diffie-Hellman key được khởi tạo. Mặt khác,
khóa mới được phát sinh bằng các giá trị băm
137C Nguyễn Chí Thanh, P.9, Quận 5, Tp.HCM
Đề tài: “Xây dựng hạ tầng mạng doanh nghiệp” 130
Hình 57 Các quá trình của Quick mode
New Group Mode
New Group mode được dùng để thỏa thuận một private group mới nhằm tạo điều
kiện trao đổi Diffie-Hellman key được dễ dàng. Hình 58 mô tả New Group mode. Mặc dù
chế độ này được thực hiện sau giai đoạn I, nhưng nó không thuộc giai đoạn II.
Hình 58 Các quá trình của New group mode
Ngoài 4 chế độ IKE phổ biến trên, còn có thêm Informational mode. Chế độ này kết
hợp với quá trình thay đổ của giai đoạn II và SAs. Chế độ này cung cấp cho các bên có liên
quan một số thông tin thêm, xuất phát từ những thất bại trong quá trình thỏa thuận. Ví dụ,
137C Nguyễn Chí Thanh, P.9, Quận 5, Tp.HCM
Đề tài: “Xây dựng hạ tầng mạng doanh nghiệp” 131
nếu việc giải mã thất bại tại người nhận hoặc chữ ký không được xác minh thành công,
Informational mode được dùng để thông báo cho các bên khác biết.
2.7.7 Quá trình hoạt động của IPSec
Ta biết rằng, mục đích chính của IPSec là bảo vệ luồng dữ liệu mong muốn với các
dịch vụ bảo mật cần thiếtvà hoạt động của IPSec có thể chia thành 5 bước chính như sau:
Bước 1- Kích hoạt lưu lượng cần bảo vệ.
Việc xác định lưu lượng nào cần được bảo vệ là một phần việc trong chính sách an
ninh (Security Policy) của một mạng VPN. Chính sách được sử dụng để quyết định lưu
lượng nào cần được bảo vệ và không cần bảo vệ (lưu lượng ở dạng bản rõ (clear text) không
cần bảo vệ).
Chính sách sau đó sẽ được thực hiện ở giao diện của mỗi đối tác IPSec. Đối với mỗi
gói dữ liệu đầu vào và đầu ra sẽ có ba lựa chọn: Dùng IPSec, cho qua IPSec, hoặc huỷ gói
dữ liệu. Đối với mọi gói dữ liệu được bảo vệ bởi IPSec, người quản trị hệ thống cần chỉ rõ
các dịch vụ bảo mật được sử dụng cho gói dữ liệu. Các cơ sở dữ liệu, chính sách bảo mật
chỉ rõ các giao thức IPSec, các node, và các thuật toán được sử dụng cho luồng lưu lượng.
Ví dụ: các danh sách điều khiển truy nhập (ACLs – Access Control Lists) của các
router được sử dụng để biết lưu lượng nào cần mật mã. ALCs định nghĩa bởi các dòng lệnh.
Chẳng hạn: - Lệnh Permit: Xác định lưu lượng phải được mật mã.
- Lệnh deny: Xác định lưu lưọng phải được gửi đi dưới dạng không mật mã.
Khi phát hiện ra lưu lượng cần bảo vệ thì một đối tác IPSec sẽ kích hoạt bước tiếp
theo: Thoả thuận một trao đổi IKE Phase 1.
Bước 2 – IKE Phase 1
Mục đích cơ bản của IKE Phase 1 là để thoả thuận các tập chínhsách IKE (IKE policy),
xác thực các đối tác ngang hàng, và thiết lập kênh an toàn giữa các đối tác. IKE Phase 1 có
hai chế độ: Chế độ chính (main mode) và Chế độ nhanh (Aggressive mode).
137C Nguyễn Chí Thanh, P.9, Quận 5, Tp.HCM
Đề tài: “Xây dựng hạ tầng mạng doanh nghiệp” 132
Hình 59 IKE Phase 1
Chế độ chính có 3 trao đổi hai chiều giữa bên khởi tạo và bên nhận:
- Trao đổi thứ nhất – Các thuật toán mật mã và xác thực (sử dụng để bảo vệ các trao đổi
thông tin IKE) sẽ được thoả thuận giữa các đối tác.
- Trao đổi thứ hai – Sử dụng trao đổi DH để tạo các khoá bí mật chung (shared secret keys),
trao đổi các số ngẫu nhiên (nonces) để khẳng định nhận dạng của mỗi đối tác. Khoá bí mật
chung được sử dụng để tạo ra tất cả các khoá mật mã và xác thực khác.
- Trao đổi thứ ba – xác minh nhận dạng của nhau (xác thực đối tác).
Kết quả chủ yếu của chế độ chính là một đường truyền thông an toàn cho các trao đổi tiếp
theo của hai đối tác. Chế độ nhanh thực hiện ít trao đổi hơn (tất nhiên là ít gói dữ liệu hơn).
Hầu hết mọi thứ đều được thực hiện trong trao đổi thứ nhất: Thoả thuận tập chính sách
IKE; tạo khoá công cộng DH; và một gói nhận dạng (identify packet), có thể sử dụng để
xác định nhận dạng thông qua một bên thứ ba (third party). Bên nhận gửi trở lại mọi thứ
cần thiết để hoàn thành (complete)việc trao đổi. cuối cùng bên khởi tạo khẳng định
(confirm) việc trao đổi.
Các tập chính sách IKE:
Khi thiết lập một kết nối an toàn giữa Host A và Host B thông qua Internet, một
đường hầm an toàn được thiết lập giữa Router A và Router B. Thông qua đường hầm, các
137C Nguyễn Chí Thanh, P.9, Quận 5, Tp.HCM
Đề tài: “Xây dựng hạ tầng mạng doanh nghiệp” 133
giao thức mật mã, xác thực và các giao thức khác được thoả thuận. Thay vì phải thoả từng
giao thức một, các giao thức được nhóm thành các tập, chính là tập chính sách IKE (IKE
policy set). Các tập chính sách IKE được trao đổi trong IKE Phase 1 ở chế độ chính và
trong trao đổi thứ nhất. Nếu một chính sách thống nhất (matching policy) được tìm thấy ở
hai phía thì chế độ chính tiếp tục. Nếu không tìm thấy chính sách thống nhất nào thì đường
hầm sẽ bị loại bỏ.
Hình 60 Tập chính sách IKE
Trao đổi khoá Diffie-Hellman
Trao đổi khoá Diffie-Hellman là một phương pháp mật mã khoá công khai cho phép
hai bên thiết lập một khoá bí mật chung qua một môi trường truyền thông an toàn. Khoá
mật mã này sẽ được sử dụng để tạo ra tất cả các khoá xác thực và mã hoá khác.
Khi đã hoàn thành viêc htoả thuận các nhóm, khoá bí mật chung SKEYID sẽ được
tính. SKEYID được sử dụng để tạo ra 3 khoá khác SKEYID_a, SKEYID_e, SKEYID_d.
Mỗi khoá có một mục đích riêng:
SKEYID_a đựoc sử dụng trong quá trình xác thực.
SKEYID_e được sử dụng trong quá trình mật mã.
137C Nguyễn Chí Thanh, P.9, Quận 5, Tp.HCM
Đề tài: “Xây dựng hạ tầng mạng doanh nghiệp” 134
SKEYID_d được sử dụng để tạo ra các khoá cho các kết hợp an ninh không theo
giao thức ISAKMP (non-ISAKMP SAs). Cả bốn khoá trên đều được tính trong IKE Phase
1. Khi bước này hoàn thành, các đối tác ngang hàng có cùng một mật mã chia sẻ nhưng
các đối tương này không được xác thực. Qua trình này diễn ra ở quá trình thứ 3, quá trình
xác thực đối tác.
Xác thực đối tác:
Xác thực đối tác là bước trao đổi cuối cùng được sử dụng để xác thực các đối tác
nghĩa là thực hiện kiểm tra xem ai đang ở bên kia của đường hầm. Các thiết bị ở hai đầu
đường hầm VPN phải được xác thực trước khi đường truyền thông được coi là an toàn.
Trao đổi cuối cùng của IKE Phase 1 có mục đích là để xác thực đối tác.
Hình 61 Xác thực các đối tác
Ba phương pháp xác thực nguồn gốc dữ liệu:
- Pre-shared keys (Các khoá chia sẻ trước) – một giá trị khoá bí mật được nhập vào bằng
tay để xác định đối tác.
- RSA signatures (Các chữ ký RSA) – sử dụng việc trao đổi các chứng nhận số (digital
certificates) để xác thực đối tác.
- RSA encryption nonces – Các số ngẫu nhiên (nonces_một số ngẫu nhiên được tạo ra bổi
mỗi đối tác) được mã hoá và sau đó được trao đổi giữa các đối tác ngang hàng, 2 nonce
được sử dụng trong suốt quá trình xác thực đối tác ngang hàng.
Bước 3 – IKE Phase 2
Mục đích của IKE Phase 2 là để thoả thuận các thông số bảo mật IPSec được sử
dụng để bảo mật đường hầm IPSec.
137C Nguyễn Chí Thanh, P.9, Quận 5, Tp.HCM
Đề tài: “Xây dựng hạ tầng mạng doanh nghiệp” 135
Hình 62 Thoả thuận các thông số bảo mật IPSec
IKE Phase 2 thức hiện các chức năng sau:
+ Thoả thuận các thông số bảo mật IPSec (IPSec security parameters), các tập chuyển đổi
IPSec (IPSec transform sets).
+ Thiết lập các kết hợp an ninh IPSec (IPSec Security Associations).
+ Định kỳ thoả thuận lại IPSec SAs để đảm bảo tính an toàn của đường hầm.
+ Thực hiện một trao đổi DH bổ xung (khi đó các SA và các khoá mới được tạo ra, làm
tăng tính an toàn của đường hầm). IKE Phase 2 chỉ có một chế độ được gọi là: Quick Mode
Chế độ này diễn ra khi IKE đã thiết lập được đường hầm an toàn ở IKE Phase 1. IKE Phase
2 thoả thuận một tập chuyển đổi IPSec chung, tạo các khoá bí mật chung sủ dụng cho các
thuật toán an ninh IPSec và thiết lập các SA IPSec. Quick mode trao đổi các nonce mà
được sử dụng để tạo ra khoá mật mã chung mới và ngăn cản các tấn công “Replay” từ việc
tạo ra các SA khong có thật. Quick mode cũng được sử dụng để thoả thuận lại một SA
IPSec mới khi SA IPSec cũ đã hết hạn.
+ Các tập chuyển đổi IPSec: Mục đích cuối cùng của IKE Phase 2 là thiết lập một phiên
IPSec an toàn giữa các điểm đầu cuối. Trước khi thực hiện được điều này thì mỗi cặp điểm
cuối cần thoả thuận múc độ an toàn cần thiết (ví dụ, các thuật toán xác thực và mật mã
dung trong phiên đó). Thay vì phải thoả thuận từng giao thức riêng lẻ, các giao thức được
nhóm thành các tập, chính là các tập chuyển đổi IPSec. Các tập chuyển đổi này được trao
đổi giữa hai phía trong Quick Mode. Nếu tìm thấy một tập chuyển đổi tương đương ở hai
phía thì quá trình thiết lập phiên tiếp tục, ngược lại phiên đó sẽ bị loại bỏ.
137C Nguyễn Chí Thanh, P.9, Quận 5, Tp.HCM
Đề tài: “Xây dựng hạ tầng mạng doanh nghiệp” 136
Hình 63 Tập chuyển đổi IPSec
Ví dụ: Router A gửi IPSec transform set 30 và 40 tới Router B , Router B so sánh với IPSec
transform set 55 của nó và thấy tương đương với IPSec transform set 30 của Router A, các
thuật toán xác thực và mật mã trong các tập chuyển đổi này hình thành một kết hợp an ninh
SA.
+ Kết hợp an ninh (SA): Khi một tập chuyển đổi đã được thống nhất giữa hai bên, mỗi thiết
bị VPN sẽ đưa thông tin này vào một cơ sở dữ liệu. Thông tin này bao gồm các thuật toán
xác thức, mật mã; địa chỉ của đối tác, Chế độ truyền dẫn, thồi gian sống của khoá. v.v.
Những thông tin này được biết đến như là một kết hợp an ninh SA. Một SA là một kết nối
logic một chiều cung cấp sự bảo mật cho tất cả lưu lượng đi qua kết nối. Bởi vì hầu hết lưu
lượng là hai chiều nên phải cần hai SA, một cho đầu vào và một cho đầu ra. Thiết bị VPN
sau đó sẽ đánh số SA bằng một số SPI (Security Parameter Index – chỉ số thông số bảo
mật). Thay vì gửi từng thông số của SA qua đường hầm, mỗi phía chỉ đơn giản chèn số
SPI vào ESP Header. Khi bên thu nhận được gói sẽ tìm kiếm địa chỉ đích và SPI trong cơ
sở dữ liệu của nó SAD (Security Association database), sau đó xử lý gói theo các thuật
toán được chỉ định bởi SPI / ra trong SPD.
137C Nguyễn Chí Thanh, P.9, Quận 5, Tp.HCM
Đề tài: “Xây dựng hạ tầng mạng doanh nghiệp” 137
Hình 64 Các kết hợp an ninh
IPSec SA là một sự tổ hợp của SAD và SPD. SAD được sử dụng để định nghĩa địa
chỉ IP đối tác đích, giao thức IPSec, số SPI. SPD định nghĩa các dịch vụ bảo mật được sử
dụng cho đối tác SA, các thuật toán mã hoá và xác thực, mode, và thời gian sống của khoá.
Ví dụ: đối với một kết nối mạng Công ty – Ngân hàng , một đường hầm rất an toàn được
thiết lập giữa hai phía, đường hầm này sử dụng 3DES, SHA, tunnel mode, và thời hạn của
khoá là 28800, giá trị SAD là 192.168.2.1, ESD và SPI là 12. Với người sử dụng từ xa truy
nhập vào e-mail thì đường hầm có mức bảo mật thấp hơn được thoả thuận, sử dụng DES,
MD5, tunnel mode, thời hạn của khoá là 28800, tương ứng với SPI là 39.
+ Thời hạn (lifetime) của một kết hợp an ninh Vấn đề tương đương với thời hạn của một
mật khẩu sử dụng mật khẩu trong máy tính, thời hạn càng dài thì nguy cơ mất an toàn càng
lớn. Các khoá và các SA cũng vậy, để đảm bảo tính an toàn cao thì các khoá
và các SA phải được thay đổi một cách thường xuyên. Có hai thông số cần được xác định
để thay đổi khoá và SA: Lifetime type- Xác định kiểu tính là theo số Byte hay theo thời
gian đã truyền đi. Duration – Xác định đơn vị tính là Kbs dữ liệu hay giây.
Ví dụ: lifetime là 10000Kbs dữ liệu đã truyền đi hoặc 28800s. Các khoá và SAs còn hiệu
lực cho đến khi lifetime hết hạn hoặc có một nguyên nhân bên ngoài, chẳng hạn một bên
ngắt đường hầm, khi đó khoá và SA bị xoá bỏ.
137C Nguyễn Chí Thanh, P.9, Quận 5, Tp.HCM
Đề tài: “Xây dựng hạ tầng mạng doanh nghiệp” 138
Bước 4 – Đường hầm mật mã IPSec
Sau khi đã hoàn thành IKE Phase 2 và quick mode đã thiết lập các kết hợp an ninh
IPSec SA, lưu lượng trao đổi giữa Host A và Host B thông qua một đường hầm an toàn.
Lưu lượng được mật mã và giải mã theo các thuật toán xác định trong IPSec SA.
Đường hầm IPSec được thiết lập
Bước 5 – Kết thúc đường hầm
Hình 65 Kết thúc đường hầm
Các kết hợp an ninh IPSec SA kết thúc khi bị xoá hoặc hết hạn. Một SA hết hạn khi
lượng thời gian chỉ ra dã hết hoặc một số lượng Byte nhất định đã truyền qua đường hầm.
Khi các SA kết thúc, các khoá cũng bị huỷ. Lúc đó các IPSec SA mới cần được thiết lập,
một IKE Phase 2 mới sẽ được thực hiện, và nếu cần thiết thì sẽ thoả thuận một IKE Phase
1 mới. Một hoả thuận thành công sẽ tạo ra cacSA và khoá mới. Các SA mới được thiết lập
trước các SA cũ hết hạn để đảm bảo tính liên tục của luồng thông tin.
2.8 Một vài giao thức an toàn bổ sung cho VPN
Ở phần trên, chúng ta đã tìm hiểu về các công nghệ an toàn có thể được dùng để xây
dựng mạng riêng ảo. Trong khi các công nghệ đó thường đủ và hiệu quả với các tác vụ đơn
137C Nguyễn Chí Thanh, P.9, Quận 5, Tp.HCM
Đề tài: “Xây dựng hạ tầng mạng doanh nghiệp” 139
lẻ, nhưng có những trường hợp mà một mình các công nghệ đó không đáp ứng được yêu
cầu cho một giải pháp VPN đầy đủ.
Một trong những trường hợp như vậy là sử dụng chứng chỉ số, xác thực và mã hóa.
Phần này sẽ mô tả về một số công nghệ an toàn có thể bổ sung thêm vào một giải pháp
mạng riêng ảo hoặc đồng thời tồn tại trong một môi trường mạng riêng ảo dưới hoàn cảnh
nào đó.
2.8.1 Xác thực với người dùng quay số truy cập từ xa
Quay số từ xa tới Intranet của công ty, cũng như tới Internet đã tạo ra Server truy
cập từ xa (RAS), một phần rất quan trọng của các dịch vụ liên mạng ngày nay. Như chúng
ta biết, càng ngày càng nhiều người dùng di động yêu cầu truy cập không chỉ tới tài nguyên
mạng trung tâm mà cả với nguồn thông tin trên Internet. Sự phổ biến của Internet và
Intranet trong các tổ chức đã thúc đẩy sự phát triển của các dịch vụ và thiết bị truy cập từ
xa. Nhu cầu kết nối một cách đơn giản tới các tài nguyên của tổ chức từ các thiết bị máy
tính di động như máy xách tay chẳng hạn ngày càng tăng. Sự xuất hiện của truy cập từ xa
cũng là một trong các nguyên nhân của sự phát triển trong lĩnh vực bảo mật. Mô hình bảo
mật xác thức – cấp quyền và kiểm toán(AAA) đã được phát triển để nhằm vào vấn đề bảo
mật truy cập từ xa. AAA là một bộ khung được dùng để cấu hình ba chức năng an toàn cơ
bản: xác thực, cấp quyền và kiểm toán. Ngày nay, mô hình an toàn AAA được sử dụng
trong tất cả các kịch bản truy cập từ xa trong thực tế vì nó cho phép người quản trị mạng
nhận dạng và trả lời ba câu hỏi quan trọng sau:
Ai đang truy cập mạng?
Người dùng được phép làm những gì? Và những hoạt động nào được hạn chế khi
người dùng truy cập mạng thành công?
Người dùng đang làm gì và lúc nào?
AAA được mô tả ngắn gọn như sau:
Xác thực(Authentication): Xác thực là bước đầu tiên đối với bảo mật. Đây là hoạt
động xác định một người dùng(hoặc thực thể) là ai trước khi anh ta có thể truy cập các tài
nguyên trong mạng. Xác thực có thể dưới nhiều dạng, dạng truyền thống sử dụng một tên
137C Nguyễn Chí Thanh, P.9, Quận 5, Tp.HCM
Đề tài: “Xây dựng hạ tầng mạng doanh nghiệp” 140
đăng nhập và một mật khẩu cố định. Hầu hết các máy tính làm việc theo cách này. Tuy
nhiên, phần lớn mật khẩu cố định có những giới hạn nhất định trong lĩnh vực bảo mật. Nhiều
cơ chế xác thực hiện đại sử dụng mật khẩu một lần hay một truy vấn dạng yêu cầu – đáp
ứng (Ví dụ các giao thức xác thực: PAP, CHAP, EAP…). Thông thường, xác thực xảy ra
lúc người dùng đăng nhập lần đầu tiên vào máy hoặc yêu cầu một dịch vụ từ nó.
Cấp quyền(Authorization): Đây là hoạt động xác định một người dùng được phép
làm những gì. Nghĩa là muốn nói đến việc kiểm soát các hoạt động mà người dùng được
phép thực hiện trong mạng và tài nguyên mà người dùng được phép truy cập. Kết quả là,
cấp quyền cung cấp các cơ chế cho việc kiểm soát truy cập từ xa bằng các phương tiện
như: cấp quyền một lần, cấp quyề cho mỗi dịch vụ, trên từng danh sách tài khoản người
dùng hoặc chính sách nhóm.
Thông thường các thuộc tính, đặc quyền và quyền truy cập được biên dịch và lưu
trữ tại một cơ sở dữ liệu trung tâm cho mục đích cấp quyền. Các thuộc tính và các quyền
này quyết định những hoạt động mà một người dùng được phép thực hiện. Khi một người
dùng cần được cấp quyền sau khi đã được xác thực thành công, các thuộc tính và quyền
này được xác minh dựa vào cơ sở dữ liệu với người dùng và chuyển tiếp tới Server liên
quan(ví dụ: Server truy cập từ xa). Thông thường, xác thực được thực hiện trước cấp quyền,
nhưng điều đó là không nhất thiết phải yêu cầu như vậy. Nếu một tài nguyên mạng, như
Server, nhận một yêu cầu cấp quyền mà không qua xác thực, Agent cấp quyền trên thiết bị
mạng phải quyết định người dùng có thể truy cập thiết bị mạng và được phép thực hiện các
dịch vụ đã xác định trong yêu cầu cấp quyền hay không.
Kiểm toán (Accounting): Đây là hoạt động điển hình thứ 3 sau xác thực và cấp
quyền. Kiểm toán là ghi lại những hoạt động mà người dùng đã và đang thực hiện. Kiểm
toán là cơ chế ghi lại những hoạt động mà người dùng thực hiện sau khi đã đăng nhập thành
công vào mạng. Kiểm toán bao hàm việc: thu thập, ghi danh sách, kiểm toán, ghi nhật ký
và báo cáo về các định danh người dùng, các lệnh đã được thực hiện trong một phiên, số
lượng các gói được truyền tải, v.v… Lúc một hoạt động của người dùng được ghi lại, thời
gian nó được thực hiện, khoảng thời gian của toàn bộ phiên người dùng và khoảng thời
137C Nguyễn Chí Thanh, P.9, Quận 5, Tp.HCM
Đề tài: “Xây dựng hạ tầng mạng doanh nghiệp” 141
gian với mỗi hoạt động riêng lẻ cũng được ghi lại. Thông tin chi tiết về người dùng giúp
người quản trị mạng theo dõi được những hoạt động của người dùng và đưa ra những hành
động phù hợp để duy trì an toàn mạng. Mặc dù, kiểm toán được xem là bước lôgic tiếp
theo của xác thực và cấp quyền, nhưng nó có thể thực thi không theo tuần tự đó. Trong
thực tế, kiểm toán có thể được thực thi ngay cả khi hoạt động xác thực và cấp quyền không
được thực hiện. Trong mô hình cơ sở dữ liệu bảo mật Client/Server phân tán, một số các
Client, Server trong truyền thông xác thực một định danh của người dùng quay số qua một
trung tâm cơ sở dữ liệu đơn hoặc một Server xác thực. Server xác thực lưu trữ tất cả thông
tin về người dùng, các mật khẩu và các quyền ưu tiên truy cập của họ. Phân phối bảo mật
đóng vai trò như một trung tâm về dữ liệu xác thực, nó an toàn hơn sự phân tán thông tin
người dùng trên các thiết bị khác qua một mạng. Một Server xác thực đơn có thể hỗ trợ cả
hàng trăm Server truyền thông, hàng nghìn người dùng. Các Server trong quá trình truyền
thông có thể truy cập một Server xác thực cục bộ hoặc từ xa qua kết nối mạng diện
rộng(WAN).
Một số đại lý cung cấp truy cập từ xa và IETF đã đi đầu trong việc cố gắng bảo đảm an
toàn cho truy cập từ xa, các phương tiện bảo mật được chuẩn hoá. Dịch vụ xác thực người
dùng quy số từ xa(RADIUS) và hệ thống kiểm soát truy cập các thiết bị cuối(TACACS)
như là hai dự án đã mở ra bộ khung của chuẩn Internet và các đại lý truy cập từ xa.
2.8.2 Dịch vụ xác thực người dùng quay số từ xa(RADIUS)
RADIUS là một hệ thống bảo mật phân tán được phát triển bởi Livingston
Enterprises. RADIUS được thiết kế dựa trên những khuyến cáo trước đó từ nhóm Network
Access Server Working Requirements của IETF. Một nhóm IETF làm việc với RADIUS
được thành lập vào tháng 1 năm 1996 để đưa ra các chuẩn cho giao thức RADIUS,
RADIUS bây giờ là một giải pháp bảo mật đường quay số được thừa nhận bởi IETF.
137C Nguyễn Chí Thanh, P.9, Quận 5, Tp.HCM
Đề tài: “Xây dựng hạ tầng mạng doanh nghiệp” 142
Hình 66 Dịch vụ xác thực người dùng quay số từ xa RADIUS.
2.8.3 Hệ thống kiểm soát truy cập thiết bị đầu cuối (TACACS)
Tương tự với RADIUS, TACACS là một giao thức chuẩn công nghiệp. Như trong hình
4.2, lúc một Client từ xa đưa ra một yêu cầu xác thực tới NAS gần nó nhất, yêu cầu này
được chuyển tiếp tới TACACS. Sau đó TACACS chuyển tiếp ID và mật khẩu được cung
cấp tới cơ sở dữ liệu trung tâm, cơ sở dữ liệu trung tâm này có thể là một cơ sở dữ liệu
TACACS hoặc một cơ sở dữ liệu bảo mật mở rộng. Cuối cùng, thông tin được lấy lại và
chuyển tiếp tới TACACS, nó lần lượt được chấp nhận hoặc từ chối yêu cầu kết nối trên cơ
sở thông tin nó nhận được từ cơ sở dữ liệu.
Hình 67 Xác thực từ xa dựa trên TACACS.
Hiện tại, có hai phiên bản của TACACS trên thị trường, cả hai phiên bản này đều
được phát triển bởi Cisco. Đó là:
137C Nguyễn Chí Thanh, P.9, Quận 5, Tp.HCM
Đề tài: “Xây dựng hạ tầng mạng doanh nghiệp” 143
- XTACACS (eXtended TACACS): Là một mở rộng của TACACS, nó hỗ trợ các tính
năng cao cấp.
- TACACS+: Phiên bản này của TACACS ban đầu sử dụng một Server truy cập riêng dưới
dạng Server TACACS+. Server này cung cấp các dịch vụ xác thực, cấp quyền và kiểm toán
độc lập.
NAS giữ một vai trò quan trọng trong cả xác thực dựa trên RADIUS và dựa trên TACACS.
Là một Client RADIUS hay TACACS, NAS mã hoá các thông tin(ID/Mật khẩu của người
dùng) được cung cấp bởi người dùng từ xa trước khi chuyển tiếp nó tới Server xác thực tại
mạng chủ cuối, NAS cũng có khả năng định tuyến một yêu cầu xác thực tới Server xác
thực khác nếu Server xác thực đích không đến được.
Hoạt động của RADIUS:
RADIUS đầu tiên được phát triển bởi Livingston Enterprises, nhưng bây giờ thuộc
quyền sở hữu của IETF và là một giao thức mở, có thể được phân phối dưới dạng mã nguồn
và bất kỳ người nào cũng đều có thể sửa đổi. Mặc dùng RADIUS ban đầu được phát triển
cho người quản trị của NAS, các sản phẩm hỗ trợ được bổ sung thêm các ứng dụng/thiết
bị khác như firewall, truy cập trang web cá nhân, các tài khoản Email và các vấn đề bảo
mật Internet liên quan đến xác thực khác.
RADIUS gồm 2 phần: Có Client RADIUS, ví dụ: NAS hay bất kỳ phần mềm khác
như Firewall, Client gửi một yêu cầu AAA tới RADIUS Server. Mặt khác, có RADIUS
Server, nó kiểm tra yêu cầu theo dữ liệu đã được cấu hình trước.
137C Nguyễn Chí Thanh, P.9, Quận 5, Tp.HCM
Đề tài: “Xây dựng hạ tầng mạng doanh nghiệp” 144
Hình 68 Luồng thông tin trong RADIUS.
Mặc dù các Server xác thực RADIUS và TACACS có thể được cài đặt theo nhiều
cách khác nhau, tuỳ thuộc vào lược đồ bảo mật của mạng mà chúng phục vụ, nhưng tiến
trình cơ sở cho việc xác thực một người dùng về cơ bản là giống nhau. Sử dụng một
Moderm, một người dùng quay số từ xa kết nối tới một Server từ xa (gọi là Server truy cập
mạng NAS), với một Moderm số hoặc tương tự. Lúc một kết nối Moderm được tạo, NAS
nhắc người dùng về tên đăng nhập và mật khẩu. NAS sau đó sẽ tạo ra yêu cầu xác thực từ
gói dữ liệu được cung cấp, nó bao gồm cả thông tin định danh mà thiết bị NAS xác định
gửi yêu cầu xác thực như: cổng đang được dùng cho kết nối Moderm và Tên đăng nhập/Mật
khẩu.
Một vai trò rất quan trọng được thực thi bởi Server xác thực, nó là một Server trong
mạng để xác nhận tính hợp lệ của ID/mật khẩu người dùng cho mạng. Nếu một thiết bị
được cấu hình cho xác thực qua một Server xác thực và thiết bị nhận một gói dữ liệu từ
một giao thức xác thực, thiết bị gửi qua ID và Mật khẩu của người dùng tới Server cho việc
xác thực. Nếu ID/mật khẩu của người dùng là đúng, Server phản hồi lại. Thiết bị sau đó có
thể liên lạc với người khởi tạo yêu cầu ban đầu. Nếu Server không tìm thấy ID/mật khẩu
137C Nguyễn Chí Thanh, P.9, Quận 5, Tp.HCM
Đề tài: “Xây dựng hạ tầng mạng doanh nghiệp” 145
của người dùng thì nó từ chối thiết bị và gửi phản hồi tới thiết bị. Thiết bị sau đó từ chối
phiên với nơi mà nó đã nhận yêu cầu xác thực.
Server xác thực có thể là chính một Server RADIUS hoặc một Server khác dựa trên
các công nghệ xác thực trung tâm khác như Kerberos, DCE, SecureID hoặc RACF. Một
Server RADIUS có thể được cấu hình để chuyển tiếp yêu cầu tới một Server xác thực trung
tâm và truy cập thành công hoặc từ chối thông tin và cấu hình trở lại Client.
Với việc bảo vệ trước các cuộc nghe lén của hacker, NAS hoạt động như Client
RADIUS hoặc TACACS, mã hoá mật khẩu trước khi nó gửi mật khẩu tới Server xác thực.
Nếu Server bảo mật chính không đến được, Client bảo mật hoặc thiết bị NAS có thể định
tuyến yêu cầu tới một Server thay thế kế tiếp. Lúc nhận được một yêu cầu xác thực, Server
xác thực sẽ xác minh yêu cầu và sau đó giải mã gói dữ liệu để truy cập thông tin tên đăng
nhập/mật khẩu của người dùng. Nếu tên đăng nhập/mật khẩu của người dùng là đúng,
Server gửi một gói dữ liệu báo đã nhận xác thực. Gói dữ liệu báo nhận này có thể gồm cả
thông tin lọc bổ sung như thông tin trên các yêu cầu tài nguyên mạng của người dùng và
các mức cấp quyền. Server bảo mật có thể, với thể hiện dưới dạng NAS mà một người
dùng cần TCP/IP và/hoặc Internet Packet Exchange (IPX) sử dụng PPP, hoặc cái mà người
dùng cần SLIP để kết nối tới mạng. Nó có thể gồm cả thông tin trên tài nguyên mạng xác
định mà người dùng được phép truy cập.
Để phá hỏng việc nghe lén trên mạng, Server bảo mật gửi một khóa xác thực hoặc
chữ ký, nhận dạng của chính nó tới Client bảo mật. Một NAS nhận thông tin này, nó cho
phép cấu hình ở mức cần thiết để cho phép người dùng quyền truy các cập dịch vụ và tài
nguyên mạng. Nếu tại bất kỳ điểm nào trong tất cả tiến trình đăng nhập mà các điều kiện
xác thực cần thiết không thỏa mãn, Server cơ sở dữ liệu bảo mật sẽ gửi một thông điệp từ
chối xác thực tới thiết bị NAS và người dùng bị từ chối truy cập mạng.
Sử dụng RADIUS với các đường hầm tầng 2
RADIUS có thể được dùng để xác thực các đường hầm tầng 2 cũng như các kết nối
PPP một phần quan trọng với các mạng riêng ảo. Có 2 mô hình đường hầm tại tầng 2, mô
hình tự nguyện và bắt buộc. RADIUS có thể được dùng trong cả 2 trường hợp để xác thực
137C Nguyễn Chí Thanh, P.9, Quận 5, Tp.HCM
Đề tài: “Xây dựng hạ tầng mạng doanh nghiệp” 146
người dùng và cấp quyền/từ chối một thiết lập đường hầm hay thiết lập phiên. Điều này bổ
sung thêm một tầng bảo mật với kịch bản mạng riêng ảo tại tầng 2 vì cho đến khi đường
hầm được thiết lập và phiên được thiết lập, không có luồng thông tin nào được phép chuyển
qua đường hầm, thêm vào đó, việc xác thực và truy cập tới các đường hầm đó có thể được
kiểm soát tập trung. Hình 4.4 minh họa các cách sử dụng RADIUS khác nhau đó trong một
môi trường mạng riêng ảo mà trong đó các đường hầm bắt buộc được dùng liên quan tới
một ISP để thiết lập một đường hầm hay bắt đầu một phiên mới qua một đường hầm đang
tồn tại với tư cách là đại diện của một Client từ xa. ISP có thể dùng một server ủy quyền
RADIUS để chuyển thiếp xác thực client trở lại Server xác thực trung tâm vì vậy không
cần phải duy trì thông tin người dùng tại hai vị trí, ISP và Server trung tâm.
Hình 69 Sử dụng RADIUS với các đường hầm tầng 2.
2.8.4 Giao thức SOCKS:
Một cổng mạch vòng tiếp nhận TCP cũng như các kết nối UPD và không cung cấp
thêm bất kỳ tiến trình xử lý hoặc lọc gói nào. Một cổng mạch vòng là một loại đặc biệt của
cổng nối mức ứng dụng. Điều này là bởi các cổng nối mức ứng dụng có thể được cấu hình
để chuyển qua tất cả thông tin của một người dùng đã được xác thực, được xem như là
cổng mạch vòng (xem hình ). Tuy nhiên trong thực hành, có sự khác nhau đáng kể giữa
chúng:
- Các cổng mạch vòng có thể sử dụng một số ứng dụng TCP/IP cũng như các ứng dụng
UDP mà không phải sửa đổi gì trên Client cho mỗi ứng dụng. Như vậy, điều này làm cho
các cổng mạch vòng trở thành một lựa chọn tốt để thoã mãn các yêu cầu của người dùng.
137C Nguyễn Chí Thanh, P.9, Quận 5, Tp.HCM
Đề tài: “Xây dựng hạ tầng mạng doanh nghiệp” 147
- Các cổng mạch vòng không cung cấp xử lý hoặc lọc gói. Như vậy một cổng nối dạng này
thường xem như một cổng nối trong suốt.
- Các cổng nối mức ứng dụng thiếu hỗ trợ UDP.
- Các cổng mạch vòng thường được dùng cho các kết nối hướng ngoại, trong khi các cổng
nối mức ứng dụng thường được dùng cho cả kết nối hướng ngoại và hướng ngoại.. Thông
thường, trong trường hợp sử dụng kết hợp cả 2 loại, cổng mạch vòng thường được dùng
cho các kết nối hướng ngoại còn cổng nối mức ứng dụng được dùng cho các kết nối hướng
nội để thoả mãn yêu cầu bảo mật và yêu cầu của người dùng.
Một ví dụ dễ hiểu về cổng mạch vòng là SOCKS. Vì dữ liệu đi qua SOCKS không
được giám sát hoặc lọc, một vấn đề bảo mật có thể nảy sinh. Để tối thiểu hoá các vấn đề
bảo mật, các tài nguyên và dịch vụ tin cậy nên được dùng cho mạng ngoài (mạng không
an toàn).
Hình 70 Cổng mạch vòng.
SOCKS là một chuẩn cho các cổng mạch vòng. Nó không yêu cầu overhead của
nhiều hơn một Server uỷ quyền thông thường trong đó một người dùng phải chủ ý kết nối
trước hết là tới firewall trước khi có yêu cầu thứ 2 là kết nối tới đích. Người dùng khởi
động một ứng dụng phía Client với địa chỉ IP của Server đích. Thay vì trực tiếp khởi động
một phiên với Server đích, Client khởi tạo một phiên với Server SOCKS trên Firewall.
Server SOCKS sau đó xác minh địa chỉ nguồn và ID người dùng được cho phép để
thiết lập kết nối tới mạng không an toàn, và sau đó tạo ra phiên thứ 2. SOCKS cần có một
137C Nguyễn Chí Thanh, P.9, Quận 5, Tp.HCM
Đề tài: “Xây dựng hạ tầng mạng doanh nghiệp” 148
phiên bản mã nguồn Client mới và một tập riêng biệt các chính sách cấu hình trên Firewall.
Tuy nhiên, máy server không cần thay đổi, thật vậy, nó không cần biết rằng phiên đang
được tiếp bởi Server SOCKS. Cả Client và Server SOCKS đều cần có mã SOCKS. Server
SOCKS hoạt động như một router mức ứng dụng giữa Client và Server ứng dụng thực.
SOCKSv4 chỉ với các phiên TCP hướng ngoại. Nó rất đơn giản cho mạng riêng của người
dùng, nhưng không được phân phối mật khẩu an toàn vì vậy nó không được dùng cho các
phiên giữa người dùng mạng công cộng và các ứng dụng mạng riêng. SOCKSv5 với một
số phương pháp xác thực và vì thế được sử dụng cho các kết nối hướng nội, SOCKS cũng
hỗ trợ các giao thức và ứng dụng dựa trên UDP.
Phần lớn các trình duyệt Web là SOCKSified và người dùng có thể nhận được các
ngăn xếp TCP/IP SOCKSified cho hầu hết các nền.
2.8.5 Giao thức SSL và TLS:
SSL là giao thức bảo mật được phát triển bởi hãng truyền thông Netscape, cùng với
hãng bảo mật dữ liệu RSA. Mục đích chính của giao thức SSL là cung cấp một kênh riêng
giữa các ứng dụng đang liên lạc với nhau, trong đó đảm bảo tính riêng tư của dữ liệu, tính
toàn vẹn và xác thực cho các đối tác. SSL cung cấp một khả năng lựa chọn cho API socket
TCP/IP chuẩn có thực thi bảo mật bên trong nó. Do đó, về lý thuyết nó có khả năng chạy
với bất kỳ ứng dụng TCP/IP nào theo cách an toàn mà không phải thay đổi ứng dụng. Trong
thực tế, SSL chỉ được thực thi với các kết nối HTTP, nhưng hãng truyền thông Netscape
đã tuyên bố ý định tận dụng nó cho các kiểu ứng dụng khác, như giao thức NNTP và Telnet,
và có một số miễn phí sẵn có trên Internet. Ví dụ, IBM đang sử dụng SSL để nâng cao tính
bảo mật cho các phiên TN3270 trong các Host của nó, các phương tiện liên lạc cá nhân và
các sản phẩm Server, miễn là cấu hình bảo mật truy cập được các Firewall.
SSL gồm có 2 tầng:
Tại tầng thấp, có một giao thức truyền dữ liệu sử dụng loại mật mã được xác định
trước và kết hợp xác thực, gọi là giao thức bản ghi SSL, hình 35 minh họa giao thức này,
và đối chiếu nó với một kết nối socket HTTP chuẩn.
137C Nguyễn Chí Thanh, P.9, Quận 5, Tp.HCM
Đề tài: “Xây dựng hạ tầng mạng doanh nghiệp” 149
Hình 71 SSL – so sánh chuẩn giữa chuẩn và phiên SSL.
Tại tầng trên, có một giao thức cho việc khởi tạo xác thực và truyền các khóa mã
hóa, gọi là giao thức thăm dò trước SSL.
Một phiên SSL được thiết lập như sau:
- Một người dùng phía Client(Trình duyệt) yêu cầu một tài liệu bằng một địa chỉ URL xác
định bắt đầu bằng https(thay cho http).
- Mã phía Client nhận ra SSL yêu cầu và thiết lập một kết nối qua cổng TCP 443 tới mã
SSL trên phía Server.
- Client sau đó khởi tạo pha thăm dò trước SSL, dùng giao thức bản ghi SSL như một sự
hỗ trợ. Tại đây không có sự mã hóa hay kiểm tra tính toàn vẹn gắn liền với kết nối.
Giao thức SSL đề ra các vấn đề an toàn sau:
+ Tính riêng tư: Sau khi khóa đối xứng được thiết lập trong khi thăm dò trước để khởi tạo,
các thông điệp được mã hóa bằng khóa này.
+ Tính toàn vẹn: Các thông điệp chứa một mã xác thực thông điệp(MAC).
137C Nguyễn Chí Thanh, P.9, Quận 5, Tp.HCM
Đề tài: “Xây dựng hạ tầng mạng doanh nghiệp” 150
+ Tính xác thực: trong khi thăm dò trước, Client xác thực Server sử dụng khóa công khai.
Nó cũng có thể dựa trên chứng chỉ.
TLS được phát triển nhờ sử dụng SSL, giống như SSL, TLS cho phép các Server và
Client cuối liên lạc một cách an toàn qua các mạng công cộng không an toàn. Thêm vào
các khả năng bảo mật được cung cấp bởi SSL, TLS cũng ngăn chặn kẻ nghe trộm, giả mạo,
chặn bắt gói tin.
TLS cũng gồm 2 tầng: Giao thức bản ghi TLS và giao thức thăm dò trước TLS.
Giao thức bản ghi TLS mang lại sự an toàn bằng cách tận dụng các cơ chế mã hóa, như
DES chẳng hạn. Giao thức thăm dò trước TLS cung cấp khả năng xác thực 2 chiều bằng
cách cho phép cả Server và Client xác thực lẫn nhau, hơn nữa 2 thực thể muốn liên lạc có
thể thương lượng các thuật toán mã hóa và các khóa phục vụ cho việc trao đổi dữ liệu về
sau giữa chúng.
Trong các kịch bản mạng riêng ảo, SSL và TLS có thể được thực thi tạo Server VPN
cũng như tại Client đầu cuối.
So sánh giao thức IPSec với SSL:
Như đã mô tả ở các phần trên, IPSec cung cấp tính năng mã hoá và xác thực mạnh
cho lưu lượng IP và cũng cung cấp tính năng trao đổi và làm tươi khoá dựa trên chứng chỉ
nhờ sử dụng IKE.
Để đi đến kết luận một cách thận trọng, ta phải đề xuất rằng những tính năng này là
cần thiết giống như các tính năng mà SSL và TLS cung cấp. Trong phần này chúng ta lưu
ý đến sự giống nhau và khác nhau cơ bản giữa IPSec và SSL và giải thích những phạm vi
nào sử dụng cả hai giao thức.
Những điểm giống nhau:
o IPSec(qua IKE) và SSL cung cấp xác thực Client và Server.
o IPSec và SSL cung cấp tính năng đảm bảo an toàn và xác thực đối với dữ liệu,
thậm chí trên các mức khác nhau của chồng giao thức.
o IPSec và SSL có thể dùng các thuật toán mật mã mạnh cho việc mã hoá và các
hàm băm, có thể sử dụng xác thực dựa trên chứng chỉ (IPSec qua IKE).
137C Nguyễn Chí Thanh, P.9, Quận 5, Tp.HCM
Đề tài: “Xây dựng hạ tầng mạng doanh nghiệp” 151
o IPSec(qua IKE) và SSL cung cấp tính năng sinh khoá và làm tươi khoá mà không
phải truyền bất kỳ khoá nào dưới dạng rõ hay ngoại tuyến.
Những điểm khác nhau:
o SSL được thực thi như một API giữa tầng ứng dụng và tầng vận tải; IPSec được
thực thi như một khung làm việc tại tầng liên mạng.
o SSL cung cấp tính năng bảo mật từ ứng dụng - tới - ứng dụng (ví dụ: giữa
WebBrowser và WebServer); IPSec cung cấp tính năng bảo mật từ thiết bị - tới -
thiết bị.
o SSL không bảo vệ lưu lượng UDP; IPSec thì có.
o SSL hoạt động từ điểm cuối - tới - điểm cuối và không có khái niệm đường hầm.
Điều này có thể là một vấn đề lúc lưu lượng cần được xem xét bằng cách kiểm tra
nội dung và quét virus trước khi nó được phân phối thành công đến đích; IPSec có
thể hoạt động theo hai cách, điểm cuối - tới - điểm cuối và như một đường hầm.
o SSL có thể vượt qua NAT hoặc SOCKS, chúng dùng để che dấu cấu trúc địa chỉ
bên trong hoặc tránh sự xung đột địa chỉ IP riêng; IPSec trong chế độ vận tải (end –
to- end) không thể sử dụng NAT nhưng nó có thể dùng một đường hầm IPSec để
đạt được mục tiêu tương tự và thậm chí bảo mật hơn NAT vì đường hầm cũng có
thể được mã hoá.
o Các ứng dụng cần phải sửa đổi để sử dụng SSL. Điều này có thể là một vấn đề
lúc ta không truy cập được mã nguồn của ứng dụng hoặc không có thời gian hay
kinh nghiệm để thay đổi mã nguồn của ứng dụng; IPSec hoàn toàn trong suốt với
các ứng dụng.
Thông thường SSL là tốt lúc ta chỉ có một ứng dụng được bảo vệ và nó đã sẵn có
trong một phiên bản SSL-aware. Đây là trường hợp có một ứng dụng chuẩn đa dạng, không
chỉ với WebBrowser và WebServer. Ngoài ra, nếu có tuỳ chọn của việc thực thi khái niệm
3-tier bằng cách tận dụng các cổng ứng dụng Web tại vành đai của mạng, SSL là một sự
lựa chọn tốt. Nếu có một số lượng lớn các ứng dụng để bảo đảm an toàn có thể phải chọn
giải pháp tốt hơn cho mạng. Trong trường hợp này, IPSec là sự lựa chọn tốt hơn. Trừ khi
137C Nguyễn Chí Thanh, P.9, Quận 5, Tp.HCM
Đề tài: “Xây dựng hạ tầng mạng doanh nghiệp” 152
tự ta phát triển các ứng dụng, IPSec mềm dẻo hơn SSL để thực thi một chính sách bảo mật
yêu cầu nhiều mức khác nhau và sự kết hợp của xác thực, mã hoá và đường hầm.
Cuối cùng nhưng không kém phần quan trọng, sự lựa chọn một công nghệ bảo mật
thích hợp còn phụ thuộc vào mô hình giao dịch. Nếu mục đích của các Server ứng dụng là
phải có khả năng truy cập mạng công cộng thì một thiết kế dựa trên Web và công nghệ bảo
mật dựa trên SSL có lẽ là lựa chọn đúng. SSL là sẵn có trên bất kỳ một trình duyệt Web
chuẩn nào và đó sẽ chỉ là công cụ được sử dụng và yêu cầu bởi người dùng. Tuy nhiên,
những người dùng nên được hạn chế truy cập tới Server ứng dụng hay mạng của chúng ta,
khi đó một mạng riêng ảo dựa trên IPSec và có thể cả một số công nghệ đường hầm tầng
2 là giải pháp được ưa thích hơn. Trong trường hợp này, những người tham gia và vai trò
của họ trong việc trao đổi dữ liệu sẽ được xác định trước.
137C Nguyễn Chí Thanh, P.9, Quận 5, Tp.HCM
Đề tài: “Xây dựng hạ tầng mạng doanh nghiệp” 153
3. Dynamic Multipoint VPN ( DMVPN )
3.1 Giới thiệu về DMVPN
Hình 72 Mô hình triển khai DMVPN
Để triển khai mạng DMVPN, chúng ta có hai cách thức triển khai. Đó là hub-and-spoke
và spoke-and-spoke. Để hiểu được hai khái niệm này, trước tiên bạn nên hiểu hub là gì, và
spoke là gì. Hub ở đây là trung tâm (central), tức là hệ thống mạng WAN đặt ở trung tâm
của công ty. Còn Spoke chỉ chi nhánh, văn phòng. Hình 72 minh họa cho điều đó, Hub
chính là phần Central Site, còn Spoke chính là phần Branches.
Chúng ta thấy rõ đường màu xanh chính là kết nối giữa Spoke-and-Spoke, còn màu đỏ
chính là kết nối giữa Hub-and-Spoke. Như vậy, Hub-and-Spoke là kết nối từ trung tâm đến
chi nhánh, nó tương tự như khái niệm trong Site-to-Site. Khái niệm mới chính là ở chỗ
Spoke-and-Spoke, là kết nối giữa các chi nhánh với nhau.
137C Nguyễn Chí Thanh, P.9, Quận 5, Tp.HCM
Đề tài: “Xây dựng hạ tầng mạng doanh nghiệp” 154
Nếu như trong VPN, bạn chỉ nghe nhắc đến kết nối một Client đến một Site, hoặc một
Site đến một Site, thì trong DMVPN, bạn sẽ tiếp tục có một khái niệm mới hơn, đó là kết
nối giữa nhiều Hub đến nhiều Spoke, điều này lý giải tại sao nó có thêm chữ Multipoint.
Khi nói đến Hub và Spoke là ý đang nói đến router thực hiện chức năng DMVPN ở
trung tâm và chi nhánh. Còn khi nói đến Site Central và Site Branch (hay gọi tắc là Central
và Branch) là nói đến nhiều thiết bị có ở đó, Hub và Spoke nằm ở Central và Branch.
Dynamic Multipoint Virtual Private Network (DMVPN) là sự kết hợp của các công
nghệ: IPSec, mGRE và NHRP.
IPSec: Mã hóa dữ liệu, cung cấp những tính năng chứng thực và toàn vẹn dữ liệu.
GRE: Thiết lập những “đường hầm” (tunnel) cho phép đóng gói bất kì gói tin nào
của lớp network. Ngoài ra GRE còn có thể định tuyến trên tunnel.
NHRP: Giao thức dùng để ánh xạ địa chỉ tunnel sang địa chỉ trên cổng vật lí của
Router. Nó giải quyết được vấn đề các spoke có thể sử dụng địa chỉ IP được cấp
động bởi ISP.
Các công nghệ này kết hợp lại cho phép triển khai IPSec trong DMVPN một cách dễ dàng,
linh động và an toàn.
3.2 Các thành phần của DMVPN
Đầu tiên, không cần phải tính toán, đó là hệ thống Hub và Spoke. Ở hai phía phải có
những thiết bị hổ trợ tốt trong việc tạo kết nối DMVPN. Có nhiều giải pháp để chúng ta
lựa chọn, nhưng phổ biến nhất vẫn là Router của Cisco.
Nhìn vào mô hình ở hình 72, chúng ta nhận thấy rằng, để kết nối được giữa Hub và
Spoke nó phải kết nối thông qua Cloud. Cloud ở đây ám chỉ nhà cung cấp dịch vụ internet
137C Nguyễn Chí Thanh, P.9, Quận 5, Tp.HCM
Đề tài: “Xây dựng hạ tầng mạng doanh nghiệp” 155
(ISP). Có nhiều giải pháp cho bạn sử dụng các dịch vụ của ISP cung cấp. Cloud này có thể
là Frame-Reply, ATM, Leased Lines
3.3 Kỹ thuật thiết kế:
Trong thiết kế DMVPN, có hai topology được đưa ra bàn luận:
Dual hub-dual DMVPN cloud
Dual hub-single DMVPN cloud
Trước tiên cần phải hiểu DMVPN cloud là gì, nó là tập hợp các router được cấu hình
định tuyến để giao tiếp với nhau. Bạn có thể dùng giao thức mGRE hoặc PPP hoặc là
cả hai để cấu hình giao tiếp với các router này, chúng phải có cùng subnet.
Như vậy hai kỹ thuật đề cập ở trên có thể hiểu là đa hub đa DMVPN cloud và đa hub
đơn DMVPN cloud.
137C Nguyễn Chí Thanh, P.9, Quận 5, Tp.HCM
Đề tài: “Xây dựng hạ tầng mạng doanh nghiệp” 156
Hình 73 Dual DMVPN Cloud Topology
Trong mô hình Dual hub dual DMVPN cloud, hình 73, Hub 1 là trung tâm chính, nó
kết nối với các Branch qua DMVPN cloud 1, và dĩ nhiên chúng có cùng subnet. Nó duy trì
kết nối thường xuyên hơn. Trong khi đó, Hub 2 được khuyến cáo là để dự phòng trong
trường hợp Hub 1 gặp chút trục trặc. Giữa Hub1 và Hub 2 được khuyến cáo kết nối với
nhau trong mạng campus và không cùng subnet (cùng một net, tức là net được chia mạng
con). Điều tất nhiên phải đảm bảo là cả hub 1 và hub 2 đều phải giao tiếp được với hệ thống
mạng bên trong. Giải pháp này được biết đến với khả năng Failover, tức là hạn chế sự cố,
luôn duy trì kết nối.
Trong mô hình thứ hai, dual hub single DMVPN cloud, hình 74, bạn chỉ có một đường
mạng để kết nối tất cả các hub và branch. Từ DMVPN Cloud bạn thấy chúng ta có hai kết
nối về hai hub. Giải pháp này được biết đến với khả năng load balanced.
137C Nguyễn Chí Thanh, P.9, Quận 5, Tp.HCM
Đề tài: “Xây dựng hạ tầng mạng doanh nghiệp” 157
DMVPN cloud hổ trợ cho cả hai mô hình triển khai hub-and-spoke và spoke-and-spoke.
Trong hub-and-spoke, mỗi headend chứa một interface mGRE và mỗi branch có chứa cả
p2p hoặc mGRE interface. Trong mô hình spoke-and-spoke cả hai đầu headend
và branch đều có mGRE interface.
Hình 74 Single DMVPN Cloud Topology
3.4 Dual DMVPN Cloud Topology:
Với Dual DMVPN Cloud, ta có hai model triển khai:
Hub-and-spoke
Spoke-to-spoke
137C Nguyễn Chí Thanh, P.9, Quận 5, Tp.HCM
Đề tài: “Xây dựng hạ tầng mạng doanh nghiệp” 158
3.4.1 Hub-and-Spoke:
Hình 75 Hub-and-Spoke Deployment Model
Với Dual DMVPN cloud trong model hub-and-spoke, có chứa hai headend (hub1 và
hub2), mỗi cái có một hoặc nhiều tunnel mGRE kết nối đến tất cả các branch. Hình 75
minh họa cho chúng ta điều đó.
Mỗi DMVPN cloud được đại diện bằng IP duy nhất trong subnet. Một DMVPN cloud
được gọi là primary (cloud chính), chịu trách nhiệm cho mọi lượng mạng của Branch đi
qua. Mỗi branch có chứa hai interface P2P GRE kết nối đến mỗi Hub riêng lẽ. Trong model
triển khai này không có tunnel nào giữa các branch. Giao tiếp nội bộ giữa các branch được
cung cấp thông qua hub. Thông số metric của giao thức định tuyến mà hệ thống sử dụng,
được sử dụng để xác định đâu là primary hub.
137C Nguyễn Chí Thanh, P.9, Quận 5, Tp.HCM
Đề tài: “Xây dựng hạ tầng mạng doanh nghiệp” 159
3.4.2 Spoke-and-Spoke:
Hình 76 Spoke-to-Spoke Deployment Model
Cũng giống như Hub-and-spoke, trong model này cũng có hai Hub ở trung tâm, mỗi hub
có một hoặc nhiều tunnel kết nối đến tất cả các chi nhánh. Giao tiếp giữa các Branch được
thực hiện thông qua Hub, trừ khi nó có một đường kết nối được tạo ra giữa hai Spoke. Đó
chính là sự khác biệt của trường hợp này. Tunnel giữa Spoke and Spoke được gọi là
dynamic, nó phải nằm trong một single DMVPN cloud hoặc cùng một subnet. Tunnel của
spoke-and-spoke thì không ở giữa hai DMVPN cloud.
3.5 Kiến trúc hệ thống trung tâm (system headend)
Có hai kiến trúc dành cho hệ thống trung tâm được đưa ra triển khai là:
Single Tier
Dual Tier
137C Nguyễn Chí Thanh, P.9, Quận 5, Tp.HCM
Đề tài: “Xây dựng hạ tầng mạng doanh nghiệp” 160
3.5.1 Single Tier
Trong kiến trúc Single Tier, về mặt chức năng thì mGRE và Crypto cùng tồn tại trong
một CPU của router.
Hình 77 Single Tier Headend Architecture
Hình 77 là giải pháp dual cloud với model hud-and-spoke. Tất cả các Headend đều có
tunnel mGRE và Crypto được gộp chung lại trong một multiple GRE tunnel, để phục vụ
cho các luồng dữ liệu của branch. Mặt khác, để kết thúc tunnel VPN tại trung tâm, headend
có thể gửi một thông điệp để báo cho giao thức định tuyến đang được sử dụng tại branch
như EIGRP, OSPF, bất kể đường nào được chọn trong cloud (cloud path – đường kết nối
giữa các router trong cloud).
137C Nguyễn Chí Thanh, P.9, Quận 5, Tp.HCM
Đề tài: “Xây dựng hạ tầng mạng doanh nghiệp” 161
3.5.2 Dual Tier
Với kiến trúc dual tier, mGRE và Crypto không cùng tồn tại trong cùng CPU của router.
Hình 78 Dual Tier Headend Architecture
Hình 78 là giải pháp dual DMVPN cloud với model hub-and-spoke. Ở đây mGRE và
Crypto tại headend nằm riêng lẽ nhau , chúng phục vụ cho nhau và cho multiple mGRE
tunnel để chuyển luồng lưu lượng mạng cho branch. Đầu cuối của VPN tunnel, Crypto sẽ
nhận dữ liệu gửi từ branch và sau đó chuyển tiếp cho mGRE, để mGRE quảng bá cho các
giao thức định tuyến tại branch như EIGRP hoặc OSPF.
Router trong tất cả các mô hình của DMVPN đóng vai trò là điểm kết thức của tunnel.
Đồng thời nó còn kiêm theo nhiều chức năng khác như Firewall. Địa chỉ ip mặt ngoài của
router có thể là tĩnh hoặc động, và nó phải được “map” trong bản đồ của router. Hành động
này có nghĩa là: Một inteface mặt ngoài của router có địa chỉ ip public của riêng nó, và một
137C Nguyễn Chí Thanh, P.9, Quận 5, Tp.HCM
Đề tài: “Xây dựng hạ tầng mạng doanh nghiệp” 162
tunnel cũng có ip (public hoặc private), nó phải ảnh xạ để biết tunnel này được chuyển ra
interface tương ứng.
Các Branch trong kiểu triển khai này kết nối với nhau thông qua tunnel riêng, và phải đi
qua DMVPN Cloud. Giao thức thường xuyên thấy giữa các tunnel này là IPSec. Để giao
tiếp với hệ thống trung tâm, chúng ta có giao thức Single Tier, trong đó các chức năng của
mGRE và Crypto được gói gọn trong một router.
3.6 Single DMVPN Cloud Topology
Trong mô hình này, có hai headend được sử dụng, nhưng chúng có cùng một subnet.
Các văn phòng chi nhánh sẽ kết nối với trung tâm thông qua giao diện mGRE. Và chúng
cũng phải có cùng subnet để thực hiện giao tiếp nội bộ. Mô hình này không được khuyến
cáo vì chúng không khả dụng và không chống lỗi được. Với kiểu triển khai Spoke-and-
Spoke thì việc triển khai theo Single DMVPN này cần được cân nhắc kỹ.
Hai headend phải được cấu hình DMVPN giống nhau, có địa chỉ IP cùng một subnet.
Khi đó chúng sẽ hổ trợ cho chúng ta chức năng load balanced giữa hai trung tâm.
Hình 79 Single DMVPN Cloud Topology
137C Nguyễn Chí Thanh, P.9, Quận 5, Tp.HCM
Đề tài: “Xây dựng hạ tầng mạng doanh nghiệp” 163
Như vậy khi nhắc đến topology để triển khai cho giải pháp DMVPN, chúng ta có sự tóm
tắt như sau:
- Mô hình triển khai dành cho:
Hub-and-Spoke: Giữa trung tâm và chi nhánh. Trong Hub-and-Spoke có hai kiến
trúc dành cho cloud.
o Dual Cloud: Có nhiều subnet
o Single Cloud: Có một subnet
Trong cả hai kiến trúc thì ở trung tâm (header) có thể triển khai theo hai giải pháp:
o Single Tier: hai giao thức mGRE và Crypto trên cùng một router.
o Dual Tier: hai giao thức mGRE và Crypto ở hai router khác nhau.
Spoke-and-Spoke: giữa các chi nhánh với nhau
3.7 Các vấn đề khi triển khai DMVPN
3.7.1 Cơ chế tunnel và địa chỉ IP
Như vậy tunnel là một cơ chế, mà người ta gọi là đường ống, nó có chức năng che dấu
đi dữ liệu A nào đó bằng một lớp dữ liệu B khác. Mô hình là vậy để chúng ta dễ hiễu, thực
chất công việc này trong truyền thông là gắn thêm vào dữ liệu một header riêng, để biết
rằng đó là gói dữ liệu theo định dạng của B.
137C Nguyễn Chí Thanh, P.9, Quận 5, Tp.HCM
Đề tài: “Xây dựng hạ tầng mạng doanh nghiệp” 164
Hình 80: Mô hình VPN với cơ chế Tunnel
Hình 81 Mô hình IP
Nhìn vào mô hình minh họa này, chúng ta cũng thấy có một vấn đề được đề cập đến
chính là địa chỉ IP. Bản thân gói dữ liệu gửi từ A, đã có địa chỉ IP của riêng nó và của đích
mà nó cần đến. Khi được tunnel hóa đi, nó mang thêm vào một địa chỉ IP nguồn và đích
của tunnel. Người ta gọi đây là IP tunnel, và giao tiếp giữa hai IP tunnel này gọi là Tunnel
137C Nguyễn Chí Thanh, P.9, Quận 5, Tp.HCM
Đề tài: “Xây dựng hạ tầng mạng doanh nghiệp” 165
Interface. Như vậy, giữa hai đầu của tunnel, về mặt luận lý, bạn có thể hiểu nó là một sợi
cáp mạng nối hai điểm cần giao tiếp với nhau.
Mục đích của việc tạo tunnel là để che dấu địa chỉ IP private bằng địa chỉ IP public, từ
đó giúp hai hệ thống mạng private có thể giao tiếp được với nhau. Tại đầu gửi, địa chỉ IP
private nằm trong gói dữ liệu, được gói thành một gói dữ liệu mới (đúng hơn là gắn thêm
header) mang địa chỉ IP public, và thông qua tunnel nó được gửi đến đầu nhận có địa chỉ
IP public. Tại đầu nhận gói dữ liệu được tháo ra để lấy dữ liệu bên trong và trả vào cho
mạng private.
3.7.2 Giao thức GRE
Làm thế nào để có được tunnel? Như đã đề cập, tunnel thực chất là gắn thêm một header
theo định dạng quy định vào trong gói tin cần gửi. Như vậy định dạng quy định này là gì?.
Câu trả lời rằng nó là những giao thức đóng gói dữ liệu trong tunnel. Một vài giao thức có
thể kể tên như PPTP (Point-to-Point Tunneling Protocol), L2TP (Layer 2 Tunneling
Protocol), L2F (Layer 2 Forwarding), GRE (Generic Routing Encapsulation). Tất cả giao
thức này đều sẽ gắn vào gói tin cần gửi những dữ liệu của riêng nó, và phía đầu nhận phải
hiểu để bóc gói (Discapsulation) cho đúng.
Thế nhưng cả ba giao thức PPTP, L2TP và L2F đều vướng phải một vấn đề là không
thể định tuyến. Khi cơ chế tunnel được tạo ra, hai site kết nối với nhau thì chúng có thể
nằm trong cùng một mạng LAN, và phía sau chúng có thể là hàng loạt các mạng LAN
khác. Hai router giữ vai trò đầu cuối của VPN (nơi tạo ra tunnel) phải chịu trách nhiệm gửi
cập nhật định tuyến bên trong mạng cho nhau. Chúng ta đều biết rằng, cập nhật định tuyến
này gửi theo broadcast, mà đa phần môi trường mạng public không cho phép gói tin
broadcast đi qua. GRE sẽ giải quyết vấn đề này.
GRE được dùng trong việc đóng gói định tuyến, dành cho môi trường mạng non-
broadcast (mạng không cho phép broadcast). GRE cung cấp một cơ chế đóng gói tất cả các
giao thức của tầng mạng, gửi đến cho những giao thức của tầng mạng khác. GRE sử dụng
để truyền tải các gói tin IP từ mạng private này đến mạng private khác, thông qua internet.
137C Nguyễn Chí Thanh, P.9, Quận 5, Tp.HCM
Đề tài: “Xây dựng hạ tầng mạng doanh nghiệp” 166
GRE tunnel cũng cho phép các giao thực định tuyến hoạt động khi nó chuyển tiếp từ mạng
private đến các router khác trên mạng internet. GRE cũng đóng gói dữ liệu multicast để
chuyển qua internet.
Hình 82 Ví dụ về GRE
GRE không cung cấp cơ chế mã hoá, do đó nó cần IPSEC để mã hoá dữ liệu trên đường
truyền. Một gói tin khi cần chuyển ra mạng public thông qua GRE, nó sẽ được đóng gói
theo chuẩn của GRE, bằng cách thêm vào GRE header, có độ dài 32 đến 160 bits.
Triển khai GRE có hai giải pháp, giải pháp Point-to-Point (ppp GRE) và giải pháp
Multi-Point (mGRE). Đối với mô hinh DMVPN Hub-and-Spoke thì mGRE được lựa
chọn trong cấu hình.
3.7.3 Giao thức NHRP
Hai router (đã tạo tunnel) kết nối với nhau xem nhau như trong mạng LAN. Điều đầu
tiên để gửi được dữ liệu giữa hai router này là xác định địa chỉ IP. Đứng ở khía cạnh người
gửi tại 2 router, nó chỉ biết địa chỉ IP private. Công việc thứ hai là xác định với IP này thì
MAC là bao nhiêu, bằng giao thức ARP. Tuy nhiên, giao thức ARP không thể hoạt động,
vì ở đây đang dùng cơ chế tunnel, nó không cho phép gói tin của ARP chạy qua để tìm
MAC. Vì thế NHRP (Next Hop Resolution Protocol) ra đời.
137C Nguyễn Chí Thanh, P.9, Quận 5, Tp.HCM
Đề tài: “Xây dựng hạ tầng mạng doanh nghiệp” 167
NHRP là giao thức giống giao thức ARP (giao thức phân giải địa chỉ) làm giảm những
vấn đề mạng NBMA (Non-Broadcast Multiple Access). Với NHRP, các hệ thống học địa
chỉ của các hệ thống khác được cố định đến mạng NBMA một cách linh động. Cho phép
các mạng này thông trực tiếp với nhau mà traffic được dùng không cần qua hop trung gian.
NHRP được thiết kế để trợ giúp IP dò đường cho quá trình truyền khối dữ liệu trên hệ
thống mạng NBMA. NHRP không phải là giao thức dò đường. Đó chỉ là một giải pháp kỹ
thuật về địa chỉ để sắp xếp lại các địa chỉ của IP trong quá trình chuyển dữ liệu sang các
địa chỉ kiểu mạng NBMA trái ngược lại với mạng phát tán. Trên hệ thống mạng phát tán,
nhiều máy tính cũng như các thiết bị cùng dùng chung một cáp mạng hay các thiết bị truyền
thông khác. Khi một máy tính truyền đi các frame thông tin, tất cả các nút trên mạng cùng
“lắng nghe “ các frame, nhưng chỉ nút nào mà địa chỉ của nó được chỉ định trên frame mới
thật sự nhận được các frame này. Bởi vậy, các frame gọi là được phát tán. Mạng kiểu
NBMA sử dụng các mạch hướng kết nối để phân phối các frame hay cell từ đầu này đến
đầu kia của mạch. Không có trạm nào khác liên quan đến mạch này ngoại trừ 2 nút cuối
của nó. Các dịch vụ chuyển dữ liệu trong IP phi kết nối (connectionless) không phải luôn
luôn phù hợp với các liên kết hướng kết nối của ATM.
3.7.4 Tunnel Protection Mode
Tiêu biểu vẫn là IPSec, chúng ta có thể cấu hình crypto theo kiểu dynamic hoặc static ở
cả hai đầu router header và branch.Trong các phiên bản IOS 13 (hoặc lớn hơn) hổ trợ hầu
hết các cấu hình của IPSec. Cũng từ phiên bản 13 này, khái niệm IPSec profile được giới
thiệu. IPSec Profile được áp dụng cho hầu hết các kết nối, chúng ta không cần phải sử dụng
nhiều ACL cho mỗi interface. Tuy nhiên, chỉ có những subnet nào được cấu hình giao tiếp
và được phép giao tiếp với IPSec thì mới sử dụng được profile này.
3.7.5 Sử dụng giao thức định tuyến
Trong thiết kế của DMVPN khuyến cáo sử dụng các giao thức định tuyến động để định
tuyến từ headen đến branch. Việc sử dụng các giao thức định tuyến động có nhiều lợi thế
hơn đóng góp trực tuyến bằng IPSec (IPSec Direct Encapsulation). Trong VPN, giao thức
định tuyến phải đảm bảo cùng một lợi ích so với mạng truyền thống, nó bao gồm:
137C Nguyễn Chí Thanh, P.9, Quận 5, Tp.HCM
Đề tài: “Xây dựng hạ tầng mạng doanh nghiệp” 168
Thông tin về topology của mạng
Thông báo thay đổi trong cấu trúc của topology
Trạng thái điều khiển từ xa của mỗi đối tượng
Một số giao thức định tuyến có thể được sử dụng trong một thiết kế DMVPN bao gồm
EIGRP, OSPF, RIPv2, và ODR (chỉ dùng trong hub-and-spoke). Giao thức EIGRP được
khuyến cáo sử dụng nhiều nhất, bởi vì giao thức định tuyến động này duy trì định tuyến
theo chu kỳ của CPU và băng thông mạng, cũng như thời gian hội tụ nhanh chóng của nó.
EIGRP cung cấp một loạt các tùy chọn để tổng hợp địa chỉ (summarization) và quảng bá
định tuyến mặc định (default route).
Các giao thức định tuyến như OSPF cũng đã được xác minh là dễ sử dụng, nhưng không
được thảo luận rất chi tiết. ODR có thể không được sử dụng trong mô hình triển khai spoke-
to-spoke vì ODR không hỗ trợ chia tách tunnel (split tunneling).
Giao thức định tuyến động làm tăng việc sử dụng CPU trên thiết bị mạng, do đó tác động
này phải được xem xét khi tăng kích thước mạng.
3.7.6 Cân nhắc sử dụng Crypto
IPSec hỗ trợ hai cơ chế mã hóa là transport và tunnel. Với cơ chế transport thì chỉ mã
hóa phần dữ liệu (payload), còn phần header có chứa địa nguồn và đích thì không được mã
hóa. Với cơ chế tunnel thì cả phần dữ liệu và header đều được mã hóa, giúp bảo vệ thông
tin trong phần header. Cơ chế transport còn thêm vào 20 byte đệm trong tổng kích thước
gói tin. Cả hai cơ chế này đều được sử dụng để triển khai trong DMVPN.
Nếu crypto tunnel được sử dụng cho NAT hoặc PAT thì bắt buộc phải dùng cơ chế
tunnel. Mặc khác, trong triển khai DMVPN, nếu triển khai dual tier với cả GRE tunnel và
crypto tunnel thì cũng bắt buộc phải dùng cơ chế tunnel trong IPSec.
3.7.7 IKE Call Admission Control
Trước đây phiên bản IOS 12.3 không có một chương trình nào điều khiển và giới hạn số
lượng và tốc độ khởi tạo các yêu cầu chứng thực của ISAKMP (giao thức dùng đề quản lý
137C Nguyễn Chí Thanh, P.9, Quận 5, Tp.HCM
Đề tài: “Xây dựng hạ tầng mạng doanh nghiệp” 169
khóa và khởi tạo kết nối), đều đó dẫn đến sự quá tải của router và làm tràn ngậm băng
thông mạng.
IKE Call Admission Control (CAC) được giới thiệu trong phiên bản 12.3 đã giới hạn
được số lượng chứng thực của ISAKMP cho phép đến và đi từ một router. Bằng cách giới
hạn số lượng crypto động được tạo ra, chúng ta có thể ngăn chặn không cho router bị tràn
ngậm các yêu cầu ISAKMP được tạo ra. Việc giới hạn này còn phụ thuộc vào nền tản công
nghệ, mô hình mạng, ứng dụng và luồng dữ liệu truyền tải qua mạng. Nếu bạn chỉ định
một giới hạn IKE CAC ít hơn số lượng hiện tại của hoạt động IKE SA, một lời cảnh báo
được hiển thị, nhưng ISAKMP SA không chấm dứt. Một yêu cầu ISAKMP SA mới bị từ
chối cho đến khi bộ đếm ISAKMP SA hoạt động là dưới mức giới hạn cấu hình.
CAC cung cấp hai phương pháp tiếp cận để hạn chế IKE SA có thể dùng để triển khai
trong mạng DMVPN. Đầu tiên, CAC bình thường là một giám sát tài nguyên toàn cục,
thăm dò phản hồi để đảm bảo rằng tất cả các quá trình bao gồm IKE không làm quá tải
CPU của router hoặc bộ nhớ đệm. Người dùng có thể cấu hình một giới hạn tài nguyên,
đại diện bởi một tỷ lệ phần trăm tài nguyên hệ thống từ 0 đến 100. Nếu người dùng xác
định một giới hạn tài nguyên là 90%, sau đó IKE CAC loại bỏ các yêu cầu ISAKMP SA
hệ thống tiêu thụ đến 90% hiệu suất. Tính năng này rất có giá trị trên các bộ định tuyến
headend, có thể phân loại và mã hóa các gói dữ liệu trong các công cụ mã hoá phần cứng
với tốc độ dòng. Điều này hữu ích trên các bộ định tuyến khi triển khai theo mô hình hub-
and-spoke, bởi vì các bộ định tuyến chi nhánh thường đạt ngưỡng trước khi được nạp đầy
đủ với ISAKMP SA.
Cách tiếp cận thứ hai cho phép người sử dụng cấu hình một giới hạn xác thực IKE
ISAKMP SA (IKE CAC). Khi giới hạn này được đạt tới, IKE CAC loại bỏ tất cả các yêu
cầu ISAKMP SA mới. Các Yêu cầu then chốt của IPsec SA lại luôn được cho phép vì để
bảo tồn tính toàn vẹn của phiên hiện tại. Chức năng này chủ yếu nhắm vào các bộ định
tuyến ở chi nhánh trong một mô hình triển khai spoke-to-spoke. Bằng cách cấu hình một
giới hạn số lượng các dynamic tunnel có thể được tạo ra, người sử dụng có thể ngăn chặn
một bộ định tuyến không bị tràn ngập nếu nó đột nhiên tràn ngập các yêu cầu SA. Ý tưởng
137C Nguyễn Chí Thanh, P.9, Quận 5, Tp.HCM
Đề tài: “Xây dựng hạ tầng mạng doanh nghiệp” 170
CAC IKE phụ thuộc rất nhiều vào các nền tảng cụ thể và công nghệ crypto, cấu trúc liên
kết mạng, và những thiết lập được triển khai.
3.8 So sánh giữa VPN và DMVPN
3.8.1 Mô hình VPN thông thường
Hình 83 Mô hình VPN thông thường
Mô hình mạng gồm một site trung tâm (HUB) kết nối đến các site chi nhánh (SpokeA
và SpokeB) qua internet. Với việc sử dụng VPN thông thường (IPSec + GRE), trên router
HUB cần cấu hình 2 tunnel đến SpokeA và SpokeB.
Một số hạn chế của mô hình trên:
-Khi tạo tunnel point-to-point, phải biết được địa chỉ IP của nguồn và đích. Do đó, ở các
spoke và HUB chúng ta phải thuê những địa chỉ IP tĩnh, dẫn đến chi phí cao.
-Ở router HUB, chúng ta phải cấu hình 2 tunnel, 1 cho spokeA và 1 cho spokeB. Giả sử
mạng công ty gồm rất nhiều chi nhánh thì trên router HUB sẽ phải cấu hình bấy nhiêu
tunnel.
137C Nguyễn Chí Thanh, P.9, Quận 5, Tp.HCM
Đề tài: “Xây dựng hạ tầng mạng doanh nghiệp” 171
-Mỗi tunnel khi được tạo sẽ có một cơ sở dữ liệu đi kèm. Như vậy trên router phải lưu
trữ một cơ sở dữ liệu khá lớn. Điều này dẫn đến sự tiêu tốn bộ nhớ và CPU trên router
HUB là khá lớn, gây tốn kém.
-Khi spokeA muốn giao tiếp với spokeB, nó phải thông qua HUB. Điều này không linh
động.
3.8.2 Mô hình DMVPN:
Với việc sử dụng DMVPN chúng ta sẽ giải quyết được những hạn chế trên và làm cho
hệ thống trở nên mở rộng và linh động hơn, bằng cách sử dụng các giao thức mGRE và
NHRP
Hình 84 Mô hình DMVPN
-Ở mỗi spoke, chúng ta không cần phải dùng một địa chỉ tĩnh nữa, mà có thể sử dụng
địa chỉ IP động do ISP cung cấp. Vì mGRE chỉ yêu cầu xác định địa chỉ nguồn, còn địa chỉ
đích thì sẽ nhờ một giao thức khác xác định. Trên router HUB cũng bắt buộc phải là một
địa chỉ tĩnh.
137C Nguyễn Chí Thanh, P.9, Quận 5, Tp.HCM
Đề tài: “Xây dựng hạ tầng mạng doanh nghiệp” 172
-Trên router HUB, bây giờ chỉ cần cấu hình một tunnel mGRE. Nếu thêm một spoke
nào nữa thì trên HUB cũng không cần phải cấu hình thêm. Điều này làm giảm tải ở router
HUB
-Khi sử dụng mGRE thì việc định địa chỉ đích sẽ nhờ vào một giao thức khác, đó là
NHRP.
Như vậy, việc sử dụng DMVPN đem lại nhiều thuận lợi hơn so với VPN thông thường.
3.8.3 Ưu điểm của việc sử dụng DMVPN
DMVPN cho phép mở rộng những mạng IPSec VPN. Ngoài ra nó còn có một số thuận
lợi như sau:
-Giảm độ phức tạp khi cấu hình trên router hub mà nó cung cấp khả năng thêm nhiều
kênh một cách tự động mà không đụng đến cấu hình của hub.
-Bảo đảm các packet được mã hóa khi truyền đi
-Hỗ trợ nhiều giao thức định tuyến động chạy trên DMVPN tunnels
-Khả năng thiết lập động và trực tiếp giữa các kênh spoke-to-spoke IPSec giữa các site
mà không cần thông qua hub (nhờ mGRE và NHRP)
-Hỗ trợ các spoke router với những địa chỉ IP vật lý động (được cấp bởi ISP)
137C Nguyễn Chí Thanh, P.9, Quận 5, Tp.HCM
Đề tài: “Xây dựng hạ tầng mạng doanh nghiệp” 173
CHƯƠNG 3. PHÂN TÍCH VÀ THIẾT KẾ ĐỀ TÀI
1. Phân tích chi tiết ưu và nhược điểm của mô hình
1.1 Mô hình triển khai DMVPN, High Availability cho hệ thống ngân hàng
Vietbank
1.1.1 Mô hình :
Hình 85 Mô hình sử dụng DMVPN, HA
1.1.2 Phân tích các dịch vụ và ưu nhược điểm của mô hình
- Dịch vụ : Mô hình trên sử dụng dịch vụ DMVPN (Dynamic-Multipoint-Vitural-Private-
Network). IP tại các chi nhánh Đà Nẵng và Hà Nội sử dụng IP động của nhà cung cấp dịch
vụ.
- Ưu điểm : DMVPN với các tunnel sẽ vẫn đảm bảo tốt các yêu cầu bảo mật, an toàn dữ
liệu giữa các site, ngoài ra chúng ta có thể tiết kiệm tối đa chi phí mua IP ở các chi nhánh.
Đồng thời việc cấu hình sẽ đơn giản hơn ở các Hub. Các chi nhánh mới nếu có nhu cầu,
thì chỉ cấu hình đơn giản tại các router chi nhánh( Spoke). Ngoài ra các site spoke cũng sẽ
được tự động kết nối với nhau bằng tính năng trong DMVPN.
137C Nguyễn Chí Thanh, P.9, Quận 5, Tp.HCM
Đề tài: “Xây dựng hạ tầng mạng doanh nghiệp” 174
- Nhược điểm : Các HUB router phải luôn luôn bắt đầu đường tunnel DMVPN trước đến
các spoke. Các spoke không thể bắt đầu đường tunnel tới các HUB trước được.
Hạn chế các gói tin Multicast.
Rất hạn chế QoS giữa các spoke. Vì vậy các ứng dụng có độ trễ nhạy cảm như VoIP và
video thường không ổn định.
2. Phân tích yêu cầu và xác định mô hình cần thực hiện cho ngân hàng Vietbank
Kết nối các chi nhánh về trụ sở chính có bảo mật thông qua dịch vụ internet
của ISP.
Giảm tối đa chi phí mua IP tĩnh.
Áp dụng chính sách bảo mật lên từng phòng ban & nhân viên.
Đảm bảo high availability cho trụ sở chính bằng cách dùng Router và Switch
dự phòng.
Đảm bảo redundancy cho trụ sở chính bằng cách sử dụng các Switch để
backup và dùng VTP phân chia phòng ban.
Đảm bảo kết nối giữa trụ sở chính và các chi nhánh luôn ổn định.
Có nhiều cách, tình huống có thể giải quyết được các yếu tố trên. Nhưng để giải quyết
triệt để thì lại rất ít, đồng thời phải thỏa một yêu cầu mà nhiều doanh nghiệp mong muốn
đó chính là chi phí thi công và vận hành hệ thống. Vì thế Tôi lựa chọn giải pháp là DMVPN.
137C Nguyễn Chí Thanh, P.9, Quận 5, Tp.HCM
Đề tài: “Xây dựng hạ tầng mạng doanh nghiệp” 175
2.1 Thiết kế mô hình
SƠ ĐỒ KẾT NỐI MẠNG TỔNG QUÁT
Hình 86 Sơ đồ tổng quan kết nối trụ sở và chi nhánh
SƠ ĐỒ TỔNG QUÁT TRỤ SỞ TP. HỒ CHÍ MINH
137C Nguyễn Chí Thanh, P.9, Quận 5, Tp.HCM
Đề tài: “Xây dựng hạ tầng mạng doanh nghiệp” 176
Hình 87 Sơ đồ tổng quan trụ sở TP.HCM
137C Nguyễn Chí Thanh, P.9, Quận 5, Tp.HCM
Đề tài: “Xây dựng hạ tầng mạng doanh nghiệp” 177
INTERNETPhòng Quản Lý: 4PC và 8 Laptop
Network: 192.168.2.0/28
Phòng Tư Vấn: 6PC
Network: 192.168.2.16/28
ADSL FPT
DM
VPN
SƠ ĐỒ TỔNG QUÁT CHI
NHÁNH HÀ NỘI
Hình 88 Sơ đồ tổng quan chi nhánh Hà Nội
137C Nguyễn Chí Thanh, P.9, Quận 5, Tp.HCM
Đề tài: “Xây dựng hạ tầng mạng doanh nghiệp” 178
INTERNETPhòng Quản Lý: 4PC
Network: 192.168.3.32/28
Phòng Tư Vấn: 8PC
Network: 192.168.3.16/28
ADSL FPT
DM
VPN
SƠ ĐỒ TỔNG QUÁT CHI
NHÁNH ĐÀ NẴNG
Phòng Kinh Doanh: 12PC
Network: 192.168.3.0/28
Hình 89 Sơ đồ tổng quan chi nhánh Đà Nẵng
137C Nguyễn Chí Thanh, P.9, Quận 5, Tp.HCM
Đề tài: “Xây dựng hạ tầng mạng doanh nghiệp” 179
2.2 Bảng phân hoạch địa chỉ IP
Tên Router Interface IP OSPF Note
ISP
S1/0
S1/1
S1/2
S1/3
113.190.46.1/30
113.190.47.1/30
113.190.48.1/30
113.190.49.1/30
NAT-HN
S1/0
F0/0
F0/1
TUNNEL
100
113.190.46.2/30
172.16.1.2/30
172.16.2.2/30
100.100.100.1/29
AREA
1
AREA
1
NAT-DN
S1/1
F0/0
F0/1
TUNNEL
200
113.190.47.2/30
172.16.3.2/30
172.16.4.2/30
200.200.200.1/29
AREA
1
AREA
1
SW-CORE1
F1/0 – 1
F1/2 – 3
F1/4 – 5
PORT CHANNEL 1
PORT CHANNEL 2
PORT CHANNEL 3
SW-CORE2
F1/0 – 1
F1/2 – 3
F1/4 – 5
PORT CHANNEL 1
PORT CHANNEL 2
PORT CHANNEL 3
SW-
ACCESS1
F1/2 – 3
F1/4 – 5
F1/6 – 7
F1/8 – 9
PORTCHANNEL 2
PORTCHANNEL 3
VLAN 10
GIAMDOC
137C Nguyễn Chí Thanh, P.9, Quận 5, Tp.HCM
Đề tài: “Xây dựng hạ tầng mạng doanh nghiệp” 180
F1/10 – 11
F1/12 – 13
F1/14 – 15
VLAN 20 IT
VLAN 30
KINHDOANH
VLAN 40 NHANSU
VLAN 50
KETOAN
SW-
ACCESS2
F1/2 – 3
F1/4 – 5
F1/6 – 7
F1/8 – 9
F1/10 – 11
F1/12 – 13
F1/14 – 15
PORTCHANNEL 2
PORTCHANNEL 3
VLAN 10
GIAMDOC
VLAN 20 IT
VLAN 30
KINHDOANH
VLAN 40 NHANSU
VLAN 50 KETOAN
R-HN
S1/3
F0/0.10
F0/0.20
TUNNEL
100
TUNNEL
200
113.190.49.2/30
192.168.2.1/28
192.168.2.17/28
100.100.100.2/29
200.200.200.2/29
AREA
1
AREA
1
AREA
1
AREA
1
VLAN 10 QUANLY
VLAN 20 TUVAN
SW-HN F1/1 – 5
F1/6 – 10
VLAN 10 QUANLY
VLAN 20 TUVAN
R-DN S1/2 113.190.48.2/30
137C Nguyễn Chí Thanh, P.9, Quận 5, Tp.HCM
Đề tài: “Xây dựng hạ tầng mạng doanh nghiệp” 181
F0/0.10
F0/0.20
F0/0.30
TUNNEL
100
TUNNEL
200
192.168.3.1/28
192.168.3.17/28
192.168.3.33/29
100.100.100.3/29
200.200.200.3/29
AREA
1
AREA
1
AREA
1
AREA
1
AREA
1
VLAN 10
KINHDOANH
VLAN 20 TUVAN
VLAN 30
QUANLY
SW-DN
F1/1 – 5
F1/6 – 10
F1/11 – 15
VLAN 10
KINHDOANH
VLAN 20 TUVAN
VLAN 30
QUANLY
3. Bảng thống kê chi phí thiết bị
Tên thiết bị Mã thiết bị Số lượng Giá tiền $
Router cisco Cisco router 7200 4 4.400
Switch cisco L2 WS-C2960S-24TS-S 4 1.100
Switch cisco L3 WS-C3560 WS-24TS-E 2 4.000
Cable Golden Link Cat 6.SFTP 6 100
Tủ rack 27U series 600 ECP-27W600 3 300
Tổng tiền 31.500
137C Nguyễn Chí Thanh, P.9, Quận 5, Tp.HCM
Đề tài: “Xây dựng hạ tầng mạng doanh nghiệp” 182
4. Mô hình và các dịch vụ triển khai
4.1 Mô hình
Hình 90 Sơ đồ lab thực hiện đề tài
4.2 Các dịch vụ triển khai
- Tại site Hồ Chí Minh vùng LAN nội bộ các end user sẽ kết nối với con Core-SW thông
qua các SW layer2 tương ứng cho từng cụm từng phong ban. Các SW layer3 sẽ làm nhiệm
vụ DHCP cấp phát IP toàn bộ cho các phòng ban trên từng VLAN khác nhau tương ứng
cho các phòng ban.
- Đồng thời là VTP server cung cấp thông tin VLAN cho các SW layer2. SW layer2 sẽ
gán port cho các VLAN. SW layer3 sẽ ghép các cặp dây lại để chạy etherchannel nhằm
tăng cường băng thông cho nội bộ Lan, đảm bảo sự liên tục cho toàn hệ thống.
- Hai Router bên site Thành phố Hồ Chí Minh sẽ được cấu hình các tunnel triển khai
DMVPN kết hợp với IPsec. Ngoài ra cơ chế HSRP được triển khai trên hai con router nhằm
dự phòng cho toàn hệ thống, tránh sự ngừng trệ do hư hỏng….
- Môi trường Wan là MPLS
137C Nguyễn Chí Thanh, P.9, Quận 5, Tp.HCM
Đề tài: “Xây dựng hạ tầng mạng doanh nghiệp” 183
- Site Hà Nội và Đà Nẵng mỗi site sẽ có một con SW layer 2 được triển khai VLAN
đồng thời gán port cho từng phòng ban tại 2 site này. Router tại 2 site là các SPOKE trong
DMVPN.
CHƯƠNG 4. TRIỂN KHAI THỰC HIỆN
TRIỂN KHAI THỰC HIỆN
1. Cấu hình hostname, password, ip(enable – console – vty pass)
Router>enable
Router#configure terminal
Router(config)#hostname ISP
ISP(config)#banner motd "ROUTER ISP"
ISP(config)#line console 0
ISP (config-line)#password VietBankconsole
ISP (config-line)#login
ISP (config-line)#exit
ISP (config)#line vty 0 4
ISP (config-line)#password VietBankvty
ISP (config-line)#login
ISP (config-line)#exit
ISP (config)#enable secret VietBank
ISP (config)#service password-encryption
Gán ip cho từng interface trên ISP
Các thiết bị còn lại cấu hình tương tự
2. Cấu hình Trunking và Etherchannel
Cấu hình Trunking :
SW-CORE1 & SW-CORE2
SW-CORE1(config)#interface range f1/0 – 5
SW-CORE1(config-if-range)# switchport mode trunk
SW-CORE1(config-if-range)# switchport trunk encapsulation dot1q
137C Nguyễn Chí Thanh, P.9, Quận 5, Tp.HCM
Đề tài: “Xây dựng hạ tầng mạng doanh nghiệp” 184
SW-CORE2(config)#interface range f1/0 – 5
SW-CORE2(config-if-range)# switchport mode trunk
SW-CORE2(config-if-range)# switchport trunk encapsulation dot1q
SW-ACCESS1 & SW-ACCESS2:
SW-ACCESS1(config)#interface range f1/2 – 5
SW-ACCESS1(config-if-range)#switchport mode trunk
SW-ACCESS1(config-if-range)#switchport trunk encapsulation dot1q
SW-ACCESS2(config)#interface range f1/2 – 5
SW-ACCESS2(config-if-range)#switchport mode trunk
SW-ACCESS2(config-if-range)#switchport trunk encapsulation dot1q
SW-HN & SW-DN:
SW-HN(config)#interface f1/0
SW-HN(config-if-range)#switchport mode trunk
SW-HN(config-if-range)#switchport trunk encapsulation dot1q
SW-DN(config)#interface f1/0
SW-DN(config-if-range)#switchport mode trunk
SW-DN(config-if-range)#switchport trunk encapsulation dot1q
Cấu hình Etherchannel:
SW-CORE1(config)#interface range f1/0 – 1
SW-CORE1(config-if-range)#channel-group 1 mode on
SW-CORE1(config)#interface range f1/2 – 3
SW-CORE1(config-if-range)#channel-group 2 mode on
137C Nguyễn Chí Thanh, P.9, Quận 5, Tp.HCM
Đề tài: “Xây dựng hạ tầng mạng doanh nghiệp” 185
SW-CORE1(config)#interface range f1/4 – 5
SW-CORE1(config-if-range)#channel-group 3 mode on
Hình 91 Etherchannel trên SW-CORE1
SW-ACCESS2(config)#interface range f1/2 – 3
SW-ACCESS2(config-if-range)#channel-group 2 mode on
SW-ACCESS2(config)#interface range f1/4 – 5
SW-ACCESS2(config-if-range)#channel-group 3 mode on
Hình 92 Etherchannel trên SW-ACCESS2
Cấu hình tương tự trên SW-CORE2 và SW-ACCESS1.
3. Cấu hình VTP
SW-CORE1 & SW-CORE2 làm VTP Server:
SW-CORE1(config)#vtp mode server
SW-CORE1(config)#vtp domain vietbank.com
SW-CORE1(config)#vtp password vietbank
137C Nguyễn Chí Thanh, P.9, Quận 5, Tp.HCM
Đề tài: “Xây dựng hạ tầng mạng doanh nghiệp” 186
SW-CORE1(config)#vtp pruning
Hình 93 VTP trên SW-CORE1
SW-CORE2(config)#vtp mode server
SW-CORE2(config)#vtp domain vietbank.com
SW-CORE2(config)#vtp password vietbank
SW-CORE2(config)#vtp pruning
SW-ACCESS1 & SW-ACCESS2 làm VTP Client
SW-ACCESS1(config)#vtp mode client
SW-ACCESS1(config)#vtp domain vietbank.com
SW-ACCESS1(config)#vtp password vietbank
Hình 94 VTP trên SW-ACCESS1
SW-ACCESS2(config)#vtp mode client
SW-ACCESS2(config)#vtp domain vietbank.com
SW-ACCESS2(config)#vtp password vietbank
137C Nguyễn Chí Thanh, P.9, Quận 5, Tp.HCM
Đề tài: “Xây dựng hạ tầng mạng doanh nghiệp” 187
4. Cấu hình VLAN và Gán Port cho từng VLAN
Chia VLAN trên SW-CORE1, SW-HN, SW-DN
SW-CORE1#vlan database
SW-CORE1(vlan)#vlan 10 name giamdoc
SW-CORE1(vlan)#vlan 20 name it
SW-CORE1(vlan)#vlan 30 name kinhdoanh
SW-CORE1(vlan)#vlan 40 name nhansu
SW-CORE1(vlan)#vlan 50 name ketoan
Hình 95 VLAN trên SW-CORE1
SW-HN#vlan database
SW-HN(vlan)#vlan 10 name quanly
SW-HN(vlan)#vlan 20 name tuvan
SW-DN#vlan database
SW-DN(vlan)#vlan 10 name kinhdoanh
SW-DN(vlan)#vlan 20 name tuvan
SW-DN(vlan)#vlan 30 name quanly
137C Nguyễn Chí Thanh, P.9, Quận 5, Tp.HCM
Đề tài: “Xây dựng hạ tầng mạng doanh nghiệp” 188
Gán port trên SW-ACCESS1, SW-ACCESS2, SW-HN và SW-DN
SW-ACCESS1(config)#interface range f1/6 – 7
SW-ACCESS1(config)# switchport mode access
SW-ACCESS1(config)# switchport access vlan 10
SW-ACCESS1(config)#interface range f1/8 – 9
SW-ACCESS1(config)# switchport mode access
SW-ACCESS1(config)# switchport access vlan 20
SW-ACCESS1(config)#interface range f1/10 – 11
SW-ACCESS1(config)# switchport mode access
SW-ACCESS1(config)# switchport access vlan 30
SW-ACCESS1(config)#interface range f1/12 – 13
SW-ACCESS1(config)# switchport mode access
SW-ACCESS1(config)# switchport access vlan 40
SW-ACCESS1(config)#interface range f1/14 – 15
SW-ACCESS1(config)# switchport mode access
SW-ACCESS1(config)# switchport access vlan 50
Hình 96 Gán port cho VLAN trên SW-ACCESS1
Gán port cho SW-HN
SW-HN(config)#interface range f1/1 -5
SW-HN(config-if-range)#switchport mode access
137C Nguyễn Chí Thanh, P.9, Quận 5, Tp.HCM
Đề tài: “Xây dựng hạ tầng mạng doanh nghiệp” 189
SW-HN(config-if-range)#switchport access vlan 10
SW-HN(config)#interface range f1/6 -10
SW-HN(config-if-range)#switchport mode access
SW-HN(config-if-range)#switchport access vlan 20
Gán port cho SW-DN
SW-DN(config)#interface range f1/1 -5
SW-DN(config-if-range)#switchport mode access
SW-DN(config-if-range)#switchport access vlan 10
SW-DN(config)#interface range f1/6 -10
SW-DN(config-if-range)#switchport mode access
SW-DN(config-if-range)#switchport access vlan 20
SW-DN(config)#interface range f1/11 -15
SW-DN(config-if-range)#switchport mode access
SW-DN(config-if-range)#switchport access vlan 30
5. Cấu hình Spanning – Tree
Trên SW-CORE1 cấu hình cho VLAN 10, 30, 50 làm root primary:
SW-CORE1(config)#spanning-tree vlan 10 root primary
SW-CORE1(config)#spanning-tree vlan 30 root primary
SW-CORE1(config)#spanning-tree vlan 50 root primary
VLAN 20, 40 làm root secondary:
SW-CORE1(config)#spanning-tree vlan 20 root secondary
SW-CORE1(config)#spanning-tree vlan 40 root secondary
Trên SW-CORE2 cấu hình cho VLAN 20, 40 làm root primary:
SW-CORE2(config)#spanning-tree vlan 20 root primary
SW-CORE2(config)#spanning-tree vlan 40 root primary
VLAN 10, 30, 50 làm root secondary:
137C Nguyễn Chí Thanh, P.9, Quận 5, Tp.HCM
Đề tài: “Xây dựng hạ tầng mạng doanh nghiệp” 190
SW-CORE2(config)#spanning-tree vlan 10 root secondary
SW-CORE2(config)#spanning-tree vlan 30 root secondary
SW-CORE2(config)#spanning-tree vlan 50 root secondary
6. Cấu hình HSRP
Trên SW_CORE_1
SW-CORE1(config)#interface vlan 10
SW-CORE1(config-if)#ip address 192.168.1.49 255.255.255.240
SW-CORE1(config-if)#standby 10 ip 192.168.1.50
SW-CORE1(config-if)#standby 10 priority 150
SW-CORE1(config-if)#standby 10 preempt
SW-CORE1(config-if)#standby 10 track port-channel 2 55
SW-CORE1(config-if)#standby 10 authentication 10
Hình 97 HSRP VLAN 10 SW-CORE1
SW-CORE1(config)#interface vlan 20
SW-CORE1(config-if)#ip address 192.168.1.81 255.255.255.240
SW-CORE1(config-if)#standby 20 ip 192.168.1.82
SW-CORE1(config-if)#standby 20 preempt
SW-CORE1(config-if)#standby 20 track port-channel 2
SW-CORE1(config-if)#standby 20 authentication 20
137C Nguyễn Chí Thanh, P.9, Quận 5, Tp.HCM
Đề tài: “Xây dựng hạ tầng mạng doanh nghiệp” 191
Hình 98 HSRP VLAN 20 SW-CORE1
SW-CORE1(config)#interface vlan 30
SW-CORE1(config-if)#ip address 192.168.1.1 255.255.255.224
SW-CORE1(config-if)#standby 30 ip 192.168.1.2
SW-CORE1(config-if)#standby 30 priority 150
SW-CORE1(config-if)#standby 30 preempt
SW-CORE1(config-if)#standby 30 track port-channel 2 70
SW-CORE1(config-if)#standby 30 authentication 30
Hình 99 HSRP VLAN 30 SW-CORE1
SW-CORE1(config)#interface vlan 40
SW-CORE1(config-if)#ip address 192.168.1.65 255.255.255.240
SW-CORE1(config-if)#standby 40 ip 192.168.1.66
137C Nguyễn Chí Thanh, P.9, Quận 5, Tp.HCM
Đề tài: “Xây dựng hạ tầng mạng doanh nghiệp” 192
SW-CORE1(config-if)#standby 40 preempt
SW-CORE1(config-if)#standby 40 track port-channel 2
SW-CORE1(config-if)#standby 40 authentication 40
Hình 100 HSRP VLAN 40 SW-CORE1
SW-CORE1(config)#interface vlan 50
SW-CORE1(config-if)#ip address 192.168.1.33 255.255.255.240
SW-CORE1(config-if)#standby 50 ip 192.168.1.34
SW-CORE1(config-if)#standby 50 priority 150
SW-CORE1(config-if)#standby 50 preempt
SW-CORE1(config-if)#standby 50 track port-channel 2 75
SW-CORE1(config-if)#standby 50 authentication 50
137C Nguyễn Chí Thanh, P.9, Quận 5, Tp.HCM
Đề tài: “Xây dựng hạ tầng mạng doanh nghiệp” 193
Hình 101 HSRP VLAN 50 SW-CORE1
Trên SW-CORE2
SW-CORE2(config)#interface vlan 10
SW-CORE2(config-if)#ip address 192.168.1.51 255.255.255.240
SW-CORE2(config-if)#standby 10 ip 192.168.1.50
SW-CORE2(config-if)#standby 10 preempt
SW-CORE2(config-if)#standby 10 track port-channel 2
SW-CORE2(config-if)#standby 10 authentication 10
Hình 102 HSRP VLAN 10 SW-CORE2
SW-CORE2(config)#interface vlan 20
SW-CORE2(config-if)#ip address 192.168.1.83 255.255.255.240
SW-CORE2(config-if)#standby 20 ip 192.168.1.82
SW-CORE2(config-if)#standby 20 priority 150
SW-CORE2(config-if)#standby 20 preempt
SW-CORE2(config-if)#standby 20 track port-channel 2 60
SW-CORE2(config-if)#standby 20 authentication 20
137C Nguyễn Chí Thanh, P.9, Quận 5, Tp.HCM
Đề tài: “Xây dựng hạ tầng mạng doanh nghiệp” 194
Hình 103 HSRP VLAN 20 SW-CORE2
SW-CORE2(config)#interface vlan 30
SW-CORE2(config-if)#ip address 192.168.1.3 255.255.255.224
SW-CORE2(config-if)#standby 30 ip 192.168.1.2
SW-CORE2(config-if)#standby 30 preempt
SW-CORE2(config-if)#standby 30 track port-channel 2
SW-CORE2(config-if)#standby 30 authentication 30
Hình 104 HSRP VLAN 30 SW-CORE2
SW-CORE2(config)#interface vlan 40
SW-CORE2(config-if)#ip address 192.168.1.67 255.255.255.240
137C Nguyễn Chí Thanh, P.9, Quận 5, Tp.HCM
Đề tài: “Xây dựng hạ tầng mạng doanh nghiệp” 195
SW-CORE2(config-if)#standby 40 ip 192.168.1.66
SW-CORE2(config-if)#standby 40 priority 150
SW-CORE2(config-if)#standby 40 preempt
SW-CORE2(config-if)#standby 40 track port-channel 2 65
SW-CORE2(config-if)#standby 40 authentication 40
Hình 105 HSRP VLAN 40 SW-CORE2
SW-CORE2(config)#interface vlan 50
SW-CORE2(config-if)#ip address 192.168.1.35 255.255.255.240
SW-CORE2(config-if)#standby 50 ip 192.168.1.34
SW-CORE2(config-if)#standby 50 preempt
SW-CORE2(config-if)#standby 50 track port-channel 2
SW-CORE2(config-if)#standby 50 authentication 50
137C Nguyễn Chí Thanh, P.9, Quận 5, Tp.HCM
Đề tài: “Xây dựng hạ tầng mạng doanh nghiệp” 196
Hình 106 HSRP VLAN 50 SW-CORE2
7. Cấu hình DHCP cho trụ sở Tp.HCM
SW-CORE1(config)#ip dhcp pool kinhdoanh
SW-CORE1(dhcp-config)#network 192.168.1.0 255.255.255.224
SW-CORE1(dhcp-config)#default-router 192.168.1.2
SW-CORE1(dhcp-config)#dns-server 8.8.8.8
SW-CORE1(config)#ip dhcp pool giamdoc
SW-CORE1(dhcp-config)#network 192.168.1.48 255.255.255.240
SW-CORE1(dhcp-config)#default-router 192.168.1.50
SW-CORE1(dhcp-config)#dns-server 8.8.8.8
Hình 107 IP được cấp bởi DHCP Server
137C Nguyễn Chí Thanh, P.9, Quận 5, Tp.HCM
Đề tài: “Xây dựng hạ tầng mạng doanh nghiệp” 197
Hình 108 DHCP cấp cho VLAN 10 Giám Đốc
SW-CORE1(config)#ip dhcp pool it
SW-CORE1(dhcp-config)#network 192.168.1.80 255.255.255.240
SW-CORE1(dhcp-config)#default-router 192.168.1.82
SW-CORE1(dhcp-config)#dns-server 8.8.8.8
SW-CORE1(config)#ip dhcp pool nhansu
SW-CORE1(dhcp-config)#network 192.168.1.64 255.255.255.240
SW-CORE1(dhcp-config)#default-router 192.168.1.66
SW-CORE1(dhcp-config)#dns-server 8.8.8.8
SW-CORE1(config)#ip dhcp pool ketoan
SW-CORE1(dhcp-config)#network 192.168.1.32 255.255.255.240
SW-CORE1(dhcp-config)#default-router 192.168.1.34
SW-CORE1(dhcp-config)#dns-server 8.8.8.8
Cấu hình tương tự cho SW-CORE2.
137C Nguyễn Chí Thanh, P.9, Quận 5, Tp.HCM
Đề tài: “Xây dựng hạ tầng mạng doanh nghiệp” 198
8. Cấu hình OSPF cho trụ sở Tp.HCM
NAT-HN(config)#router ospf 1
NAT-HN (config-router)#network 172.16.1.0 0.0.0.3 area 1
NAT-HN (config-router)#network 172.16.2.0 0.0.0.3 area 1
NAT-DN (config)#router ospf 1
NAT-DN (config-router)#network 172.16.3.0 0.0.0.3 area 1
NAT-DN (config-router)#network 172.16.4.0 0.0.0.3 area 1
SW-CORE1(config)#router ospf 1
SW-CORE1(config-router)#network 172.16.1.0 0.0.0.3 area 1
SW-CORE1(config-router)#network 172.16.3.0 0.0.0.3 area 1
SW-CORE1(config-router)#network 192.168.1.48 0.0.0.15 area 1
SW-CORE1(config-router)#network 192.168.1.80 0.0.0.15 area 1
SW-CORE1(config-router)#network 192.168.1.0 0.0.0.31 area 1
SW-CORE1(config-router)#network 192.168.1.64 0.0.0.15 area 1
SW-CORE1(config-router)#network 192.168.1.32 0.0.0.15 area 1
SW-CORE2(config)#router ospf 1
SW-CORE2(config-router)#network 172.16.2.0 0.0.0.3 area 1
SW-CORE2(config-router)#network 172.16.4.0 0.0.0.3 area 1
SW-CORE2(config-router)#network 192.168.1.48 0.0.0.15 area 1
SW-CORE2(config-router)#network 192.168.1.80 0.0.0.15 area 1
SW-CORE2(config-router)#network 192.168.1.0 0.0.0.31 area 1
SW-CORE2(config-router)#network 192.168.1.64 0.0.0.15 area 1
SW-CORE2(config-router)#network 192.168.1.32 0.0.0.15 area 1
9. Cấu hình ACL chỉ cho phòng IT telnet
NAT-HN (config)#access-list 10 permit 192.168.1.80 0.0.0.15
137C Nguyễn Chí Thanh, P.9, Quận 5, Tp.HCM
Đề tài: “Xây dựng hạ tầng mạng doanh nghiệp” 199
NAT-HN (config)#access-list 10 deny any
NAT-HN (config)#line vty 0 4
NAT-HN (config-line)#access-class 10 in
Hình 109 Kế toán telnet thất bại
137C Nguyễn Chí Thanh, P.9, Quận 5, Tp.HCM
Đề tài: “Xây dựng hạ tầng mạng doanh nghiệp” 200
Hình 110 IT Telnet thành công
Thực hiện tương tự cho router NAT-DN.
10. Cấu hình NAT chỉ cho phép phòng IT và Giám đốc ra internet
NAT-HN (config)#access-list 1 permit 192.168.1.48 0.0.0.15
NAT-HN (config)#access-list 1 permit 192.168.1.80 0.0.0.15
NAT-HN (config)#access-list 1 deny any
NAT-HN (config)#ip nat inside source list 1 interface serial 1/0 overload
NAT-HN (config)#interface serial 1/0
NAT-HN (config-if)#ip nat outside
NAT-HN (config)#interface f0/0
NAT-HN (config-if)#ip nat inside
NAT-HN (config)#interface f0/1
NAT-HN (config-if)#ip nat inside
Tạo đường default route
NAT-HN (config)#ip route 0.0.0.0 0.0.0.0 serial 1/0
NAT-HN (config)#router ospf 1
NAT-HN (config-router)#default-information originate
Hình 111 Kiểm tra NAT tại NAT-HN
Làm tương tự trên Router NAT-DN.
11. Cấu hình Routing InterVLAN cho Router HN & DN
R-HN(config)#interface f0/0
R-HN(config-if)#no shutdown
R-HN(config)#interface f0/0.10
R-HN(config-subif)#encapsulation dot1Q 10
R-HN(config-subif)#ip address 192.168.2.1 255.255.255.240
137C Nguyễn Chí Thanh, P.9, Quận 5, Tp.HCM
Đề tài: “Xây dựng hạ tầng mạng doanh nghiệp” 201
R-HN(config)#interface f0/0.20
R-HN(config-subif)#encapsulation dot1Q 20
R-HN(config-subif)#ip address 192.168.2.17 255.255.255.240
R-DN(config)#interface f0/0
R-DN(config-if)#no shutdown
R-DN(config)#interface f0/0.10
R-DN(config-subif)#encapsulation dot1Q 10
R-DN(config-subif)#ip address 192.168.3.1 255.255.255.240
R-DN(config)#interface f0/0.20
R-DN(config-subif)#encapsulation dot1Q 20
R-DN(config-subif)#ip address 192.168.3.17 255.255.255.240
R-DN(config)#interface f0/0.30
R-DN(config-subif)#encapsulation dot1Q 30
R-DN(config-subif)#ip address 192.168.3.33 255.255.255.248
12. Cấu hình cấp DHCP cho chi nhánh HN – DN
R-HN(config)#ip dhcp pool quanly
R-HN(dhcp-config)#network 192.168.2.0 255.255.255.240
R-HN(dhcp-config)#default-router 192.168.2.1
R-HN(dhcp-config)#dns-server 8.8.8.8
R-HN(config)#ip dhcp pool tuvan
R-HN(dhcp-config)#network 192.168.2.16 255.255.255.240
R-HN(dhcp-config)#default-router 192.168.2.17
R-HN(dhcp-config)#dns-server 8.8.8.8
137C Nguyễn Chí Thanh, P.9, Quận 5, Tp.HCM
Đề tài: “Xây dựng hạ tầng mạng doanh nghiệp” 202
Hình 112 DHCP cấp cho R-HN.
R-DN(config)#ip dhcp pool kinhdoanh
R-DN(dhcp-config)#network 192.168.3.0 255.255.255.240
R-DN(dhcp-config)#default-router 192.168.3.1
R-DN(dhcp-config)#dns-server 8.8.8.8
R-DN(config)#ip dhcp pool tuvan
R-DN(dhcp-config)#network 192.168.3.16 255.255.255.240
R-DN(dhcp-config)#default-router 192.168.3.17
R-DN(dhcp-config)#dns-server 8.8.8.8
R-DN(config)#ip dhcp pool quanly
R-DN(dhcp-config)#network 192.168.3.32 255.255.255.248
R-DN(dhcp-config)#default-router 192.168.3.33
R-DN(dhcp-config)#dns-server 8.8.8.8
137C Nguyễn Chí Thanh, P.9, Quận 5, Tp.HCM
Đề tài: “Xây dựng hạ tầng mạng doanh nghiệp” 203
13. Cấu hình DMVPN Dual-Hub-Dual Layout
13.1 Trên NAT-HN tạo tunnel 100
NAT-HN (config)#interface tunnel 100
NAT-HN (config-if)#ip address 100.100.100.1 255.255.255.248
NAT-HN (config-if)#no ip redirects
NAT-HN (config-if)#ip nhrp network-id 100
NAT-HN (config-if)#ip ospf network non-broadcast
NAT-HN (config-if)#ip ospf cost 10
NAT-HN (config-if)#ip ospf priority 200
NAT-HN (config-if)#tunnel source serial 1/0
NAT-HN (config-if)#tunnel mode gre multipoint
NAT-HN (config-if)#tunnel key 100
Hình 113 Tunnel trên NAT-HN
13.2 Trên NAT-DN tạo tunnel 200
NAT-DN (config)#interface tunnel 200
NAT-DN (config-if)#ip address 200.200.200.1 255.255.255.248
NAT-DN (config-if)#no ip redirects
NAT-DN (config-if)#ip nhrp network-id 200
NAT-DN (config-if)#ip ospf network non-broadcast
NAT-DN (config-if)#ip ospf cost 100
NAT-DN (config-if)#ip ospf priority 200
NAT-DN (config-if)#tunnel source serial 1/1
137C Nguyễn Chí Thanh, P.9, Quận 5, Tp.HCM
Đề tài: “Xây dựng hạ tầng mạng doanh nghiệp” 204
NAT-DN (config-if)#tunnel mode gre multipoint
NAT-DN (config-if)#tunnel key 200
Hình 114 Tunnel trên NAT-DN
13.3 Trên R-HN tạo tunnel 100 và tunnel 200
R-HN(config)#interface tunnel 100
R-HN(config-if)#ip address 100.100.100.2 255.255.255.248
R-HN(config-if)#ip nhrp map 100.100.100.1 113.190.46.2
R-HN(config-if)#ip nhrp network-id 100
R-HN(config-if)#ip nhrp nhs 100.100.100.1
R-HN(config-if)#ip ospf network non-broadcast
R-HN(config-if)#ip ospf cost 10
R-HN(config-if)#ip ospf priority 0
R-HN(config-if)#tunnel source serial 1/3
R-HN(config-if)#tunnel destination 113.190.46.2
R-HN(config-if)#tunnel key 100
137C Nguyễn Chí Thanh, P.9, Quận 5, Tp.HCM
Đề tài: “Xây dựng hạ tầng mạng doanh nghiệp” 205
Hình 115 Tunnel trên R-HN
R-HN(config)#interface tunnel 200
R-HN(config-if)#ip address 200.200.200.2 255.255.255.248
R-HN(config-if)#ip nhrp map 200.200.200.1 113.190.47.2
R-HN(config-if)#ip nhrp network-id 200
R-HN(config-if)#ip nhrp nhs 200.200.200.1
R-HN(config-if)#ip ospf network non-broadcast
R-HN(config-if)#ip ospf cost 100
R-HN(config-if)#ip ospf priority 0
R-HN(config-if)#tunnel source serial 1/3
R-HN(config-if)#tunnel destination 113.190.47.2
R-HN(config-if)#tunnel key 200
137C Nguyễn Chí Thanh, P.9, Quận 5, Tp.HCM
Đề tài: “Xây dựng hạ tầng mạng doanh nghiệp” 206
13.4 Trên R-DN tạo tunnel 100 và tunnel 200
R-DN(config)#interface tunnel 100
R-DN(config-if)#ip address 100.100.100.3 255.255.255.248
R-DN(config-if)#ip nhrp map 100.100.100.1 113.190.46.2
R-DN(config-if)#ip nhrp network-id 100
R-DN(config-if)#ip nhrp nhs 100.100.100.1
R-DN(config-if)#ip ospf network non-broadcast
R-DN(config-if)#ip ospf cost 10
R-DN(config-if)#ip ospf priority 0
R-DN(config-if)#tunnel source serial 1/2
R-DN(config-if)#tunnel destination 113.190.46.2
R-DN(config-if)#tunnel key 100
Hình 116 Tunnel trên R-DN
R-DN(config)#interface tunnel 200
R-DN(config-if)#ip address 2000.2000.200.3 255.255.255.248
R-DN(config-if)#ip nhrp map 200.200.200.1 113.190.47.2
R-DN(config-if)#ip nhrp network-id 200
R-DN(config-if)#ip nhrp nhs 200.200.200.1
137C Nguyễn Chí Thanh, P.9, Quận 5, Tp.HCM
Đề tài: “Xây dựng hạ tầng mạng doanh nghiệp” 207
R-DN(config-if)#ip ospf network non-broadcast
R-DN(config-if)#ip ospf cost 100
R-DN(config-if)#ip ospf priority 0
R-DN(config-if)#tunnel source serial 1/2
R-DN(config-if)#tunnel destination 113.190.47.2
R-DN(config-if)#tunnel key 200
13.5 Định tuyến OSPF các đường tunnel với các đường mạng nội bộ
NAT-HN(config)#router ospf 1
NAT-HN (config-router)#network 100.100.100.0 0.0.0.7 area 1
NAT-HN (config-router)#neighbor 100.100.100.2
NAT-HN (config-router)#neighbor 100.100.100.3
NAT-HN (config-router)#neighbor 200.200.200.1
NAT-HN (config-router)#neighbor 200.200.200.2
NAT-HN (config-router)#neighbor 200.200.200.3
NAT-DN (config)#router ospf 1
NAT-DN (config-router)#network 200.200.200.0 0.0.0.7 area 1
NAT-DN (config-router)#neighbor 100.100.100.1
NAT-DN (config-router)#neighbor 100.100.100.2
NAT-DN (config-router)#neighbor 100.100.100.3
NAT-DN (config-router)#neighbor 200.200.200.2
NAT-DN (config-router)#neighbor 200.200.200.3
R-HN(config)#router ospf 1
R-HN (config-router)#network 100.100.100.0 0.0.0.7 area 1
R-HN (config-router)#network 200.200.200.0 0.0.0.7 area 1
R-HN (config-router)#network 192.168.2.0 0.0.0.15 area 1
R-HN (config-router)#network 192.168.2.16 0.0.0.15 area 1
137C Nguyễn Chí Thanh, P.9, Quận 5, Tp.HCM
Đề tài: “Xây dựng hạ tầng mạng doanh nghiệp” 208
R-HN (config)#ip route 0.0.0.0 0.0.0.0 serial 1/3
R-DN(config)#router ospf 1
R-DN (config-router)#network 100.100.100.0 0.0.0.7 area 1
R-DN (config-router)#network 200.200.200.0 0.0.0.7 area 1
R-DN (config-router)#network 192.168.3.0 0.0.0.15 area 1
R-DN (config-router)#network 192.168.3.16 0.0.0.15 area 1
R-DN (config-router)#network 192.168.3.32 0.0.0.7 area 1
R-DN (config)#ip route 0.0.0.0 0.0.0.0 serial 1/2
13.6 Cấu hình IPSec cho các đường tunnel
NAT-HN(config)#crypto isakmp policy 1
NAT-HN (config-isakmp)#authentication pre-share
NAT-HN (config)#crypto isakmp key 6 vietbank address 0.0.0.0 0.0.0.0
NAT-HN (config)#crypto ipsec transform-set myset esp-aes esp-sha-hmac
NAT-HN (config)#crypto ipsec profile dmvpn
NAT-HN (ipsec-profile)#set security-association lifetime seconds 120
NAT-HN (ipsec-profile)#set transform-set myset
NAT-HN (ipsec-profile)#set pfs group2
NAT-HN (config)#interface tunnel 100
NAT-HN (config-if)#tunnel protection ipsec profile dmvpn
Hình 117 Kiểm tra IPSec trên NAT-HN
Làm tương tự cho Router NAT-DN.
137C Nguyễn Chí Thanh, P.9, Quận 5, Tp.HCM
Đề tài: “Xây dựng hạ tầng mạng doanh nghiệp” 209
R-HN(config)#crypto isakmp policy 1
R-HN (config-isakmp)#authentication pre-share
R-HN (config)#crypto isakmp key 6 vietbank address 0.0.0.0 0.0.0.0
R-HN (config)#crypto ipsec transform-set myset esp-aes esp-sha-hmac
R-HN (config)#crypto ipsec profile dmvpn
R-HN (ipsec-profile)#set security-association lifetime seconds 120
R-HN (ipsec-profile)#set transform-set myset
R-HN (ipsec-profile)#set pfs group2
R-HN (config)#interface tunnel 100
R-HN (config-if)#tunnel protection ipsec profile dmvpn
R-HN (config)#interface tunnel 200
R-HN (config-if)#tunnel protection ipsec profile dmvpn
137C Nguyễn Chí Thanh, P.9, Quận 5, Tp.HCM
Đề tài: “Xây dựng hạ tầng mạng doanh nghiệp” 210
CHƯƠNG 5. KẾT LUẬN
1. Kết quả đã hoàn thành
Sau thời gian nghiên cứu và thực hiện đề tài “XÂY DỰNG HỆ THỐNG HẠ TẦNG
MẠNG DOANH NGHIỆP”, Người thực hiện đề tài đã đáp ứng đúng tiến độ và đạt các
yêu cầu của đề tài.
Về đề tài:
Thiết kế và cấu hình thành công hệ thống hạ tầng mạng theo yêu cầu của doanh
nghiệp.
Thực thi cấu hình được các chính sách mà doanh nghiệp yêu cầu, trên thiết bị
Cisco.
Sử dụng công nghệ Etherchannel nhằm đảm bảo tính HA & Redundancy cho hệ
thống mạng, đáp ứng lưu lượng băng thông cho toàn bộ hệ thống.
Sử dụng VLAN & VTP để quản lý và tối ưu hóa hệ thống mạng.
Giảm thiểu tối đa chi phí mua IP tĩnh bằng việc sử dụng DMVPN.
Về người thực hiện đề tài:
Nắm vững kiến thức mạng căn bản, mô hình OSI, mô hình TCP/IP.
Nắm vững kiến thức cấu hình các thiết bị mạng. và tính năng các thiết bị mạng.
Nắm vững kiến thức thiết kế mạng, kiến trúc mạng.
Sử dụng thành thạo các phần mềm mô phỏng cấu hình mạng.
Tshoot thành thạo khi mạng xảy ra sự cố.
2. Những mặt còn hạn chế
Do thực hiện đề tài trên phần mềm mô phỏng GNS3, GNS3 hỗ trợ nhiều trên các
thiết bi layer 3, hỗ trợ ít trên thiết bị Layer 2 nên cấu hình lớp Distribution trên
Switch nên khó khăn cho việc cấu hình.
GNS3 không hỗ trợ các thiết bị Wireless nên không thực hiện cấu hình được trên
các thiết bị Wireless.
Chưa xây dựng được hệ thống giám sát thiết bị mạng trong doanh nghiệp.
137C Nguyễn Chí Thanh, P.9, Quận 5, Tp.HCM
Đề tài: “Xây dựng hạ tầng mạng doanh nghiệp” 211
3. Hướng phát triển đề tài
Hướng phát triển của đề tài khi triển khai DMVPN cho môi trường doanh nghiệp tài chính
là ngân hàng hay công ty chứng khoán…
Thực tế với mô hình đã triển khai có thể đáp ứng được một phần nhu cầu thiết yếu
về bảo mật thông tin đến mức tối ưu nhất.
Đối với các doanh nghiệp tài chính như các ngân hàng hay công ty chứng khoán cần
độ bảo mật cao, có thể triển khai theo hướng khác là sử dụng công nghệ kết nối
leased line sẽ đảm bảo kết nối và bảo mật an toàn hơn.
DMVPN dù có nhiều cải thiện so với kết nói VPN thông thường, vẫn kết nối ra môi
trường public nên nhiều khi vấn đề bảo mật vẫn chưa đảm bảo, vẫn có khả năng bị
tấn công, ăn cắp dữ liệu thông tin khách hàng.
Với khả năng có hạn về kiến thức thực tế nên đồ án của tôi mong muốn sẽ được
các bạn tham khảo và nghiên cứu sâu hơn những vấn đề mà đồ án của tôi chưa
thực hiện được, để đề tài hoàn thiện hơn. Xin chân thành cảm ơn!
137C Nguyễn Chí Thanh, P.9, Quận 5, Tp.HCM
Đề tài: “Xây dựng hạ tầng mạng doanh nghiệp” 212
TÀI LIỆU THAM KHẢO
I. TÀI LIỆU TIẾNG ANH
1. Cisco CCNA Routing and Switching 200-120 Official Cert Guide Library by
Wendell Odom – Published by Cisco Press.
2. Cisco IOS DMVPN Overview (February 2008)
3. http://www.cisco.com
II. TÀI LIỆU TIẾNG VIỆT
1. Tài liệu CCNA tiếng việt (CCNA exam Preparation ) NXB: Nhà sách Minh Khai
2. CCNA Labpro - Vnpro, CCNP Labpro- Vnpro
3. http://www.thuvien-it.net
4. http://www.solarclipse.wordpress.com
5. http://www.vnpro.vn, support forum: http://www.vnpro.org