Download tài liệu này tại diễn đàn quản trị mạng và quản trị hệ thống | http://www.adminviet.net
109
Bà
i
6
KHẢO
SÁT
CÁC
LỚP
TRONG
MÔ
HÌNH
OSI
Tóm
tắt
Lý
thuyết
6
tiết
-
Thực
hành
10
tiết
Mục
tiêu
Các
mục
chính
Bài
tập
bắt
Bài
tập
làm
buộc
thêm
Kết
thúc
bài
học
này
cung
cấp
học
viên
kiến
thức
về
các
lớp
con
LLC,
MAC
của
lớp
2
và
các
giao
thức
TCP,
UDP,
khái
niệm
port,
đặc
biệt
là
các
mô
hình
firewall
…
I.
Khảo
sát
chi
tiết
lớp
2.
II.
Khảo
sát
chi
tiết
lớp
3.
III.
Khảo
sát
chi
tiết
lớp
4.
IV.
Các
mô
hình
Firewall.
Dựa
vào
bài
tập
môn
mạng
máy
tính.
Dựa
vào
bài
tập
môn
mạng
máy
tính.
Download tài liệu này tại diễn đàn quản trị mạng và quản trị hệ thống | http://www.adminviet.net
110
I. KHẢO SÁT CHI TIẾT LỚP 2 (DATA LINK).
Lớp
1
liên
quan
đến
môi
trường,
liên
quan
các
tín
hiệu,
các
luồng
bit
di
chuyển
trên
môi
trường,
các
thành
phần
dựa
dữ
liệu
ra
môi
trường
và
các
cấu
hình
khác
nhau.
Nó
thực
hiện
vai
trò
thiết
yếu
cho
hoạt
động
truyền
tin
khả
thi
giữa
các
máy
tính,
nhưng
với
nỗ
lực
một
mình
của
nó
thì
không
đủ.
Mỗi
chức
năng
có
các
hạn
chế
của
nó.
Lớp
2
hướng
tới
khắc
phục
hạn
chế
này.
Ứng
với
mỗi
hạn
chế
trong
lớp
1,
lớp
2
có
một
giải
pháp.
Ví
dụ
lớp
1
không
thể
thông
tin
với
các
lớp
trên,
lớp
2
làm
việc
này
thông
qua
LLC
(
Logical
Link
Control
).
Lớp
1
không
đặt
tên
hay
định
danh
cho
máy
tính
thì
lớp
2
dùng
một
lược
đồ
địa
chỉ.
Lớp
1
không
thể
quyết
định
máy
tính
nào
sẽ
truyền
dữ
liệu
nhị
phân
từ
một
nhóm
cùng
muốn
truyền
tại
cùng
một
thời
điểm.
Lớp
2
dùng
một
hệ
thống
gọi
là
MAC
(
Media
Access
Control
).
I.1
.
Lớp
con
LLC.
Lớp
con
LCC
tạo
ra
tính
năng
linh
hoạt
trong
việc
phục
vụ
cho
các
giao
thức
lớp
mạng
trên
nó,
trong
khi
vẫn
liên
lạc
hiệu
quả
với
các
kỹ
thuật
khác
nhau
bên
dưới
nó.
LLC
với
vai
trò
là
lớp
phụ
tham
gia
vào
quá
trình
đóng
gói.
LLC
nhận
đơn
vị
dữ
liệu
giao
thức
lớp
mạng,
như
là
các
gói
IP
,
và
thêm
nhiều
thông
tin
điều
khiển
vào
để
giúp
phân
phối
gói
IP
đến
đích
của
nó.
Nó
thêm
hai
thành
phần
địa
chỉ
của
đặc
tả
802.2
điểm
truy
xuất
dịch
vụ
đích
DSAP
(
Destination
Service
Access
Point
)
và
điểm
truy
xuất
dịch
vụ
nguồn
SSAP
(
Source
Service
Access
Point
).
Nó
đóng
gói
trở
lại
dạng
IP
,
sau
đó
chuyển
xuống
lớp
phụ
MAC
để
tiến
hành
các
kỹ
thuật
đặc
biệt
được
yêu
cầu
cho
đóng
gói
tiếp
theo.
Lớp
phụ
LLC
quản
lý
hoạt
động
thông
tin
giữa
các
thiết
bị
qua
một
liên
kết
đơn
trên
một
mạng.
LLC
được
định
nghĩa
trong
đặc
tả
IEEE
802.2
và
hỗ
trợ
các
dịch
vụ
kết
nối
có
cả
tạo
cầu
nối
và
không
tạo
cầu
nối,
được
dùng
bởi
các
giao
thức
lớp
cao
hơn.
IEEE
802.2
định
nghĩa
ra
một
số
field
trong
các
frame
của
lớp
liên
kết
dữ
liệu
cho
phép
nhiều
giao
thức
lớp
cao
hơn
chia
sẻ
một
liên
kết
vật
lý
đơn.
I.2
.
Lớp
con
MAC.
Lớp
con
MAC
đề
cập
đến
các
giao
thức
chủ
yếu
phải
theo
để
truy
xuất
vào
môi
trường
vật
lý.
Tóm
lại,
lớp
2
có
4
khái
niệm
chính
mà
cần
phải
biết:
-
Lớp
2
thông
tin
với
các
lớp
trên
thông
qua
LLC
.
-
Lớp
2
dùng
chuẩn
địa
chỉ
hóa
ngang
bằng
(đó
là
gán
các
định
danh
duy
nhất-các
địa
chỉ).
-
Lớp
2
dùng
kỹ
thuật
đóng
frame
để
tổ
chức
hay
nhóm
dữ
liệu.
-
Lớp
2
dùng
MAC
để
chọn
máy
tính
nào
sẽ
truyền
các
dữ
liệu
nhị
phân,
từ
một
nhóm
trong
đó
tất
cả
các
máy
tính
đều
muốn
truyền
cùng
một
lúc.
I.3
.
Quá
trình
tìm
địa
chỉ
MAC:
Với
mạng
TCP/I
P,
thì
gói
tin
phải
chứa
cả
địa
chỉ
MAC
đích
và
địa
chỉ
IP
đích.
Nếu
một
trong
hai
địa
chỉ
này
không
đúng
thì
gói
tin
cũng
xem
như
là
không
gởi
được
đến
đích.
ARP
là
một
giao
thức
dùng
để
tìm
địa
chỉ
MAC
của
một
thiết
bị
mạng
dựa
trên
địa
chỉ
IP
đã
biết.
Một
vài
thiết
bị
có
lưu
trữ
bảng
chứa
địa
chỉ
IP
và
địa
chỉ
MAC
tương
ứng
với
IP
đó
(của
các
thiết
bị
trong
cùng
mạng
LAN
với
nó).
Bảng
này
được
gọi
là
bảng
ARP
.
Bảng
ARP
này
được
lưu
giữ
trong
Download tài liệu này tại diễn đàn quản trị mạng và quản trị hệ thống | http://www.adminviet.net
111
RAM
,
và
khi
thiết
bị
gởi
gói
tin
lên
mạng
thì
nó
sử
dụng
thông
tin
trong
bảng
ARP
này.
Download tài liệu này tại diễn đàn quản trị mạng và quản trị hệ thống | http://www.adminviet.net
112
Có
2
cách
để
thu
thập
thông
tin
cho
bảng
địa
chỉ
MAC
.
-
Khi
có
một
gói
tin
được
gởi
trên
đường
truyền,
thiết
bị
luôn
kiểm
tra
địa
chỉ
đích
của
gói
tin
(địa
chỉ
IP
và
địa
chỉ
MAC
)
có
phải
là
của
mình
hay
không?
Sau
khi
kiểm
tra,
địa
chỉ
IP
và
địa
chỉ
MAC
đều
được
lưu
vào
trong
bảng
ARP
.
-
Cách
thu
thập
thông
tin
thứ
2
là
thu
thập
qua
gói
tin
broadcast
ARP
request
.
Khi
máy
tính
gởi
một
gói
tin
broadcast
dạng
ARP
request
thì
tất
cả
các
máy
khác
trên
mạng
đều
phân
tích
gói
tin
này.
+
Nếu
như
địa
chỉ
IP
đích
của
thiết
bị
mạng
cần
tìm
là
địa
chỉ
thuộc
cùng
đường
mạng
với
địa
chỉ
máy
gửi.
Nếu
máy
đó
nhận
được
gói
tin
thì
máy
sẽ
trả
lời
bằng
một
gói
tin
ARP
reply
(trong
đó
có
địa
chỉ
MAC
và
địa
chỉ
IP
của
máy).
Nếu
địa
chỉ
đích
không
tồn
tại
hoặc
thiết
bị
chưa
hoạt
động
thì
sẽ
không
có
gói
tin
ARP
reply
.
+
Nếu
địa
chỉ
IP
đích
của
thiết
bị
mạng
cần
tìm
là
địa
chỉ
khác
đường
mạng
thì
việc
tìm
địa
chỉ
MAC
thường
được
làm
thông
qua
Router
,
có
hai
cách
để
thực
hiện:
Nếu
Router
bật
tính
năng
cho
phép
thực
hiện
Proxy
ARP
.
Thì
khi
nhận
được
gói
tin
broadcast
ARP
request
,
Router
sẽ
kiểm
tra
xem
địa
chỉ
đích
có
khác
đường
mạng
với
địa
chỉ
nguồn
không?
Nếu
khác
địa
chỉ
nguồn
thì
Router
sẽ
trả
về
một
ARP
response
để
trả
lời
(trong
gói
tin
này
sẽ
chứa
địa
chỉ
MAC
–
địa
chỉ
MAC
của
interface
nhận
gói
tin
ARP
request
).
Nếu
máy
tính
gửi
có
khai
báo
địa
chỉ
Default
Gateway
thì
máy
tính
sẽ
gởi
gói
tin
đến
Default
Gateway
để
Default
Gateway
gởi
tiếp.
Nếu
máy
tính
nguồn
không
khai
báo
Default
Gateway
và
tính
năng
thực
hiện
Proxy
ARP
không
bật
thì
hai
máy
tính
có
địa
chỉ
đường
mạng
khác
nhau
sẽ
không
thể
liên
lạc
được
với
nhau.
I.4
.
Các
phương
pháp
truy
cập
đường
truyền.
I.
4.1
Cảm
sóng
đa
truy
(CSMA/CD).
Khía
cạnh
thú
vị
nhất
của
Ethernet
là
kỹ
thuật
đường
dùng
trong
việc
phối
hợp
truyền
thông.
Mạng
Ethernet
không
điều
khiển
tập
trung
đến
việc
các
máy
luân
phiên
chia
sẻ
đường
cáp.
Lúc
đó
các
máy
nối
với
Ethernet
sẽ
tham
gia
vào
một
lược
đồ
phối
hợp
phân
bổ
gọi
là
Cảm
sóng
đa
truy
(
CSMA
–
Carrier
Sence
with
Multiple
Access
).
Để
xác
định
cáp
có
đang
dùng
không,
máy
tính
có
thể
kiểm
tra
sóng
mang
(
carrier
-
dạng
tín
hiệu
mà
máy
tính
truyền
trên
cáp).
Nếu
có
sóng
mang,
máy
phải
chờ
cho
đến
khi
bên
gởi
kết
thúc.
Về
mặt
kỹ
thuật,
kiểm
tra
một
sóng
mang
được
gọi
là
cảm
sóng
(
carrier
sence
),
và
ý
tưởng
sử
dụng
sự
hiện
hữu
của
tín
hiệu
để
quyết
định
khi
nào
thì
truyền
gọi
là
Cảm
sóng
đa
truy
(
CSMA
).
Download tài liệu này tại diễn đàn quản trị mạng và quản trị hệ thống | http://www.adminviet.net
113
Vì
CSMA
cho
phép
mỗi
máy
tính
xác
định
đường
cáp
chia
sẻ
có
đang
được
máy
khác
sử
dụng
hay
không
nên
nó
ngăn
cấm
một
máy
cắt
ngang
việc
truyền
đang
diễn
ra.
Tuy
nhiên,
CSMA
không
thể
ngăn
ngừa
tất
cả
các
xung
đột
có
thể
xảy
ra.
Để
hiểu
lý
do
tại
sao,
hãy
tưởng
tượng
chuyện
gì
xảy
ra
nếu
hai
máy
tính
ở
hai
đầu
cáp
đang
nghỉ
nhận
được
yêu
cầu
gởi
khung.
Cả
hai
cùng
kiểm
tín
hiệu
mang,
cùng
thấy
cáp
đang
trống
và
cả
hai
bắt
đầu
gởi
khung.
Các
tín
hiệu
phát
từ
hai
máy
sẽ
gây
nhiễu
lẫn
nhau.
Hai
tín
hiệu
gây
nhiễu
lẫn
nhau
gọi
là
xung
đột
hay
đụng
độ
(
collision
).
Vùng
có
khả
năng
xảy
ra
đụng
độ
khi
truyền
gói
tin
được
gọi
là
Collision
Domain
.
Máy
đầu
tiên
trên
đường
truyền
phát
hiện
được
xung
đột
sẽ
phát
sinh
tín
hiệu
xung
đột
cho
các
máy
khác.
Tuy
xung
đột
không
làm
hỏng
phần
cứng
nhưng
nó
tạo
ra
một
sự
truyền
thông
méo
mó
và
hai
khung
nhận
được
sẽ
không
chính
xác.
Để
xử
lý
các
biến
cố
như
vậy,
Ethernet
yêu
cầu
mỗi
bên
gởi
tín
hiệu
giám
sát
(monitor)
trên
cáp
để
bảo
đảm
không
có
máy
nào
khác
truyền
đồng
thời.
Khi
máy
gởi
phát
hiện
đụng
độ,
nó
ngưng
truyền
ngay
lập
tức,
và
tiếp
tục
bắt
đầu
lại
quá
trình
chuẩn
bị
việc
truyền
tin
sau
một
khoảng
thời
gian
ngẫu
nhiên.
Việc
giám
sát
cáp
như
vậy
gọi
là
phát
hiện
đụng
(
CD
–
collision
detect
),
và
kỹ
thuật
Ethernet
đó
được
gọi
là
Cảm
sóng
đa
truy
với
phát
hiện
đụng
(
CSMA/CD
).
I.
4.2
Chuyển
thẻ
bài
(Token-passing):
Chúng
ta
đã
biết
mạng
LAN
vòng
nối
các
máy
thành
một
vòng
tròn
kín.
Hầu
hết
các
LAN
dùng
đồ
hình
vòng
cũng
sử
dụng
một
kỹ
thuật
truy
cập
gọi
là
chuyển
thẻ
bài
(
token-passing
).
Khi
một
máy
cần
chuyển
dữ
liệu,
nó
phải
chờ
phép
trước
khi
truy
cập
mạng.
Khi
giữ
được
thẻ
bài,
máy
gởi
hoàn
toàn
giữ
quyền
điều
khiển
vòng
–
không
có
các
truyền
thông
nào
khác
xảy
ra
đồng
thời.
Khi
máy
gởi
truyền
frame,
các
bit
chuyển
từ
máy
gởi
sang
máy
kế,
và
chuyển
tiếp
sang
máy
kế
và
cứ
thế
cho
đến
khi
các
bit
đi
hết
vòng
và
trở
về
máy
gởi.
Tín
bài
là
một
khuôn
mẫu
bit
khác
với
khung
dữ
liệu
thông
thường.
Thực
chất
là
tín
bài
trao
quyền
cho
một
máy
được
gởi
khung.
Như
vậy
trước
khi
gởi
khung,
máy
phải
chờ
tín
bài
đến.
Khi
tín
bài
đến,
máy
tạm
thời
loại
bỏ
tín
bài
ra
khỏi
vòng
và
bắt
đầu
truyền
dữ
liệu
trên
vòng.
Tuy
có
thể
có
nhiều
khung
đang
chờ
gởi
đi
nhưng
máy
chỉ
gởi
một
frame
và
truyền
lại
tín
bài.
Không
như
khung
dữ
liệu
dữ
liệu
đi
hết
một
vòng
khi
được
gởi,
tín
bài
chỉ
đi
thẳng
từ
một
máy
đến
máy
kế
tiếp.
Nếu
tất
cả
các
máy
trên
mạng
vòng
cần
gởi
dữ
liệu,
chuyển
tín
bài
bảo
đảm
chúng
sẽ
đến
lược
và
mỗi
máy
sẽ
gởi
một
frame
trước
khi
chuyển
tín
bài.
Lưu
ý
là
lược
đồ
này
bảo
đảm
truy
cập
công
bằng:
khi
tín
bài
chuyển
trên
vòng,
mỗi
máy
sẽ
có
cơ
hội
sử
dụng
mạng.
Nếu
một
máy
nào
đó
không
gởi
dữ
liệu
khi
nhận
được
tín
bài,
nó
chỉ
việc
chuyển
tín
bài
mà
không
trì
hoãn.
Trong
trường
hợp
đặc
biệt
không
có
máy
nào
truyền
dữ
liệu,
tín
bài
sẽ
quay
vòng
liên
tục,
mỗi
máy
khi
nhận
được
tín
bài
sẽ
chuyển
ngay
lập
tức
đến
máy
kế.
Thời
gian
chuyển
tín
bài
một
vòng
trong
trường
hợp
này
là
cực
ngắn,
vì
2
lý
do.
Thứ
nhất,
vì
tín
bài
nhỏ
nên
có
thể
chuyển
rất
nhanh
trên
đường
dây.
Thứ
hai,
sự
chuyển
tiếp
trên
mỗi
máy
được
thực
hiện
bởi
phần
cứng
vòng,
điều
đó
có
nghĩa
tốc
độ
không
phụ
thuộc
vào
CPU
của
máy.
II. KHẢO SÁT CHI TIẾT LỚP 3 (NETWORK).
Chức
năng
quan
trọng
nhất
của
lớp
Network
là
định
tuyến
(
Routing
),
định
tuyến
là
quá
trình
chuyển
thông
tin
qua
mạng
từ
nơi
gởi
tới
nơi
nhận.
Định
tuyến
có
hai
thành
phần
là
chuyển
mạch
(
switching
)
và
chọn
đường
(
path
determination
).
Download tài liệu này tại diễn đàn quản trị mạng và quản trị hệ thống | http://www.adminviet.net
114
Trong
quá
trình
switching
,
bên
gởi
(
source
or
sender
)
thêm
vào
địa
chỉ
bên
gởi,
địa
chỉ
bên
nhận,
địa
chỉ
vật
lý
(
MAC
),
địa
chỉ
của
Router
đầu
tiên
(hay
là
địa
chỉ
Default-Gateway
)
mà
packet
tới.
Khi
packet
tới
Router
,
Router
sẽ
xác
định
địa
chỉ
IP
đích
của
packet
(còn
gọi
là
destination
IP
address
),
nếu
như
Router
không
nhận
ra
IP
đích
thì
nó
sẽ
bỏ
packet
,
nếu
ngược
lại
thì
Router
sẽ
chuyển
packet
tới
địa
chỉ
đích
hoặc
chuyển
packet
tới
Router
kế
tiếp
(
next
Router
),
khi
đó
Router
nó
sẽ
thay
thế
MAC
nguồn,
và
MAC
đích
bằng
MAC
trên
interface
của
nó
và
MAC
trên
next
hop
Router
,
khi
packet
chuyển
qua
mạng
lớn
(qua
nhiều
Router
)
thì
địa
chỉ
IP
nguồn
(
source
address
)
và
địa
chỉ
IP
đích
(
destination
address
)
không
thay
đổi
nhưng
địa
chỉ
vật
lý
(địa
chỉ
MAC
)
bị
thay
đổi
tại
mỗi
hop.
Thành
phần
thứ
hai
của
routing
là
Path-Determination
,
Router
cần
có
một
số
cách
xác
định
con
đường
đi
ngắn
nhất
để
chuyển
packet
tới
đích,
Router
cần
có
nhiều
thông
tin
từ
người
quản
trị
(người
quản
trị
phải
làm
công
việc
định
tuyến)
hay
từ
các
Router
khác
để
xây
dựng
bảng
routing
(
Router
tự
học
định
tuyến
thông
qua
các
giao
thức)
mà
thông
tin
này
giúp
cho
nó
định
tuyến
packet
đi
tới
đích.
Trong
bảng
routing
địa
chỉ
mạng
đích
được
ánh
xạ
tới
interface
(cổng)
thích
hợp
trên
Router
,
thông
qua
interface
này
packet
có
thể
đi
tới
nó.
Khi
có
sự
thay
đổi
trên
mạng
các
Router
trao
đổi
với
nhau
bằng
các
exchanging
message
để
cập
nhật
lại
bảng
routing
.
Các
exchanging
message
bao
gồm:
-
Routing
update
message
.
-
Link-state
advertiment
(trạng
thái
của
sender’s
link
).
Theo
định
nghĩa
của
một
số
nghi
thức
routing
như
RIP
,
IGRP
,…
cứ
sau
một
khoảng
thời
gian
(
interal
time
)
nó
sẽ
gởi
update
message
tới
các
Router
khác
để
cập
nhật
về
sự
thay
đổi
thông
tin
trên
mạng.
Khi
các
Router
này
nhận
được
thông
tin
update
,
nó
sẽ
kiểm
tra
trong
bảng
routing
table
của
nó
với
thông
tin
update
nếu
có
sự
thay
đổi
thì
nó
sẽ
xóa
entry
tương
ứng
và
cập
nhật
thông
tin
mới
vào,
ngược
lại
thì
nó
sẽ
không
cập
nhật
thông
tin.
Routing
Algorithm
là
thuật
toán
định
tuyến
cho
phép
chọn
Router
,
chọn
con
đường
đi
tốt
nhất
để
gởi
dữ
liệu
đến
đích.
Routing
Algorithm
tùy
thuộc
vào
các
yếu
tố
sau
:
-
Design
.
-
Metrics
.
-
Type
.
Design
bao
gồm:
-
Tính
đơn
giản
(
simplicity
)
là
thành
phần
rất
quan
trọng
trong
hệ
thống
giúp
giới
hạn
tài
nguyên
vật
lý
(
physical
resource
).
-
Tính
linh
hoạt
(
plexibility
)
để
cho
phép
mạng
thích
ứng
nhanh
với
sự
thay
đổi
và
phát
triển
của
hệ
thống,
ví
dụ
như
sự
thay
đổi
về
băng
thông
kích
thước
hàng
đợi,
độ
trễ,…
-
Sự
hội
tụ
(
convergence
)
tính
hội
tụ
thông
tin
là
mục
đích
quan
trọng
của
thuật
toán
routing
,
tính
hội
tụ
nhanh
làm
cho
thông
tin
trong
bảng
routing
được
thống
nhất
một
cách
nhanh
chóng.
Ngược
lại
nó
sẽ
làm
phá
vỡ
tính
thống
nhất
thông
tin
định
tuyến
giữa
các
Router
.
-
Tính
tối
ưu
(
optimality
):
là
khả
năng
mà
nghi
thức
định
tuyến
lựa
chọn
đường
đi
tốt
nhất
để
truyền
dữ
liệu,
để
xác
định
con
đường
đi
tốt
nhất
Router
dựa
vào
me
t
ric
và
weighting
(trọng
lượng)
của
mỗi
metric
.
Metric
được
sử
dụng
trong
thuật
toán
định
tuyến
để
lựa
chọn
con
đường
đi
tốt
nhất,
nó
bao
Download tài liệu này tại diễn đàn quản trị mạng và quản trị hệ thống | http://www.adminviet.net
115
gồm:
Download tài liệu này tại diễn đàn quản trị mạng và quản trị hệ thống | http://www.adminviet.net
116
-
Hop
count
và
path
length
.
-
Reliability
.
-
Load
.
-
Delay
.
-
Bandwidth
.
-
Maximum
Tranmission
Unit
(
MTU
).
Hop
count
là
số
lượng
host
(hay
là
số
lượng
Router
)
mà
packet
phải
đi
qua
từ
nguồn
tới
đích.
Mỗi
một
đường
truyền
được
gán
bởi
một
giá
trị,
chỉ
có
người
quản
trị
mạng
mới
thay
đổi
giá
trị
này,
tổng
giá
trị
của
các
đường
truyền
đó
gọi
là
path
length
.
Reliability
là
metric
cho
phép
đánh
giá
mức
độ
lỗi
của
một
đường
truyền.
Load
khả
năng
tải
hiện
tại
trên
đường
truyền
(
busy
link
)
dựa
vào
số
lượng
packet
được
truyền
trong
thời
gian
1
giây,
mức
độ
xử
lý
hiện
tại
của
cpu
(
CPU
Utilization
).
Delay
metric
thực
sự
để
đo
lường
một
số
tác
động
của
một
số
đại
lượng
trên
đường
truyền
như
băng
thông
(
bandwidth
),
tắc
nghẽn
đường
truyền
(
conguestion
),
khoảng
cách
đường
truyền
(
distance
),
khả
năng
mang
thông
tin
trên
đường
truyền
còn
gọi
là
băng
thông
của
đường
truyền
được
tính
băng
số
bit/giây
mà
đường
truyền
đó
có
thể
truyền
thông
tin,
số
lượng
traffic
trên
đường
truyền
quá
nhiều
sẽ
làm
giảm
băng
thông
có
sẵn
cho
đường
truyền.
MTU
là
chiều
dài
tối
đa
của
thông
điệp
(tính
bằng
byte
)
mà
nó
có
thể
truyền
trên
đường
truyền.
MTU
của
mỗi
môi
truyền
truyền
vật
lý
thì
khác
nhau.
Ví
dụ
MTU
cho
ethernet
là
1500.
III. KHẢO SÁT CHI TIẾT LỚP 4 (TRANSPORT)
Các
dịch
vụ
trên
lớp
transport
cho
phép
phân
mảnh
và
tập
hợp
dữ
liệu
vào
cùng
transport-layer
data
stream,
Transport-layer
data
stre
am
là
một
kết
nối
logic
giữa
bên
gởi
và
bên
nhận
trên
mạng.
Lớp
Transport
cung
cấp
các
đặc
tính
sau
:
-
Reliability
(tin
cậy)
bằng
cách
đánh
số
thứ
tự
của
các
segment
(
source
secquence
),
bên
nhận
thông
báo
cho
bên
gởi
biết
rằng
nó
đã
nhận
được
dữ
liệu
bằng
cách
thông
báo
các
ACK
(
acknownledgements
).
-
Flow
Control
:
là
kỹ
thuật
cho
phép
điều
khiển
buffer
bên
nhận,
bên
nhận
sử
dụng
kỹ
thuật
này
để
ngăn
không
cho
bên
gởi
gởi
dữ
liệu
quá
nhanh
làm
tràn
buffer
của
bên
nhận.
-
Hai
protocol
ở
lớp
transport
layer
là
TCP
và
UDP
,
III.1
.
Giao
thức
TCP
(TCP
protocol).
TCP
cung
cấp
kết
nối
tin
cậy
giữa
hai
máy
tính,
kết
nối
được
thiết
lập
trước
khi
dữ
liệu
bắt
đầu
truyền.
TCP
còn
gọi
là
nghi
thức
hướng
kết
nối,
với
nghi
thức
TCP
thì
quá
trình
hoạt
động
trải
qua
ba
bước
sau:
-
Thiết
lập
kết
nối
(
connection
establishment
).
-
Truyền
dữ
liệu
(
data
tranfer
).
-
Kết
thúc
kết
nối
(
connection
termination
).
Download tài liệu này tại diễn đàn quản trị mạng và quản trị hệ thống | http://www.adminviet.net
117
TCP
phân
chia
các
thông
điệp
thành
các
segment,
sau
đó
nó
ráp
các
segment
này
lại
tại
bên
nhận,
và
nó
có
thể
truyền
lại
những
gói
dữ
liệu
nào
đã
bị
mất.
Với
TCP
thì
dữ
liệu
đến
đích
là
đúng
thứ
tự,
TCP
cung
cấp
Virtual
Circuit
giữa
các
ứng
dụng
bên
gởi
và
bên
nhận.
Giao
thức
TCP
thiết
lập
một
kết
nối
bằng
phương
pháp
“Bắt
tay
3
lần”
(
three-way
handshake
)
Hình
6.1
–
Cách
thiết
lập
kết
nối
của
giao
thức
TCP
.
Hình
vẽ
dưới
đây
là
một
ví
dụ
về
cách
thức
truyền,
nhận
gói
tin
bằng
giao
thức
TCP.
Hình
6.2
–
Minh
họa
cách
truyền,
nhận
gói
tin
trong
giao
thức
TCP
.
Giao
thức
TCP
là
giao
thức
có
độ
tin
cậy
cao,
nhờ
vào
phương
pháp
truyền
gói
tin,
như
cơ
chế
điều
khiển
luồng
(
flow
control
),
các
gói
tin
ACK
,…
Hình
vẽ
sau
đây
thể
hiện
gói
tin
của
TCP.
Download tài liệu này tại diễn đàn quản trị mạng và quản trị hệ thống | http://www.adminviet.net
118
Hình
6.3
–
Cấu
trúc
gói
tin
của
TCP
.
Các
thành
phần
trong
gói
tin:
-
Source
port
:
port
nguồn
-
Destination
Port
:
port
đích
-
Sequence
number
:
số
tuần
tự
(để
sắp
xếp
các
gói
tin
theo
đúng
trật
tự
của
nó).
-
Acknowledgment
number
(
ACK
số):
số
thứ
tự
của
Packet
mà
bên
nhận
đang
chờ
đợi.
-
Header
Length
:
chiều
dài
của
gói
tin.
-
Reserved
:
trả
về
0
-
Code
bit
:
các
cờ
điều
khiển.
-
Windows
:
kích
thước
tối
đa
mà
bên
nhận
có
thể
nhận
được
-
Checksum
:
máy
nhận
sẽ
dùng
16
bit
này
để
kiểm
tra
dữ
liệu
trong
gói
tin
có
đúng
hay
không.
-
Data
:
dữ
liệu
trong
gói
tin
(nếu
có).
III.2
.
Giao
thức
UDP
(UDP
protocol).
UDP
không
giống
như
TCP
,
UDP
là
nghi
thức
phi
kết
nối,
nghĩa
là
dữ
liệu
gởi
tới
đích
là
không
tin
cậy.
Bởi
vì
kết
nối
không
được
tạo
trước
khi
dữ
liệu
truyền,
do
đó
UDP
nhanh
hơn
TCP
.
UDP
là
nghi
thức
không
tin
cậy,
nó
không
đảm
bảo
dữ
liệu
đến
đích
là
không
bị
mất,
đúng
thứ
tự
mà
nó
nhờ
các
nghi
thức
ở
lớp
trên
đảm
nhận
chức
năng
này.
UDP
có
ưu
thế
hơn
TCP
:
-
Nhờ
vào
việc
không
phải
thiết
lập
kết
nối
trước
khi
thật
sự
truyền
dẫn
dữ
liệu
nên
truyền
với
tốc
độ
nhanh
hơn.
-
Bên
nhận
không
cần
phải
trả
về
gói
tin
xác
nhận
(
ACK
)
nên
giảm
thiểu
sự
lãng
phí
băng
thông.
Download tài liệu này tại diễn đàn quản trị mạng và quản trị hệ thống | http://www.adminviet.net
119
Hình
6.4
–
Cấu
trúc
gói
tin
của
UDP
.
Các
thành
phần
trong
gói
tin
UDP
:
-
Source
Port
:
port
nguồn.
-
Destination
Port
:
port
đích.
-
UDP
Length
:
chiều
dài
của
gói
tin.
-
UDP
Checksum
:
dùng
để
kiểm
tra
gói
tin
có
bị
sai
lệch
hay
không
-
Data
:
dữ
liệu
đi
kèm
trong
gói
tin
(nếu
có).
III.3
.
Khái
niệm
Port.
Trong
cùng
một
thời
điểm,
một
máy
tính
có
thể
có
nhiều
chương
trình
đang
chạy.
Vậy
làm
sao
để
xác
định
một
gói
tin
sẽ
được
chương
trình
nào
sử
dụng?
Khái
niệm
Port
ra
đời
để
giải
quyết
chuyện
đó.
Mỗi
chương
trình
ứng
dụng
mạng
đều
có
một
Port
xác
định.
Để
gởi
gói
tin
đến
một
chương
trình
tại
máy
tính
A,
ta
chỉ
cần
gởi
gói
tin
đến
địa
chỉ
IP
của
máy
A,
và
Port
mà
chương
trình
đó
đang
sử
dụng.
TCP
hoặc
UDP
dùng
port
hoặc
socket
,
nó
là
con
số
mà
thông
qua
đó
thông
tin
được
truyền
lên
các
lớp
cao
hơn.
Các
con
số
port
được
dùng
trong
việc
lưu
vết
các
cuộc
hội
thoại
khác
nhau
trên
mạng
xảy
ra
trong
cùng
một
thời
điểm.
P
o
rt
là
một
loại
địa
chỉ
logic
trên
một
máy
tính,
là
con
số
2
byte.
Các
port
có
giá
trị
nhỏ
hơn
1024
được
dùng
làm
các
port
chuẩn.
Các
ứng
dụng
dùng
port
riêng
có
giá
trị
lớn
hơn
1024.
Các
giá
trị
port
được
chứa
trong
phần
địa
chỉ
nguồn
và
đích
của
mỗi
segment
TCP
.
Một
ứng
dụng
có
thể
sử
dụng
port
riêng
trong
miền
cho
mình
để
giao
dịch
trên
mạng
nhưng
chú
ý
là
không
được
trùng
với
các
port
chuẩn.
Ví
dụ
một
số
port
chuẩn
mà
các
phần
mềm
sử
dụng
-
HTTP
:
Port
number
80
-
FTP
:
Port
number
21
-
DNS
:
Port
number
53
-
Telnet
:
Port
number
23
-
SMTP
:
Port
number
25
-
TFTP
:
Port
number
69
-
SNMP
:
Port
number
161
-
RIP
:
Port
number
520
Download tài liệu này tại diễn đàn quản trị mạng và quản trị hệ thống | http://www.adminviet.net
120
IV. CÁC MÔ HÌNH FIREWALL.
IV.1
.
Giới
thiệu
về
Firewall.
Firewall
hay
còn
gọi
là
bức
tường
lửa
được
hiểu
như
là
một
hệ
thống
máy
tính
và
thiết
bị
mạng
giúp
ta
có
thể
bảo
mật
và
giám
sát
các
truy
xuất
từ
bên
trong
ra
ngoài
và
ngược
lại
từ
bên
ngoài
vào
trong
từ
đó
ta
có
thể
phòng
chống
các
truy
cập
bất
hợp
pháp.
IV.2
.
Dual
homed
host.
Firewall
kiến
trúc
kiểu
Dual-homed
host
được
xây
dựng
dựa
trên
máy
tính
dual-homed
host
.
Một
máy
tính
được
gọi
là
dual-homed
host
nếu
nó
có
ít
nhất
hai
network
interface
,
có
nghĩa
là
máy
đó
có
gắn
hai
card
mạng
giao
tiếp
với
hai
mạng
khác
nhau
và
như
thế
máy
tính
này
đóng
vai
trò
là
Router
mềm.
Kiến
trúc
dual-homed
host
rất
đơn
giản.
Dual-homed
host
ở
giữa,
một
bên
được
kết
nối
với
Internet
và
bên
còn
lại
nối
với
mạng
nội
bộ
(
LAN
).
Dual-homed
host
chỉ
có
thể
cung
cấp
các
dịch
vụ
bằng
cách
ủy
quyền
(
proxy
)
chúng
hoặc
cho
phép
users
đăng
nhập
trực
tiếp
vào
dual-homed
host
.
Mọi
giao
tiếp
từ
một
host
trong
mạng
nội
bộ
và
host
bên
ngoài
đều
bị
cấm,
dual-homed
host
là
nơi
giao
tiếp
duy
nhất.
Hình
6.4
–
Kiến
trúc
Firewall
Dual
homed
host
.
IV.3
.
Screened
Host.
Screened
Host
có
cấu
trúc
ngược
lại
với
cấu
trúc
Dual-homed
host
.
Kiến
trúc
này
cung
cấp
các
dịch
vụ
từ
một
host
bên
trong
mạng
nội
bộ,
dùng
một
Router
tách
rời
với
mạng
bên
ngoài.
Trong
kiểu
kiến
trúc
này,
bảo
mật
chính
là
phương
pháp
Packet
Filtering
.
Bastion
host
được
đặt
bên
trong
mạng
nội
bộ.
Packet
Filtering
được
cài
trên
Router
.
Theo
cách
này,
Bastion
host
là
hệ
thống
duy
nhất
trong
mạng
nội
bộ
mà
những
host
trên
Internet
có
thể
kết
nối
tới.
Mặc
dù
vậy,
chỉ
những
kiểu
kết
nối
phù
hợp
(được
thiết
lập
trong
Bastion
host
)
mới
được
cho
phép
kết
nối.
Bất
kỳ
một
hệ
thống
bên
ngoài
nào
cố
gắng
truy
cập
vào
hệ
thống
hoặc
các
dịch
vụ
bên
trong
đều
phải
kết
nối
tới
host
này.
Vì
thế
Bastion
host
là
host
cần
phải
được
duy
trì
ở
chế
độ
bảo
mật
cao.
Packet
filtering
cũng
cho
phép
bastion
host
có
thể
mở
kết
nối
ra
bên
ngoài.
Cấu
hình
của
packet
filtering
trên
screening
router
như
sau:
-
Cho
phép
tất
cả
các
host
bên
trong
mở
kết
nối
tới
host
bên
ngoài
thông
qua
một
số
dịch
vụ
cố
định.
Download tài liệu này tại diễn đàn quản trị mạng và quản trị hệ thống | http://www.adminviet.net
121
-
Không
cho
phép
tất
cả
các
kết
nối
từ
các
host
bên
trong
(cấm
những
host
này
sử
dụng
dịch
proxy
thông
qua
bastion
host
).
Bạn
có
thể
kết
hợp
nhiều
lối
vào
cho
những
dịch
vụ
khác
nhau:
-
Một
số
dịch
vụ
được
phép
đi
vào
trực
tiếp
qua
packet
filtering.
-
Một
số
dịch
vụ
khác
thì
chỉ
được
phép
đi
vào
gián
tiếp
qua
proxy
.
Bởi
vì
kiến
trúc
này
cho
phép
các
packet
đi
từ
bên
ngoài
vào
mạng
bên
trong,
nó
dường
như
là
nguy
hiểm
hơn
kiến
trúc
Dual-homed
host
,
vì
thế
nó
được
thiết
kế
để
không
một
packet
nào
có
thể
tới
được
mạng
bên
trong.
Tuy
nhiên
trên
thực
tế
thì
kiến
trúc
dual-homed
host
đôi
khi
cũng
có
lỗi
mà
cho
phép
các
packet
thật
sự
đi
từ
bên
ngoài
vào
bên
trong
(bởi
vì
những
lỗi
này
hoàn
toàn
không
biết
trước,
nó
hầu
như
không
được
bảo
vệ
để
chống
lại
những
kiểu
tấn
công
này).
Hơn
nữa,
kiến
trúc
dual-homed
host
thì
dễ
dàng
bảo
vệ
Router
(là
máy
cung
cấp
rất
ít
các
dịch
vụ)
hơn
là
bảo
vệ
các
host
bên
trong
mạng.
Xét
về
toàn
diện
thì
kiến
trúc
Screened
host
cung
cấp
độ
tin
cậy
cao
hơn
và
an
toàn
hơn
kiến
trúc
Dual-homed
host
.
So
sánh
với
một
số
kiến
trúc
khác,
chẳng
hạn
như
kiến
trúc
Screened
subnet
thì
kiến
trúc
Screened
host
có
một
số
bất
lợi.
Bất
lợi
chính
là
nếu
kẻ
tấn
công
tìm
cách
xâm
nhập
Bastion
Host
thì
không
có
cách
nào
để
ngăn
tách
giữa
Bastion
Host
và
các
host
còn
lại
bên
trong
mạng
nội
bộ.
Router
cũng
có
một
số
điểm
yếu
là
nếu
Router
bị
tổn
thương,
toàn
bộ
mạng
sẽ
bị
tấn
công.
Vì
lý
do
này
mà
Sceened
subnet
trở
thành
kiến
trúc
phổ
biến
nhất.
Hình
6.5
–
Kiến
trúc
Firewall
Screened
host
.
IV.4
.
Screened
Subnet.
Nhằm
tăng
cường
khả
năng
bảo
vệ
mạng
nội
bộ,
thực
hiện
chiến
lược
phòng
thủ
theo
chiều
sâu,
tăng
cường
sự
an
toàn
cho
bastion
host
,
tách
bastion
host
khỏi
các
host
khác,
phần
nào
tránh
lây
lan
một
khi
bastion
host
bị
tổn
thương,
người
ta
đưa
ra
kiến
trúc
firewall
có
tên
là
Sreened
Subnet
.
Không có nhận xét nào:
Đăng nhận xét