Bảo mật cho mạng LAN dùng Firewall
LỜI CẢM ƠN
Đầu tiên em xin gửi lời cảm ơn sâu sắc đến thầy Đỗ Đình Hưng, thầy
đã tận tình chỉ bảo và hướng dẫn em trong suốt quá trình thực tập và làm đồ
án để em hoàn thành tốt đồ án tốt nghiệp của mình!
Tiếp đến em xin gửi lời cảm ơn chân thành đến các thầy cô trong khoa
Công Nghệ Điện Tử - Thông Tin, các thầy cô trong trường Đại học Mở Hà
Nội đã dày công dạy dỗ em luôn luôn tạo cho chúng em một môi trường học
tập tốt trong suốt những năm học tại trường.
[Type text]
Page 1
Bảo mật cho mạng LAN dùng Firewall
Nhận xét của giáo viên :
……………………………………………………………………………………
……………………………………………………………………………………
……………………………………………………………………………………
……………………………………………………………………………………
……………………………………………………………………………………
……………………………………………………………………………………
……………………………………………………………………………………
……………………………………………………………………………………
……………………………………………………………………………………
……………………………………………………………………………………
……………………………………………………………………………………
……………………………………………………………………………………
……………………………………………………………………………………
……………………………………………………………………………………
……………………………………………………………………………………
……………………………………………………………………………………
…………………………………………………………………………
[Type text]
Page 2
Bảo mật cho mạng LAN dùng Firewall
Mục lục
Chương 1: TỔNG QUAN VỀ MẠNG MÁY TÍNH
1
I
II
III
Lịch sử mạng máy tính……………………………………………………..... 1
Khái niệm cơ bản về mạng máy tính….……………………………………... 2
Kiến thức cơ bản về mạng LAN…..…………………………….................... 3
Chương 2: TỔNG QUAN VỀ MẠNG LAN
4
I
Các khái niệm cơ bản………………………………………………………...
4
1
2
3
4
5
II
1
2
3
III
1
2
3
4
5
IV
1
2
Cấu trúc topology của mạng...……………………………………………..…
Mạng hình sao.………………………..……………………………………...
Mạng trục tuyến tính……………..…………………………………………..
Mạng dạng vòng..……..……………………………………………………...
Mạng dạng kết hợp………………..………………………………………….
Các phương pháp truy nhập đường truyền………..………………………….
Giao thức CSMA/CD ………………………………………………………..
Giao tức truyền thẻ bài……………………………………………………….
Giao thức FDDL...……………………………………………………………
Phân đoạn mạng LAN ………………………………………………….........
Mục đích phân đoạn mạng LAN……………………………………………..
Phân đoạn bằng Repeater…………………………………………………….
Phân đoạn bằng Bridge …………………………...…………………………
Phân đoạn bằng Router………………………………………………………
Phân đoạn bằng Switch………………………………………………………
Các chế độ chuyển mạch trong mạng LAN…………………………………
Chuyển mạch lưu và chuyển…………………………………………………
Chuyển mạch ngay…………………………………………………………..
Chương 3: PHƯƠNG PHÁP THIẾT KẾ MẠNG LAN
4
4
5
6
7
7
7
8
9
10
10
10
12
14
14
15
16
16
17
I
Những vấn đề cần lưu ý……………………………………………………...
17
II
Những yêu cầu cần thiết khi thiết kế……………………………………….... 17
Chương 4: THIẾT KẾ MẠNG LAN CHO CÔNG TY TIN HỌC
19
I
1
2
3
Tổ chức hành chính và cấu trúc địa lý của công ty…………………………..
Tổ chức hành chính của công ty ……………………………………………
Cấu trúc địa lý của công ty …………………………………………………
Thực trạng mạng hiện nay của công ty………..……………………………
[Type text]
19
19
19
20
Page 3
Bảo mật cho mạng LAN dùng Firewall
II
1
2
3
4
5
6
III
1
1
Lựa chọn giải pháp thiết kế và các thiết bị cần thiết………………………...
Lựa chọn giải pháp kỹ thuật…………………………………………………
Lựa chọn kiến trúc mạng...………………………………………………….
Lựa chọn đường truyền dẫn…….…………………………………………..
Lựa chọn thiết bị….……………………………………………………….
Lựa chọn hệ điều hành…..………………………………………………..
Các phần mềm cần thiết…………………………………………………….
Thiết kế sơ đồ mạng……………………………………………………......
Sơ đồ mạng ở dạng vật lý……………………………………………….......
Sơ đồ mạng ở dạng logic…………………………………………………...
Chương 5: CÀI ĐẶT VÀ KIỂM TRA MẠNG
I
II
1
a
b
III
IV
V
VI
Cài đặt hệ điều hành cho server……………………………………………..
Cài đặt các dịch vụ mạng và các giao thức..………………………………....
Cài đặt dịch vụ DHCP………………………………………………………
Cài đặt DHCP……………………………………………………………….
Cấu hình DHCP……………………………………………………………..
Tạo domain controller(DC) trên Windows server 2003……………………..
Lắp đặt máy tính và các thiết bị ngoại vi…………………………………….
Chia sẻ tài nguyên máy con…………………………………………………..
Kiểm tra sự kết nối vận hành gói tin…………………………………………
KẾT LUẬN ĐỀ TÀI
I
1
2
II
1
2
Đánh giá chung……………………………………………………………….
Đánh giá về mặt lý thuyết……………………………………………………
Đánh giá về mặt ứng dụng, mở rộng hệ thống ………………………………
Hướng phát triển, mở rộng của đề tài………………………………………..
Định hướng nghiên cứu………………………………………………………
Định hướng phát triển ứng dụng……………………………………………..
LỜI KẾT
[Type text]
20
20
20
21
21
22
22
23
23
25
26
26
26
26
27
32
38
51
51
53
54
54
54
54
54
55
55
56
Page 4
Bảo mật cho mạng LAN dùng Firewall
LỜI MỞ ĐẦU
Có thể nói ngày nay trong khoa học máy tính không lĩnh vực nào có thể quan
trọng hơn lĩnh vực nối mạng. Mạng máy tính là hai hay nhiều máy tính được kết nối
với nhau theo một cách nào đó sao cho chúng có thể trao đổi thông tin qua lại với
nhau, dung chung hoặc chia sẽ dữ liệu thông qua việc in ấn hay sao chép qua đĩa
mềm, CDroom….
Vì vậy hạ tầng mạng máy tính là phần không thể thiếu trong các tổ chức hay các
công ty. Trong điều kiện kinh tế hiện nay hầu hết đa số các tổ chức hay công ty có
phạm vi sử dụng bị giới hạn bởi diện tích và mặt bằng đều triển khai xây dựng mạng
LAN để phục vụ cho việc quản lý dữ liệu nội bộ cơ quan mình được thuận lợi, đảm
bảo tính an toàn dữ liệu cũng như tính bảo mật dữ liệu mặt khác mạng Lan còn giúp
các nhân viên trong tổ chức hay công ty truy nhập dữ liệu một cách thuận tiện với tốc
độ cao. Một điểm thuận lợi nữa là mạng LAN còn giúp cho người quản trị mạng phân
quyền sử dụng tài nguyên cho từng đối tượng là người dùng một cách rõ ràng và
thuận tiện giúp cho những người có trách nhiệm lãnh dậo công ty dễ dang quản lý
nhân viên và điều hành công ty.
Mục đích mà em chọn đề tài này là giúp cho các nhân viên trong công ty hoặc
doanh nghiệp có thể trao đổi thông tin, chia sẻ thêm dữ liệu.. giúp cho công việc của
các nhân viên thêm thuận tiện và năng suất lao động sẽ đạt hiệu quả rất cao và làm
được điều này thì các doanh nghiệp sẽ rất có lợi cho việc cơ cấu tổ chức các phòng
ban, và hơn nữa là sẽ giảm chi phí cho các doanh nghiệp một khoản chi phí rất lớn.
Việc xây dựng đề tài thiết kế mạng LAN cho công ty cũng giúp cho chúng em rất
nhiều cho công việc sau này: Củng cố thêm kiến thức , kinh nghiệm thiết kế các mô
hình cách quản lý, hơn thế nữa là thông qua đề tài này nó sẽ cung cấp cho chúng em
có thêm cái nhìn sâu hơn nữa về ngành công nghệ thông tin và có thể ứng dụng sâu
rộng vào trong thực tế cuộc sống chúng ta.
[Type text]
Page 5
Bảo mật cho mạng LAN dùng Firewall
Chương 1 : TỔNG QUAN VỀ MẠNG MÁY TÍNH
I. Lịch sử mạng máy tính
Máy tính của thập niên 1940 là các thiết bị cơ-điện tử lớn và rất dễ hỏng. Sự
phát minh ra transister bán dẫn vào năm 1947 tạo ra cơ hội để làm ra chiếc máy tính
nhỏ và đáng tin cậy hơn.
Năm 1950, các máy tính lớn mainframe chạy bởi các chương trình ghi trên thẻ
đục lỗ (punched card) bắt đầu được dùng trong các học viện lớn. Điều này tuy tạo
nhiều thuận lợi với máy tính có khả năng được lập trình nhưng cũng có rất nhiều khó
khăn trong việc tạo ra các chương trình dựa trên thẻ đục lỗ này.
Vào cuối thập niên 1950, người ta phát minh ra mạch tích hợp (IC) chứa nhiều
transitor trên một mẫu bán dẫn nhỏ, tạo ra một bước nhảy vọt trong việc chế tạo các
máy tính mạnh hơn, nhanh hơn và nhỏ hơn. Đến nay, IC có thể chứa hàng triệu
transistor trên một mạch.
Vào cuối thập niên 1960, đầu thập niên 1970, các máy tính nhỏ được gọi là
minicomputer bắt đầu xuất hiện.
Năm 1977, công ty máy tính Apple Computer giới thiệu máy vi tính cũng được
gọi là máy tính cá nhân (personal computer - PC).
Năm 1981, IBM đưa ra máy tính cá nhân đầu tiên. Sự thu nhỏ ngày càng tinh
vi hơn của các IC đưa đến việc sử dụng rộng rãi máy tính cá nhân tại nhà và trong
kinh doanh.
Vào giữa thập niên 1980, người sử dụng dùng các máy tính độc lập bắt đầu
chia sẻ các tập tin bằng cách dùng modem kết nối với các máy tính khác. Cách thức
này được gọi là điểm nối điểm, hay truyền theo kiểu quay số. Khái niệm này được mở
rộng bằng cách dùng các máy tính là trung tâm truyền tin trong một kết nối quay số.
Các máy tính này được gọi là sàn thông báo (bulletin board). Các người dùng kết nối
đến sàn thông báo này, để lại đó hay lấy đi các thông điệp, cũng như gửi lên hay tải về
các tập tin. Hạn chế của hệ thống là có rất ít hướng truyền tin, và chỉ với những ai biết
[Type text]
Page 1
Bảo mật cho mạng LAN dùng Firewall
về sàn thông báo đó. Ngoài ra, các máy tính tại sàn thông báo cần một modem cho
mỗi kết nối, khi số lượng kết nối tăng lên, hệ thống không thề đáp ứng được nhu cầu.
Qua các thập niên 1950, 1970, 1980 và 1990, Bộ Quốc phòng Hoa Kỳ đã phát triển
các mạng diện rộng WAN có độ tin cậy cao, nhằm phục vụ các mục đích quân sự và
khoa học. Công nghệ này khác truyền tin điểm nối điểm. Nó cho phép nhiều máy tính
kết nối lại với nhau bằng các đường dẫn khác nhau. Bản thân mạng sẽ xác định dữ
liệu di chuyển từ máy tính này đến máy tính khác như thế nào. Thay vì chỉ có thể
thông tin với một máy tính tại một thời điểm, nó có thể thông tin với nhiều máy tính
cùng lúc bằng cùng một kết nối. Sau này, WAN của Bộ Quốc phòng Hoa Kỳ đã trở
thành Internet.
II. Khái niệm cơ bản về mạng máy tính
Nói một cách cơ bản, mạng máy tính là hai hay nhiều máy tính được kết nối
với nhau theo một cách nào đó sao cho chúng có thể trao đổi thông tin qua lại với
nhau.
Mạng máy tính ra đời xuất phát từ nhu cầu muốn chia sẻ và dùng chung dữ
liệu .Không co hệ thống mạng thì dữ liệu trên các máy tính độc lập muốn chia sẻ với
nhau phải thông qua việc in ấn sao chép qua đĩa mềm, CD ROM.. gây rất nhiều bất
tiện cho người dùng. Các máy tính được kết nối thành mạng cho phép các khả năng:
+ Sử dụng chung các công cụ tiện ích
+Chia sẻ kho dữ liệu dùng chung
+ Tăng độ tin cậy của hệ thống
+ Trao đổi thông điệp, hình ảnh
+ Dùng chung các thiết bị ngoại vi(máy in, máy vẽ, Fax, modem...)
+ Giảm thiểu chi phí và thời gian đi lại
[Type text]
Page 2
Bảo mật cho mạng LAN dùng Firewall
III.
Kiến thức cơ bản về mạng LAN
Mạng cục bộ LAN là hệ truyền thông tốc độ cao được thiết kế để kết nối các
mạng các máy tính và các thiết bị xử lý dữ liệu khác cùng hoạt động với nhau trong
một khu vực địa lý nhỏ như ở một tằng của tòa nhà,trong một khu nhà hoặc trong nội
bộ của một tổ chức,công ty….. một số mạng LAN có thể kết nối lại với nhau trong
một khu làm việc.
Các mạng LAN trở lên thông dụng vì nó cho phép những người sử dụng dùng
chung những tài nguyên quan trọng như máy in màu,ổ đĩa CD-ROM, các phần mềm
ứng dụng và những thông tin cần thiết khác.Trước khi phát triển công nghệ LAN các
máy tính là độc lập với nhau, bị hạn chế bởi số lượng các chương trình tiện ích, sau
khi kết nối mạng rõ ràng hiệu quả của chúng tăng lên gấp bội. Để tận dụng hết
những ưu điểm của mạng LAN người ta đã kết nối các LAN riêng biệt vào mạng
chính yếu diện rộng (WAN).Các thiết bị gắn với mạng LAN đều dùng chung một
phương tiện truyền tin đó là dây cáp (hữu tuyến) đó là: cáp đồng trục (Coaxial cable),
cáp đôi dây xoắn (shielded twisted pair), cáp quang( Fiber optic),….hoặc truyền qua
môi trường vô tuyến như Wimax,WiFi….
[Type text]
Page 3
Bảo mật cho mạng LAN dùng Firewall
Chương 2 : TỔNG QUAN VỀ MẠNG LAN
I. Các khái niệm cơ bản
1. Cấu trúc topo của mạng
Cấu trúc topo (network topology) của mạng LAN là kiến trúc hình học thể hiện
cách bố trí các đường dây cáp, sắp xếp các máy tính để kết nối thành mạng hoàn
chỉnh. Hầu hết các mạng LAN ngày nay đều được thiết kế để hoạt động dựa trên một
cấu trúc mạng định tuyến, dạng vòng cùng với những cấu trúc kết hợp của chúng.
2. Mạng hình sao (star topology)
Mạng hình sao bao gồm một bộ kết nối trung tâm và các nút. Các nút này là
các trạm đầu và cuối, các máy tính và các thiết bị khác của mạng. Bộ nối trung tâm
của mạng điều phối mọi hoạt động trong mạng.
Mạng hình sao cho phép kết nối các máy tính và một bộ trung tâm (Hub) bằng
cáp, giải pháp này cho phép nối trực tiếp máy tính với Hub không cần thông qua trục
Bus, tránh được các yếu tố gây ngưng trệ mạng.
Hình 1: Cấu trúc mạng hình sao
Mô hình kết nối mạng hình sao ngày nay đã trở nên hết sức phổ biến. Với việc
sử dụng các bộ tập trung hoặc chuyển mạch, cấu trúc mạng hình sao có thể được mở
rộng mạng bằng cách tổ chức nhiều mức phân cấp, do vậy dễ dàng trong việc quản lý
và vận hành.
[Type text]
Page 4
Bảo mật cho mạng LAN dùng Firewall
* Những ưu điểm của mạng hình sao
- Hoạt động theo nguyên lý nối song song nên có một thiết bị nào đó ở một nút
thông tin bị hỏng thì mạng vẫn hoạt động bình thường.
- Cấu trúc mạng đơn giản và các thuật toán điều khiển ổn định
- Mạng có thể dễ dàng mở rộng hoặc thu hẹp
* Những nhược điểm của mạng hình sao
- Khả năng mở rộng mạng hoàn toàn phụ thuộc vào khả năng của thiết bị
- Trung tâm có sự cố thì toàn mạng ngưng hoạt động
- Mạng yêu cầu nối độc lập riêng rẽ từng thiết bị ở các nút thông tin đến trung
tâm , khoảng cách từ máy trung tâm rất hạn chế (100 m)
3. Mạng hình tuyến Bus (Bus topology)
Thực hiện theo cách bố trí hành lang, các máy tính và các thiết bị khác – các
nút mạng đều được nối với nhau trên một trục đường dây cáp chính để chuyển tải tín
hiệu. Tất cả các nút đều sử dụng chung đường dây cáp chính này.
Phía hai đầu dây cáp được bịt bởi một thiết bị gọi là terminator. Các tín hiệu và
dữ liệu khi truyền đi dây cáp đều mang theo địa chỉ của nơi đến.
Hình 2: Mô hình mạng hình tuyến
[Type text]
Page 5
Bảo mật cho mạng LAN dùng Firewall
* Những ưu điểm của mạng hình tuyến
- Loại hình mạng này dùng dây ít nhất, dễ lắp đặt, giá rẻ.
* Những nhược điểm của mạng hình tuyến
- Sự ùn tắc giao thông khi di chuyển dữ liệu với dung lượng lớn.
- Khi có sự hỏng hóc ở một bộ phận nào đó thì rất khó phát hiện
- Ngừng trên đường dây để sửa chữa thì phải ngưng toàn bộ hệ thống nên cấu
trúc này ngày nay ít được sử dụng.
4. Mạng dạng vòng (Ring topology)
Mạng dạng này, được bố trí theo dạng xoay vòng, đường dây cáp được thiểt kế
làm thành một vòng khéo kín, tín hiệu được chạy theo một chiều nào đó. Các nút
truyền tín hiệu cho nhau mỗi thời điểm chỉ có một nút mà thôi. Dữ liệu truyền đi phải
kèm theo một địa chỉ cụ thể của mỗi trạm tiếp nhận.
* Ưu điểm của mạng dạng vòng
- Mạng dạng vòng có thuận lợi là nó có thể mở rộng mạng ra xa hơn, tổng
đường dây cần thiết ít hơn so với hai kiểu trên.
- Mỗi trạm có thể đạt được tốc độ tối đa khi truy nhập.
* Nhược điểm của mạng dạng vòng
- Đường dây phải khép kín, nếu bị ngắt ở một thời điểm nào dó thì toàn hệ
thống cũng bị ngưng.
Hình 3: Mô hình mạng dạng vòng
[Type text]
Page 6
Bảo mật cho mạng LAN dùng Firewall
5. Mạng dạng kết hợp
Kết hợp hình sao và tuyến (Star/ Bus topology) . Cấu hình mạng dạng này có
bộ phận tách tín hiệu (Spiter) giữ vai trò thiết bị trung tâm, hệt hống dây cáp mạng có
thể chọn hoặc Ring topology hoặc Linear Bus topology. Lợi điểm của cấu hình này là
mạng có thể gồm nhiều nhóm làm việc ở cách xa nhau, ARCNE là mạng dạng kết
hợp Star/ Bus Topology . Cấu hình dạng này đưa lại sự uyển chuyển trong việc bố trí
các đường dây tương thích dễ dàng với bất cứ toà nhà nào.
Kết hợp hình sao và vòng (Star/ Ring topology). Cấu hình dạng kết hợp Star/
Ring topology), có một thẻ bài liên lạc (Token) được chuyển vòng quanh một cái Hub
trung tâm. Mỗi trạm làm việc (Workstation) được nối với Hub – là cầu nối giữa các
trạm làm việc và để tăng khoảng cách cần thiết.
II. Các phương pháp truy nhập đường truyền
Khi được cài đặt vào trong mạng máy tính thì các máy trạm phải tuân thủ theo
những quy tắc định trước để có thể sử dụng đường truyền, đó là phương thức truy
nhập đường truyền. Phương thức truy nhập đường truyền và nó được định nghĩa là
các thủ tục điều hướng trạm làm việc làm thế nào và lúc nào có thể thâm nhập vào
đường dây cáp gửi hay nhận các gói thông tin. Có 3 phương thức cơ bản như sau:
1. Giao thức CSMA/CD (carrier Sense Multiple Access with Collision
Detection)
Giao thức này thường được dùng cho mạng có cấu trúc hình tuyến, các máy
trạm cùng chia sẻ một kênh truyền thông chung, các trạm đều có cơ hội thâm nhập
đường truyền như nhau (Multiple Access).
[Type text]
Page 7
Bảo mật cho mạng LAN dùng Firewall
Tuy nhiên tại một thời điểm thì chỉ có một trạm được truyền dữ liệu mà thôi,
trước khi truyền dữ liệu, mỗi trạm phải lắng nghe đường truyền để chắc chắn rằng
đường truyền đang rỗi (carrier Sense). Nếu gặp đường truyền rỗi mới được truyền.
Trong trường hợp hai trạm thực hiện việc truyền dữ liệu đồng thời, lúc này khả
năng xẩy ra xung đột dữ liệu sẽ là rất cao. Các trạm tham gia phải phát hiện được sự
xung đột và thông báo tới các trạm khác gây ra xung đột (Collision Dection), đồng
thời các trạm phải ngừng thâm nhập truyền dữ liệu ngay, chờ đợi lần sau trong
khoảng thời gian ngẫu nhiên nào đó rồi mới tiếp tục truyền tiếp.
Khi lưu lượng các gói dữ liệu cần di chuyển trên mạng quá cao, thì việc xung
đột có thể xẩy ra với số lượng lớn dẫn đến làm chậm tốc độ truyền thông tin của hệ
thống.
2. Giao thức truyền thẻ bài
Giao thức này thường được dùng trong các mạng LAN có cấu trúc dạng vòng
sử dụng kỹ thuật chuyển thẻ bài (token) để cấp phát quyền truy nhập đường truyền dữ
liệu đi.
Thẻ bài ở đây là một đơn vị dữ liệu đặc biệt, có kích thước và nội dung (gồm
các thông tin điều khiển ) được quy định riêng cho mỗi giao thức. Trong đường dây
cáp liên tục có một thẻ bài chạy quanh trong mạng.
Phần dữ liệu của thẻ bài có một bít biểu diễn trạng thái sử dụng của nó (Bận
hoặc rỗi). Trong thẻ bài có chữa một địa chỉ đích và mạng dạng xoay vòng thì trật tự
của sự truyền thẻ bài tương đương với trật tự vật lý của trạm xung quanh vòng. Một
trạm muốn truyền dữ liệu thì phải đợi đến khi nhận được một thẻ bài rỗi, khi đó trạm
sẽ đổi bít trạng thái của thẻ bài thành bận, nén gói dữ liệu có kèm theo địa chỉ nơi
nhận vào thẻ bài và truyền đi theo chiều của vòng. thẻ bài lúc này trở thành khung
mang dữ liệu. Trạm đích sau khi nhận khung mang dữ liệu này sẽ copy dữ liệu vào bộ
đệm rồi tiếp tục truyền khung theo vòng nhưng thêm một thông tin xác nhận. Trạm
[Type text]
Page 8
Bảo mật cho mạng LAN dùng Firewall
nguồn nhận lại khung của mình (theo vòng) đã nhận đúng, rồi bít bận thành bít rỗi và
truyền thẻ bài đi.
Vì thẻ bài chạy vòng quanh trong mạng kín và có một thẻ nên việc đụng độ dữ
liệu không thể xẩy ra. Do vậy hiệu suất truyền dữ liệu của mạng không thay đổi, trong
các giao thức này cần giải quyết hai vấn đề có thể dấn đến phá vỡ hệ thống. Một là
việc mất thẻ bài làm cho trên vòng không còn thẻ bài lưu chuyển nữa. Hai là một thẻ
bài tuân thủ đúng sự phân chia của môi trường mạng, hoạt động dựa vào sự xoay
vòng tới các trạm. Việc truyền thẻ bài sẽ không thực hiện được nếu việc xoay vòng bị
đứt đoạn. Giao thức phải chữa các thủ tục kiểm tra thẻ bài để cho phép khôi phục lại
thẻ bài bị mất hoặc thay thế trạng thái của thẻ bài và cung cấp các phương tiện để sửa
đổi logic (thêm vào, bớt đi hoặc định lại trật tự của các trạm).
3. Giao thức FDDL
FDDL là kỹ thuật dùng các mạng có cấu trúc vòng, chuyển thẻ bài tốc độ cao
bằng phương tiện cáp sợi quang.
FDDL sử dụng cơ chế chuyển thẻ bài trong vòng tròn khép kín. Lưu thông trên
mạng FDDL bao gồm 2 luồng giống nhau theo hai hướng ngược nhau. FDDL thường
được sử dụng với hai mạng trục trên đó những mạng LAN công suất thấp có thể nối
vào. Các mạng LAN đòi hỏi tốc độ truyền dữ liệu cao và dài băng thông lớn cũng có
thể sử dụng FDDL.
Hình 4: Cấu trúc mạng dạng vòng của FDDL
[Type text]
Page 9
Bảo mật cho mạng LAN dùng Firewall
III. Phân đoạn mạng LAN
1. Mục đích phân đoạn mạng LAN
Mục đích của phân chia băng thông hợp lý đáp ứng nhu cầu của các ứng dụng
trong mạng. Đồng thời tận dụng hiệu quả nhất băng thông đang có. Để thực hiện tốt
điều này cần hiểu rõ khái niệm : Miền xung đột(Collition domain) và miền quảng bá
(Broadcast domain)
* Miền xung đột (còn gọi là miền băng thông – Bandwith domain)
Như đã miêu tả trong hoạt động của Ethernet, hiện tượng xung đột xảy ra khi
hai trạm trong cùng một phân đoạn mạng đồng thời truyền khung, Miền xung đột
được định nghĩa là vùng mạng mà trong đó các khung phát ra có thể gây xung đột với
nhau. Càng nhiều trạm trong cùng một miền cung đột thì sẽ làm tăng sự xung đột và
làm giảm tốc độ đường truyền. Vì thế mà miền xung đột còn có thể gọi là miền băng
thông (các trạm trong cùng miền này sẽ chia sẻ băng thông của miền).
Khi sử dụng các thiết bị kết nối khác nhau, ta sẽ phân chia mạng thành các
miền xung đột và miền quảng bá khác nhau.
2. Phân đoạn bằng Repeater
Thực chất repeater không phân đoạn mạng mà chỉ mở rộng đoạn mạng về mặt
vật lý. Nói chính xác thì repeater cho phép mở rộng miền xung đột.
[Type text]
Page 10
Bảo mật cho mạng LAN dùng Firewall
Hình 5 : Kết nối mạng Ethernet 10 Base T sử dụng Hub
Hệ thống mạng 10 Base T sử dụng Hub như là một bộ repeater nhiều cổng.
Các máy trạm cùng nối một Hub sẽ thuộc cùng một miền xung đột.
Giả sử 8 trạm nối cùng một Hub 10 Base T tốc độ 10Mb/s, vì tại một thời
điểm chỉ có một trạm được truyền khung nên băng thông trung bình mỗi trạm có được
là : 10 Mb/s : 8 trạm=1,25 Mbps /1 trạm
Hình sau minh hoạ miền xung đột và miền quảng bá khi sử dụng repeater:
Hình 6: Miền xung đột và miền quảng bá khi phân đoạn mạng bằng
Repeater
[Type text]
Page 11
Bảo mật cho mạng LAN dùng Firewall
Một điều cần chú ý khi sử dụng repeater để mở rộng mạng thì khoảng cách xa
nhất giữa 2 trạm sẽ bị hạn chế. Trong hoạt động của Ethernet trong cùng một miền
xung đột, giá trị slotTime sẽ quy định việc kết nối các thiết bị, việc sử dụng nhiều
repeater làm tăng giá trị trễ truyền khung vượt quá giá trị cho phép gây ra hoạt động
không đúng trong mạng.
Hình 7: Quy định việc sử dụng Repeater để liên kết mạng
3. Phân đoạn mạng bằng cầu nối
Cầu nối hoạt động ở tầng 2 trong mô hình OSI, nó có khả năng kiểm tra phần
địa chỉ MAC trong khung và dựa vào địa chỉ nguồn, địa chỉ đích nó sẽ ra quyết định
đẩy khung này tới đâu. Quan trọng là qua đó ta có thể liên kết các miền xung đột với
nhau trong cùng một miền quảng bá mà các miền xung đột này vẫn độc lập với nhau.
Hình 8: Việc truyền tin diễn ra bên A không diễn ra bên B
[Type text]
Page 12
Bảo mật cho mạng LAN dùng Firewall
Khác với trường hợp sử dụng repeater ở trên, băng thông lúc này chỉ bị chia sẻ
trong từng miền xung đột, mỗi máy tính trạm được sử dụng nhiều băng thông hơn,
lợi ích khác của việc sử dụng cầu nối là ta có hai miền xung đột riêng biệt nên mỗi
miền có riêng giá trị slottime do vậy có thể mở rộng tối đa cho từng miền
Hình 9: Miền xung đột và miền quảng bá với việc sử dụng Bridge
Tuy nhiên việc sử dụng cầu nối bị giới hạn bởi quy tắc 80/20, theo quy tắc này
thì cầu nối chỉ hoạt động hiệu quả khi chỉ có 20 % tải của phân đoạn đi qua cầu, 80%
là tải trọng nội bộ phân đoạn.
Hình 10: Quy tắc 80/20 đối với việc sử dụng Bridge
[Type text]
Page 13
Bảo mật cho mạng LAN dùng Firewall
4. Phân đoạn mạng bằng router
Router hoạt động ở tầng 3 trong mô hình OSI, nó có khả năng kiểm tra header
của gói IP nên đưa ra quyết định, đơn vị dữ liệu mà các bộ định tuyến thao tác là các
bộ định tuyến đồng thời tạo ra các miền xung đột và miền quảng bá riêng biệt
Hình 11: Phân đoạn mạng bằng Router
5. Phân đoạn mạng bằng bộ chuyển mạch
Bộ chuyển mạch là thiết bị phức tạp nhiều cổng cho phép cấu hình theonhiều
cách khác nhau. Có thể cấu hình để cho nó trở thành nhiều cầu ảo như sau:
Hình 12: Có thể cấu hình bộ chuyển mạch thành nhiều cấu hình ảo
[Type text]
Page 14
Bảo mật cho mạng LAN dùng Firewall
Bảng tổng kết thực hiện phân đoạn mạng bằng các thiết bị kết nối khác nhau
Thiết bị
Miền xung đột
Miền quảng bá
Repeater
Một
Một
Bridge
Nhiều
Một
Router
Nhiều
Nhiều
Switch
Nhiều
Một hoặc Nhiều
IV. Các chế độ chuyển mạch trong LAN
Như phần trên đã trình bày, bộ chuyển mạch cung cấp khả năng tương tự như
cầu nối, nhưng có khả năng thích ứng tốt hơn trong trường hợp phải mở rộng quy
mô, cũng như trong trường hợp phải cải thiện hiệu suất vận hành của toàn mạng. Bộ
chuyển kết nối nhiều đoạn mạng hoặc thiết bị thực hiện chức năng của nó bằng cách
xây dựng và duy trì một cơ sở dữ liệu danh sách các cổng và các phân đoạn mạng kết
nối tới. Khi một khung tin gửi tới, bộ chuyển mạch sẽ kiểm tra địa chỉ đích có trong
khung tin. Sau đó tìm số cổng tương ứng trong cơ sở dữ liệu để gửi khung tin đến
đúng cổng, cách thức vận chuyển khung tin cho hai chế độ chuyển mạch:
• Chuyển mạch lưu – và - chuyển (store- and- forward switching)
• Chuyển mạch ngay (cut – through switch)
[Type text]
Page 15
- Xem thêm -