Tài liệu Bảo mật cho mạng lan dùng firewall

Bảo mật cho mạng LAN dùng Firewall LỜI CẢM ƠN Đầu tiên em xin gửi lời cảm ơn sâu sắc đến thầy Đỗ Đình Hưng, thầy đã tận tình chỉ bảo và hướng dẫn em trong suốt quá trình thực tập và làm đồ án để em hoàn thành tốt đồ án tốt nghiệp của mình! Tiếp đến em xin gửi lời cảm ơn chân thành đến các thầy cô trong khoa Công Nghệ Điện Tử - Thông Tin, các thầy cô trong trường Đại học Mở Hà Nội đã dày công dạy dỗ em luôn luôn tạo cho chúng em một môi trường học tập tốt trong suốt những năm học tại trường. [Type text] Page 1 Bảo mật cho mạng LAN dùng Firewall Nhận xét của giáo viên : …………………………………………………………………………………… …………………………………………………………………………………… …………………………………………………………………………………… …………………………………………………………………………………… …………………………………………………………………………………… …………………………………………………………………………………… …………………………………………………………………………………… …………………………………………………………………………………… …………………………………………………………………………………… …………………………………………………………………………………… …………………………………………………………………………………… …………………………………………………………………………………… …………………………………………………………………………………… …………………………………………………………………………………… …………………………………………………………………………………… …………………………………………………………………………………… ………………………………………………………………………… [Type text] Page 2 Bảo mật cho mạng LAN dùng Firewall Mục lục Chương 1: TỔNG QUAN VỀ MẠNG MÁY TÍNH 1 I II III Lịch sử mạng máy tính……………………………………………………..... 1 Khái niệm cơ bản về mạng máy tính….……………………………………... 2 Kiến thức cơ bản về mạng LAN…..…………………………….................... 3 Chương 2: TỔNG QUAN VỀ MẠNG LAN 4 I Các khái niệm cơ bản………………………………………………………... 4 1 2 3 4 5 II 1 2 3 III 1 2 3 4 5 IV 1 2 Cấu trúc topology của mạng...……………………………………………..… Mạng hình sao.………………………..……………………………………... Mạng trục tuyến tính……………..………………………………………….. Mạng dạng vòng..……..……………………………………………………... Mạng dạng kết hợp………………..…………………………………………. Các phương pháp truy nhập đường truyền………..…………………………. Giao thức CSMA/CD ……………………………………………………….. Giao tức truyền thẻ bài………………………………………………………. Giao thức FDDL...…………………………………………………………… Phân đoạn mạng LAN …………………………………………………......... Mục đích phân đoạn mạng LAN…………………………………………….. Phân đoạn bằng Repeater……………………………………………………. Phân đoạn bằng Bridge …………………………...………………………… Phân đoạn bằng Router……………………………………………………… Phân đoạn bằng Switch……………………………………………………… Các chế độ chuyển mạch trong mạng LAN………………………………… Chuyển mạch lưu và chuyển………………………………………………… Chuyển mạch ngay………………………………………………………….. Chương 3: PHƯƠNG PHÁP THIẾT KẾ MẠNG LAN 4 4 5 6 7 7 7 8 9 10 10 10 12 14 14 15 16 16 17 I Những vấn đề cần lưu ý……………………………………………………... 17 II Những yêu cầu cần thiết khi thiết kế……………………………………….... 17 Chương 4: THIẾT KẾ MẠNG LAN CHO CÔNG TY TIN HỌC 19 I 1 2 3 Tổ chức hành chính và cấu trúc địa lý của công ty………………………….. Tổ chức hành chính của công ty …………………………………………… Cấu trúc địa lý của công ty ………………………………………………… Thực trạng mạng hiện nay của công ty………..…………………………… [Type text] 19 19 19 20 Page 3 Bảo mật cho mạng LAN dùng Firewall II 1 2 3 4 5 6 III 1 1 Lựa chọn giải pháp thiết kế và các thiết bị cần thiết………………………... Lựa chọn giải pháp kỹ thuật………………………………………………… Lựa chọn kiến trúc mạng...…………………………………………………. Lựa chọn đường truyền dẫn…….………………………………………….. Lựa chọn thiết bị….………………………………………………………. Lựa chọn hệ điều hành…..……………………………………………….. Các phần mềm cần thiết……………………………………………………. Thiết kế sơ đồ mạng……………………………………………………...... Sơ đồ mạng ở dạng vật lý………………………………………………....... Sơ đồ mạng ở dạng logic…………………………………………………... Chương 5: CÀI ĐẶT VÀ KIỂM TRA MẠNG I II 1 a b III IV V VI Cài đặt hệ điều hành cho server…………………………………………….. Cài đặt các dịch vụ mạng và các giao thức..……………………………….... Cài đặt dịch vụ DHCP……………………………………………………… Cài đặt DHCP………………………………………………………………. Cấu hình DHCP…………………………………………………………….. Tạo domain controller(DC) trên Windows server 2003…………………….. Lắp đặt máy tính và các thiết bị ngoại vi……………………………………. Chia sẻ tài nguyên máy con………………………………………………….. Kiểm tra sự kết nối vận hành gói tin………………………………………… KẾT LUẬN ĐỀ TÀI I 1 2 II 1 2 Đánh giá chung………………………………………………………………. Đánh giá về mặt lý thuyết…………………………………………………… Đánh giá về mặt ứng dụng, mở rộng hệ thống ……………………………… Hướng phát triển, mở rộng của đề tài……………………………………….. Định hướng nghiên cứu……………………………………………………… Định hướng phát triển ứng dụng…………………………………………….. LỜI KẾT [Type text] 20 20 20 21 21 22 22 23 23 25 26 26 26 26 27 32 38 51 51 53 54 54 54 54 54 55 55 56 Page 4 Bảo mật cho mạng LAN dùng Firewall LỜI MỞ ĐẦU Có thể nói ngày nay trong khoa học máy tính không lĩnh vực nào có thể quan trọng hơn lĩnh vực nối mạng. Mạng máy tính là hai hay nhiều máy tính được kết nối với nhau theo một cách nào đó sao cho chúng có thể trao đổi thông tin qua lại với nhau, dung chung hoặc chia sẽ dữ liệu thông qua việc in ấn hay sao chép qua đĩa mềm, CDroom…. Vì vậy hạ tầng mạng máy tính là phần không thể thiếu trong các tổ chức hay các công ty. Trong điều kiện kinh tế hiện nay hầu hết đa số các tổ chức hay công ty có phạm vi sử dụng bị giới hạn bởi diện tích và mặt bằng đều triển khai xây dựng mạng LAN để phục vụ cho việc quản lý dữ liệu nội bộ cơ quan mình được thuận lợi, đảm bảo tính an toàn dữ liệu cũng như tính bảo mật dữ liệu mặt khác mạng Lan còn giúp các nhân viên trong tổ chức hay công ty truy nhập dữ liệu một cách thuận tiện với tốc độ cao. Một điểm thuận lợi nữa là mạng LAN còn giúp cho người quản trị mạng phân quyền sử dụng tài nguyên cho từng đối tượng là người dùng một cách rõ ràng và thuận tiện giúp cho những người có trách nhiệm lãnh dậo công ty dễ dang quản lý nhân viên và điều hành công ty. Mục đích mà em chọn đề tài này là giúp cho các nhân viên trong công ty hoặc doanh nghiệp có thể trao đổi thông tin, chia sẻ thêm dữ liệu.. giúp cho công việc của các nhân viên thêm thuận tiện và năng suất lao động sẽ đạt hiệu quả rất cao và làm được điều này thì các doanh nghiệp sẽ rất có lợi cho việc cơ cấu tổ chức các phòng ban, và hơn nữa là sẽ giảm chi phí cho các doanh nghiệp một khoản chi phí rất lớn. Việc xây dựng đề tài thiết kế mạng LAN cho công ty cũng giúp cho chúng em rất nhiều cho công việc sau này: Củng cố thêm kiến thức , kinh nghiệm thiết kế các mô hình cách quản lý, hơn thế nữa là thông qua đề tài này nó sẽ cung cấp cho chúng em có thêm cái nhìn sâu hơn nữa về ngành công nghệ thông tin và có thể ứng dụng sâu rộng vào trong thực tế cuộc sống chúng ta. [Type text] Page 5 Bảo mật cho mạng LAN dùng Firewall Chương 1 : TỔNG QUAN VỀ MẠNG MÁY TÍNH I. Lịch sử mạng máy tính Máy tính của thập niên 1940 là các thiết bị cơ-điện tử lớn và rất dễ hỏng. Sự phát minh ra transister bán dẫn vào năm 1947 tạo ra cơ hội để làm ra chiếc máy tính nhỏ và đáng tin cậy hơn. Năm 1950, các máy tính lớn mainframe chạy bởi các chương trình ghi trên thẻ đục lỗ (punched card) bắt đầu được dùng trong các học viện lớn. Điều này tuy tạo nhiều thuận lợi với máy tính có khả năng được lập trình nhưng cũng có rất nhiều khó khăn trong việc tạo ra các chương trình dựa trên thẻ đục lỗ này. Vào cuối thập niên 1950, người ta phát minh ra mạch tích hợp (IC) chứa nhiều transitor trên một mẫu bán dẫn nhỏ, tạo ra một bước nhảy vọt trong việc chế tạo các máy tính mạnh hơn, nhanh hơn và nhỏ hơn. Đến nay, IC có thể chứa hàng triệu transistor trên một mạch. Vào cuối thập niên 1960, đầu thập niên 1970, các máy tính nhỏ được gọi là minicomputer bắt đầu xuất hiện. Năm 1977, công ty máy tính Apple Computer giới thiệu máy vi tính cũng được gọi là máy tính cá nhân (personal computer - PC). Năm 1981, IBM đưa ra máy tính cá nhân đầu tiên. Sự thu nhỏ ngày càng tinh vi hơn của các IC đưa đến việc sử dụng rộng rãi máy tính cá nhân tại nhà và trong kinh doanh. Vào giữa thập niên 1980, người sử dụng dùng các máy tính độc lập bắt đầu chia sẻ các tập tin bằng cách dùng modem kết nối với các máy tính khác. Cách thức này được gọi là điểm nối điểm, hay truyền theo kiểu quay số. Khái niệm này được mở rộng bằng cách dùng các máy tính là trung tâm truyền tin trong một kết nối quay số. Các máy tính này được gọi là sàn thông báo (bulletin board). Các người dùng kết nối đến sàn thông báo này, để lại đó hay lấy đi các thông điệp, cũng như gửi lên hay tải về các tập tin. Hạn chế của hệ thống là có rất ít hướng truyền tin, và chỉ với những ai biết [Type text] Page 1 Bảo mật cho mạng LAN dùng Firewall về sàn thông báo đó. Ngoài ra, các máy tính tại sàn thông báo cần một modem cho mỗi kết nối, khi số lượng kết nối tăng lên, hệ thống không thề đáp ứng được nhu cầu. Qua các thập niên 1950, 1970, 1980 và 1990, Bộ Quốc phòng Hoa Kỳ đã phát triển các mạng diện rộng WAN có độ tin cậy cao, nhằm phục vụ các mục đích quân sự và khoa học. Công nghệ này khác truyền tin điểm nối điểm. Nó cho phép nhiều máy tính kết nối lại với nhau bằng các đường dẫn khác nhau. Bản thân mạng sẽ xác định dữ liệu di chuyển từ máy tính này đến máy tính khác như thế nào. Thay vì chỉ có thể thông tin với một máy tính tại một thời điểm, nó có thể thông tin với nhiều máy tính cùng lúc bằng cùng một kết nối. Sau này, WAN của Bộ Quốc phòng Hoa Kỳ đã trở thành Internet. II. Khái niệm cơ bản về mạng máy tính Nói một cách cơ bản, mạng máy tính là hai hay nhiều máy tính được kết nối với nhau theo một cách nào đó sao cho chúng có thể trao đổi thông tin qua lại với nhau. Mạng máy tính ra đời xuất phát từ nhu cầu muốn chia sẻ và dùng chung dữ liệu .Không co hệ thống mạng thì dữ liệu trên các máy tính độc lập muốn chia sẻ với nhau phải thông qua việc in ấn sao chép qua đĩa mềm, CD ROM.. gây rất nhiều bất tiện cho người dùng. Các máy tính được kết nối thành mạng cho phép các khả năng: + Sử dụng chung các công cụ tiện ích +Chia sẻ kho dữ liệu dùng chung + Tăng độ tin cậy của hệ thống + Trao đổi thông điệp, hình ảnh + Dùng chung các thiết bị ngoại vi(máy in, máy vẽ, Fax, modem...) + Giảm thiểu chi phí và thời gian đi lại [Type text] Page 2 Bảo mật cho mạng LAN dùng Firewall III. Kiến thức cơ bản về mạng LAN Mạng cục bộ LAN là hệ truyền thông tốc độ cao được thiết kế để kết nối các mạng các máy tính và các thiết bị xử lý dữ liệu khác cùng hoạt động với nhau trong một khu vực địa lý nhỏ như ở một tằng của tòa nhà,trong một khu nhà hoặc trong nội bộ của một tổ chức,công ty….. một số mạng LAN có thể kết nối lại với nhau trong một khu làm việc. Các mạng LAN trở lên thông dụng vì nó cho phép những người sử dụng dùng chung những tài nguyên quan trọng như máy in màu,ổ đĩa CD-ROM, các phần mềm ứng dụng và những thông tin cần thiết khác.Trước khi phát triển công nghệ LAN các máy tính là độc lập với nhau, bị hạn chế bởi số lượng các chương trình tiện ích, sau khi kết nối mạng rõ ràng hiệu quả của chúng tăng lên gấp bội. Để tận dụng hết những ưu điểm của mạng LAN người ta đã kết nối các LAN riêng biệt vào mạng chính yếu diện rộng (WAN).Các thiết bị gắn với mạng LAN đều dùng chung một phương tiện truyền tin đó là dây cáp (hữu tuyến) đó là: cáp đồng trục (Coaxial cable), cáp đôi dây xoắn (shielded twisted pair), cáp quang( Fiber optic),….hoặc truyền qua môi trường vô tuyến như Wimax,WiFi…. [Type text] Page 3 Bảo mật cho mạng LAN dùng Firewall Chương 2 : TỔNG QUAN VỀ MẠNG LAN I. Các khái niệm cơ bản 1. Cấu trúc topo của mạng Cấu trúc topo (network topology) của mạng LAN là kiến trúc hình học thể hiện cách bố trí các đường dây cáp, sắp xếp các máy tính để kết nối thành mạng hoàn chỉnh. Hầu hết các mạng LAN ngày nay đều được thiết kế để hoạt động dựa trên một cấu trúc mạng định tuyến, dạng vòng cùng với những cấu trúc kết hợp của chúng. 2. Mạng hình sao (star topology) Mạng hình sao bao gồm một bộ kết nối trung tâm và các nút. Các nút này là các trạm đầu và cuối, các máy tính và các thiết bị khác của mạng. Bộ nối trung tâm của mạng điều phối mọi hoạt động trong mạng. Mạng hình sao cho phép kết nối các máy tính và một bộ trung tâm (Hub) bằng cáp, giải pháp này cho phép nối trực tiếp máy tính với Hub không cần thông qua trục Bus, tránh được các yếu tố gây ngưng trệ mạng. Hình 1: Cấu trúc mạng hình sao Mô hình kết nối mạng hình sao ngày nay đã trở nên hết sức phổ biến. Với việc sử dụng các bộ tập trung hoặc chuyển mạch, cấu trúc mạng hình sao có thể được mở rộng mạng bằng cách tổ chức nhiều mức phân cấp, do vậy dễ dàng trong việc quản lý và vận hành. [Type text] Page 4 Bảo mật cho mạng LAN dùng Firewall * Những ưu điểm của mạng hình sao - Hoạt động theo nguyên lý nối song song nên có một thiết bị nào đó ở một nút thông tin bị hỏng thì mạng vẫn hoạt động bình thường. - Cấu trúc mạng đơn giản và các thuật toán điều khiển ổn định - Mạng có thể dễ dàng mở rộng hoặc thu hẹp * Những nhược điểm của mạng hình sao - Khả năng mở rộng mạng hoàn toàn phụ thuộc vào khả năng của thiết bị - Trung tâm có sự cố thì toàn mạng ngưng hoạt động - Mạng yêu cầu nối độc lập riêng rẽ từng thiết bị ở các nút thông tin đến trung tâm , khoảng cách từ máy trung tâm rất hạn chế (100 m) 3. Mạng hình tuyến Bus (Bus topology) Thực hiện theo cách bố trí hành lang, các máy tính và các thiết bị khác – các nút mạng đều được nối với nhau trên một trục đường dây cáp chính để chuyển tải tín hiệu. Tất cả các nút đều sử dụng chung đường dây cáp chính này. Phía hai đầu dây cáp được bịt bởi một thiết bị gọi là terminator. Các tín hiệu và dữ liệu khi truyền đi dây cáp đều mang theo địa chỉ của nơi đến. Hình 2: Mô hình mạng hình tuyến [Type text] Page 5 Bảo mật cho mạng LAN dùng Firewall * Những ưu điểm của mạng hình tuyến - Loại hình mạng này dùng dây ít nhất, dễ lắp đặt, giá rẻ. * Những nhược điểm của mạng hình tuyến - Sự ùn tắc giao thông khi di chuyển dữ liệu với dung lượng lớn. - Khi có sự hỏng hóc ở một bộ phận nào đó thì rất khó phát hiện - Ngừng trên đường dây để sửa chữa thì phải ngưng toàn bộ hệ thống nên cấu trúc này ngày nay ít được sử dụng. 4. Mạng dạng vòng (Ring topology) Mạng dạng này, được bố trí theo dạng xoay vòng, đường dây cáp được thiểt kế làm thành một vòng khéo kín, tín hiệu được chạy theo một chiều nào đó. Các nút truyền tín hiệu cho nhau mỗi thời điểm chỉ có một nút mà thôi. Dữ liệu truyền đi phải kèm theo một địa chỉ cụ thể của mỗi trạm tiếp nhận. * Ưu điểm của mạng dạng vòng - Mạng dạng vòng có thuận lợi là nó có thể mở rộng mạng ra xa hơn, tổng đường dây cần thiết ít hơn so với hai kiểu trên. - Mỗi trạm có thể đạt được tốc độ tối đa khi truy nhập. * Nhược điểm của mạng dạng vòng - Đường dây phải khép kín, nếu bị ngắt ở một thời điểm nào dó thì toàn hệ thống cũng bị ngưng. Hình 3: Mô hình mạng dạng vòng [Type text] Page 6 Bảo mật cho mạng LAN dùng Firewall 5. Mạng dạng kết hợp Kết hợp hình sao và tuyến (Star/ Bus topology) . Cấu hình mạng dạng này có bộ phận tách tín hiệu (Spiter) giữ vai trò thiết bị trung tâm, hệt hống dây cáp mạng có thể chọn hoặc Ring topology hoặc Linear Bus topology. Lợi điểm của cấu hình này là mạng có thể gồm nhiều nhóm làm việc ở cách xa nhau, ARCNE là mạng dạng kết hợp Star/ Bus Topology . Cấu hình dạng này đưa lại sự uyển chuyển trong việc bố trí các đường dây tương thích dễ dàng với bất cứ toà nhà nào. Kết hợp hình sao và vòng (Star/ Ring topology). Cấu hình dạng kết hợp Star/ Ring topology), có một thẻ bài liên lạc (Token) được chuyển vòng quanh một cái Hub trung tâm. Mỗi trạm làm việc (Workstation) được nối với Hub – là cầu nối giữa các trạm làm việc và để tăng khoảng cách cần thiết. II. Các phương pháp truy nhập đường truyền Khi được cài đặt vào trong mạng máy tính thì các máy trạm phải tuân thủ theo những quy tắc định trước để có thể sử dụng đường truyền, đó là phương thức truy nhập đường truyền. Phương thức truy nhập đường truyền và nó được định nghĩa là các thủ tục điều hướng trạm làm việc làm thế nào và lúc nào có thể thâm nhập vào đường dây cáp gửi hay nhận các gói thông tin. Có 3 phương thức cơ bản như sau: 1. Giao thức CSMA/CD (carrier Sense Multiple Access with Collision Detection) Giao thức này thường được dùng cho mạng có cấu trúc hình tuyến, các máy trạm cùng chia sẻ một kênh truyền thông chung, các trạm đều có cơ hội thâm nhập đường truyền như nhau (Multiple Access). [Type text] Page 7 Bảo mật cho mạng LAN dùng Firewall Tuy nhiên tại một thời điểm thì chỉ có một trạm được truyền dữ liệu mà thôi, trước khi truyền dữ liệu, mỗi trạm phải lắng nghe đường truyền để chắc chắn rằng đường truyền đang rỗi (carrier Sense). Nếu gặp đường truyền rỗi mới được truyền. Trong trường hợp hai trạm thực hiện việc truyền dữ liệu đồng thời, lúc này khả năng xẩy ra xung đột dữ liệu sẽ là rất cao. Các trạm tham gia phải phát hiện được sự xung đột và thông báo tới các trạm khác gây ra xung đột (Collision Dection), đồng thời các trạm phải ngừng thâm nhập truyền dữ liệu ngay, chờ đợi lần sau trong khoảng thời gian ngẫu nhiên nào đó rồi mới tiếp tục truyền tiếp. Khi lưu lượng các gói dữ liệu cần di chuyển trên mạng quá cao, thì việc xung đột có thể xẩy ra với số lượng lớn dẫn đến làm chậm tốc độ truyền thông tin của hệ thống. 2. Giao thức truyền thẻ bài Giao thức này thường được dùng trong các mạng LAN có cấu trúc dạng vòng sử dụng kỹ thuật chuyển thẻ bài (token) để cấp phát quyền truy nhập đường truyền dữ liệu đi. Thẻ bài ở đây là một đơn vị dữ liệu đặc biệt, có kích thước và nội dung (gồm các thông tin điều khiển ) được quy định riêng cho mỗi giao thức. Trong đường dây cáp liên tục có một thẻ bài chạy quanh trong mạng. Phần dữ liệu của thẻ bài có một bít biểu diễn trạng thái sử dụng của nó (Bận hoặc rỗi). Trong thẻ bài có chữa một địa chỉ đích và mạng dạng xoay vòng thì trật tự của sự truyền thẻ bài tương đương với trật tự vật lý của trạm xung quanh vòng. Một trạm muốn truyền dữ liệu thì phải đợi đến khi nhận được một thẻ bài rỗi, khi đó trạm sẽ đổi bít trạng thái của thẻ bài thành bận, nén gói dữ liệu có kèm theo địa chỉ nơi nhận vào thẻ bài và truyền đi theo chiều của vòng. thẻ bài lúc này trở thành khung mang dữ liệu. Trạm đích sau khi nhận khung mang dữ liệu này sẽ copy dữ liệu vào bộ đệm rồi tiếp tục truyền khung theo vòng nhưng thêm một thông tin xác nhận. Trạm [Type text] Page 8 Bảo mật cho mạng LAN dùng Firewall nguồn nhận lại khung của mình (theo vòng) đã nhận đúng, rồi bít bận thành bít rỗi và truyền thẻ bài đi. Vì thẻ bài chạy vòng quanh trong mạng kín và có một thẻ nên việc đụng độ dữ liệu không thể xẩy ra. Do vậy hiệu suất truyền dữ liệu của mạng không thay đổi, trong các giao thức này cần giải quyết hai vấn đề có thể dấn đến phá vỡ hệ thống. Một là việc mất thẻ bài làm cho trên vòng không còn thẻ bài lưu chuyển nữa. Hai là một thẻ bài tuân thủ đúng sự phân chia của môi trường mạng, hoạt động dựa vào sự xoay vòng tới các trạm. Việc truyền thẻ bài sẽ không thực hiện được nếu việc xoay vòng bị đứt đoạn. Giao thức phải chữa các thủ tục kiểm tra thẻ bài để cho phép khôi phục lại thẻ bài bị mất hoặc thay thế trạng thái của thẻ bài và cung cấp các phương tiện để sửa đổi logic (thêm vào, bớt đi hoặc định lại trật tự của các trạm). 3. Giao thức FDDL FDDL là kỹ thuật dùng các mạng có cấu trúc vòng, chuyển thẻ bài tốc độ cao bằng phương tiện cáp sợi quang. FDDL sử dụng cơ chế chuyển thẻ bài trong vòng tròn khép kín. Lưu thông trên mạng FDDL bao gồm 2 luồng giống nhau theo hai hướng ngược nhau. FDDL thường được sử dụng với hai mạng trục trên đó những mạng LAN công suất thấp có thể nối vào. Các mạng LAN đòi hỏi tốc độ truyền dữ liệu cao và dài băng thông lớn cũng có thể sử dụng FDDL. Hình 4: Cấu trúc mạng dạng vòng của FDDL [Type text] Page 9 Bảo mật cho mạng LAN dùng Firewall III. Phân đoạn mạng LAN 1. Mục đích phân đoạn mạng LAN Mục đích của phân chia băng thông hợp lý đáp ứng nhu cầu của các ứng dụng trong mạng. Đồng thời tận dụng hiệu quả nhất băng thông đang có. Để thực hiện tốt điều này cần hiểu rõ khái niệm : Miền xung đột(Collition domain) và miền quảng bá (Broadcast domain) * Miền xung đột (còn gọi là miền băng thông – Bandwith domain) Như đã miêu tả trong hoạt động của Ethernet, hiện tượng xung đột xảy ra khi hai trạm trong cùng một phân đoạn mạng đồng thời truyền khung, Miền xung đột được định nghĩa là vùng mạng mà trong đó các khung phát ra có thể gây xung đột với nhau. Càng nhiều trạm trong cùng một miền cung đột thì sẽ làm tăng sự xung đột và làm giảm tốc độ đường truyền. Vì thế mà miền xung đột còn có thể gọi là miền băng thông (các trạm trong cùng miền này sẽ chia sẻ băng thông của miền). Khi sử dụng các thiết bị kết nối khác nhau, ta sẽ phân chia mạng thành các miền xung đột và miền quảng bá khác nhau. 2. Phân đoạn bằng Repeater Thực chất repeater không phân đoạn mạng mà chỉ mở rộng đoạn mạng về mặt vật lý. Nói chính xác thì repeater cho phép mở rộng miền xung đột. [Type text] Page 10 Bảo mật cho mạng LAN dùng Firewall Hình 5 : Kết nối mạng Ethernet 10 Base T sử dụng Hub Hệ thống mạng 10 Base T sử dụng Hub như là một bộ repeater nhiều cổng. Các máy trạm cùng nối một Hub sẽ thuộc cùng một miền xung đột. Giả sử 8 trạm nối cùng một Hub 10 Base T tốc độ 10Mb/s, vì tại một thời điểm chỉ có một trạm được truyền khung nên băng thông trung bình mỗi trạm có được là : 10 Mb/s : 8 trạm=1,25 Mbps /1 trạm Hình sau minh hoạ miền xung đột và miền quảng bá khi sử dụng repeater: Hình 6: Miền xung đột và miền quảng bá khi phân đoạn mạng bằng Repeater [Type text] Page 11 Bảo mật cho mạng LAN dùng Firewall Một điều cần chú ý khi sử dụng repeater để mở rộng mạng thì khoảng cách xa nhất giữa 2 trạm sẽ bị hạn chế. Trong hoạt động của Ethernet trong cùng một miền xung đột, giá trị slotTime sẽ quy định việc kết nối các thiết bị, việc sử dụng nhiều repeater làm tăng giá trị trễ truyền khung vượt quá giá trị cho phép gây ra hoạt động không đúng trong mạng. Hình 7: Quy định việc sử dụng Repeater để liên kết mạng 3. Phân đoạn mạng bằng cầu nối Cầu nối hoạt động ở tầng 2 trong mô hình OSI, nó có khả năng kiểm tra phần địa chỉ MAC trong khung và dựa vào địa chỉ nguồn, địa chỉ đích nó sẽ ra quyết định đẩy khung này tới đâu. Quan trọng là qua đó ta có thể liên kết các miền xung đột với nhau trong cùng một miền quảng bá mà các miền xung đột này vẫn độc lập với nhau. Hình 8: Việc truyền tin diễn ra bên A không diễn ra bên B [Type text] Page 12 Bảo mật cho mạng LAN dùng Firewall Khác với trường hợp sử dụng repeater ở trên, băng thông lúc này chỉ bị chia sẻ trong từng miền xung đột, mỗi máy tính trạm được sử dụng nhiều băng thông hơn, lợi ích khác của việc sử dụng cầu nối là ta có hai miền xung đột riêng biệt nên mỗi miền có riêng giá trị slottime do vậy có thể mở rộng tối đa cho từng miền Hình 9: Miền xung đột và miền quảng bá với việc sử dụng Bridge Tuy nhiên việc sử dụng cầu nối bị giới hạn bởi quy tắc 80/20, theo quy tắc này thì cầu nối chỉ hoạt động hiệu quả khi chỉ có 20 % tải của phân đoạn đi qua cầu, 80% là tải trọng nội bộ phân đoạn. Hình 10: Quy tắc 80/20 đối với việc sử dụng Bridge [Type text] Page 13 Bảo mật cho mạng LAN dùng Firewall 4. Phân đoạn mạng bằng router Router hoạt động ở tầng 3 trong mô hình OSI, nó có khả năng kiểm tra header của gói IP nên đưa ra quyết định, đơn vị dữ liệu mà các bộ định tuyến thao tác là các bộ định tuyến đồng thời tạo ra các miền xung đột và miền quảng bá riêng biệt Hình 11: Phân đoạn mạng bằng Router 5. Phân đoạn mạng bằng bộ chuyển mạch Bộ chuyển mạch là thiết bị phức tạp nhiều cổng cho phép cấu hình theonhiều cách khác nhau. Có thể cấu hình để cho nó trở thành nhiều cầu ảo như sau: Hình 12: Có thể cấu hình bộ chuyển mạch thành nhiều cấu hình ảo [Type text] Page 14 Bảo mật cho mạng LAN dùng Firewall Bảng tổng kết thực hiện phân đoạn mạng bằng các thiết bị kết nối khác nhau Thiết bị Miền xung đột Miền quảng bá Repeater Một Một Bridge Nhiều Một Router Nhiều Nhiều Switch Nhiều Một hoặc Nhiều IV. Các chế độ chuyển mạch trong LAN Như phần trên đã trình bày, bộ chuyển mạch cung cấp khả năng tương tự như cầu nối, nhưng có khả năng thích ứng tốt hơn trong trường hợp phải mở rộng quy mô, cũng như trong trường hợp phải cải thiện hiệu suất vận hành của toàn mạng. Bộ chuyển kết nối nhiều đoạn mạng hoặc thiết bị thực hiện chức năng của nó bằng cách xây dựng và duy trì một cơ sở dữ liệu danh sách các cổng và các phân đoạn mạng kết nối tới. Khi một khung tin gửi tới, bộ chuyển mạch sẽ kiểm tra địa chỉ đích có trong khung tin. Sau đó tìm số cổng tương ứng trong cơ sở dữ liệu để gửi khung tin đến đúng cổng, cách thức vận chuyển khung tin cho hai chế độ chuyển mạch: • Chuyển mạch lưu – và - chuyển (store- and- forward switching) • Chuyển mạch ngay (cut – through switch) [Type text] Page 15