Hệ thống bảo mật của mạng WiFi

Bảo mật trong mạng WiFi

I. Giới thiệu

Sự phát triển không ngừng của mạng WiFi trong vài năm gần đây gần giống như sự bùng nổ của Internet trong những thập kỷ qua. Tuy nhiên mạng WiFi vẫn là một mạng rất dễ bị tấn công. Từ năm 1997 đến bây giờ, rất nhiều nghiên cứu nhằm tăng cường tính bảo mật của mạng WiFi đã được thực hiện. Môi trường không dây là một môi trường chia sẻ (shared medium) trong đó thông tin truyền đi có thể dể dàng bị thu lại (intercepted). Do đó, bảo vệ thông tin truyền trên kênh không dây là một yêu cầu cấp thiết.

Chuẩn WiFi IEEE 802.11 ban đầu sử dụng giao trình WEP (Wired Equivalent Privacy) để bảo mật thông tin. Giao trình này có thuận lợi là rất dể cài đặt và quản lí. Tuy nhiên, WEP lại chứa đựng nhiều yếu điểm và dễ bị tấn công. Tiếp theo sau đó, IEEE 802.1x đã được sử dụng để hạn chế những yếu điểm của WEP. Tiếp theo giao trình WEP2 cũng đã được cải tiến từ WEP ban đầu bằng cách tăng thêm chiều dài của Initialization Vector và chiều dài của mã khóa (encryption key). Tuy nhiên cải tiến đáng kể cho bảo mật củaWiFi thì phải nhắc đến WPA (Wifi Protected Access). Thực tế, WPA là một giải pháp tạm thời để đáp ứng yêu cầu tức thời của thị trường trước khi chuẩn 802.11i ra đời. IEEE 802.11i còn được biết đến như là WPA2 đã được chuẩn hóa từ giữa năm 2004.

II. Bảo mật bằng WEP (Wired Equivalent Privacy)

WEP là một thuật toán bảo nhằm bảo vệ sự trao đổi thông tin chống lại sự nghe trộm, chống lại những nối kết mạng không được cho phép cũng như chống lại việc thay đổi hoặc làm nhiễu thông tin truyền.WEP sử dụng stream cipher RC4 cùng với một mã 40 bit và một số ngẫu nhiên 24 bit (initialization vector – IV) để mã hóa thông tin. Thông tin mã hóa được tạo ra bằng cách thực hiện operation XOR giữa keystream và plain text. Thông tin mã hóa và IV sẽ được gửi đến người nhận. Người nhận sẽ giải mã thông tin dựa vào IV và khóaWEP đã biết trước. Sơ đồ mã hóa được miêu tả bởi hình 1.

Hình 1: Sơ đồ mã hóa bằng WEP

Những điểm yếu về bảo mật của WEP

+ WEP sử dụng khóa cố định được chia sẻ giữa một Access Point (AP) và nhiều người dùng (users) cùng với một IV ngẫu nhiên 24 bit. Do đó, cùng một IV sẽ được sử dụng lại nhiều lần. Bằng cách thu thập thông tin truyền đi, kẻ tấn công có thể có đủ thông tin cần thiết để có thể bẻ khóaWEP đang dùng.

+ Một khi khóa WEP đã được biết, kẻ tấn công có thể giải mã thông tin truyền đi và có thể thay đổi nội dung của thông tin truyền. Do vậy WEP không đảm bảo được confidentiality và integrity.

+ Việc sử dụng một khóa cố định được chọn bởi người sử dụng và ít khi được thay đổi (tức có nghĩa là khóa WEP không được tự động thay đổi) làm cho WEP rất dễ bị tấn công.

+ WEP cho phép người dùng (supplicant) xác minh (authenticate) AP trong khi AP không thể xác minh tính xác thực của người dùng. Nói một cách khác, WEP không cung ứng mutual authentication.

III. Bảo mật bằng WPA (Wifi Protected Access )

WPA là một giải pháp bảo mật được đề nghị bởi WiFi Alliance nhằm khắc phục những hạn chế của WEP. WPA được nâng cấp chỉ bằng một update phần mềm SP2 của microsoft.

WPA cải tiến 3 điểm yếu nổi bật của WEP :

+ WPA cũng mã hóa thông tin bằng RC4 nhưng chiều dài của khóa là 128 bit và IV có chiều dài là 48 bit. Một cải tiến của WPA đối với WEP là WPA sử dụng giao thức TKIP (Temporal Key Integrity Protocol) nhằm thay đổi khóa dùng AP và user một cách tự động trong quá trình trao đổi thông tin. Cụ thể là TKIP dùng một khóa nhất thời 128 bit kết hợp với địa chỉ MAC của user host và IV để tạo ra mã khóa. Mã khóa này sẽ được thay đổi sau khi 10 000 gói thông tin được trao đổi.

+ WPA sử dụng 802.1x/EAP để đảm bảo mutual authentication nhằm chống lại man-in-middle attack. Quá trình authentication của WPA dựa trên một authentication server, còn được biết đến với tên gọi RADIUS/ DIAMETER. Server RADIUS cho phép xác thực user trong mạng cũng như định nghĩa những quyền nối kết của user. Tuy nhiên trong một mạngWiFi nhỏ (của công ty hoăc trường học), đôi khi không cần thiết phải cài đặt một server mà có thể dùng một phiên bản WPA- PSK (pre-shared key). Ý tưởng của WPA-PSK là sẽ dùng một password (Master Key) chung cho AP và client devices. Thông tin authentication giữa user và server sẽ được trao đổi thông qua giao thức EAP (Extensible Authentication Protocol). EAP session sẽ được tạo ra giữa user và server đêr chuyển đổi thông tin liên quan đến identity của user cũng như của mạng. Trong quá trình nàyAP đóng vai trò là một EAP proxy, làm nhiệm vụ chuyển giao thông tin giữa server và user. Những authentication messages chuyển đổi được miêu tả trong hình 2.

Hình 2: Messages trao đổi trong quá trình authentication.

+ WPA sử dụng MIC (Michael Message Integrity Check ) để tăng cường integrity của thông tin truyền. MIC là một message 64 bit được tính dựa trên thuật tóan Michael. MIC sẽ được gửi trong gói TKIP và giúp người nhận kiểm tra xem thông tin nhận được có bị lỗi trên đường truyền hoặc bị thay đổi bởi kẻ phá hoại hay không.

Tóm lại, WPA được xây dựng nhằm cải thiện những hạn chế của WEP nên nó chứa đựng những đặc điểm vượt trội so với WEP. Đầu tiên, nó sử dụng một khóa động mà được thay đổi một cách tự động nhờ vào giao thức TKIP. Khóa sẽ thay đổi dựa trên người dùng, session trao đổi nhất thời và số lượng gói thông tin đã truyền. Đặc điểm thứ 2 làWPA cho phép kiểm tra xem thông tin có bị thay đổi trên đường truyền hay không nhờ vào MIC message. Và đăc điểm nối bật thứ cuối là nó cho phép multual authentication bằng cách sử dụng giao thức802.1x.

Những điểm yếu của WPA.

– Điểm yếu đầu tiên của WPA là nó vẫn không giải quyết được denial-of-service (DoS) attack [5]. Kẻ phá hoại có thể làm nhiễu mạng WPA WiFi bằng cách gửi ít nhất 2 gói thông tin với một khóa sai (wrong encryption key) mỗi giây. Trong trường hợp đó, AP sẽ cho rằng một kẻ phá hoại đang tấn công mạng và AP sẽ cắt tất cả các nối kết trong vòng một phút để trách hao tổn tài nguyên mạng. Do đó, sự tiếp diễn của thông tin không được phép sẽ làm xáo trộn hoạt động của mạng và ngăn cản sự nối kết của những người dùng được cho phép (authorized users).

– Ngoài ra WPA vẫn sử dụng thuật tóan RC4 mà có thể dễ dàng bị bẻ vỡ bởi FMS attack đề nghị bởi những nhà nghiên cứu ở trường đại học Berkeley [6]. Hệ thống mã hóa RC4 chứa đựng những khóa yếu (weak keys). Những khóa yếu này cho phép truy ra khóa encryption. Để có thể tìm ra khóa yếu của RC4, chỉ cần thu thập một số lượng đủ thông tin truyền trên kênh truyền không dây.

– WPA-PSK là một biên bản yếu của WPA mà ở đó nó gặp vấn đề về quản lý password hoăc shared secret giữa nhiều người dùng. Khi một người trong nhóm (trong công ty) rời nhóm, một password/secret mới cần phải được thiết lập.

IV. Tăng cường bảo mật với chuẩn 802.11i

Chuẩn 802.11i được phê chuẩn vào ngày 24 tháng 6 năm 2004 nhằm tăng cường tính mật cho mạng WiFi. 802.11i mang đầy đủ các đặc điểm của WPA. Tập hợp những giao thức của 802.11i còn được biết đến với tên gọi WPA 2. Tuy nhiên, 802.11i sử dụng thuật toán mã hóa AES (Advanced Encryption Standard) thay vì RC4 như trong WPA. Mã khóa của AES có kích thước là 128, 192 hoặc 256 bit. Tuy nhiên thuật toán này đổi hỏi một khả năng tính toán cao (high computation power). Do đó, 802.11i không thể update đơn giản bằng software mà phải có một dedicated chip. Tuy nhiên điều này đã được ước tính trước bởi nhiều nhà sản xuất nên hầu như các chip cho card mạngWifi từ đầu năm 2004 đều thích ứng với tính năng của 802.11i.

V. Kết luận

Trên con đường đi từ WEP đển 802.11i, rất nhiều concept vể bảo mật đã ra đời. Có 6 concept cơ bản về bảo mật của một mạng viễn thông, đó là : Identification, authentication, authorization, confidentiality, integrity & non-repudiation .WEP đã thất bại về mặt bảo mật vì nó đã được xây dựng mà không tính đến những concept này. Tuy nhiên phải nhìn nhận rằng lúc WEP ra đời người ta đã không lường được sự phát triển bùng nổ của mạng không dây nên bảo mật của WEP lúc đó rất đơn giản. Bây giờ 802.11i đã ra đời để tăng cường bảo mật cho mạng không dây Wifi. Tuy nhiên 802.11i (WPA2) chỉ có thể software upgrade nếu hardware có thể đáp ứng AES . Nếu không thì phải cần hardware upgrade để có thể sử dụng 802.11i. Và ngoài ra những sản phẩm thích ứng với 802.11i lại không thể thích ứng vớiWEP.

Tài liệu tham khảo
[1] William A. Arbaugh, Narendar Shankar, Y.C. Justin Wan, “Your 802.11 Wireless Network has No Clothes”, March 2001.
[2] Marco Casole, “WLAN security – Status, Problems and Perspective”, Ericsson Enterprise AB
[3] Stubblefield, A., Ioannidis, J., Rubin, A., “Using the Fluhrer, Mantin, and Shamir Attack to Break WEP”, ATT Labs Technical Report, August 2001.
[4] LANCOM techpaper “WPA and IEEE 802.11i”, 2004.
[5] IEEE, “Issues in Pre-Standard IEEE 802.11i Implementations”, http://www.drizzle.com/~aboba/IEEE/prestand.html
[6] Scott Fluhrer, Itsik Mantin, Adi Shamir, “Weaknesses in the Key Scheduling Algorithm of RC4”.
[7] Wifi Alliance, http://wi-fi.org .

Mạng Wi-Fi dễ dàng bị tấn công trong 60 giây

Sau khi đánh bại được hệ thống bảo vệ kết nối Internet không dây, kẻ đột nhập có thể lưu lại mật khẩu, ăn cắp thông tin nhạy cảm hoặc tải nội dung khiêu dâm.

Nhiều gia đình vẫn ưa chuộng cơ chế mã hóa WEP (Wireless (phải đổi lại là Wired mới đúng) Equivalent Protection) để ngăn người khác dùng trộm Wi-Fi của họ, dù giới bảo mật từng khuyến cáo về những lỗ hổng trong hệ thống này.

Trước đây, hacker cần ít nhất 20 phút mới xâm nhập được vào mạng không dây do WEP bảo vệ. Tuy nhiên, 3 chuyên gia nghiên cứu mật mã thuộc Đại học kỹ thuật Darmstadt (Đức) vừa công bố chương trình Aircrack-ptw giúp khai thác hệ thống nhanh hơn nhiều.

“Sẽ không ngoa nếu khẳng định hacker chỉ mất 60 giây và cùng lắm là 5 phút để đột nhập. WEP đã hết thời và mọi người không nên tin tưởng công nghệ đó nữa”, chuyên gia Erik Tews cảnh báo.

(theo vnexpress/BBC).

Bài báo này bổ sung cho những gì được trình bày ở bài viết trên về bảo mật WEP và WPA. Tuy nhiên nếu nói WPA không thể hiện điểm yếu đáng kể nào như bài báo thì không chính xác. Chí ít thì trên bài viết trên, có ít nhất 3 điểm yếu của WPA được chỉ ra.

Mình nhìn qua thì thấy có bài survey này viết có vẻ dễ đọc. Trước tiên họ phân tích các threat trong WLAN, sau đó trình bày các phương pháp bảo vệ (cơ bản). Tuy nhiên bài báo này viết năm 2003, từ đó đến nay cũng 5 năm rồi. Cũng có thể mình thấy dễ đọc vì mình chưa biết rõ về lĩnh vực này nên đọc các survey kiểu này thấy hiểu “tương đối rõ” ngọn ngành của vấn đề và giải pháp. Còn những người đã chuyên sâu có thể sẽ thấy “nhạt như nước ốc”.

http://www.itsec.gov.cn/webportal/download/75.pdf (mình khuyên bạn nên đọc bài này)

Bài này cũng viết theo kiểu survey, ngắn gọn hơn nhưng cũng viết năm 2003 thôi:

http://www.usr.com/download/whitepap…ecurity-wp.pdf

Còn nếu muốn biết kỹ và tìm các thông tin cập nhật nhất thì chắc bạn phải tìm 1 cuốn sách nào đó viết về security trong wlan hoặc những bài báo gần đây về vấn đề này, hoặc nhờ một chuyên gia nào đó chỉ bảo.

À, còn một điều nữa là trong bảo mật rất khó xác định mức độ “NHẤT”. Cái nhất ở đây phụ thuộc vào từng hoàn cảnh, yêu cầu … Nếu là máy tính cá nhân với những dữ liệu thông thường thì với các phương pháp bảo mật A,B,C có thể là quá đủ nhưng với một máy tính lưu giữ các thông tin tối quan trọng (của quốc gia chẳng hạn) thì cần phải thêm các phương pháp D,E,F … nữa. Cái “nhất” còn phụ thuộc vào sự cân bằng của “tam giác chết”: “cost-technique-performance”, thế nên câu trả lời hay nhận được trong những trường hợp này là “It depends on …. ” , một câu trả lời có thể coi là “nhiều khả năng đúng”.

Trích:

Nguyên văn bởi tran_gia_bao Em cảm ơn! Theo anh chị thì khã năng tấn công vào kiểu xác thực radius server bằng offline-dictionary là khã thi không ? Anh chị giới thiệu cho em một vài tools để thực hiện bài lab này với !? Em đọc ở những nơi khác, người ta toàn là nói thôi, mà không ai nêu cụ thể “what tools & how to do ” hết.

Xem một cái demo này xem người ta crack 128-bit khóa trong vòng 60 giây nhé. Bạn thử tìm cái KisMAC này về test thử xem http://video.google.com/videoplay?do…70869716&hl=en

Còn crack key WEP thì như trở bàn tay thôi. Xem demo đây nhé

http://www.milw0rm.com/video/watch.php?id=1
http://youtube.com/watch?v=MQu0FjZGudM&search=wep
http://youtube.com/watch?v=G38PD5FyUxE&search=wep
http://youtube.com/watch?v=4IpOS27J5a8&search=wep
http://youtube.com/watch?v=Dl672fq_dfY&search=wep
http://youtube.com/watch?v=4IpOS27J5a8&search=wepReply

Ở đây có một slide tổng hợp các loại attack, xem để cảnh giác nhé http://www.blackhat.com/presentation…-05-hurley.pdf

Còn đây là hướng dẫn crack WPA/WPA2 bằng offline-dictionary http://swik.net/CRACK+WiFi

Trích:

Nguyên văn bởi trongthinh2304 Hehe, bác Thịnh nhà ta đã cáo quan về làm Nông rân òi. Chắc là để ẵm cái rải thưởng của VNTelecom đấy.

Cậu thì chỉ được mỗi cái hay bibo linh tinh thôi

Trích:

Nguyên văn bởi tran_gia_bao Em xin nói thêm một tí. Dựa trên lý thuyết thì mô hình bảo mật an toàn nhất của WLAN là sự kết hợp các phương pháp bảo mật nhỏ lại với nhau (wep, wpa,wpa2, firewall, vpn, radius server, lọc MAC address). Hic…nhưng trong thực tế, em hỏng biết người ta kết hợp như thế nào nữa và tại sao người ta kết hợp như vậy !!?? Các anh chị giúp em với !!

Kết hợp vì bảo mật cũng ở nhiều mức độ (level) khác nhau. Mỗi giải pháp nhằm phục vụ một mục đích khác nhau, nên kết hợp chúng lại thì sẽ an toàn hơn (kiểu nhà có đến 2-3 cửa và khóa vậy)

Ví dụ lọc MAC thì chỉ cho địa chỉ MAC nào đó các quyền truy nhập vào AP/network, tuy nhiên giải pháp này không thể áp dụng trong phạm vi nhỏ với vài máy tính/thiết bị đã biết rõ địa chỉ MAC. Vả lại việc bắt chước (cấu hình lại địa chỉ MAC) cũng như trở bàn tay thôi. Chỉ cần tôi nghe lén vào gói tin thì có thể biết chú kia dùng địa chỉ MAC gì, tôi bắt chước lại thế là access vào ngon lành.

Bạn phải chọn 1 trong những cái này WEP/WPA/WP2. Nó liên quan đến chứng nhận thực khi access vào mạng cũng như key encryption data.

Nếu là công ty thì người ta hay dùng thêm VPN và firewall để bảo mật thông tin truyền đi. Lỡ có bị crack cái WEP/WPA/WPA2 thì thằng hacker cũng chỉ có thể kết nối thông qua AP, nhưng không thâm nhập vào được mạng nội bộ, không biết được thông tin trao đổi là gì.

Để bảo vệ tính toàn vẹn của gói tin truyền người ta có thể dùng đến MAC hay HMAC….

Cấu hình xác thực bằng RADIUS server

Mạng WLAN bản thân nó là không bảo mật, tuy nhiên đối với mạng có dây nếu bạn không có 1 sự phòng ngừa hay cấu hình bảo vệ gì thì nó cũng chẳng bảo mật gì. Điểm mấu chốt để tạo ra 1 mạng WLAN bảo mật là phải triển khai các phương pháp bảo mật thiết yếu cho WLAN để giúp cho hệ thống mạng của mình được an toàn hơn.
Trong bài LAB này ta sẽ thảo luận các đặc điểm và cách cấu hình RADIUS server. Nhằm ngăn chặn những truy cập mạng trái phép mà mình không mong muốn. Khi đó client muốn truy cập vào mạng thì phải đăng nhập đúng user name và password hợp lợi. Quá trình xác thực này được điều khiển bởi RADIUS server.

Mô tả yêu cầu:
• Cấu hình RADIUS server trên Win 2003, tạo user và password cho các client dự định tham gia vào mạng
• Bật tính năng xác thực EAP Authentication với RADIUS server trên AP Aironet ( bằng webpage và CLI).
• Cho PC tham gia vào mạng, kiểm tra kết nối.

Thiết bị yêu cầu : 1 Access point Aironet 1131, 3 pc có gắn card wireless, 1 pc làm RADIUS server.

Các bước thực hiện :

1. Cấu hình RADIUS server trên win 2003:
• Cài đặt phần mềm Cisco Secure ACS v3.2 trên pc chạy win 2003 để làm server.
Double click vào file setup.exe trong thư mục chứa phần mềm ACS để tiến hành cài đặt. Màn hình setup hiện ra :

Check vào tất cả các mục để cài đặt ACS, tiếp theo nhấn Next :

Authenticate Users Using : chọn thiết bị tương ứng mà ta sử dụng. Ở đây do ta sử dung Access point là Aironet nên ta chọn là RADIUS (Cisco Aironet).
Access Server Name: tùy chọn đặt tên cho thiết bị. Ta nên đặt trùng tên với Access point mà ta muốn cấu hình để dễ phân biệt.
Access Server IP Address: Địa chỉ IP của AP mà ta cần cấu hình để PC server có thể truy cập tới AP. Trong trường hợp này địa chỉ của AP là 192.168.1.254
Windown Server IP Address: địa chỉ IP của Server làm RADIUS. Chẳng hạn như 192.168.1.1
TACACS + or RADIUS Key: đặt key cho RADIUS server phải trùng với key của AP.
Nhấn Next để sang bước tiếp theo.

Các tùy chọn trong ACS. Ta nên chọn hết để có thể sử dụng hết các tính năng của ACS.
Nhấn Next và tiếp theo nhấn Finish để hoàn thành quá trình cài đặt .
• Tạo User và password :
Giao diện chính của ACS:

Click vào nút User Setup để tạo user

Đặt tên user tuỳ chọn cho client sử dụng để truy cập. Nhấn vào nút Add/Edit để thêm vào cấu hình. Ta có thể add nhiều user tuỳ theo nhu cầu.

Đặt Password cho user vừa tạo. xong nhấn nút Submit để hoàn tất .
• Ngoài ra ta có thể thay đổi cấu hình mạng ban đầu đã thiết lập trong quá trình cài đặt hoặc thêm cấu hình tùy chọn. bằng cách nhấn vào nút Network Configuration.

Ta có thể tạo cấu hình tùy mục đích sử dụng ở đây. Sau khi tạo xong nhấn Submit+Restart để hoàn tất cài đặt.
Lưu ý : Phần mềm ACS đòi hỏi phải chạy trên môi trường Java. Do đó trước khi cài đặt yêu cầu phải cài Java Runtime Environment.
Sau khi setup ACS xong thì khi mở trình duyệt ACS vẫn chưa chạy. Khi đó ta chọn Tool > Internet Option > Security , chọn levlels Low để cho phép java start

2. Bật tính năng xác thực EAP Authentication với RADIUS server trên AP Aironet:

+Thực hiện trên webpage:
• Đặt địa chỉ IP của PC trùng với địa chỉ của AP. Trường hợp này địa chỉ của AP là 192.168.1.254, ta đặt cho PC là 192.168.1.2
• Kết nối giữa PC với AP thông qua cáp thẳng
• Mở trình duyệt web lên, điền địa chỉ của AP là 192.168.1.254 vào thanh địa chỉ, màn hiện đăng nhập hiện ra yêu cầu nhập user name và password. mặc định user name là Cisco, Password là Cisco
Hinh đăng nhập user name và pass
• Giao diện chính của AP

Hình giao dien chính của AP

Chọn mục EXPRESS SECURITY

Hình trong mục EXPRESS SECURITY

Chọn SSID là vnpro
Chon mục Broadcast Beacon để quảng bá SSID
Chọn mục radisus
Đặt IP của server là 192.168.1.1
Đặt Secrect key trùng với key của server pc
nhấn apply => hoàn tất cài đặt.

+Cấu hình bằng CLI:

• Vào mode config bật tính năng AAA

ap(config)# aaa new-model

• Định nghĩa AAA Server Groups

ap(config)#aaa group server radius rad_eap
ap(config-sg-radius)#server 192.168.1.1 auth-port 1645 acct-port 1646

• Cho phép xác thực trên RADIUS

ap(config)#aaa authentication login eap_methods group rad_eap

• Tạo SSID và cho phép SSID đó tham gia xác thực RADIUS, đồng thời quảng bá SSID đó qua ngoài

ap(config)#dot11 ssid ap1
ap(config-ssid)#authentication open eap eap_methods
ap(config-ssid)#authentication network-eap eap_methods
ap(config-ssid)#guest-mode

• Chỉ ra địa chỉ IP của server, port dùng để Authentication Request, port dùng để accounting request và key :

ap(config)# radius-server host 192.168.1.1 auth-port 1645 acct-port 1646 key 123456

• Vào mode interface bât tính năng xác thực trên interface và cho phép quảng bá ssid ra interface này

ap(config)#interface dot11radio 0
ap(config-if)#encryption mode wep mandatory
ap(config-if)#ssid ap1
ap(config-if)#no shut
ap(config-if)#end
ap#wr

Cấu hình tham khảo:

ap#sh running-config
Building configuration.. .

Current configuration : 2430 bytes
!
version 12.3
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname ap
!
enable secret 5 $1$EdQk$vBu/6AkF37mOFlG07co 6i1
!
ip subnet-zero
!
!
aaa new-model
!
!
aaa group server radius rad_eap
server 192.168.1.1 auth-port 1645 acct-port 1646
!
aaa authentication login eap_methods group rad_eap
aaa session-id common
!
dot11 ssid ap2
authentication open eap eap_methods
authentication network-eap eap_methods
guest-mode
!
power inline negotiation prestandard source
–More– !
!
username Cisco password 7 047802150C2E
!
bridge irb
!
!
interface Dot11Radio0
no ip address
no ip route-cache
!
encryption mode wep mandatory
!
ssid ap2
!
speed basic-1.0 basic-2.0 basic-5.5 6.0 9.0 basic-11.0 12.0 18.0 24.0 36.0 48.0 54.0
station-role root
bridge-group 1
bridge-group 1 subscriber-loop-control
bridge-group 1 block-unknown-source
no bridge-group 1 source-learning
no bridge-group 1 unicast-flooding
–More– bridge-group 1 spanning-disabled
!
interface Dot11Radio1
no ip address
no ip route-cache
shutdown
speed basic-6.0 9.0 basic-12.0 18.0 basic-24.0 36.0 48.0 54.0
station-role root
bridge-group 1
bridge-group 1 subscriber-loop-control
bridge-group 1 block-unknown-source
no bridge-group 1 source-learning
no bridge-group 1 unicast-flooding
bridge-group 1 spanning-disabled
!
interface FastEthernet0
no ip address
no ip route-cache
–More– duplex auto
speed auto
bridge-group 1
no bridge-group 1 source-learning
bridge-group 1 spanning-disabled
hold-queue 160 in
!
interface BVI1
ip address 192.168.1.254 255.255.255.0
no ip route-cache
!
ip http server
no ip http secure-server
ip http help-path http://www.cisco.com/warp/public/779/smbiz…config/help/eag
ip radius source-interface BVI1
!
radius-server host 10.0.0.2 auth-port 1645 acct-port 1646 key 7 1446405858517C
!
control-plane
!
bridge 1 route ip
–More– !
!
!
line con 0
line vty 0 4
!
end

3. kiểm tra kết nối :
Trước khi cho PC tham gia vào mạng, bật tín năng xác thực trên trên card wireless

Trên PC tạo kết nối với mạng có SSID là ap1 vừa được thiết lập.

Click vào nút Add

tên SSID của mạng mà mình muốn kết nối, chọn kiểu xác thực là LEAP và đánh dấu chọn vào mục Prompt for user name and password . Nhấn OK

1 kết nối được tạo ra với mạng có SSID là ap1. Để kết nối với mạng trên, ta click chuột phải và chọn conect. Khi đó server sẽ tiến hành xác thực và yêu cầu mình nhập user name và password.

Nếu client nhập sai user name và password thì sẽ không kết nối tới mạng được. khi đó trên màn hình CLI của AP sẽ báo Authentication Failed. Và bắt buộc client phải đăng nhập lại. sau khi nhập đúng user name và password thì sẽ kết nối được
Để kiểm tra kết nối ta sẽ tiến hành Ping tới server, đặt địa chỉ IP của client trùng lớp mạng với server.

=>ping thành công, kết nối hoàn tất

[ Nguồn: VnPro biên soạn ]

Chứng chỉ MCSA là gì?

Nhiều người đã từng nghe nói đến MCP (Microsoft Certified Professional), nhưng vẫn còn khá nhiều người chưa biết MCSA là gì, “mặt mũi” ra sao? Bài viết xin phác họa vài nét về chứng chỉ này nhằm giúp bạn đọc có thêm thông tin.

Nhiều “track” và “specialization”

Trên website của Microsoft, MCSA (Microsoft Certified Systems Administrator) được giới thiệu là “chứng chỉ giúp nâng cao sự nghiệp của bạn thông qua việc khẳng định bạn có đủ kỹ năng để quản lý và chẩn đoán hỏng hóc những hệ thống chạy hệ điều hành Windows”. Nói nôm na, MCSA là chứng chỉ xác nhận khả năng quản trị mạng (của Microsoft). Hiện nay, bạn có hai chọn lựa về công nghệ (theo hệ điều hành): Windows 2000 hoặc Windows Server 2003.

Ứng với hai công nghệ nêu trên, bạn có hai “nhánh” (track) MCSA, mỗi nhánh yêu cầu những môn thi khác nhau. Mặc dù Microsoft vẫn công nhận “MCSA o­n Windows 2000”, nhưng có lẽ các bạn nên nhắm đến công nghệ mới hơn, vì bản thân chính Windows Server 2003 chẳng bao lâu nữa cũng trở thành “lạc hậu”. Do đó, chúng tôi không đi sâu giới thiệu “nhánh” cũ.

Nhánh “MCSA o­n Windows Server 2003” có ba hướng: MCSA “tổng quát” (gọi tắt là MCSA), MCSA chuyên biệt về truyền tin (gọi là MCSA: Messaging), MCSA chuyên biệt về bảo mật (gọi là MCSA: Security). Những hướng chuyên biệt (specialization) nhằm xác định những kỹ năng thuộc một lĩnh vực chuyên sâu nhất định, đồng thời phục vụ nhu cầu thực tế đang cần những chuyên gia thông thạo các kỹ năng ấy.

Để lấy được chứng chỉ MCSA, bạn phải thi đậu bốn môn:

• Hai môn thuộc nhóm “Networking System”: gồm Exam 70–290 (Managing and Maintaining a Microsoft Windows Server 2003 Environment) và Exam 70–291 (Implementing, Managing, and Maintaining a Microsoft Windows Server 2003 Network Infrastructure).

• Một môn thuộc nhóm “Client Operating System”: là Exam 70–270 (Installing, Configuring, and Administering Microsoft Windows XP Professional).

• Một môn tự chọn (gọi là elective exam), bạn có thể chọn môn về ISA Server hoặc SQL Server hoặc Exchange Server đều được.

Tên các môn thi khá dài, do đó mã số từng môn thường được dùng thay cho tên. Ngoài ra, bạn có thể dùng chứng chỉ MCDST hoặc cặp chứng chỉ A+ và Network+ của CompTIA để thay thế cho môn tự chọn (xem thêm tại http://www.microsoft.com/learning/mcp/mcsa/windows2003). Lệ phí thi tại Việt Nam hiện nay là 50 USD/môn, vậy ít nhất bạn phải chi 200 USD để thi MCSA (với điều kiện là không… rớt lần nào).

MCSA: Messaging yêu cầu bạn thi đậu bốn môn tương tự như MCSA “tổng quát”, riêng môn tự chọn thì bạn không được… tự chọn nữa, mà phải thi Exam 70-284 (Implementing and Managing Microsoft Exchange Server 2003). Chứng chỉ này xác nhận bạn không chỉ đủ khả năng của một MCSA mà còn thông thạo về máy chủ phục vụ thư điện tử (mail server).

Riêng anh chàng MCSA, Security đòi hỏi nhiều hơn: bạn phải thi năm môn, trong đó ba môn đầu giống MCSA. Hai môn “tự chọn” phải là: Exam 70-299 (Implementing and Administering Security in a Microsoft Windows Server 2003 Network) và Exam 70-227 (Installing, Configuring, and Administering Microsoft Internet Security and Acceleration Server 2000). Quả thật cụm từ “môn tự chọn” không còn đúng trong trường hợp này nữa.

Nhu cầu thực tế về MCSA

Nhiều bạn rất bối rối trước một rừng thông tin về chứng chỉ của Microsoft. Xin nói ngay, nếu bạn quan tâm đến lĩnh vực quản trị mạng thì chỉ cần tìm hiểu về MCP (mạng), MCSA và MCSE. Khi bạn thi đậu môn đầu tiên (để đạt được MCSA hay MCSE), bất kể đó là môn nào, bạn cũng được công nhận là MCP. Như vậy, cấp độ MCP không đủ cho những người thật sự quản trị một/nhiều mạng quy mô vừa và lớn.

Mặc dù đa số các bạn khi theo học đều muốn “đi đến cùng” – tức trở thành MCSE – nhưng điều đó không cần thiết cho số đông. Công việc hiện nay mà các nhà tuyển dụng đang cần nhiều đòi hỏi kỹ năng của MCSA, và khả năng ấy là “đủ xài”. Thực tế chỉ cần một số lượng MCSE không lớn, vì các doanh nghiệp cần người “quản trị” nhiều hơn là người “thiết kế” mạng.

eChip

Internetworking Concepts Overview (2)

quá trình đóng gói

OSI Encapsulation & De-encapsulationNhư đã nói ở bài trên, OSI có 7 lớp để dễ dàng phát triển. Vậy dữ liệu truyền trong 7 lớp đó như thế nào?-Nói chung, dữ liệu khi ở nguồn (source) sẽ đi từ lớp cao xuống lớp thấp(encapsulation). Sau đó được truyền trên đường truyền(media) rồi đến đích cần gửi. Tại đích đến, dữ liệu sẽ lại được đưa ngược từ lớp thấp lên lớp cao(de-encapsulation).

–Data Encapsulation:

+Do chúng ta đang bàn về Cisco Certified, nên đi theo quan điểm của Cisco. Theo Cisco thì ở từng lớp sẽ có một cách gọi dữ liệu riêng, và gọi đó là 1 đơn vị dữ liệu (PDU-Protocol Data Unit) tại lớp đó.

+Dữ liệu do người dùng gửi đi lúc đầu sẽ được chuyển qua 3 lớp Application, Presentation, Transport và sẽ được gọi là DATA. Cisco gom lai do họ không mặn mà lắm về 3 lớp trên này.

+Data sau đó được chuyển xuống lớp Transport, được gắn thêm header và được gọi là SEGMENT. Header ở lớp Transport chủ yếu gồm source port và dest port. Port dùng để chỉ ra 2 host đang dùng loại application nào.

+Segment lại được đưa xuống lớp Network, tiếp tục được gắn thêm header và được gọi là PACKET. Header ở lớp Network chủ yếu là địa chỉ luận lí của source & dest., chỉ ra protocol của lớp Transport. Do dùng service của layer ngay bên dưới nó nên phải biết lớp trên nó dùng gì.

+Packet lại tiếp tục đi xuống lớp Data link, ở đây packet được gắn thêm header & trailer, biến thành FRAME. Do Datalink có 2 lớp nhỏ, nên được gắn 2 lần Header và trailer như sau:

-Ở LLC(chuẩn 802.2): header chủ yếu là source & dest. Service Access Point (SAP). SAP chỉ ra protocol mà lớp Network đang dùng(IP= 06, IPX= E0). Ngày nay do càng nhiều giao thức lớp 3 được ra đời, nên IEEE (tổ chức chuyên lo về điện và điện tử) đã đưa ra tiếp khái niệm Subnetwork Access Protocol (SNAP). SNAP là tương tự như SAP, nhưng cho nhiều số hơn thôi. SNAP có khi SourceSAP và Dest.SAP được gán giá trị AA.

-Ở MAC sublayer (chuẩn 802.3 cho Ethernet, 802.5 cho Token Ring): header chủ yếu là source và dest. MAC address, ngoài ra còn có Preamble để máy tính nhận biết sự bắt đầu của frame, trailer ở đây là Frame Check Sequence (FCS) dùng để kiểm tra lỗi có xảy ra với frame hay không.

+Frame sau đó được gắn thêm header ở lớp Physical, rồi chuyển hoá ra dạng BIT truyền đi. Thật ra header ở đây chỉ là chuỗi bit, xác định xem đang truyền trên loại cable nào mà thôi. Sau đó bit được truyền đến dest.

Đó là quy trình encapsulation của dữ liệu. Các PDU nói ở trên còn có tên gọi khác dễ nhớ hơn nhưng không được khuyến khích cho lắm đó là LxPDU (VD: Packet: L3PDU, Frame: L2PDU)

–Data De-encapsulation: khi được chuyển đến dest. thì PDU được chuyển từ dưới lên, ở lớp nào thì lớp đó sẽ gỡ header (và trailer nếu có) ra và xử lí. Rồi gửi phần ruột bên trong lên lớp trên nó.

Tham khảo: CCDA Certification Guide, ICDN course của NetG, RFC1700 về Assigned Number. Các bạn có thể tìm thông tin về RFC tại http://www.rfc-editor.org/rfcsearch.html.

CSMA/CD

CSMA/CD (Carrier Sense Multiple Access / Collision Detection) : Trong môi trường MultiAccess(các thiết bị dùng chung 1 dây dẫn, như mạng bus) rất dễ xảy ra xung đột. Phuơng thức CSMA/CD được sinh ra để giảm thiểu điều đấy, có thể trả giá làm chậm đường truyền.

Với phương thức này các thiết bị phải thực hiện chế độ listen-before-transmit (nghe trước khi truyền). Tức là trước khi truyền dữ liệu, nó phải kiểm tra xem liệu là đường dẫn đó có busy ko? Nếu busy thì nó đợi tiếp, còn nếu rỗi thì nó sẽ bắt đầu vừa truyền vừa nghe cho đến khi truyền hết.

Nếu xảy ra xung đột thì sao (với đường dẫn dài thì delay là rất lớn, thằng khác tưởng thằng này truyền xong rồi nên cứ truyền chẳng hạn), tất cả các thiết bị trong mạng gửi thêm 1 ít dữ liệu(gọi là jam signal, 64k thì phải) nhằm đảm bảo là tất cả các thiết bị đều nhận biết được xung đột này, ngừng truyền và thực hiện thuật toán backoff để tính toán thời gian dừng 1 cách ngẫu nhiên. Sau thời gian đó, thì các thiết bị trở lại chế độ listen-before-transmit và truyền dữ liệu.

Collision domain và Broadcast domain

Broadcast domain (được biểu thị là phần chấm đậm) và Collision domain – phần chấm sáng.

Collision domain: Miền xung đột được định nghĩa là các đoạn mạng Ethernet hay Fast Ethernet nằm giữa một cặp Bridge hay các thiết bị lớp 2 khác. Vì lý do đó toàn bộ lưu lượng chia sẻ chung đường tuyền kết nối đến thiết bị lớp 2. Trong miền xung đột một thiết bị gửi tín hiệu đến Hub (bộ tập trung) thì tất cả các thiết bị khác đều nhận được. Các Hub mở rộng Collision domain, trong khi đó các Bridge và Switch tạo ra các Collision domain.

Broadcast domain: Gọi là miền quảng bá, nó là một vùng trong đó thông tin được gửi tới tất cả các thiết bị được kết nối. Thiết bị giới hạn miền quảng bá là các Router. Và cũng chính Router tạo ra các miền quảng bá. Như vậy mỗi một giao diện của Router là một Broadcast domain. Một Broadcast domain có thể gồm nhiều Collision domain .
Ví dụ Ethernet LAN (Local Area Network) là các miền quảng bá, mọi thiết bị kết nối vào mạng LAN đều có thể gửi thông tin tới các thiết bị khác trong mạng. Ngoài ra các thiết bị như Repeater, Hub chúng mở rộng mạng LAN tức là mở rộng miền quảng bá. Các thiết bị như Bridge, Switch làm nhiệm vụ kết nối các LAN với nhau nên chỉ mở rộng miền quảng bá chứ không ngăn được các bản tin phát quảng bá.

Mac address

MAC (tiếng Anh: Media Access Control hay Medium Access Control có nghĩa là “điều khiển truy nhập môi trường”) là tầng con giao thức truyền dữ liệu – một phần của tầng liên kết dữ liệu trong mô hình 7 tầng OSI. Nó cung cấp các cơ chế đánh địa chỉ và điều khiển truy nhập kênh (channel access), các cơ chế này cho phép các trạm cuối (terminal) hoặc các nút mạng liên lạc với nhau trong một mạng, điển hình là mạng LAN hoặc MAN. Giao thức MAC không cần thiết trong liên lạc điểm-tới-điểm song công (full-duplex).
Tầng con MAC hoạt động với vai trò một giao diện giữa tầng con điều khiển liên kết lôgic LLC và tầng vật lý của mạng.
Tầng MAC cung cấp một cơ chế đánh địa chỉ được gọi là địa chỉ vật lý hoặc địa chỉ MAC. Đây là một con số được cấp một cách phân biệt cho từng bo mạch mạng, cho phép chuyển giao các gói dữ liệu tới đích trong một mạng con, nghĩa là một mạng vật lý không có các thiết bị định tuyến, ví dụ một mạng Ethernet.
MAC – Media access control thường được dùng như là một từ đồng nghĩa với giao thức đa truy nhập (multiple access protocol), do tầng con MAC cung cấp giao thức và các cơ chế điều khiển cần thiết cho một phương pháp truy nhập kênh nhất định (channel access method). Việc này cho phép nhiều trạm kết nối tới cùng một môi trường vật lý dùng chung môi trường đó. Ví dụ về các môi trường vật lý dùng chung là bus network, ring network, hub network, mạng không dây và các liên kết điểm-tới-điểm bán song công (half-duplex).
Các ví dụ về các giao thức đa truy nhập kiểu gói tin (packet mode) dành cho các mạng nối dây đa chặng (multi-drop):

• CSMA/CD (dùng trong Ethernet và IEEE 802.3),
• Token ring (IEEE 802.4)
• Token bus (IEEE 802.5)
• Token passing (dùng trong FDDI).

ARP và nguyên tắc làm việc trong mạng LAN

Như ta đã biết tại tầng Network của mô hình OSI , chúng ta thường sử dụng các loại địa chỉ mang tính chất quy ước như IP, IPX… Các địa chỉ này được phân thành hai phần riêng biệt là phần địa chỉ mạng (NetID) và phần địa chỉ máy ( HostID) . Cách đánh số địa chỉ như vậy nhằm giúp cho việc tìm ra các đường kết nối từ hệ thống mạng này sang hệ thống mạng khác được dễ dàng hơn. Các địa chỉ này có thể được thay đổi theo tùy ý người sử dụng.

Trên thực tế, các card mạng (NIC) chỉ có thể kết nối với nhau theo địa chỉ MAC, địa chỉ cố định và duy nhất của phần cứng. Do vậy ta phải có một cơ chế để chuyển đổi các dạng địa chỉ này qua lại với nhau. Từ đó ta có giao thức phân giải địa chỉ: Address Resolution Protocol (ARP).
Nguyên tắc làm việc của ARP trong một mạng LAN
Khi một thiết bị mạng muốn biết địa chỉ MAC của một thiết bị mạng nào đó mà nó đã biết địa chỉ ở tầng network (IP, IPX…) nó sẽ gửi một ARP request bao gồm địa chỉ MAC address của nó và địa chỉ IP của thiết bị mà nó cần biết MAC address trên toàn bộ một miền broadcast. Mỗi một thiết bị nhận được request này sẽ so sánh địa chỉ IP trong request với địa chỉ tầng network của mình. Nếu trùng địa chỉ thì thiết bị đó phải gửi ngược lại cho thiết bị gửi ARP request một gói tin (trong đó có chứa địa chỉ MAC của mình). Trong một hệ thống mạng đơn giản, ví dụ như PC A muốn gửi gói tin đến PC B và nó chỉ biết được địa chỉ IP của PC B. Khi đó PC A sẽ phải gửi một ARP broadcast cho toàn mạng để hỏi xem “địa chỉ MAC của PC có địa chỉ IP này là gì ?” Khi PC B nhận được broadcast này, nó sẽ so sánh địa chỉ IP trong gói tin này với địa chỉ IP của nó. Nhận thấy địa chỉ đó là địa chỉ của mình, PC B sẽ gửi lại một gói tin cho PC A trong đó có chứa địa chỉ MAC của B. Sau đó PC A mới bắt đầu truyền gói tin cho B.
Nguyên tắc hoạt động của ARP trong môi trường hệ thống mạng:
Hoạt động của ARP trong một môi trường phức tạp hơn đó là hai hệ thống mạng gắn với nhau thông qua một Router C. Máy A thuộc mạng A muốn gửi gói tin đến máy B thuộc mạng B. Do các broadcast không thể truyền qua Router nên khi đó máy A sẽ xem Router C như một cầu nối hay một trung gian (Agent) để truyền dữ liệu. Trước đó, máy A sẽ biết được địa chỉ IP của Router C (địa chỉ Gateway) và biết được rằng để truyền gói tin tới B phải đi qua C. Tất cả các thông tin như vậy sẽ được chứa trong một bảng gọi là bảng định tuyến (routing table). Bảng định tuyến theo cơ chế này được lưu giữ trong mỗi máy. Bảng định tuyến chứa thông tin về các Gateway để truy cập vào một hệ thống mạng nào đó. Ví dụ trong trường hợp trên trong bảng sẽ chỉ ra rằng để đi tới LAN B phải qua port X của Router C. Bảng định tuyến sẽ có chứa địa chỉ IP của port X. Quá trình truyền dữ liệu theo từng bước sau :
·Máy A gửi một ARP request (broadcast) để tìm địa chỉ MAC của port X.
· Router C trả lời, cung cấp cho máy A địa chỉ MAC của port X.
·Máy A truyền gói tin đến port X của Router.
·Router nhận được gói tin từ máy A, chuyển gói tin ra port Y của Router. Trong gói tin có chứa địa chỉ IP của máy B. Router sẽ gửi ARP request để tìm địa chỉ MAC của máy B.
·Máy B sẽ trả lời cho Router biết địa chỉ MAC của mình. Sau khi nhận được địa chỉ MAC của máy B, Router C gửi gói tin của A đến B.
Trên thực tế ngoài dạng bảng định tuyến này người ta còn dùng phương pháp proxyARP, trong đó có một thiết bị đảm nhận nhiệm vụ phân giải địa chỉ cho tất cả các thiết bị khác.Theo đó các máy trạm không cần giữ bảng định tuyến nữa Router C sẽ có nhiệm vụ thực hiện, trả lời tất cả các ARP request của tất cả các máy .

Hoạt động của Switch

I. Layer 2 Switch

Trong các hệ thống mạng dùng shared Ethernet, thiết bị hub thường được dùng. Nhiều host sẽ được kết nối như là một miền broadcast và miền xung đột (collision). Nói cách khác, các thiết bị shared Ethernet hoạt động ở L1.

Mỗi host lúc này phải chia sẽ băng thông sẵn có cho tất cả các host khác đang kết nối vào hub. Khi có một hoặc nhiều host cố gắng truyền ở một thời điểm, xung đột sẽ xảy ra; lúc này tất cả các host phải lui về và chờ một khoảng thời gian để truyền lại. Cơ chế này áp đặt kiểu hoạt động half-duplex cho các host, nghĩa là các host hoặc là truyền, hoặc là nhận ở một thời điểm. Thêm vào đó, khi một host gửi ra một frame, tất cả các host sẽ nghe frame đó.

Ở mức cơ bản nhất, một Ethernet switch sẽ tách các host kết nối vào nó theo những cách sau:

Mỗi collision domain sẽ bị giới hạn lại. Trên từng switchport, mỗi collision domain bao gồm chính port của switch đó và bao gồm các thiết bị kết nối vào port switch. Thiết bị kết nối này có thể là một host hoặc có thể là một hub khác.

Các host có thể hoạt động ở chế độ fullduplex bởi vì không có sự cạnh tranh trên đường truyền. Các host có thể truyền và nhận ở cùng một thời điểm.

Băng thông không còn chia sẻ, thay vào đó, mỗi switchport cung cấp một phần băng thông dành riêng trên switch fabric từ port này đến port kia. Các kết nối này luôn biến động.

Lỗi trong các frame sẽ không được truyền. Thay vào đó, các frame nhận đươc trên từng port sẽ được kiểm tra lỗi. Các frame tốt sẽ được tái tạo khi nó tiếp tục được chuyển đi. Cơ chế này còn gọi là store-and-forward.

Bạn có thể giới hạn broadcast traffic đến một mức cho trước.
Switch có thể hỗ trợ các kiểu lọc traffic thông minh.

Khái niệm transparent bridging (TB)

Một layer 2 switch là một transparent bridge có nhiều cổng, trong đó mỗi switchport là một Ethernet segment, tách biệt với những segment khác. Quá trình đẩy frame đi chỉ dựa hoàn toàn vào địa chỉ MAC chứa bên trong từng frame. Một switch sẽ không chuyển một frame cho đến khi nào nó biết địa chỉ đích của frame.

Toàn bộ quá trình đẩy các Ethernet frame đi trở thành quá trình tìm ra những địa chỉ MAC address nào kết hợp với switchport nào. Một switch phải được chỉ dẫn từong minh các host nằm ở đâu (cấu hình MAC tĩnh) hoặc phải tự học các thông tin này. Nếu cấu hình MAC address tĩnh, quá trình này sẽ nhanh chóng quá tải khi các host thay đổi port.

Để học vị trí của một máy, một switch sẽ lắng nghe các frame đi vào và lưu giữ một bảng các thông tin địa chỉ. Khi một frame đến một switchport, switch sẽ kiểm tra MAC nguồn. Nếu địa chỉ MAC nguồn này chưa có trong bảng MAC, địa chỉ MAC, vị trí port và cả thông tin VLAN sẽ được lưu trong bảng. Như vậy, quá trình học vị trí của một host thì dễ dàng và nhanh chóng.

Các frame đi vào cũng có chứa địa chỉ MAC. Một lần nữa, switch sẽ tìm kiếm địa chỉ này trong bảng MAC với hy vọng tìm thấy cổng ra của switch. Nếu tìm thấy, frame có thể được chuyển đi. Nếu địa chỉ không tìm thấy, switch sẽ phát tán frame ra tất cả các port nằm trong cùng một vlan. Động thái này gọi là unknow unicast flooding. Xem hình bên dưới.

Một switch sẽ liên tục lắng nghe các frame đi vào trên các switchport của nó, học các địa chỉ MAC. Tuy nhiên, quá trình này chỉ được phép chỉ khi STP đã quyết định là một port có ổn định cho quá trình sử dụng bình thường hay không. Thuật toán STP sẽ quan tâm đến việc duy trì một mạng không bị loop, khi mà frame không bị đẩy vào vòng bất tận. Đối với các frame chứa địa chỉ broadcast, frame cũng sẽ bị phát tán.

Dòng chảy của frame trong switch

Phần này sẽ khảo sát tiến trình của một frame khi nó đi qua một L2 switch. Khi một frame đến trên một port, frame sẽ được đặt vào hàng đợi inbound. Mỗi hàng đợi có thể chứa các frame các mức ưu tiên khác nhau. Switchport có thể được hiệu chỉnh sao cho các frame quan trọng được xử lý trước. Chức năng này cho phép các dữ liệu quan trọng không bị loại bỏ khi có nghẽn xảy ra.

Khi các hàng đợi được phục vụ và frame được giải phóng ra khỏi hàng đợi, switch phải xác định không chỉ port đích mà còn phải xác định là có nên đẩy các frame đó không (whether) và bằng cách nào (how). Ba quyết định cơ bản cần phải được thực hiện: một quyết định liên quan đến tìm ra cổng ra, hai quyết định còn lại là tìm ra chính sách để đẩy frame đi. Cả ba quyết định này được thực hiện đồng thời bởi các thành phần phần cứng độc lập của switch. Các thành phần này là:

Bảng L2 forwarding: Địa chỉ đích chứa trong frame sẽ đựoc dùng như là thông số để so sánh vào bảng CAM. Nếu địa chỉ là tìm thấy, cổng ra của switch và thông tin vlan tương ứng sẽ được đọc và sử dụng. Nếu không tìm thấy, frame sẽ được đánh dấu để phát tán.
Các ACL bảo mật có thể đựoc dùng để lọc các frame theo địa chỉ MAC, kiểu giao thức, thông tin L4. Bảng TCAM sẽ chứa các ACL trong một dạng đã được biên dịch sao cho quyết định forward một frame hay không sẽ được thực hiện chỉ trong một động tác tìm kiếm bảng TCAM.

Các QoS ACL có thể phân loại các frame đi vào theo các thông số QoS hoặc để định hình hay kiểm soát tốc độ của dòng traffic. Bảng TCAM cũng được dùng trong quá trình quyết định này.

Sau khi quá trình tìm kiếm trong bảng CAM hay TCAM đã diễn ra, frame sẽ được đặt bên trong hàng đợI của outbound switchport. Các hàng đợi outbound được xác định bằng các thông số QoS chứa trong frame hay thông số được truyền cùng với frame.

Hoạt động của Multilayer switch

Các Catalyst switch, chẳng hạn như 3560, 4500 và 6500 có thể đẩy các frame dựa trên thông tin L3 và L4 chứa trong gói tin. Tiến trình này gọi là chuyển mạch đa tầng (multilayer switching – MLS). Một cách tự nhiên, tiến trình L2 switch cũng phải được thực hiện vì suy cho cùng, các giao thức lớp cao hơn vẫn phải chứa trong các Ethernet frame.

Các kiểu MLS

Có hai thế hệ MLS: route-caching (thế hệ đầu) và topology-based (thế hệ thứ 2). Hiện nay các dòng switch như 3560, 4500 và 6500 chỉ hỗ trợ thế hệ thứ hai của MLS.

Route-caching: Thế hệ đầu. Kiểu công nghệ này đòi hỏi về mặt phần cứng phải trang bị thêm một route processor RP và một switch engine SE. RP phải xử lý gói tin đầu tiên của một dòng các traffic để tìm ra địa chỉ đích. SE sau đó sẽ lắng nghe cả gói tin đầu tiên và địa chỉ đích cần đích, sau đó tạo ra một đường đi tắt trong cache. SE sau đó sẽ đẩy các gói tin kế tiếp trong cùng một dòng traffic dựa trên thông tin trong cache. Kiểu hoạt động MLS này còn được gọi là netflow LAN Switching, flow-based hoặc “route once, switch many”. Ngay cả khi ngày nay kiểu chuyển mạch này không được dùng trong các Catalyst switch, kỹ thuật này vẫn được dùng để tạo ra các thông tin về dòng lưu lượng và các thông tin thống kê.

Topology-based: Thế hệ thứ hai của MLS sử dụng các phần cứng chuyên dụng. Các thông tin định tuyến lớp 3 sẽ được xây dựng và đưa vào một cơ sở dữ liệu về toàn bộ sơ đồ mạng. Cơ sở dữ liệu này, bản chất sẽ được kèm theo một cơ chế tìm kiếm bằng phần cứng rất hiệu quả, sẽ được tham khảo sao cho các gói tin có thể được đẩy đi ở tốc độ rất cao. Khi có một so trùng dài nhất được tìm thấy (longest match), kết quả này sẽ được dùng. Khi cấu trúc mạng thay đổi, database chứa trong phần cứng này cũng sẽ được cập nhật động trong thời gian rất ngắn. Kiểu MLS này được gọi là Cisco Express Forwarding CEF. Một tiến trình định tuyến chạy trên phần cứng của switch sẽ download bảng định tuyến thông thường vào trong bảng FIB.

Dòng chảy của gói tin trong switch L3

Đường đi mà một gói tin lớp 3 đi vào một MLS thì cũng tương tự như của L2 switch. Rõ ràng, một vài cách thức để xử lý thông tin lớp 3 cần phải được thêm vào. Hình dưới đây mô tả một MLS switch tiêu biểu và các tiến trình quyết định bên trong.

Các gói tin đến một switchport sẽ được đặt trong hàng đợi phù hợp giống như trong L2 switch.

Mỗi gói tin sẽ được lấy ra khỏi hàng đợi và kiểm tra cả thông tin L2 và L3. Ở thời điểm này, switch quyết định đẩy gói tin về đâu sẽ được dựa trên hai bảng địa chỉ. Cũng giống như trong L2 switching, tất cả các quyết định chuyển mạch MLS sẽ được thực hiện đồng thời bằng phần cứng.

Bảng L2 forwarding: Địa chỉ MAC được dùng như một thông số trong bảng CAM. Nếu frame chứa một gói tin L3 cần phải được chuyển đi, địa chỉ MAC đích là địa chỉ MAC của port L3 trên switch. Trong trường hợp này, kết quả của bảng CAM chỉ được dùng để quyết định rằng frame nên được xử lý ở L3.

Bảng L3 forwarding: Khi switch tham khảo đến bảng FIB, địa chỉ đích của gói tin sẽ được dùng. Nếu tìm thấy một hàng trong bảng FIB theo nguyên tắc longest match (trùng cả phần địa chỉ và phần mask), địa chỉ next-hop L3 sẽ được ghi nhận. Bảng FIB cũng chứa địa chỉ L2 MAC và cổng ra của switch sao cho quá trình tìm kiếm trong bảng về sau là không cần thiết.

Các ACL bảo mật sẽ được biên dịch vào thành các hàng của bảng TCAM sao cho các quyết định đẩy gói tin sẽ chỉ cần xác định thông qua một động tác tìm kiếm trong bảng.

Các chức năng QoS khác như phân loại gói tin, định hình và đánh dấu có thể được thực hiện như là một quá trình tìm kiếm duy nhất trong bảng TCAM. Cũng giống như trong L2 switch, cuối cùng, gói tin cũng phải được đặt trong các hàng đợi phù hợp trên cổng ra của switch.

Tuy nhiên cũng cần nhớ rằng trong quá trình chuyển mạch MLS, địa chỉ next-hop sẽ nhận được từ bảng FIB cũng giống như một router nào đó. Sau khi đã có địa chỉ L3, thông thường router/L3 switch sẽ xác định giá trị nexthop và tìm địa chỉ L2 của nó. Sau đó, chỉ có địa chỉ L2 được dùng, sao cho L2 frame có thể được gửi. Tiến trình này chính là quá trình encapsulation. Địa chỉ L2 nexthop phải được đặt vào frame thay cho địa chỉ đích ban đầu (chính là địa chỉ L2 của MLS switch). Địa chỉ nguồn L2 của frame cũng sẽ được đổi lại thành địa chỉ L2 của MLS switch trước khi nó được gửi đến thiết bị nexthop. Nghĩa là, cả địa chỉ nguồn MAC và địa chỉ đích MAC của một frame khi đi qua một L3 switch sẽ phải thay đổi.

Ngoài ra, cũng giống như trong routers, giá trị TTL trong gói tin L3 phải được trừ đi 1. Bởi vì nội dung của gói tin L3 (giá trị TTL) đã thay đổi, giá trị L3 header checksum phải được tính toán lại. Và bởi vì cả nội dung L2 và L3 cũng đã thay đổi, giá trị L2 checksum cũng phải được tính toán lại. Nói cách khác, toàn bộ frame phải được viết lại trước khi nó đi ra hàng đợi bên ngoài. Toàn bộ quá trình này hoàn tất bằng phần cứng.

Các ngoại lệ đối với quá trình MLS

Để đẩy gói tin đi dùng các quyết định đồng thời được mô tả ở trên, gói tin phải là dạng “MLS-ready”. Ví dụ, CEF có thể đẩy gói tin IP đi trực tiếp giữa các host. Điều này diễn ra khi cả địa chỉ nguồn và địa chỉ đích là đã biết và không có một thông số IP nào cần phải thao tác. Các gói tin dạng khác không thể chuyển mạch theo kiểu CEF thì phải được xử lý chi tiết hơn. Các gói tin/ traffic dạng như sau sẽ bị đánh dấu và gửi về CPU của switch để xử lý theo kiểu process switching:

ARP requests and replies.
IP packets requiring a response from a router (TTL has expired, MTU is exceeded, fragmentation is needed, and so on)
IP broadcasts that will be relayed as unicast (DHCP requests, IP helper-address functions).
Routing protocol updates.
Cisco Discovery Protocol packets.
IPX routing protocol and service advertisements.
Packets needing encryption.
Packets triggering Network Address Translation (NAT)
Other non-IP and non-IPX protocol packets (AppleTalk, DECnet, and so on)

Bảng CAM

Tất cả các kiểu Catalyst switch dùng bảng CAM cho quá trình L2 switching. Khi frame đến trên switchport, địa chỉ nguồn MAC sẽ được học và lưu trong bảng CAM. Port đầu vào và thông tin VLAN tương ứng sẽ được học. Nếu một địa chỉ MAC học được trên một switch port sau đó được chuyển sang một port khác, địa chỉ MAC và các nhãn thời gian tương ứng sẽ được lưu lại trên port mới nhất. Sau đó, thông tin cũ trong bảng MAC sẽ bị xóa. Nếu một địa chỉ MAC được nhận ra đã có sẵn trên chính port đó, chỉ có nhãn thời gian (timestamp) là được cập nhật.

Các switch thông thường có bảng CAM lớn sao cho nhiều địa chỉ có thể tìm kiếm. Tuy nhiên, sẽ không có đủ chổ cho tất cả các địa chỉ có thể trên một hệ thống mạng lớn. Để quản lý không gian của bảng CAM, các entry cũ (không được cập nhật) sẽ được xóa ra khỏi bảng CAM. Mặc định, các hàng trong bảng CAM này có thời gian aged-out là 300 giây. Để thay đổi thời gian mặc định này, ta có thể dùng lệnh

Switch(config)# mac address-table aging-time seconds

Mặc định, các địa chỉ MAC có thể được học động khi có frame đi vào. Bạn cũng có thể cấu hình MAC tĩnh. Lúc này, hãy dùng lệnh:

Switch(config)# mac address-table static mac-address vlan vlan-id interface type mod/num

Bảng TCAM

Trong quá trình định tuyến truyền thống, ACL có thể lọc hay kiểm soát traffic. Các ACL có thể được tạo ra bởi một hoặc nhiều đối tượng hoặc các phát biểu match có thể được tính toán theo trình tự. Việc tính toán một ACL có thể tốn thêm thời gian, làm tăng độ trễ của gói tin. Trong MLS, tất cả các tiến trình so sánh của ACL đều hiện thực bằng phần cứng. TCAM cho phép một gói tin được kiểm tra với toàn bộ ACL chỉ thông qua một động tác tìm kiếm đơn giản. Phần lớn các switch có nhiều bảng TCAM để các ACL về bảo mật và QoS có thể được kiểm nghiệm đồng thời và xử lý song song với các quyết định đẩy gói tin ở L2 và L3.

Có hai thành phần trong bảng TCAM:

Feature Manager: sau khi một ACL được tạo ra hoặc cấu hình, FM sẽ biên dịch và trộn các hàng của ACL vào bảng TCAM. Bảng TCAM sau đó sẽ được tham chiếu ở tốc độ chuyển frame.
Switching Database Manager SDM: bạn có thể chia bảng TCAM trên vài Catalyst switch ra thành các vùng có chức năng khác nhau.

Cấu trúc bảng TCAM:

TCAM là một mở rộng của khái niệm bảng CAM. Hãy nhớ rằng một bảng CAM sẽ dùng một index hoặc một giá trị khóa (thường là địa chỉ MAC)

Các hàng trong bảng TCAM thường bao gồm các giá trị Value, Mask và result. Các trường từ gói frame hoặc gói tin sẽ được nạp vào bảng TCAM, trong đó các trường này sẽ so sánh với các cặp value/match.

Cột giá trị (value) luôn là 134bit, có thể chưa địa chỉ nguồn và địa chỉ đích và các thông tin liên quan khác. Thông tin kết hợp để hình thành nên cột value này phụ thuộc vào kiểu của ACL. Trường mask cũng có chiều dài 134bit. Mask giúp chỉ ra các bit đang quan tâm. Cột kết quả là các con số chỉ ra hành động cần phải thực hiện sau khi bảng TCAM đã được tìm kiếm. Cần lưu ý là so với ACL truyền thống, bảng TCAM cho phép một số result có thể. Ví dụ result có thể là permit/deny hoặc một giá trị index đến một chính sách QoS hoặc một pointer đến giá trị nexthop khác.

Tổng quan về IP Address

Phần I – Giới thiệu chung

Như chúng ta đã biết Internet là một mạng máy tính toàn cầu , do hàng nghìn mạng máy tính từ khắp mọi nơi nối lại tạo nên. Khác với cách tổ chức theo các cấp: nội hạt, liên tỉnh, quốc tế của một mạng viễn thông như mạng thoại chẳng hạn, mạng Internet tổ chức chỉ có một cấp, các mạng máy tính dù nhỏ, dù to khi nối vào Internet đều bình đẳng với nhau. Do cách tổ chức như vậy nên trên Internet có cấu trúc địa chỉ, cách đánh địa chỉ đặc biệt, trong khi cách đánh địa chỉ đối với mạng viễn thông lại đơn giản hơn nhiều.
Đối với mạng viễn thông như mạng thoại chẳng hạn, khách hàng ở các vùng khác nhau hoàn toàn có thể có cùng số điện thoại, phân biệt với nhau bằng mã vùng, mã tỉnh hay mã quốc tế. Đối với mạng Internet , do cách tổ chức chỉ có một cấp nên mỗi một khách hàng hay một máy chủ ( Host ) hoặc Router đều có một địa chỉ internet duy nhất mà không được phép trùng với bất kỳ ai. Do vậy mà địa chỉ trên Internet thực sự là một tài nguyên.
Hàng chục triệu máy chủ trên hàng trăm nghìn mạng. Để địa chỉ không được trùng nhau cần phải có cấu trúc địa chỉ đặc biệt quản lý thống nhất và một Tổ chức của Internet gọi là Trung tâm thông tin mạng Internet – Network Information Center ( NIC ) chủ trì phân phối, NIC chỉ phân địa chỉ mạng ( Net ID ) còn địa chỉ máy chủ trên mạng đó ( Host ID ) do các Tổ chức quản lý Internet của từng quốc gia một tự phân phối. (Trong thực tế để có thể định tuyến (routing ) trên mạng Internet ngoài địa chỉ IP còn cần đến tên riêng của các máy chủ (Host) – Domain Name ). Các phần tiếp theo chúng ta hãy nghiên cứu cấu trúc đặc biệt của địa chỉ Internet.

phần II: Cấu trúc địa chỉ IP

a/ Thành phần và hình dạng của địa chỉ IP

Địa chỉ IP đang được sử dụng hiện tại (IPv4) có 32 bit chia thành 4 Octet ( mỗi Octet có 8 bit, tương đương 1 byte ) cách đếm đều từ trái qua phải bít 1 cho đến bít 32, các Octet tách biệt nhau bằng dấu chấm (.), bao gồm có 3 thành phần chính.

Bit 1…………………………………………. ……………………………. 32
* Bit nhận dạng lớp ( Class bit )
* Địa chỉ của mạng ( Net ID )
* Địa chỉ của máy chủ ( Host ID ).
Ghi chú: Tên là Địa chỉ máy chủ nhưng thực tế không chỉ có máy chủ mà tất cả các máy con (Workstation), các cổng truy nhập v.v..đều cần có địa chỉ.
Bit nhận dạng lớp (Class bit) để phân biệt địa chỉ ở lớp nào.
1/ – Địa chỉ Internet biểu hiện ở dạng bit nhị phân:
x y x y x y x y. x y x y x y x y. x y x y x y x y. x y x y x y x y
x, y = 0 hoặc 1.
Ví dụ:

00 1 0 1 1 0 0.0 1 1 1 1 0 1 1.0 1 1 0 1 1 1 0.1 1 1 0 0 0 0 0bit nhận dạng

Octet 1
Octet 2
Octet 3
Octet 4

2/ – Địa chỉ Internet biểu hiện ở dạng thập phân: xxx.xxx.xxx.xxx

x là số thập phân từ 0 đến 9
Ví dụ: 146. 123. 110. 224
Dạng viết đầy đủ của địa chỉ IP là 3 con số trong từng Octet. Ví dụ: địa chỉ IP thường thấy trên thực tế có thể là 53.143.10.2 nhưng dạng đầy đủ là 053.143.010.002.

b / Các lớp địa chỉ IP

Địa chỉ IP chia ra 5 lớp A,B,C, D, E. Hiện tại đã dùng hết lớp A,B và gần hết lớp C, còn lớp D và E Tổ chức internet đang để dành cho mục đích khác không phân, nên chúng ta chỉ nghiên cứu 3 lớp đầu.



Qua cấu trúc các lớp địa chỉ IP chúng ta có nhận xét sau:
* Bit nhận dạng là những bit đầu tiên – của lớp A là 0, của lớp B là 10, của lớp C là 110.
* Lớp D có 4 bit đầu tiên để nhận dạng là 1110, còn lớp E có 5 bít đầu tiên để nhận dạng là 11110.
* Địa chỉ lớp A: Địa chỉ mạng ít và địa chỉ máy chủ trên từng mạng nhiều.
* Địa chỉ lớp B: Địa chỉ mạng vừa phải và địa chỉ máy chủ trên từng mạng vừa phải.
* Địa chỉ lớp C: Địa chỉ mạng nhiều, địa chỉ máy chủ trên từng mạng ít.

Địa chỉ lớp

Vùng địa chỉ lý thuyết
Số mạng
tối đa sử dụng
Số máy chủ tối đa
trên từng mạng

ATừ 0.0.0.0 đến 127.0.0.012616777214BTừ 128.0.0.0 đến 191.255.0.01638265534CTừ 192.0.0.0 đến 223.255.255.02097150254DTừ 224.0.0.0 đến 240.0.0.0Không phânE Từ 241.0.0.0 đến 255.0.0.0Không phânĐịa chỉ lớp

Vùng địa chỉ sử dụng

Bit nhận dạngSố bit dùng để
phân cho mạngATừ 1 đến 12707BTừ 128.1 đến 191.2541014CTừ 192.0.1 đến 223.255.25411021D1110—E11110—

Như vậy nếu chúng ta thấy 1 địa chỉ IP có 4 nhóm số cách nhau bằng dấu chấm, nếu thấy nhóm số thứ nhất nhỏ hơn 126 biết địa chỉ này ở lớp A, nằm trong khoảng 128 đến 191 biết địa chỉ này ở lớp B và từ 192 đến 223 biết địa chỉ này ở lớp C.
Ghi nhớ: Địa chỉ thực tế không phân trong trường hợp tất cả các bit trong một hay nhiều Octet sử dụng cho địa chỉ mạng hay địa chỉ máy chủ đều bằng 0 hay đều bằng 1. Điều này đúng cho tất cả các lớp địa chỉ.

i / địa chỉ Lớp A

Tổng quát chung:
Bit thứ nhất là bit nhận dạng lớp A = 0.
7 bit còn lại trong Octet thứ nhất dành cho địa chỉ mạng.
3 Octet còn lại có 24 bit dành cho địa chỉ của máy Chủ.

Class A: ( 0 – 126 )

– net id: 126 mạng
– host id:16.777.214 máy chủ trên một mạng

a/ Địa chỉ mạng (Net ID)

1/ Khả năng phân địa chỉ

Khi đếm số bit chúng ta đếm từ trái qua phải, nhưng khi tính giá trị thập phân 2n của bit lại tính từ phải qua trái, bắt đầu từ bit 0. Octet thứ nhất dành cho địa chỉ mạng, bit 7 = 0 là bit nhận dạng lớp A. 7 bit còn lại từ bit 0 đến bit 6 dành cho địa chỉ mạng ( 2 7 ) = 128. Nhưng trên thực tế địa chỉ khi tất cả các bit bằng 0 hoặc bằng 1 đều không phân cho mạng. Khi giá trị các bit đều bằng 0, giá trị thập phân 0 là không có nghĩa, còn địa chỉ là 127 khi các bit đều bằng 1 dùng để thông báo nội bộ, nên trên thực tế còn lại 126 mạng.
Octet 1

Cách tính địa chỉ mạng lớp A.
Số thứ tự Bit (n)- tính từ phải qua trái: 6 5 4 3 2 1 0
Giá trị nhị phân (0 hay 1) của Bit: x x x x x x x
Giá trị thập phân tương ứng khi giá trị bit = 1 sẽ là 2 n
Giá trị thập phân tương ứng khi giá trị bit = 0 không tính.
Giá trị thập phân lớn nhất khi giá trị của 7 bit đều bằng 1 là 127.
Xin xem bảng tính trọn vẹn giá trị của tất cả các Bit

Như vậy khả năng phân địa chỉ của lớp A cho 126 mạng –
2/ Biểu hiệu địa chỉ trên thực tế: Từ 001 đến 126
B / Địa chỉ của các máy chủ trên một mạng

1/ Khả năng phân địa chỉ
Ba Octet sau gồm 24 bit được tính từ bit 0 đến bit 23 dành cho địa chỉ máy chủ trên từng mạng.

Với cách tính như trên, để được tổng số máy chủ trên một mạng ta có.

Gía trị tương ứng với Bit n

23.22.21.20.19.18.16.|15.14.13.12.11.10.9.8.|7.6.5 .4.3.2.1.0

Giá trị 2n

Địa chỉ

..0…0…0…0…0…0…0.|.0…0…0…0…0… 0..0.0.|0.0.0.0.0.0.0.0 000..0…0…0…0…0…0…0.|.0…0…0…0…0… 0..0.0.|0.0.0.0.0.0.0.0 20001..0…0…0…0…0…0…0.|.0…0…0…0…0… 0..0.0.|0.0.0.0.0.0.0.0 21002……………………………... . . . . .. . . . . .……………………………... . . . . .. . . . . ...1…1…1…1…1…1…1.|.1…1…1…1…1… 1..1.1.|1.1.1.1.1.1.1.0 223+…+2116777214..1…1…1…1…1…1…1.|.1…1…1…1…1… 1..1.1.|1.1.1.1.1.1.1.1 16777215<——Octet2——-><——-Octet3———>|<–Octet4—->

Địa chỉ khi các bit đều bằng 0 hay bằng 1 bỏ ra. Trên thực tế còn lại 224-2 = 16 777 214

Như vậy khả năng phân địa chỉ cho 16 777 214 máy chủ.
2/ Biểu hiện địa chỉ trên thực tế

Octet 2 Octet 3 Octet 4

Octet 2

Gía trị tương ứng với
thứ tự bit (n)

76543210

Giá trị 2n

Địa chỉ máy chủ

00000000000000000012000100000010210020000001121+20003…………….………..………………….………..……1111111127+26+25+24+23+22+21+20255

Như vậy giá trị thập phân ở Octet 2 tính từ 000 tới 255.

Octet 3

Gía trị tương ứng với
thứ tự bit (n)

76543210

Giá trị 2n

Địa chỉ máy chủ

00000000000000000012000100000010210020000001121+20003…………….………..………………….………..……1111111127+26+25+24+23+22+21+20255

Như vậy giá trị thập phân ở Octet 3 tính từ 000 tới 255.
Octet 4

Gía trị tương ứng với
thứ tự bit (n)

76543210

Giá trị 2n

Địa chỉ máy chủ

00000000000 Không phân000000012000100000010210020000001121+20003…………….………..………………….………..……1111111027+26+25+24+23+22+212541111111127+26+25+24+23+22+21+20255 Không phân

Như vậy giá trị thập phân ở Octet 4 tính từ 001 tới 254.

Tổng quát lại tại địa chỉ của một mạng, khi lần lượt thay đổi các giá trị của các Octet 2, 3, 4.ta sẽ có 16 777 216 khả năng thay đổi mà các con số không trùng lặp nhau ( Combinations ) có nghiã là 16 777 216 địa chỉ của máy chủ trên mạng, nhưng thực tế phân chỉ là
(256 x 256 x 256) – 2 =16 777 214
Biểu hiện trên thực tế là ba số thập phân trong 3 Octet cách nhau dấu.
Từ 000. 000. 0001 đến 255. 255. 254
Kết luận: Địa chỉ lớp A có thể phân cho 126 mạng và mỗi một mạng có 16 777 214 máy chủ. Nói cách khác địa chỉ thực tế sẽ từ 001.000.000.001 đến 126.255.255.254
Ví dụ: Một địa chỉ đầy đủ của lớp A: 124. 234. 200. 254. Trong đó:

Địa chỉ mạng: 124
Địa chỉ máy chủ: 234.200.254

2 / địa chỉ Lớp B
Tổng quát chung:
2 bit đầu tiên để nhận dạng lớp B là 1 và 0.
14 bit còn lại trong 2 Octet đầu tiên dành cho địa chỉ mạng.
2 Octet còn lại gồm 16 bit dành cho địa chỉ máy Chủ.

– net id: 16.382 mạng
-host id: 65.534 máy chủ trên một mạng
a/ Địa chỉ mạng

1/ Khả năng phân địa chỉ
Octet 1 Octet 2

Hai Octet đầu tiên có 16 bit để phân cho địa chỉ mạng, 2 bit ( bit 1 và bit 2 ) kể từ trái sang có giá trị lần lượt là 1 và 0 dùng để nhận dạng địa chỉ lớp B. Như vậy còn lại 14 bit để cho Net ID – địa chỉ mạng.

Theo cách tính như của địa chỉ mạng Lớp A ta có.

Gía trị bit
Giá trị 2n
Địa chỉ mạng

13.12.11.10.9.87.6.5.4.3.2.1.0..0…0…0…0..0.00.0.0.0.0.0.0.0000..0…0…0…0..0.00.0.0.0.0.0.0.120001..0…0…0…0..0.00.0.0.0.0.0.1.021002…………………... . . . . .. . . . . .…………………... . . . . .. . . . . ...1…1…1…1..1.11.1.1.1.1.1.1.0 213+…2116 382..1…1…1…1..1.11.1.1.1.1.1.1.1 213+… 20Không phân<—–Octet1—–><–Octet2—–>
Tương tự như địa chỉ Lớp A, các bit đều bằng 0 và các bit đều bằng 1 được bỏ ra, nên thực tế giá trị thập phân chỉ từ 1 đến 16 382 có nghĩa phân được cho 16 382 mạng.
2/ Biểu hiện trên thực tế.
Biểu hiện địa chỉ trên thực tế thể hiện số thập phân trong 2 Octet cách nhau bằng dấu chấm (. ). Cách tính số thập phân cho từng Octet một.
Octet 1

Gía trị tương ứng với
thứ tự bit (n)

76543210

Giá trị 2n
Net ID
Địa chỉ mạng

10000000271281000000127+201291000001027+211301000001127+21+20131…………….………..………………….………..……1011111127+26+25+24+23+22+21+20191
Địa chỉ mạng của Lớp A từ 001 đến 126. ( không phân 127 ). Như vậy địa chỉ mạng của Lớp B ở Octet thứ nhất sẽ từ 128 cho đến 191.
Như vậy giá trị thập phân của Octet 1 từ 128 đến 191.
Octet 2

Gía trị tương ứng với
thứ tự bit (n)

76543210

Giá trị 2n

Net ID
Địa chỉ mạng

00000000000 Không phân000000012000100000010210020000001121+20003…………….………..………………….………..……1111111027+26+25+24+23+22+212541111111127+26+25+24+23+22+21+20255 Không phân
Như vậy giá trị thập phân của Octet 2 từ 001 đến 254.
Như vậy: Địa chỉ mạng lớp B biểu hiện trên thực tế gồm 2 Octet từ 128.001 cho đến 191. 254 có nghĩa phân được cho 16 382 mạng ( 214 – 2 ).
b / Địa chỉ các máy chủ trên một mạng

1 / Khả năng phân địa chỉ

Octet 3 và 4 gồm 16 bit để dành cho địa chỉ của các máy chủ trên từng mạng.

Gía trị Bit

.15.14.13.12.11.10..9.8.|7.6.5.4.3.2.1.0

Giá trị 2n
Địa chỉ

..0…0…0…0…0…0..0.0.|0.0.0.0.0.0.0.0000..0…0…0…0…0…0..0.0.|0.0.0.0.0.0.0.120001..0…0…0…0…0…0..0.0.|0.0.0.0.0.0.1.021002..0…0…0…0…0…0..0.0.|0.0.0.0.0.0.1.121+20003……………………………... . . . . . . . . . . .……………………………... . . . . . . . . . . ...1…1…1…1…1…1..1.1.|1.1.1.1.1.1.1.0 215+…2165534..1…1…1…1…1…1..1.1.|1.1.1.1.1.1.1.1 215+… 2065535<——–Octet 3——->|<—Octet 4–>

Địa chỉ của các bit bằng 0 và bằng 1 bỏ ra, Khả năng thực tế còn lại 65534 địa chỉ ( 216 – 2)để phân cho các máy chủ trên một mạng.

2/ Biểu hiện địa chỉ trên thực tế

Octet 3

Gía trị tương ứng với
thứ tự bit (n)

76543210

Giá trị 2n

Địa chỉ máy chủ

00000000000000000012000100000010210020000001121+20003………..………………….………..……1111111127+26+25+24+23+22+21+20255

Như vậy giá trị thập phân của Octet 3 từ 000 đến 255.
Octet 4

Gía trị tương ứng với
thứ tự bit (n)

76543210

Giá trị 2n

Địa chỉ máy chủ

00000000000 Không phân000000012000100000010210020000001121+20003…………….………..………………….………..……1111111027+26+2+25+24+23+2+22+212541111111127+26+25+24+23+22+21+20255 Không phân

Như vậy giá trị thập phân của Octet 4 từ 001 đến 254.

Biểu hiện địa chỉ máy chủ trên thực tế của Lớp B là từ 000. 001 đến 255. 254

Kết luận: Địa chỉ Lớp B có thể phân cho 16 382 mạng và mỗi mạng có đến 65 534 máy chủ. Nói cách khác địa chỉ phân trong thực tế sẽ từ 128. 001. 000. 001 đến 191. 254. 255. 254
Ví dụ: Một địa chỉ đầy đủ của lớp B là 130.130.130.130. Trong đó:
Địa chỉ mạng: 130.130
Địa chỉ máy chủ: 130.130

3/ địa chỉ Lớp C

Tổng quát chung.
3 bit đầu tiên để nhận dạng lớp C là 1,1,0.
21 bit còn lại trong 3 Octet đầu dành cho địa chỉ mạng.
Octet cuối cùng có 8 bit dành cho địa chỉ máy chủ.

– net id: 2.097.150 mạng
– host id: 254 máychủ/1 mạng

a / Địa chỉ mạng

1/ Khả năng phân địa chỉ

21 bit còn lại của 3 Octet đầu dành cho địa chỉ mạng

Giá trị tương ứng với bit n

20.19.18.17.16.|15.14.13.12.11.10.9.8.|7.6.5.4.3.2 .1.0

Giá trị 2nĐịa chỉ mạng.0…0…0…0…0..|.0…0…0…0…0…0..0.0.| 0.0.0.0.0.0.0.0.0.0…0…0…0…0..|.0…0…0…0…0…0..0.0.| 0.0.0.0.0.0.0.1.201.0…0…0…0…0..|.0…0…0…0…0…0..0.0.| 0.0.0.0.0.0.1.0.212…………………….. ..…………………….. ...1…1…1…1…1..|.1…1…1…1…1…1..1.1.| 1.1.1.1.1.1.1.0.220+…+212097150.1…1…1…1…1..|.1…1…1…1…1…1..1.1.| 1.1.1.1.1.1.1.1.220+…+202097151<–Octet 1—->|<——Octet 2——–>|<—-Octet 3–>

Các bit đều bằng 0 hay bằng 1 không phân, nên khả năng phân địa chỉ cho mạng ở lớp C là 2 097 150 hoặc bằng 221 – 2.
2/ Biểu hiện trên thực tế
Octet 1

Gía trị tương ứng với
thứ tự bit (n)

76543210

Giá trị 2n
Net ID
Địa chỉ mạng

1100000027+261921100000127+26+201931100001027+26+211941100001127+26+21+20195…………….………..………………….………..……1101111127+26+25+24+23+22+21+20223

Như vậy giá trị thập phân của Octet 1 từ 192 đến 223.

Octet 2

Gía trị tương ứng với
thứ tự bit (n)

76543210

Giá trị 2n

Net ID
Địa chỉ mạng

00000000000000000012000100000010210020000001121+20003…………….………..………………….………..……1111111127+26+25+24+23+22+21+20255

Như vậy giá trị thập phân của Octet 2 từ 000 đến 255.

Octet 3

Gía trị tương ứng với
thứ tự bit (n)

76543210

Giá trị 2n

Net ID
Địa chỉ mạng

00000000000 Không phân000000012000100000010210020000001121+20003…………….………..………………….………..……1111111027+26+2+25+24+23+2+22+212541111111127+26+25+24+23+22+21+20255 Không phân

Như vậy giá trị thập phân của Octet 3 từ 001 đến 254.

Kết luận: Địa chỉ dành cho mạng của lớp C có khả năng phân cho 2097150 mạng, nói cách khác trên thực tế sẽ từ 192. 000. 001 đến 223. 255. 254

b / địa chỉ máy chủ trên từng mạng

1/ Khả năng phân địa chỉ

Octet 4 có 8 bit để phân địa chỉ cho các máy chủ trên một mạng.
Octet 4

Gía trị tương ứng với
thứ tự bit (n)

76543210

Giá trị 2n

Địa chỉ máy chủ

00000000000 Không phân000000012000100000010210020000001121+20003…………….………..………………….………..……1111111027+26+2+25+24+23+2+22+212541111111127+26+25+24+23+22+21+20255 Không phân

Như vậy giá trị thập phân của Octet 4 từ 001 đến 254.

Như vậy khả năng cho máy chủ trên từng mạng của địa chỉ lớp C là 254 hay 28 – 2.

2/ Biểu hiện trên thực tê: Từ 001 đến 254.

Kết luận: Địa chỉ lớp C có thể phân cho 2 097 150 mạng và mỗi một mạng có 254 máy chủ. Nói cách khác sẽ từ 192. 000. 001. 001 đến 223. 255. 254.254

Ví dụ một địa chỉ Internet lớp C đầy đủ: 198. 010. 122. 230. Trong đó:
Địa chỉ mạng: 198.010.122
Địa chỉ máy chủ: 230
Ví dụ: Trung tâm thông tin mạng Internet vùng Châu á – Thái bình dương ( APNIC ) phân cho VDC 8 địa chỉ của lớp C có thể phân cho 8 mạng từ 203.162.0.0 cho đến 203.162.7.0. Nhóm số thứ nhất là 203 cho biết đây là những khối địa chỉ ở lớp C.
Địa chỉ đầy đủ của một khối địa chỉ 203.162.0.0 phải là 203.162.000.000, chúng ta được sử dụng trọn vẹn octet cuối cùng có nghĩa là được 254 địa chỉ máy chủ và đầu cuối trên một mạng. Ví dụ mạng 203.162.0 sẽ có địa chỉ đầu cuối từ 203.162.0.000 đến 203.162.0. 255. Như vậy tổng cộng VDC có 8×254=2032 địa chỉ lý thuyết để phân cho các máy chủ và đầu cuối trên 8 mạng 203.162.0 ; 203.162.1;…..203.162.7 v.v..
Như vậy địa chỉ mạng là cố định, chúng ta chỉ được quyền phân địa chỉ cho máy chủ trên mạng đó.

4/ Địa chỉ mạng con của Internet (IP subnetting)
a/ Nguyên nhân

Như đã nêu trên địa chỉ trên Internet thực sự là một tài nguyên, một mạng khi gia nhập Internet được Trung tâm thông tin mạng Internet ( NIC) phân cho một số địa chỉ vừa đủ dùng với yêu cầu lúc đó, sau này nếu mạng phát triển thêm lại phải xin NIC thêm, đó là điều không thuận tiện cho các nhà khai thác mạng.
Hơn nữa các lớp địa chỉ của Internet không phải hoàn toàn phù hợp với yêu cầu thực tế, địa chỉ lớp B chẳng hạn, mỗi một địa chỉ mạng có thể cấp cho 65534 máy chủ, Thực tế có mạng nhỏ chỉ có vài chục máy chủ thì sẽ lãng phí rất nhiều địa chỉ còn lại mà không ai dùng được . Để khắc phục vấn đề này và tận dụng tối đa địa chỉ được NIC phân, bắt đầu từ năm 1985 người ta nghĩ đến Địa chỉ mạng con.
Như vậy phân địa chỉ mạng con là mở rộng địa chỉ cho nhiều mạng trên cơ sở một địa chỉ mạng mà NIC phân cho, phù hợp với số lượng thực tế máy chủ có trên từng mạng.

b/ Phương pháp phân chia địa chỉ mạng con

Trước khi nghiên cứu phần này chúng ta cần phải hiểu qua một số khái niệm liên quan tới việc phân địa chỉ các mạng con.
1/ – Default Mask: (Giá trị trần địa chỉ mạng) được định nghĩa trước cho từng lớp địa chỉ A,B,C. Thực chất là giá trị thập phân cao nhất (khi tất cả 8 bit đều bằng 1) trong các Octet dành cho địa chỉ mạng – Net ID.

Default Mask:

Lớp A 255.0.0.0

Lớp B 255.255.0.0

Lớp C 255.255.255.0

2/ – Subnet Mask: ( giá trị trần của từng mạng con)
Subnet Mask là kết hợp của Default Mask với giá trị thập phân cao nhất của các bit lấy từ các Octet của địa chỉ máy chủ sang phần địa chỉ mạng để tạo địa chỉ mạng con.
Subnet Mask bao giờ cũng đi kèm với địa chỉ mạng tiêu chuẩn để cho người đọc biết địa chỉ mạng tiêu chuẩn này dùng cả cho 254 máy chủ hay chia ra thành các mạng con. Mặt khác nó còn giúp Router trong việc định tuyến cuộc gọi.
Nguyên tắc chung:
Lấy bớt một số bit của phần địa chỉ máy chủ để tạo địa chỉ mạng con.
Lấy đi bao nhiêu bit phụ thuộc vào số mạng con cần thiết (Subnet mask) mà nhà khai thác mạng quyết định sẽ tạo ra.
Vì địa chỉ lớp A và B đều đã hết, hơn nữa hiện tại mạng Internet của Tổng công ty do VDC quản lý đang được phân 8 địa chỉ mạng lớp C nên chúng ta sẽ nghiên cứu kỹ phân chia địa chỉ mạng con ở lớp C.

a/ Địa chỉ mạng con của địa chỉ lớp C

Class c:

Địa chỉ lớp C có 3 octet cho địa chỉ mạng và 1 octet cuối cho địa chỉ máy chủ vì vậy chỉ có 8 bit lý thuyết để tạo mạng con, thực tế nếu dùng 1 bit để mở mạng con và 7 bit cho địa chỉ máy chủ thì vẫn chỉ là một mạng và ngược lại 7 bit để cho mạng và 1 bit cho địa chỉ máy chủ thì một mạng chỉ được một máy, như vậy không logic, ít nhất phải dùng 2 bit để mở rộng địa chỉ và 2 bit cho địa chỉ máy chủ trên từng mạng. Do vậy trên thực tế chỉ dùng như bảng sau.

Default Mask của lớp C : 255.255.255.0

Địa chỉ máy chủ <——–>255.255.255.1 1 0 0 0 0 0 0 ; 192 ( 2 bit đ/ chỉ mạng con 6 bit đ/chỉ máy chủ) 255.255.255.1 1 1 0 0 0 0 0 ; 224 ( 3 bit đ/chỉ mạng con 5 bit đ/chỉ máy chủ) 255.255.255.1 1 1 1 0 0 0 0 ; 240 ( 4 bit đ/chỉ mạng con 4 bit đ/chỉ máy chủ) 255.255.255.1 1 1 1 1 0 0 0 ; 248 ( 5 bit đ/chỉ mạng con 3 bit đ/chỉ máy chủ) 255.255.255.1 1 1 1 1 1 0 0 ; 252 ( 6 bit đ/chỉ mạng con 2 bit đ/chỉ máy chủ) <—————> <———> Default Mask Địa chỉ mạng con Trường Subnetmask Số lượng Số máy chủ trên hợp mạng con từng mạng 1 255.255.255.192 2 62 2 255.255.255.224 6 30 3 255.255.255.240 14 14 4 255.255.255.248 30 6 5 255.255.255.252 62 2

Bảng 1: Khả năng chia mạng con của địa chỉ Lớp C

Như vậy một địa chỉ mạng ở lớp C chỉ có 5 trường hợp lựa chọn trên (Hay 5 Subnet Mask khác nhau), tuỳ từng trường hợp cụ thể để quyết định số mạng con.
1/ Trường hợp 1 – Hai mạng con
Subnet Mask 255.255.255.192.
Từ một địa chỉ tiêu chuẩn tạo được địa chỉ cho hai mạng con, mỗi một mạng có 62 máy chủ.
Sử dụng hai bit (bit 7 và 6) của phần địa chỉ máy chủ để tạo mạng con. Như vậy còn lại 6 bit để phân cho máy chủ.
a/ Tính địa chỉ mạng

Octet 4Bit7 65 4 3 2 1 0xxx.xxx.xxx.0 00 0 0 0 0 0= xxx.xxx.xxx.0xxx.xxx.xxx.0 10 0 0 0 0 0= xxx.xxx.xxx.64xxx.xxx.xxx.1 00 0 0 0 0 0= xxx.xxx.xxx.128xxx.xxx.xxx.1 10 0 0 0 0 0= xxx.xxx.xxx.192

Ghi chú: xxx.xxx.xxx là địa chỉ mạng tiêu chuẩn của lớp C.
Địa chỉ của mạng là giá trị của bit 7 và 6 lần lượt bằng 0 và 1. Trong trường hợp chia địa chỉ mạng con không bao giờ được dùng địa chỉ khi các bit đều bằng 0 hay bằng 1. Do vậy trường hợp 2 mạng con nói trên, địa chỉ mạng con sẽ là:
Mạng con 1: Địa chỉ mạng xxx.xxx.xxx.64
Mạng con 2: Địa chỉ mạng xxx.xxx.xxx.128
b/ Tính địa chỉ cho máy chủ cho mạng con 1
Chúng ta chỉ còn 6 bit cho địa chỉ máy chủ trên từng mạng.

Octet 4

Bit 7 6

5 4 3 2 1 0

xxx.xxx.xxx. 0 1

0 0 0 0 0 0

= xxx.xxx.xxx.64 Địa chỉ mạng

xxx.xxx.xxx. 0 1

0 0 0 0 0 1

= xxx.xxx.xxx.65

xxx.xxx.xxx. 0 1

0 0 0 0 1 0

= xxx.xxx.xxx.66

. . . . . . . . . . . . .

. . . . . . . . .

. . . . . . . . . . . . .

xxx.xxx.xxx. 0 1

1 1 1 1 1 0

= xxx.xxx.xxx.126

xxx.xxx.xxx. 0 1

1 1 1 1 1 1

=xxx.xxx.xxx.127 Không phân

Địa chỉ mạng con 1

Mỗi mạng còn lại 62 địa chỉ cho máy chủ.
Mạng 1: Từ xxx.xxx.xxx. 065 đến xxx.xxx.xxx.126
c/ Tính địa chỉ cho máy chủ cho mạng con 2
Tương tự như cách tính trên ta có
Octet 4

Bit 7 6

5 4 3 2 1 0

xxx.xxx.xxx. 1 0

0 0 0 0 0 0
= xxx.xxx.xxx.128 Địa chỉ mạng

xxx.xxx.xxx. 1 0

0 0 0 0 0 1
= xxx.xxx.xxx.129

xxx.xxx.xxx. 1 0

0 0 0 0 1 0
= xxx.xxx.xxx.130

. . . . . . . . . . . . .

. . . . . . . . ..
. . . . . . . . . . . . .

xxx.xxx.xxx. 1 0

1 1 1 1 1 0
= xxx.xxx.xxx.190

xxx.xxx.xxx. 1 0

1 1 1 1 1 1
= xxx.xxx.xxx.191 Không phân

Địa chỉ mạng con 2

Mạng 2: Địa chỉ máy chủ trên mạng 2.
Từ xxx.xxx.xxx.129 đến xxx.xxx.xxx.190.
Tổng quát lại:

Subnet ID
Hosts

01-62

64

65-126

128

129-190192193-254
a/ Mạng con thứ nhất
* / Địa chỉ mạng con: xxx.xxx.xxx.064

* / Địa chỉ các máy chủ trên mạng con này từ.

xxx.xxx.xxx. 065

xxx.xxx.xxx. 066

xxx.xxx.xxx. 067

…………..

đến xxx.xxx.xxx. 126

b/ Mạng con thứ 2
*/ Địa chỉ mạng con: xxx.xxx.xxx. 128

*/ Địa chỉ các máy chủ trên mạng con này từ.

xxx.xxx.xxx. 129

xxx.xxx.xxx. 130

………….

đến xxx.xxx.xxx. 190

Địa chỉ máy chủ từ 1 đến 62 và từ 193 đến 254 và 127 ; 191 bị mất, nghĩa là mất 130 địa chỉ.
Ví dụ: Địa chỉ tiêu chuẩn lớp C là 196. 200. 123
Subnetmask 255.255.255.192
Từ địa chỉ này ta có 2 mạng con là:

* Mạng 1: Địa chỉ mạng 196.200.123.064

Địa chỉ Máy chủ trên mạng này.

Từ 196.200.123.065 đến 196. 200. 123. 126.

* Mạng 2: Địa chỉ mạng 196.200.123.128

Địa chỉ máy chủ trên mạng này.

Từ 196.200.123.129 đến 196.200.123. 190

Tổng quan về Switch Cisco

Phụ thuộc vào khả năng cũng như điều kiện sử dụng Cisco khuyến cáo các doanh nghiệp lớn có mạng máy tính phức tạp nên sử dụng mô hình phân cấp:

Phụ thuộc vào từng tầng Cisco khuyến cáo sử dụng các dòng Switchs để đáp ứng tối ưu nhu cầu

I. Wiring Closet: Giới thiệu dòng Switch 3560

II. Data Access: Giới thiệu dòng Switch 4948

III. Distribution/Core: Giới thiệu dòng Switch 6500

I. Tầng Wiring Closet

Tầng này là tầng giao tiếp trực tiếp với các thiết bị như máy tính, PC, Server hay các thiết bị hỗ trợ trên nền IP là Voice divice, Camera IP…

Tuỳ vào số lượng hay nhu cầu của công ty các bạn có thể chọn Switchs cho tầng này hợp lý, ở đây tôi chỉ giới thiệu các tính năng và khả năng của dòng Switch 3560

Switch 3560

Dòng Switch 3560 là một dòng đã được cấu hình sẵn, hỗ trợ chuẩn IEEE 802.3af và chuẩn Cisco Power over Ethernet (PoE). Là thiết bị làm việc cung cấp cho mạng ở chế độ Fast Ethernet và Gigabit Ethernet. Dòng Switch này cũng có khả năng làm việc tại tầng Data Access với các doanh nghiệp vừa và nhỏ không yêu cầu khắt khe về đường truyền, hỗ trợ hầu hết các tốc độ của mạng 10/100/1000 và với PoE được cấu hình để đáp ứng tối đa nhu cầu sử dụng. Sản phẩm với các tính năng bảo vệ nổi bật cùng với hỗ trợ các ứng dụng mới như IP telephony, Wireless access, truyền hình hội nghị, xây dựng hệ thống quản lý, và điều khiển từ xa.

Khách hàng có thể triển khai hệ thống mạng lớn với các dịch vụ thông minh với chất lượng cao (QoS), tốc độ tối đa, hỗ trợ Access Control Lists (ACLs), quản lý Multicast, khả năng định tuyến làm việc với yêu cầu cao trong khi vẫn quản lý đơn được băng thông. Với các tính năng nổi trội của sản phẩm cùng với khả năng quản lý tập trung các ứng dụng cho phép đơn giản hoá quá trình quản trị với cac công cụ của Cisco Switch, Router, và Wireles Access Point. Với Cisco Network Assitant cung cấp cho bạn từng bước cấu hình Switch một cách đơn giản, triển khai mạng một cách nhanh chóng và đáp ứng các dịch vụ thông minh trên mạng

Dòng sản phẩm với các loại Switch: Sẽ đáp ứng được các nhu cầu của doanh nghiệp:

· Cisco Catalyst 3560-24TS

24 Ethernet 10/100 ports and 2 small form-factor pluggable (SFP) ports

· Cisco Catalyst 3560-48TS

48 Ethernet 10/100 ports and 4 SFP ports

· Cisco Catalyst 3560-24PS

24 Ethernet 10/100 ports with Power over Ethernet (PoE) and 2 SFP ports

· Cisco Catalyst 3560-48PS

48 Ethernet 10/100 ports with PoE and 4 SFP ports

· Cisco Catalyst 3560G-24TS

24 Ethernet 10/100/1000 ports and 4 SFP ports

· Cisco Catalyst 3560G-48TS

48 Ethernet 10/100/1000 ports and 4 SFP ports

· Cisco Catalyst 3560G-24PS

24 Ethernet 10/100/1000 ports with PoE and 4 SFP ports

· Cisco Catalyst 3560G-48PS

48 Ethernet 10/100/1000 ports with PoE and 4 SFP ports

Dòng sản phẩm Cisco Switch 3560 hỗ trợ các chuẩn Multilayer Software Image (SMI) hoặc Enhanced Multilayer Software Image (EMI). Các thành phần của SMI bao gồm các thiết lập về QoS, rate-limiting, ACLs và các cấu hình Routing chuẩn. Còn EMI cung cấp khả năng đáp ứng với các thành phẩn của Enterprise-Class, bao gồm tối ưu hoá phần cứng dựa trên cơ sở IP Unicast và IP Multicast routing như Policy Based routing

II. Tầng Data Access

Với yêu cấu đáp ứng các kết nối giữa các Switch của tầng Wiring Closet nên các Switch ở tầng này yêu cầu khả năng đáp ứng cũng như các tính năng cao trong việc Routing và Switching. Ở tầng này giới thiệu một dòng Switch là dòng Switch 4948

Catalyst 4948

Với khả năng làm việc tốc độ cao, yêu cầu độ ổn định tốt, đáp ứng các kết nối ở tốc độ Gigabit giữa các Switchs được kết nối trên dòng Switch 4948. hỗ trợ hai Modul quang tốc độ cao để kết nối giữa tầng Data Access – Data Access, Data Access – Distribution/Core.

Được các nhà tester về mạng chuyên nghiệp và nổi tiếng nhất thế giới kiểm tra và công nhận là Network World Best Switch được tổ chức và công nhận ngày 27/3/2006. Switch với 48 ports Gigabit và 2 Ports 10 Gigabit với tốc độ cực cao như vậy đã được các nhà tester dù khó tính đến đâu cũng phải công nhận.

Dòng Switch 4949 cung cấp kết nối dây với các thiết bị, với độ trễ cực thấp, làm việc trên môi trường mạng từ Layer 2 đến Layer 4. Thiết kế để trên tủ Rack (1U), sản suất dựa trên nền phần cứng và phần mềm hỗ trợ của dòng Switch 4500, Cisco Switch 4948 được thiết kế đặc biệt với độ ổn định cao và độ chễ được giảm tối đa, làm việc tại nhiều lớp mạng (layer 2-4) hỗ trợ kết nối tốc độ Gigabit với các thiết bị như Switch hay các máy chủ cần yêu cầu cực cao về tốc độ kết nối. Với thiết kế 48 ports cho các tốc độ 10/100/1000BASE-T cùng với 4 kết nối khác sử dụng 1000BASE-X với Small Form-Factor Pluggable (SFP) hay gọi là Modul quang. Hoạt động với độ ổn định cao hỗ trợ nguồn vào cả AC và AC hỗ trợ hot-Swappable và redundant fans.

III. Tầng Distribution/Core

Được thiết kế dành riêng với dòng High-End Switch của Cisco đáp ứng sử lý với lượng thông tin đi qua cực lớn, với độ ổn định cực cao và đáp ứng kết nối, routing, switch cho tầng Data Access. Chúng tôi giới thiệu dòng sản phẩm 6500 đáp ứng các yêu cầu khắt khe nhất về công nghệ


Được thiết kế như một trung tâm của mạng, dòng Switch 6500 với khả năng đáp ứng cao nhất, với độ ổn định nhất và bảo mật được coi là hàng đầu, sức mạnh xử lý tập trung cho toàn bộ mạng, được hoạt động với hiệu năng cao nhất, hỗ trợ khả năng mở rộng, với sức mạnh vô địch về xử lý thông tin, được bảo hành lâu. Thiết kế đặc biệt dành cho các doanh nghiệp vừa, và lớn hay các nhà cung cấp dịch vụ. Khả năng làm việc cung ứng tại tất cả các tầng của mạng từ Wiring Closet cho đến Core Layer, một dạng của trung tâm dữ liệu khi xử dụng dòng Switch này cho tầng Wiring Closet.

Dòng Switch 6500 vẫn được coi là dòng Switch High-End cùng với quá trình luôn luôn đổi mới và nâng cấp cho nó hiện nay với dòng 6513 đầy sức mạnh của mình Cisco đáp ứng được các nhu cầu khắt khe nhất về tốc độ hiện nay

Đáp ứng cực cao

Dòng Switch 6500 với Cisco phần mềm hệ thống IOS cho phép nâng cấp các thành phần phụ, về phần mềm cũng như phần cứng và quá trình khởi động lại hỗ trợ cho từng Modul riêng của Switch. Khả năng tự tìm kiếm các phần cứng hay phần mềm mới mà không phải khởi động lại cả hệ thống giúp Switch luôn ở trạng thái

Dòng Switch bao gồm nhiều phương thức bảo mật như chống tấn công từ chối dịch vụ DoS, kết hợp với các dịch vụ bảo vệ khác cho phép Switch luôn làm việc với hiệu năng cao nhất và vẫn đáp ứng được kết nối. Hỗ trợ các dịch vụ thông minh với Man-in-the-middle bảo vệ các tấn công qua IP phone. Và một phần không thể thiếu trong bảo mật là dịch vụ IBNS để điều khiển quá trình truy cập mạng (control network access).

Khả năng mở rộng cao

Dòng Switch 6500 hiện nay hỗ trợ tới 288 lớp 3 (15.4W) thiết bị PoE, kết nối lên đến1152 10/100-Mbps, 576 10/100/1000-Mbps hay 32 10Gbps Ethernet ports trên một modul. Và hệ thống có thể lên đến 720Gbps, đáp ứng 40Gbps/slot. Thêm vào đó bạn cso thể lựa chọn bao gồm 3,4,6,9 và 13 khe cho các kết nối WAN.

Với việc kết hợp giữa các dòng Switch của Cisco bạn có thể tối ưu hoá được mạng giúp các thiết bị luôn luôn được kết nối với tốc độ cao, tính ổ định được đáp ứng và bảo mật là vấn đề luôn được coi trọng trong tất cả các kết nối

Các dòng sản phẩm của Cisco

Cisco System là hãng chuyên sản xuất và đưa ra các giải pháp mạng LAN&WAN lớn nhất hiện nay. Thị phần của hãng chiếm 70% đến 80% thị trường thiết bị mạng trên toàn thế giới. Các thiết bị và giải pháp của hãng đáp ứng nhu cầu của mọi loại hình doanh nghiệp từ các doanh nghiệp vừa và nhỏ đến các doanh nghiệp có quy mô lớn và các nhà cung cấp dịch vụ Internet (ISP).
Là đối tác vàng (Gold Partner) đầu tiên của Cisco tại khu vực Đông Dương, FIS cung cấp hầu hết các sản phẩm mạng của Cisco tập trung vào ba hướng công nghệ chính sau:

• Router and Routing Systems
• Switches
• Universal Gateway and Access Servers

Ngoài ra, chúng tối còn cung cấp các sản phẩm mạng thuộc các hướng công nghệ như: Voice and IP Communications, Wireless, Video, Storages, Contents and Optical Networking, Network Management của CISCO nhằm đem đến những giải pháp hệ thống mạng mạnh và tối ưu nhất.
1. Router and Routing Systems
Các sản phẩm thuộc loại này được tập chung chủ yếu vào các dòng sản phẩm dưới đây:

• Cisco 7600 Series Routers
• Cisco 7500 Series Routers
• Cisco 7200 Series Routers
• Cisco 3700 Series Multiservice Access Routers
• Cisco 7600 Series Routers
• Cisco 7600 Series Routers
• Cisco 3600 Series Multiservice Platforms
• Cisco 2600 Series Multiservice Platforms
• Cisco 2500 Series Routers
• Cisco 1700 Series Modular Access Routers
• Cisco 800 Series Routers

Cisco 800 Series Router

Cisco 800 Series Router
Cisco 800 Series là giải pháp lý tưởng cho các kết nối Internet an toàn và các kết nối mạng cho các văn phòng nhỏ hoặc những người làm việc từ xa (teleworkers).

Cisco 1700 Series Modular Acess Routers

Cisco 1700 Series

Cisco 1700 Series Modular Access Router cung cấp truy cập Inernet và mạng nhanh, tin cậy và an toàn thông qua các công nghệ WAN tốc độ cao khác nhau. Cisco 1700 Series cho phép rất nhiều khả năng bảo mật như wire-speed IP Security VPN, Firewall protection, và Intrusion detection. Đồng thời dòng sản phẩm này cũng đưa ra các dịch vụ VoIP và IP Telephony thông qua mạng hợp nhất Voice-Data với các tính năng QoS cao. Dòng sản phẩm này là lý tưởng cho Enterprise branch offices và Small and Medium-sized businesses.
Các models thuộc dòng 1700 series:

• Cisco 1760, 1751, 1721 Modular Access Router
• Cisco 1712, 1711, 1710 Security Access Router
• Cisco 1701 ADSL Security Access Router

Cisco 2500 Series Routers

Cisco 2500 Series Routers

Cisco 2600 Series

Hiện tại Cisco chỉ sản xuất hai dòng 2509 và 2511, còn lại tất cả các dòng khác được thay thế bới Cisco 2600 Series. Cisco 2509 và Cisco 2511 cung cấp hai cổng Serial WAN tốc độ cao và 8 hoặc 16 cổng Async cho phép các truy cập từ xa thông qua modem ngoài. Ruoter được kết nối vào mạng LAN thông qua cổng Ethernet 10Mbps. Loại Router này hoàn toàn phù hợp với các doanh nghiệp loại trung bình với khả năng cung cấp đầy đủ các tính năng Routing, QoS và Security.
Cisco 2600 Series Multiservice Platforms
Cisco 2600 Series Multiservice Platform là loại modular multiservice access router cung cấp các cấu hình LAN&WAN đa dạng, nhiều chọn lựa về an toàn bảo mật và có tốc độ xử lý cao. Loại Router này có hơn 70 loại modules và giao diện mạng khác nhau cùng với cấu trúc module đã tạo nên một dòng sản phẩm dễ dàng nâng cấp khi có nhu cầu mở rộng mạng.
Model mới nhất của dòng sản phẩm này là Cisco 2600XM models và Cisco 2691 Multiservice Platform. Những models mới này có khả năng xử lý nhanh hơn, nhiều kết nối hơn và khả năng bảo mật cao hơn đáp ứng nhu cầu phát triển của các chi nhánh và doanh nghiệp nhỏ.

Cisco 3600 Series

Cisco 3700 Series

Cisco 7200 Series Routers

Cisco 3600 Series Multiservice Platforms
Cisco 3600 Series là dòng sản phẩm dạng modular, multiservice access platforms cho các văn phòng trung bình và lớn hoặc các ISP loại nhỏ. Với hơn 70 chọn lựa modular interfaces, Cisco 3600 cung cấp các giải pháp cho data, voice video, hybrid dial access, virtual private networks (VPNs), và multiprotocol data routing.
Cisco 3700 Series Multiservice Access Routers
Cisco 3700 Series cho phép các tính năng và module hoàn toàn mới và mạnh mẽ hơn, nhiều kết nối hơn. Khi sử dụng module 16- or 36-port EtherSwitch, Cisco 3700 Series trở thành một thiết bị tích hợp cả routing và low-density switching. Bên cạnh đó nó có thể hỗ trợ internal inline power cho các EtherSwitch ports, tạo nên một platform duy nhất cho giải pháp IP telephony và voice gateway.
Cisco 7200 Series Routers
Là loại Router lớn ứng dụng cho Enterprise và Service Provider.
Các lợi ích của Cisco 7200 series routers bao gồm:

• Unparalleled Cisco IOS-based IP/MPLS feature support (QoS, Broadband Agg, Security, Multiservice, MPLS, and more)
• Broad range of flexible, modular interfaces (from DS0 to OC12)
• Support for Fast Ethernet, Gigabit Ethernet, Packet Over Sonet and more
• Fully modular design in a 3RU footprint
• Full L2TP and PPP termination support
• Support for up to 16,000 broadband subscriber sessions with the NPE-G1
• Service Accelerator using Cisco PXF technology
• Multi-protocol support
• Low initial investment
• Scalability and flexibility; ideal for network re-deployment

Cisco 7500 Series Routers

Cisco 7600 Series Routers

Cisco 7500 Series Routers
High-performance Cisco 7500 Series Routers là loại Router mạnh nhất hiện nay có khả năng hỗ trợ các dịch vụ LAN/WAN với khả năng dự phòng, ổn định, tin cậy và mạnh mẽ.
Cisco 7500 sử dụng Versatile Interface Processors (VIPs) với kiến trúc phân tán là chìa khoá chính cho khả năng scalability của Cisco 7500. Mỗi VIP có bộ vi xử lý riêng, có khả năng switching IP data packets và cung cấp các dịch vụ mạng. Performance của Cisco 7500 được tăng lên khi cần kiểm soát các kết nối mạng tốc độ cao và nhiều dữ liệu. Route Switch Processor vẫn là cốt lõi của Cisco 7500. Bên cạnh khả năng packet switching, VIPs cũng có khả năng cung cấp một loạt các dịch vụ mạng IP phân tán, bao gồm: Access control, QoS, và Traffic accounting (NetFlow).
Cisco 7600 Series Routers
Cisco 7600 Series Router cung cấp các tính năng IP/MPLS mạnh mẽ cho các ứng dụng của các ISP và Enterprise MAN/WAN. Sự đa dạng về các Interfaces và công nghệ xử lý tiên tiến làm cho Cisco 7600 Series có khả năng cung cấp Integrated Ethernet, Private line, và Subscriber aggregation.

Phân tích quá trình bắt tay giữa hai máy tính

Phân tích quá trình bắt tay giữa hai máy tính
Máy A muốn liên lạc với máy X, phải biết IP address của nó (hoặc hostname/domainname).Máy A dò trong ARP cache để tìm địa chỉ MAC đích có chưa, nếu chưa sẽ dùng ARP gửi thông điệp (broadcast) đến tòan mạng .
Có 2 trường hợp:

1/ Host X cùng segment với nó :
Host A gửi thông điệp với địa chỉ IP đích (đã biết) và MAC đích là FF-FF-FF-FF-FF-FF để hỏi xem MAC của địa chỉ này là gì.Các host trên segment đều nhận và xử lý gói này ,host nào có địa chỉ IP trùng với yêu cầu sẽ gửi lại thông tin cho host A là “IP này có MAC là : ……”.Host A nhập thông tin vào ARP cache (RAM).Khi muốn liên lạc với X thì lại tra trong ARP cache để biết địa chỉ MAC cần đến.
ARP là gì?
Trong protocol TCP/IP có ARP protocol. ARP tự động cập nhật các MAC tương ứng với các IP và xây dựng một bảng ARP table trong máy tính trong cùng mạng subnet. Khi này , nếu A và X ở trong cùng LAN, thì khi A muốn gửi packet cho X, nó sẽ match IP của X với MAC tương ứng trong bang ARP của nó. Nếu A biết IP của X , nhưng không match được MAC tương ứng trong bảng ARP của nó , thì khi này nó sẽ gứi một packet , gọi là ARP request, với địa chỉ MAC broadcast FFFFFFFFFF . Khi này tất cả máy tính trên cùng một mạng sẽ nhận được gói này và chuyển lên lớp Network; nhưng chỉ có máy có IP match với IP destination address trong ARP request mới gửi trả lại gói tin có chứa địa chỉ MAC tương ứng mà máy A muốn tìm . Gói tin này là ARP reply. Nếu Host X available trên Segment thì nó sẽ biết là gói tin này gửi cho nó nhờ vào địa chỉ IP mà Host A ghi trong gói tin ARP request và nó sẽ trả lời bằng 1 gói tin ARP reply. Gói tin ARP reply sẽ có MAC nguồn là MAC của Host X, MAC đích là MAC của Host A, khi Host A nhận được gói tin này tự nhiên sẽ biết được MAC của X. Sau khi A nhận được ARP reply , nó sẽ mở gói và update bảng ARP table của nó: IP và MAC của máy X.

2/ Host X không cùng segment với host A :
Lúc đó phải nhờ đến router để forward yêu cầu này đến các segment khác. Trong trường hợp này, router sẽ gửi địa chỉ MAC của interface mà nhận gói ARP request trên Router cho máy gửi (máy A ).
Nói một cách khác để liên lạc với một máy tính khác không cùng nằm trên 1 segment ta phải sử dụng đến “default gateway”. Default Gateway là một phần của một host (máy tính). Nó là một địa chỉ IP của một interface trên router, và được cấu hình cho host. Địa chỉ IP của host và của Default Gateway phải cùng segment mạng. Khì này, máy gửi (A) sẽ kiểm tra xem nó và máy nhận (B) có cùng nằm trên một subnet hay không. Nếu không, nó sẽ đóng gói packet gửi với IP destination address là của máy nhận và MAC address destinaiton là của Router nối với subnet của nó. Nếu Proxy ARP hay default gateway không được cấu hình, thì không có “traffic” nào có thê rời khỏi một subnet (một mạng cục bộ). Phải có một trong hai cái được cấu hình ( hay cho phép) để có thể giao tiếp với các segment mạng khác được. “IP source và dest không bao giờ thay đổi, chỉ có MAC source và dest là thay đổi thôi”.
Proxy ARP: Theo cách thức hoạt động của proxy ARP, ta có thể thấy rằng client khi muốn biết MAC của một host nào đó, nó chỉ đơn giản là broadcast ARP-Request lên mạng. Router sẽ có trách nhiệm đáp trả lại bằng ARP-Reply nếu nó nhận thấy IP-destination là thuộc mạng khác. Như vậy, cấu hình IP cho client cực kỳ đơn giản, nhưng gánh nặng lại đè lên router. Thử tưởng tượng cứ sau 1 phút, ARP-entry bị hủy bỏ, thế là các client thi nhau broadcast lên mạng thì router “tiêu” như chơi. Ngoài ra, proxy ARP còn gặp một bất lợi nếu trong segment có tới hơn 1 router. Chọn router nào, nếu như các router đều có route đến mạng đích?
Default-Gateway: Nếu client biết rằng IP-dest không thuộc mạng của nó, nó dùng MAC của default-gateway để gửi gói tin, router default-gateway nhận lấy gói tin sẽ biết phải xử lý tiếp theo như thế nào (dựa trên IP source/destination). Cách này giảm tải cho router, giải quyết được trường hợp có nhiều router nối vào cùng segment, và đỡ gây nhầm lẫn. Nếu Host A có cấu hình sử dụng Defaul gateway trong TCP/IP protocol thì gói tin ARP request sẽ không phải dạng Broadcast mà được gửi thẳng đến cho Router ( TCP/IP stack quy định như vậy). Tất nhiên để gửi được gói tin này đến cho Router thì nó cũng phải request MAC của defaul gateway trên Router trước, sau đó khi có MAC của default gateway thì Host A sẽ tạo 1 gói tin ARP request MAC của Host X với IP đích là IP Host X, MAC đích là MAC của default gateway. Khi Router gateway nhận được gói tin này thì nó sẽ Forward qua interface trên segment thích hợp, tại đây phần Datalink header sẽ được lấy ra (Pull out) và phần Datalink header mới sẽ được gắn vào với mục đích để truyền trên Segment của Host B. Khi Host B nhận được gói tin ARP request thì cũng sẽ trả lời lại bằng gói tin ARP reply được gửi đến DefautGateway trên Segment của nó. Khi Router nhận được gói tin này cũng làm việc tương tự như khi gửi đi từ Host A (pull out Datalink header, gắn datalink header mới v.v….) Nếu Host A không có cấu hình default gateway (tất nhiên sẽ broadcast gói tin ARP request) nhưng nếu Router trên Segment của host A có chức năng ARP Proxy thì căn cứ trên IP mà gói tin ARP request yêu cầu ROUTER sẽ so sánh với Routing Table của nó và nhận gói tin này nếu Match trong Routing table, sau đó sẽ forward qua Segment thích hợp. Quá trình tiếp theo tương tự như trường hợp A. Như vậy : nếu 1 trong 2 default gateway của 2 segment cấu hình sai thì sẽ dẫn đến việc Host A không thể liên lạc được với Host X và ngược lại. Ngoài ra nếu thời gian tồn tại của ARP cache trong memory quá lâu công với việc có thay đổi MAC của DF gateway sẽ dẫn đến việc tạm thời không thể thực hiện ARP request.
Ví dụ minh họa cho các lý thuyết nêu trên (xin lưu ý các IP cùa source và destination là không thay đổi chỉ có mac là thay đổi thôi). các bạn xem một ví dụ sau để đễ hiểu hơn nhé

Máy A——-Router1——–Router2——–Router3——Máy B

Đầu tiên máy A đóng gói gói tin như sau
IP nguồn là IP của máy A. IP đích là IP của máy B xuống đến tầng datalink máy A sẽ xem máy B có trong cùng subnet với mình không, trong truờng hợp này là không.
Lúc này máy A sẽ dùng :
MAC nguồn là của máy A. MAC đích là MAC của interface trên router1 nối với subnet A.
Router1 sẽ xem IP đích có nằm trong subnet của mình hay không trong truờng hợp này là không, lúc này router sẽ đóng gói địa chỉ MAC nguồn là MAC cùa interface mà router này nối với router2, MAC đích sẻ là MAC trên interface của router2, router2 cũng xử lý giống router 1 và chuyển đến router3. Router3 sẽ xem IP này có nằm trong subnet của mình không, nếu có thì nó sẽ xem xét địa chỉ MAC tương ứng với IP này (router3 biết được vì nó tra trong bảng ARP của nó có chứa máy B vì B cùng subnet) ứng với IP này router3 xác định đưọc MAC là máy B, tuy vậy nó vẫn gửi Brodcast đến tất cả các máy trong subnet có máy B nhưng chỉ máy B nhận gói tin vì nó có MAC trùng với MAC đích trong gói tin.
Máy A sẽ gửi 1 gói tin gọi là ARP request (ARP = Address Resolution Protocol) bằng cơ chế broadcast để tất cả các máy đều có thể nhận được gói tin này

tìm hiểu TCP/IP (phần 3)

TCP/IP có nhiều thuộc tính quan trọng mà chúng ta cần xem xét. Đặc biệt, cần chú ý đến cách bộ giao thức TCP/IP giải quyết những vấn đề sau: (1) Địa chỉ logic, (2) Định tuyến, (3) Dịch vụ tạo địa chỉ tên, (4) Kiểm tra lỗi và kiểm soát giao thông, (5) Hỗ trợ ứng dụng. Những vấn đề này là cốt lõi của TCP/IP.
Địa chỉ logic
Một bộ điều hợp mạng (network adapter) có một địa chỉ vật lý cố định và duy nhất. Địa chỉ vật lý là một con số cho trước gắn vào bộ điều hợp tại nơi sản xuất. Trong mạng cục bộ, những giao thức chỉ chú trọng vào phần cứng sẽ vận chuyển dữ liệu theo mạng vật lý nhờ sử dụng địa chỉ vật lý của bộ điều hợp. Có nhiều loại mạng và mỗi mạng có cách thức vận chuyển dữ liệu khác nhau. Ví dụ, một mạng Ethernet, một máy tính gửi thông tin trực tiếp tới bộ phận trung gian. Bộ điều phối mạng của mỗi máy tính sẽ lắng nghe tất cả các tín hiệu truyền qua lại trong mạng cục bộ để xác định thông tin nào có địa chỉ nhận giống của mình.
Tất nhiên, với những mạng rộng hơn, các bộ điều hợp không thể lắng nghe tất cả các thông tin. Khi các bộ phận trung gian trở nên quá tải với số lượng máy tính được thêm mới, hình thức hoạt động này không thể hoạt động hiệu quả.
Các nhà quản trị mạng thường phải chia vùng mạng bằng cách sử dụng các thiết bị như bộ định tuyến để giảm lượng giao thông. Trên những mạng có định tuyến, người quản trị cần có cách để chia nhỏ mạng thành những phần nhỏ (gọi là tiểu mạng) và thiết lập các cấp độ để thông tin có thể di chuyển tới đích một cách hiệu quả. TCP/IP cung cấp khả năng chia tiểu mạng thông qua địa chỉ logic. Một địa chỉ logic là địa chỉ được thiết lập bằng phần mềm của mạng. Trong TCP/IP, địa chỉ logic của một máy tính được gọi là địa chỉ IP. Một địa chỉ IP bao gồm: mã số (ID) mạng, dùng để xác định mạng; ID tiểu mạng, dùng để xác định vị trí tiểu mạng trong hệ thống; ID máy nguồn (chủ), dùng để xác định vị trí máy tính trong tiểu mạng.
Hệ thống tạo địa chỉ IP cũng cho phép quản trị mạng đặt ra hệ thống số của mạng một cách hợp lý để khi cần mở rộng có thể dễ dàng bổ sung và quản lý.
Định tuyến
Bộ định tuyến là thiết bị đặc biệt có thể đọc được thông tin địa chỉ logic và điều khiển dữ liệu trên mạng tới được đích của nó.
Ở mức độ đơn giản nhất, bộ định tuyến phân chia tiểu vùng từ hệ thống mạng (xem hình 1.3). Dữ liệu cần chuyển tới địa chỉ nằm trong tiểu vùng đó, nên không qua bộ định tuyến. Nếu dữ liệu cần tới máy tính nằm ngoài tiểu vùng của máy gửi đi (máy chủ), thì bộ định tuyến sẽ làm nhiệm vụ của mình. Trong những mạng có quy mô rộng lớn hơn, như Internet chẳng hạn, sẽ có vô vàn bộ định tuyến và cung cấp các lộ trình khác nhau từ nguồn tới đích (xem hình 1.4).
Hình 1.3 – Bộ định tuyến nối LAN với mạng lớn hơn.Hình 1.4 – Mạng có định tuyến.TCP/IP bao gồm các giao thức có chức năng xác định cách các bộ định tuyến tìm lộ trình trong mạng.
Giải pháp địa chỉ dạng tên
Mặc dù địa chỉ IP số có thể thân thiện hơn với địa chỉ vật lý của adapter mạng, nhưng IP được thiết kế chỉ đơn giản là nhằm tạo sự thuận tiện cho máy tính chứ không phải con người. Mọi người chắc chắn sẽ gặp phải khó khăn khi nhớ các địa chỉ như 111.121.131.146 hay 111.121.131.156. Vì thế, TCP/IP cung cấp một địa chỉ dạng ký tự tương ứng với địa chỉ số, những địa chỉ ký tự này được gọi là tên miền hay DNS (Dịch vụ tên miền). Một số máy tính đặc biệt được gọi là máy chủ quản lý tên miền lưu trữ các bảng hướng dẫn cách gắn tên miền với địa chỉ số.
Kiểm tra lỗi và kiểm soát giao thông
Bộ giao thức TCP/IP cung cấp các thuộc tính đảm bảo mức độ tin cậy của việc vận chuyển dữ liệu trên mạng. Những thuộc tính này bao gồm việc kiểm tra lỗi trong quá trình vận chuyển (để xác định dữ liệu đã tới nơi chính là cái đã được gửi đi) và xác nhận việc thông tin đã được nhận. Lớp Vận chuyển của TCP/IP xác định các việc kiểm tra lỗi và xác nhận thông qua giao thức TCP. Nhưng giao thức ở cấp thấp hơn, Lớp Truy cập Mạng, cũng đóng một vai trò trong toàn bộ quá trình kiểm tra lỗi.
Hỗ trợ ứng dụng
Bộ giao thức phải cung cấp giao diện cho ứng dụng trên máy tính để những ứng dụng này có thể tiếp cận được phần mềm giao thức và có thể vào mạng. Trong TCP/IP, giao diện từ mạng cho tới ứng dụng chạy trên máy ở mạng cục bộ được thực hiện thông qua các kênh logic gọi là cổng (port). Mỗi cổng có một số đánh dấu.

Một số tổ chức đóng vai trò quan trọng trong sự phát triển của TCP/IP và Internet. Trong số đó phải kể đến Uỷ ban Cố vấn Internet (IAB), Lực lượng Quản lý Kỹ thuật Internet (IETF), Lực lượng Nghiên cứu Internet (IRTF), Cơ quan Cấp địa chỉ số Internet (IANA) và Dịch vụ Thông tin Internet (InterNIC).
Uỷ ban Cố vấn Internet (IAB): Cơ quan này có trách nhiệm xây dựng chính sách cho Internet và theo sát sự phát triển của các tiêu chuẩn TCP/IP.
Lực lượng Quản lý Kỹ thuật (IETF): Đây là một nhánh của IAB, có chức năng nghiên cứu và quyết định các vấn đề kỹ thuật. IETF được chia thành các nhóm, mỗi nhóm nghiên cứu một lĩnh vực của TCP/IP và Internet, chẳng hạn như Chương trình ứng dụng, Định tuyến, Quản lý mạng…
Lực lượng Nghiên cứu Internet (IRTF): Đây cũng là một nhánh của IAB, họ tập trung vào các chương trình nghiên cứu dài hạn.
Cơ quan Cấp địa chỉ số Internet (IANA): Tổ chức này có quyền cấp địa chỉ số Internet quan trọng như Internet IP, TCP và số cổng UDP.
Dịch vụ Thông tin Internet (InterNIC): Bạn có thể đăng ký tên miền Internet thông qua InterNIC. Địa chỉ liên hệ của InterNIC là http://internic.net.
Đa số các văn bản giấy tờ chính thức về TCP/IP đều có thể tìm thấy thông qua hệ thống yêu cầu cung cấp thông tin có tên RFC (Requests for Comment). Thư viện RFC bao gồm các tiêu chuẩn Internet và báo cáo của các nhóm nghiên cứu. Các hướng dẫn chính thức của IETF được xuất bản dưới dạng RFC. Nhiều RFC đề cập đến các khía cạnh của TCP/IP hoặc Internet. Bất kỳ ai cũng có thể gửi RFC để xem xét. Bạn có thể gửi đề xuất RFC tới IETF hoặc gửi trực tiếp tới bộ phận biên soạn RFC theo địa chỉ rfc-editor@rfc-editor.org.
RFC cung cấp kiến thức kỹ thuật nền tảng cho những ai muốn hiểu cặn kẽ hơn về TCP/IP. Đồng thời, nó cũng cung cấp một số nghiên cứu kỹ thuật về giao thức, các ứng dụng và dịch vụ, cũng như một số bài liên quan đến TCP/IP.
Bạn có thể tìm thấy RFC tại địa chỉ www.rfc-editor.org.

TCP/IP là một hệ thống (hoặc bộ) giao thức, và một giao thức là một hệ thống các quy định và thủ tục. Đại đa số phần cứng và phần mềm giúp máy tính tham gia quá trình trao đổi thông tin đều thực hiện các quy chuẩn của TCP/IP – người sử dụng không cần phải biết chi tiết các quy chuẩn này. Tuy nhiên, một nền tảng kiến thức về TCP/IP sẽ rất cần thiết nếu bạn muốn thiết lập cấu hình cũng như giải quyết các sự cố khi làm việc với mạng TCP/IP.
Trước khi xem xét các thành phần của TCP/IP, chúng ta nên bắt đầu bằng cách tìm hiểu qua nhiệm vụ của một hệ thống giao thức. Một hệ thống giao thức như TCP/IP phải đảm bảo khả năng thực hiện những công việc sau:
– Cắt thông tin thành những gói dữ liệu để có thể dễ dàng đi qua bộ phận truyền tải trung gian.
– Tương tác với phần cứng của adapter mạng.
– Xác định địa chỉ nguồn và đích: Máy tính gửi thông tin đi phải có thể xác định được nơi gửi đến. Máy tính đích phải nhận ra đâu là thông tin gửi cho mình.
– Định tuyến: Hệ thống phải có khả năng hướng dữ liệu tới các tiểu mạng, cho dù tiểu mạng nguồn và đích khác nhau về mặt vật lý.
Kiểm tra lỗi, kiểm soát giao thông và xác nhận: Đối với một phương tiện truyền thông tin cậy, máy tính gửi và nhận phải xác định và có thể sửa chữa lỗi trong quá trình vận chuyển dữ liệu.
Chấp nhận dữ liệu từ ứng dụng và truyền nó tới mạng đích.
Để có thể thực hiện các công việc trên, những người sáng tạo ra TCP/IP đã chia nó thành những phần riêng biệt, theo lý thuyết, hoạt động độc lập với nhau. Mỗi thành phần chịu một trách nhiệm riêng biệt trong hệ thống mạng.
Lợi thế của cấu trúc lớp nằm ở chỗ nó cho phép các nhà sản xuất dễ dàng áp dụng phần mềm giao thức cho các phần cứng và hệ điều hành. Các lớp giao thức TCP/IP bao gồm:
Lớp truy cập mạng – Cung cấp giao diện tương tác với mạng vật lý. Format dữ liệu cho bộ phận truyền tải trung gian và tạo địa chỉ dữ liệu cho các tiểu mạng dựa trên địa chỉ phần cứng vật lý. Cung cấp việc kiểm tra lỗi trong quá trình truyền dữ liệu.
Lớp Internet – Cung cấp địa chỉ logic, độc lập với phần cứng, để dữ liệu có thể lướt qua các tiểu mạng có cấu trúc vật lý khác nhau. Cung cấp chức năng định tuyến để giao lưu lượng giao thông và hỗ trợ việc vận chuyển liên mạng. Thuật ngữ liên mạng được dùng để đề cập đến các mạng rộng lớn hơn, kết nối từ nhiều LAN. Tạo sự gắn kết giữa địa chỉ vật lý và địa chỉ logic.
Lớp vận chuyển – Giúp kiểm soát luồng dữ liệu, kiểm tra lỗi và xác nhận các dịch vụ cho liên mạng. Đóng vai trò giao diện cho các ứng dụng mạng.
Lớp ứng dụng – Cung cấp các ứng dụng để giải quyết sự cố mạng, vận chuyển file, điều khiển từ xa, và các hoạt động Internet. Đồng thời hỗ trợ Giao diện Lập trình Ứng dụng (API) mạng, cho phép các chương trình được thiết kế cho một hệ điều hành nào đó có thể truy cập mạng.
Khi hệ thống giao thức TCP/IP chuẩn bị cho một khối dữ liệu di chuyển trên mạng, mỗi lớp trên máy gửi đi bổ sung thông tin vào khối dữ liệu đó để các lớp của máy nhận có thể nhận dạng được.

Ngành công nghiệp mạng có mô hình bảy lớp tiêu chuẩn cho cấu trúc giao thức mạng, gọi là Mô hình Liên kết Hệ thống Mở (Open Systems Interconnection – OSI). Mô hình OSI là kết quả của những nỗ lực của Tổ chức Tiêu chuẩn Quốc tế; chuẩn hoá thiết kế hệ thống giao thức mạng nhằm phát triển sự liên kết qua lại và truy cập tự do giữa các chuẩn giao thức.
Khi kiến trúc tiêu chuẩn OSI xuất hiện thì TCP/IP đã trên con đường phát triển. Xét một cách chặt chẽ, TCP/IP không tuân theo OSI. Tuy nhiên, hai mô hình này có những mục tiêu giống nhau và do có sự tương tác giữa các nhà thiết kế tiêu chuẩn nên 2 mô hình xuất hiện những điểm tương thích. Cũng chính vì thế, các thuật ngữ của OSI thường được áp dụng cho TCP/IP. Hình 2.2 thể hiện mối quan hệ giữa tiêu chuẩn TCP/IP bốn lớp và mô hình OSI bảy lớp.
Hình 2.2.Lưu ý rằng, OSI chia nhiệm vụ của Lớp ứng dụng thành 3 phân lớp: Ứng dụng, Trình Bày và Khu vực. Hoạt động của Lớp tương tác mạng trong OSI được tách thành Lớp Kết nối dữ liệu và Lớp Vật lý. Việc chia nhỏ chức năng làm tăng thêm sự phức tạp, nhưng đồng thời cũng tạo ra sự linh hoạt cho các nhà phát triển.
Bảy lớp của mô hình OSI như sau:
Lớp vật lý – Chuyển đổi dữ liệu sang các dòng xung điện, đi qua bộ phận truyền tải trung gian và giám sát quá trình truyền dữ liệu.
Lớp kết nối dữ liệu – Cung cấp giao diện cho bộ điều hợp mạng, duy trì kết nối logic cho tiểu mạng.
Lớp mạng – Hỗ trợ địa chỉ logic và định tuyến.
Lớp vận chuyển – Kiểm tra lỗi và kiểm soát việc lưu chuyển liên mạng.
Lớp khu vực – Thiết lập các khu vực cho các ứng dụng tương tác giữa các máy tính.
Lớp trình bày – Dịch dữ liệu sang một dạng tiêu chuẩn, quản lý việc mã hoá và nén dữ liệu.
Lớp ứng dụng – Cung cấp giao diện cho các ứng dụng; hỗ trợ ứng dụng gửi file, truyền thông…
Điều cần đặc biệt lưu tâm là TCP/IP và OSI là các tiêu chuẩn, không phải là các bộ lọc hay phần mềm tạo giao thức.

Việc miêu tả các hệ thống giao thức theo lớp rất phổ biến và gần như thống nhất. Hệ thống các lớp thực sự cung cấp cái nhìn toàn diện về hệ thống giao thức. Tuy nhiên, nếu chỉ tập trung vào các lớp giao thức thì sẽ có một số hạn chế nhất định.
Trước hết, nói về các lớp giao thức chứ không phải giao thức tạo ra một mảng khái niệm trừu tượng đối với chủ đề vốn đã rất trừu tượng. Thứ nữa, phân chia cùng mức độ nhiều loại giao thức trong một chủ đề rộng về lớp giao thức sẽ tạo ra một ấn tượng sai lầm rằng tất cả các giao thức đều quan trọng như nhau.
Hình 2.4.
Trên thực tế, mặc dù mỗi giao thức có một vai trò nhất định, nhưng có thể miêu tả đa số chức năng của bộ TCP/IP bằng một vài trong số những giao thức quan trọng nhất của nó.
Hình 2.4 đưa ra những yếu tố cơ bản của hệ thống mạng giao thức TCP/IP. Tất nhiên, còn có các giao thức và dịch vụ khác trong bộ TCP/IP, nhưng hình 2.4 cho thấy những gì chính yếu nhất.
Nguyên tắc hoạt động của nó như sau:
1. Dữ liệu truyền từ một ứng dụng TCP/IP hoặc ứng dụng mạng thông qua một cổng TCP hay UDP tới giao thức lớp TCP hoặc UDP. Các chương trình có thể truy cập mạng qua TCP hoặc UDP, điều này phụ thuộc vào yêu cầu của chương trình.
* TCP là một giao thức định hướng kết nối. Các giao thức định hướng kết nối cung cấp khả năng kiểm soát giao thông và kiểm tra lỗi tinh vi hơn các giao thức không định hướng kết nối. TCP đảm bảo việc lưu chuyển của dữ liệu và đáng tin cậy hơn UDP, nhưng việc có thêm những chức năng này đồng nghĩa rằng TCP chậm hơn UDP.
* UDP là giao thức không định hướng kết nối. Nó nhanh hơn TCP, nhưng mức độ tin cậy thấp hơn.
2. Khi các gói dữ liệu đi tới cấp Internet, tại đây giao thức IP cung cấp thông tin địa chỉ logic và gắn thông tin đó vào gói dữ liệu.
3. Gói dữ liệu có IP tiến vào Lớp Truy cập mạng, tại đây nó chuyển giao cho bộ phận phần mềm được thiết kế để tương tác với mạng vật lý. Lớp Truy cập mạng tạo ra một hoặc nhiều khung dữ liệu để nó có thể vào mạng vật lý.
4. Khung dữ liệu sẽ được chuyển đổi thành một dải bit để tới bộ phận trung gian mạng.
Cách thức hoạt động chi tiết của từng giao thức sẽ được đề cập ở các phần tiếp sau.

Nền tảng của giao thức TCP/IP là Lớp Truy cập mạng, tập hợp các dịch vụ và quy định quản lý việc tiếp cận phần cứng của mạng lưới. Phần này sẽ tập trung về nhiệm vụ của Lớp Truy cập mạng và sự liên quan của nó với mô hình OSI.
Lớp Truy cập mạng là bộ phận “bí hiểm” nhất trong các lớp của TCP/IP. Về cơ bản, Lớp Truy cập mạng quản lý tất cả các dịch vụ và chức năng cần thiết cho việc chuẩn bị đưa dữ liệu sang mạng vật lý. Những trách nhiệm này gồm:
– Tương tác với bộ điều hợp mạng của máy tính.
– Điều phối quá trình truyền dữ liệu theo các quy ước xác định.
– Format dữ liệu thành các đơn vị gọi là mảng (frame) và đổi mảng đó thành dòng điện từ hoặc các xung điện, có khả năng di chuyển qua bộ phận truyền trung gian.
– Kiểm tra lỗi của các mảng dữ liệu gửi tới.
– Bổ sung thông tin kiểm tra lỗi cho các mảng gửi đi để máy tính nhận có thể phát hiện lỗi.
– Xác nhận việc nhận mảng thông tin và gửi lại dữ liệu nếu như chưa có xác nhận của bên kia.
Lớp Truy cập mạng quy định trình tự tương tác với phần cứng mạng và tiếp cận bộ phận truyền trung gian.
Mặc dù nguyên tắc hoạt động của nó rất phức tạp, nhưng Lớp Truy cập mạng hầu như không lộ hình đối với người sử dụng thông thường.

Trên nguyên tắc, TCP/IP hoạt động hoàn toàn độc lập với mô hình mạng 7 lớp OSI (Open System Interconnection), nhưng OSI thường được sử dụng làm tiêu chuẩn để giải thích các hệ thống giao thức khác.
Các thuật ngữ và quan niệm của OSI hay được dùng để nói về lớp truy cập mạng, bởi vì mô hình OSI phân cấp các mục nhỏ hơn.
Hình 3.1 cho thấy lớp truy cập mạng TCP/IP gần như tương ứng với các lớp vật lý và liên kết dữ liệu của OSI.
Hình 3.1 – Tương quan lớp mô hình TCP/IP và OSI.Lớp vật lý OSI chịu trách nhiệm chuyển mảng dữ liệu thành những dải bit phù hợp cho bộ phận trung gian. Nói cách khác, lớp vật lý OSI quản lý và đồng bộ các xung điện. Tại đầu nhận dữ liệu, Lớp vật lý lắp ráp các xung điện thành mảng dữ liệu.
Lớp kết nối dữ liệu OSI thực hiện 2 chức năng riêng biệt và được phân nhỏ thành 2 lớp phụ:
* Media Access Control (MAC) – cung cấp giao diện với adapter mạng. Trên thực tế, driver cho adapter mạng thường được gọi là MAC driver.
* Logical Link Control (LLC) – thực hiện việc kiểm tra lỗi các mảng dữ liệu được chuyển qua tiểu mạng và quản lý đường link giữa các thiết bị liên lạc trong tiểu mạng.

tìm hiểu TCP/IP (phần 2)

Liên kết mạng dựa trên TCP/IP ngày nay là sự tổng hợp của 2 hướng phát triển bắt đầu từ những năm 70 và dần dần trở thành cuộc cách mạng trong thế giới điều khiển học: Internet và Mạng cục bộ.
Internet
Thiết kế TCP/IP được như ngày hôm nay là nhờ vai trò mang tính lịch sử của nó. Internet, giống như rất nhiều thành tựu công nghệ cao khác, bắt nguồn từ nghiên cứu của Bộ Quốc phòng Mỹ. Vào cuối những năm 60, các quan chức Bộ này bắt đầu nhận thấy lực lượng quân sự đang lưu giữ một số lượng lớn các loại máy tính, một số không được kết nối, số khác được nhóm vào các mạng đóng, do các giao thức “cá nhân” không tương thích.
“Cá nhân”, trong trường hợp này, có nghĩa là công nghệ đó do một nhóm nào đó kiểm soát. Nhóm này có thể không muốn tiết lộ các thông tin liên quan về giao thức của mình để những người sử dụng có thể kết nối.
Họ bắt đầu băn khoăn về khả năng chia sẻ thông tin giữa các máy tính này. Vốn quen với vấn đề an ninh, Bộ Quốc phòng Mỹ lập luận rằng nếu có thể xây dựng được một mạng lưới như thế thì nó dễ trở thành mục tiêu tấn công quân sự. Một trong những yêu cầu trước hết của mạng lưới này là phải nằm phân tán. Các dịch vụ quan trọng không được phép tập trung tại một số chỗ. Bởi vì bất kỳ điểm nào cũng có thể bị tấn công trong thời đại tên lửa. Họ muốn nếu một quả bom đánh vào bất kỳ bộ phận nào trong cơ sở hạ tầng đều không làm cho toàn bộ hệ thống bị đổ vỡ. Kết quả là mạng ARPAnet (Advanced Research Projects Agency). Hệ thống giao thức hỗ trợ sự kết nối qua lại, phi tập trung là khởi điểm của TCP/IP ngày nay.
Một vài năm sau, khi Hiệp hội Khoa học Quốc gia Mỹ muốn xây dựng một mạng lưới để kết nối các tổ chức, họ áp dụng giao thức của ARPAnet và bắt đầu hình thành Internet. Yếu tố phi tập trung của ARPAnet chính là một phần của sự thành công của TCP/IP và Internet.
Hai đặc điểm quan trọng của TCP/IP tạo ra môi trường phi tập trung gồm:
Xác nhận mút đầu cuối – hai máy tính đang kết nối với nhau đóng vai trò hai đầu mút ở mỗi đầu của dây truyền. Chức năng này xác nhận và kiểm tra sự trao đổi giữa 2 máy. Về cơ bản, tất cả các máy đều có vai trò bình đẳng.
Định tuyến động – các đầu mút được kết nối với nhau thông qua nhiều đường dẫn, và các bộ định tuyến làm nhiệm vụ chọn đường cho dữ liệu dựa trên các điều kiện hiện tại (Trong các phần sau, hoạt động định tuyến và đường dẫn sẽ được đề cập chi tiết hơn).
Mạng cục bộ (LAN)
Khi Internet bắt đầu xuất hiện tại các trường đại học và viện nghiên cứu, một quan niệm mạng khác xuất hiện, LAN được hình thành.
Các giao thức LAN thời kỳ đầu không cung cấp khả năng truy cập Internet và được thiết kế để tạo ra hệ thống biệt lập. Rất nhiều giao thức LAN không hỗ trợ bất kỳ loại định tuyến nào. Cuối cùng, một số công ty bắt đầu cảm thấy cần phải có một giao thức để có thể liên kết các mạng LAN “lệch cạ”, và họ nhắm tới TCP/IP. Khi Internet trở nên phổ biến, người sử dụng LAN muốn hoà vào Internet và xuất hiện rất nhiều giải pháp. Các cổng đặc biệt được tạo ra để dịch các giao thức, cho phép người sử dụng trong mạng cục bộ truy cập Internet. Dần dần, các hãng sản xuất phần mềm LAN hỗ trợ hoàn toàn TCP/IP. Các phiên bản mới của NetWare, Mac OS và Windows vẫn tiếp tục mở rộng vai trò của TCP/IP trên mạng cục bộ.

Tìm hiểu TCP/IP (phần 1)

TCP/IP là một hệ thống giao thức – một tập hợp các giao thức hỗ trợ việc lưu truyền trên mạng. Và lời giải đáp cho câu hỏi: “Giao thức là gì?” phải được bắt đầu bằng: “Hệ thống mạng là gì?”
Phần này sẽ đưa ra định nghĩa về một hệ thống mạng và lý do tại sao mạng lại cần các giao thức. Bạn cũng sẽ tìm hiểu TCP/IP là gì, hoạt động ra sao và nó bắt nguồn từ đâu?
Mạng và giao thức
Một hệ thống mạng là tập hợp của nhiều máy tính hoặc các thiết bị tương tự, chúng có thể liên lạc với nhau thông qua một trung gian truyền tải, như ở hình 1.1. Hình 1.1 – Một mạng cục bộ điển hình.

Trong phạm vi một hệ thống mạng, các yêu cầu và dữ liệu từ một máy tính được chuyển qua bộ phận trung gian (có thể là dây cáp mạng hoặc đường điện thoại) tới một máy tính khác. Trong hình 1.1, máy tính A phải có khả năng gửi thông tin hoặc yêu cầu tới máy tính B. Máy tính B phải hiểu được thông điệp của máy tính A và đáp lại bằng cách gửi hồi âm cho máy tính A.
Một máy tính tương tác với thế giới thông qua một hoặc nhiều ứng dụng. Những ứng dụng này thực hiện các nhiệm vụ cụ thể và quản lý dữ liệu ra và vào. Nếu máy tính đó là một phần của hệ thống mạng, thì một trong số các ứng dụng trên sẽ có thể giao tiếp với các ứng dụng trên các máy tính khác thuộc cùng hệ thống mạng. Bộ giao thức mạng là một hệ thống các quy định chung giúp xác định quá trình truyền dữ liệu phức tạp. Dữ liệu đi từ ứng dụng trên máy này, qua phần cứng về mạng của máy, tới bộ phận trung gian và đến nơi nhận, thông qua phần cứng của máy tính đích rồi tới ứng dụng. (Xem hình 1.2). Hình 1.2 – Vai trò của một bộ giao thức mạng.

Các giao thức TCP/IP có vai trò xác định quá trình liên lạc trong mạng và quan trọng hơn cả là định nghĩa “hình dáng” của một đơn vị dữ liệu và những thông tin chứa trong nó để máy tính đích có thể dịch thông tin một cách chính xác. TCP/IP và các giao thức liên quan tạo ra một hệ thống hoàn chỉnh quản lý quá trình dữ liệu được xử lý, chuyển và nhận trên một mạng sử dụng TCP/IP. Một hệ thống các giao thức liên quan, chẳng hạn như TCP/IP, được gọi là bộ giao thức.
Thực tế của quá trình định dạng và xử lý dữ liệu bằng TCP/IP được thực hiện bằng bộ lọc của các hãng sản xuất. Ví dụ, Microsoft TCP/IP là một phần mềm cho phép Windows NT xử lý các dữ liệu được format theo TCP/IP và vì thế có thể hoà vào mạng TCP/IP. Ở các phần tiếp theo, bạn có thể nhận ra sự khác biệt sau:
Một chuẩn TCP/IP là một hệ thống các quy định quản lý việc trao đổi trên các mạng TCP/IP. Bộ lọc TCP/IP là một phần mềm có chức năng cho phép một máy tính hoà vào mạng TCP/IP.
Mục đích của các chuẩn TCP/IP là nhằm đảm bảo tính tương thích của tất cả bộ lọc TCP/IP thuộc bất kỳ phiên bản nào hoặc của bất kỳ hãng sản xuất nào.
Tầm quan trọng của việc phân biệt giữa chuẩn TCP/IP và bộ lọc TCP/IP thường không được để ý đến trong các thảo luận thông thường về TCP/IP, và điều này đôi lúc gây khó khăn cho người đọc.

Internetworking with TCP/IP

Căn bản về TCP/IP
TCP/IP (Transmission Control Protocol/Internet Protocol) là một bộ protocols (giao thức) được thiết kế để đạt hai mục tiêu chính:

1. Cho phép truyền thông qua các đuờng dây của mạng rộng (Wide Area Network – WAN).
2. Cho phép truyền thông giữa các môi trường đa dạng.

Do đó hiểu được cái gốc của các protocols nầy giúp ta hiểu đuộc sự quan trọng của chúng trong các mạng ngày nay.
Lịch sử của TCP/IP

Vào cuối thập niên 1960, cơ quan Advanced Research Projects Agency (DARPA) của bộ Quốc Phòng Mỹ thực hiện nhiều loạt thí nghiệm để gởi các kiện hàng dữ kiện đi lại mọi hướng (packet-switching) trên mạng. Hai mục tiêu chính của công tác nầy là:

1. Triển khai một mạng để giúp các trung tâm nghiên cứu chia sẽ các thông tin.
2. Triển khai một mạng để nối chặt chẽ các địa điểm quốc phòng trong trường hợp Mỹ bị tấn công bằng vũ khí nguyên tử.

Kết quả là bộ TCP/IP. Sau nầy Internet Society (Hội Internet) dùng một nhóm tư vấn mang tên The Internet Architecture Board (IAB) (Ban Kiến trúc Internet) để trông coi việc làm cho TCP/IP càng ngày càng hay hơn. Mỗi khi ai có sáng kiến kỹ thuật gì muốn đề nghị với Ban thì người ta xin Ban đăng lên và thông báo cho những ai quan tâm có ý kiến. Bản thông báo ấy được gọi là Request for Comments (RFC) (Yêu cầu cho biết ý kiến). Nếu đa số các guru về TCP/IP thấy hay thì có thể lần lần đề nghị ấy đuợc cho vào TCP/IP.

Những TCP/IP protocols và các công cụ

Như ta biết, truyền thông giữa hàng triệu computers trên Internet xãy ra được nhờ có TCP/IP protocol, một cách giao thức trên mạng rất thông dụng trong vòng các computers chạy Unix trước đây. Vì nó rất tiện dụng nên Microsoft đã dùng TCP/IP làm giao thức chính cho mạng Windows2000. TCP/IP là tập hợp của nhiều protocols, mà trong số đó có các Protocols chánh sau đây:

• TCP (Transmission Control Protocol): Chuyên việc nối các hosts lại và bảo đảm việc giao hàng (messages) vì nó vừa dùng sự xác nhận hàng đến (Acknowledgement ) giống như thư bảo đảm, vừa kiểm xem kiện hàng có bị hư hại không bằng cách dùng CRC (Cyclic Redundant Check) , giống như có đóng khằng chỗ mở kiện hàng.
• IP (Internet Protocol): Lo về địa chỉ và chuyển hàng đi đúng hướng, đến nơi, đến chốn.
• SMTP (Simple Mail Transfer Protocol): Chuyên việc giao Email.
• FTP (File Transfer Protocol): Chuyên việc gởi File (upload/download) giữa các hosts.
• SNMP (Simple Network Management Protocol): Dùng cho các programs quản lý mạng để user có thể quản lý mạng từ xa.
• UDP (User Datagram Protocol): Chuyên giao các bọc nhỏ (packets) của một kiện hàng. Nó nhanh hơn TCP ví không có sự kiểm tra hay sửa lỗi. Ngược lại, nó không bảo đảm việc giao hàng.

Là Network Administrator ta nên làm quen với các công cụ chuẩn để làm việc với TCP/IP như:

• File Transfer Protocol (FTP): Ðể thử upload/download files giữa các hosts.
• Telnet: Cho ta Terminal Emulation (giả làm một Terminal) để nói chuyện với một Host chạy program Telnet Server.
• Packet Internet Groper (Ping): Dùng để thử TCP/IP configurations và connections.
• IPCONFIG: Ðể kiểm TCP/IP configuration của local host.
• NSLOOKUP: Dùng line command để đọc các records trong DNS (Domain Name System) database.
• TRACERT: Ðể display các khúc đường (route) dùng giữa hai hosts.

Ðịa chỉ TCP

Mỗi computer trên LAN/Internet phải có một địa chỉ TCP độc đáo (unique). Một địa chỉ TCP gồm có 32 bits, chia làm 4 nhóm gọi là Octet (có 8 bits, tức là 1 Byte dữ kiện) và đuợc viết dưới dạng:

11000000 . 01101010 . 00000011 . 11001000

Mặc dầu trên đây là các con số mà computers thấy, nhưng đó không phải là các con số mà con người suy nghĩ. Do đó người ta thường viết nó dưới dạng gọi là dotted decimal (số thập phân với dấu chấm) như sau:

192.100.3.200.

Vì địa chỉ TCP như thế rất khó nhớ nên người ta quy ước dùng các tên dễ nhớ hơn như www.yahoo.com, www.vps.org, .v.v.. rồi nhờ những chỗ đặc biệt trên mạng, gọi là Domain Name Server (DNS) đổi các user friendly names nầy ra các địa chỉ TCP để làm việc.
Ðể việc trao đổi các messages giữa các hosts trên mạng có hiệu năng, người ta thường gom các Hosts lại thành từng nhóm, gọi là Network. Mỗi Network được cho một NetworkID. Do đó mỗi địa chỉ TCP được chia ra làm hai phần:

• Network ID (hay Network Address): Dùng để chuyển các messages đến đúng Network (còn gọi là Subnet hay Segment.
• Host ID (hay Host Address):

Thí dụ như ba địa chỉ TCP 192.168.104.1, 192.168.104.4, 192.168.104.7 có cùng Network ID 192.168.104.
Một Subnet của các computers giống như một con đường của những căn nhà, mỗi căn nhà có một con số để phân biệt nhưng địa chỉ của tất cả các căn nhà đều có chung tên đường, ngoại ô, thành phố .v.v. .

Con số bits , đếm từ trái qua phải, của địa chỉ TCP để dùng cho Network ID được gọi là Subnet Mask. Ta có thể dùng 8, 16, 24, 25 bits .v.v.. tùy ý, nhưng phải nói cho system biết ta dùng bao nhiêu bits để nó có thể tính ra phần nào trong 32 bits là của NetworkID, phần nào là của HostID.

Ðể biết thêm về Subnet xin hãy đọc bài Subnet Mask.

Các địa chỉ TCP được chỉ định cho mỗi Host không thay đổi nầy được gọi là Static Address. Khi ta dial-up Internet để connect qua ISP (Internet Service Provider), computer của ta thường được ISP phát cho một địa chỉ TCP để dùng tạm trong thời gian máy ta connect trong lúc ấy. Lần tới, ta dial-up Internet sẽ đuợc ISP cấp cho một địa chỉ TCP khác, một trong những địa chỉ TCP mà ISP đã đuợc cơ quan đăng ký địa chỉ TCP của thế giới cung cấp.

Như thế, mỗi lần ta dùng Internet thì computer của chúng ta là một host trong mạng Internet TCP/IP của toàn thế giới. Computer ta có thể truyền thông với các hosts khác và ngược lại, người ta cũng có thể thấy và tò mò dòm ngó những gì trong computer chúng ta trong khả năng của TCP/IP. Tức là, hể mở cửa làm ăn thì coi chừng ngoại lai lén vào.

Khi tất cả các computer trên mạng dùng cho Internet được giới hạn trong vòng một cơ quan, tổ chức hay tập đoàn thì ta gọi nó là Intranet. Thường thường các computers trong Intranet nằm trên cùng một Local Area Network (LAN), các message được gởi đi lại với vận tốc cao (10Mbits/sec – 100Mbits/sec). Ngay cả khi một công ty có hai, ba địa điểm cách nhau, các đuờng dây viễn thông liên kết cũng có vận tốc tối thiểu là 128Kbits/sec.
Ðã gọi là Intranet thì ta muốn dịch vụ Internet chỉ dành cho nội bộ và người ngoài kkông thể nào tò mò thấy được.

Gateway, Router và Firewall

Nếu ta không có ý định nối Network của mình với Internet bên ngoài hay Network TCP/IP nào khác thì không có gì phải lo và ở trong vòng Network riêng tư của ta, ta có thể cấp các địa chỉ TCP thoải mái.

Như đã nói ở trên, địa chỉ TCP của tất cả mọi hosts trong một Network đầu có cùng một NetworkID. Bên trong một Network, messages được gởi đi giữa các hosts rất nhanh. Nếu muốn gởi messages từ một Network nầy qua một Network khác thì phải qua một host có vị trí đặc biệt trong cùng Network gọi là Gateway (cổng liên hệ bên ngoài). Tỷ như một lá thư từ Ðồng Tháp muốn đi ngoại quốc thì phải qua Gateway ở Thành phố HCM. Tương tợ như vậy, ở Network bên kia cũng có một Gateway để đón nhận message từ Gateway bên nầy.

Ðể chuyển messages giữa hai Networks ta cần phải có một dụng cụ đặc biệt, hardware hay software (một hộp hay một program), gọi là Router (phát âm là rau-tơ trong tiếng Việt).

Router là dụng cụ giúp cho hai Networks truyền thông nhau. Nó giống như một thông dịch viên vậy, có thể nói chuyện với cả hai bên. Ðối với mỗi Network, Router hoạt động như thể nó là một host trong Network ấy. Hình dưới đây minh họa cách dùng Gateways và Router để nối hai Networks lại với nhau:

Trong hình trên, nếu cả hai Gateways thật ra là hai Network cards nằm trên cùng một computers chạy MSWindows2000 Server, ta có thể dùng software để làm nhiệm vụ của Router. Như thế ta khỏi phải mua một hộp Router.

Firewall (bức tường lửa) là từ dùng để nói đến phương tiện ta dùng để kiểm soát chặt chẽ sự đi lại của các messages. Ta dùng Firewall để ngăn ngừa kẻ lạ xâm phạm vào khu vực mạng TCP/IP của cơ quan ta. Như ta đã thấy, Router có thể đảm nhiệm công tác ấy. Vấn đề là nếu ta gắt gao quá thì sự đi lại rất giới hạn và không tiện lợi cho công việc làm ăn. Ngược lại, nếu ta dễ dãi quá thì không còn an toàn gì cả.

Phân chia giai cấp A,B,C

Như đã giải thích ở trên, Subnet Mask cho biết bao nhiêu bits đầu của địa chỉ TCP được dùng làm NetworkID, còn các bits còn lại là HostID. Ðể biểu diễn một Subnet Mask dùng 24 bits cho một NetworkID, ta có thể viết 135.100.3.200/24. Ða số các NetworkID ta thường gặp dùng 24 bit Subnet Mask. Nhưng thật ra, người ta phân chia giai cấp các địa chỉ TCP ra làm các Classes A, B và C.

Các địa chỉ của Class A dùng Octet thứ nhất. Có điều người ta không dùng bit thứ nhất, nó luôn luôn bằng 0. Do đó toàn bộ Internet chỉ có 127 Class A Networks. Dù địa chỉ 127 là một địa chỉ Class A, ta không thể dùng nó đuợc vì nó đuợc reserved (dành riêng) để thử Loopback (Loopback Testing) . Mỗi Class A Network có trên 16 triệu (2 lũy thừa 24) hosts. Khỏi phải nói, bây giờ ta không thể xin một Class A Network đuợc nữa, vì các Ðại Sư Huynh đã dành hết rồi. Trong số các công ty lớn ấy có General Electric, IBM, Apple, Xerox, và Ðại học Columbia.

Các Networks thuộc Class B bắt đầu với Octet thứ nhất có values trong range 128 đến 191. Trong Class B ta dùng 2 Octets đầu cho NetwordID. Do đó ta chỉ có 16,384 Class B Networks, mỗi Network có 65,534 (2 lũy thừa 16)hosts. Tất cả các Networks Class B đều đã bị người ta xí hết rồi. Trong số các công ty ấy có Microsoft và Exxon.

Sau cùng là Class C Networks bắt đầu với Octet thứ nhất có values trong range 192 đến 223 và dùng 3 Octets đầu tiên để biểu diễn NetworkID. Như thế ta có khoảng 2 triệu Class C Networks, nhưng mỗi Network chỉ có thể support 254 hosts (HostID=1 cho đến 254), HostID=255 đuợc reserved cho Loopback testing, HostID=0 thì bất hợp lệ. Tin mừng cho chúng ta là mình còn xin một Class C network được.
Các loại Servers

Có ba thứ dịch vụ ta thường dùng nhất trên Internet. Ðó là Surfing the Web ( chu du ta bà thế giới từ trang Web nầy đến trang Web khác), Email và download File bằng cách dùng FTP (File Transfer Protocol).
Cho mỗi thứ dịch vụ ta dùng ở đầu kia phải có một Server (một program phục vụ) – do đó tùy theo ta đang connect với chỗ nào ở thới điểm ấy, tại chỗ cung cấp dịch vụ phải có Web server, Mail Server hay FTP Server để đáp ứng request (thỉnh cầu) của bạn.
Bạn hỏi nếu một Computer trên Internet chạy cả 3 loại Servers nói trên thì làm sao phân biệt message nào là cho Server nào khi chúng đến cùng một địa chỉ TCP. Xin trả lời là ngoài địa chỉ TCP ra, mỗi computer còn có nhiều Ports, để khi ta nối với Server trên một computer ta còn cho biết Port number. Thí dụ cho Web (WWW) thì dùng Port 80, cho FTP thì dùng Port 21 , .v.v.. Cách dùng các Port numbers giống giống như dùng tên của các cá nhân sống trong cùng một căn nhà khi gởi thư cho họ. Ngoài địa chỉ của căn nhà ta còn nói rõ là thư ấy cho cha, mẹ hay người con nào.
Hơn nữa, mỗi loại message còn dùng một protocol khác nhau, nên ta có thể Surf the Net, gời/nhận Email và download/upload files cùng một lúc trên một đường dây điện thoại mà không sợ lẫn lộn. Bạn có thể tưởng tượng TCP/IP như cái protocol căn bản của Internet, rồi nằm lên phía trên là những protocols khác. Cũng giống như trong mạng bưu chính, xe hàng là căn bản của việc chuyên chở, nhưng kích thước các kiện hàng theo chuẩn lớn, nhỏ giúp người ta phân biệt các loại hàng hóa khác nhau.

ARP và nguyên tắc làm việc trong mạng LAN

Như ta đã biết tại tầng Network của mô hình OSI , chúng ta thường sử dụng các loại địa chỉ mang tính chất quy ước như IP, IPX… Các địa chỉ này được phân thành hai phần riêng biệt là phần địa chỉ mạng (NetID) và phần địa chỉ máy ( HostID) . Cách đánh số địa chỉ như vậy nhằm giúp cho việc tìm ra các đường kết nối từ hệ thống mạng này sang hệ thống mạng khác được dễ dàng hơn. Các địa chỉ này có thể được thay đổi theo tùy ý người sử dụng.

Trên thực tế, các card mạng (NIC) chỉ có thể kết nối với nhau theo địa chỉ MAC, địa chỉ cố định và duy nhất của phần cứng. Do vậy ta phải có một cơ chế để chuyển đổi các dạng địa chỉ này qua lại với nhau. Từ đó ta có giao thức phân giải địa chỉ: Address Resolution Protocol (ARP).
Nguyên tắc làm việc của ARP trong một mạng LAN
Khi một thiết bị mạng muốn biết địa chỉ MAC của một thiết bị mạng nào đó mà nó đã biết địa chỉ ở tầng network (IP, IPX…) nó sẽ gửi một ARP request bao gồm địa chỉ MAC address của nó và địa chỉ IP của thiết bị mà nó cần biết MAC address trên toàn bộ một miền broadcast. Mỗi một thiết bị nhận được request này sẽ so sánh địa chỉ IP trong request với địa chỉ tầng network của mình. Nếu trùng địa chỉ thì thiết bị đó phải gửi ngược lại cho thiết bị gửi ARP request một gói tin (trong đó có chứa địa chỉ MAC của mình). Trong một hệ thống mạng đơn giản, ví dụ như PC A muốn gửi gói tin đến PC B và nó chỉ biết được địa chỉ IP của PC B. Khi đó PC A sẽ phải gửi một ARP broadcast cho toàn mạng để hỏi xem “địa chỉ MAC của PC có địa chỉ IP này là gì ?” Khi PC B nhận được broadcast này, nó sẽ so sánh địa chỉ IP trong gói tin này với địa chỉ IP của nó. Nhận thấy địa chỉ đó là địa chỉ của mình, PC B sẽ gửi lại một gói tin cho PC A trong đó có chứa địa chỉ MAC của B. Sau đó PC A mới bắt đầu truyền gói tin cho B.
Nguyên tắc hoạt động của ARP trong môi trường hệ thống mạng:
Hoạt động của ARP trong một môi trường phức tạp hơn đó là hai hệ thống mạng gắn với nhau thông qua một Router C. Máy A thuộc mạng A muốn gửi gói tin đến máy B thuộc mạng B. Do các broadcast không thể truyền qua Router nên khi đó máy A sẽ xem Router C như một cầu nối hay một trung gian (Agent) để truyền dữ liệu. Trước đó, máy A sẽ biết được địa chỉ IP của Router C (địa chỉ Gateway) và biết được rằng để truyền gói tin tới B phải đi qua C. Tất cả các thông tin như vậy sẽ được chứa trong một bảng gọi là bảng định tuyến (routing table). Bảng định tuyến theo cơ chế này được lưu giữ trong mỗi máy. Bảng định tuyến chứa thông tin về các Gateway để truy cập vào một hệ thống mạng nào đó. Ví dụ trong trường hợp trên trong bảng sẽ chỉ ra rằng để đi tới LAN B phải qua port X của Router C. Bảng định tuyến sẽ có chứa địa chỉ IP của port X. Quá trình truyền dữ liệu theo từng bước sau :
·Máy A gửi một ARP request (broadcast) để tìm địa chỉ MAC của port X.
· Router C trả lời, cung cấp cho máy A địa chỉ MAC của port X.
·Máy A truyền gói tin đến port X của Router.
·Router nhận được gói tin từ máy A, chuyển gói tin ra port Y của Router. Trong gói tin có chứa địa chỉ IP của máy B. Router sẽ gửi ARP request để tìm địa chỉ MAC của máy B.
·Máy B sẽ trả lời cho Router biết địa chỉ MAC của mình. Sau khi nhận được địa chỉ MAC của máy B, Router C gửi gói tin của A đến B.
Trên thực tế ngoài dạng bảng định tuyến này người ta còn dùng phương pháp proxyARP, trong đó có một thiết bị đảm nhận nhiệm vụ phân giải địa chỉ cho tất cả các thiết bị khác.Theo đó các máy trạm không cần giữ bảng định tuyến nữa Router C sẽ có nhiệm vụ thực hiện, trả lời tất cả các ARP request của tất cả các máy .