CHƯƠNG 3: QUẢN LÝ MÔ HÌNH MẠNG LONG-REACH ETHERNET CỦA NHÀ CƯNG CẤP DỊCH VỤ INTERNET

18



•



Với những yêu cầu khác, đòi hỏi các thiết bị viễn thông trên hệ thống mạng

phải hoạt động chính xác để có thể định tuyến được toàn bộ đường đi trên

m ạng Internet, đổng thời để tối ưu đường truyền và tăng tốc độ truy cập, bài

toán tìm đường ngắn nhất cũng được tính toán rất kỹ lưỡng.



•



Trong trường hợp dự phòng, nếu hệ thống hiện tại của nhà cung cấp dịch vụ

bị lỗi, thì yêu cầu hàng đầu là phải có m ột cơ cấu backup chạy song hành để

đảm bảo các giao dịch trên m ạng không bị gián đoạn. N hư vậy, người quản lý

phải hiểu rõ được nguyên lý hoạt động của hệ thống chạy trong ch ế độ dự

phòng để đảm bảo m ạng hoạt động 24/24



•



N hà cung cấp dịch vụ Internet luôn luôn đặt yêu cầu bảo m ât lên hàng đầu.

N hà quản lý m ạng phải hiểu rất rõ về các hộ thống, cấu trúc m ạng được bảo

m ật để có thể đối đầu với các hacker trên thế giới. [10]



3.2. Phân tích các phương pháp kỹ thuật quản lý mạng Long-Reach

Ethernet

Trong chương II, ta thấy rằng m ô hình m ạng Long-Reach Ethernet có các tính chất

riêng của m ột m ô hình m ạng tốc độ cao, vì vậy việc quản lý m ô hình m ạng này có

những điểm khác biệt so với m ô hình cung cấp dịch vụ Internet thông thường qua hệ

thống điện thoại công cộng:

1. M ô hình cung cấp dịch vụ Internet qua hệ thống điện thoại công cộng sử dụng hệ

thống điện thoại của bưu điện để kết nối modem đến nhà cung cấp dịch vụ

Internet. Như vậy khi người dùng có nhu cầu sử dụng Internet mới kết nối

m odem để truy cập m ạng. N hà cung cấp dịch vụ Internet phải quản lý được số

lượng đường điện thoại kết nối đến m áy chủ truy cập từ xa, đồng thời quản lý

được số lượng địa chỉ IP động cấp phát trên các cổng m odem cũng như cấu hình

của các cổng m odem m áy chủ quản lý truy cập từ xa. Còn đối với m ô hình mạng

L ong-R each Ethernet, do toàn bộ người dùng được đấu nối vào các hệ thống

sw itch bằng đường dây điện thoại (không có tín hiệu điện thoại) chứ không phải



19



hệ thống truy cập từ xa nên phải quản lý được các cổng kết nối trên switch và

các kỹ thuật chuyển m ạch trên đó.

2. Đối với m ô hình sử dụng dịch vụ Internet bằng hệ thống điện thoại công cộng,

giao thức được sử dụng để kết nối giữa người dùng và nhà cung cấp dịch vụ

Internet là chuẩn p p p (Point-to-Point Protocol) chồng giao thức TCP/TP. Còn đối

với m ô hình Long-R each Ethernet, do người dùng được đấu nối vào switch, nên

việc truy cập của người dùng sử dụng m ô hình này là kết nối bằng Ethernet (tiêu

chuẩn 802.3) với giao thức TCP/IP. Do kết nối bằng Ethernet và đấu chung vào

các cổng trên svvtich nên cần quản lý việc truy cập dữ liệu giữa các cổng switch

với nhau.

3. Trong mô hình dịch vụ Internet qua hệ thống mạng điện thoại công cộng, người

dùng không phải là kết nối 24/24, đồng thời được cấp phát IP động, nên khả

nãng m áy tính của người dùng bị tấn công trên mạng Internet là rất nhỏ. Do với

mô hình m ạng tốc độ cao Long-Reach Ethernet, máy chủ của người dùng được

cấp phát các giải IP thật cỏ' định, đổng thời kết nối của các m áy chủ này trên

m ạng Internet là 24/24, như vậy vấn đề bảo mật, chống tấn công từ Internet đến

người dùng phải được coi trọng.

4. Với m ô hình dịch vụ Internet qua hệ thống tổng đài điên thoại, nên tốc độ tối đa

của người dùng kết nối Internet là 56Kbps. Ngược lại, theo quy định của các

đường truyền dữ liệu tốc độ cao, người dùng sử dụng đường kết nối Internet với

các tốc độ N*64K bps. Đ ổng thời, do đường kết nối này là đường kết nối 24/24,

nên việc quản lý hiệu quả băng thông của người dùng là rất quan trọng.

5. Trong m ô hình dịch vụ Internet qua m ạng điện thoại công cộng, nhà cung cấp có

thể tính được cước của người dùng kết nối vào mạng bằng cách tính toán các

thông số liên quan đến thời gian kết nối và ngắt kết nối của người dùng từ máy

chủ quản lý truy cập từ xa. Còn đối với mô hình mạng Long-Reach Ethernet,

người dùng sử dụng đường kết nối Internet kết nối 24/24 vào hộ thống m ạng, nên

công việc quản lý truy cập của người dùng theo thời gian truy cập là khó khăn,



20



suy ra việc giải các yêu cầu của bài toán tính cước như là tính cước theo thời gian

truy cập, tính cước theo dung lượng truy cập là khó khăn.



3.3. Phát triển các phương pháp bảo mật trên mô hình mạng Long-Reach

Ethernet

3.3.1. C h u y ển m ạch L A N và V irtu a l L ocal A rea N etw ork



Chuyển m ach L A N :

Khi nhu cầu sử dụng mạng ngày càng tăng, thì nhu cầu trao đổi dữ liệu trên mạng

ngày càng nhiều. Vì vậy các phương pháp kết nối m ạng LAN trước đây theo kiểu

hub không thể đáp ứng được tối đa nhu cầu của người dùng. Bản chất của kiểu nối

m ạng trước đây là, nếu một m áy trạm trong m ạng gửi nhận dữ liệu, nó phải gửi các

khung dữ liệu đến tất cả các cổng trên m ạng LAN, như vậy sẽ làm tắc nghẽn đường

truyền.



Ịshared Seg ment



LAN Switch



Hình 12: Mỏ hình chuyển mạch LAN



Ưu điểm của chuyển mạch LA N là tránh được các dữ liệu dư thừa khi truyền trên

m ạng bằng cách tạo ra các bảng chuyển tiếp giống như bảng định tuyến trên bộ định

tuyến, những thông tin lưu trữ trong bảng chuyển tiếp của sw itch là địa chỉ M AC

của card m ạng chứ không phải là thông tin về địa chỉ IP. [7]



21



Các chức năng chính của switch là:

•



N hận biết địa chỉ (address learning): Lần đầu tiên m ột m áy trạm truyền, hoặc



gửi nhận dữ liệu qua switch, switch lưu lại thông tin của khung dữ liệu ở lớp 2, sau

đó ghi thông tin này vào CAM (content-addressable m em ory). K hung dữ liệu này

chứa địa chỉ M A C card m ạng của m áy trạm này, đồng thời liên kết thông tin về số

thứ tứ cổng của switch với địa chỉ này. CA M được cập nhật thường xuyên để lưu các

thông tin mới nhất.



10 M b p s



Interface

1

VỊ



ựs

i

o1

Tí

O

So 1



2



A

B

c



?



3



c



v/

x/

v/



Hình 13: Nhận biết địa chỉ



Với m ô hình ở trên, khi các m áy trạm được kết nối với switch thì ở trên switch tạo ra

m ột bảng liên kết các cổng kết nối của sw itch với địa chỉ card m ạng của m áy trạm ,

ở đây có sự liên kết là: A-3, B -l, C-4.

Khi sw itch được bật lên lần đầu tiên, bảng chuyển tiếp/lọc các địa chỉ M AC chưa có

thông tin nào



ị



H ost A



Hình 14: Bảng lọc và chuyển tiếp địa chỉ MAC



Khi các m áy tính kết nối với switch bắt đầu truyền đi các khung dữ liệu, switch đưa

các địa chỉ nguồn của khung vào trong bảng, cho phép bảng ghi lại số thứ tự cổng

m à m áy tính kết nối vào. Trên thực tế có nhiều trường hợp không phải m áy tính kết

nối trực tiếp với switch m à còn phải đi qua nhiều lớp khác, như vậy switch chỉ lưu

được địa chỉ nguồn của khung dữ liệu đi đến switch. Suy ra trên m ột cổng của

switch có thể có rất nhiều thông tin của địa chỉ MAC.

Khi các m áy tính hoặc thiết bị này trả lời các thông tin quảng bá, switch sẽ bắt lấy

địa chỉ nguồn của của khung đó và đưa địa chỉ M AC vào bảng, sau đó địa chỉ này sẽ

được liên kết với số thứ tự cổng đã nhận địa chỉ này. Vì ở trong switch đã có cả hai

địa chỉ M A C liên quan đến nhau, như vậy hai m áy tính hoặc hai thiết bị có thể kết

nối điểm - điểm với nhau trực tiếp. Từ thời điểm này trở đi, sw itch không cần gửi đi

các thông tin quảng bá nữa, vì các khung cần thiết truyền giữa hai m áy tính chỉ

truyền cho nhau chứ không gửi đến các cổng khác. Đây cũng là lý do vì sao switch

hoạt động hiệu quả hơn hub vì với hub thì các khung thường bị gửi đến tất cả các



23



MAC Forward/Filter Table

E0.Ủ: OOOO.ScOlOOOA step 2

E 0 /1 :0000.8c01.0008 step 4



E0.2:

EO S:



Hình 15: Bảng lọc và chuyển tiếp địa chỉ MAC



Ở hình vẽ trên, ta có 4 m áy tính được kết nối với switch. Khi các m áy tính bắt đầu

trao đổi dữ liệu, sw itch lưu các địa chỉ phần cứng nguồn của từng khung dữ liệu vào

bảng dựa vào các cổng m à khung dữ liệu đi qua.

1. M áy tính A gửi m ột khung dữ liệu đến m áy tính B. Đ ịa chỉ M A C của m áy A

là 0080.8c01.000A , còn địa chỉ của máy B là 0000.8c01.000B.

2. Switch nhận được khung này ở trên cổng E0/0 và đưa địa chỉ nguồn vào trong

bảng địa chỉ M AC

3. Vì địa chỉ đích hiện chưa có trong bảng, vì vậy khung dữ liệu này sẽ được

chuyển đến tất cả các cổng

4. M áy B nhận được khung dữ liệu này và trả lời ngược trở lại cho m áy A.

Switch nhận được khung trả lời này trên cổng E0/1 và đưa địa chỉ phần cứng

nguồn vào bảng

5. M áy A và m áy B có thể tạo kết nối điểm - điểm từ lúc này và chỉ hai máy này

nhận được các khung dữ liệu cần thiết. M áy



c và m áy D không nhìn thấy các



khung này, đồng thòi trên bảng địa chỉ cũng không có các địa chỉ M AC của

chúng vì các m áy này không gửi khung dữ liệu nào đến switch



24



Nếu m áy A và m áy B không truyền dữ liệu cho nhau nữa trong m ột khoảng

thời gian nhất định, sw itch sẽ xoá thông tin về địa chỉ của những m áy này để

lưu các thông tin mới.

•



Q uyết định lọc và chuyển tiếp (forw ard/filter decisions): Khi m ột khung dữ



liệu đi đến m ột cổng của sw itch, switch sẽ tìm địa chỉ đích của m áy trạm nhận dữ

liệu dựa trên bảng CA M ở trên, sau đó chuyển tiếp dữ liệu đến đúng cổng m à m áy

trạm nhận dữ liệu đang kết nối vào. Đ iều này làm giảm lưu lượng truyền trên m ạng,

đồng thời tăng tốc độ truyền dữ liệu bên trong switch.

•



Tránh vòng lặp (loop avoidance): Nếu trong switch có nhiều kết nối được tạo



ra với m ục đích dư thừa hoặc dự phòng, thì vòng lặp ở trên m ạng có thể xảy ra. Khi

đó, trong switch có giao thức Spanning Tree Protocol (STP) sẽ ngăn ngừa các vòng

lặp này nhưng vẫn đảm bảo các kết nối dư thừa cần thiết. Các liên kết dư thừa nên

tồn tại giữa các switch vì nó ngàn ngừa tình trạng hỏng hóc của m ạng trong trường

hợp m ột đường liên kết nào đó ngừng hoạt động [7] [11]

M ỡ hình V L A N :

M ạng LA N ảo được định nghĩa là m ột m ạng LAN được phân đoạn m ột cách logic

theo chức năng, ứng dụng m à không cần để ý đến vị trí vật lý của người dùng. Hay

nói m ột cách khác, V LA N là m ột nhóm logic những người dùng và tài nguyên trên

m ạng được kết nối tới các cổng đã được định nghĩa sẵn ở trên switch. Khi tạo

V LA N , ta có thể tạo được các m iền con nhỏ hơn của m ạng bằng cách gán các cổng

khác nhau trên sw ich tới các m ạng con. N hư vậy, cách làm việc của V LA N giống

hệt như với m ạng lớp 2 thông thường, điều đó có nghĩa là các khung truyền được

quảng bá (broadcasted) chỉ được chuyển giữa các cổng trong nhóm logic ở trong

cùng m ột VLAN.



25



T raditional L A N segm entation



V L A N segm entation



LAN 3



VLAN 1



VLAN 2

VLAN 3



□



Hình 16: Mô hình mane ảo (VLAN: Virtual Local Area Network)



N hững lợi ích của V LA N là:

•



M ột V LA N có thể nhóm nhiều m iền quảng bá thành nhiều m ạng con logic



•



Có thể thêm , bớt, thay đổi người dùng m ạng, tài nguyên m ạng bằng cách cấu

hình lại cổng ở V LA N tương ứng



•



M ột nhóm người dùng có nhu cầu bảo m ật cao có thể đưa vào một V LA N ,

điều này đảm bảo người dùng nằm bên ngoài V LA N không thể truy xuất

được vào nhóm này



•



Có thể dùng VLAN để nhóm những người dùng có cùng chức năng lại thành

nhóm m à không cần biết vị trí địa lý của họ ở đâu



•



V LA N tăng cường tính năng bảo m ật m ạng



26



Mối quan hê giữa các VLANs:

Khi V LA N được tạo ra, ta cần phải gán các cổng của switch cho các VLAN này.

Tuỳ vào hoạt động của m ạng m à ta có hai kiểu của VLAN: V LA N tĩnh (Static

V LA N ) và V LA N động (dynam ic VLA N ). VLAN tĩnh yêu cầu cấu hình ban đầu

không phức tạp nhưng việc quản lý về sau sẽ khó khăn, còn V LA N động ngược lại,

cấu hình ban đầu phức tạp nhưng sẽ dễ dàng hơn trong việc quản lý người dùng

VLAN về sau.

•



V LA N tĩnh: V LA N tĩnh được xây dựng dựa trên mối quan hệ giữa các cổng



trên switch, có nghĩa là m ột số cổng nhất định được gán cho m ột V LA N nào đó.

Người dùng trở thành thành viên của m ột V LA N tuỳ thuộc vào cổng vật lý m à họ

kết nối vào. Trong VLA N tĩnh không tồn tại giao thức quan hệ V LA N duy nhất,

vì vậy người dùng sẽ đương nhiên được xem như là thành viên của V LA N mỗi

khi họ kết nối với m ột cổng định nghĩa sẵn cho VLAN. Thông thường, người

dùng không cần biết rằng V LA N tĩnh này có tồn tại hay không.

Trên m ột switch, ta có thể chia được nhiều VLAN khác nhau. Dù hai máy tính

cùng được kết nối trên m ột switch, nhưng nếu được gán vào hai V LA N khác

nhau thì cũng không thể nhìn được thấy nhau.

M ối quan hệ giữa cổng của V LA N đến V LA N được quản lý được bởi vi mạch

được lập trình sẵn ở trên switch. M ối quan hệ này làm cho hoạt động của m ạng

tốt hơn nhiều vì việc ánh xạ các cổng được thực hiện ở mức độ phần cứng chứ

không phải truy xuất vào các bảng phức tạp.

V LA N m ặc định ở trên switch được gán là V LA N 1, và được đặt ở chế độ VLAN

của Ethernet. Để định nghĩa các V LA N hoặc gán các cổng cho VLA N , ta phải

truy cập vào switch bằng cổng console hoặc bằng lệnh telnet:



27



(1)



Sw tch# vlan database



(2)



Sw tch (vla n )# vlan vlan -n u m nam e vlan -n am e



(3)



Sw tch (vla n )# exit



(4)



Sw tch# configure te rm in a l



(5)



Sw tch(config)# interface in te rfa c e m o d u le /n u m b e r



(6)



Sw tch (co n fig -if)# sw itch p o rt m ode access



(7)



Sw tch (con fig-if)# sw itch p o rt a ccess vlan vlan-num



(8)



Sw tch (con fig-if)# end



Ở đây dòng lệnh thứ 7 dùng để gán cổng vào V LA N được định nghĩa bằng lệnh ở

dòng th ứ 2. Còn lệnh thứ 6 dùng để cấu hình cổng cho V LA N tĩnh. Đ ể xác định

lại cấu hình cửa V LA N , sử dụng dòng lệnh “show v la n ” để liệt kc các V LA N đã

được định nghĩa, đồng thời cũng liệt kê ra các cổng nào đã được gán vào với

V L A N nào. [3] [7]

•



V L A N động: V LA N động ngoài việc dựa vào cổng của switch còn lấy các

thông tin của thiết bị hoặc m áy tính kết nối vào. N hư vậy, khi người dùng

m uốn chuyển vị trí đến các nơi khác, V LA N động vẫn nhận biết được địa chỉ

M A C của m áy tính người dùng kết nối và tự động gán lại cổng vật lý cho

V L A N động đó. Khi m ột m áy tính được kết nối với m ột cổng chưa được gán,

sw itch tương ứng sẽ kiểm tra địa chỉ M AC, địa chỉ logic, kiểu giao thức của

nó, sau đó so sánh với các dữ liệu ở trong cơ sở dữ liệu quản lý V LA N và tự

động gán cổng kết nối này các cấu hình của V LA N tương ứng. Thông

thường, để có thể cấu hình được V LA N động, người ta phải dùng m ột số

phần m ềm đặc biệt để quét các cổng của các m áy tính kết nối vào V LA N để

liên kết lại.



V ì m ột sw itch thông thường chỉ có tối đa 24 cổng, và vì V LA N có thể được trải rộng

trên nhiều switch chứ không đơn thuần là m ột sw itch đơn lẻ, vì vậy giữa các switch

phải có các đường liên kết để tạo thành m ột sw itch logic có nhiều cổng hơn. Người

ta sử dụng m ột đường liên kết đặc biệt, gọi là “trunk link” để kết nối các switch với

nhau.



28



Access and trunk links in a switched network



V LAN s can span atíOĩG multiple SYíícheỉ



by using trunk links wtiich carry traffic

l a multiple VLAHs



RedVLAH



Blue VLAN Green VLAN



Hình 17: Kết nối các switch bàng “trunk link”



Về bản chất, trunk link là đường kết nối điểm - điểm tốc độ lOOMbps đến

lOOOMbps giữa các sw itch với nhau, hoặc giữa switch và bộ định tuyến router.

Trunk link này cho phép chuyển tải thông tin về các cổng V LA N để xác định m áy

tính kết nối vào sw itch nào là thuộc về V LA N nào. Tại cùng m ột thời điểm , trunk

link cho phép chuyển tải thông tin từ VLAN 1 đến V LA N 1005. Trunk link được

hoạt động thông qua m ột giao thức có tên là V TP (V LA N T runking Protocol). VTP

là giao thức nàm ở lớp 2, dùng để quản lý việc thêm , xoá hoặc thay đổi tên của

V LA N thông qua các switch, tối thiểu hoá việc cấu hình sai, hoặc cấu hình không

nhất quán, ví dụ như các V LA N trùng tên hoặc V LA N bị khai báo cấu hình sai. V í

dụ, trong m ột m ạng có 10 switch và được kết nối với nhau, nếu cả 10 switch này cần

được khai báo V LA N 3, thông thường cần phải khai báo các thông tin của V LA N 3

này lên cả 10 switch và rất dễ gây nhầm lẫn. Với VTP, chỉ cần khai báo m ột lần các

thông tin của V LA N 3 trên m ột sw itch, sau đó 9 switch còn lại thông qua trunk link

để cập nhật thông tin này tự động. M ột switch được định nghĩa là VTP Server, khi

đó ta thay đổi các thông tin về V LA N trên switch này, sau đó dựa vào giao thức

VTP, V TP Server gửi đi số sửa lại cấu hình (configuration revision num ber) và các

thông tin về sự thay đổi của VLA N . M ỗi lần VTP Server sửa đổi cấu hình của