Bài giảng Mạng thông tin máy tính và ứng dụng trong các hệ thống thông tin kinh tế (Phần 2)

pdf 53 trang phuongnguyen 2770
Download
Bạn đang xem 20 trang mẫu của tài liệu "Bài giảng Mạng thông tin máy tính và ứng dụng trong các hệ thống thông tin kinh tế (Phần 2)", để tải tài liệu gốc về máy bạn click vào nút DOWNLOAD ở trên

Tài liệu đính kèm:

  • pdfbai_giang_mang_thong_tin_may_tinh_va_ung_dung_trong_cac_he_t.pdf

Nội dung text: Bài giảng Mạng thông tin máy tính và ứng dụng trong các hệ thống thông tin kinh tế (Phần 2)

  1. CHƯƠNG 3 KIẾN TRÚC MẠNG VÀ MÔ HÌNH KẾT NỐI CÁC HỆ THỐNG MỞ OSI 3.1. Các tổ chức tiêu chuẩn hóa mạng máy tính 3.1.1. Cơ sở xuất hiện kiến trúc đa tầng Sự khác biệt về kiến trúc mạng đã gây trở ngại cho người sử dụng khi kết nối liên mạng, ảnh hưởng đến sức sản xuất và tiêu thụ các sản phẩm về mạng. Cần xây dựng mô hình chuẩn làm cơ sở cho các nhà nghiên cứu và thiết kế mạng tạo ra các sản phẩm mở về mạng và tạo điều kiện cho việc phát triển và sử dụng mạng. Vì vậy các tổ chức tiêu chuẩn quốc tế đã ra đời. Các nhà sản xuất đã có tiếng nói chung cho các sản phẩm của họ, đó là các chuẩn, các khuyến nghị quy định thiết kế và sản xuất các sản phẩm mạng. 3.1.2. Các tổ chức tiêu chuẩn ISO (International Standards Organization): Tổ chức tiêu chuẩn quốc tế hoạt động dưới sự bảo trợ của Liên Hiệp Quốc. Chia thành nhiều ban kỹ thuât- Technical Commitee- ký hiệu là TC, trong đó ban TC97 đảm nhận việc nghiên cứu chuẩn hoá xử lý thông tin. Các sản phẩm của nó gọi là các chuẩn- Standard - Mô hình OSI - Open Systems Interconnection là sản phẩm điển hình của tổ chức này. CCITT (International Telegraphand Telephone Consultative Commintte): Uỷ ban tư vấn điện tín & điện thoại quốc tế nay là Hiệp hội Viễn thông quốc tế ITU (International Telecommunication Union). Là tổ chức bao gồm các cơ quan Bưu chính Viễn thông của các nước. Các sản phẩm được gọi là các khuyến nghị (Recommendation): - Khuyến nghị loại V: Tập các tiêu chuẩn về truyền dữ liệu bằng Modem: V21 tốc độ 300 bps, V32 tốc độ 9600 - 14.400 bps, V90, V92 cho tốc độ 56 Kbps. - Khuyến nghị loại X: Tập các tiêu chuẩn liên quan đến mạng truyền số liệu. Quy định các thủ tục giao diện người sử dụng và giao diện mạng: X21, X25, - Khuyến nghị loại I: Các tiêu chuẩn liên quan đến mạng ISDN - IEEE (Institute of Electronical And Electronic Engineers): Viện các kỹ sư điện và điện tử. Tập các thủ tục tầng vật lý. 41
  2. 3.2. Mô hình kiến trúc đa tầng Các mạng máy tính được thiết kế và cài đặt theo quan điểm có cấu trúc đa tầng. Mỗi một thành phần của mạng được xem như một hệ thống gồm nhiều tầng và mỗi một tầng bao gồm một số chức năng truyền thông. Các tầng được chồng lên nhau, số lượng và chức năng của các tầng phụ thuộc vào các nhà sản xuất và thiết kế. Tuy nhiên quan điểm chung là trong mỗi tầng có nhiều thực thể (các tiến trình) thực hiện một số chức năng nhằm cung cấp một số dịch vụ, thủ tục cho các thực thể tầng trên hoạt động. 3.2.1. Các quy tắc phân tầng Tổ chức tiêu chuẩn quốc tế ISO quy định các quy tắc phân tầng như sau: - Không định nghĩa quá nhiều tầng, số lượng tầng, vai trò và chức năng của các tầng trong mỗi hệ thống của mạng là như nhau, không quá phức tạp khi xác định và ghép nối các tầng. Chức năng các tầng độc lập với nhau và có tính mở. - Trong mỗi hệ thống, cần xác định rõ mối quan hệ giữa các tầng kề nhau, mối quan hệ này gọi là giao diện tầng (Interface). Mối quan hệ này quy định những thao tác và dịch vụ cơ bản mà tầng kề dưới cung cấp cho tầng kề trên và số các tương tác qua lại giữa hai tầng kề nhau là nhỏ nhất. - Xác định mối quan hệ giữa các đồng tầng để thống nhất về các phương thức hoạt động trong quá trình truyền thông, mối quan hệ đó là tập các quy tắc và các thoả thuận trong hội thoại giữa các hệ thống, gọi là giao thức tầng. - Dữ liệu không được truyền trực tiếp từ tầng thứ i của hệ thống phát sang tầng thứ i của hệ thống nhận (trừ tầng thấp nhất- tầng vật lý) mà được chuyển từ tầng cao xuống tầng thấp nhất bên hệ thống phát và qua đường truyền vật lý, dữ liệu là chuỗi bit không cấu trúc được truyền sang tầng thấp nhất của hệ thống nhận và từ đó dữ liệu được chuyển ngược lên các tầng trên. Giữa các đồng tầng xác định liên kết logic, giữa các tầng vật lý có liên kết vật lý. Như vậy mỗi một tầng có hai quan hệ: quan hệ theo chiều ngang và quan hệ theo chiều dọc. Số lượng các tầng và các giao thức tầng được gọi là kiến trúc mạng (Network Architecture). Quan hệ theo chiều ngang phản ánh sự hoạt động của các đồng tầng. Các đồng tầng trước khi trao đổi thông tin với nhau phải bắt tay, hội thoại và thỏa thuận với nhau bằng các tham số của các giao thức (hay là thủ tục), được gọi là giao thức tầng. 42
  3. Quan hệ theo chiều dọc là quan hệ giữa các tầng kề nhau trong cùng một hệ thống. Giữa chúng tồn tại giao diện xác định các thao tác nguyên thủy và các dịch vụ tầng dưới cung cấp cho tầng trên. Được gọi là giao diện tầng. Trong mỗi một tầng có một hoặc nhiều thực thể (Entity) hoạt động. Các thực thể có thể là một tiến trình (Process) trong một hệ đa xử lý, hoặc có thể là một chương trình con Chúng thực hiện các chức năng của tầng N và giao thức truyền thông với các thực thể đồng tầng trong các hệ thống khác. Ký hiệu N_Entity là thực thể tầng N. Các thực thể truyền thông với các thực thể tầng trên nó và các thực thể tầng dưới nó thông qua các điểm truy nhập dịch vụ trên các giao diện SAP (Service Access Point). Các thực thể phải biết nó cung cấp những dịch vụ gì cho các hoạt động tầng trên kề nó và các hoạt động truyền thông của nó được sử dụng những dịch vụ gì do tầng kề dưới nó cung cấp thông qua các lời gọi hàm qua các điểm truy nhập SAP trên giao diện các tầng. Khi mô tả hoạt động của bất kỳ giao thức nào trong mô hình OSI, cần phải phân biệt được các dịch vụ cung cấp bởi tầng kề dưới, hoạt động bên trong của tầng và các dịch vụ mà nó khai thác. Sự tách biệt giữa các tầng giúp cho việc bổ sung, sửa đổi chức năng của giao thức tầng mà không ảnh hưởng đến hoạt động của các tầng khác. 3.2.2. Lưu chuyển thông tin trong kiến trúc đa tầng Hình 2.2 là một ví dụ minh hoạ cho sự lưu chuyển thông tin trong mạng 43
  4. máy tính kết nối giữa 2 hệ thống A và B gồm N=5 tầng. 3.2.3. Nguyên tắc truyền thông đồng tầng Để truyền thông đồng tầng, gói tin khi chuyển xuống qua các tầng sẽ được bổ sung thêm vào phần đầu bằng thông tin điều khiển của tầng. Việc thêm Header vào đầu các gói tin khi đi qua mỗi tầng trong quá trình truyền dữ liệu được gọi là quá trình Encapsulation. Quá trình bên nhận sẽ diễn ra theo chiều ngược lại, khi đi qua các tầng, gói tin sẽ tách thông tin điều khiển thuộc nó trước khi chuyển dữ liệu lên tầng trên. Đơn vị dữ liệu được sử dụng trong các tầng bao gồm - Thông tin điều khiển giao thức PCI (Protocol Control Information): Thông tin được thêm vào đầu các gói tin trong quá trình hoạt động truyền thông của các thực thể. Ký hiệu N_PCI là thông tin điều khiển tầng N. - Đơn vị dữ liệu dịch vụ SDU (Service Data Unit): Là đơn vị dữ liệu truyền thông giữa các tầng kề nhau. Ký hiệu N_SDU là đơn vị dữ liệu truyền từ tầng (N+1) xuống tầng N chưa thêm thông tin điều khiển. - Đơn vị dữ liệu giao thưc PDU (Protocol Data Unit) : Đơn vị dữ liệu giao thức tầng. Ký hiệu PDU = PCI + SDU, nghĩa là đơn vị dữ liệu giao thức bao gồm thông tin điều khiển PCI được thêm vào đầu đơn vị dữ liệu dịch vụ SDU. 44
  5. 3.2.4. Giao diện tầng, quan hệ các tầng kề nhau và dịch vụ Chức năng của các tầng là cung cấp dịch vụ cho tầng trên kề nó. Trong mỗi tầng có một hay nhiều thực thể. Thực thể ở tầng N thực hiện các dịch vụ mà tầng N+1 yêu cầu sử dụng, Các thực thể trao đổi dịch vụ với nhau qua các điểm truy cập dịch vụ SAP (Service Access Points). Các thực thể tầng N cung cấp dịch vụ cho tầng N+1 qua các SAP trên giao diện N+1/N. Mỗi một SAP có một nhận dạng duy nhất. Hai tầng trao đổi thông tin với nhau phải có những thoả thuận về thiết lập các quy tắc giao diện. Thực thể của tầng N+1 chuyển một PDU tới thực thể tầng N qua SAP. PDU bao gồm một đơn vị dữ liệu dịch vụ SDU và thông tin điều khiển PCI. SDU là thông tin gửi qua mạng tới thực thể đồng tầng và sau đó đưa lên tầng N+1. Nếu độ dài của SDU lớn hơn độ dài quy định, các thực thể tầng N chia SDU ra nhiều gói nhỏ có độ dài quy định và thêm Header PCI vào mỗi gói tin. Header của PDU được các thực thể đồng tầng nhận dạng PDU nào chứa dữ liệu và PDU nào chứa thông tin điều khiển Hình 2.3 minh hoạ giao diện và dịch vụ trong các tầng kề nhau. Như đã biết, thực thể ở tầng N từ hệ thống A không thể truyền dữ liệu trực tiếp sang tầng N của hệ thống B mà phải chuyển tuần tự xuống các tầng dưới nó, cho tới tầng thấp 45
  6. nhất, tầng vật lý. Bằng phương tiện truyền vật lý, dữ liệu là những chuỗi bit 0 và 1 được truyền sang tầng vật lý của hệ thống B. Từ đây dữ liệu được chuyển lên các tầng trên. 3.2.5 Dịch vụ và chất lượng dịch vụ Tầng N sẽ phải biết sử dụng dịch vụ nào của tầng N-1 và cung cấp những dịch vụ gì cho tầng N+1. Quá trình cung cấp dịch vụ thông qua các điểm truy nhập SAP trên các giao diện tầng N/N+1. Có hai loại dịch vụ khác nhau: dịch vụ hướng liên kết (Connection Oriented) và dịch vụ không liên kết (Connectionless). a. Dịch vụ hướng liên kết (Connection Oriented): Các dịch vụ và giao thức trong các mô hình hệ thống mở thực hiện truyền thông 3 giai đoạn theo thứ tự thời gian như sau: Thiết lập liên kết: Một kênh logic được thiết lập giữa các thực thể đồng tầng của hai hệ thống khác nhau. Chúng sẽ đàm phán, thương lượng với nhau về tập các tham số và sử dụng các tham số này như thế nào trong quá trình truyền số liệu. Truyền dữ liệu: Dữ liệu được truyền giữa hai tầng đồng tầng theo cơ chế kiểm soát và quản lý quá trình truyền dữ liệu, thực hiện việc ghép kênh, cắt hợp dữ liệu bảo đảm được thứ tự truyền, phát hiện lỗi, kiểm soát luồng dữ liệu, phát hiện tắc nghẽn thông tin nhằm tăng cường độ tin cậy cao và hiệu suất truyền. Giải phóng liên kết: Sau khi kết thúc quá trình truyền dữ liệu, các tài nguyên của hệ thống được cấp phát cho quá trình thiết lập liên kết và truyền dữ liệu sẽ được giải phóng, sẵn sàng cấp phát cho liên kết tiếp theo. b. Dịch vụ không liên kết (Connectionless): Dịch vụ không liên kết không cần tiêu tốn thời gian để thiết lập liên kết và giải phóng liên kết giữa các 46
  7. thực thể đồng tầng. Không yêu cầu kiểm soát luồng dữ liệu, dữ liệu được truyền với tốc độ cao độ nhưng độ tin cậy thấp. Không truyền lại trong trường hợp xẩy ra lỗi đường truyền. Các dịch vụ không liên kết phù hợp với các yêu cầu truyền dung lượng không lớn, các cuộc trao đổi thông tin rải rác và độc lập. Mỗi dịch vụ được đặc trưng bởi chất lượng dịch vụ. Một số dịch vụ yêu cầu có độ tin cậy cao, bằng cách yêu cầu thực thể đích gửi xác nhận phản hồi sau khi nhận gói tin. Vì vậy máy thu luôn bảo đảm gói tin đã đến đúng và không để mất dữ liệu. Xử lý xác nhận phản hồi đòi hỏi phải chèn thêm vào gói tin một số thông tin điều khiển và làm tăng thời gian trễ. Một loại dịch vụ hướng liên kết tin cậy là dịch vụ truyền file với yêu cầu mọi bit gửi đến đều chính xác và đúng thứ tự như khi gửi đi. Một số loại dịch vụ chấp nhận có một số lỗi nhưng yêu cầu yêu cầu độ trễ nhỏ như thoại số, video. Với dịch vụ loại này thì không cần xác nhận có báo nhận, nhằm để giảm thời gian trễ tại các nút. Ngoài dịch vụ hướng liên kết và không liên kết, còn có kiểu dịch vụ hỏi- đáp. Máy gửi sẽ gửi các thông tin chứa yêu cầu xác nhận trong các gói tin và yêu cầu máy nhận trả lời. Khi máy nhận nhận được gói tin, sẽ gửi các trả lời đến máy gửi. Dịch vụ hỏi-đáp được sử dụng truyền thông trong mô hình khách-chủ (Client-Server). Máy khách (Client) gửi các yêu cầu cho máy chủ (Server) và máy chủ trả lời kết quả cho máy khách. 3.2.6. Các hàm dịch vụ nguyên thuỷ (Primitive) Việc cung cấp và nhận các dịch vụ giữa các thực thể trong các tầng kề nhau thông qua việc gọi các hàm dịch vụ nguyên thủy. Một dịch vụ được đặc tả hình thức bằng nhiều hàm dịch vụ nguyên thủy. Các hàm dịch vụ nguyên thủy sử dụng 47
  8. để định nghĩa sự tương tác giữa các tầng kề nhau, chỉ rõ chức năng cần thực hiện và sử dụng để chuyển dữ liệu và thông tin điều khiển. Cụ thể hơn, các hàm dịch vụ nguyên thủy là đặc tả các thao tác cần thực hiện một yêu cầu hay trả lời một yêu cầu của các thực thể đồng tầng. Có bốn kiểu hàm dịch vụ nguyên thủy cơ bản: Request (Yêu cầu): Được một thực thể sử dụng gọi một chức năng, yêu cầu các phương tiện cung cấp dịch vụ mạng. Indication (Chỉ báo): Được một thực thể chỉ báo yêu cầu cung cấp dịch vụ. Chỉ báo yêu cầu bằng cách: o Gọi một chức năng nào đó. o Chỉ báo một chức năng đã được gọi tại một điểm SAP. Response (Trả lời): Được thực thể yêu cầu sử dụng hoàn tất một chức năng đã được gọi bởi hàm Indication tại điểm truy nhập dịch vụ. Confirm (Xác nhận): Được thực thể cung cấp dịch vụ sử dụng để xác nhận hoàn tất các thủ tục đã được yêu cầu từ trước bởi hàm dịch vụ nguyên thủy Request. Hình 2.6 minh họa nguyên lý hoạt động của các hàm dịch vụ nguyên thuỷ. Trong hệ thống A: - Tầng (N+1) gửi hàm Request xuống tầng N qua SAP trên giao diện (N+1)/N. - Tại tầng N, kiến tạo một đơn vị dữ liệu gửi yêu cầu sang tầng N của hệ thống B qua giao thức tầng N. Trong hệ thống B: - Tầng N nhận được yêu cầu, chỉ báo- lên tầng (N+1) bằng hàm Indication qua SAP trên giao diện (N+1)/N . - Tầng (N+1) trả lời tầng N bằng hàm Response qua SAP của giao diện 2 tầng. - Tâng N, kiến tạo một đơn vị dữ liệu gửi trả lời sang tầng N của hệ thống A qua giao thức tầng N. Nhận trả lời, tầng N của hệ thống A gửi xác nhận lên tâng (N+1) bằng hàm Confirm qua SAP trên giao diện. Kết thúc giao tác giữa 2 hệ thống. Quá trình yêu cầu thiết lập liên kết giữa các thực thể đồng tầng có thể có xác nhận (Confirmed) hoặc không có xác nhận (Unconfirmed). 48
  9. 3.2.7. Quan hệ giữa dịch vụ và giao thức Mỗi một lớp giao thức có hai đặc trưng: đặc trưng dịch vụ và đặc trưng giao thức. Đặc trưng dịch vụ là các tham số dịch vụ trong các hàm nguyên thủy. Thông qua các tham số dịch vụ mà các tầng ở trên có thể giao tiếp với đồng tầng trong hệ thống khác. Đặc trưng giao thức bao gồm: Khuôn dạng PDU, các tham số dịch vụ sử dụng cho mỗi một loại PDU và phương thức hoạt của thực thể giao thức. Dịch vụ và giao thức là những khái niệm khác nhau. Một dịch vụ là một tập các các thao tác của các thực thể (thủ tục ) của tầng cung cấp dịch vụ cho các hoạt động các thực thể của tầng trên kề nó. Dịch vụ tầng được định nghĩa trong suốt đối với đối tượng sử dụng dịch vụ. Ngược lại, một giao thức là một tập các quy tắc, quy ước về kết nối, ngữ nghĩa, định dạng, ý nghĩa của khung, gói hoặc bản tin được các thực thể đồng tầng đàm phán, thương lượng với nhau. Các thực thể sử dụng giao thức để thực hiện sự xác định các dịch vụ. 49
  10. 3.3 Mô hình kết nối các hệ thống mở OSI (Open System Interconnection) Mô hình kết nối các hệ thống mở OSI là mô hình căn bản về các tiến trình truyền thông, thiết lập các tiêu chuẩn kiến trúc mạng ở mức Quốc tế, là cơ sở chung để các hệ thống khác nhau có thể liên kết và truyền thông được với nhau. Mô hình OSI tổ chức các giao thức truyền thông thành 7 tầng, mỗi một tầng giải quyết một phần hẹp của tiến trình truyền thông, chia tiến trình truyền thông thành nhiều tầng và trong mỗi tầng có thể có nhiều giao thức khác nhau thực hiện các nhu cầu truyền thông cụ thể. 3.3.1 Nguyên tắc định nghĩa các tầng hệ thống mở Mô hình OSI tuân theo các nguyên tắc phân tầng như sau: - Mô hình gồm N =7 tầng. OSI là hệ thống mở, phải có khả năng kết nối với các hệ thống khác nhau, tương thích với các chuẩn OSI. 50
  11. - Quá trình xử lý các ứng dụng được thực hiện trong các hệ thống mở, trong khi vẫn duy trì được các hoạt động kết nối giữa các hệ thống. - Thiết lập kênh logic nhằm thực hiện việc trao đổi thông tin giữa các thực thể. 3.3.2. Các giao thức trong mô hình OSI Trong mô hình OSI có hai loại giao thức được sử dụng: giao thức hướng liên kết (Connection - Oriented) và giao thức không liên kết (Connectionless). Giao thức hướng liên kết: Trước khi truyền dữ liệu, các thực thể đồng tầng trong hai hệ thống cần phải thiết lập một liên kết logic. Chúng thương lượng với nhau về tập các tham số sẽ sử dụng trong giai đoạn truyền dữ liệu. Dữ liệu được truyền với các cơ chế kiểm soát lỗi, kiểm soát luồng dữ liệu, cắt/hợp dữ liệu, nhằm nâng cao độ tin cậy và hiệu quả của quá trình truyền dữ liệu. Sau khi trao đổi dữ liệu, liên kết sẽ được hủy bỏ. Thiết lập liên kết logic sẽ nâng cao độ tin cậy và an toàn trong quá trình trao đổi dữ liệu. Giao thức không liên kết: Dữ liệu được truyền độc lập trên các tuyến khác nhau. Với các giao thức không liên kết chỉ có giai đoạn duy nhất truyền dữ liệu. 51
  12. 3.3.3 Truyền dữ liệu trong mô hình OSI 3.3.4. Vai trò và chức năng chủ yếu các tầng Vai trò & chức năng tầng ứng dụng (Application Layer) Xác định giao diện giữa người sử dụng và môi trường OSI. Bao gồm nhiều giao thức ứng dụng cung cấp các phương tiện cho người sử dụng truy cập vào môi trường mạng và cung cấp các dịch vụ phân tán. Khi các thực thể ứng dụng AE (Application Entity) được thiết lập, nó sẽ gọi đến các phần tử dịch vụ ứng dụng ASE (Application Service Element). Mỗi thực thể ứng dụng có thể gồm một hoặc nhiều các phần tử dịch vụ ứng dụng. Các phần tử dịch vụ ứng dụng được phối hợp trong môi trường của thực thể ứng dụng thông qua các liên kết gọi là đối tượng liên kết đơn SAO (Single Association Object). SAO điều khiển việc truyền thông và cho phép tuần tự hóa các sự kiện truyền thông. Vai trò & chức năng tầng trình bày (Presentation Layer): Tầng trình bày giải quyết các vấn đề liên quan đến cú pháp và ngữ nghĩa của thông tin được truyền. Biểu diễn thông tin người sử dụng phù hợp với thông tin làm việc của mạng và ngược lại. Thông thường biểu diễn thông tin các ứng dụng nguồn và ứng dụng đích có thể khác nhau bởi các ứng dụng được chạy trên các hệ thống có thể khác nhau. 52
  13. Tầng trình bày phải chịu trách nhiệm chuyển đổi dữ liệu gửi đi trên mạng từ một loại biểu diễn này sang một loại khác. Để đạt được điều đó nó cung cấp một dạng biểu diễn truyền thông chung cho phép chuyển đổi từ dạng biểu diễn cục bộ sang biểu diễn chung và ngược lại. Vai trò & chức năng tầng phiên (Session Layer): Tầng phiên cho phép người sử dụng trên các máy khác nhau thiết lập, duy trì, huỷ bỏ và đồng bộ phiên truyền thông giữa họ với nhau. Nói cách khác tầng phiên thiết lập "các giao dịch" giữa các thực thể đầu cuối. Dịch vụ phiên cung cấp một liên kết giữa 2 đầu cuối sử dụng dịch vụ phiên sao cho trao đổi dữ liệu một cách đồng bộ và khi kết thúc thì giải phóng liên kết. Sử dụng thẻ bài (Token) để thực hiện truyền dữ liệu, đồng bộ hóa và hủy bỏ liên kết trong các phương thức truyền đồng thời hay luân phiên. Thiết lập các điểm đồng bộ hóa trong hội thoại. Khi xẩy ra sự cố có thể khôi phục hội thoại bắt đầu từ một điểm đồng bộ hóa đã thỏa thuận. Vai trò & chức năng tầng vận chuyển (Transport Layer): Là tầng cao nhất có liên quan đến các giao thức trao đổi dữ liệu giữa các hệ thống mở, kiểm soát việc truyền dữ liệu từ mút tới mút (End- to -End). Thủ tục trong 3 tầng dưới (vật lý, liên kết dữ liệu và mạng) chỉ phục vụ việc truyền dữ liệu giữa các tầng kề nhau trong từng hệ thống. Các thực thể đồng tầng hội thoại, thương lượng với nhau trong quá trình truyền dữ liệu. Tầng vận chuyển thực hiện việc chia các gói tin lớn thành các gói tin nhỏ hơn trước khi gửi đi và đánh số các gói tin và đảm bảo chúng chuyển theo đúng thứ tự. Là tầng cuối cùng chịu trách nhiệm về mức độ an toàn trong truyền dữ liệu nên giao thức tầng vận chuyển phụ thuộc nhiều vào bản chất của tầng mạng. Tầng vận chuyển có thể thực hiện việc ghép kênh (multiplex) một vài liên kết vào cùng một liên kết nối để giảm giá thành. Vai trò & chức năng tầng mạng (Network Layer): Thực hiện các chức năng chọn đường (Routing đi cho các gói tin từ nguồn tới đích có thể trong cùng một mạng hoặc khác mạng nhau. Đường có thể được cố định, cũng có thể được định nghĩa khi bắt đầu hội thoại và có thể đường đi là động (Dynamic) có thể thay đổi với từng gói tin tuỳ theo trạng thái tải tức thời của mạng. Trong mạng kiểu quảng bá (Broadcast) routing rất đơn giản. Một chức năng quan trọng khác của tầng mạng là chức năng điều khiển tắc 53
  14. nghẽn (Congestion Control). Nếu có quá nhiều gói tin cùng lưu chuyển trên cùng một đường thì có thể xảy ra tình trạng tắc nghẽn. Thực hiện chức năng giao tiếp giữa các mạng khi các gói tin đi từ mạng này sang mạng khác để tới đích. Vai trò & chức năng tầng liên kết dữ liệu (Data link Layer): Chức năng chủ yếu của tầng liên kết dữ liệu là thực hiện thiết lập các liên kết, duy trì và huỷ bỏ các liên kết dữ liệu. Kiểm soát lỗi và kiểm soát lưu lượng. Chia thông tin thành các khung thông tin (Frame), truyền các khung tuần tự và xử lý các thông điệp xác nhận (Acknowledgement Frame) từ bên máy thu gửi về. Tháo gỡ các khung thành chuỗi bít không cấu trúc chuyển xuống tầng vật lý. Tầng 2 bên thu, tái tạo chuỗi bít thành các khung thông tin. Đường truyền vật lý có thể gây lỗi, nên tầng liên kết dữ liệu phải giải quyết vấn đề kiểm soát lỗi, kiểm soát lưồng, kiểm soát lưu lượng, ngăn không để nút nguồn gây “ ngập lụt” dữ liệu cho bên thu có tốc độ thấp hơn. Trong các mạng quảng bá, tầng con MAC (Medium Acces Sublayer) điều khiển việc truy nhập đường truyền. Vai trò & chức năng tầng Vật lý (Physical layer): Tầng vật lý là tầng thấp nhất trong mô hình 7 lớp OSI. Các thực thể tầng giao tiếp với nhau qua một đường truyền vật lý. Tầng vật lý xác định các chức năng, thủ tục về điện, cơ, quang để kích hoạt, duy trì và giải phóng các kết nối vật lý giữa các hệ thống mạng. Cung cấp các cơ chế về điện, cơ hàm, thủ tục nhằm thực hiện việc kết nối các phần tử của mạng thành một hệ thống bằng các phương pháp vật lý. Đảm bảo cho các yêu cầu về chuyển mạch hoạt động nhằm tạo ra các đường truyền thực cho các chuỗi bit thông tin. Các chuẩn trong tầng vật lý là các chuẩn xác định giao diện người sử dụng và môi trường mạng. Các giao thức tầng vật lý có hai loại truyền dị bộ (Asynchronous) và truyền đồng bộ (Synchronous). Tóm tắt chức năng các tầng như sau: Tầng Chức năng chủ yếu Giao thức 7- Application Giao tiếp người và môi trường mạng Ứng dụng 6-Presentation Chuyển đổi cú pháp dữ liệu để đáp ứng yêu cầu Giao thức truyền thông của các ứng dụng. Biến đổi mã 5-Sesion Quản lý các cuộc liên lạc giữa các thực thể bằng Giao thức cách thiết lập, duy trì, đồng bộ hoá và huỷ bỏ các phiên phiên truyền thông giữa các ứng dụng 54
  15. 4-Transport Vận chuyển thông tin giữa các máy chủ (End to Giao thức End). Kiểm soát lỗi và luồng dữ liệu. Vận chuyển 3-Network Thực hiện chọn đường và đảm bảo trao đổi thông Giao thức tin trong liên mạng với công nghệ chuyển mạch Mạng 2-Data Link Tạo/gỡ bỏ khung thông tin (Frames), kiểm soát Thủ tục luồng và kiểm soát lỗi. kiểm soát 1-Physical Đảm bảo các yêu cầu truyền/nhận các chuỗi bít Giao diện qua các phương tiện vật lý. DTE - DCE 3.4. Một số kiến trúc khác 3.4.1. Systems Nework Architecture (SNA) Kiến trúc mạng SNA được công ty IBM thiết kế, đặc tả kiến trúc mạng xử lý dữ liệu phân tán. Giao thức định nghĩa các quy tắc, các tiến trình cho sự tương tác giữa các thành phần trong mạng như máy tính, terminal và phần mềm. - Mạng SNA sử dụng kiến trúc 6 tầng: tầng1- Physical Control (X21,RS- 232), tầng 2-Data Link Control (SDLC) , tầng 3- Path Control (chọn đường và kiểm soát dữ liệu), tầng 4 - Transmission Control (kiểm soát truyền), tầng 5- Data Flow Control (kiểm soát luồng) và tầng 6 - Function Management (quản trị). - Chức năng của các node trong mạng: Node loại 5- kiểm soát tài nguyên mạng và các dịch vụ mạng, gọi là node Host. Node loại 4 định tuyến và điều khiển luồng dữ liệu. Node loại 2.0 và 2.1 là các loại node ngoại vi được nối với node loại 4 hoặc loại 5. Đây là node điều khiển cụm và là bộ xử lý phân tán. 3.4.2. Internetwork Packet Exchange/Sequenced Packet Exchange (IPX/SPX) Giao thức IPX/SPX được công ty Novell thiết kế sử dụng cho các sản phẩm mạng của chính hãng. SPX hoạt động trên tầng Transport của OSI, có chức năng bảo đảm độ tin cậy của liên kết truyền thông từ mút đến mút. Nó đảm bảo chuyển giao các gói tin đúng trình tự, đúng đích nhưng không có vai trò trong định tuyến. IPX tuân theo chuẩn OSI, hoạt động tầng mạng, chịu trách nhiệm thiết lập địa chỉ cho các thiết bị mạng. Nó là giao thức định tuyến, kết hợp với các giao thức Routing Information Protocol (RIP) và Netware Link Services Protocol (NLSP) để trao đổi thông tin định tuyến với các bộ định tuyến lân cận. 55
  16. 3.4.3. AppleTalk Là kiến trúc mạng do hãng Apple Computer phát triển cho họ các máy tính cá nhân Macintosh. Giao thức AppleTalk cũng được phát triển trên tầng vật lý của Ethernet và Token Ring. - Các vùng tối đa trên một phân mạng: Phase 1 là 1; Phase 2 là 255 . - Các node tối đa trên mỗi mạng: Phase 1: 254; Phase 2: khoảng 16 triệu. - Địa chỉ động dựa trên các giao thức truy nhập : Phase 1: Node ID; Phase 2: Network + Node ID; Phase 1&2: LocalTalk , Phase 1: Ethernet; Phase 2: IEEE 802.2, IEEE 802.5. - Định tuyến Split-horizon: Phase 1: không; Phase 2: có. 3.4.4. Digital Network Architectur (DNA) Kiến trúc mạng DNA là sản phẩm của hãng Digital Equipment Corporation. Đặc biệt Digital kết hợp với các hãng Intel và Xerox phát triển các phiên bản Ethernet, trong đó có Ethernet Version 2. 3.4.5. Họ IEEE 802 (Institute of Electrical and Electronic Engineer) Là chuẩn cho kiến trúc các mạng LAN, WAN và MAN: - Chuẩn IEEE 802.2 định nghĩa một tầng con LLC được giao thức tầng dưới sử dụng. Giao thức tầng mạng có thể thiết kế độc lập với tầng vật lý. - Giao thức tầng dưới: 802.3 (1Base5, 10Base5, 10Base2, 10Basef, 10Broad36, 10BaseT, 10BaseX), 802.4 (TokenBus), 802.5 (Token Ring) , 802.6 , 802.9, 802.11, 802.12. 3.4.6. TCP/IP (Transmission Control Protocol/Internet Protocol) Là họ các giao thức cùng làm việc với nhau để cung cấp phương tiện truyền thông liên mạng. Vì lịch sử của TCP/IP gắn liền với Bộ quốc phòng Mỹ, nên việc phân lớp giao thức TCP/IP được gọi là mô hình DOD ( Department of Defense ). Đây là họ các giao thức được sử dụng phổ biến trên mạng Internet, mang tính mở nhất , phổ dụng nhất và được hỗ trợ của nhiều hãng kinh doanh. TCP/IP được cài đặt sẵn trong phần thực thi UNIX BSD (Berkely Standard Distribution). Mô hình DOD gồm 4 tầng: - Network Access Layer (truy nhập mạng) tương ứng Physical Layer & Data Link Layer trong OSI. 56
  17. - Internetwork Layer: Định tuyến gói dữ liệu giữa các máy chủ. - Host to Host Layer: Kết nối các thành phần mạng. - Application Layer: Hỗ trợ các ứng dụng . 3.5. Mô hình TCP/IP TCP/IP (Transmission Control Protocol/Internet Protocol) là chồng giao thức cùng hoạt động nhằm cung cấp các phương tiện truyền thông liên mạng. Năm 1981, TCP/IP phiên bản 4 (IPv4) được hoàn thành và sử dụng phổ biến trên máy tính sử dụng hệ điều hành UNIX, trở thành một trong những giao thức cơ bản của hệ điều hành Windows 9x. Năm 1994, một phiên bản mới IPv6 được hình thành trên cơ sở cải tiến những hạn chế của IPv4. 3.5.1. Mô hình kiến trúc TCP/IP 57
  18. 3.5.2. Vai trò và chức năng các tầng trong mô hình TCP/IP Tầng ứng dụng (Process/Application Layer): Ứng với các tầng Session, Presentation và Aplication trong mô hình OSI. Tầng ứmg dụng hỗ trợ các ứng dụng cho các giao thức tầng Host to Host. Cung cấp giao diện cho người sử dụng mô hình TCP/IP. Các giao thức ứng dụng gồm TELNET(truy nhập từ xa), FTP (truyền File), SMTP (thư điện tử), Tầng vận chuyển Host to Host: Ưng với tầng vận chuyển (Transport Layer) trong mô hình OSI, tầng Host to Host thực hiện những kết nối giữa hai máy chủ trên mạng bằng 2 giao thức: giao thức điều khiển trao đổi dữ liệu TCP (Transmission Control Protocol) và giao thức dữ liệu người sử dụng UDP (User Datagram Protocol).Giao thức TCP là giao thức kết nối hướng liên kết (Connection - Oriented) chịu trách nhiệm đảm bảo tính chính xác và độ tin cậy cao trong việc trao đổi dữ liệu giữa các thành phần của mạng, tính đồng thời và kết nối song công (Full Duplex). Khái niệm tin độ cậy cao nghĩa là TCP kiểm soát lỗi bằng cách truyền lại các gói tin bị lỗi. Giao thức TCP cũng hỗ trợ những kết nối đồng thời. Nhiều kết nối TCP có thể được thiết lập tại một máy chủ và dữ liệu có thể được truyền đi một cách đồng thời và độc lập với nhau trên các kết nối khác nhau. TCP cung cấp kết nối song công (Full Duplex), dữ liệu có thể được trao đổi trên một kết nối đơn theo 2 chiều. Giao thức UDP được sử dụng cho những ứng dụng không đòi hỏi độ tin cậy cao. Tầng mạng (Internet Layer):Ưng với tầng mạng (Network Layer) trong mô hình OSI, tầng mạng cung cấp một địa chỉ logic cho giao diện vật lý mạng. Giao thức thực hiện của tầng mạng trong mô hình DOD là giao thức IP kết nối không liên kết (Connectionless), là hạt nhân hoạt động của Internet. Cùng với các giao thức định tuyến RIP, OSPF, BGP, tầng tầng mạng IP cho phép kết nối một cách mềm dẻo và linh hoạt các loại mạng "vật lý" khác nhau như: Ethernet, Token Ring, X.25 Ngoài ra tầng này còn hỗ trợ các ánh xạ giữa địa chỉ vật lý (MAC) do tầng Network Access Layer cung cấp với địa chỉ logic bằng các giao thức phân giải địa chỉ ARP (Address Resolution Protocol) và phân giải địa chỉ đảo RARP (Reverse Address Resolution Protocol). Các vấn đề có liên quan đến chuẩn đoán lỗi và các tình huống bất thường liên quan đến IP được giao thức ICMP (Internet Control Message Protocol) thống kê và báo cáo. Tầng trên sử dụng các dịch vụ do tầng Liên mạng cung cấp. 58
  19. Tầng tầng truy nhập mạng (Network Access Layer): Tương ứng với tầng Vật lý và Liên kết dữ liệu trong mô hình OSI, tầng truy nhập mạng cung cấp các phương tiện kết nối vật lý cáp, bộ chuyển đổi (Transceiver), Card mạng, giao thức kết nối, giao thức truy nhập đường truyền như CSMA/CD, Tolen Ring, Token Bus ). Cung cấp các dịch vụ cho tầng Internet phân đoạn dữ liệu thành các khung. 3.5.3. Quá trình đóng gói dữ liệu Encapsulation Cũng như mô hình OSI, trong mô hình kiến trúc TCP/IP mỗi tầng có một cấu trúc dữ liệu riêng, độc lập với cấu trúc dữ liệu được dùng ở tầng trên hay tầng dưới kề nó. Khi dữ liệu được truyền từ tầng ứng dụng cho đến tầng vật lý, qua mỗi tầng được thêm phần thông tin điều khiển (Header) đặt trước phần dữ liệu được truyền, đảm bảo cho việc truyền dữ liệu chính xác. Việc thêm Header vào đầu các gói tin khi đi qua mỗi tầng trong quá trình truyền dữ liệu được gọi là Encapsulation. Quá trình nhận dữ liệu sẽ diễn ra theo chiều ngược lại, khi qua mỗi tầng, các gói tin sẽ tách thông tin điều khiển thuộc nó trước khi chuyển dữ liệu lên tầng trên. 59
  20. - Process/Application Layer: Message (Thông điệp ) - Host - To- Host Layer: Segment/ Datagram (Đoạn/Bó dữ liệu) - Internet Layer: Packet (Gói dữ liệu) - Network Layer: Frame (Khung dữ liệu) 3.5.4. Quá trình phân mảnh dữ liệu Fragment Dữ liệu có thể được truyền qua nhiều mạng khác nhau, kích thước cho phép cũng khác nhau. Kích thước lớn nhất của gói dữ liệu trong mạng gọi là đơn vị truyền cực đại MTU (Maximum Transmission Unit). Trong quá trình đóng gói Encapsulation, nếu kích thước của một gói lớn hơn kích thước cho phép, tự động chia thành nhiều gói nhỏ và thêm thông tin điều khiển vào mỗi gói. Nếu một mạng nhận dữ liệu từ một mạng khác, kích thước gói dữ liệu lớn hơn MTU của nó, dữ liệu sẽ được phân mảnh ra thành gói nhỏ hơn để chuyển tiếp. Quá trình này gọi là quá trình phân mảnh dữ liệu Fragment. Quá trình phân mảnh làm tăng thời gian xử lý, làm giảm tính năng của mạng và ảnh hưởng đến tốc độ trao đổi dữ liệu trong mạng. Hậu quả của nó là các gói bị phân mảnh sẽ đến đích chậm hơn so với các gói không bị phân mảnh. Mặt 60
  21. khác, vì IP là một giao thức không liên kết, độ tin cậy không cao, khi một gói dữ liệu bị phân mảnh bị mất thì tất cả các mảnh sẽ phải truyền lại. Vì vậy phần lớn các ứng dụng tránh không sử dụng kỹ thuật phân mảnh và gửi các gói dữ liệu lớn nhất mà không bị phân mảnh, giá trị này là Path MTU. 3.6. Một số giao thức cơ bản của bộ giao thức TCP/IP 3.6.1. Giao thức gói tin người sử dụng UDP (User Datagram Protocol) UDP là giao thức không liên kết (Connectionless). UDP sử dụng cho các tiến trình không yêu cầu về độ tin cậy cao, không có cơ chế xác nhận ACK, không đảm bảo chuyển giao các gói dữ liệu đến đích và theo đúng thứ tự và không thực hiện loại bỏ các gói tin trùng lặp. Nó cung cấp cơ chế gán và quản lý các số hiệu cổng để định danh duy nhất cho các ứng dụng chạy trên một Client của mạng và thực hiện việc ghép kênh. UDP thường sử dụng kết hợp với các giao thức khác, phù hợp cho các ứng dụng yêu cầu xử lý nhanh như các giao thưc SNMP và VoIP. - Giao thức SNMP (Simple Network Management Protocol) là giao thức quản lý mạng phổ biến, khả năng tương thích cao. SNMP cung cấp thông tin quản trị MIB (Management Information Base) và hỗ trợ quản lý và giám sát Agent. - VoIP ứng dụng UDP: Kỹ thuật VoIP (Voice over IP) được thừa kế kỹ thuật giao vận IP. Các mạng IP sử dụng hai loại giao thức định tuyến: định tuyến vectơ khoảng cách và định tuyến trạng thái liên kết. Hệ thống đảm bảo tính năng thời gian thực, tốc độ truyền cao, các gói thoại không có trễ quá mức và độ tin cậy cao. 3.6.2. Giao thức điều khiển truyền TCP (Transmission Control Protocol) TCP là một giao thức hướng liên kết (Connection Oriented), tức là trước khi truyền dữ liệu, thực thể TCP phát và thực thể TCP thu thương lượng để thiết lập một kết nối logic tạm thời, tồn tại trong quá trình truyền số liệu. TCP nhận thông tin từ tầng trên, chia dữ liệu thành nhiều gói theo độ dài quy định và chuyển giao các gói tin xuống cho các giao thức tầng mạng (Tầng IP) để định tuyến. Bộ xử lý TCP xác nhận từng gói, nếu không có xác nhận gói dữ liệu sẽ được truyền lại. Thực thể TCP bên nhận sẽ khôi phục lại thông tin ban đầu dựa trên thứ tự gói và chuyển dữ liệu lên tầng trên. TCP cung cấp khả năng truyền dữ liệu một cách an toàn giữa các thành trong liên mạng. Cung cấp các chức năng kiểm tra tính chính xác của dữ liệu khi 61
  22. đến đích và truyền lại dữ liệu khi có lỗi xảy ra. TCP cung cấp các chức năng chính sau: - Thiết lập, duy trì, giải phóng liên kết giữa hai thực thể TCP. - Phân phát gói tin một cách tin cậy. - Tạo số thứ tự (Sequencing) các gói dữ liệu. - Điều khiển lỗi. - Cung cấp khả năng đa kết nối cho các quá trình khác nhau giữa thực thể nguồn và thực thể đích thông qua việc sử dụng số hiệu cổng. - Truyền dữ liệu theo chế độ song công (Full-Duplex). TCP có những đặc điểm sau: - Hai thực thể liên kết với nhau phải trao đổi, đàm phán với nhau về các thông tin liên kết. Hội thoại, đàm phán nhằm ngăn chặn sự tràn lụt và mất dữ liệu khi truyền. - Hệ thống nhận phải gửi xác nhận cho hệ thống phát biết rằng nó đã nhận gói dữ liệu. - Các Datagram IP có thể đến đích không đúng theo thứ tự , TCP nhận sắp xếp lại. - Hệ thống chỉ phát lại gói tin bị lỗi, không loại bỏ toàn bộ dòng dữ liệu. Cấu trúc gói tin TCP: Đơn vị dữ liệu sử dụng trong giao thức TCP được gọi là Segment. Khuôn dạng và nội dung của gói tin TCP được biểu diễn như sau - Cổng nguồn (Source Port): 16 bít, số hiệu cổng nguồn. - Cổng đích (Destination Port): Độ dài 16 bít, chứa số hiệu cổng đích. 62
  23. - Sequence Number: 32 bits, số thứ tự của gói số liệu khi phát. - Acknowlegment Number (32 bits), Bên thu xác nhận thu được dữ liệu đúng. - Offset (4 bíts): Độ dài Header gói tin TCP. - Reserved (6 bít) lưu lại: Lấp đầy bằng 0 để dành cho tương lai. - Control bits: Các bits điều khiển URG : Vùng con trỏ khẩn có hiệu lực. ACK : Vùng báo nhận (ACK number) có hiệu lực PSH: Chức năng PUSH. RST: Khởi động lại (reset) liên kết. SYN : Đồng bộ các số liệu tuần tự (sequence number). FIN : Không còn dữ liệu từ trạm nguồn . - Window (16bits): Số lượng các Byte dữ liệu trong vùng cửa sổ bên phát. - Checksum (16bits): Mã kiểm soát lỗi (theo phương pháp CRC). - Urgent Pointer (16 bits): Số thứ tự của Byte dữ liệu khẩn, khi URG được thiết lập .- Option (độ dài thay đổi): Khai báo độ dài tối đa của TCP Data trong một Segment . - Padding (độ dài thay đổi): Phần chèn thêm vào Header. Việc kết hợp địa chỉ IP của một máy trạm và số cổng được sử dụng tạo thành một Socket. Các máy gửi và nhận đều có Socket riêng. Số Socket là duy nhất trên mạng. Điều khiển lưu lượng và điều khiển tắc nghẽn Cơ chế cửa sổ động là một trong các phương pháp điều khiển thông tin trong mạng máy tính. Độ lớn của cửa sổ bằng số lượng các gói dữ liệu được gửi liên tục mà không cần chờ thông báo trả lời về kết quả nhận từng gói dữ liệu đó. Độ lớn cửa sổ quyết định hiệu suất trao đổi dữ liệu trong mạng. Nếu chọn độ lớn của sổ cao thì có thể gửi được nhiều dữ liệu trong cùng một đơn vị thời gian. Nếu truyền bị lỗi, dữ liệu phải gửi lại lớn thì hiệu quả sử dụng đường truyền thấp. Giao thức TCP cho phép thay đổi độ lớn của sổ một cách động, phụ thuộc vào độ lớn bộ đệm thu của thực thể TCP nhận. Cơ chế phát lại thích nghi: Để đảm bảo kiểm tra và khắc phục lỗi trong việc 63
  24. trao đổi dữ liệu qua liên mạng, TCP phải có cơ chế đồng hồ kiểm tra phát (Time Out) và cơ chế phát lại (Retransmission) mềm dẻo, phụ thuộc vào thời gian trễ thực của môi trường truyền dẫn cụ thể. Thời gian trễ toàn phần RTT (Round Trip Time) được xác định bắt đầu từ thời điểm phát gói dữ liệu cho đến khi nhận được xác nhận của thực thể đối tác, là yếu tố quyết định giá trị của đồng hồ kiểm tra phát Tout. Như vậy Tout phải lớn hơn hoặc bằng RTT. Cơ chế điều khiển tắc nghẽn: Hiện tương tắc nghẽn dữ liệu thể hiện ở việc gia tăng thời gian trễ của dữ liệu khi chuyển qua mạng. Để hạn chế khả năng dẫn đến tắc nghẽn dữ liệu trong mạng, điều khiển lưu lượng dựa trên việc thay đổi độ lớn của sổ phát. Thiết lập và huỷ bỏ liên kết: TCP là một giao thức hướng liên kết, tức là cần phải thiết lập một liên kết giữa một cặp thực TCP trước khi truyền dữ liệu. Sau khi liên kết được thiết lập, những giá trị cổng (Port) hoạt động như một nhận dạng logic được sử dụng nhận dạng mạch ảo (Virtual Circuit).Trên kênh ảo dữ liệu được truyền song công (Full Duplex). Liên kết TCP được duy trì trong thời gian truyền dữ liệu. Kết thúc truyền, liên kết TCP được giải phóng, các tài nguyên như bộ nhớ, các bảng trạng thái cũng được giải phóng. Thiết lập liên kết TCP: Được thực hiện trên cơ sở phương thức bắt tay ba bước (Tree - Way Handsake): Bước 1: Như hình 3.7 yêu cầu liên kết luôn được trạm nguồn khởi tạo tiến trình bằng cách gửi một gói TCP với cờ SYN=1 và chứa giá trị khởi tạo số tuần tự ISN của Client. Giá trị ISN này là một số 4 byte không dấu và được tăng mỗi khi liên kết được yêu cầu (giá trị này quay về 0 khi nó tới giá trị 232). Trong thông điệp SYN này còn chứa số hiệu cổng TCP của phần mềm dịch vụ mà tiến trình trạm muốn liên kết. Mỗi thực thể liên kết TCP đều có một giá trị ISN mới, số này được tăng theo thời gian. Vì một liên kết TCP có cùng số hiệu cổng và cùng địa chỉ IP được dùng lại nhiều lần, do đó việc thay đổi giá trị ISN ngăn không cho các liên kết dùng lại các dữ liệu đã cũ (Stale) vẫn còn được truyền từ một liên kết cũ và có cùng một địa chỉ liên kết . Bước 2: Khi thực thể TCP của phần mềm dịch vụ nhận được thông điệp SYN, nó gửi lại gói SYN cùng giá trị ISN của nó và đặt cờ ACK=1 trong trường hợp sẵn sàng nhận liên kết . Thông điệp này còn chứa giá trị ISN của tiến trình trạm trong trường hợp số tuần tự nhận để báo rằng thực thể dịch vụ đã nhận được 64
  25. giá trị ISN của tiến trình trạm. Bước 3: Tiến trình trạm trả lời lại gói SYN của thực thể dịch vụ bằng một thông báo trả lời ACK. Bằng cách này, các thực thể TCP trao đổi một cách tin cậy các giá trị ISN của nhau và có thể bắt đầu trao đổi dữ liệu. Không có thông điệp nào trong ba bước trên chứa bất kỳ dữ liệu gì , tất cả thông tin trao đổi đều nằm trong phần Header của thông điệp TCP. Kết thúc liên kết: Khi có nhu cầu kết thúc liên kết TCP, ví dụ A gửi yêu cầu kết thúc liên kết với FIN=1. Vì liên kết TCP là song công (Full-Duplex) nên mặc dù nhận được yêu cầu kết thúc liên kết của A, thực thể B vẫn có thể tiếp tục truyền cho đến khi B không còn số liệu để gửi và thông báo cho A bằng yêu cầu kết thúc liên kết với FIN=1. Khi thực thể TCP đã nhận được thông điệp FIN và sau khi đã gửi thông điệp FIN của mình, liên kết TCP thực sụ kết thúc. Như vậy cả hai trạm phải đồng ý giải phóng liên kết TCP bằng cách gửi cờ FIN=1 trước khi chấm dứt liên kết xẩy ra, việc này bảo đảm dữ liệu không bị thất lạc do đơn phương đột ngột chấm dứt liên lạc. Truyền và nhận dữ liệu Sau khi liên kết được thiết lập giữa một cặp thực thể TCP, các thực thể truyền dữ liệu. Liên kết TCP dữ liệu có thể được truyền theo hai hướng. Khi nhận một khối dữ liệu cần chuyển đi từ người sử dụng, TCP sẽ lưu trữ tại bộ đệm. Nếu cờ PUST được xác lập thì toàn bộ dữ liệu trong bộ đệm sẽ được gửi đi dưới dạng TCP Segment. Nếu PUST không được xác lập thì dữ liệu trong bộ đệm vẫn chờ gửi đi khi có cơ hội thích hợp. 65
  26. Bên nhận, dữ liệu sẽ được gửi vào bộ đệm. Nếu dữ liệu trong đệm đựợc đánh dấu bởi cờ PUST thì toàn bộ dữ liệu trong bộ đệm sẽ được gửi lên cho người sử dụng. Ngược lại, dữ liệu vẫn được lưu trong bộ đệm. Nếu dữ liệu khẩn cần phải chuyển gấp thì cờ URGENT được xác lập và đánh dấu dữ liệu bằng bit URG để báo dữ liệu khẩn cần được chuyển gấp. 3.6.3. Giao thức mạng IP (Internet Protocol) Các chức năng chính của IP: IP (Internet Protocol) là giao thức không liên kết. Chức năng chủ yếu của IP là cung cấp các dịch vụ Datagram và các khả năng kết nối các mạng con thành liên mạng để truyền dữ liệu với phương thức chuyển mạch gói IP Datagram, thực hiện tiến trình định địa chỉ và chọn đường. IP Header được thêm vào đầu các gói tin và được giao thức tầng thấp truyền theo dạng khung dữ liệu (Frame). IP định tuyến các gói tin thông qua liên mạng bằng cách sử dụng các bảng định tuyến động tham chiếu tại mỗi bước nhảy. Xác định tuyến được tiến hành bằng cách tham khảo thông tin thiết bị mạng vật lý và logic như ARP giao thức phân giải địa chỉ. IP thực hiện việc tháo rời và khôi phục các gói tin theo yêu cầu kích thước được định nghĩa cho các tầng vật lý và liên kết dữ liệu thực hiện. IP kiểm tra lỗi thông tin điều khiển, phần đầu IP bằng giá trị tổng CheckSum. Địa chỉ IP : Mỗi một trạm (Host) được gán một địa chỉ duy nhất gọi là địa chỉ IP. Mỗi địa chỉ IP có độ dài 32 bit được tách thành 4 vùng (mỗi vùng 1 byte), có thể được biểu diễn dưới dạng thập phân, bát phân, thập lục phân hoặc nhị phân. Cách viết phổ biến nhất là dưới dạng thập phân có dấu chấm để tách giữa các vùng. Địa chỉ IP được chia thành 5 lớp ký hiệu là A, B, C, D, E với cấu trúc mỗi lớp được xác định. Các bit đầu tiên của byte đầu tiên được dùng để định danh lớp địa chỉ (0-lớp A, 10 - lớp B, 110 - lớp C, 1110 - lớp D, 11110 - lớp E). - Lớp A cho phép định danh tối đa 126 mạng (byte đầu tiên), với tối đa 16 triệu Host (3 byte còn lại) cho mỗi mạng. Lớp này được dùng cho các mạng có số trạm cực lớn. - Lớp B cho phép định danh tới 16384 mạng con, với tối đa 65535 Host trên mỗi mạng. Dạng địa chỉ của lớp B: (Network number. Network number.Host.Host). 66
  27. - Lớp C cho phép định danh tới 2.097.150 mạng và tối đa 254 Host cho mỗi mạng. - Lớp D dùng để gửi IP Datagram tới một nhóm các Host trên một mạng. Tất cả các số lớn hơn 233 trong trường đầu là thuộc lớp D. - Lớp E dự phòng để dùng trong tương lai. Lớp Bit đặc trưng Số lượng Số lượng Biểu diễn Mạng Host bằng số Thập phân A 0 127 16.777.214 0.1.0.0 ⎯ B 10 16.383 65.534 128.1.0.0 ⎯ C 110 2.097.151 234 192.1.0.0 ⎯ D 1110 223.0.0.0 ⎯ E 11110 240.0.0.0 ⎯ Hình 3.6: Cấu trúc các lớp địa chỉ IP Cấu trúc gói dữ liệu IP: Các gói dữ liệu IP được gọi là các Datagram. Mỗi Datagram có phần tiêu đề (Header) chứa các thông tin điều khiển. Nếu địa chỉ IP đích cùng mạng với trạm nguồn thì các gói dữ liệu sẽ được chuyển thẳng tới đích, nếu địa chỉ IP đích không cùng mạng IP với máy nguồn thì các gói dữ liệu sẽ được gửi đến một máy trung chuyển IP Gateway để chuyển tiếp. IP Gateway là một thiết bị mạng IP đảm nhận việc lưu chuyển các gói dữ liệu IP giữa hai mạng IP khác nhau. Hình 3.3 mô tả cấu trúc gói IP. - VER (4 bits): Version hiện hành của IP được cài đặt. - IHL(4 bits): Internet Header Length của Datagram, tính theo đơn vị word (32 bits). - Type of service(8 bits): Thông tin về loại dịch vụ và mức ưu tiên của gói IP: - Total Length (16 bits): Chỉ độ dài Datagram, - Identification (16bits): Định danh cho một Datagram trong thời gian sống của nó. - Flags(3 bits): Liên quan đến sự phân đoạn (Fragment) các Datagram: 67
  28. - Fragment Offset (13 bits): Chỉ vị trí của Fragment trong Datagram. - Time To Live (TTL-8 bits): Thời gian sống của một gói dữ liệu. - Protocol (8 bits): Chỉ giao thức sử dụng TCP hay UDP. - Header Checksum (16 bits): Mã kiểm soát lỗi CRC(Cycle Redundancy Check). - Source Address (32 bits): địa chỉ của trạm nguồn. - Destination Address (32 bits): Địa chỉ của trạm đích. - Option (có độ dài thay đổi): Sử dụng trong trường hợp bảo mật, định tuyến đặc biệt. - Padding (độ dài thay đổi): Vùng đệm cho phần Header luôn kết thúc ở 32 bits - Data (độ dài thay đổi): Độ dài dữ liệu tối đa là 65.535 bytes, tối thiểu là 8 bytes. Phân mảnh và hợp nhất các gói IP: Các gói IP được nhúng trong khung dữ liệu ở tầng liên kết dữ liệu tương ứng trước khi chuyển tiếp trong mạng. Một gói dữ liệu IP có độ dài tối đa 65.536 byte, trong khi hầu hết các lớp liên kết dữ liệu chỉ hỗ trợ các khung dữ liệu nhỏ hơn độ lớn tối đa của gói dữ liệu IP nhiều lần (ví dụ độ dài lớn nhất của một khung dữ liệu Ethernet là 1500 byte). Vì vậy cần thiết phải có cơ chế phân mảnh khi phát và hợp nhất khi nhận đối với các gói dữ liệu IP. Độ dài tối đa của một gói liên kết dữ liệu là MTU (Maximum Transmit Unit). Khi cần chuyển một gói dữ liệu IP có độ dài lớn hơn MTU của một mạng cụ thể, cần phải chia gói số liệu IP đó thành những gói IP nhỏ hơn để độ dài của nó nhỏ hơn hoặc bằng MTU gọi là mảnh (Fragment). Trong phần tiêu đề của gói dữ liệu IP có thông tin về phân mảnh và xác định các mảnh có quan hệ phụ thuộc để hợp thành sau này. 68
  29. Quá trình hợp nhất diễn ra ngược lại với quá trình phân mảnh. Khi IP nhận được một gói phân mảnh, nó giữ phân mảnh đó trong vùng đệm, cho đến khi nhận được hết các gói IP trong chuỗi phân mảnh có cùng trường định danh. Khi phân mảnh đầu tiên được nhận, IP khởi động một bộ đếm thời gian (giá trị ngầm định là 15s). IP phải nhận hết các phân mảnh kế tiếp trước khi đồng hồ tắt. Nếu không IP phải huỷ tất cả các phân mảnh trong hàng đợi hiện thời có cùng trường định danh. Khi IP nhận được hết các phân mảnh, nó thực hiện hợp nhất các gói phân mảnh thành các gói IP gốc và sau đó xử lý nó như một gói IP bình thường. IP thường chỉ thực hiện hợp nhất các gói tại hệ thống đích của gói. 3.6.4. Giao thức thông báo điều khiển mạng ICMP(Internet Control Message Protocol) Giao thức IP không có cơ chế kiểm soát lỗi và kiểm soát luồng dữ liệu. Các nút mạng cần biết tình trạng các nút khác, các gói dữ liệu phát đi có tới đích hay không Các chức năng chính: ICMP là giao thức điều khiển của tầng IP, sử dụng để trao đổi các thông tin điều khiển dòng dữ liệu, thông báo lỗi và các thông tin trạng thái khác của bộ giao thức TCP/IP. - Điều khiển lưu lượng (Flow Control): Khi các gói dữ liệu đến quá nhanh, thiết bị đích hoặc thiết bị định tuyến ở giữa sẽ gửi một thông điệp ICMP trở lại thiết bị gửi, yêu cầu thiết bị gửi tạm thời ngừng việc gửi dữ liệu. - Thông báo lỗi: Trong trường hợp không tới được địa chỉ đích thì hệ thống sẽ gửi một thông báo lỗi "Destination Unreachable". - Định hướng lại các tuyến (Redirect Router): Một Router gửi một thông điệp ICMP cho một trạm thông báo nên sử dụng Router khác. Thông điệp này có thể chỉ được dùng khi trạm nguồn ở trên cùng một mạng với hai thiết bị định tuyến. - Kiểm tra các trạm ở xa: Một trạm có thể gửi một thông điệp ICMP "Echo" để kiểm tra trạm có hoạt động hay không. 69
  30. Nhóm Loại bản tin Type Hỏi và phúc đáp Echo (Echo Request và 8/0 Echo Reply) Hỏi và phúc đáp nhãn thời gian 13/14 Thông điệp truy vấn (Timestamp Request và Timestamp Reply) (ICMP Queries) Yêu cầu và phúc đáp mặt nạ địa chỉ (Address 17/18 mask Request và Address mask Reply) Yêu cầu và quảng bá bộ định tuyến 10/9 (Router soliciation và Router advertisement) Không thể đạt tới đích 3 (Destination Unreachable) Thông điệp thông Yêu cầu ngừng hoặc giảm tốc độ phát 4 báo lỗi (Source Quench) (ICMP Error Reports) Định hướng lại (Redirection) 5 Vượt ngưỡng thời gian (Time Exceeded) 11 Hình 3.8 Các loại thông điệp ICMP. Các loại thông điệp ICMP: Các thông điệp ICMP được chia thành hai nhóm: các thông điệp truy vấn và các thông điệp thông báo lỗi. Các thông điệp truy vấn giúp cho người quản trị mạng nhận các thông tin xác định từ một node mạng khác. Các thông điệp thông báo lỗi liên quan đến các vấn đề mà bộ định tuyến hay trạm phát hiện ra khi xử lý gói IP. ICMP sử dụng địa chỉ IP nguồn để gửi thông điệp thông báo lỗi cho node nguồn của gói IP. 3.6.5. Giao thức phân giải địa chỉ ARP (Address Resolution Protocol) Giao thức TCP/IP sử dụng ARP để tìm địa chỉ vật lý của trạm đích. Ví dụ khi cần gửi một gói dữ liệu IP cho một hệ thống khác trên cùng một mạng vật lý Ethernet, hệ thống gửi cần biết địa chỉ Ethernet của hệ thống đích để tầng liên kết 70
  31. dữ liệu xây dựng khung gói dữ liệu. Thông thường, mỗi hệ thống lưu giữ và cập nhật bảng thích ứng địa chỉ IP-MAC tại chỗ (còn được gọi là bảng ARP Cache). Bảng thích ứng địa chỉ được cập nhật bởi người quản trị hệ thống hoặc tự động bởi giao thức ARP sau mỗi lần ánh xạ được một địa chỉ tương ứng mới. Trước khi trao đổi thông tin với nhau, node nguồn cần phải xác định địa chỉ vật lý MAC của node đích bằng cách tìm kiếm trong bảng địa chỉ IP. Nếu không tìm thấy, node nguồn gửi quảng bá(Broadcast) một gói yêu cầu ARP(ARP Request) có chứa địa chỉ IP nguồn, địa chỉ IP đích cho tất cảc các máy trên mạng. Các máy nhận, đọc, phân tích và so sánh địa chỉ IP của nó với địa chỉ IP của gói. Nếu cùng địa chỉ IP, nghĩa là node đích tìm trong bảng thích ứng địa chỉ IP- MAC của nó và trả lời bằng một gói ARP Rely có chứa địa chỉ MAC cho node nguồn. Nếu không cùng địa chỉ IP, nó chuyển tiếp gói yêu cầu nhận được dưới dạng quảng bá cho tất cả các trạm trên mạng. Tóm lại tiến trình của ARP được mô tả như sau: - IP yêu cầu địa chỉ MAC. - Tìm kiếm trong bảng ARP. - Nếu tìm thấy sẽ trả lại địa chỉ MAC. - Nếu không tìm thấy, tạo gói ARP yêu cầu và gửi tới tất cả các trạm. - Tuỳ theo gói tin trả lời, ARP cập nhật vào bảng ARP và gửi địa chỉ MAC cho IP. 3.6.6. Giao thức phân giải địa chỉ ngược RARP (Reverse Address Resolution Protocol) RARP là giao thức phân giải địa chỉ ngược. Quá trình này ngược lại với quá trình ARP ở trên, nghĩa là cho trước địa chỉ mức liên kết, tìm địa chỉ IP tương ứng. Như vậy RARP được sử dụng để phát hiện địa chỉ IP, khi biết địa chỉ vật lý MAC. Và cũng được sử dụng trong trường hợp trạm làm việc không có đĩa Khuôn dạng gói tin RARP tương tự như khuôn dạng gói ARP đã trình bày, chỉ khác là trường Opcode có giá trị 0×0003 cho mã lệnh yêu cầu(RARP Request) và có giá trị 0×0004 cho mã lệnh trả lời(RARP Reply). Nguyên tắc hoạt động của RARP ngược với ARP, nghĩa là máy đã biết trước địa chỉ vật lý MAC tìm địa chỉ IP tương ứng của nó. Hình 3.12 minh họa hoạt động của giao thức RARP. Máy A cần biết địa IP của nó, nó gửi gói tin RARP Request chứa địa chỉ MAC cho tất cả các máy trong mạng LAN. Mọi máy trong 71
  32. mạng đều có thể nhận gói tin này nhưng chỉ có Server mới trả lại RARP Reply chứa địa chỉ IP của nó. Hình 3.9 Minh hoạ quá trình tìm địa chỉ MAC bằng ARP Hình 3.10 Minh họa quá trình tìm địa chỉ IP bằng giao thức RARP. 3.7. Giao thức IPv6 (Internet Protocol Version Number 6) Giao thức IPng (Next General Internet Protocol) là phiên bản mới của giao thức IP được IETF (Internet Engineering Task Force) đề xướng và năm 1994, IESG (Internet Engineering Steering Group) phê chuẩn với tên chính thức là IPv6. IPv6 là phiên bản kế thừa phát triển từ IPv4. 72
  33. 3.7.1. Nguyên nhân ra đời của IPv6 - Internet phát triển mạnh, nhu cầu sử dụng địa chỉ IP tăng dẫn đến không gian địa chỉ ngày càng bị thu hẹp và tình trạng thiếu hụt địa chỉ tất yếu sẽ xảy ra trong vài năm tới. - Việc phát triển quá nhanh của mạng Internet dẫn đến kích thước các bảng định tuyến trên mạng ngày càng lớn. - Cài đăt IPv4 bằng thủ công hoặc bằng giao thức cấu hình địa chỉ trạng thái DHCP (Dynamic Host Configuration Protocol), khi mà nhiều máy tính và các thiết bị kết nối vào mạng thì cần thiết phải có một phương thức cấu hình địa chỉ tự động và đơn giản hơn. - Trong quá trình hoạt động IPv4 đã phát sinh một số vấn đề về bảo mật và QoS. Khi kết nối thành mạng Intranet cần nhiều địa chỉ khác nhau và truyền thông qua môi trường công cộng. Vì vậy đòi hỏi phải có các dịch vụ bảo mật để bảo vệ dữ liệu ở mức IP - Mặc dù có các chuẩn đảm bảo chất lượng dịch vụ QoS trong IPv4 trường IPv4 TOS (Type of Service), nhưng hạn chế về mặt chức năng, cần thiết hỗ trợ tốt hơn cho các ứng dụng thời gian thực. Vì vậy việc cần thiết phải thay thế giao thức IPv4 là tất yếu. Thiết kế IPv6 nhằm mục đích tối thiểu hóa ảnh hưởng qua lại giữa các giao thức lớp trên và lớp dưới bằng cách tránh việc bổ sung một cách ngẫu nhiên các chức năng mới. 3.7.2. Các đặc trưng của IPv6 IPv6 được chọn thay thế cho giao thức IPv4 không chỉ do IPv4 không còn phù hợp với yêu cầu phát triển hiện tại của mạng Internet mà còn vì những ưu điểm của giao thức IPv6: - Đơn giản hoá Header: Một số trường trong Header của IPv4 bị bỏ hoặc chuyển thành các trường tuỳ chọn. Giảm thời gian xử lý và tăng thời gian truyền. - Không gian địa chỉ lớn: Độ dài địa chỉ IPv6 là 128 bit, gấp 4 lần độ dài địa chỉ IPv4. Gian địa chỉ IPv6 không bị thiếu hụt trong tương lai. - Khả năng địa chỉ hoá và chọn đường linh hoạt: IPv6 cho phép nhiều lớp địa chỉ với số lượng các node. Cho phép các mạng đa mức và phân chia địa chỉ thành các mạng con riêng lẻ. Có khả năng tự động trong việc đánh địa chỉ. Mở rộng khả năng chọn đường bằng cách thêm trường “Scop” vào địa chỉ quảng bá 73
  34. (Multicast). - Tự động cấu hình địa chỉ: Khả năng tự cấu hình của IPv6 được gọi là khả năng cắm và chạy (Plug and Play). Tính năng này cho phép tự cấu hình địa chỉ cho giao diện mà không cần sử dụng các giao thức DHCP. - Khả năng bảo mật: IPsec bảo vệ và xác nhận các gói tin IP: + Mã hóa dữ liệu: Phía gửi sẽ tiến hành mã hóa gói tin trước khi gửi. + Toàn vẹn dữ liệu: Phía nhận có thể xác nhận gói tin nhận được để đảm bảo rằng dữ liệu không bị thay đổi trong quá trình truyền. + Xác nhận nguồn gốc dữ liệu: Phía nhận có thể biết được phía gửi gói tin. Dịch vụ này phụ thuộc vào dịch vụ toàn vẹn dữ liệu. + Antireplay: Phía nhận có thể phát hiện và từ chối gói tin gửi lại. - Chất lượng dịch vụ QoS (Quanlity Of Service): Chất lượng dịch vụ QoS trong IPv4 không cao.Trong Header IPv4 chứa địa chỉ nguồn và địa chỉ đích, truyền có độ tin cậy không cao. IPv6 Header có thêm một số trường mới để xử lý và xác định lưu lượng trên mạng. Do cơ chế xác nhận gói tin ngay trong Header nên việc hỗ trợ QoS có thể thực hiện được ngay cả khi gói tin được mã hóa qua IPsec. - Giao thức phát hiện lân cận NDP (Neighbor Discovery Protocol) của IPv6 là một dãy các thông báo ICMPv6 cho phép quản lý tương tác giữa các node lân cận, thay thế ARP trong IPv4. Các thông báo ICMPv4 Router Discovery và ICMPv4 Redirect được thay bởi các thông báo Multicast, Unicast Neighbor Discovery. - Khả năng mở rộng: Thêm vào trường Header mở rộng tiếp ngay sau Header, IPv6 có thể được mở rộng thêm các tính năng mới một cách dễ dàng. - Tính di động: IPv4 không hỗ trợ cho tính di động, IPv6 cho phép nhiều thiết bị di động kết nối vào Internet theo chuẩn của PCMCIA (Personal Computer Memory Card International Association) qua mạng công cộng nhờ sóng vô tuyến. 74
  35. 3.7.3. So sánh IPv4 và IPv6 IPv4 IPv6 Độ dài địa chỉ là 32 bit (4 byte) Độ dài địa chỉ là 128 bit (16 byte) IPsec chỉ là tùy chọn IPsec được gắn liền với IPv6. Header của địa chỉ IPv4 không có Trường Flow Label cho phép xác định trường xác định luồng dữ liệu của gói luồng gói tin để các Router có thể đảm tin cho các Router để xử lý QoS. bảo chất lượng dịch vụ QoS Việc phân đoạn được thực hiện bởiVi ệc phân đoạn chỉ được thực hiện bởi cả Router và máy chủ gửi gói tin máy chủ phía gửi mà không có sự tham gia của Router Header có chứa trường Checksum Không có trường Checksum trong IPv6 Header Header có chứa nhiều tùy chọn Tất cả các tùy chọn có trong Header mở rộng Giao thức ARP sử dụng ARP Khung ARP Request được thay thế bởi Request quảng bá để xác định địa chỉ các thông báo Multicast Neighbor vật lý. Solicitation. Sử dụng giao thức IGMP để quản lý Giao thức IGMP được thay thế bởi các thành viên các nhóm mạng con cục bộ thông báo MLD (Multicast Listener Discovery) Sử dụng ICMP Router Discovery để Sử dụng thông báo quảng cáo Router xác định địa chỉ cổng Gateway mặc (Router Advertisement) và ICMP Router định phù hợp nhất, là tùy chọn. Solicitation thay cho ICMP Router Discovery, là bắt buộc. Địa chỉ quảng bá truyền thông tin đến Trong IPv6 không tồn tại địa chỉ quảng tất cả các node trong một mạng con bá, thay vào đó là địa chỉ Multicast 75
  36. Thiết lập cấu hình bằng thủ công hoặcCho phép cấu hình tự động, không sử sử dụng DHCP dụng nhân công hay cấu hình qua DHCP Địa chỉ máy chủ được lưu trong DNS Địa chỉ máy chủ được lưu trong DNS với mục đích ánh xạ sang địa chỉ IPv4 với mục đích ánh xạ sang địa chỉ IPv6 Con trỏ địa chỉ được lưu trong IN Con trỏ địa chỉ được lưu trong Ipv6 – – ADDR ARPA DNS để ánh xạ địa INT DNS để ánh xạ địa chỉ từ IPv4 sang chỉ IPv4 sang tên máy chủ tên máy chủ Hỗ trợ gói tin kích thước 576 bytes Hỗ trợ gói tin kích thước 1280 bytes (có thể phân đoạn) (không cần phân đoạn) Hình 3.11 So sánh IPv4 và IPv6 3.8. Các lớp địa chỉ IPv6 3.8.1. Phương pháp biểu diễn địa chỉ IPv6 Địa chỉ IPv6 được biểu diễn bằng chuỗi số Hexa được chia thành các nhóm 16 bit tương ứng với bốn chữ số Hexa, ngăn cách nhau bởi dấu “:”. Ví dụ một địa chỉ IPv6 : 4021 : 0000 : 240E : 0000 : 0000 : 0AC0 : 3428 : 121C.Ccó thể thu gọn bằng cách thay các nhóm 0 liên tiếp bằng kí hiệu “::”. Ví dụ 12AB : 0000 : 0000 : CD30 : 0000 : 0000 : 0000 : 0000 /60 có thể viết là 12AB : 0 : 0 : CD30 : 0 : 0 : 0 : 0 /60 hoặc 12AB :: CD30 : 0 : 0 : 0 : 0 /60 hoặc 12AB : 0 : 0 : CD30 :: /60 . Không được viết 12AB :: CD30 /60 hay 12AB :: CD30 :: /60 3.8.2. Phân loại địa chỉ IPv6 - Địa chỉ Unicast: Là địa chỉ của một giao diện. Một gói tin được chuyển đến địa chỉ Unicast sẽ chỉ được định tuyến đến giao diện gắn với địa chỉ đó - Địa chỉ Anycast: Là địa chỉ của một tập giao diện thuộc của nhiều node khác nhau. Mỗi gói tin tới địa chỉ Anycast được chuyển tới chỉ một trong tập giao diện gắn với địa chỉ đó (là giao diện gần node gửi nhất và có Metrics nhỏ nhất). - Địa chỉ Multicast: Địa chỉ của tập các giao diện thuộc về nhiều node khác nhau. Một gói tin gửi tới địa chỉ Multicast sẽ được gửi tất cả các giao diện trong nhóm. 76
  37. 3.8.3. So sánh địa chỉ IPv4 và địa chỉ IPv6 Địa chỉ IPv6 và IPv4 có một số điểm chung như cùng sử dụng một số loại địa chỉ với một số chức năng tương tự, nhưng trong IPv6 có một số thay đổi thể hiện trong bảng sau: Bảng So sánh địa chỉ IPv4 và IPv6 IPv4 Address IPv6 Address Phân lớp địa chỉ (Lớp A, B, C và D) Không phân lớp địa chỉ. Cấp phát theo tiền tố Lớp D là Multicast (224.0.0.0/4) Địa chỉ multicast có tiền tố FF00::/8 Sử dụng địa chỉ Broadcast Không có Broadcast, thay bằng Anycast Địa chỉ unspecified là 0.0.0.0 Địa chỉ Unspecified là :: Địa chỉ Loopback 127.0.0.1 Địa chỉ Loopback là ::1 Sử dụng địa chỉ Public Tương ứng là địa chỉ Unicast toàn cầu Địa chỉ IP riêng (10.0.0.0/8, Địa chỉ Site-lLcal (FEC0::/48) 172.16.0.0/12, and 192.168.0.0/16) Địa chỉ tự cấu hình (169.254.0.0/16) Địa chỉ Link-Local (FE80::/64) Dạng biểu diễn: chuỗi số thập Dạng biểu diễn: chuỗi số Hexa cách nhau phân cách nhau bởi dấu chấm bởi dấu hai chấm; có thể nhóm chuỗi số 0 liền nhau vào một kí tự Sử dụng mặt nạ mạng con Chỉ sử dụng kí hiệu tiền tố để chỉ mạng Phân giải tên miên DNS: bản ghi Phân giải tên miên DNS: bản ghi tài tài nguyên địa chỉ máy chủ IPv4 (A) nguyên địa chỉ máy chủ IPv6 (AAAA) Tên miền ngược: IN-ADDR.ARPA Tên miền ngược: IP6.INT domain 77
  38. CHƯƠNG 4 ỨNG DỤNG MẠNG MÁY TÍNH TRONG CÁC HỆ THỐNG THÔNG TIN KINH TẾ 4.1. Thiết lập và định cấu hình cho một mạng Lan 4.1.1. Thiết lập mạng: -Lắp card mạng vào máy tính bằng cách: • Tắt máy tính, tháo vỏ của máy tính. • Tìm khe (slot) trống để cắm card mạng vào. • Vặn ốc lại. Sau đó đóng vỏ máy lại. Với những máy tính có card mạng được tích hợp sẵn trên mainboard, thì bỏ qua các thao tác trên. - Nối kết cáp mạng: Trong mô hình này , chúng ta dùng cáp xoắn để nối kết. • Đo khoảng cách từ nút (từ máy tính) muốn kết nối vào mạng tới thiết bị trung tâm (có thể Hub hay Switch), sau đó cắt một đoạn cáp xoắn theo kích thước mới đo rồi ta bấm hai đầu cáp với chuẩn RJ_45. • Cắm một đầu cáp mạng này vào card mạng, và đầu kia vào một port của thiết bị trung tâm (Hub hay Switch). Sau khi nối kết cáp mạng nếu chúng ta thấy đèn ngay port (Hub hay Switch) mới cắm sáng lên tức là về liên kết vật lý giữa thiết bị trung tâm và nút là tốt. Nếu không thì chúng ta phải kiểm tra lại cáp mạng đã bấm tốt chưa, hay card mạng đã cài tốt chưa. Cách bấm cáp UTP với RJ-45 • Cáp mạng UTP có tám dây, chia làm bốn cặp, mỗi cặp hai dây xoắn lại với nhau (nhằm chống nhiễu). • UTP có bốn cặp dây với các màu chuẩn sau: trắng/xanh – xanh (white/blue – blue) trắng/cam – cam (white/orange – orange)
  39. trắng/xanh lá cây- xanh lá cây (white/green – green) trắng/nâu – nâu (white/brown – brown) • Để bấm dây chạy với mạng tốc độ 10/100Mbps, chúng ta chỉ dùng 2 cặp dây (một cặp truyền, một cặp nhận). Đối với mạng tốc độ 100Mbps với chế độ Full-Duplex (truyền và nhận đồng thời), cần dùng tất cả 4 cặp. Vì tất cả các cặp dây đều hoàn toàn giống nhau nên chúng ta có thể sử dụng bất kỳ cặp nào cho từng chức năng (truyền/nhận). Tuyệt đối không sử dụng 1 dây ở cặp này + 1 dây ở cặp khác để dùng cùng một chức năng. Dùng sai như vậy hai dây truyền nhận sẽ gây nhiễu lẫn nhau, mạng vẫn chạy được, nhưng không đạt được tốc độ đỉnh 10/100Mbps. • Với dây mạng RJ-45, về lý thuyết, chúng ta có thể dùng với độ dài đến 100 mét, nhưng thực tế, nó chỉ có thể truyền tốt trong phạm vi dưới 85 mét. • Bấm dây 10/100Mbps, chúng ta chỉ cần 2 cặp, 2 cặp còn lại chúng ta phải bỏ ra hoặc sắp đặt đúng theo quy cách bấm dây mạng 100Mbps Full-Duplex. Trên thực tế, nếu chúng ta sắp đặt loạn xạ 2 cặp dư này có thể sẽ làm cho card mạng không thể nhận biết chính xác là nó có thể dùng tốc độ nào cho loại dây này • Hiện nay tất cả các loại card mạng đều hỗ trợ tốc độ 10/100Mbps (có loại chỉ hỗ trợ 100Mbps mà không hỗ trợ 10Mbps ). Nối qua Hub hay trực tiếp PC-PC đều có thể đạt tốc độ 100Mbps.
  40. T568B T568A Cáp nối PC qua Hub: Cả hai đầu đấu theo kiểu T568B - Sơ đồ bấm cáp thẳng để nối PC qua Hub. Cặp 1 Cặp 2 Cặp 3 Cặp 4 Đầu 1 1 – 2 3 - 6 4 - 5 7 - 8 Đầu 2 1 – 2 3 – 6 4 – 5 7 - 8
  41. Cáp nối trực tiếp 2 máy PC với nhau: Một đầu đấu theo T568A, còn đầu kia đấu theo T568B (cáp chéo) Sơ đồ bấm cáp chéo để nối PC qua PC. Cặp 1 Cặp 2 Cặp 3 Cặp 4 Đầu 1 1 – 2 3 - 6 4 - 5 7 - 8 Đầu 2 3 – 6 1 - 2 4 - 5 7 - 8 - Cài driver cho card mạng: • Sau khi lắp card mạng vào trong máy, khi khởi động máy tính lên, nó sẽ tự nhận biết có thiết bị mới và yêu cầu cung cấp driver. • Đưa đĩa driver vào và chỉ đúng đường dẫn nơi lưu chứa driver (có thể làm theo tờ hướng dẫn cài đặt kèm theo khi mua card mạng) . • Sau khi cài đặt hoàn tất , có thể tiến hành thiết lập nối dây cáp mạng. - Các bước cài đặt cụ thể: Từ màn hình Windows, nhấn đúp vào / /
  42. 4.1.2 Định cấu hình mạng • Sau khi đã thiết lập mạng, hay nói cách khác là đã thiết lập nối kết về phần cứng giữa thiết bị trung tâm và nút thì các nút vẫn chưa thể thông tin với nhau được. Ðể giữa các nút có thể thông tin với nhau được thì ta phải thiết lập các nút (các máy tính) trong LAN theo một chuẩn nhất định. • Chuẩn là một giao thức (Protocol) nhằm để trao đổi thông tin giữa hai hệ thống máy tính, hay hai thiết bị máy tính. Giao thức (Protocol) còn được gọi là nghi thức hay định ước của mạng máy tính. Trong một mạng ngang hàng (Peer to Peer) các máy tính sử dụng hệ điều hành của Microsoft thông thường sử dụng giao thức TCP/IP (Transmission control protocol/ internet protocol). Cài đặt TCP/IP: Ðể cài đặt TCP/IP cho từng máy (đối với Win 9x) chúng ta chúng ta tiến hành: Vào My Computer Æ Control Panel Æ Network , nếu tại đây chúng ta đã thấy có giao thức TCP/IP rồi thì chúng ta khỏi cần cài thêm nếu chưa có thì chúng ta tiến hành cài đặt. Cụ thể: • My computer /Control Panel /Network: Chọn Tab • Gán IP cho mạng: Khi định cấu hình và gán IP cho mạng có hai kiểu chính:
  43. Gán IP theo dạng động (Dynamic): Thông thường sau khi chúng ta đã nối kết vật lý thành công, và gán TCP/IP trên mỗi nút (máy tính) thì các máy đã có thể liên lạc được với nhau, ta không cần phải quan tâm gán IP nữa. Gán IP theo dạng tĩnh (Static): Nếu ta có nhu cầu là thiết lập mạng để chia sẻ tài nguyên trên mạng như máy in, chia sẻ file, cài đặt mail offline, hay chúng ta sẽ cài share internet trên một máy bất kỳ, sau đó định cấu hình cho các máy khác đều kết nối ra được internet thì chúng ta nên thiết lập gán IP theo dạng tĩnh. Ðể thực hiện chúng ta vào My computer > Control Panel > Network > nếu tại đây chúng ta đã thấy có giao thức TCP/IP rồi thì chúng ta khỏi cần add thêm nếu chưa có thì chúng ta hãy add thêm vào (xem hướng dẫn phần trên) > chọn TCP/IP sau đó chọn Properties > chúng ta gán IP theo như hình sau đó chọn OK 4.2. Mạng riêng ảo VPN (Virtual Private Networks) 4.2.1. Khái niệm mạng riêng ảo Mạng máy tính ban đầu được triển khai với 2 kỹ thuật chính: đường thuê riêng (Leased Line) cho các kết nối cố định và đường quay số (Dial-up) cho các kết nối không thường xuyên. Các mạng này có tính bảo mật cao, nhưng khi lưu lượng thay đổi và đòi hỏi tốc độ cao nên đã thúc đẩy hình thành một kiểu mạng dữ liệu mới, mạng riêng ảo. Mạng riêng ảo được xây dựng trên các kênh lôgích có tính “ảo”. Xu hướng hội tụ của các mạng trên nền NGN tạo điều kiện cho sự xuất hiện nhiều dịch vụ mới, trong đó có dịch vụ mạng riêng ảo. Mạng riêng ảo là một mạng máy tính, trong đó các điểm của khách hàng được kết nối với nhau trên một cơ sở hạ tầng chia sẻ với cùng một chính sách truy nhập và bảo mật như trong mạng riêng. Có 2 dạng chính mạng riêng ảo VPN là: Remote Access VPN , Site - to - Site VPN (Intranet VPN và Extranet VPN). Remote Access VPN (Client - to - LAN VPN) cho phép thực hiện các kết nối truy nhập từ xa đối với người sử dụng di động (máy tính cá nhân hoặc các Personal Digital Assistant) với mạng chính (LAN hoặ c WAN) qua đường quay số, ISDN, đường thuê bao số DSL. Site- to - Site VPN dùng để kết nối các mạng tại các vị trí khác nhau thông qua kết nối VPN. Có thể chia loại này ra 2 loại khác: Intranet VPN và Extranet 6 VPN. Intranet VPN kết nối các văn phòng ở xa với trụ sở chính thường là các mạng
  44. LAN với nhau. Extranet VPN là khi Intranet VPN của một khách hàng mở rộng kết nối với một Intranet VPN khác. Bảo mật là một yếu tố quan trọng bảo đảm cho VPN hoạt động an toàn và hiệu quả. Kết hợp với các thủ tục xác thực ngưòi dùng, dữ liệu được bảo mật thông qua các kết nối đường hầm (Tunnel) được tạo ra trước khi truyền dữ liệu. Tunnel là kết nối ảo điểm - điểm (Point to Point) và làm cho mạng VPN hoạt động như một mạng riêng. Dữ liệu truyền trên VPN có thể được mã hoá theo nhiều thuật toán khác nhau với các độ bảo mật khác nhau. Người quản trị mạng có thể lựa chọn tuỳ theo yêu cầu bảo mật và tốc độ truyền dẫn. Giải pháp VPN được thiết kế phù hợp cho những tổ chức có xu hướng tăng khả năng thông tin từ xa, các hoạt động phân bố trên phạm vi địa lý rộng và có các cơ sở dữ liệu, kho dữ liệu, hệ thống thông tin dùng riêng với yêu cầu đảm bảo an ninh cao. Chất lượng dịch vụ QoS, các thoả thuận (Service Level Agreement-SLA) với các ISP liên quan đến độ trễ trung bình của gói trên mạng, hoặc kèm theo chỉ định về giới hạn dưới của băng thông. Bảo đảm cho QoS là một việc cần được thống nhất về phương diện quản lý đối với các ISP. Tất cả các giao thức sử dụng trong mạng VPN, các gói dữ liệu IP được mã hoá (RSA RC-4 trong PPTP hoặc mã khóa công khai khác trong L2TP, IPSec) và sau đó đóng gói (ESP), thêm tiêu đề IP mới để tạo đường hầm trên mạng IP công cộng. Như vậy, khi gói tin MTU bị thất lạc trên mạng IP công cộng thì thông tin trong đó đã được mã hoá nên kẻ phá hoại khó có thể dò tìm thông tin thực sự chứa trong bản tin. Trong các giao thức PPTP và L2TP, mã hoá gói tin đã được thực hiện từ người dùng cho đến máy chủ của VPN. Việc mất mát gói tin dẫn đến việc phải truyền lại toàn bộ gói tin, điều này gây nên độ trễ chung đối với VPN và ảnh hưởng đến QoS của mạng VPN. 4.2.2. Kiến trúc của mạng riêng ảo Hai thành phần cơ bản của Internet tạo nên mạng riêng ảo VPN, đó là: • Đường hầm (Tunnelling) cho phép làm “ảo” một mạng riêng. • Các dịch vụ bảo mật đa dạng cho phép dữ liệu mang tính riêng tư.
  45. Hình 4.1: Cấu trúc một đường hầm Đường hầm: là kết nối giữa 2 điểm cuối khi cần thiết. Khi kết nối này sẽ được giải phóng khi không truyền dữ liệu dành băng thông cho các kết nối khác. Kết nối này mang tính lôgích “ảo” không phụ thuộc vào cấu trúc vật lý của mạng. Nó che giấu các các thiết bị như bộ định tuyến, chuyển mạch và trong suốt đối với người dùng. Hình 4.2: Đường hầm trong các cấu trúc LAN và Client. Đường hầm được tạo ra bằng cách đóng gói các gói tin (Encapsulate) để truyền qua Internet. Đóng gói có thể mã hoá gói gốc và thêm vào tiêu đề IP mới cho gói. Tại điểm cuối, cổng định dạng gói tin tạo đường hầm: IP Header, AH, ESP, Tiêu đề và dữ liệu. Đường hầm có 2 loại: Thường trực (Permanent) và tạm thời (Temporary hay Dynamic). Thông thường các mạng riêng ảo VPN sử dụng dạng đường hầm động. Đường hầm động rất hiệu quả cho VPN, vì khi không có nhu cầu trao đổi thông tin
  46. thì được huỷ bỏ. Đường hầm có thể kết nối 2 điểm cuối theo kiểu LAN- to - LAN tại các cổng bảo mật (Security Gateway), khi đó người dùng trên các LAN có thể sự dụng đường hầm này. Còn đối với trường hợp Client- to - LAN, thì Client phải khởi tạo việc xây dựng đường hầm trên máy người dùng để thông tin với cổng bảo mật để đến mạng LAN đích. 4.2.3. Những ưu điểm của mạng VPN Chi phí: Công nghệ VPN cho phép tiết kiệm đáng kể chi phí thuê kênh riêng hoặc các cuộc gọi đường dài bằng chi phí cuộc gọi nội hạt. Hơn nữa, sử dụng kết nối đến ISP còn cho phép vừa sử dụng VPN vừa truy nhập Internet. Công nghệ VPN cho phép sử dụng băng thông đạt hiệu quả cao nhất. Giảm nhiều chi phí quản lý, bảo trì hệ thống. Tính bảo mật: Trong VPN sử dụng cơ chế đường hầm (Tunnelling) và các giao thức tầng 2 và tầng 3, xác thực người dùng, kiểm soát truy nhập, bảo mật dữ liệu bằng mã hoá, vì vậy VPN có tính bảo mật cao, giảm thiểu khả năng tấn công, thất thoát dữ liệu. Truy nhập dễ dàng: Người sử dụng trên VPN, ngoài việc sử dụng các tài nguyên trên VPN còn được sử dụng các dịch vụ khác của Internet mà không cần quan tâm đến phần phức tạp ở tầng dưới. 4.2.4. Giao thức PPTP (Point to Point Tunnelling Protocol) PPP là giao thức tầng 2-Data link, truy nhập mạng WAN như HDLC, SDLC, X.25, Frame Relay, Dial on Demand. PPP có thể sử dụng cho nhiều giao thức lớp trên như TCP/IP, Novell/IPX, Apple Talk nhờ sử dụng NCP - Network Control Protocol. PPP sử dụng Link Control Protocol để thiết lập và điều khiển các kết nối. PPP sử dụng giao thức xác thực PAP hoặc CHAP. PPTP dựa trên PPP để thực thi các chức năng sau: - Thiết lập và kết thúc kết nối vât lý. - Xác thực người dùng - Tạo gói dữ liệu PPP. 4.2.5. Giao thức L2F (Layer Two Forwarding Protocol) Giao thức L2FP do hãng Cisco phát triển, dùng để truyền các khung SLIP/PPP qua Internet. L2F hoạt động ở tầng 2 (Data Link) trong mô hình OSI.
  47. Cũng như PPTP, L2F được thiết kế như là một giao thức Tunnel, sử dụng các định nghĩa đóng gói dữ liệu riêng của nó để truyền các gói tin ở mức 2. Một sự khác nhau giữa PPTP và L2F là tạo Tunnel trong giao thức L2F không phụ thuộc vào IP và GRE, điều này cho phép nó làm việc với các môi trường vật lý khác nhau. Cũng như PPTP, L2F sử dụng chức năng của PPP để cung cấp một kết nối truy cập từ xa và kết nối này có thể được đi qua một tunnel thông qua Internet để tới đích. Tuy nhiên L2TP định nghĩa giao thức tạo tunnel riêng của nó, dựa trên cơ cấu của L2F. Cơ cấu này tiếp tục định nghĩa việc truyền L2TP qua các mạng chuyển mạch gói như X25, Frame Relay và ATM. Mặc dù nhiều cách thực hiện L2TP tập trung vào việc sử dụng giao thức UDP trên mạng IP, ta vẫn có khả năng thiết lập một hệ thống L2TP không sử dụng IP. Một mạng sử dụng ATM hoặc Frame Relay cũng có thể được triển khai cho các tunnel L2TP. 4.2.6. Giao thức L2TP (Layer Two Tunnelling Protocol) Giao thức L2TP được sử dụng để xác thực người sử dụng Dial-up và Tunnel các kết nối SLIP/PPP qua Internet. Vì L2TP là giao thức lớp 2, nên hỗ trợ cho người sử dụng các khả năng mềm dẻo như PPTP trong việc truyền tải các giao thức không phải là IP, ví dụ như là IPX và NETBEUI. Hình 4.3: Kiến trúc của L2TP.
  48. Hình 4.4: Quá trình chuyển gói tin qua Tunnel L2TP Bảo mật trong L2TP: Việc xác thực người dùng trong 3 giai đoạn: Giai đoạn 1 tại ISP, giai đoạn 2 và giai đoạn 3 (tuỳ chọn) tại máy chủ mạng riêng. Trong giai đoạn 1, ISP có thể sử dụng số điện thoại của người dùng hoặc tên người dùng để xác định dịch vụ L2TP và khởi tạo kết nối đường hầm đến máy chủ của VPN. Khi đường hầm được thiết lập, LAC của ISP chỉ định một số nhận dạng cuộc gọi (Call ID) mới để định dạnh cho kết nối trong đường hầm và khởi tạo phiên làm việc bằng cách chuyển thông tin xác thực cho máy chủ VPN. Máy chủ VPN tiến hành tiếp bước 2 là quyết định chấp nhận hay từ chối cuộc gọi dựa vào các thông tin xác thực từ cuộc gọi của ISP chuyển đến. Thông tin đó có thể mang CHAP, PAP, EAP hay bất cứ thông tin xác thực nào. Sau khi cuộc gọi được chấp nhận, máy chủ VPN có thể khởi động giai đoạn 3 tại lớp PPP, bước náy tương tự như máy chủ xác thực một người dùng quay số truy nhập vào thăngr máy chủ. Việc sử dụng các giao thức xác thực đơn giản nhưng không bảo mật cho các luồng dữ liệu điều khiển và thông báo dữ liệu tạo kẽ hở cho việc chèn gói dữ liệu để chiếm quyền điều khiển đường hầm, hay kết nối PPP, hoạc phá vỡ việc đàm phán PPP, lấy cắp mật khẩu người dùng. Mã hoá PPP không có xác thực địa chỉ, toàn vẹn dữ liệu, quản lý khoá nên bảo mật này yếu không an toàn trong kênh L2TP. Vì vậy, để có được xác thực như mong muốn, cần phải phân phối khoá và có giao thức quản lý khoá. Về mã hoá, sử dụng IPSec cung cấp bảo mật cao để bảo vệ gói mức IP, tối thiểu cũng phải được thực hiện cho L2TP trên IP. Việc quản lý khoá được thực hiện thông qua liên kết bảo mật - Security Association( SA). SA giúp 2 đối tượng truyền thông xác định phương thức mã hoá, nhưng việc chuyển
  49. giao khoá lại do IKE thực hiện. Nội dung này sẽ được nói rõ hơn trong giao thức IPSec. 4.2.7. Giao thức IPSEC IPSec bảo đảm tính tin cậy, tính toàn vẹn và tính xác thực truyền dữ liệu qua mạng IP công cộng. IPSec định nghĩa 2 loại tiêu đề cho gói IP điều khiển quá trình xác thực và mã hóa: một là xác thực tiêu đề Authentication Header (AH), hai là đóng gói bảo mật tải Encapsulating Security Payload (ESP). Xác thực tiêu đề AH đảm bảo tính toàn vẹn cho tiêu đề gói và dữ liệu. Trong khi đó đóng gói bảo mật tải ESP thực hiện mã hóa và đảm bảo tính toàn vẹn cho gói dữ liệu nhưng không bảo vệ tiêu đề cho gói IP như AH. IPsec sử dụng giao thức Internet Key Exchange IKE để thỏa thuận liên kết bảo mật SA giữa hai thực thể và trao đổi các thông tin khóa. IKE cần được sử dụng phần lớn các ứng dụng thực tế để đem lại thông tin liên lạc an toàn trên diện rộng. * Xác thực tiêu đề AH: AH một trong những giao thức bảo mật IPsec đảm bảo tính toàn vẹn cho tiêu đề gói và dữ liệu cũng như việc chứng thực người sử dụng. Nó đảm bảo chống phát lại và chống xâm nhập trái phép như một tùy chọn. Trong những phiên bản đầu của IPsec đóng gói bảo mật tải ESP chỉ thực hiện mã hóa mà không có chứng thực nên AH và ESP được dùng kết hợp còn ở những phiên bản sau ESP đã có thêm khả năng chứng thực. Tuy nhiên AH vẫn được dùng do đảm bảo việc chứng thực cho toàn bộ tiêu đề và dữ liệu cũng như việc đơn giản hơn đối với truyền tải dữ liệu trên mạng IP chỉ yêu cầu chứng thực. AH có hai chế độ: Transport và Tunnel. Chế độ Tunnel AH tạo ra tiêu đề IP cho mỗi gói còn ở chế độ Transport AH không tạo ra tiêu đề IP mới. Hai chế độ AH luôn đảm bảo tính toàn vẹn (Integrity), chứng thực (Authentication) cho toàn bộ gói. * Xử lý đảm bảo tính toàn vẹn: IPsec dùng thuật toán mã chứng thực thông báo băm HMAC (Hash Message Authentication Code) thường là HMAC-MD5 hay HMAC-SHA-1. Nơi phát giá trị băm được đưa vào gói và gửi cho nơi nhận. Nơi nhận sẽ tái tạo giá trị băm bằng khóa chia sẻ và kiểm tra sự trùng khớp giá trị băm qua đó đảm bảo tính toàn vẹn của gói dữ liệu. Tuy nhiên IPsec không bảo vệ tính toàn vẹn cho tất cả các trường trong tiêu đề của IP. Một số trường trong tiêu đề IP như TTL (Time to Live) và trường kiểm tra tiêu đề IP có thể thay đổi trong quá trình truyền. Nếu thực hiện tính giá trị băm cho tất cả các trường của tiêu đề IP thì
  50. những trường đã nêu ở trên sẽ bị thay đổi khi chuyển tiếp và tại nơi nhận giá trị băm sẽ bị sai khác. Để giải quyết vấn đề này giá trị băm sẽ không tính đến những trường của tiêu đề IP có thể thay đổi hợp pháp trong quá trình truyền. * ESP cũng có hai chế độ: Transport và Tunnel. Chế độ Tunnel ESP tạo tiêu đề IP mới cho mỗi gói. Chế độ này có thể mã hóa và đảm bảo tính toàn vẹn của dữ liệu hay chỉ thực hiện mã hóa toàn bộ gói IP gốc. Việc mã hóa toàn bộ gói IP (gồm cả tiêu đề IP và tải IP) giúp che được địa chỉ cho gói IP gốc. Chế độ Transport ESP dùng lai tiêu đề của gói IP gốc chỉ mã hóa và đảm bảo tính toàn vẹn cho tải của gói IP gốc. Cả hai chế độ chứng thực để đảm bảo tính toàn vẹn được lưu ở trường ESP Auth. * Xử lý mã hóa: ESP dùng hệ mật đối xứng để mã hóa gói dữ liệu, nghĩa là thu và phát đều dùng cùng một loại khóa để mã hóa và giải mã dữ liệu. ESP thường dùng loại mã khối AES-CBC (AES-Cipher Block Chaining), AES-CTR (AES Counter Mode) và 3DES * Trao đổi khóa mã hóa IKE (Internet Key Exchange): Trong truyền thông sử dụng giao thức IPsec phải có sự trao đổi khóa giữa hai điểm kết cuối, do đó đòi hỏi phải có cơ chế quản lý khóa. Có hai phương thức chuyển giao khóa đó là chuyển khóa bằng tay và chuyển khóa bằng giao thức IKE. Một hệ thống IPsec phụ thuộc phải hỗ trợ phương thức chuyển khóa băng tay. Phương thức chìa khóa trao tay chẳng hạn khóa thương mại ghi trên giấy. Phương thức này chỉ phù hợp với số lượng nhỏ các Site, đối với mạng lớn phải thực hiện phương thức quản lý khóa tự động. Trong IPsec người ta dùng giao thức quản lý chuyển khóa IKE (Internet Key Exchange). IKE có các khả năng sau : - Cung cấp các phương tiện cho 2 bên sử dụng các giao thức, giải thuật và khóa. - Đảm bảo ngay từ lúc bắt đầu chuyển khóa. - Quản lý các khóa sau khi chúng được chấp nhận trong tiến trình thỏa thuận. - Đảm bảo các khóa được chuyển một cách bảo mật. 4.2.8. Ứng dụng ESP và AH trong cấu hình mạng * ESP trong cấu hình Gateway-to-Gateway: Trong cấu hình này sẽ thiết lập kết nối có IPsec để mã hoá và đảm bảo tính toàn vẹn của dữ liệu giữa hai điểm A và B (điểm kết cuối A dùng Gateway A trên mạng A, điểm kết cuối B
  51. dùng Gateway B trên mạng B). Hinh 4.5: Cấu hình Gateway -to-Gateway * ESP và AH trong cấu hình Host-to-Host: Trong cấu hình này sẽ thiết lập kết nối có IPsec để mã hoá và đảm bảo tính toàn vẹn của dữ liệu giữa hai điểm A và B. Tuỳ thuộc và nhu cầu bảo mật có thể dùng ESP hay AH. Hình 4.6: Cấu hình Host-to-Host 4.2.9. So sánh các giao thức VPN Giao Ưu điểm Nhược điểm Sử dụng trong mạng thức IPSec Chuẩn giao thức Không quản lý Phần mềm tốt nhất rãnh. NSD. Không khả cho các giải pháp Hoạt động độc lập năng tương tác độc quyền của nhà cho các ứng dụng giữa các nhà cung cung cấp đối với mức caohơn. cấp. việc truy nhập từ xa Giấu địa chỉ mạng Không hỗ trợ giao bằng quay số. không sử dụng dịch diện.(Desktop địa chỉ mạng NAT. support) Đáp ứng sự phát
  52. triển các kỹ thuật mã hoá . PPTP Chạy trên Wind NT, Không cung cấp mã Được dùng tại các 95 ,98. Cung cấp End hoá dữ liệu từ máy chủ truy nhập to End và định hướng những máy chủ từ xa định đường đường hầm kết nối truy cập từ xa. hầm proxy. node - to - node. Mang tính độc Có thể được dùng Các đặc điểm giá trị quyền, yêu cầu máy giữa các văn được thêm vào phổ chủ chạy Win NT phòng ở xa có biến cho truy cập từ để kết thúc những máy chủ Win NT để xa. đường hầm. chạy máy chủ truy Xác thực trên nền Chỉ sử dụng mã cập từ xa và định Windows. Có khả hoá RSA RC- 4. tuyến RRAS. năng đa giao thức. Có thể dùng cho Sử dụng mã hoá RSA những máy để bàn RC-4. Win9x hay máy trạm dùng Win NT. L2F Cho phép định đường Không có mã hoá Dùng cho truy cập hầm đa giao thức. Xác thực NSD yếu. từ xa tại POP. Có nhiều nhà cung Không điều khiển cấp. luồng cho đường hầm. L2TP Kết hợp PPTP và Chưa được cung Chưa được cung L2TP. cấp trong nhiều sản cấp trong nhiều sản Chỉ cần một gói dựa phẩm. phẩm. trên mạng để chạy Không bảo mật ở Không bảo mật ở trên X.25 và Frame giai đoạn cuối giai đoạn cuối Relay. Sử dụng IPSec iệc mã hoá.
  53. TÀI LIỆU THAM KHẢO [1] Andrew S. Tanenbaum,(2003), Computer Network, Fourth Edition, Prentice Hill. [2] James F. Kurose, Keith W.Ross,(2000), A top-down approach featuring the Internet, Addison Wesley, Third Edition. [3] Nguyễn Tấn Khôi,(2004), Giáo trình Mạng máy tính, Đại học Bách khoa Đà Nẵng.