Lý thuyết về mạng lan (local area network)

PHẦN I LÝ THUYẾT CHƯƠNG I LÝ THUYẾT VỀ MẠNG LAN (LOCAL AREA NETWORK) I ./. CÁC KIẾN TRÚC MẠNG : Hình dạng của mạng cục bộ thể hiện qua cấu trúc hay hình học của các đường dây cáp mạng dùng để liên kết các máy tính thuộc mạng với nhau. Các mạng cục bộ thường hoạt động dựa trên cấu trúc đã định sẵn liên kết các máy tính và các thiết bị có liên quan. Trước hết chúng ta xem xét hai phương thức nối mạng chủ yếu được sử dụng trong việc liên kết các máy tính là: ”một điểm - một điểm” và ”một điểm - nhiều điểm”. Với phương thức ”một điểm - một điểm” các đường truyền riêng biệt được thiết lập để nối các cặp máy tính lại với nhau. Mỗi máy tính có thể truyền và nhận trực tiếp dữ liệu hoặc có thể làm trung gian như lưu trữ những dữ liệu mà nó nhận được rồi sau đó chuyển tiếp dữ liệu đi cho một máy khác để dữ liệu đó đạt tới đích. Theo phương thức ”một điểm - nhiều điểm” tất cả các trạm phân chia chúng một đường truyền vật lý. Dữ liệu được gửi đi từ một máy tình sẽ có thể được tiếp nhận bởi tất cả các máy tính còn lại, bởi vậy cần chỉ ra đích của dữ liệu để mỗi máy tính căn cứ vào đó kiêm tra xem dữ liệu có phải dành cho mình không nếu đúng thì nhận còn nếu không thì bỏ qua. một điểm - một điểm một điểm - nhiều điểm Hình 1.1: Các phương thức liên kết mạng Tuỳ theo cấu trúc của mỗi mạng chúng sẽ thuộc vào một trong hai phương thức nối mạng và mỗi phương thức nối mạng sẽ có những yêu cầu khác nhau về phàn cứng và phần mềm. 1.1. DẠNG ĐƯỜNG THẲNG (BUS) : Theo cách bố trí hành lang các đường như hình vẽ thì máy chủ (host) cũng như tất cả các máy tính khác (workstation) hoặc các nút (node) đều được nối về với nhau trên một trục đường dây cáp chính để chuyển tải tín hiệu. Tất cả các nút đều sử dụng chung đường dây cáp chính này. Phía hai đầu dây cáp được bịt bởi một thiết bị gọi là terminator. Khi một trạm truyền dữ liệu, tín hiệu được truyền trên cả hai chiều của đường truyền theo từng gói một, mỗi gói đều phải mang điak chỉ trạm đích. Các trạm khi thấy dữ liệu đi qua nhận lấy, kiểm tra, nếu đúng với địa chỉ của mình thì nó nhận lấy còn nếu không thì bỏ qua. Hình 1.2: Dạng Bus dùng chung Sau đây là một vài thông số kỹ thuật của topology bus. Theo chuẩn IEEE 802.3 (cho mạng cục bộ) với cách đặt tên qui ước theo thông số: Tốc độ truyền tin hiệu (1,10 hoặc 100 Mb/s), BASE ( nếu là Baseband ) hoặc BORAD (nếu là Broadband). * 10 BASE 5:Dùng cáp đồng trục đường kính (10mm) với trở kháng 50 ohm, tốc độ 10 Mb/s, phạm vi tín hiệu 500m/sêgmnt, tối đa 100 trạm, khoảng cách giữa 2 tranceiver tối thiểu 2,5m (phương án này còn gọi là Thick Ethernet hay Thicknet). * 10 BASE 2: Tương tự như Thicknet nhưng dùng cáp đồng trục nhỏ (RG 58 A), có thể chạy với khoảng cách 185m,số trạm tối đa trong 1 segment là 30, khoảng cách giữa hai máy tối thiểu là 0,5 m. Loại hình mạng này có ưu điểm dùng dây cáp ít nhất, dễ lắp đặt, tốc độ truyền dữ liệu cao. Tuy vậy cũng có những bất lợi đó là sẽ có sự ùn tắc giao thông khi di chuyển dữ liệu với lưu lượng lớn và khi có sự hỏng hóc ở đoạn nào đó thì rất khó phát hiện, một sự ngừng trên đường dây để sửa chữa sẽ ngừng toàn bộ hệ thống. 1.2. DẠNG VÒNG TRÒN (RING) : Mạng dạng này, bố trí theo dạng xoay vòng, đường dây cáp được thiết kế làm thành một vòng khép kín theo phương thức “một điểm - một điểm”, tín hiệu chạy quanh theo một chiều nào đó. Các nút truyền tín hiệu cho nhau mỗi thời điểm chỉ được một nút mà thôi. Dữ liệu truyền đi phải có kèm theo địa chỉ cụ thể của mỗi trạm tiếp nhận. Mạng dạng vòng có thuận lợi là có thể nới rộng ra xa, tổng đường dây cần thiết ít hơn so với hai kiểu trên. Nhược điểm là đường dây phải khép kín, nếu bị ngắt ở một nơi nào đó thì toàn bộ hệ thống cũng bị ngừng. Hiện nay các mạng sử dụng hình dạng vòng tròn mạng Tocken ring của IBM Hình 1.3: Dạng vòng (Ring) 1.3. DẠNG HÌNH SAO (STAR) Mạng dạng hình sao bao gồm một trung tâm và các nút thông tin. Các nút thông tin là các trạm đầu cuối, các máy tính và các thiết bị khác của mạng. Phương thức kết nối là “một điêm - nhiều điểm ”. Trung tâm của mạng điều phối mọi hoạt động trong mạng với các chức nǎng cơ bản là: * Xác định cặp địa chỉ gửi và nhận được phép chiếm tuyến thông tin và liên lạc với nhau. * Cho phép theo dõi và sử lý sai trong quá trình trao đổi thông tin. * Thông báo các trạng thái của mạng... Tuỳ theo yêu cầu truyền thống trong mạng, thiết bị trung tâm có thể là một bộ chuyển mạch (Switch), một bộ chọn đường (Router) hoặc đơn giản là một bộ phân kênh (Hub).Có nhiều cổng ra và mỗi cổng nối với một máy. Theo chuẩn IEEE 802.3 mô hình dạng Star thường dùng: * 10 BASE – T: Dùng cáp UTP, tốc độ 10 Mb/s, khoang cách từ thiết bị trung tâm tới trạm tối đa là 100m. * 100 BASE – T: Tương tự như 10 BASE – T nhưng tốc độ cao hơn 100 Mb/s. Các ưu điểm của mạng hình sao: * Hoạt động theo nguyên lý nối song song nên nếu có một thiết bị nào đó ở một nút thông tin bị hỏng thì mạng vẫn hoạt động bình thường. * Cấu trúc mạng đơn giản và các thuật toán điều khiển ổn định. * Mạng có thể mở rộng hoặc thu hẹp tuỳ theo yêu cầu của người sử dụng. Nhược điểm của mạng hình sao: * Khả nǎng mở rộng mạng hoàn toàn phụ thuộc vào khả nǎng của trung tâm . Khi trung tâm có sự cố thì toàn mạng ngừng hoạt động. * Mạng yêu cầu nối độc lập riêng rẽ từng thiết bị ở các nút thông tin đến trung tâm. Khoảng cách từ máy đến trung tâm rất hạn chế (100 m). Nhìn chung, mạng dạng hình sao cho phép nối các máy tính vào một bộ tập trung (HUB) bằng cáp xoắn, giải pháp này cho phép nối trực tiếp máy tính với HUB không cần thông qua trục BUS, tránh được các yếu tố gây ngưng trệ mạng. Gần đây, cùng với sự phát triển switching hub, mô hình này ngày càng trở nên phổ biến và chiếm đa số các mạng mới lắp. Hình 1.4: Mô hình dạng Star 1.4. BẢNG SO SÁNH TÍNH NĂNG GIỮA CÁC CẤU TRÚC CỦA MẠNG LAN Dạng Đường thẳng (BUS) Dạng Vòng Tròn (RING) Dạng Hình sao (STAR) Ứng dụng Tốt cho trường hợp mạng nhỏ và mạng có giao thông thấp và lưu lượng dữ liệu thấp Tốt cho trường hợp mạng có số trạm ít hoạt động với tốc độ cao,không cách nhau xa hoặc mạng có lưu lượng dữ liệu phân bố không đều. Hiên nay mạng sao là cách tốt nhất cho trường hợp phải tích hợp dữ liệu và tín hiệu tiếng.Các mạng điện thoại công cộng có cấu trúc này Độ phức tạp Tương đối không phức tạp Đòi hỏi thiết bị tương đối phức tạp .Mặt khác việc đưa thông điệp đi trên tuyến là đơn giản, vì chỉ có 1 con đường, trạm phát chỉ cần biết địa chỉ của trạm nhận , các thông tin để dẫn đường khác thì không cần thiết Mạng sao được xem là khá phức tạp . Các trạm được nối với thiết bị trung tâm và lần lượt hoạt động như thiết bị trung tâm hoặc nối được tới các dây dẫn truyền từ xa Hiệu suất Rất tốt dưới tải thấp có thể giảm hiệu suất rất mau khi tải tăng Có hiệu quả trong trường hợp lượng lưu thông cao và khá ổn định nhờ sự tăng chậm thời gian trễ và sự xuống cấp so với các mạng khác Tốt cho trường hợp tải vừa tuy nhiên kích thước và khả năng , suy ra hiệu suất của mạng phụ thuộc trực tiếp vào sức mạnh của thiết bị trung tâm. Tổng phí Tương đối thấp đặc biệt do nhiều thiết bị đã phát triển hòa chỉnh và bán sảm phẩm ở thị trường .Sự dư thừa kênh truyền được khuyến để giảm bớt nguy cơ xuất hiện sự cố trên mạng Phải dự trù gấp đôi nguồn lực hoặc phải có 1 phương thức thay thế khi 1 nút không hoạt động nếu vẫn muốn mạng hoạt động bình thường Tổng phí rất cao khi làm nhiêm vụ của thiết bị trung tâm, thiết bị trung tâm không được dùng vào việc khác .Số lượng dây riêng cũng nhiều. Nguy cơ Một trạm bị hỏng không ảnh hưởng đến cả mạng. Tuy nhiên mạng sẽ có nguy cơ bị tổn hại khi sự cố trên đường dây dẫn chính hoặc có vấn đề với tuyến. Vấn đề trên rất khó xác định được lại rất dễ sửa chữa Một trạm bị hỏng có thể ảnh hưởng đến cả hệ thống vì các trạm phục thuộc vào nhau. Tìm 1 repeater hỏng rất khó ,vả lại việc sửa chữa thẳng hay dùng mưu mẹo xác định điểm hỏng trên mạng có địa bàn rộng rất khó Độ tin cậy của hệ thống phụ thuộc vào thiết bị trung tâm, nếu bị hỏng thì mạng ngưng hoạt động Sự ngưng hoạt động tại thiết bị trung tâm thường không ảnh hươdng đến toàn bộ hệ thống . Khả năng mở rộng Việc thêm và định hình lại mạng này rất dễ.Tuy nhiên việc kết nối giữa các máy tính và thiết bị của các hãng khác nhau khó có thể vì chúng phải có thể nhận cùng địa chỉ và dữ liệu Tương đối dễ thêm và bớt các trạm làm việc mà không phải nối kết nhiều cho mỗi thay đổi Giá thành cho việc thay đổi tương đối thấp Khả năng mở rộng hạn chế, đa số các thiết bị trung tâm chỉ chịu đựng nổi 1 số nhất định liên kết. Sự hạn chế về tốc độ truyền dữ liệu và băng tần thường được đòi hỏi ở mỗi người sử dụng. Các hạn chế này giúp cho các chức năng xử lý trung tâm không bị quá tải bởi tốc độ thu nạp tại tại cổng truyền và giá thành mỗi cổng truyền của thiết bị trung tâm thấp . 1.5. MẠNG DẠNG KẾT HỢP : 1.5.1. Kết hợp hình sao và tuyến (Star/Bus Topology) Hình 1.5: Mô hình mạng kết hợp Cấu hình mạng dạng này có bộ phận tách tín hiệu (spitter) giữ vai trò thiết bị trung tâm, hệ thống dây cáp mạng có thể chọn hoặc Ring Topology hoặc Linear Bus Topology. Lợi điểm của cấu hình này là mạng có thể gồm nhiều nhóm làm việc ở cách xa nhau, ARCNET là mạng dạng kết hợp Star/Bus Topology. Cấu hình dạng này đưa lại sự uyển chuyển trong việc bố trí đường dây tương thích dễ dàng đối với bất cứ toà nhà nào. 1.5.2. Kết hợp hình sao và vòng (Star/Ring Topology) Cấu hình dạng kết hợp Star/Ring Topology, có một "thẻ bài" liên lạc (Token) được chuyển vòng quanh một cái HUB trung tâm. Mỗi trạm làm việc (workstation) được nối với HUB - là cầu nối giữa các trạm làm việc và để tǎng khoảng cách cần thiết. II ./. PHÂN LOẠI MẠNG : Có rất nhiều kiểu mạng máy tính khác nhau. Việc phân loại chúng thường dựa trên các tiêu chuẩn khác nhau. Ví dụ, mạng máy tính thường được phân loại: * Theo vùng địa lý: Mạng cục bộ, mạng diện rộng , .... * Theo topo ghép nối mạng: điểm - điểm( point - to - point ) hay broadcast * Hoặc theo kiểu đường truyền thông ma mạng sử dụng và cách truyền dữ liệu đi, ví dụ mạng chuyển mạch gói,...... 10 Mbps or 100 Mbps HUB SWITCH 100 Mbps or 1 Gbps Mặt sau của thiết bị SWITCH Mặt sau của thiết bị HUB Acess Point - Một dạng HUB cho mạng không dây Hình 1.6: Một mạng LAN tổng hợp Nếu phân loại theo diện hoạt động, mạng máy tính có thể được phân chia thành: Mạng cục bộ ( Local Area Network - LAN ) Mạng diện rộng (Wide Area Network - WAN) Mạng thành phố ( Metropolita Area Network - MAN) Mạng toàn cầu ( Global Area Network - GAN) Mạng cá nhân ( Personal Area Network - PAN) Mạng Lưu trữ ( Storage Area Network - SAN) 2.1 MẠNG CỤC BỘ (LAN): Liên kết các tài nguyên máy tính trong một vùng địa lý có kích thước hạn chế. Đó có thể là một phòng, vài phòng trong một toà nhà, hoặc vài toà nhà trong một khu nhà.Cụm từ ”kích thước hạn chế” không được xác định cụ thể nên một số người xác định phạm vi của mạng LAN bằng cách xác định bán kính của nó nằm trong khoảng vài chục mét đến vài km. Viện Institute of Electrical and Electronics Engineers (IEEE) xác định bán kính của mạng LAN nhỏ hơn 10 km. Vi dụ về một số mạng LAN như: Ethermet/802.3, token ring, mạng FDDI ( Fiber Distributed Data Interface). Mặt sau của thiết bị HUB hoặc SWITCH Hình 1.7: Mạng LAN đơn giản 2.2. MẠNG DIỆN RỘNG (WAN): Miền Bắc Liên kết các tài nguyên máy tính trong một vùng địa lý rộng (có bán kính trên 100 km) như thị xã, thành phố, tính/bang, quốc gia.Có thể coi mạng WAN gồm nhiều mạng LAN kết nối với nhau. Ví dụ về mạng WAN: ISDN (Integrated Services Data Network), frame relay, SMDS (Switched Multimegabit Data Service) và ATM (Asynchronous Transfer Mode). Bộ định tuyện ( Router) Miền Nam Miền Trung Hình 1.8: Mạng WAN - kểt hợp của nhiều mạng LAN qua các router Một số người phân biệt kỹ hơn giữa mạng LAN và WAN. Do vậy xuất hiện phân loại Mạng thành phố (MAN). Mạng này liên kết các tài nguyên máy tính trong thành phố. Giả sử có một công ty kinh doanh có nhiều toà nhà trong tỉnh/thành phố. Mỗi tào nhà có một mạng LAN riêng của nó, những mạng LAN này được kết nối với nhau, kết quả ta có một mạng MAN vì tất cả các toà nhà là ở trong cùng một tình/thành phố. Nhìn chung, mạng MAN được dùng để chỉ các mạng có diện hoạt động lơn hơn mạng LAN nhưng nhỏ hơn mang WAN. 2.3. MẠNG CÁ NHÂN (PAN): Chỉ một mạng máy tính nhỏ sử dụng trong gia đình. Giá máy tính ngày càng rẻ làm cho số gia đình có nhiều mày tính ngày càng tăng nhanh, dẫn đến nhu cầu xuất hiện mạng PAN vì người dùng mày tính trong gia đình bắt đầu nhận ra tính tiện lợi khi kết nối các máy tính lại với nhau. Vi dụ, có thể nối các máy tính trong nhàu đên cùng một máy in, không cần phải mua máy in cho mỗi mày tính. PAN cũng cho phép người dúng mày tính ở nhà sử dụng một máy làm file server chứa tất cả phần mềm ứng dụng và dữ liệu người dùng. Có thể truy cập đến Server này tư bất cứ máy nào nối với mạng máy tinh gia đình. PAN cũng giúp các thành viên trong gia đình truy cập đến bất cứ tài nguyên nào được dùng chung trong gia đình ngay từ phong riêng của ho. 2.4. MẠNG TOÀN CẦU (GAN): Mạng này là mạng của các mạng WAN trải rộng trên phạm vi toàn cầu. Ví dụ, nhiều công ty như Mc Donald Restaurants hoạt động ở nhiều nước trên thế giới. Việc kểt nối những mạng của các công ty con lại với nhau tạo thành mạng GAN. Mạng toàn cầu Internet cũng là một mạng GAN. III ./. HỆ THỐNG CÁP MẠNG : Đường cáp truyền mạng là cơ sở hạ tầng của một hệ thống mạng, nên nó rất quan trọng và ảnh hưởng rất nhiều đến khả năng hoạt động của mạng. Hiện nay người ta dùng 3 loại dây cáp chính là cáp xoán cặp, cáp đồng trục và cáp quang. 3.1. CÁP XOẮN: Đây là loại cáp gồm hai đường dây dẫn đồng được xoắn vào nhau nhằm làm giảm nhiễu điện từ gây ra bởi môi trường xung quanh và giữa chúng với nhau. Hiện nay có hai loại cáp xoắn là cáp có bọc kim loại ( STP - Shield Twisted Pair) và cáp không bọc kim loại (UTP -Unshield Twisted Pair). * Cáp có bọc kim loại (STP): Lớp bọc bên ngoài có tác dụng chống nhiễu điện từ, có loại có một đôi giây xoắn vào nhau và có loại có nhiều đôi giây xoắn với nhau. * Cáp không bọc kim loại (UTP): Tính tương tự như STP nhưng kém hơn về khả năng chống nhiễu và suy hao vì không có vỏ bọc. Hình 1.9: Cáp xoắn STP và UTP có các loại (Category - Cat) thường dùng: * Loại 1 & 2 (Cat 1 & Cat 2): Thường dùng cho truyền thoại và những đường truyền tốc độ thấp ( nhỏ hơn 4Mb/s ).* Loại 3 (Cat 3): tốc độ truyền dữ liệu khoảng 16 Mb/s , nó là chuẩn cho hầu hết các mạng điện thoại.* Loại 4 (Cat 4): Thích hợp cho đường truyền 20Mb/s.* Loại 5 (Cat 5): Thích hợp cho đường truyền 100Mb/s.* Loại 6 (Cat 6): Thích hợp cho đường truyền 300Mb/s. Đây là loại cáp rẻ, dễ cài đặt tuy nhiên nó dễ bị ảnh hưởng của môi trường. 3.2. CẮP ĐỒNG TRỤC: Cáp đồng trục có hai đường dây dẫn và chúng có cùng một trục chung, một dây dẫn trung tâm (thường là dây đồng cứng) đường dây còn lại tạo thành đường ống bao xung quanh dây dẫn trung tâm (dây dẫn này có thể là dây bện kim loại và vì nó có chức năng chống nhiễu nên còn gọi là lớp bọc kim). Giữa hai dây dẫn trên có một lớp cách ly, và bên ngoài cùng là lớp vỏ plastic để bảo vệ cáp. Cáp đồng trục có độ suy hao ít hơn so với các loại cáp đồng khác (ví dụ như cáp xoắn đôi) do ít bị ảnh hưởng của môi trường. Các mạng cục bộ sử dụng cáp đồng trục có thể có kích thước trong phạm vi vài ngàn mét, cáp đồng trục được sử dụng nhiều trong các mạng dạng đường thẳng. Hai loại cáp thường được sử dụng là cáp đồng trục mỏng và cáp đồng trục dày trong đường kính cáp đồng trục mỏng là 0,25 inch, cáp đồng trục dày là 0,5 inch. Cả hai loại cáp đều làm việc ở cùng tốc độ nhưng cáp đồng trục mỏng có độ hao suy tín hiệu lớn hơn. Hình 1.10: Cáp Đồng Trục Hiện nay có cáp đồng trục sau: RG -58,50 ohm: dùng cho mạng Thin Ethernet. RG -59,75 ohm: dùng cho truyền hình cáp. RG -62,93 ohm: dùng cho mạng ARCnet. Các mạng cục bộ thường sử dụng cáp đồng trục có dải thông từ 2,5 - 10 Mb/s, cáp đồng trục có độ suy hao ít hơn so với các loại cáp đồng khác vì nó có lớp vỏ bọc bên ngoài, độ dài thông thưòng của một đoạn cáp nối trong mạng là 200m, thường sử dụng cho dạng Bus. 3.3 CÁP QUANG : Cáp sợi quang bao gồm một dây dẫn trung tâm (là một hoặc một bó sợi thủy tinh có thể truyền dẫn tín hiệu quang) được bọc một lớp vỏ bọc có tác dụng phản xạ các tín hiệu trở lại để giảm sự mất mát tín hiệu. Bên ngoài cùng là lớp vỏ plastic để bảo vệ cáp. Như vậy cáp sợi quang không truyền dẫn các tín hiệu điện mà chỉ truyền các tín hiệu quang (các tín hiệu dữ liệu phải được chuyển đổi thành các tín hiệu quang và khi nhận chúng sẽ lại được chuyển đổi trở lại thành tín hiệu điện). Cáp quang có đường kính từ 8.3 - 100 micron, Do đường kính lõi sợi thuỷ tinh có kích thước rất nhỏ nên rất khó khăn cho việc đấu nối, nó cần công nghệ đặc biệt với kỹ thuật cao đòi hỏi chi phí cao. Hình 1.11: Cấu Trúc Cáp Sợi Quang Dải thông của cáp quang có thể lên tới hàng Gbps và cho phép khoảng cách đi cáp khá xa do độ suy hao tín hiệu trên cáp rất thấp. Ngoài ra, vì cáp sợi quang không dùng tín hiệu điện từ để truyền dữ liệu nên nó hoàn toàn không bị ảnh hưởng của nhiễu điện từ và tín hiệu truyền không thể bị phát hiện và thu trộm bởi các thiết bị điện tử của người khác. Chỉ trừ nhược điểm khó lắp đặt và giá thành còn cao , nhìn chung cáp quang thích hợp cho mọi mạng hiện nay và sau này. 3.4 CÁC YÊU CẦU CHO MỘT HỆ THỐNG CÁP : An toàn, thẩm mỹ: tất cả các dây mạng phải được bao bọc cẩn thận, cách xa các nguồn điện, các máy có khả năng phat song để tránh trường hợp bị nhiễu. Các đầu nối phải đảm bảo chất lượng, tránh tình trạng hệ thống mạng bị chập chờn. Đúng chuẩn: hệ thống cáp phải thực hiện đúng chuẩn, đảm bảo cho khả năng nâng cấp sau này cung như dễ dàng cho việc kết nối các thiết bị khác nhau của các nhà sản xuất khác nhau. Tiêu chuẩn quốc tế dùng cho các hệ thống mạng hiện nay là EIA/TIA 568 B. Tiếc kiệm và “linh hoạt ” (Flexeble): hệ thống cáp phải được thiết kế sao cho kinh tế nhất, dễ dàng trong việc chuyển các trạm làm việc và có khả năng mở rộng sau này. 3.5. BẢNG SO SÁNH KỸ THUẬT CÁC LOẠI CÁP : Các loại cáp Dây xoắn cặp Cáp đồng trục mỏng Cáp đồng trục dày Cáp quang Chi tiết Bằng đồng, có 4 và 25 cặp dây (loại 3, 4, 5) Bằng đồng, 2 dây, đường kính 5mm Bằng đồng, 2 dây, đường kính 10mm Thủy tinh, 2 sợi Loại kết nối RJ-25 hoặc 50-pin telco BNC N-series ST Chiều dài đoạn tối đa 100m 185m 500m 1000m Số đầu nối tối đa trên 1 đoạn 2 30 100 2 Chạy 10 Mbit/s Được Được Được Được Chạy 100 Mbit/s Được Không Không Được Chống nhiễu Tốt Tốt Rất tốt Hoàn toàn Bảo mật Trung bình Trung bình Trung bình Hoàn toàn Độ tin cậy Tốt Trung bình Tốt Tốt Lắp đặt Dễ dàng Trung bình Khó Khó Khắc phục lỗi Tốt Dở Dở Tốt Quản lý Dễ dàng Khó Khó Trung bình Chi phí cho 1 trạm Rất thấp Thấp Trung bình Cao Ưng dụng tốt nhất Hệ thống Workgroup Đường backbone Đường backbone trong tủ mạng Đường backbone dài trong tủ mạng hoặc các tòa nhà IV./. HỆ THỐNG MẠNG KHÔNG DÂY : Công nghệ mạng không dây do tổ chức IEEE xây dựng và được tổ chức Wi – Fi Alliance chính thức đưa vào sử dụng thổng nhất trên toàn thế giới. Có 3 tiêu chuẩn: Chuẩn 802.11a, Chuẩn 802.11b, Chuẩn 802.11g (xem thêm bảng chỉ tiêu kỹ thuật kèm theo). Đặc tính chung của từng công nghệ như sau: Chuẩn 802.11b có tốc độ truyền dẫn thất (11 Mbps) nhưng lại được dùng thông dụng trong các môi trường sản xuất, kinh doanh, dịch vụ: do chi phi mua sắm thiết bị thấp, tốc độ truyền dẫn đủ đáp ứng các nhu cầu trao đổi thông tin trên Internet như duyệt web, e-mail, chat, nhắn tin........ Chuẩn 802.11g có tốc độ truyền dẫn cao (54 Mbps), thích hợp cho hệ thống mạng có lưu lượng trao đổi dữ liệu cao, dữ liệu luân chuyển trong hệ thống là những tập tin đồ hoạ, âm thanh, phim anh có dung lượng lơn.Tần số phát sóng vô tuyến của chuẩn 802.11g cùng tần số với chuẩn 802.11b (2,4Ghz) nên hệ thống mạng chuẩn 802.11g giao tiếp tốt với các mạng máy tính đang sử dụng chuẩn 802.11b. Tuy nhiên theo thời gian giá hiện nay, chi phí trang bị một hệ thống kết nối không dây thao chuẩn 802.11g cao hơn 30% so với chi phí cho một hệ thống không dây theo chuẩn 802.11b. Chuẩn 802.11a tuy có cùng tốc đọ truyền dẫn như chuẩn 802.11g nhưng tần số hoạt động cao nhất, 5Ghz, băng thông lớn nên chứa được nhiều kênh thông tin hơn so với hai chuẩn trên là 802.11b và 802.11g. Và cúng do có tần số hoạt động cao hơn tần số hoạt động của các thiết bị viễn thông dân dụng như điện thoại ”máy mẹ máy con”, Bluetooth...nên hệ thống mạng không dây sử dụng chuẩn 802.11a it ảnh hưởng do nhiễu sóng. Nhưng đây cúng chính là nguyên nhân làm cho hệ thống dùng chuẩn này không tương thích với các hệ thống sử dụng 2 chuẩn không dây còn lại. 4.1. THIẾT BỊ KHÔNG DÂY: Thiết bị cho mạng không dây gồm có 2 loại: card mạng không dây và bộ tiếp sóng/ điểm truy cập (Access Point - AP). Card mạng không dây có các loại như: loại lắp ngoài (USB), loại lắp trong (PCI) và còn loại dùng cho điện thoại di động hay máy tính xách tay đời cũ (Không tích hợp Wi - Fi). Chọn mua loại nào tuỳ thuộc vào cấu hình phần cứng (Khe cắm, công giao tiếp) của PC. Loại lắp trong giao tiếp với máy tính qua khe cắm PCI trên bo mạch chủ nên thủ tục lắp ráp, cài đặt phần mềm cũng tương tự như khi chúng ta lắp card âm thanh, card mạng, card điều khiển đĩa cứng, hay card hinh,......Loại lắp ngoài nối với máy vi tính thông qua cổng USB nên tháo ráp rât thuận tiện, thích hợp với nhiều loại mày tính khác nhau tư máy tính để bàn đến máy tính xách tay, lại tránh được hiện tượng nhiễu điẹn tử do các thiết bị lắp trong máy tính gây ra. Cần lưu ý nếu PC dùng cổng USB 1.0 (tốc độ truyền dữ liệu 12 Mbps) thì chỉ thích hợp với chuẩn 802.11b, nếu dùng với 2 chuẩn còn lại thì sẽ làm chậm tốc độ truyền dữ liệu. Hình 1.12: Các Thiêt Bị Dùng Cho Mạng Không Dây Thủ tục để xây dựng một mạng ngang hàng (Peer – to – peer ) không dây rất đơn giản. Chỉ cần trang bị cho mỗi máy tính một card mạng không dây, bổ sung phần mềm điều kiển của thiết bị là các máy tính trong mạng đã có thể trao đổi dữ liệu với nhau. Nhưng nếu muốn truy xuất được vào hệ thống mạng LAN/WAN sẵn có háy truy xuất Internet thì phải trang bị thểm thiết bị tiếp sóng như Access Point. Hình 1.13: Một Access Point Dùng Cho Mạng Không Dây Chức năng chính của thiết bị này gồm tiếp nhận, trung chuyển tín hiệu giữa các card mạng trong vùng phủ sóng và là thiết bị chuyển tiếp trung gian giúp card mạng không dây giao tiếp với hệ thống mạng LAN/WAN (Cũng có khi là modem) và Internet.Tuy nhiên tuỳ theo quan điểm của nhà sản xuất, yêu cầu sử dụng và tạo thuận tiện cho người quản trị mạng, một thiết bị Access Point có them một vài chức năng khac như: Cổng truy nhập (Gateway), bộ dẫn đường.....TGVT A số tháng 4/2003, 5/2003, 8/2003 và 11/2003, có bài viết giới thiệu một số loại Access Point cùng các tính năng cuat thiết bị. 4.2 XÂY DỰNG MẠNG KHÔNG DÂY : Thiết lập một mạng không dây không tôn kem thơi gian, công sức và phức tạp như các hệ thống mạng truyền thống khác, đôi khi không qua một giờ đồng hồ lao động là có thể hình thành một hệ thống mạng không dây. Thực tế cho thấy, đa số các sự cố, trục trặc xảy ra trong hệ thống mạng không dây là do phần mềm điều kiển thiết bị có lỗi nên cần ưu tiên sử dụng các trình điều khiển thiết bị mới nhất do nhà sản xuất thiết bị cung cấp, cập nhật hay tải về từ Internet. Nếu hệ thống đang sử dụng hệ điều hành Windows XP thì cũng nên cài đặt bản Service Pack mới nhất do Microsoft phát hành. Khi lắp đặt thiết bị, nên bố trí các bộ tiếp sóng (AP) ở những vị tri trên cao, tránh bị che khất bởi các vật cản càng nhiều càng tốt. Các loại vật liệu xây dựng, trang trí nội thất như: giấy dán tường phủ kim loại, hệ thống dây dẫn điện chiếu sáng, cây cảnh.....cũng có thể làm suy giảm tín hiệu của AP. Nhớ dựng các cần anten của AP thẳng góc 900. Nếu sử dụng chuẩn không dây 802.11b và 802.11g thì cần chú ý bố trí các AP nằm xa các thiết bị phát sóng điện tử có khoảng tần số trung với tần số của AP (2,4 GHz) như lò vi ba, điện thoại “máy mẹ máy con”, đầu thu Bluetooth....Khi thi công mạng nên di chuyển, bố trí AP tại nhiều vị trí lắp đặt khác nhằm tìm ra vị trí lắp đặt thiết bị sẽ cho chất lượng tín hiệu tốt nhất. Hình 1.14: Mô Hình Mạng Không Dây Khoảng cách giữa cảd mạng không dây với AP cũng ảnh hưởng rất nhiều đến tốc độ truyền dẫn, càng xa AP thì tốc độ truyền dẫn càng giảm dần. Ví dụ đối với các mạng không dây chuẩn 802.11b thì tốc độ suy giảm dần từng mức, mức sau bằng 1/2 so với mức trước (11Mbps xuống 5,5Mbps rồi xuống 2Mbps....). Đa số các phần mềm tiện ích đi kèm card mạng không dây và AP có chức năng hiển thị tốc độ truyền dẫn của mạng. Nếu không gian làm việc vượt quá bán kính phủ sóng của AP hiện có thì chúng ta phải mua thêm bộ khuyếch đại (Repeatea) để nâng công suất phát sóng cũng như bán kính vùng phủ sóng của AP. V./. CÁC CÔNG NGHỆ MẠNG LAN : 5.1. CÔNG NGHỆ CHUYỂN MẠCH THÔNG MINH (Switching): Switching là công nghệ mạng tiên tiến cung cấp đường chuyền riêng biệt chứ không phải đường truyền chia sẻ. Công nghệ Switching co những ưu điểm sau: Nâng cao hiệu năng an toàn mạng. Tăng cường và ôn định giải thông cho từng đường truyền, từng trạm làm việc trên mạng. Cung cấp các đường truyền có tốc dộ giành riêng cho từng người sủ dụng mạng khác nhau. Có khả năng phân bố các tốc độ mạng trên các phân đoạn mạng khác nhau tuỳ theo mức độ yêu cầu về tốc độ các bộ phận và người dung khác nhau. Cho phép thiết lập các chính sách ưu tiên lưu lượng trên mạng. Dữ liệu có mức độ ưu tiên cao hơn sẽ được cấp nhiều băng thông hơn để đảm bảo giảm độ trễ tới mức tối đa. 5.2 CÔNG NGHỆ GIGABIT ETHERNET : Gigabit Ethernet là chuẩn Ethernet cung cấp tốc độ 1000Mbps. Nó sử dụng khuôn dạng khung Ethernet và dùng công nghệ Media Access Control như tất cả các công nghệ Ethernet 802.3 khác.Nó sử dụng cung công nghệ Ethernet Full-Duplex 802.3 và điều kiển luồng 802.3. Gigabit Ethernet được dung để xây dựng Backbone Gigabit tốc độ cao cho mạng LAN, Campus hoặc các kết nối với máy chủ. Hiện nay, chuẩn Gigabit Ethernet đã được áp dụng cho cả máy trạm để phục vụ các ứng dụng dữ liệu luồng như: Voice, Video, Media Streaming... 5.3 CÔNG NGHỆ ETHERCHANNEL: EtherChannel là công nghệ cho phép nhiều tuyến Ethernet (Fast Ethenet hoặc Gigabit Ethernet) vật lý được kết hợp với nhau thành một kênh logic.Nên tải giữa các tuyến được cân Bằng trên một kênh và nó cũng cho phép dự phòng nếu tuyến trong kênh đó bị hỏng. EtherChannel có thể được sử dụng để liên kết các LAN Switch, Router, Server và Client thông qua cáp UTP hoặc cáp quang. EtherChannel Bundles có thể cấu hình thành các đường Trunking. Hình 1.15: EtherChannel liên kết 2 LAN Switch Ứng dụng EtherChannel đặc biệt hữu ích khi ta cần tăng thêm băng thông cho mạng mà không phải thay thế hoặc nâng cấp thiết bị. Ví dụ như một hệ thống mạng có kết nối tốc độ 1000Mbps từ Access Switch của người sử dụng tới Core Switch, khi nhu cầu tăng lên thì chúng ta có thể tăng thêm số lượng kết nối vật lý giữa 2 Switch (tối đa 4 kế nối) để nâng cấp tốc độ lên 4000Mbps theo một chiều và 8000Mbps theo 2 chiều. Các kết nối vật lý này được cấu hình để gộp thành một kết nối logic duy nhất được nhận dạng bởi thiết bị hai đầu. 5.4 CÔNG NGHỆ VLAN: VLAN là viết tắt của Virtual Local Area Network hay còn gọi là mạng LAN ảo. Một VLAN được định nghĩa là một nhóm logic các thiết bị mạng và được thiết lập dựa trên các yếu tố như chức năng, bộ phận, ứng dụng… của công ty. VLAN là kỹ thuật cho phép chia một mạng lớn thành nhiều mạng nhỏ một cách Logic. Khi thông tin cần trao đổi giữa các điểm trong một VLAN thì thông tin đó chỉ được gửi đến những điểm trong VLAN đó, do đó hạn chế rất nhiều các thông tin thừa trên đường truyền. 5.4.1. Lợi ích của VLAN: - Tiết kiệm băng thông của hệ thống mạng: VLAN chia mạng LAN thành nhiều đoạn (segment) nhỏ, mỗi đoạn đó là một vùng quảng bá (broadcast domain). Khi có gói tin quảng bá (broadcast), nó sẽ được truyền duy nhất trong VLAN tương ứng. Do đó việc chia VLAN giúp tiết kiệm băng thông của hệ thống mạng. - Tăng khả năng bảo mật: Do các thiết bị ở các VLAN khác nhau không thể truy nhập vào nhau (trừ khi ta sử dụng router nối giữa các VLAN). Như trong ví dụ trên, các máy tính trong VLAN kế toán (Accounting) chỉ có thể liên lạc được với nhau. Máy ở VLAN kế toán không thể kết nối được với máy tính ở VLAN kỹ sư (Engineering). - Dễ dàng thêm hay bớt máy tính vào VLAN: Việc thêm một máy tính vào VLAN rất đơn giản, chỉ cần cấu hình cổng cho máy đó vào VLAN mong muốn. - Giúp mạng có tính linh động cao: VLAN có thể dễ dàng di chuyển các thiết bị. Giả sử trong ví dụ trên, sau một thời gian sử dụng công ty quyết định để mỗi bộ phận ở một tầng riêng biệt. Với VLAN, ta chỉ cần cấu hình lại các cổng switch rồi đặt chúng vào các VLAN theo yêu cầu. VLAN có thể được cấu hình tĩnh hay động. Trong cấu hình tĩnh, người quản trị mạng phải cấu hình cho từng cổng của mỗi switch. Sau đó, gán cho nó vào một VLAN nào đó. Trong cấu hình động mỗi cổng của switch có thể tự cấu hình VLAN cho mình dựa vào địa chỉ MAC của thiết bị được kết nối vào. Hiện nay, VLAN đóng một vai trò rất quan trọng trong công nghệ mạng LAN. Để thấy rõ được lợi ích của VLAN, chúng ta hãy xét trường hợp sau : Giả sử một công ty có 3 bộ phận là: Engineering, Marketing, Accounting, mỗi bộ phận trên lại trải ra trên 3 tầng. Để kết nối các máy tính trong một bộ phận với nhau thì ta có thể lắp cho mỗi tầng một switch. Điều đó có nghĩa là mỗi tầng phải dùng 3 switch cho 3 bộ phận, nên để kết nối 3 tầng trong công ty cần phải dùng tới 9 switch. Rõ ràng cách làm trên là rất tốn kém mà lại không thể tận dụng được hết số cổng (port) vốn có của một switch. Chính vì lẽ đó, giải pháp VLAN ra đời nhằm giải quyết vấn đề trên một cách đơn giản mà vẫn tiết kiệm được tài nguyên. Hình 1.16: Mô hình VLAN dùng cho Engineering, Marketing, Accounting Như hình vẽ trên ta thấy mỗi tầng của công ty chỉ cần dùng một switch, và switch này được chia VLAN. Các máy tính ở bộ phận kỹ sư (Engineering) thì sẽ được gán vào VLAN Engineering, các PC ở các bộ phận khác cũng được gán vào các VLAN tương ứng là Marketing và kế toán (Accounting). Cách làm trên giúp ta có thể tiết kiệm tối đa số switch phải sử dụng đồng thời tận dụng được hết số cổng (port) sẵn có của switch. 5.4.2. Các loại VLAN: Có nhiều kiểu VLAN khác nhau : VLAN 1 / Default  VLAN  / User VLAN / Native VLAN / Management VLAN. Mặc định, tất cả các giao diện Ethernet của Cisco switch nằm trong VLAN 1. Chính vì thế, việc phân biệt các kiểu VLAN trở lên khó khăn hơn. Sau đây là các kiểu VLAN khác nhau. - VLAN 1: Mặc định, các thiết bị lớp 2 sẽ sử dụng một VLAN mặc định để đưa tất cả các cổng của thiết bị đó vào. Thêm vào nữa là có rất nhiều giao thức lớp 2 như CDP, PAgP, và VTP cần phải được gửi tới một VLAN xác định trên các đường trunk. Chính vì các mục đích đó mà VLAN mặc định được chọn là VLAN 1. CDP, PagP, VTP, và DTP luôn luôn được truyền qua VLAN 1 và mặc định này không thể thay đổi được.  Các khuyến cáo của Cisco chỉ ra rằng VLAN 1 chỉ nên dành cho các giao thức kể trên. - Default VLAN: VLAN 1 còn được gọi là default VLAN. Chính vì vậy, mặc định, native VLAN, management VLAN và user VLAN sẽ là thành viên của VLAN 1. Tất cả các giao diện Ethernet trên switch Catalyst mặc định thuộc VLAN 1. Các thiết bị gắn với các giao diện đó sẽ là thành viên của VLAN 1, trừ khi các giao diện đó được cấu hình sang các VLAN khác. - User VLANs Hiểu đơn giản User VLAN là một VLAN được tạo ra nhằm tạo ra một nhóm người sử dụng mà không phụ thuộc vào vị trí địa lý hay logic và tách biệt với phần còn lại của mạng ban đầu.  Câu lệnh switchport access vlan  được dùng để chỉ định các giao diện vào các VLAN khác nhau. - Native VLAN Một chủ đề hay gây nhầm lẫn là Native VLAN. Native VLAN là một  VLAN có các cổng được cấu hình trunk. Khi một cổng của switch được cấu hình trunk, trong phần tag của frame đi qua cổng đó sẽ được thêm một số hiệu VLAN thích hợp. Tất cả các frames thuộc các VLAN khi đi qua đường trunk  sẽ được gắn thêm các tag của giao thức 802.1q và ISL, ngoại trừ các frame của VLAN 1. Như vậy, theo mặc định các frames của VLAN 1 khi đi qua đường trunk sẽ không được gắn tag. Hình 1.16: Mô hình VLAN - Native VLAN: Một chủ đề hay gây nhầm lẫn là Native VLAN. Native VLAN là một  VLAN có các cổng được cấu hình trunk. Khi một cổng của switch được cấu hình trunk, trong phần tag của frame đi qua cổng đó sẽ được thêm một số hiệu VLAN thích hợp. Tất cả các frames thuộc các VLAN khi đi qua đường trunk  sẽ được gắn thêm các tag của giao thức 802.1q và ISL, ngoại trừ các frame của VLAN 1. Như vậy, theo mặc định các frames của VLAN 1 khi đi qua đường     trunk sẽ không được gắn tag. Khả năng này cho phép các cổng hiểu 802.1Q giao tiếp được với các cổng cũ không hiểu 802.1Q bằng cách gửi và nhận trực tiếp các luồng dữ liệu không được gắn tag. Tuy nhiên, trong tất cả các trường hợp khác, điều này lại gây bất lợi, bởi vì các gói tin liên quan đến native VLAN sẽ bị mất tag. Native VLAN được chuyển thành VLAN khác bằng câu lệnh : Switch(config-if)#switchport trunk native vlan vlan-id Chú ý : native VLAN không nên sử dụng như là user VLAN hay management VLAN. - Management VLAN: Hiện nay, đa số các thiết bị như router, switch có thể truy cập từ xa bằng cách telnet đến địa chỉ IP của thiết bị.  Đối với các thiết bị mà cho phép truy cập từ xa thì chúng ta nên đặt vào trong một VLAN, được gọi là Management VLAN. VLAN này độc lập với các VLAN khác như user VLAN, native VLAN. Do đó khi mạng có vấn đề như : hội tụ với STP, broadcast storms, thì một Management VLAN cho phép nhà quản trị vẫn có thể truy cập được vào các thiết bị và giải quyết các vấn đề đó. Một yếu tố khác để tạo ra một Management VLAN độc lập với user VLAN là việc tách các thiết bị đáng tin cậy với các thiết bị không tin cậy. Do đó làm giảm đi khả năng các user khác đạt được quyền truy cập vào các thiết bị đó. - Configuring the router : Khi một giao diện của router được cấu hình ở mode trunk link,  thì các frame nhận được từ native VLAN trên giao diện đó sẽ không được gắn tag.  Và đối với các frame từ các VLAN khác sẽ có tag là ISL hoặc 802.1Q. Hình 1.16: Mô hình Configuring the router Để cấu hình một giao diện của router ở mode trunk link thì ta phải sử dụng subinterface. Mỗi một subinterface sẽ được cấu hình ứng với giao thức trunking trên mỗi switch là ISL hay 802.1Q. Chúng ta dùng câu lệnh sau : encapsulation [ dot1q | isl ] vlan. Khi subinterface muốn nhận cả các frame của native VLAN thì phải được cấu hình thêm : encapsulation [ dot1q | isl ] vlan. native Chú ý : trong các phiên bản IOS trước 12.1(3)T, để cấu hình native VLAN thì phải cấu hình ở giao diện vật lý. CHƯƠNG II LÝ THUYẾT VỀ MẠNG WAN (WIDE AREA NETWORK) I. KHÁI NIỆM : Là mạng được thiết lập để liên kết các máy tính của hai hay nhiều khu vực khác nhau giữa các thành phố hay các tỉnh.....Thông qua kết nối này được thực hiện thông qua mạng viễn thông. Mạng WAN điều khiển lớp vật lý và lớp liên kết dữ liệu của mô hình tham chiếu OSI. Nó liên kết các LAN cách xa nhau bởi những vùng địa lý rộng lớn. Các WAN tạo điều kiện cho hoạt động trao đổi các gói /frame dữ liêu giữa các router/brigde với các LAN mà chúng hỗ trợ. Khi mạng máy tính sử dụng những kết nối viễn thộng ở những phạm vi lớn, nó cho phép các máy tính có thể được đặt ở những vị trí rất xa nhau, ví dụ như những quốc gia khác nhau, thì khi đó ta có mạng diện rộng WAN(Wide Area Network) Hình 2.1: Mô hình WAN điển hình Mạng cục bộ và mạng diện rộng có thể được phân biệt bởi: địa phương hoạt động, tốc độ đường truyền và tỷ lệ lỗi trên đường truyền, chủ quản của mạng, đường đi của thông tin trên mạng, dạng chuyển giao thông tin. 1.1. Địa phương hoạt động: Liên quan đển khu vực địa lý thì mạng cục bộ sẽ là mạng liên kết các máy tính nằm trong một khu vực nhỏ. Khu vực có thể bao gồm một tào nhà hay là một khu nhà..... Điều đó hạn chế bởi khoảng cách đường dây cáp được dùng để liên kết các máy tính của mạng cục bộ (Hạn chế đó còn là hạn chế của khả năng kỹ thuật của đường truyền dữ liệu). Ngược lại mạng diện rộng là mạng có khả năng liên kết các máy tính trong một vùng rộng lớn như là một thành phố, một miền, một đất nước, mạng diện rộng được xây dựng để nối hai họăc nhiều khu vực địa lý riêng biệt. 1.2. Tốc độ đường truyền và tỷ lệ lỗi trên đường truyền: Do các đường cáp của mạng cục bộ được xây dựng trong một khu vực nhỏ cho nên nó ít bị ảnh hưởng bởi tác động của thiên nhiên như là sấm chớp, ánh sáng....... Điều đó cho phép mạng cục bộ có thể truyền dữ liệu với tốc độ cao mà chỉ chịu một tỷ lệ lỗi nhỏ. Ngược lại với mạng diện rộng do phải truyền ở những khoảng cách khá xa với những đường truyền dẫn dài có khi lên đến hàng ngàn Km. Do vậy mạng diện rộng không thể truyền với tốc độ quá cao vì khi đó tỉ lệ lỗi sẽ trở nên khó chấp nhận được. Mạng cục bộ thường có tốc đọ truyền dữ liệu từ 4 đến 16 Mbps và đạt tới 100 Mbps nếu dùng cáp quang. Còn phần lớn các mạng diện rộng cung cấp đường truyền có tốc độ thấp hơn nhiều như T1 với 1.554 Mbps hay E1 với 2.048 Mbps. Ở đây BPS (Bit Per Second) là một đơn vị trong truyền thông tương đương với 1 bit được truyền trong một giây, ví dụ như tốc đọ đường truyền là 1 Mbps tức có thể truyền tối đa 1 Megabit trong 1 giây trên đường truyền đó. Thông thường trong mạng cục bộ tỷ lệ lỗi trong truyền dữ liệu vào khoảng 1/107 – 108 còn trong mạng diện rộng thì tỷ lệ vào khoang 1/106 – 107. 1.3. Chủ quan và điều hành của mạng: Do sự phức tạp trong việc xây dựng, quản lý, duy trì các đường truyền dẫn nên khi xây dựng mạng diện rộng người ta thường sử dụng các đường truyền được thuê từ các công ty viễn thông hay các nhà cung cấp dịc vụ truyền số liệu. Tuy theo cấu trúc của mạng những đường truyền đó thuộc cơ quan quản lý khác nhau như các nhà cung cấp đường truyền nội hạt, liên tỉnh, liên quốc gia. Các đường truyền đó phải tuân thủ các quy định của chính phủ các khu vực có đường dây đi qua như: tốc độ, việ mã hoá. Còn đối với mạng cục bộ thì công việc đơn giản hơn nhiều, khi một cơ quan cài đặt mạng cục bộ thì toàn bộ mạng sẽ thuộc mạng sẽ thuộc quyền quản lý của cơ quan đó. 1.4. Đường đi của thông tin trên mạng: Trong mạng cục bộ thông tin được đi theo con đường xác định bởi cấu trúc của mạng. Khi người ta xác định cấu trúc của mạng thò thông tin sẽ luôn luôn đi theo cấu trúc đã xác định đó. Còn với mạng diện rộng dữ liệu cấu trúc có thể phức tạp hơn nhiều do việc thay đổi đường đi của các thông tin khi phát hiện ra có trục trặc trên đường truyền hay khi phát hiện có quá nhiều thông tin cần truyền giữa hai nút nào đó. Trên mạng diện rộng thông tin có thể có các con đường đi khác nhau, điều đó cho phép có thể sử dụng tối đa các năng lực của đường truyền hay nâng cao điều kiện an toàn trong truyền dư liệu. 1.5. Dạng chuyền giao thông: Phần lớn các mạng diện rộng hiện nay được phát triển cho việc truyền đồng thời trên đường truyền nhiều dạng thông tin khác nhau như: video, tiếng nói, dữ liệu....Trong khi đó các mạng cục bộ chủ yếu phát triển trong việc truyền dữ liệu thông thường. Điều này có thể giải thích do việc truyền các dạng thông tin như: video, tiêng nói trong một khu vực nhỏ ít được quan tâm hơn khi truyền qua những khoảng cách lớn. Các hệ thống mạng hiện nay ngày càng phức tạp về chất lượng, đa dạng về chủng loại và phát triểu rất nhanh về chất. Trong sự phát triển đó số lượng những nhà sản xuất từ phần mêm, phần cứng máy tính, các sản phẩm viễn thông cũng tăng nhanh với nhiều sản phẩm đa dạng. Chính vì vậy vai tro chuẩn hoá cũng mang nhưng ý nghĩa quan trọng Tại các nước, các cơ quan chuẩn quốc gia đa đưa ra những chuẩn về phần cứng và các quy định về giao tiếp nhằm giúp cho các nhà sản xuất có thể làm ra các sản phẩm có thể kết nối với các sản phẩm do hãng khác sản xuất. II. CÁC KIỂU TRUYỀN TÍN HIỆU TRONG WAN: 2.1. Truyền tín hiệu tương tự: Các tín hiệu tương tự thường được thể hiện dưới dạng sóng. Cường độ và tần số của tín hiệu tương tự thay đổi liên tục nên nó có thể thể hiện một cách chính xác sự chuyển động liên tục hay âm thanh hay những chuyển động đa trạng thái. Cường độ và tần số của tín hiệu tăng lên và giảm xuống tương ứng với cao độ và cường độ của âm thanh. Các tín hiệu tương tự thường dùng để biểu diễn các dữ liệu thời gian thực. Truyền thanh, điện thoại và các phương tiện truyền thông thường sử dụng tín hiệu tương tự. Hình 2.2: Mô hình truyền tín hiệu tương tự 2.2. Trưyền tín hiệu số: Thay vì dòng thay đổi liên tục, các tín hiệu số chỉ sử dụng 2 trạng thái, 0 và 1, để biểu diễn các bit dữ liệu. Đây là phương pháp truyền tín hiệu lý tưởng cho các mạng máy tính. Các máy tính sẽ cần tới modem, thiết bị chuyển đổi tín hiệu số của máy tính thành tín hiệu tương tự để truyền dữ liệu qua đường dây điện thoại tương tự. Hình 2.3: Mô hình truyền tín hiệu số Lưu ý: Trước đây, mạng điện thoại PSTN là mạng tương tự hoàn toàn. Các tín hiệu tương tự từ máy điện thoại tới công ty viễn thông và sẽ tiếp tục được chuyển qua các hệ thống sử dụng tín hiệu tương tự để tới đích. Ngày nay, các hệ thống điện thoại hiện nay sử dụng kết hợp hai phương pháp. Phần lớn các mạng chuyển mạch (swithced network) kết nối mạng của các công ty viễn thông đều đã được số hoá, riêng chặng cuối nối phần lớn hộ gia đình và một số doanh nghiệp vẫn sử dụng tín hiệu tương tự. Sơ đồ dưới đây cho ta thấy hai máy tính số có thể được kết nối qua mạng WAN có cả các thành phần số và thành phần tương tự. Khi một máy tính gửi tín hiệu qua mạng WAN, modem sẽ chuyển tín hiệu số thành tín hiệu tương tự để chuyển tín hiệu tới công ty điện thoại. Modem của công ty điện thoại sẽ lại chuyển dữ liệu thành dạng số để truyền qua mạng chuyển mạch. Tín hiệu lại được chuyển ngược trở lại thành tín hiệu tương tự tại phía đầu đích của công ty viễn thông để chuyển tới modem của máy tính nhận dữ liệu. Cuối cùng, modem này sẽ chuyển tín hiệu tương tự thành dạng số cho máy tính. Hình 2.4: Mô hình mạng PSTN kết hợp giữa truyền tín hiệu tương tự và số III. CÁC LOẠI HÌNH KẾT NỐI TRONG MẠNG WAN: Khi một thông điệp di chuyển qua đám mây mạng WAN, cách thức nó di chuyển từ điểm này tới điểm khác trên đường đi của nó sẽ khác nhau phụ thuộc vào kết nối vật lý và giao thức sử dụng. Các kết nối mạng WAN thường được phân thành những dạng sau: 3.1. Kết nối dành riêng (Dedicated Connection): Đây là kết nối mang tính thường trực, kết nối trực tiếp một thiết bị với một thiết bị khác. Kết nối dành riêng có tính ổn định và nhanh nhưng có thể rất đắt. Thuê một đường dây từ nhà cung cấp dịch vụ mạng WAN có nghĩa là bạn phải trả tiền kết nối ngay cả khi bạn không sử dụng nó. Hơn nữa, bởi vì các đường dây dành riêng thiết lập kết nối trực tiếp chỉ giữa 2 điểm, nên số đường dây cần thiết sẽ tăng theo hàm số mũ các vị trí cần kết nối. Ví dụ, nếu bạn muốn kết nối 2 vị trí, bạn cần một đường dây nhưng muốn kết nối 4 vị trí bạn sẽ cần tới 6 đường dây. Hình 2.5: Mô hình kết nối dành riêng Các đặc trưng của kết nối dành riêng: - Luôn luôn săn có. - Sử dụng đường dây thuê bao của nhà cung cấp dịch vụ mạng WAN. - Đắt hơn so với các giải pháp mạng WAN khác. - Sử dụng các kết nối riêng biệt giưa các điểm. Sử dụng kết nối dành riêng khi: - Có lưu lượng cao dữ liệu luân chuyển qua mạng LAN. - Cần kết nối thường xuyên. - Có ít địa điểm cần kết nối với nhau. 3.2. Mạng chuyển mạch (circuit- switched network): Mạng chuyển mạch cho bạn một giải pháp thay thế đối với đường thuê riêng (kết nối dành riêng), cho phép bạn sử dụng các đường dây dùng chung. Mạng chuyển mạch làm việc hai chiều, cho phép thiết lập cả các kết nối quay số vào (dial-in) và quay số ra (dial-out). Hình 2.6: Mô hình mạng chuyển mạch Khi bạn sử dụng mạng chuyển mạch: - Máy tính gửi dữ liệu quay số vào đường dây và kết nối được thiết lập. - Máy tính nhận dữ liệu gửi xác nhận và khoá đường dây. - Máy tính gửi dữ liệu truyền dữ liệu qua kết nối được thiết lập. - Sau khi hoàn tất việc truyền dữ liệu, kết nối được giải phóng cho những người sử dụng khác. Mạng chuyển mạch sử dụng các mạch ảo chuyển mạch (SVC – switched virtual circuit). Một đường truyền dữ liệu dành riêng được thiết lập khi bắt đầu quá trình truyền thông nhờ một loạt các bộ chuyển mạch điện tử. Con đường riêng này sẽ còn cho tới khi kết thúc quá trình truyền thông). Hệ thống điện thoại công cộng là một mạng chuyển mạch. Khi bạn thực hiện một cuộc gọi, PSTN sử dụng các bộ chuyển mạch để tạo ra một kết nối vật lý, trực tiếp và dành riêng cho suốt thời gian diễn ra cuộc gọi. Khi bạn ngưng cuộc gọi, các bộ chuyển mạch giải phóng đường dây cho những người sử dụng khác. Các máy tính kết nối qua mạng làm việc theo cách thức tương tự như vậy. Khi máy tính quay số vào mạng, trước tiên con đường qua mạng được thiết lập để sau đó dữ liệu sẽ được chuyển qua con đường dành riêng tạm thời này. 3.3. Mạng chuyển mạch gói (packet-swiched): Mạng chuyển gói không yêu cầu một đường thuê riêng hay đường dành riêng tạm thời. Thay vào đó, đường đi của thông điệp được thiết lập một cách cơ động khi dữ liệu chuyển qua mạng. Kết nối chuyển mạch gói là kết nối thường xuyên bật. Điều đó có nghĩa là bạn không cần quan tâm tới việc thiết lập kết nối hay giữ riêng đường dây. Mỗi gói tin bao gồm cả thông tin cần thiết để tới đích. Hình 2.7: Mô hình mạng chuyển mạch gói Mạng chuyển mạch gói có những đặc trưng sau đây: - Thông điệp được chia thành những đơn vị nhỏ, gọi là gói. - Các gói được chuyển độc lập qua liên mạng (có thể theo những con đường khác nhau). - Các gói được sắp xếp lại theo thứ tự ban đầu tại nơi nhận. - Thiết bị gửi và thiết bị nhận mặc định xem kết nối là thường trực (không cần quay số). Mạng chuyển mạch gói sử dụng các mạch ảo thường trực (PVC- permanent virtual circuit). Mặc dù PVC giống như kết nối dành riêng, trực tiếp, con đường mỗi gói tin đi trong liên mạng có thể khác nhau. IV. CÁC DỊCH VỤ MẠNG DIỆN RỘNG: 4.1. PSTN: Mạng điện thoại chuyển mạch công cộng là mạng lâu đời nhất và có qui mô lớn nhất có thể sử dụng cho truyền thông mạng WAN. Các đặc trưng của PSTN bao gồm: - Đây là mạng chuyển mạch, có phạm vi toàn cầu. - Giao diện với PSTN là tương tự, vì vậy các máy tính sử dụng modem để kết nối với PSTN. - Tốc độ trên PSTN thường bị giới hạn ở ngưỡng 56 Kbit/s. - Bạn có thể sử dụng PSTN khi có nhu cầu (on demand) hay thuê một mạch riêng. Hình 2.8: Mạng điện thoại PSTN 4.2. Đường thuê riêng (Leased Line): Đây là phương pháp cũ nhất, phương pháp truyền thống nhất cho sự kết nối vĩnh cửu. Bạn thuê đường dây điện thoại từ công ty điện thoại ( trực tiếp hoặc nhà cung cấp dịch vụ). Bạn cần phải cài đặt một ”Chanel Service Unit - CSU” để nối đến mạng T, và một “Digital Service Unit - DSU” để nối đến mạng chủ (Primary) hoặc giao diện mạng. Đối với một số công ty, lợi ích của một đường thuê riêng có thể cao hơn rất nhiều so với chi phí phải bỏ ra. Đường thuê riêng là đường độc lập và có tốc độ cao hơn so với đường PSTN thông thường. Tuy nhiên nó khá đắt nên thường chỉ có các công ty lớn sử dụng. Các đặc trưng khác của đường thuê riêng bao gồm: - Cung cấp kết nối thường xuyên, chất lượng ổn định. - Bạn có thể bỏ thêm chi phí để nâng cấp đường thuê riêng. Hình 2.9: Đường dây thuê riêng 4.3. X.25: X.25 ra đời vào những năm 1970. Mục đích ban đầu của nó là kết nối các máy chủ lớn ( mainframe) với các máy trạm (terminal) ở xa. Ưu điểm của X.25 so với các giải pháp mạng WAN khác là nó có cơ chế kiểm tra lỗi tích hợp sẵn. Chọn X.25 nếu bạn phải sử dụng đường dây tương tự hay chất lượng đường dây không cao. Hình 2.10: Mạng X25 X.25 là chuẩn của ITU-T cho truyền thông qua mạng WAN sử dụng kỹ thuật chuyển mạch gói qua mạng điện thoại. Thuật ngữ X.25 cũng còn được sử dụng cho những giao thức thuộc Lớp vật lý và Lớp liên kết dữ liệu để tạo ra mạng X.25. Theo thiết kế ban đầu, X.25 sử dụng đường dây tương tự để tạo nên một mạng chuyển mạch gói, mặc dù mạng X.25 cũng có thể được xây dựng trên cơ sở một mạng số. Hiện nay, giao thức X.25 là một bộ các qui tắc xác định cách thức thiết lập và duy trì kết nối giữa các DTE và DCE trong một mạng dữ liệu công cộng (PDN – public data network). Nó qui địch các thiết bị DTE/DCE và PSE (Packet-swiching exchange) sẽ truyền dữ liệu như thế nào. - Bạn cần phải trả phí thuê bao khi sử dụng mạng X.25. - Khi sử dụng mạng X.25, bạn có thể tạo kết nối tới PDN qua một đường dây dành riêng. - Mạng X.25 hoạt động ở tốc độ 64 Kbit/s (trên đường tương tự). - Kích thước gói tin (gọi là frame) trong mạng X.25 không cố định. - Giao thức X.25 có cơ chế kiểm tra và sửa lỗi rất mạnh nên nó có thể làm việc tương đối ổn định trên hệ thống đường dây điện thoại tương tự có chất lượng thấp. - X.25 hiện đang được sử dụng rộng rãi ở nhiều nước trên thế giới nơi các mậng số chưa phổ biến cũng như chất lượng đường dây còn thấp. 4.4. Frame Relay: Frame Relay “uyển chuyển ” hơn đường thuê bao. Khách hàng thuê đường Frame Relay có thể mua một dịch vụ có mức độ xác định - một “tốc độ thông tin uỷ thác (Committed Information Rale - CIR)”. Nếu như nhu cầu của bạn trên mạng là rất “bộ phát (Burty)”, hay người sử dụng của bạn có nhu cầu cao trên đường liên lạc trong suốt một khoảng thời gian xác định trong ngày, và có ít hoặc không có nhu cầu vào ban đêm – Frame Relay có thể sẽ là kinh tế hơn thuê bao hoàn toàn một đường T1 (hoặc T3). Nhà cung cấp dịch vụ của bạn có thể đưa ra một phương pháp tương tự như là phương pháp thay thế đó là: Switched Multimegabit Data Service. Frame Relay hiệu quả hơn so với X.25 và đang dần dần thay thế chuẩn này. Khi sử dụng Frame Relay, bạn trả phí thuê đường dây tới node gần nhất trên mạng Frame Relay. Bạn gửi dữ liệu qua đường dây của bạn và mạng Frame Relay sẽ định tuyến nó tới node gần nhất với nơi nhận và chuyển dữ liệu xuống đường dây của người nhận. Frame Relay nhanh hơn so với X.25. Frame Relay là một chuẩn cho truyền thông trongmạng WAN chuyển mạch gói qua các đường dây số chất lượng cao. Một mạng Frame Relay có các đặc trưng sau: - Có nhiều điểm tương tự như khi triển khai một mạng X.25. - Có cơ chế kiểm tra lỗi nhưng không có cơ chế khắc phục lỗi. - Tốc độ truyền dữ liệu có thể lên tới 1.54 Mbit/s. - Cho phép nhiều kích thước gói tin khác nhau . - Có thể kết nối như một kết nối đường trục tới mạng LAN. - Có thể triển khai qua nhiều loại đường kết nối khác nhau (56K, T-1, T-3). - Hoạt động tại Lớp Vật lý và Lớp Liên kết dữ liệu trong mô hình OSI. Hình 2.11: Mạng Frame Relay Khi đăng ký sử dụng dịch vụ Frame Relay, bạn được cam kết về mức dịch vụ gọi là CIR (Committed Information Rate). CIR là tốc độ truyền dữ liệu tối đa được cam kết bạn nhận được trên một mạng Frame Relay. Tuy nhiên, khi lưu lượng trên mạng thấp, bạn có thể gửi dữ liệu ở tốc độ nhanh hơn CIR. Khi lưu lượng trên mạng cao, ưu tiên sẽ dành cho những khách hàng có mức CIR cao. 4.5. ISDN (Intergrated Services Digital Network): Sử dụng đường điện thoại số thay vì đường tương tự. Do ISDN là mạng dùng tín hiệu số, bạn không phải dùng modem để nối với đường dây mà thay vào đó bạn phải dùng một thiết bị gọi là “codec” với modem có khả năng chạy ở 14.4 Kbit/s. ISDN thích hợp cho cả hai trường hợp cá nhân và tổ chức. Các tổ chức có thể quan tâm hơn ISDN cóp khả năng cao hơn “Primary ISDN” được tính theo thời gian, một số trường hợp tính theo lượng dự liệu được truyền đi và một số thì tính theo cả hai. Một trong những mục đích của ISDN là cung cấp khả năng truy nhập mạng WAN cho các hộ gia đình và doanh nghiệp sử dụng đường cáp đồng điện thoại. Vì lý do đó, các kế hoạch triển khai ISDN đầu tiên đã đề xuất thay thế các đường dây tương tự đang có bằng đường dây số. Hiện nay, việc chuyển đổi từ tương tự sang số đang diễn ra mạnh mẽ trên thế giới. ISDN cải thiện hiệu năng vận hành so với phương pháp truy nhập mạng WAN qua đường quay số và có chi phí thấp hơn so với Frame Relay. Hình 2.12: Đường ISDN ISDN định ra các tiêu chuẩn cho việc sử dụng đường dây điện thoại tương tự cho cả việc truyền dữ liệu số cũng như truyền dữ liệu tương tự. Các đặc điểm của ISDN là: - Cho phép phát quảng bá nhiều kiểu dữ liệu (thoại, video, đồ hoạ...). - Tốc độ truyền dữ liệu và tốc độ kết nối cao hơn so với kết nối quay số truyền thống. 4.6. CHẾ ĐỘ TRUYỀN KHÔNG ĐỒNG BỘ ATM (Asynchoronous Trangfer Mode): ATM là một phương pháp tương đối mới đầu tiên báo hiệu cùng một kỹ thuật cho mạng cục bộ và liên khu vực. ATM thích hợp cho read – time multimedia song song với truyền dữ liệu truyền thông. ATM hứa hẹn sẽ trở thành một phần lớn của mạng tương lại. ATM ( Asynchronous Transfer Mode – Chế độ truyền không đồng bộ) là hệ thống chuyển mạch gói tiên tiến, có thể truyền đồng thời dữ liệu, âm thanh và hình ảnh số hoá trên cả mạng LAN và mạng WAN. Hình 2.13: Truyền thông qua ATM Đây là một trong những phương pháp kết nối mạng WAN nhanh nhất hiện nay, tốc độ đạt từ 155 Mbit/s đến 622 Mbit/s. Trên thực tế, theo lý thuyết nó có thể hỗ trợ tốc độ cao hơn khả năng hiện thời của các phương tiện truyền dẫn hiện nay. Tuy nhiên, tốc độ cao có nghĩa là chi phí cũng cao hơn, ATM đắt hơn nhiều so với ISDN, X25 hoặc FrameRelay. Các đặc trưng của ATM bao gồm: - Sử dụng gói dữ liệu (cell) nhỏ, có kích thước cố định (53 byte), dễ xử lý hơn so với các gói dữ liệu có kích thước thay đổi trong X.25 và Frame Relay. - Tốc độ truyền dữ liệu cao, theo lý thuyết có thể đạt 1,2 Gbit/s. - Chất lượng cao, độ nhiễu thấp nên gần như không cần đến việc kiểm tra lỗi. - Có thể sử dụng với nhiều phương tiện truyền dẫn vật lý khác nhau ( cáp đồng trục, cáp dây xoẵn, cáp sợi quang). - Có thể truyền đồng thời nhiều loại dữ liệu. 4.7. Đường vi sòng (Microware Links): Nếu cần kết nối vĩnh viễn đến nhà cung cấp dịch vụ nhưng lại thấy răng đường thuê bao hay sự lựa chọn khác quá đắt, bạn sẽ thây Microware như là một lựa chọn thích hợp. Bạn không cần trả quá đắt cho cách này Microware, tuy nhiên bạn cần phải đầu tư nhiều tiền hơn vào lúc đầu và bạn sẽ gặp một số rủi ro tốc độ truyền đến mạng của bạn qúa nhanh. 4.8. Đường vệ tinh (Satellite Links): Nếu bạn muốn chuyển được một lượng lớn dữ liệu đặc biệt là từ những địa điểm từ xa thì đường vệ tinh là câu trả lời. Tầm hoạt động của những vệ tinh cùng vị trí địa lý với trái đất cũng tạo ra một sự chậm trễ hoặc “bị che dấu” mà những người sử dụng Telnet có thể cảm thấy được. CHƯƠNG III CÁC THIẾT BỊ KẾT NỐI MẠNG I./. REPEATER (BỘ TIẾP SỨC): Trong một mạng LAN, giới hạn của cáp mạng là 100m (cho loại cáp mạng CAT 5 UTP –  là cáp được dùng phổ biến nhất), bởi tín hiệu bị suy hao trên đường truyền nên không thể đi xa hơn. Vì vậy, để có thể kết nối các thiết bị ở xa hơn, mạng cần các thiết bị để khuếch đại và định thời lại tín hiệu, giúp tín hiệu có thể truyền dẫn đi xa hơn giới hạn này. Hình 3.1: Một loại Repeater Repeater là một thiết bị ở lớp 1 (Physical Layer) trong mô hình OSI. Repeater có vai trò khuếch đại tín hiệu vật lý ở đầu vào và cung cấp năng lượng cho tín hiệu ở đầu ra để có thể đến được những chặng đường tiếp theo trong mạng. Điện tín, điện thoại, truyền thông tin qua sợi quang… và các nhu cầu truyền tín hiệu đi xa đều cần sử dụng Repeater. Repeater không có xử lý tín hiệu mà nó chỉ loại bỏ các tín hiệu méo, nhiễu, khuếch đại tín hiệu đã bị suy hao (vì đã được phát với khoảng cách xa) và khôi phục lại tín hiệu ban đầu. Việc sử dụng Repeater đã làm tăng thêm chiều dài của mạng. Hình 3.2:Hoạt động của bộ tiếp sức trong mô hình OSI Hiện nay có hai loại Repeater đang được sử dụng rộng dãi là Repeater điện và Repeater điện quang. Hình 3.3:Hoạt động lớp Physical trong mô hình OSI * Repeater điện: Nối với đường dây điện ở cả hai phía của nó, nhận tín hiệu điện từ một phía và phát lại về phía kia. Khi một mạng sử dụng Repeater điện để nối các phần của mạng lại thì có thể làm tăng khoảng cách của mạng, nhưng khoảng cách đó luôn bị hạn chế bởi một khoảng cách tối đa do độ trễ của tín hiệu. Ví dụ với mạng sử dụng cáp đồng trục 50 thì khoảng cách tối đa là 2.8 km, khoảng cách đó không thể kéo thêm cho dù sử dụng thêm Repeater. * Repeater điện quang: Liên kết với một đầu cáp quang và một đầu là cáp điện, nó chuyển một tín hiệu điện từ cáp điện ra tín hiệu quang để phát trên cáp quang và ngược lại. Việc sử dụng Repeater điện quang cũng làm tăng thêm chiều dài của mạng. Việc sử dụng Repeater không thay đổi nội dung các tín hiện đi qua nên nó chỉ được dùng để nối hai mạng có cung giao thức truyền thông ( như hai mạng Ethernet hay hai mạng Token ring) nhưng không thể nối hai mạng có giao thức truyền thông khác nhau (như một mạng Ethernet và một mạng Token ring). Thêm nưa Repeater không làm thay đổi khối lượng vận chuyển trên mạng nên việc sử dụng không tính toán nó trên mạng lớn sẽ hạn chế hiệu năng của mạng. Khi lựa chọn sử dụng Repeater cần chú ý lựa chọn loại có tốc độ vận chuyển phù hợp với vận tốc của mạng. II./. BRIDGE (CẦU NỐI): Bridge là một thiết bị có xử lý dùng để nối hai mạng giống nhau hoặc khác nhau, nó có thể được dùng với các mngj có các giao thức khác nhau. Cầu nối hoạt động trên tầng liên kết dữ liệu nên không như bộ tiếp sức phải phát lại tất cả những gi nó nhận được thì cầu nối đọc được các gói tin của tầng liên kết dữ liệu trong mô hình OSI và xử lý chúng trước khi quýêt định có chuyển đi hay không. Khi nhận được các gói tin Bridge chọn lọc và chỉ chuyển những gói tin mà nó thấy cần thiết. Điều này làm cho Bridge trở nên có ích khi nối một vài mạng với nhau và cho phép nó hoạt động một cách mềm dẻo. Để thực hiện được điều này trong Bridge ở mỗi đầu kết nối có một bảng các địa chỉ các trạm được kết nối vào phía đó, khi hoạt động cầu nối xem xét mỗi gói tin nó nhận được bằng cách đọc địa chỉ của nơi gửi và nhận dựa trên bảng địa chỉ phía nhậ được gói tin nó quyết định gửi gói tin hay không và bổ xung bảng địa chỉ. Hình 3.4: Hai mô hình hoạt động của Bridge Khi đọc địa chỉ nơi gửi Bridge kiểm tra xem trong bảng địa chỉ của phần mạng nhận được gói tin có địa chỉ đó hay không, nếu không có thì Bridge tự dộng bổ xung bảng địa chỉ (cơ chế đó được gọi là tự học của cầu nối). Khi đọc địa chỉ nơi nhận Bridge kiểm tra xem trong bảng địa chỉ của phần mạng nhận được gói tin có địa chỉ đó hay không, nếu có thì Bridge sẽ cho răng đó là gói tin nội bộ thuộc phần mạng mà gói tin đén nên không chuyênr gói tin đó đi, nếu ngược lại thì Bridge mới chuyển sang phía bên kia. Ởi đây chúng ta thấy một trạm không cần thiết chuyển thông tin trên toàn mạng mà chỉ trên phần mạng có trạm nhận mà thôi. Hình 3.5: Hoạt động của Bridge trong mô hình OSI Để đánh giá một Bridge người ta đưa ra hai khái niệm: Lọc và vận chuyển. Quá trình xử lý mỗi gói tin được gọi là quá trình lọc trong đó tốc độ lọc thể hiện trực tiếp khả năng hoạt động của Bridge. Tốc độ vận chuyển được thể hiện số gói tin/giây trong đó thể hiện khả năng của Bridge chuyển các gói tin từ mạng này sang mạng khác. Hiện nay có hai loại Bridge đàng được sử dụng là Bridge vạn chuyển và Bridge biên dịch: - Bridge vận chuyển dùng để nối hai mạng cục bộ cùng sử dụng một giao thức truỳen thông của tầng liên kết dữ liệu, tuy nhiên mỗi mạng có thể sử dụng một loại dây nối khác nhau Bridge vận chuyển không có khả năng thay đổi cấu trúc các gói tin mà nó nhận được mà chỉ quân tâm tới việc xem xét và chuyển vận gói tin đó đi. - Bridge biên dịch dùng để nối hai mạng cục bộ có giao thức khác nhau nó có khả năng chuyển một gói tin thuộc mạng này sang gói tin thuộc mạng kia trước khi chuyển qua Ví dụ: Bridge biên dịch nối một mạng Ethernet và mạng Token ring. Khi đó cầu nối được thực hiện như một nút token ring trên mạng Token ring và một nút Ethernet trên mạng Ethernet. Cầu nối có thể chuyển một gói tin theo chuẩn đang sủ dụng tren mạng Ethernet sang chuẩn đang sủ dụng trên mạng Token ring. Tuy nhiên chú ý ở đây cầu nối không thể chia một gói tin ra làm nhiều gói tin cho nên phải hạn chế kích thước tối đa các gói tin phù hợp với cả hai mạng. Ví dụ như kích thước tối đa của gói tin trên mạng Ethernet là 1500 bytes và trên mạng Token ring là 6000 bytes do vậy nếu một trạm trên mạng Token ring gửi một gói tin cho trạm trên mạng Ethernet với kích thước lớn hơn 1500 bytes thì đi qua cầu nối số lượng bytes dư sẽ bị chặt bỏ. Bridge Ethernet Token ring Hình 3.6: Bridge biên dịch Người ta sử dụng Bridge trong các trường hợp sau: * Mở rộng mạng hiện tại khi đã đạt tới khoảng cách tối đa do Bridge sau khi xử lý gói tin đã phát lai gói tin trên phần mạng còn lại nên tín hiệu tốt hơn bộ tiếp sức. * Giảm bớt tắc nghẽn mạng khi có quá nhiều trạm bằng cách sử dụng Bridge, khi đó chúng ta chia mạng ra thành nhiều phần bằng các Bridge, các gói tin trong nội bộ từng phần mạng sẽ không được phép qua phần mạng khác. * Để nối các mạng có giao thức khác nhau: Một vài Bridge còn có khả năng lựa chọn đối tượng vận chuyển. Nó có thể chỉ chuyển vận những gói tin của những địa chỉ xác định. Ví dụ: cho phép gói tin của máy A, B qua Bridge 1, gói tin của máy C, D qua Bridge 2. Hình 3.7: Liên kết mạng với 2 Bridge Bridge 1 Ethernet Token ring Bridge 2 Một số Bridge được chế tạo thành một bộ riêng biệt, chỉ cần nối dây và bật. Các Bridge khác chế tạo như card chuyên dùng cắm vào máy tính, khi đó trên máy sẽ sử dụng phần mềm Bridge. Việc kết hợp phần mềm với phần cứng cho phép uyển chuyển hơn trong hoạt động của Bridge. III./. ROUTER : Router là một thiết bị hoạt động trên tầng mạng, nó có thể tìm được đường đi tốt nhất cho các gói tin qua nhiều kết nối để đi từ trạm gửi thuộc mạng đầu đến trạm nhận thuộc mạng cuối. Router có thể được sử dụng trong việc nối nhiều mạng với nhau và cho phép các gói tin có thể đi theo nhiều hướng khác nhau để tới đích. Hình 3.8: Một dạng Router Khác với Bridge hoạt động trên tầng liên kết dữ liệu nên Bridge phải xử lý mọi gói thông tin trên đường truyền thì Router có địa chỉ riêng biệt và nó chỉ tiếp nhận và xử lý các gói tin gửi đến nó mà thôi. Khi một trạm muốn gửi gói tin qua Router thì nó phải gửi gói tin với địa chỉ trực tiếp của Router ( trong gói tin đó phải chứa các thông tin khác về đích đến) và gói tin đên Router thì Router mới xử lý và gửi tiếp . Khi xử lý một gói tin Router phải tìm được đường đi của gói tin qua mạng. Để làm được điều đó Router phải tìm được đường đi tốt nhất trong mạng dựa trên các thông tin nó có về mạng, thông thường trên mỗi Router có một bảng chỉ đường ( Router table). Dựa trên dữ liệu về Router gần đó và các mạng trong liên mạng, Router tính được bảng chỉ đường (Router table) tối ưu dựa trên một thuật toán xác định trước. Người ta phân chia Router thành hai loại Router có phụ thuộc giao thức ( The protocol dependent routers) và Router không phụ thuộc vào giao thức (The protocol independent routers) dựa vào phương thức xử lý các gói tin khi qua Router. Router Router Network 1 Network2 Router Router Network 3 Network4 Network 5 Hình 3.9: Hoạt động của Router * Router phụ thuộc vào giao thức: Chỉ thực hiện việc tìm đường và truyền gói tin từ mạng này sang mạng khác chứ không chuyển đổi phương cách đóng gói của gói tin cho nên cả hai mạng phải dùng chung một giao thức truyền thông. * Router không phụ thuộc vào giao thức: Có thể liên kết các mạng dùng giao thức truyền thông khác nhau và có thể chuyển đổi gói tin của giao thức này sang gói tin cuae giao thức kia, Router cũng chấp nhận kích thước các gói tin khác nhau (Router có thể chia nhỏ một gói tin lớn thành nhiều gói tin nhỏ trước khi truyền trên mạng). Hình 3.9: Hoạt động của Router trong mô hình OSI Để ngăn chặn việc mất mát số liệu Router còn nhận biết được đường nào có thể vận chuyển và ngừng vận chuyển khi đường bị tắc. Các lý do chúng ta sử dụng Router: * Router có các phần mềm lọc ưu việc hơn là Bridge do các gói tin muốn đi qua Router cần phải gửi trực tiếp đến nó nên giảm được số lượng gói tin qua nó. Router thường được sử dụng trong khi nối các mạng thông qua các đường dây thuê bao đắt tiền do nó không truyền dữ liệu lên đường truyền. * Router có thể dùng trong một liên mạng có nhiều vùng, mỗi vùng cí giao thức riêng biệt. * Router có thể xác định được đương đi an toàn và tốt nhất trong mạng nên đọ an toàn của thông tin được đảm bảo. * Trong một mạng phức hợp khi các gói tin luân chuyển các đường có thể gây nên tình trạng tắc nghẽn của mạng thì các Router có thể được cài đặt các phương thức nhằm tránh được tắc nghẽn. Các phương thức hoạt động của Router: Đó là phương thức mà một Router có thể nối với các Router káhc để qua đó chia sẻ thông tin về mạng hiện có. Các chương trình chạy trên Router luôn xây dựng bảng chỉ đường qua việc trao đổi các thông tin với các Router khác: * Phương pháp vecto khoảng cách: Mỗi Router luôn luôn truyền đi thông tin vể bảng chỉ đường của mình trên mạng, thông qua đó các Router khác sẽ cập nhật lên bảng trỉ đương của mình. * Phương pháp trạng thái tĩnh: Router chỉ truyền các thông báo khi có phát hiện có sự thay đổi trong mạng và chỉ khi đó các Router khác cập nhật lại bảng chỉ đường, thông tin truyền đi khi đó thường là thông tin về đường truyền. Một số giao thức hoạt động chính của Router: - RIP (Routing Information Protocol) được phát triển bởi Xerox Network system và sử dụng SPX/IPX và TCP/IP. RIP hoạt động theo phương thức vecto khoảng cách. - NLSP (Netware Link Service Protocol) được phát triển bởi Novell dùng để thay thế RIP hoạt động theo phương thức vecto khoảng cách, mỗi Router được biết cấu trúc của mạng và việc truyền các bảng chỉ đường giảm đi. - OSPF ( Open Shortest Path First) là một phần của TCP/IP với phương thức trạng thái tĩnh, trong dó có xét tới ưu tiên , giá đương truyền, mật đọ truyền thông,.......... IV./. GATEWAY (CỔNG NỐI): Gateway dùng để kết nối các mạng không thuần nhất chẳng hạn như các mạng cục bộ và các mạng máy tính lớn (Mainframe), do các mạng hoàn toàn không thuần nhất nên việc chuyển đổi thực hiện trên cả 7 tầng của hệ thống OSI. Thường được sử dụng nối các mạng LAN vào máy tính lớn. Gateway có các giao thức xác định trước thường là nhiều giao thức, một Gateway đa giao thức thường được chế tạo như các Card có chứa các bộ xử lý riêng và đặt trên các máy tính hoặc thiết bị chuyên biệt. Hình 3.10: Hoạt động của Gateway trong mô hình OSI Hoạt động của Gateway thông thường phức tạp hơn la Router nên thông suất của nó thường chậm hon và thường không dùng nối mạng LAN – WAN. Hình 3.11: Một dạng Gateway Gateway cho phép nối ghép hai loại giao thức với nhau. Ví dụ: mạng của bạn sử dụng giao thức IP và mạng của ai đó sử dụng giao thức IPX, Novell, DECnet, SNA... hoặc một giao thức nào đó thì Gateway sẽ chuyển đổi từ loại giao thức này sang loại khác. Qua Gateway, các máy tính trong các mạng sử dụng các giao thức khác nhau có thể dễ dàng "nói chuyện" được với nhau. Gateway không chỉ phân biệt các giao thức mà còn còn có thể phân biệt ứng dụng như cách bạn chuyển thư điện tử từ mạng này sang mạng khác, chuyển đổi một phiên làm việc từ xa... V./. HUB (BỘ TẬP TRUNG): Hub được coi là một Repeater có nhiều cổng. Một Hub có từ 4 đến 24 cổng và có thể còn nhiều hơn. Trong phần lớn các trường hợp, Hub được sử dụng trong các mạng 10BASE-T hay 100BASE-T.Hub thường được dùng để nối mạng, thông qua những đầu cắm cuả nó người ta liên kết với máy tính dưới dạng hình sao. Với một Hub, khi thông tin vào từ một cổng và sẽ được đưa đến tất cả các cổng khác. Hình 3.11: Một dạng HUB Người ta phân biệt các Hub thành 3 loại như sau: * Hub bị động (Passive Hub): Hub bị động không chứa các linh kiện điện tử vã cũng không xử lý các tín hiệu dữ liệu, nó có chức năng duy nhất là tổ hợp các tín hiệu tư một số đoạn mạng. Khoảng cách giữa một máy tính và Hub không thể lớn hơn một nửa khoảng cách tối đa cho phép giữa 2 máy tính trên mạng (Ví dụ khoảng cách tối đa cho phép 2 máy tính của mạng là 200m thì khoảng cách tối đa giữa một máy tính và Hub là 100m ). Các mạng ARCnet thường dùng Hub bị động. * Hub chủ dộng (Active Hub): Hub chủ động có các linh kiện điện tử có thể khuyếch đại và xử lý các tín hiệu điện tử truyền giữa các thiết bị của mạng. Quá trình xử lý tín hiệu được gọi là tái sinh tín hiệu, nó làm cho tín hiệu trở nên tốt hơn, ít nhạy cảm với lỗi do vậy khoảng cách giữa các thiết bị có thể tăng lên. Tuy nhiên những ưu điểm đó cúng kéo theo giá thành của Hub chủ động cao hơn nhiều so với Hub bị động. Các mạng Token ring có xu hướng dùn Hub chủ động. * Hub thông minh (Intelligent Hub): Cũng là Hub chủ động nhưng có thêm các chức năng mới so với loại trước, nó có thể có bộ vi xử lý của mình và bộ nhớ mà qua đó nó không chỉ cho phép điều khiển hoạt động thông qua các chương trình quản trị mạng mà nó có thể hoạt độngk như bộ tìm đường hay một cầu nối. Nó có thể cho phép tìm đường cho gói tin rất nhanh trên các cổng của nó, thay vi phát lại gói tin trên mọi cổng thì nó có thể chuyển mạch để phát trên một cổng có thể nối tới trạm đích. VI./. SWITCH: Switch đôi khi được mô tả như là một Bridge có nhiều cổng. Trong khi một Bridge chỉ có 2 cổng để liên kết được 2 segment mạng với nhau, thì Switch lại có khả năng kết nối được nhiều segment lại với nhau tuỳ thuộc vào số cổng (port) trên Switch. Cũng giống như Bridge, Switch cũng "học" thông tin của mạng thông qua các gói tin (packet) mà nó nhận được từ các máy trong mạng. Switch sử dụng các thông tin này để xây dựng lên bảng Switch,  bảng này cung cấp thông tin giúp các gói thông tin đến đúng địa chỉ. Hình 3.12: Một dạng Switch Ngày nay, trong các giao tiếp dữ liệu, Switch thường có 2 chức năng chính là chuyển các khung dữ liệu từ nguồn đến đích, và xây dựng các bảng Switch. Switch hoạt động ở tốc độ cao hơn nhiều so với Repeater và có thể cung cấp nhiều chức năng hơn như khả năng tạo mạng LAN ảo (VLAN). CHƯƠNG IV THIẾT KẾ HỆ THỐNG MẠNG I./. THIẾT KẾ HỆ THỐNG MẠNG LAN LOGIC: Hệ thống mạng LAN sẽ phân chia logic ra thành các khối khác nhau (Block). Mỗi khối sẽ được chia nhỏ hơn theo các phân đoạn khác nhau (segment). Mục đích của việc phân chia này nhằm: * Tối ưu hoá hiệu năng của hệ thống: Việc truyền dữ liệu giữa nội bộ một khối mạng không làm ảnh hưởng nhiều đến băng thông của khối mạng khác Ví dụ như khi một nhóm người sử dữ liệu hoặc copy dữ liệu lẫn nhau thì không ảnh hưởng đến nhóm người sử dụng khác truy xuất thông tin cở sở dữ liệu tại máy chủ hoặc nhóm người đang sử dụng Internet. * Tăng cường an ninh cho hệ thống: Bằng việc phân chia mạng thành các khối logic khác nhau. Nhà quản trị có thể gán cho mỗi khối mạng một mức bảo mật nhất định và nhờ vậy ngăn ngừa khả năng khai thác những lỗ hổng an ninh trên mạng. Cụ thể như khối dành cho máy chủ sẽ được đặt mức bảo mật cao nhất và được kiểm soát chặt chẽ. * Quản trị và xử lý dễ dàng: Nhà quản trị dễ dàng hơn trong việc xác định nút mạng đang gặp sự cố nhờ khoanh vùng theo đoan mạng logic của khối mạng đó. việc xử lý lỗi nhờ đó sẽ nhanh chóng hơn và không làm ảnh hưởng đến những khối mạng khác. * Khả năng dự phòng và chia tải cao giữa các thiết bị: Giúp làm tăng giải thông cho mạng và nâng cao độ an toàn. * Sử dụng kiến trúc Module ghép nối các thành phần trong mạng để viwcj mở rộng sẽ dễ dàng hơn cả về quy mô lân tính phức tạp của hệ thống. Hình 4.1: mô hình các lớp mạng Như trên ta thấy toàn hệ thống được chia ra thành các khối: Máy chủ / Người sử dụng, Internet, mạng riêng (WAN), Dịch vụ dùng chung, Quản trị mạng. Các khối này được liên kết với nhau bởi thiết bị tại Core Layer. II./. THIẾT KẾ HỆ THỐNG CABLING: Hệ thống cáp được thiết kế có cấu trúc theo tiêu chuẩn quốc tế (TIA/EIA - 568 B), tốc độ cao, chống nhiễu và đảm bảo không bị lạc hậu trong vài chục năm. * Hệ thống cáp Backbone dùng cáp quang đa mốt micron: có giải thông cao, chống nhiễu và chống sét. * Toàn bộ hệ thống cáp đến end user dùng cáp xoắn UTP Cat6, có giai thông đáp ứng tôc độ Gbps. * Hệ thống cáp kết nối Server Farm, Router, Access Server có thể dùng cáp xoắn UTP Cat6 hoặc cáp quang đa mốt. * Hệ thống cáp, Outlet, Patch Panel, Rack,....... được thiết kế đáp ứng sử dụng công nghệ VoIP và Video,... * Hệ thống cáp phảp đi trong hệ thống Trunking System để đảm bảo thuận lợi cho việc nâng cấp, thay thế hay bảo dương. Hệ thống Trunking System để đi cáp sẽ bâo gồm ba phần chính: Vertical Trunking System: Hệ thống mạng kỹ thuật theo chiều đứng này hạy dọc theo chiều đứng của toà nhà (Thường được đặt trong buồng kỹ thuật), đi từ tầng hầm lên đến tầng trên cùng. Horizontal Trunking System: Hệ thống mạng kỹ thuật theo chiều ngang này sẽ được chạy trên trần giả của từng tầng ( cách trần khoảng 20 – 25 cm). Local Cable System: Hệ thống ống kỹ thuật sẽ được đặt trong tường, dọc từ trần xuống đến sàn của từng phòng để dẫn cáp từ Horizontal Trunking System đên Outlet (End User). 2.1./ CÁC PHƯƠNG ÁN THIẾT KẾ: 2.1.1. Đặt thiết bị và đi dây tập trung: Với phương an đặt thiết bị mạng tập trung và đi dây tới các tầng, hệ thống sẽ giống như sau: Hình 4.1: Mô hình đi dây mạng tập trung Cáp UTP 4-pair Hộp đấu nối Hộp đấu nối Hộp đấu nối Hộp đấu nối Hộp đấu nối Cáp 25 -pair Tủ phối dây tại tầng 8 Core/Access Switch Server Phương án đặt thiết bị tập trung là phương án tập trung tất cả các thiết bị mạng, cáp mạng về tủ mạng tại phòng an ninh và quản trị mạng với ưu điểm là rễ quản lý thiết bị tuy nhiên hơi cồng kềnh và tốc độ truyền dữ liệu không cao. * Cáp sử dụng là cáp đồng trục nên khoảng cách tối đa cho phép giữa các điểm kết nối quy định cho loại cáp này chỉ là 100m, khi vượt quá 100m thì tín hiệu sẽ suy yếu và việc kết nối không thực hiện được. * Không có trục Backbone: Theo quy định của những hệ thống mạng phân lớp chỉ giữa lớp Core và lớp Access của mạng phải tục kết nối Backbone tôc độ cao ( tối thiểu 1Gbps và nâng lên 10 Gbps).Với loại cáo 25 – pair như hình vẽ trên thì tốc đội kết nối không lên được 1 Gbps ( do cổng dành cho cá đồng là Autosensing 10/100/1000 nên khi sử dụng cổng tốc độ 1000Mbps thì tốc độ thực tế sẽ dao động trong mức 10Mbps đến 1000Mbps). * Không có dự phòng và ghép kết nối: Khi cáp điện nối gặp sự cố thì hệ thống sẽ không có đường để thay thế. Việc ghép nối để chia tải cũng không thực hiện được do thiếu kết nối Backbone. * Khó khăn hơn khi triển khai và mở rộng: Cáp 25 – pair là loại cáp có thiết diện tương đối lớn và mỗi cáp 25 – pair chỉ phục vụ được cho 6 trạm làm việc. Đối với một tầng có vài chục đến vài chăm nút mạng thì sẽ cần nhiều đầu nối cáp 25 – pair và như vậy trục Backbone sẽ phải có kích thước lớn thì mới chứa được ngần ấy đầu cáp. Và càng về đến tầng 2, số lượng đầu cáp càng nhiều do vậy rất kho khăn khi quản lý và kéo cáp. Mỗi khi muốn mở rộng mạng thêm một số nút mạng cho mỗi tầng thì phải kéo thêm đầu cáp và như vậy là không khả thi. 2.1.2. Đặt thiết bị phân tán tại các tầng: Đề xuất thiết kế theo mô hình đặt thiết bị phân tán tại các tầng. Theo mô hình này mỗi tầng sẽ có một không gian dành riêng cho các thiết bị mạng (có thể đặt tại phòng kỹ thuật tại mỗi tầng). Kết nối từ trung tâm dữ liệu tại tầng 8 tới các thiết bị này sẽ sử dụng cáp quang loại Multimode 50 micron có khoảng cách tối đa lên được 1 km và tốc độ tối thiểu là 1 Gbps. Từ các thiết bị phân tán này sẽ kết nối tới trạm làm việc đầu cuối bằng cáp UTP 4 – pair Cat6. Từ các thiết bị phân tán này sẽ kết nối tới máy trạm làm việc đầu cuối bằng cáp UTP 4 – pair Cat6. Mô hình kết nối logic như sau: Server Core Switch Cáp quang Multimode Access Switch Access Switch Access Switch Access Switch Access Switch Cáp UTP 4 – pair (Cat6) Hình 4.1: Mô hình đi dây mạng phân tán * Sử dụng trục Backbone cáp quang: Tốc độ cao từ 1 Gbps đến 10 Gbps, không bị nhiễu, khoảng cách kết nối lớn và điểm quan trọng là có kết nối dự phòng. * Loại cáp từ Access Switch tới người sử dụng đầu cuối: Sử dụng loại cáp Cat6 (Catgory 6). Loại cáp này có những lớp vỏ bọc chống nhiễu đặc biệt và được thiết kế dành cho tốc độ truy nhập cao tới 1Gbps (1000 Mbps). Loại cáp Cat5 như thiết kế ban đầu không đạt được tốc đội 1000Mbps và chỉ dừng lại ở mức 1000Mbps. * Quản lý dế dàng: Mặc dù thiết bị đặt phân tán tại các tầng nhưng vấn có thể quản lý tập trung dễ dàng từ trạm làm việc của nhà quản trị. Điều này là do những phần mềm truy quản trị mạng hiện nay được thiết kế rất thuân lợi cho nhà quản trị. Từ những màn hình làm việc của mình tại cơ quan hay thậm chí tại nhà riêng (dùng remote access), nhà quản trị có thể thay đổi cấu hình thiết bị, theo dõi hoạt động trên mạng, kiểm tra tình trang hoạt động của mạng và xem các báo cáo trực tiếp về những lỗi kết nối trên hệ thống. CHƯƠNG V AN NINH MẠNG I./. TẦN QUAN TRỌNG CỦA AN NINH MẠNG: Muốn bảo vệ một mạng khỏi những kẻ xâm nhập, ta hay tìm hiểu những nguyên nhân dẫn đến mất an toàn mạng máy tính: * Sử dụng chung: Chính vì sự chia sẻ tài nguyên và các khối lượng công việc trên mạng đã làm tăng số người sủ dụng có khả năng truy cập tới các hệ thống được nối mạng, việc bảo vệ các tài nguyên đó tất nhiên sẽ phức tạp hơn nhiều so với trường hợp của máy tính đơn lẻ, một người sử dụng. * Sự phức tạp của hệ thống: Có thể có nhiều hệ điều hành khác nhau trên mạng, mỗi hệ điều hành lại là một phần mềm rất tinh vi và trên đó lại cài đặt rất nhiều phần mềm khác nhau. Do đó hệ đièu hành cho mạng sẽ phức tạp hơn rất nhiều so với hệ điều hành cho từng hệ thống xử lý đơn lẻ. Vì vậy khó mà tin cậy được vào sự an toàn của một mạng nếu không có một hệ điều hành mạng lớn, được thiết kế đặc biệt cho vấn đề an ninh. * Có qua nhiều mục tiêu tân công: Khi một tệp (file) được lưu trữ trong mọt máy chủ (host) ở xa, người sử dụng nó phải qua rất nhiều host khác mới có thể sử dụng được file đó. Mặc dù người quản trị của một host có thể thi hành các chính sách an ninh thật chặt chẽ nhưng nguời đó lại không thể làm gì với các host khác trong mạng. Người sử dụng phaỉ phụ thuộc vào các cơ chế điều khiển truy cập của tất cả các hệ thống này. * Sự lạc danh: Một kể tấn công có thể tác động vào một hệ thông từ cách xa hàng ngàn Km mà có thẻ không bao giờ phải tiếp xúc với bất cứ người quản trị hay người sử dụng của hệ thống đó. Sự tân công có thể truyền qua nhiều host khác nhau nhăm nguỵ trang nguồn gốc của nó. * Không biết đường dẫn: Có thể có nhiều đường dẫn từ host này sang host khác và người sủ dụng mạng hầu như không biết và không điều khiển được sự dẫn đường cho các thông điệp của họ. Như trên ta thấy, an toàn mạng máy tính có thể bị đe doạ từ nhiều góc độ và nguyên nhân khác nhau. Đe doạ an ninh có thể xuất phát từ bên ngoài mạng nội bộ hoặc cũng có thể xuất phát từ ngay bên trong tổ chức. Do đó, việc đảm bảo an toàn cho mạng máy tính cũng cần phải có nhiều giải pháp cụ thể khác nhau. Tuy nhiên, tổng quát nhất có ba giải pháp: Giải pháp về phần cứng, Giải pháp về phần mềm và giải pháp về tổ chức. II./. CÁC CƠ CHẾ CHÔNG XÂM NHẬP TRÁI PHÉP: Bảo mật bằng Firewall là một biện pháp rất hiệu quả cho hệ thống mạng nhưng chưa thể khăng định răng hêj thống mạng đã an toàn tuyệt đối. Về nguyên tắc Firewall chỉ kiểm sóat truy cập khi kết nối đi qua Firewall nhưng nếu trong trường hợp tân công không đi qua Firewall thì tân công đó không thể bị chặn bởi Firewall. Trong trường hợp này cũng hay xảy ra khi tân công trong nội bộ một phần đoạn mạng. Cũng có những tình huống mà Hacker phát hiện ra những điểm yếu hay lỗ hổng bảo mật trên Firewall và các máy chủ công cộng để tìm cách xâm nhập vào hệ thống mạng và nắm quyền điều khiển máy chủ thì cúng cần phải có biện pháp để ngăn chặn sự xâm nhập đó. Hình 5.1: Cơ chế chống xâm nhập trái phép Access Deny Untrusted Network Hacker Hacker Hình vẽ trên mô tả trường hợp nếu Hacker tấn công từ bên ngoài thì sẽ bị chặn bởi Firewall. Nhưng nếu Hacker lại thuộc cùng phân đoạn mạng với nạn nhân (Hoậc Hacker vượt qua Firewall để xâm nhập vào phân đoạn mạng này) thì có thể tự do tân công vào máy tính nạn nhân. Trên thực tế, phần lớn những trường hợp tân công mà được thực hiện thành công thì có xuất phát ngay từ bên trong hệ thống mạng và kẻ tân công lại chính là người dùng bên trong mạng. Để khắc phục tình trạng này người ta sử dụng giải pháp IDS (Intrusion Detection System) để phát hiện và ngăn chặn xâm nhập trái phép tại từng máy tính hau trên phân đoạn mạng. Firewall là một thiết bị hoạt động tương đối cứng nhắc, làm việc dựa trên những luật người ta đặt cho nó trong khi đó IDS sẽ hoạt động thông minh và mềm deo hơn nhiều. III./ FIREWALL: Internet cho phép chúng ta truy cập tới mọi nơi trên thế giới thông qua một số dịch vụ. Ngồi trước máy tính của mình bạn có thể biết được thông tin trên toàn cầu, nhưng cũng chính vì thế mà hệ thống máy tính của bạn có thể bị xâm nhập vào bất kỳ lúc nào mà bạn không hề được biết trước. Do vậy việc bảo vệ hệ thống là một vấn đề chúng ta đáng phải quan tâm. Người ta đã đưa ra khái niệm FireWall để giải quyết vấn đề này. Hình 5.2: Một dạng hệ thống Firewall Hình 5.2: một dạng Firewall FireWall là Thuật ngữ FireWall có nguồn gốc từ một kỹ thuật thiết kế trong xây dựng để ngăn chặn, hạn chế hoả hoạn. Trong Công nghệ mạng thông tin, FireWall là một kỹ thuật được tích hợp vào hệ thống mạng để chống lại sự truy cập trái phép nhằm bảo vệ các nguồn thông tin nội bộ cũng như hạn chế sự xâm nhập vào hệ thông của một số thông tin khác không mong muốn. Internet FireWall là một tập hợp thiết bị (bao gồm phần cứng và phần mềm) giữa mạng của một tổ chức, một công ty, hay một quốc gia (Intranet) và Internet: ( INTRANET - FIREWALL - INTERNET ) Trong một số trường hợp, Firewall có thể được thiết lập ở trong cùng một mạng nội bộ và cô lập các miền an toàn. Ví dụ như mô hình dưới đây thể hiện một mạng Firewall để ngăn cách phòng máy, người sử dụng và Internet. Hình 5.3: Mô hình firewall ngăn cách Intranet và Internet Các loại Firewall: Firewall được chia làm 2 loại, gồm Firewall cứng và Firewall mềm: Hình 5.4: Mô hình mạng sử dụng Firewall cứng * Firewall cứng: Là những firewall được tích hợp trên Router. + Đặc điểm của Firewall cứng: Không được linh hoạt như Firewall mềm: (Không thể thêm chức năng, thêm quy tắc như firewall mềm) Firewall cứng hoạt động ở tầng thấp hơn Firewall mềm (Tầng Network và tầng Transport) Firewall cứng không thể kiểm tra được nột dung của gói tin. + Ví dụ Firewall cứng: NAT (Network Address Translate). Hình 5.5: Mô hình mạng sử dụng Firewall mềm * Firewall mềm: Là những Firewall được cài đặt trên Server. + Đặc điểm của Firewall mềm: Tính linh hoạt cao: Có thể thêm, bớt các quy tắc, các chức năng. Firewall mềm hoạt động ở tầng cao hơn Firewall cứng (tầng ứng dụng) Firewal mềm có thể kiểm tra được nội dung của gói tin (thông qua các từ khóa). + Ví dụ về Firewall mềm: Zone Alarm, Norton Firewall… Chức năng chính của Firewall: Chức năng chính của Firewall là kiểm soát luồng thông tin từ giữa Intranet và Internet. Thiết lập cơ chế điều khiển dòng thông tin giữa mạng bên trong (Intranet) và mạng Internet. Cụ thể là: - Cho phép hoặc cấm những dịch vụ truy nhập ra ngoài (từ Intranet ra Internet). - Cho phép hoặc cấm những dịch vụ phép truy nhập vào trong (từ Internet vào Intranet). - Theo dõi luồng dữ liệu mạng giữa Internet và Intranet. - Kiểm soát địa chỉ truy nhập, cấm địa chỉ truy nhập. - Kiểm soát người sử dụng và việc truy nhập của người sử dụng. - Kiểm soát nội dung thông tin thông tin lưu chuyển trên mạng. Cấu trúc của FireWall: * FireWall bao gồm : Một hoặc nhiều hệ thống máy chủ kết nối với các bộ định tuyến (router) hoặc có chức năng router. Các phần mềm quản lí an ninh chạy trên hệ thống máy chủ. Thông thường là các hệ quản trị xác thực (Authentication), cấp quyền (Authorization) và kế toán (Accounting). * Các thành phần của FireWall: Một FireWall bao gồm một hay nhiều thành phần sau : + Bộ lọc packet (packet- filtering router). + Cổng ứng dụng (Application-level gateway hay proxy server). + Cổng mạch (Circuite level gateway). Hình 5.7: Phần tử lọc gói tin TCP/IP Bộ lọc paket (Paket filtering router): * Nguyên lý hoạt động Khi nói đến việc lưu thông dữ liệu giữa các mạng với nhau thông qua Firewall thì điều đó có nghĩa rằng Firewall hoạt động chặt chẽ với giao thức TCI/IP. Vì giao thức này làm việc theo thuật toán chia nhỏ các dữ liệu nhận được từ các ứng dụng trên mạng, hay nói chính xác hơn là các dịch vụ chạy trên các giao thức (Telnet, SMTP, DNS, SMNP, NFS...) thành các gói dữ liệu (data pakets) rồi gán cho các paket này những địa chỉ để có thể nhận dạng, tái lập lại ở đích cần gửi đến, do đó các loại Firewall cũng liên quan rất nhiều đến các packet và những con số địa chỉ của chúng. Hình 5.8: Mô hình OSI Bộ lọc packet cho phép hay từ chối mỗi packet mà nó nhận được. Nó kiểm tra toàn bộ đoạn dữ liệu để quyết định xem đoạn dữ liệu đó có thoả mãn một trong số các luật lệ của lọc packet hay không. Các luật lệ lọc packet này là dựa trên các thông tin ở đầu mỗi packet (packet header), dùng để cho phép truyền các packet đó ở trên mạng. Đó là: - Địa chỉ IP nơi xuất phát ( IP Source address) - Địa chỉ IP nơi nhận (IP Destination address) - Những thủ tục truyền tin (TCP, UDP, ICMP, IP tunnel) - Cổng TCP/UDP nơi xuất phát (TCP/UDP source port) - Cổng TCP/UDP nơi nhận (TCP/UDP destination port) - Dạng thông báo ICMP ( ICMP message type) - Giao diện packet đến ( incomming interface of packet) - Giao diện packet đi ( outcomming interface of packet) Nếu luật lệ lọc packet được thoả mãn thì packet được chuyển qua firewall. Nếu không packet sẽ bị bỏ đi. Nhờ vậy mà Firewall có thể ngăn cản được các kết nối vào các máy chủ hoặc mạng nào đó được xác định, hoặc khoá việc truy cập vào hệ thống mạng nội bộ từ những địa chỉ không cho phép. Hơn nữa, việc kiểm soát các cổng làm cho Firewall có khả năng chỉ cho phép một số loại kết nối nhất định vào các loại máy chủ nào đó, hoặc chỉ có những dịch vụ nào đó (Telnet, SMTP, FTP...) được phép mới chạy được trên hệ thống mạng cục bộ. * Ưu điểm - Đa số các hệ thống firewall đều sử dụng bộ lọc packet. Một trong những ưu điểm của phương pháp dùng bộ lọc packet là chi phí thấp vì cơ chế lọc packet đã được bao gồm trong mỗi phần mềm router. - Ngoài ra, bộ lọc packet là trong suốt đối với người sử dụng và các ứng dụng, vì vậy nó không yêu cầu sự huấn luyện đặc biệt nào cả. * Hạn chế - Việc định nghĩa các chế độlọc package là một việc khá phức tạp; đòi hỏi người quản trị mạng cần có hiểu biết chi tiết vể các dịch vụ Internet, các dạng packet header, và các giá trị cụ thể có thể nhận trên mỗi trường. Khi đòi hỏi vể sự lọc càng lớn, các luật lệ vể lọc càng trở nên dài và phức tạp, rất khó để quản lý và điều khiển. - Do làm việc dựa trên header của các packet, rõ ràng là bộ lọc packet không kiểm soát được nôi dung thông tin của packet. Các packet chuyển qua vẫn có thể mang theo những hành động với ý đồ ăn cắp thông tin hay phá hoại của kẻ xấu. Cổng ứng dụng (application-level getway): * Nguyên lý hoạt động: Đây là một loại Firewall được thiết kế để tăng cường chức năng kiểm soát các loại dịch vụ, giao thức được cho phép truy cập vào hệ thống mạng. Cơ chế hoạt động của nó dựa trên cách thức gọi là Proxy service. Proxy service là các bộ code đặc biệt cài đặt trên gateway cho từng ứng dụng. Nếu người quản trị mạng không cài đặt proxy code cho một ứng dụng nào đó, dịch vụ tương ứng sẽ không được cung cấp và do đó không thể chuyển thông tin qua firewall. Ngoài ra, proxy code có thể được định cấu hình để hỗ trợ chỉ một số đặc điểm trong ứng dụng mà ngưòi quản trị mạng cho là chấp nhận được trong khi từ chối những đặc điểm khác. Một cổng ứng dụng thường được coi như là một pháo đài (bastion host), bởi vì nó được thiết kế đặt biệt để chống lại sự tấn công từ bên ngoài. Những biện pháp đảm bảo an ninh của một bastion host là: - Bastion host luôn chạy các version an toàn (secure version) của các phần mềm hệ thống (Operating system). Các version an toàn này được thiết kế chuyên cho mục đích chống lại sự tấn công vào Operating System, cũng như là đảm bảo sự tích hợp firewall. - Chỉ những dịch vụ mà người quản trị mạng cho là cần thiết mới được cài đặt trên bastion host, đơn giản chỉ vì nếu một dịch vụ không được cài đặt, nó không thể bị tấn công. Thông thường, chỉ một số giới hạn các ứng dụng cho các dịch vụ Telnet, DNS, FTP, SMTP và xác thực user là được cài đặt trên bastion host. - Bastion host có thể yêu cầu nhiều mức độ xác thực khác nhau, ví dụ như user password hay smart card. - Mỗi proxy được đặt cấu hình để cho phép truy nhập chỉ một sồ các máy chủ nhất định. Điều này có nghĩa rằng bộ lệnh và đặc điểm thiết lập cho mỗi proxy chỉ đúng với một số máy chủ trên toàn hệ thống. - Mỗi proxy duy trì một quyển nhật ký ghi chép lại toàn bộ chi tiết của giao thông qua nó, mỗi sự kết nối, khoảng thời gian kết nối. Nhật ký này rất có ích trong việc tìm theo dấu vết hay ngăn chặn kẻ phá hoại. - Mỗi proxy đều độc lập với các proxies khác trên bastion host. Điều này cho phép dễ dàng quá trình cài đặt một proxy mới, hay tháo gỡ môt proxy đang có vấn để. * Ưu điểm: - Cho phép người quản trị mạng hoàn toàn điều khiển được từng dịch vụ trên mạng, bởi vì ứng dụng proxy hạn chế bộ lệnh và quyết định những máy chủ nào có thể truy nhập được bởi các dịch vụ. - Cho phép người quản trị mạng hoàn toàn điều khiển được những dịch vụ nào cho phép, bởi vì sự vắng mặt của các proxy cho các dịch vụ tương ứng có nghĩa là các dịch vụ ấy bị khoá. - Cổng ứng dụng cho phép kiểm tra độ xác thực rất tốt, và nó có nhật ký ghi chép lại thông tin về truy nhập hệ thống. - Luật lệ lọc filltering cho cổng ứng dụng là dễ dàng cấu hình và kiểm tra hơn so với bộ lọc packet. * Hạn chế: Yêu cầu các users thay đổi thao tác, hoặc thay đổi phần mềm đã cài đặt trên máy client cho truy nhập vào các dịch vụ proxy. Chẳng hạn, Telnet truy nhập qua cổng ứng dụng đòi hỏi hai bước để nối với máy chủ chứ không phải là một bước thôi. Tuy nhiên, cũng đã có một số phần mềm client cho phép ứng dụng trên cổng ứng dụng là trong suốt, bằng cách cho phép user chỉ ra máy đích chứ không phải cổng ứng dụng trên lệnh Telnet. Cổng vòng (circuit-Level Gateway): Cổng vòng là một chức năng đặc biệt có thể thực hiện được bởi một cổng ứng dụng. Cổng vòng đơn giản chỉ chuyển tiếp (relay) các kết nối TCP mà không thực hiện bất kỳ một hành động xử lý hay lọc packet nào. Cổng vòng đơn giản chuyển tiếp kết nối telnet qua firewall mà không thực hiện một sự kiểm tra, lọc hay điều khiển các thủ tục Telnet nào.Cổng vòng làm việc như một sợi dây,sao chép các byte giữa kết nối bên trong (inside connection) và các kết nối bên ngoài (outside connection). Tuy nhiên, vì sự kết nối này xuất hiện từ hệ thống firewall, nó che dấu thông tin về mạng nội bộ. Cổng vòng thường được sử dụng cho những kết nối ra ngoài, nơi mà các quản trị mạng thật sự tin tưởng những người dùng bên trong. Ưu điểm lớn nhất là một bastion host có thể được cấu hình như là một hỗn hợp cung cấp Cổng ứng dụng cho những kết nối đến, và cổng vòng cho các kết nối đi. Điều này làm cho hệ thống bức tường lửa dễ dàng sử dụng cho những người trong mạng nội bộ muốn trực tiếp truy nhập tới các dịch vụ Internet, trong khi vẫn cung cấp chức năng bức tường lửa để bảo vệ mạng nội bộ từ những sự tấn công bên ngoài. Nhiệm vụ của Firewall: * Nhiệm vụ cơ bản của FireWall là bảo vệ những vấn đề sau : + Dữ liệu : Những thông tin cần được bảo vệ do những yêu cầu sau: - Bảo mât. - Tính toàn vẹn. - Tính kịp thời. + Tài nguyên hệ thống. + Danh tiếng của công ty sở hữu các thông tin cần bảo vệ. * FireWall bảo vệ chống lại những sự tấn công từ bên ngoài. + Tấn công trực tiếp: Cách thứ nhất là dùng phương pháp dò mật khẩu trực tiếp. Thông qua các chương trình dò tìm mật khẩu với một số thông tin về người sử dụng như ngày sinh, tuổi, địa chỉ v.v…và kết hợp với thư viện do người dùng tạo ra, kẻ tấn công có thể dò được mật khẩu của bạn. Trong một số trường hợp khả năng thành công có thể lên tới 30%. Ví dụ như chương trình dò tìm mật khẩu chạy trên hệ điều hành Unix có tên là Crack. Cách thứ hai là sử dụng lỗi của các chương trình ứng dụng và bản thân hệ điều hành đã được sử dụng từ những vụ tấn công đầu tiên và vẫn được để chiếm quyền truy cập (có được quyền của người quản trị hệ thống). + Nghe trộm: Có thể biết được tên, mật khẩu, các thông tin chuyền qua mạng thông qua các chương trình cho phép đưa vỉ giao tiếp mạng (NIC) vào chế độ nhận toàn bộ các thông tin lưu truyền qua mạng. + Giả mạo địa chỉ IP. + Vô hiệu hoá các chức năng của hệ thống (deny service). Đây là kiểu tấn công nhằm làm tê liệt toàn bộ hệ thống không cho nó thực hiện các chức năng mà nó được thiết kế. Kiểu tấn công này không thể ngăn chặn được do những phương tiện tổ chức tấn công cũng chính là các phương tiện để làm việc và truy nhập thông tin trên mạng. + Lỗi người quản trị hệ thống. + Yếu tố con người với những tính cách chủ quan và không hiểu rõ tầm quan trọng của việc bảo mật hệ thống nên dễ dàng để lộ các thông tin quan trọng cho hacker. Ngày nay, trình độ của các hacker ngày càng giỏi hơn, trong khi đó các hệ thống mạng vẫn còn chậm chạp trong việc xử lý các lỗ hổng của mình. Điều này đòi hỏi người quản trị mạng phải có kiến thức tốt về bảo mật mạng để có thể giữ vững an toàn cho thông tin của hệ thống. Đối với người dùng cá nhân, họ không thể biết hết các thủ thuật để tự xây dựng cho mình một Firewall, nhưng cũng nên hiểu rõ tầm quan trọng của bảo mật thông tin cho mỗi cá nhân, qua đó tự tìm hiểu để biết một số cách phòng tránh những sự tấn công đơn giản của các hacker. Vấn đề là ý thức, khi đã có ý thức để phòng tránh thì khả năng an toàn sẽ cao hơn. Những hạn chế của firewall: - Firewall không đủ thông minh như con người để có thể đọc hiểu từng loại thông tin và phân tích nội dung tốt hay xấu của nó. Firewall chỉ có thể ngăn chặn sự xâm nhập của những nguồn thông tin không mong muốn nhưng phải xác định rõ các thông số địa chỉ. - Firewall không thể ngăn chặn một cuộc tấn công nếu cuộc tấn công này không "đi qua" nó. Một cách cụ thể, firewall không thể chống lại một cuộc tấn công từ một đường dial-up, hoặc sự dò rỉ thông tin do dữ liệu bị sao chép bất hợp pháp lên đĩa mềm. - Firewall cũng không thể chống lại các cuộc tấn công bằng dữ liệu (data-drivent attack). Khi có một số chương trình được chuyển theo thư điện tử, vượt qua firewall vào trong mạng được bảo vệ và bắt đầu hoạt động ở đây. Một ví dụ là các virus máy tính. Firewall không thể làm nhiệm vụ rà quét virus trên các dữ liệu được chuyển qua nó, do tốc độ làm việc, sự xuất hiện liên tục của các virus mới và do có rất nhiều cách để mã hóa dữ liệu, thoát khỏi khả năng kiểm soát của firewall. IV./ IDS – Instruction Detection System: Đây là hình thức rất hay được sử dụng trên một hệ thống mạng hiện đại. Các thiết bị phần cứng IDS (được gọi là IDS Sensors) được đặt trên từng phân đoạn mạng có khả năng bị tân công và thực hiện phân tích dữ liệu vào ra toàn phân đoạn mạng này. Nó sẽ kết hợp được với các thiết bị bảo mật khác trong mạng như Router, Firewall phản ứng lại tân công khi xảy ra. Sử dụng phương pháp này giúp việc mở rộng mạng được dễ dàng hơn, khi thêm thiết bị mới vào mạng (máy chủ) thì không cần phải thêm nhiều IDS Sensonrs. Quá trình phát hiện và thông báo xâm nhập trái phép của IDS Sensors thực hiên theo các bước sau: - Sensors sẽ thu các gói tin gửi đến mạng do nó quản lý qua cổng Monitoring. - Nếu các gói tin bị phân mảnh thì IDS Sensors sẽ thực hiện ghép các thành phần phân mảnh lại để kiểm tra (việc phân mảnh sẽ giúp gói tin vượt qua Firewall mà không bị kiểm tra, bởi Firewall không thể làm việc với các gói tin bị phân mảnh), và so sánh với các luật đã được đặt sẵn để nhận dạng tấn công nếu có. Dạng tân công có thể đơn giản chỉ là thao tác cố gắng để truy cập một cổng dịch vụ trên một máy chủ nào đó hoặc có thể phức tạp như một chuỗi các hành động tấn công nhiều máy chủ một lúc trong một khoảng thời gian dài. - Nếu phát hiẹn ra dấu hiệu tấn công thì IDS Sensors sẽ ghi lại tân công đó và thông báo cho nhà quản trị qua cổng Command. - Phần mềm quản trị IDS Sensors thực hiện những hành động cần thiết để phản ứng lại tân công đó. IDS Sensors có thể được cấu hình để phản ứng lại những dạng tân công nhất địn theo những cách sau: - Cắt phiên làim việc với TCP (TCP Reset): Sensors có khả năng cắt ngang phiên làm việc đã được khởi tạo từ máy tính của Hacker đên máy tính bị tấn công. - Chặn địa chỉ của kẻ tân công (IP Blocking): Sensors sẽ thông báo cho Router và tạo ra những ACL để chặn địa chỉ IP nguồn của kẻ tấn công. - Ghi thông tin về phiên làm việc (IP Logging): Việc này nhằm thu thập thông tin về kẻ tấn công. Sensors sẽ ghi lại tất cả các gói tin đến mạng và gói tin đáp trả trong suốt khoảng thời gian cố găng xâm nhập của Hacker. Blocking Auto or maentual block of offending IP address TCP Reset Automatic kill of offending session Kill the Session Block attacker Deny Hình 5.9: Phương thức xử lý của IDS Có hai phương thức để cấp giấy phép cho các trạm làm việc có thể sử dụng các tài nguyên trên mạng là: An ninh theo mức tài nguyên (Share – Level Security) và an ninh mức người dùng (User – Level Security) và một phương pháp bảo mật cao hơn là Firewall. PHẦN II THIẾT KẾT THI CÔNG I./. TỔNG QUÁT: 1.1./ Đặt vấn đề: Mục đích dự án này là xây dựng hệ thống mạng máy tính cho toà nhà dự án Công Ty Phát Triển Phần Mềm Quốc Tế Software hiện đại, đảm bảo đáp ứng yêu cầu và là mô hình mạng mẫu cho các công ty phân mềm trong tương lại 1.2./ Hiện trạng hệ thống: * Toà nhà đang trong quá trình hoàn thiện phần xây dựng, bước sang giai đoạn cuối cùng đem vào sử dụng. * Địa điểm Số 8 Trần Hưng Đạo. * Tào nhà gồm 8 tầng, với diện tích mặt bằng 20m x 30m. * Tầng trệt: Hệ thống cấp điện, nước, Gara ô tô. * Tầng I: gồm 2 phòng là phòng giao dịch và phòng trưng bày sản phẩm. * Tầng II – VI: Phòng làm việc. * Tầng VII: Phòng giám đốc, phó giám đốc, phòng kết hoạch và nhân sự, phòng họp. * Tầng VIII: Phòng an ninh, phòng kiểm tra và hoạn thiện sản phẩm. * Các hệ thông công trình ngầm: điện, nước. II./. YÊU CẦU DỰ ÁN: 2.1./ Đối tượng sử dụng: - Dùng cho các dự án thiết kế phần mềm ứng dụng cho đời sống. - Chức năng của các phòng đã được vạch rõ. 2.2./ Vị trí đặt thiết bị: - Thiết bị mạng dự kiến được đặt tập trung phòng an ninh mạng tại tầng 8. Tuy nhiên với giải pháp được đặt ra thì phòng mạng được đặt tại tầng 8 cac thiết bị kết nối Switch được phân tán đền trên từng tầng. - Máy tính, máy in, điện thoại đặt tại các phòng làm việc. - Tại mỗi tầng đều có hộp thiết bị mạng đặt các đầu nối và Switch của mỗi tầng. 2.3./ Kết nối thiết bị mạng: * Các cổng 10/100 Mbps cho các trạm làm việc. * Cổng Gigabit (Gbps) kết nối các switch bằng cáp quang. 2.4./ Sơ đồ đi dây mạng (giữa các tầng). * Tầng 1 đến tầng 8 đặt các Switch. Các Switch này được nối về tủ Switch trung tâm dùng cáp quang 1000 Mbs. Dùng day UTP Cat6 4 – pair nối từ Switch của tầng đến các tủ thiết bị từng phòng. * Thiết bị chống sét và tiếp đất: Bảo vệ 10 đường điện thoại, các thiết bị trong toà nhà. Đi dây trục tiếp đảm bảo trệt tiêu các xung điện xuống đất. 2.5./ Đánh số ổ tường: * Số có 3 chữ số: chữ số đầu tiên chỉ tầng, 2 chữ số tiếp theo chỉ thứ tự của ô tường trong tầng đó. * Đánh số trong mỗi tầng theo quy tắc từ trên xuống dưới, trái sang phải (của bản vẽ). * Mỗi ô tường đánh 2 số, tương ứng với 2 vị trí nối mạng (với RJ 45). III./. KỸ THUẬT THI CÔNG LẮP ĐẶT CHO HỆ THỐNG MẠNG: 3.1./ Giải pháp hệ thống mạng tập trung: Toàn bộ hệ thống mạng đều được tập trung mạng tức phòng an ninh mạng.Tất cả các hệ thống đấu phối dây hay các thiết bị kết nối mạng đều được đặt trong tủ mạng tại phòng anh ninh mạng. Với giải pháp này thì việc lựa chọn thiết bị quản lý rất dễ dàng. Trong những năm về trước thì giải pháp hệ thống mạng tập trung là giải pháp được đưa vào sử dụng nhiều nhất bới nó có một giá thành hợp lý cho người sử dụng và dễ dàng quản trị. Tuy nhiên do những nhu cầu thực tiễn hiên nay thì giải pháp này lai khó có thể đáp ứng được bởi tình mở rộng của nó như: * Cáp sử dụng là cáp đồng trục nên khoảng cách tối đa cho phép giữa các điểm kết nối quy định cho loại cáp này chỉ là 100m, khi vượt quá 100m thì tín hiệu sẽ suy yếu và việc kết nối không thực hiện được. * Không có trục Backbone: Theo quy định của những hệ thống mạng phân lớp chỉ giữa lớp Core và lớp Access của mạng phải tục kết nối Backbone tôc độ cao ( tối thiểu 1Gbps và nâng lên 10 Gbps).Với loại cáo 25 – pair như hình vẽ trên thì tốc đội kết nối không lên được 1 Gbps ( do cổng dành cho cá đồng là Autosensing 10/100/1000 nên khi sử dụng cổng tốc độ 1000Mbps thì tốc độ thực tế sẽ dao động trong mức 10Mbps đế