http://tailieu.vncty.com/index.php

1. VIỆN ĐÀO TẠO CÔNG NGHỆ VÀ QUẢN LÝ QUỐC TẾ
KHOA CÔNG NGHỆ THÔNG TIN
-------------o0o-------------
Lời nói đầu
Sự phát triển cuả công nghệ thông tin ở nước ta ngày càng mạnh mẽ và ngày
càng được triển khai rộng rãi các ứng dụng tin học cho các tổ chức kinh tế xã hội và
các ngành khoa học kĩ thuật và đặc biệt là trong công tác quản lý
Trong các cơ quan, doanh nghiệp nhà nước cũng như tư nhân, công tác quản
lý nếu phải thực hiện và xử lý một cách thủ công thì vừa chậm vừa mất thời gian
đem lại hiệu quả kinh tế không cao trong sản xuất kinh doanh. Với những công
việc tính toán, thống kê số liệu làm bằng tay vừa mất công vừa kém chính xác.
Người làm công tác phải quản lý một khối lượng công việc khổng lồ, với phần lưu
trữ, tìm kiếm là không đơn giản chút nào...
Vì thế, việc ứng dụng tin học trong công tác quản lý đã phát triển mạnh mẽ, nó
giúp cho công tác quản lý ngày càng trở nên hiệu quả hơn như: Nâng cao hiệu quả
trong công việc, đưa ra báo cáo, số liệu thống kê một cách nhanh chóng, chính xác
và kịp thời... Đồng thời nhờ có việc ứng dụng tin học mà đã tiết kiệm được nhiều
thời gian, công sức của con người và giảm nhẹ bộ máy quản lý rất cồng kềnh từ
trước tới nay
Internet ở Việt Nam mới chỉ phát triển từ 7 năm gần đây, nhưng sự phát triển mạnh
mẽ của nó thì không một ai có thể ngờ tới. Nó đã có sự phát triển vượt bậc so với sự
phát triển trong lĩnh vực khác của ngành công nghệ thông tin. Đó cũng là xu thế tất
yếu khi chúng ta chính thức hoà vào mạng viễn thông quốc tế. Sự phát triển của
Internet đã tạo ra một xu thế mới trong công nghệ
Đề tài mà em thực hiện là : Xây dựng hệ thống thông tin mạng
1

2. MỤC LỤC
MỤC LỤC................................................................................................................2
CHƯƠNG 1..............................................................................................................4
LÝ THUYẾT CƠ BẢN CỦA MẠNG MÁY TÍNH...............................................4
1.1.Mô hình hệ thống mở OSI (Open Systems Interconnection)...........................4
1.1.1. Tổng quan mô hình hệ thống mở. ...........................................................4
1.1.2. Các chức năng chủ yếu của các tầng của mô hình OSI..........................4
1.2.Giao thức truyền thông mạng TCP/IP..............................................................6
1.3. Kỹ thuật mạng LAN ......................................................................................7
1.3.1. Tổng quan mạng Ethernet (LAN)............................................................7
1.3.2. Các thiết bị dùng cho mạng Ethernet.....................................................8
1.4.1.Dịch vụ Web............................................................................................8
1.4.2. Dịch vụ truyền file..................................................................................9
1.4.3. Dịch vụ E-mail........................................................................................9
1.4.4. Dịch vụ mạng Giao thức DNS, DHCP...................................................11
1.4 Kiến trúc ứng dụng Client/ Server.................................................................11
CHƯƠNG 2............................................................................................................15
PHƯƠNG PHÁP PHÁT TRIỂN MỞ RỘNG MẠNG........................................15
2.1. Tổng quan kiến trúc mạng WAN..................................................................15
2.2. Công nghệ xử lý truyền dẫn trên mạng diện rộng.........................................18
2.3. Thiết bị tích hợp mạng diện rộng..................................................................21
2.4. Phương tiện truyền dẫn trong mạng diện rộng..............................................23
2.4.1. Công nghệ đường dây thuê bao số xDSL..............................................23
2.4.2. Công nghệ ISDN....................................................................................25
2.4.3. Frame relay...........................................................................................25
2.4.4. Công nghệ ATM:...................................................................................26
2.4.5. Đường thuê bao kênh riêng(leased line): .............................................27
CHƯƠNG 3............................................................................................................28
AN NINH MẠNG..................................................................................................28
3.1. Tổng quan an ninh mạng...............................................................................28
3.2. An ninh trên hạ tầng cơ sở............................................................................30
3.2.1. Dùng PKI (Public Key Infrastructure).................................................30
3.2.2. Dùng RSA.............................................................................................32
3.2.3. Dùng Firewall......................................................................................35
3.2.4. Dùng IDS (Intrusion Detection Systems ).............................................38
3.3. Mạng VPN và Bảo mật trong VPN (Virtual Private network)......................39
3.3.1. Khái niệm VPN......................................................................................39
3.3.2. Tính bảo mật của VPN:.........................................................................43
3.3.3. Các kỹ thuật sử dụng trong VPN..........................................................45
3.3.4. Kỹ thuật Tunneling................................................................................45
2

3. CHƯƠNG 4............................................................................................................49
PHÁT TRIỂN NGN TRONG MÔ HÌNH DOANH NGHIỆP............................49
4.1. Khái niệm mạng NGN (Next Generation Network)......................................49
4.2. Đặc điểm NGN.............................................................................................51
4.3. Triển khai NGN............................................................................................54
4.4. Các thành phần của NGN chuẩn...................................................................56
4.5. Các công nghệ và các giao thức....................................................................57
CHƯƠNG 5............................................................................................................62
THIẾT KẾ, XÂY DỰNG HỆ THỐNG THÔNG TIN........................................62
5.1. Giới thiệu .....................................................................................................62
5.2. Phân tích yêu cầu..........................................................................................63
5.2. Thiết kế, xây dựng hạ tầng thông tin.............................................................65
5.3. Thiết kế, xây dựng dịch vụ quản lý và ứng dụng mạng ...............................70
5.3.1. Dịch vụ quản lý mạng...........................................................................70
5.3.2. Cài đặt, và quản lý dịch vụ E-mail......................................................71
KẾT LUẬN............................................................................................................73
TÀI LIỆU THAM KHẢO:....................................................................................74
3

4. CHƯƠNG 1
LÝ THUYẾT CƠ BẢN CỦA MẠNG MÁY TÍNH
1.1.Mô hình hệ thống mở OSI (Open Systems Interconnection).
1.1.1. Tổng quan mô hình hệ thống mở.
Việc nghiên cứu OSI được bắt đầu bởi ISO (International Organization for
Standardization) từ năm 1971 với mục đích dễ dàng giao tiếp kết nối các sản
phẩm công nghệ mạng của các hãng sản xuất khác nhau. Ưu điểm chính của OSI
là xây dựng được các giải pháp xử lý truyền thông giữa các mạng máy tính
không đồng nhất. Hai hệ thống, dù có khác nhau đều có thể truyền thông với
nhau một các hiệu quả nếu chúng đảm bảo những điều kiện chung sau đây:
• Chúng cài đặt cùng một tập các chức năng truyền thông.
• Các chức năng đó được tổ chức thành cùng một tập các tầng. các tầng đồng
mức phải cung cấp các chức năng tương tự nhau.
• Các tầng đồng mức khi trao đổi với nhau sử dụng chung một giao thức.
Hình sau là mô hình hoá hai hệ thống máy tính kết nối trong mạng, kiến
trúc các thành phần được phân tách dựa vào mô hình OSI.
1.1.2. Các chức năng chủ yếu của các tầng của mô hình OSI.
Tầng 1: Tầng Vật lý (Physical Layer)
4
Hình 1.1. Mô hình OSI

5. Tầng vật lý là tầng dưới cùng của mô hình OSI đặc tả các tính chất, đặc tính
kết nối vật lý, tính chất điện của thiết bị trên mạng như: Các loại cáp được dùng
để nối các thiết bị, các loại tín hiệu được dùng khi chuyển dữ liệu trên cáp kết nối
mạng, các kỹ thuật nối mạch điện, và tốc độ truyền dẫn dữ liệu trên cáp truyền
dẫn. Phân loại các thiết bị mạng thuộc tầng này là HUB, MultiPlexer, Repeater.
Tầng 2: Liên kết dữ liệu (Datalink Layer)
Tầng LKDL (Liên kết dữ liệu) là tầng thường được dùng để định nghĩa
dòng thông tin ở dạng ‘khung’ khi truyền giữa các điểm vật lý trên mạng. Tầng
LKDL quy định được các dạng thức, kích thước của khung ‘frame’ thông tin
được truyền (ví dụ, khung ethernet).
Tầng 3: Tầng Mạng (Network Layer)
Tầng mạng có chức năng giao tiếp truyền thông tin trong mạng, trên các
mạng với nhau bằng cách định hướng (routing) cho các gói tin đi từ mạng này
đến mạng khác được thực hiện bởi giao thức định tuyến.
Tầng 4: Tầng Giao vận (Transport layer)
Đây là tầng đảm bảo dữ liệu của dịch vụ ứng dụng mạng được truyền giữa
các điểm kết nối logic trên mạng. Như vậy,nó định nghĩa các dịch vụ ứng dụng
cho các tầng trên nó (ví dụ, TCP của dịch vụ www là 80) thông qua số hiệu cổng,
kết kợp với các tầng dưới nó để thiết lập phương thức truyền dữ liệu tin cậy.
Tầng 5: Tầng phiên (Session Layer)
Tầng phiên thiết lập "các phiên giao dịch" giữa các ứng dụng trên máy tính
mạng. Các phiên truyền mang thông tin về tên của máy tính tham gia thực hiện
phiên truyền, khối lượng dữ liệu cần truyền. Tầng phiên đảm bảo cho các giao
dịch được thiết lập và duy trì theo đúng qui định của từng loại dịch vụ dữ liệu.
Tầng 6: Tầng Trình bày (Presentation Layer)
Trong giao tiếp giữa các ứng dụng thông qua mạng với cùng một dữ liệu có
thể có nhiều cách biểu diễn khác nhau. Thông thường dạng biểu diễn dùng bởi
ứng dụng nguồn và dạng biểu diễn dùng bởi ứng dụng đích có thể khác nhau do
các ứng dụng được chạy trên các hệ thống hoàn toàn khác nhau (như hệ máy
Intel và hệ máy Motorola). Tầng trình bày (Presentation layer) phải chịu trách
nhiệm chuyển đổi dữ liệu gửi đi trên mạng từ một loại biểu diễn này sang một
5

6. loại khác. Để đạt được điều đó nó cung cấp một dạng biểu diễn chung dùng để
truyền thông và cho phép chuyển đổi từ dạng biểu diễn cục bộ sang biểu diễn
chung và ngược lại.
Tầng 7: Tầng Ứng dụng (Application layer)
Tầng ứng dụng (Application layer) là tầng cao nhất của mô hình OSI, nó
định nghĩa giao diện giữa người sử dụng và ứng dụng mạng. Giải quyết các kỹ
thuật mà các chương trình ứng dụng dùng để giao tiếp với mạng.
1.2.Giao thức truyền thông mạng TCP/IP
TCP/IP là tập các giao thức truyền thông tin trên mạng theo chuẩn công
nghiệp được DoD (Department of Defense) thiết kế và ứng dụng, đảm bảo dữ liệu
truyền trên mạng được an toàn, quá trình truyền thông tin qua môi trường mạng
thông qua kết nối logic (kết nối ảo, chỉ tồn tại trong quá trình truyền thông tin).
Hình sau so sánh sự tương ứng giữa mô hình OSI với mô hình mạng TCP/IP.
Mô hình TCP/IP được phân chia làm 4 tầng, mục đích chủ yếu là đáp ứng
được các yêu cầu truyền dữ liệu trên mạng Internet dùng TCP/IP. Tầng ứng dụng
của DoD tương ứng với 3 tầng trên cùng của mô hình OSI. Tầng giao vận của OSI
ứng với tầng host-to-host, tầng mạng của OSI ứng với tầng Internet, và tầng cuối
cùng của DoD ứng với 2 tần còn lại của OSI. Ví dụ, khi ta xét SQL thuộc tầng ứng
dụng của DoD, hoặc tầng phiên của OSI.
Địa chỉ IP: (IP ver4)
6
Hình 1.5. So sánh mô hình OSI với mô hình DoD

7. Địa chỉ IP là địa chỉ logic 32 bít sử dụng để xác nhận máy tính trên mạng
dùng giao thức TCP/IP. Địa chỉ IP gồm hai phần: Phần định danh cho mạng và
phần định danh cho máy tính.
• Định danh mạng dùng để nhận diện các máy trên cùng mạng logic
• Định danh máy tính: nhận diện một máy trên mạng.
Như vậy, mỗi máy tính khi kết nối vào mạng đều có một địa chỉ duy nhất,
đó chính là địa chỉ IP. Địa chỉ này dùng để phân biệt máy tính đó với các máy
khác còn lại trên mạng.
Toàn bộ địa chỉ IP được chia vào 5 lớp khác nhau
• Mạng riêng lớp A: có lớp mạng từ 10.0.0.0 đến 10.255.255.255
• Mạng riêng lớp B: có lớp mạng từ 172.16.0.0 đến 172.31.255.255
• Mạng riêng lớp C: có lớp mạng từ 192.168.0.0 đến 192.168.255.255
Trong cấu hình giao thức IP, phân biệt định danh lớp mạng với định danh
máy tính dựa vào mặt nạ mạng (subnet mask), lớp A có subnetmask chuẩn
255.0.0.0, lớp B là 255.255.0.0, và lớp C là 255.255.255.0. Tuỳ theo kiến trúc
mạng và cách sử dụng địa chỉ IP để định danh các subnet mask không chuẩn.
Loopback: địa chỉ vòng lặp, 127.0.0.1, là địa chỉ IP kiểm tra vòng lặp giao
tiếp mạng.
1.3. Kỹ thuật mạng LAN
1.3.1. Tổng quan mạng Ethernet (LAN)
Ethernet là mạng cục bộ do các công ty Xerox, Intel và Digital equipment
xây dựng và phát triển. Ethernet là mạng thông dụng nhất đối với các mạng nhỏ
hiện nay. Ethernet LAN được xây dựng theo chuẩn 7 lớp trong cấu trúc mạng của
ISO, mạng truyền số liệu Ethernet cho phép các loại máy tính khác nhau sử dụng
chuẩn giao tiếp Ethernet tham gia truyền thông trên môi trường mạng.
Ethernet có các đặc tính kỹ thuật chủ yếu sau đây:
• Ethernet dùng cấu trúc mạng bus logic mà tất cả các nút trên mạng đều được
kết nối với nhau một cách bình đẳng. Mỗi gói dữ liệu gửi đến nơi nhận dựa
theo các địa chỉ quy định trong các gói. Ethernet dùng phương thức
7

8. CSMA/CD ( Carrier Sense Multiple Access with Collision Detection ) để xử
lý việc truy cập đồng thời vào mạng.
• Các yếu tố hạn chế kích thước mạng chủ yếu là mật độ lưu thông trên mạng.
1.3.2. Các thiết bị dùng cho mạng Ethernet
Repeater: Thiết bị được dùng khi có nhu cầu khuếch đại tín hiệu trên
đường truyền dài. Khi tín hiệu được truyền tải trên mạng sẽ có suy hao do trở
kháng của dây dẫn, dẫn đến khả năng truyền đi trên đường truyền dài vược mức
quy định là khó đảm bảo chất lượng. Do vậy, ta cần có.
Hub: Về một khía cạnh xử lý truyền dẫn thì nó như một bộ ghép nối nhiều
repeater, nó có nhiều cổng (4,8 hay thậm chí 24 port). Hub được dùng để xây
dựng mạng Lan theo chuẩn Ethernet (mạng hình sao). Nhược điểm của HUB là
tốc độ xử lý truyền tin thấp (10Mbps), dễ gây ra tắc nghẽn, xung đột mạng. Hiện
nay, xu hướng dùng thiết bị fastHUB đạt được tốc độ 100Mbps, nhưng đối với
những mạng lớn kiểu kiến trúc phân tầng thì dùng HUB/fastHUB là một hạn chế
đối với tốc độ truyền tin trên mạng.
Bridge: Công nghệ này ưu điểm hơn HUB ở chỗ nó có thể xử lý thông tin
truyền dẫn trên mạng, nó làm việc tại tầng 2 của OSI nên có thể đọc được địa chỉ
vật lý (MAC addres) của khung tin. Như vậy bridge sẽ thông minh hơn HUB khi
mà nó có thể hiểu được khung tin truyền trên mạng được gửi từ máy tính nào, và
máy tính nào sẽ nhận gói tin đó dẫn đến giảm được xung đột mạng, tăng tốc độ
truyền tin.
Switch: Thiết bị này có thể hiểu là một bridge nhiều cổng, và ưu điểm khác
Bridge là nó được xử lý bằng mạch cứng. Switch có thể đọc được địa chỉ MAC
của khung tin nên các nhà sản xuất đã phát triển ưu điểm này thiết kế cho switch
có thể cấu hình bằng phần mềm khi có nhu cầu phân tách mạng tạo các mạng
LAN riêng (VLAN).
1.4. Các dịch vụ ứng dụng mạng cơ bản
1.4.1.Dịch vụ Web
Dịch vụ Web cung cấp thông tin để người dùng truy cập dịch vụ dưới dạng
World Wide Web (www). www cung cấp tài nguyên đơn giản chỉ bằng “định vị
8

9. trí và kích chuột”. Thông tin nhận được hiển thị ở dạng các trang Web, là thông
tin được lưu trữ trên máy chủ cung cấp dịch vụ Web, nó chứa đựng rất nhiều
dạng thông tin gồm hình ảnh, âm thanh, văn bản …Hơn thế nữa, trên chính các
trang web lại có những vị trí định vị để dẫn đường đến những trang thông tin
khác.
Rất nhiều các dịch vụ ngày nay phát triển dựa trên nền Web bởi sự tiện lợi
của nó là không phụ thuộc vào các thành phần phần cứng hay hệ điều hành, sự
tương thích với những giao thức mạng khác như FTP (File Transfer Protocol),
NNTP (Network News Transfer Protocol), Gopher, và Telnet.
Kiến trúc hoạt động của dịch vụ Web gồm có hai thành phần: Web server,
là máy tính cài đặt dịch vụ Web và lưu trữ thông tin dưới dạng các trang Web để
xuất bản trên mạng; Web client, là máy tính cài đặt trình duyệt web để truy xuất
và hiển thị thông tin dưới dạng các trang Web. Phần mềm cài đặt Web server có
thể là Apache (thường được cài đặt trên HĐH Linux), hay IIS (Internet
Information Server) trên dòng HĐH Windows. Trình duyệt web thường được
dùng là IE (Internet Explorer), hay Netscap Navigator.
1.4.2. Dịch vụ truyền file
Dịch vụ truyền file dược phát triển vào thời kỳ đầu tiên của mạng được
dùng để truyền các dạng file nhị phân (images, executable programs, compressed
ZIP files) và các file ASCII trên môi trường mạng. Dịch vụ WWW tích hợp dịch
vụ truyền file để hỗ trợ người dùng đăng tải (download/upload) thông tin.
Các thành phần của dịch vụ FTP gồm FTP server, và FTP client. FTP
server quản lý tài nguyên, giám sát người dùng truy cập dịch vụ. FTP Client yêu
cầu truy nhập dịch vụ trên FTP server kiểu hand-shake và dùng tập các lệnh như
(Get, Put, Quit,…) dựa trên nền giao thức TCP/IP để đảm bảo truyền file tin cậy.
1.4.3. Dịch vụ E-mail
Dịch vụ truyền thư điện tử trên mạng máy tính được phát triển để đáp ứng
nhu cầu truyền thông tin kiểu bản tin, file nhị phân, file văn bản dưới dạng thư
tín. Kiến trúc thư tín có địa chỉ người gửi, địa chỉ người nhận, thông tin cần
truyền dạng file đính kèm hoặc dạng văn bản soạn thảo ngay ở phần nội dung của
9

10. thư. Kiến trúc dịch vụ thư điện tử gồm có: CSDL lưu trữ người dùng E-mail,
CSDL xử lý lưu trữ E-mail dạng các hộp mail của người dùng, và giao thức trao
đổi E-mail.
Dịch vụ E-mail gồm E-mail Server là phần mềm cung cấp dịch vụ E-mail,
và phần mềm E-mail Client thường dùng để duyệt E-mail. Các phần mềm E-mail
Server hiện có trên thị trường là MDEAMON tiện lợi dễ dùng, Microsoft
Exchange chuyên nghiệp hơn ứng dụng cho môi trường doanh nghiệp vừa và lớn,
và Lotus Domino là giải pháp phần mềm tích hợp với ứng dụng chủ yếu là cung
cấp dịch vụ E-mail. Các phần mềm E-mail Client sẵn có như Microsoft Outlook,
Outlook Express,…
Giao thức truyền E-mail SMTP, (Simple Mail Transfer Protocol): là giao
thức được dùng để xử lý truyền (đẩy) E-mail từ Client lên E-mail Server hoặc từ
E-mail Server này đến E-mail Server khác. Nó là một giao thức tầng ứng dụng
chạy trên nền giao thức TCP/IP, thực hiện phiên truyền tin dùng cơ chế mở
socket (có cổng TCP là 25) thông qua một tập lệnh chuẩn , mỗi câu lệnh được kết
thúc bằng ký tự đặc biệt <CRTF>. Các lệnh cơ bản như HELO, MAIL, RCPT,…
POP (Post Office Protocol): Giao thức POP là giao thức ứng dụng cung
cấp dịch vụ E-mail trên nền giao thức TCP/IP, nó được Client sử dụng mỗi khi
mở socket (cổng TCP là 110) kết nối đến Mail Server để tải E-mail về ổ đĩa lưu
trữ trên Client. Sau khi socket được mở, dịch vụ E-mail có thể tiếp nhận và xử lý
các lệnh của POP. Các lệnh của POP đều được kết thúc bằng ký tự đặc biệt
<CRTF>. Những lệnh cơ bản như USER, PASS, LIST, …
Giao thức IMAP (Internet Message Access Protocol): là phương pháp truy
cập dịch vụ E-mail hoặc các bản tin được lưu trong thư mục dùng chung trên
10
SMTP server
POP Server
IMAP ServeruserMail box
Xử lý dịch vụ
E-mail Server
SMTP Client
POP Client
IMAP Client
Hình 1.10: Kiến trúc dịch vụ E-mail

11. Mail Server. mặt khác, nó cho phép các chương trình E-mail Client truy cập đến
các bản tin được lưu trữ trên Mail Server qua mạng diện rộng. Ví dụ, e-mail được
lưu trên một IMAP server có thể được đọc bởi một máy tính khác thông qua
mạng mà không cần phải trao đổi trên mạng toàn bộ nội dung của cả file, bản tin,
hay của e-mail.
1.4.4. Dịch vụ mạng Giao thức DNS, DHCP
Dịch vụ DNS (Domain Name System): là dịch vụ mạng sử dụng cả giao
thức TCP (Transmission Control Protocol) và UDP (User Datagram Protocol), là
một hệ cơ sở dữ liệu phân tán dùng để ánh xạ giữa các tên miền và các địa chỉ IP.
DNS đưa ra một phương pháp đặc biệt để duy trì và liên kết các ánh xạ này trong
một thể thống nhất. Trong phạm vi lớn hơn, các máy tính kết nối với internet sử
dụng DNS để tạo địa chỉ liên kết dạng URL (Universal Resource Locators). Theo
phương pháp này, mỗi máy tính sẽ không cần sử dụng địa chỉ IP cho kết nối.
Dịch vụ DHCP (Dynamic host Configuration Protocol): DHCP là dịch vụ
mạng gồm có DHCP Client và DHCP Server. DHCP Server dùng để quản lý địa
chỉ IP của mạng, gán địa chỉ IP cho các DHCP Client (là những máy tính dùng
địa chỉ IP gán động). Dịch vụ DHCP kết hợp với dịch vụ DNS sẽ đơn giản cho
công việc quản trị mạng.
1.4 Kiến trúc ứng dụng Client/ Server
Trong kiến trúc Client-server, các thành phần phần mềm giao tiếp với nhau tạo
nên một dịch vụ ứng dụng. Client có ý nghĩa là một đối tượng yêu cầu sử dụng tài
nguyên, Server là đối tượng cung cấp tài nguyên. Client và Server có thể cùng trên
một hệ thống máy tính, nhưng trong thực tế thì Server thường được đứng riêng biệt,
các Client là các máy tính mạng sử dụng dịch vụ ứng dụng mà server cung cấp.
Kiến trúc Client/ Server có thể mô hình hoá như sau:
11
Hình 1.11: Kiến trúc giao tiếp ứng dụng Client/ server

12. Khi xem xét ứng dụng CSDL dùng mô hình Client/ Server, Client quản lý
giao diện người dùng và logic ứng dụng (được hiểu là các thành phần phần mềm xử
lý thông tin phía Client). Client nhận các yêu cầu truy vấn dữ liệu từ phía người
dùng, kiểm tra cú pháp, và tạo một truy vấn SQL hoặc dạng ngôn ngữ truy vấn khác
tương ứng với logic ứng dụng (như XML). Sau đó nó truyền thông điệp đến Server,
chờ đợi sự trả lời, xư lý kết quả trả lại cho người dùng. Quá trình bao gồm kiểm tra,
toàn vẹn dữ liệu, duy trì System Catalog, và các quá trình truy vấn/cập nhật dữ liệu.
Hơn nữa, nó điều khiển đồng bộ, khôi phục dữ liệu.
Các thuận lợi của mô hình Client/server như sau:
• Cho phép nhiều Client (máy tính) dùng chung CSDL
• Tăng khả năng thực thi: Như khi Client và Server được cấu hình trên hai
máy tính riêng biệt, khi đó các CPU có thể xử lý các ứng dụng đồng thời
• Giá thành phần cứng cho hệ thống giảm, vì chỉ cần tập trung RAM, ổ cứng,
CPU cho máy chủ.
• Môi trường truyền thông chỉ cần băng thông đủ để truyền tải các yêu cầu
truy vấn, và các kết quả phản hồi.
• Đảm bảo toàn vẹn dữ liệu, vì khi đó dữ liệu được lưu trữ tại một nơi, trên
máy chủ.
• Dễ dàng thiết kế theo chuẩn mở.
Với kiến trúc Client/ server được mở rộng, khi đó có thể xử lý phân tán dữ
liệu, hoặc phân lớp kiến trúc theo mô hình hai lớp: Kiến trúc client/server phân tách
các chức năng thành phần của một ‘fat’ Client thành hai phần. Trong kiến trúc 3
lớp, ‘thin’ Client chỉ quản lý giao diện người dùng và lớp trung gian xử lý logic
ứng dụng, lớp thứ ba vẫn là Server quản lý CSDL. Kiến trúc ba lớp đã được nghiên
cứu ứng dụng trong nhiều môi trường, như Internet và các Intranet, các Client được
gọi là các trình duyệt Web.
12

13. Kiến trúc hai lớp Client-Server truyền thống: Các ứng dụng doanh nghiệp
dùng mô hình dữ liệu tập trung gồm có bốn thành phần chính như sau: CSDL, logic
xử lý các giao dịch, logic ứng dụng, và giao diện người dùng.VớI kiến trúc xử lý tập
trung sẽ kết hợp 4 thành phần trên vào cùng một Mainframe.
Để xây dựng được mô hình doanh nghiệp không tập trung đáp ứng nhu cầu gia
tăng của dịch vụ, kiến trúc Client-server được ứng dụng. Kiến trúc Client-Server
truyền thống sẽ phân lập các chức năng công việc. Client (thuộc tier 1) ứng với
công việc hiển thị dữ liệu người dùng, Server (tier 2) ứng với việc cung cấp các dịch
vụ dữ liệu cho Client. Các dịch vụ hiển thị quản lý các hoạt động giao diện của
người dùng, và các logic ứng dụng chính của doanh nghiệp. Các dịch vụ dữ liệu
cung cấp logic ứng dụng doanh nghiệp có giới hạn. Điển hình là xác định rằng
Client không thể thực hiện bởi vì sự thiếu hụt thông tin, và truy cập đến các dữ liệu
cần có tuỳ thuộc vào vị trí của nó. dữ liệu có thể là của DBMS quan hệ, DBMS
hướng đối tượng, hoặc các hệ thống quản lý truy cập dữ liệu bất kỳ khác. Điển hình
là, Client có thể chạy trên desktop của người dùng và giao tiếp với CSDL tập trung
thông qua môi trường mạng.
13
Hình 1.12: mô hình 2 lớp của kiến trúc phần mềm giao tiếp CSDL

14. Kiến trúc ba lớp:
Nhu cầu nâng cấp mở rộng hệ thống đối với sự phát triển của doanh nghiệp
thực sự cần thiết khi mà kiến trúc hai lớp gặp phải những hạn chế.
• Một ‘fat’ client cần có tài nguyên phù hợp để xử lý công việc trên máy tính
Client. Nó cần có ổ cứng, RAM, CPU.
• Sự phức tạp đối với yêu cầu quản trị trên máy tính Client.
• Vào khoảng 1995, kiến trúc mới được đề xuất thay thế cho kiến trúc Client-
server, là kiến trúc ba lớp. Kiến trúc này cho thấy các ứng dụng chạy độc lập
tương đối với kiến trúc phần cứng của các máy tính trên mạng.
• Lớp giao diện người dùng, chạy trên máy tính của người dùng cuối (Client)
• Lớp xử lý dữ liệu và xử lý các đối tượng ứng dụng thành phần (business
logic), lớp này được gọi là lớp giữa chạy trên nền server và được gọi là
application server
• Một DBMS, lưu trữ dữ liệu phục vụ cho các yêu cầu của lớp trung gian, lớp
này có thể chạy trên Server riêng biệt được gọi là Database Server.
Như được mô tả hình trên, Client chỉ còn một chức năng là xử lý giao diện
người dùng, và có thể thực hiện một số các đối tượng đơn giản của ứng dụng, như
14
Hình 1.13 : Mô hình 3 lớp của kiến trúc phần mềm giao tiếp CSDL

15. xác nhận đầu vào, và nó gọi là Thin Client. Xử lý đối tượng lõi của ứng dụng đặt
trên một lớp riêng biệt, kết nối vật lý đến Client và Database Server qua mạng Lan
hoặc qua mạng diện rộng. Ứng dụng Server được thiết kế để cùng lúc xử lý cho
nhiều Client truy nhập. Mô hình 3 lớp có nhiều ưu điểm hơn hai lớp ở chỗ:
• Thin Client cần ít tài nguyên phần cứng
• Tập trung xử lý các đối tượng ứng dụng phần mềm trên một Server. Như vậy
dễ quản lý, bảo trì.
• Các modul chương trình được thay đổi trên từng lớp, hạn chế ảnh hưởng đến
ứng dụng.
• Phân tách lõi ứng dụng phần mềm với giao tiếp CSDL giúp cho dễ dàng hơn
khi thực hiện cân bằng tải.
Ứng dụng của mô hình ba lớp nổi bật ở chỗ nó được ứng dụng trong các dịch
vụ WEB, Trình duyệt Web là Thin Client, Web Server là Application Server. Kiến
trúc ba lớp có thể mở rộng đến kiến trúc ‘n’ lớp. Như vậy, các lớp khác thêm vào
làm cho hệ thống dễ nâng cấp, tuỳ biến tốt hơn. Ví dụ, lớp trung gian của kiến trúc
3 lớp có thể phân thành hai lớp con, một lớp là Web Server và một lớp là
Application Server.
CHƯƠNG 2
PHƯƠNG PHÁP PHÁT TRIỂN MỞ RỘNG MẠNG
2.1. Tổng quan kiến trúc mạng WAN
WAN là một mạng truyền dữ liệu trên một khu vực địa lý rộng lớn và thường
sử dụng các phương tiện truyền dẫn của các nhà cung cấp như các công ty điện
thọai để truyền dẫn dịch vụ. Công nghệ hạ tầng cơ sở WAN tập trung ở 3 lớp dưới
của mô hình OSI : lớp vật lý, lớp LKDL và lớp mạng.
15

16. Kiến trúc mạng WAN bao gồm các kết nối gồm có điểm - điểm, chuyển mạch
- circuit switching , chuyển mạch gói - packet switching, mạch ảo, và các thiết bị
được sử dụng trong mạng WAN.
Kết nối điểm - điểm:
Kết nối điểm - điểm cung cấp cho khách hàng một đường kết nối WAN tới
một mạng ở xa thông qua mạng của nhà cung cấp dịch vụ.
Kết nối điểm - điểm còn được gọi là kênh thuê riêng ( leased line ) bởi vì nó
thiết lập một đường kết nối cố định cho khách hàng tới các mạng ở xa thông qua các
phương tiện của nhà cung cấp dịch vụ. Các công ty cung cấp dịch vụ dự trữ sẵn các
16
Hình 2.1: So sánh chuẩn OSI với chuẩn WAN
Hình 2.2: Mô hình kết nối điểm -điểm (point –to-point)

17. đường kết nối sử dụng cho mục đích riêng của khách hàng. Những đường kêt nối
này phù hợp với hai phương thức truyền dữ liệu :
• Truyền bó dữ liệu (Datagram transmissions): Truyền dữ liệu mà các khung
dữ liệu được đánh địa chỉ riêng biệt.
• Truyền dòng dữ liệu (Data-stream transmissions): Truyền một dòng dữ liệu
mà địa chỉ chỉ được kiểm tra một lần.
Chuyển mạch kênh (Circuit switching):
Chuyển mạch kênh là một phương pháp sử dụng các chuyển mạch vật lý để
thiết lập, bảo trì và kết thúc một phiên làm việc thông qua mạng của nhà cung cấp
dịch vụ của một kết nối WAN.
Chuyển mạch kênh phù hợp với hai phương thức truyền dữ liệu : Truyền bó
dữ liệu và Truyền dòng dữ liệu, được sử dụng rộng rãi trong các công ty điện thọai,
chuyển mạch kênh hoạt động tương tự một cuộc gọi điện thoại thông thường.
Chuyển mạch gói - Packet Switching:
17
Hình 2.3: Mô phỏng chuyển mạch mạng WAN
Hình 2.4: Chuyển mạch gói dữ liệu qua mạng của nhà cung cấp dịch vụ

18. Chuyển mạch gói là một phương pháp chuyển mạch WAN, trong đó các thiết
bị mạng chia sẻ một kết nối điểm - điểm để truyền một gói dữ liệu từ nơi gửi đến
nơi nhận thông qua mạng của nhà cung cấp dịch vụ. Các kỹ thuật ghép kênh được
sử dụng để cho phép các hiết bị chia sẻ kết nối .
ATM ( Asynchronous Transfer Mode : Truyền không đồng bộ.), Frame relay,
SMDS- Switched Multimegabit Data Service, X.25 là các ví dụ của công nghệ
chuyển mạch gói .
Mạch ảo - Virtual Circuits: Mạch ảo là một mạch logic được tạo nên để đảm
bảo độ tin cậy của việc truyền thông giữa hai thiết bị mạng. Mạch ảo có 2 loại
:Mạch ảo chuyển mạch ( Switched virtual circuit - SVC ) và mạch ảo cố định
( permanent virtual circuit - PVC).
2.2. Công nghệ xử lý truyền dẫn trên mạng diện rộng
Các giao thức nối tiếp đồng bộ (Synchronous Serial Protocols):
Các giao thức nối tiếp đồng bộ sử dụng tín hiệu đồng hồ chính xác giữa DCE
và DTE để truyền dữ liệu theo thời gian. Trong truyền thông đồng bộ, một số lượng
lớn khung dữ liệu được gửi đi khi đồng hồ đồng bộ và tốc độ truyền dữ liệu được
xác lập từ trước. Đây là phương pháp truyền thông sử dụng băng thông rất hiệu quả,
và các giao thức truyền tín hiệu đồng bộ bao gồm: V.35, X.21, RS-449, RS-530, RS
-232 (EAI/TIA).
Mặc dù mỗi giao thức “giao diện” sử dụng một loại bộ kết nối riêng, phần lớn
các bộ kết nối có thể được sử dụng cho nhiều giao diện khác nhau. Thông thường,
loại phần cứng bạn có sẽ quyết định bộ kết nối nào được sử dụng. Trong thực tế,
hãy kiểm tra số đầu cắm trong bộ kết nối để chắc chắn nó phù hợp với cổng nối tiếp
18

19. của thiết bị. Những loại bộ kết nối phổ biến gồm (các số thể hiện số chân cắm trong
bộ kết nối): DB60, DB15, DB25, DB9.
Các giao thức không đồng bộ (Asynchronous Protocol): Các giao thức
truyền không đồng bộ sẽ đưa thêm các bít bắt đầu (start bit) và bit kết thúc (stop bit)
vào mỗi gói tin để truyền tin, thay vì bắt buộc thiết bị gửi và thiết bị nhận sử dụng
thoả thuận trước về nhịp đồng hồ. Truyền tín hiệu không đồng bộ thường được sử
dụng giữa 2 modem. Tuy nhiên, đây là phương pháp truyền có phụ phí vì các bit
phụ thêm sẽ làm chậm tốc độ truyền dữ liệu.
Các giao thức không đồng bộ được sử dụng để thiết lập chuẩn cho truyền
thông của các modem tương tự. Một modem có thể hỗ trợ một hoặc nhiều chuẩn
truyền thông không đồng bộ khác nhau. Các giao thức truyền thông không đồng bộ
bao gồm: V92, V.45, V.35. V.34. V.32, V.32 bis, V.32 turbo.V.22.
Truyền tín hiệu không đồng bộ sử dụng đường dây điện thoại và jack cắm chuẩn.
Các bộ kết nối có thể là: RJ-11 (2dây), RJ-45 (4 dây), RJ-48.
Các phương pháp đóng gói dữ liệu trong mạng WAN: Các giao thức lớp
vật lý của mạng WAN sẽ xác định phần cứng và phương pháp truyền tín hiệu bit.
Các giao thức thuộc lớp liên kết dữ liệu sẽ kiểm soát những chức năng dưới đây:
• Kiểm tra và sửa lỗi.
• Thiết lập liên kết.
• Tổ chức các trường (field) của khung dữ liệu.
• Điều khiển luồng điểm tới điểm (point-to-point flow control).
19
Hình 2.5: Mô phỏng
Truyền dữ liệu đồng bộ Truyền dữ liệu không đồng bộ

20. Các giao thức lớp liên kết vật lý còn xác định phương pháp đóng gói dữ liệu
hoặc định dạng của khung dữ liệu. Phương pháp đóng gói dữ liệu trong mạng WAN
thường được gọi là HDLC (high-level data link control - điều khiển liên kết dữ liệu
mức cao). Thuật ngữ này vừa là tên chung cho các giao thức Liên kết Dữ liệu vừa là
tên của một giao thức trong bộ giao thức và dịch vụ mạng WAN. Tuỳ thuộc vào
dịch vụ mạng WAN và phương pháp kết nối, bạn có thể sử dụng một trong những
phương pháp đóng gói dữ liệu sau đây:
• Cisco HDLC cho kết nối đồng bộ, điểm tới điểm với các bộ định tuyến Cisco
khác.
• LAPB cho mạng X.25.
• LAPD, sử dụng kết hợp với các giao thức khác cho các kênh B trong mạng
ISDN.
• Cisco/IETF cho các mạng Frame Relay.
Hình trên cho chúng ta thấy những phương pháp đóng gói dữ liệu thông
thường nhất và cách thức sử dụng cho các loại kết nối mạng WAN điển hình. Như
có thể thấy trong hình vẽ, PPP là phương pháp linh hoạt có thể sử dụng cho nhiều
loại kết nối mạng WAN . Nói chung, sử dụng phương pháp nào sẽ phụ thuộc vào
loại của dịch vụ mạng WAN, chẳng hạn Frame Relay hay ISDN, và cả phương
pháp đóng gói dữ liệu của nhà cung cấp dịch vụ mạng.
20
Hình 2.6: Mô phỏng các kết nối WAN điển hình

21. 2.3. Thiết bị tích hợp mạng diện rộng
a. Modem số:
Modem số khác với các loại modem tương tự (chuẩn V90, V92) bởi khả năng
xử lý số, tốc độ xử lý tương thích với các hệ thống phân cấp số chuẩn Châu âu,
chuẩn Châu á
b. CSU/DSU (Chanel Service Unit/Data Service Unit):
Đây là thiết bị kết nối các mạng với đường truyền tốc độ cao như T1. Thiết bị
này định dạng các dòng dữ liệu thành các khuôn dạng khung (framing) và xác định
mã đường truyền cho các đường truyền số. Một số CSU/DSU còn là các bộ dồn
kênh, hoặc được tích hợp sẵn trong các bộ định tuyến. CSU/DSU khác hơn so với
modem số. Modem chuyển dữ liệu từ dạng tương tự sang dạng số và ngược lại
trong khi đó CSU/DSU chỉ định dạng lại các dữ liệu từ dạng số đã có.
• CSU nhận tín hiệu và truyền tín hiệu nhận được tới đường dây mạng WAN,
phản xạ tín hiệu trả lời khi các công ty điện thoại cần kiểm tra thiết bị và
ngăn nhiễu điện từ.
• DSU tương tự như một modem giữa DTE và CSU. Nó chuyển các khung dữ
liệu từ định dạng sử dụng trong mạng LAN thành định dạng sử dụng trên
đường T-1 và ngược lại. Nó còn quản lý đường dây, lỗi phân chia thời gian
và tái tạo tín hiệu.
c. Thiết bị chuyển mạch:
Công nghệ ngày nay có thể hiểu khái niệm về switch rộng hơn, nó không chỉ
hạn chế ở tầng 2 của OSI mà nó được coi là một thiết bị chuyển mạch gói tin,
chuyển mạch kênh thông tin, hoặc switch nhiều lớp.
21
Hình 2.7: kết nối mạng dùng Modem số

22. d.Router: Là thiết bị được dùng khi thực hiện kết nối hai loại mạng khác
nhau. Chức năng của nó là định tuyến (dẫn đường “routing”) cho gói tin có thể đi từ
mạng này sang mạng kia. Các gói tin khi truyền trên mạng cần biết được đường để
đến đích (chuyển từ mạng này đến mạng khác), thông tin lưu trữ đường đi của gói
tin được lưu trữ trong bảng định tuyến của router với các giá trị trong bảng routing
table (bảng chứa đường dẫn đến các mạng).
e. Multiplexer (Bộ dồn kênh):
Như hình vẽ dưới đây, bộ dồn kênh hoạt động tại hai đầu của đường truyền.
22
Hình 2.8: Mô phỏng mạng chuyển mạch WAN
Hình 2.9: Mô hình kết nối Router trong WAN
Hình 2.10: Mô tả kết nối bộ dồn kênh trong WAN

23. Tại đầu gửi tín hiệu, bộ dồn kênh là thiết bị kết hợp tín hiệu từ hai hay nhiều
thiết bị khác để truyền trên một đường truyền. Tại đầu nhận, một bộ dồn kênh với
chức năng giải kênh sẽ tách tín hiệu kết hợp thành tín hiệu riêng rẽ như ban đầu.
Nhiều bộ định tuyến trên mạng WAN có tích hợp sẵn các bộ dồn kênh.
Bộ dồn kênh thống kê (Statistical multiplexer): Sử dụng các kênh ảo riêng biệt
trên cùng một đường truyền vật lý để gửi đồng thời những tín hiệu khác nhau. (các
tín hiệu được chuyển cùng một lúc trên đường truyền).
Bộ dồn kênh phân chia theo thời gian (Time-division multiplexer): Gửi các gói
dữ liệu của các tín hiệu khác nhau ở những khoảng thời gian khác nhau. Thay vì
chia đường truyền vật lý thành các kênh, nó cho phép các dòng dữ liệu sử dụng
đường truyền ở những “khe” thời gian xác định (các tín hiệu lần lượt được sử dụng
đường truyền trong những khoảng thời gian ngắn).
f. Access Server:
Access Server có chức năng quản lý các luồng thông tin truy nhập trên WAN
vào trong mạng LAN.
2.4. Phương tiện truyền dẫn trong mạng diện rộng.
2.4.1. Công nghệ đường dây thuê bao số xDSL
Đường dây thuê bao số (DSL) là công nghệ làm tăng khả năng truyền dẫn
thông tin trên đường điện thoại thông thường (các tổng đài PSTN địa phương)
của các gia đình, văn phòng. Tốc độ đường DSL phụ thuộc vào khoảng cách giữa
khách hàng và tổng đài cung cấp số cho thuê bao. Trên đường DSL có thể truyền
đồng thời các tín hiệu thoại, hình ảnh, dữ liệu. DSL có hai dạng là DSL đối xứng,
và DSL không đối xứng. DSL không đối xứng (ADSL) dùng để làm đường kết
23
Hình 2.11: Mô tả kết nối Access Server trong WAN

24. nối truy cập Internet, nó có thể cấp cho băng thông đường xuống từ 1.5Mbps –
8Mbps, băng thông đường lên từ 64Kbps-640Kbps.
DSL đối xứng (SDSL, HDSL…) được xây dựng để phục vụ cho mạng
truyền dữ liệu.
Công nghệ ADSL:(Asymmetric Digital Subscriber Line)
ASDL là một chuẩn được Viện tiêu chuẩn quốc gia Hoa Kỳ thông qua năm
1993 và gần đây đã được Liên minh viễn thông quốc tế ITU công nhận và phát
triển. ADSL có thể coi là công nghệ ghép kênh theo tần số (FDM) ghép các kênh
truyền logic trên đường truyền vật lý. Những kênh truyền logic được thiết lập bởi
hệ thống modem số ở hai đầu dây điện thoại. Trên dải thông tần quy định cho
đường lên, đường xuống, tốc độ đường xuống có ưu điểm là cao hơn (1,544
Mbps đến 8 Mbps), trong khi đường lên đạt tốc độ 64kbps đến 640kbps.
24
Hình 2.12: Cấu trúc chung của mạng cung cấp dịch vụ băng rộng
Hình 2.13: Sử dụng băng tần của ADSL

25. Kỹ thuật xử lý băng thông ADSL: Băng thông lớn nhất được hỗ trợ trên cặp
dây dẫn dùng cáp đồng là 1MHz, nó được chia làm ba phần riêng biệt:
• Băng thông cho tín hiệu thoại thông thường
• Kênh đường xuống phần tốc độ bit cao
• Kênh đường lên tốc độ bit thấp
Phương pháp xử lý ghép kênh như sau: Trên dải thông tần, phần băng tần
cho tín hiệu thoại được giữ nguyên, Các phần băng tần xử lý cho đường
uplink/downlink được phân chia thành các dải tần nhỏ hơn, mỗi dải thông tần
nhỏ do một cặp modem ở hai đầu ADSL xử lý, sao cho thông tin có thể được
mang trên dải thông tần đó. Thông tin sẽ được ghép lại bởi một hệ thống các
modem bên trong thiết bị ADSL. Như vậy, chức năng ghép kênh theo tần số sẽ
tạo được băng thông rộng khi ghép các băng thông con lại với nhau.
2.4.2. Công nghệ ISDN.
Dịch vụ ISDN (Intergrated Services Digital network) là mạng số tích hợp
đa dịch vụ cho phép tiếng nói, văn bản, hình ảnh và video truyền đồng thời qua
đôi dây điện thoại thường. ISDN có thể thực hiện nhiều kết nối trên đôi dây này
tại cùng một thời điểm với tốc độ cao. Các ứng dụng bao gồm: Voice, Fax, Data,
và email đồng thời; hội nghị truyền hình giá thấp; quảng bá từ xa và truyền audio
chất lượng cao.
Ứng dụng phổ biến nhất của ISDN là kết nối quay số truy cập Internet tốc
độ cao và dịch vụ kết nối LAN-LAN giữa hai văn phòng cách xa nhau. ISDN
cũng được sử dụng rộng rãi trong dịch vụ video như điện thoại thấy hình: cho
phép truyền đồng thời hình ảnh và âm thanh giữa hai điểm, nhờ vậy hai bên có
thể cùng lúc đàm thoại và thấy hình ảnh của nhau. Ngoài ra truyền fax qua ISDN
sẽ đạt tốc độ và chất lượng cao. Kênh truyền số ISDN có các cấp bậc khác nhau:
2.4.3. Frame relay.
Frame Relay là dịch vụ nối mạng dữ liệu theo phương thức chuyển mạch
gói, hoạt động ở mức liên kết (link level) và rất thích hợp với truyền số liệu dung
lượng lớn. Về mặt cấu trúc, Frame Relay đóng gói dữ liệu và chuyển đi theo
cùng cách thức được sử dụng bởi dịch vụ X25. Khác biệt là X25 được cài đặt ở
25

26. mức 2 (mức vật lý) và mức 3 (mức mạng) trong mô hình OSI (Open System
Interconnection), trong khi Frame Relay chỉ đơn giản là một giao thức ở mức 2,
bỏ qua các tiện ích sửa lỗi trong cấu trúc khung, điều khiển luồng thông tin (flow
control). Khung có lỗi sẽ bị hủy bỏ chứ không sửa chữa, nhờ vậy thời gian xử lý
tại bộ chuyển mach giảm, nên Frame Relay dạt mức thông lượng cao hơn cả mức
cao nhất của X25.
Frame Relay, cũng như X25, tiết kiệm đáng kể so với đường thuê riêng
(private linh) nhờ tính năng dồn kênh cho phép thiết lập nhiều kết nối (hoặc cuộc
thoại) trên cùng một đường dây vật lý. Trên đường vật lý kết nối duy nhất, Frame
Relay hỗ trợ nhiều ứng dụng khác nhau của khách hàng như: TCP/IP, NetBIOS,
SNA..., cho cả các ứng dụng thoại. Nhờ vậy tiết kiệm chi phí băng thông, đường
dây cũng như thiết bị truyền dẫn và thiết bị kết nối.
2.4.4. Công nghệ ATM:
Chế độ truyền không đồng bộ (Asynchoronous Trangfer Mode - ATM).
Là một chuẩn của ITU-T dùng chuyển tiếp tế bào (là những gói tin kích
thước nhỏ 53 byte) sử dụng cho nhiều loại dịch vụ như tiếng nói, hình ảnh, dữ
liệu.. đáp ứng được thời gian thực.
Các thiết bị ATM:ATM là công nghệ dồn kênh và chuyển mạch tế bào, nó
là tổng hợp các ưu điểm của chuyển mạch kênh (đảm bảo dung lượng và trễ
truyền cố định) với ưu điểm của chuyển mạch gói (xử lý mềm dẻo lưu lượng hay
gián đoạn). ATM cũng cung cấp dải thông biến đổi từ vài Megabit/giây đến
nhiều Gigabit/giây. ATM là công nghệ không đồng bộ có nhiều ưu điểm hơn so
với các công nghệ như truyền đồng bộ, ghép kênh theo thời gian (TDM). Trong
ghép kênh phân chia theo thời gian thiết bị tham gia truyền thông được gán cố
định cho một khe thời gian. Đối với ATM, khe thời gian được xử lý mềm dẻo và
có thể giải phóng ngay sau khi kết thúc phiên truyền thông.
26
Hình 2.14: Mô tả kiến trúc mạng ATM

27. Một mạng ATM được tạo nên bởi một chuyển mạch ATM và các điểm cuối
ATM. Chuyển mạch ATM tiếp nhận các tế bào vào từ một điểm cuối hoặc một
chuyển mạch ATM khác. Nó đọc và cập nhật thông tin trong phần mào đầu
“header” của tế bào và nhanh chóng chuyển tiếp tế bào đó đến đích. Một điểm
cuối ATM (hoặc là hệ thống cuối) có chứa một bộ tiếp hơp giao diện mạng
ATM, và có thể là trạm làm việc, hay bộ chọn đường…
Các dịch vụ ATM:
Có ba kiểu dịch vụ ATM là: loại kênh ảo cố định (PVC, Permanent Virtual
Chanel), kênh ảo chuyển mạch (SVC, Switching Virtual Chanel), và dịch vụ
không kết nối. PVC cho phép kết nối trực tiếp giữa các vị trí tương tự với đường
thuê bao riêng, SVC được tạo ra và duy trì trong quá trình truyền dữ liệu, huỷ kết
nối sau khi hoàn thành quá trình truyền tin.
ATM dùng hai kiểu kết nối: Tuyến ảo, được xác định bằng số hiệu tuyến ảo
(VPI); kênh ảo (VC), được xác định bởi tổ hợp tuyến ảo và số hiệu kênh ảo.
2.4.5. Đường thuê bao kênh riêng(leased line):
Cách kết nối phổ biến nhất hiện nay giữa hai điểm có khoảng cách xa vẫn là
Leased Line (tạm gọi là đường thuê bao). Leased Line là các mạch số (digital
circuit) kết nối liên tục, được các công ty viễn thông cho thuê, nên có tên là
Leased Line. Leased Line được phân làm hai lớp chính là Tx (theo chuẩn của Mỹ
và Canada) và Ex (theo chuẩn của châu Ấu, Nam Mỹ và Mehicô), x là mã số chỉ
băng thông (bandwidth) của kết nối. Thông số kỹ thuật của các đường truyền Tx
và Ex được liệt kê trong bảng dưới.
27
Hình 2.15: Kênh ảo (VC) và tuyến ảo (VP) trong ATM
Bảng2.2: Phân cấp băng thông đường leased line

28. CHƯƠNG 3
AN NINH MẠNG
3.1. Tổng quan an ninh mạng.
Khai thác hệ thống thông tin hiệu quả là nhu cầu thiết thực nhất đối với một
doanh nghiệp, tính hiệu quả của khai thác thông tin phụ thuộc rất nhiều vào chất
lượng thông tin nhận được. Môi trường thông tin doanh nghiệp bên cạnh những mặt
lợi ích là những rủi ro gặp phải. Rủi ro có thể bắt nguồn từ nhiều nguyên nhân khác
nhau như: Sự rò rỉ thông tin quan trọng ra bên ngoài, sự mất mát & sai khác thông
tin quan trọng gây ra bởi tác động của con người. Để ngăn chặn những rủi ro không
đáng có cần có những biện pháp để bảo mật, an ninh của doanh nghiệp chống lại
những sự tấn công can thiệp từ bên ngoài, những hành vi tác động ở bên trong
mạng.
Yêu cầu cấp thiết của an toàn bảo mật thông tin ngày nay, đặc biệt trong môi
trường mạng Internet là nhiệm vụ chung của các quốc gia, các tổ chức tham gia trao
đổi thông tin trên môi trường mạng. Các tiêu chuẩn an toàn bảo mật được phát triển,
ta có thể biết thông qua chuẩn ISO/IEC 17799, RFC 2401, 2402…
28

29. • Chiến lược doanh nghiệp: (Xây dựng mô hình quản lý các nguy cơ an ninh
thông tin)
o Bảo vệ dữ liệu doanh nghiệp, tài sản doanh nghiệp.
o Xây dựng, và bảo vệ các giao dịch tin cậy với các khách hàng, các đối tác.
o Hoạch định các nguy cơ bảo mật
o Xây dựng hệ thống an ninh thông tin cho doanh nghiệp
• Quy trình hoạt động doanh nghiệp: (xây dựng những giải pháp an toàn
thông tin)
o An ninh thông tin doanh nghiệp hoạt động liên tục
o Giảm thiểu chi phí quản lý và quản trị an ninh thông tin.
o Duy trì chính sách bảo mật thông tin riêng cho từng ứng dụng cụ thể
• Ứng dụng doanh nghiệp: (bảo vệ an toàn các ứng dụng doanh nghiệp)
o Quản lý định danh người dùng truy cập, khai thác mạng doanh nghiệp
o Tăng cường kiểm tra, giám sát người dùng mạng
o Thực hiện các giải pháp ứng với các mức an ninh thông tin tương xứng
o Chủ động triển khai các giải pháp an ninh thông tin ứng dụng công nghệ
mới
• Hạ tầng hệ thống thông tin: (an toàn hạ tầng cơ sở HTTT)
29
Chiến lược
doanh nghiệp
Quy trình hoạt động
doanh nghiệp
Ứng dụng doanh nghiệp
Hạ tầng cơ sở hệ thống thông tin
Hình 3.1: Mô hình kiến trúc an ninh thông tin của doanh nghiệp

30. o Phát hiện và quản lý xâm nhập trái phép
o Sử dụng các phương pháp mới, công nghệ mới
o Chọn lựa các thành phần xây dựng hệ thống an ninh thông tin
o Quản lý an ninh hạ tầng cơ sở HTTT
3.2. An ninh trên hạ tầng cơ sở
3.2.1. Dùng PKI (Public Key Infrastructure).
Cấu trúc hạ tầng mã khoá công cộng (PKI - Public Key Infrastructure - hay
còn gọi là Hạ tầng mã khoá bảo mật công cộng hoặc Hạ tầng mã khoá công khai)
cùng các tiêu chuẩn và các công nghệ ứng dụng của nó có thể được coi là một
giải pháp tổng hợp và độc lập. PKI bản chất là một hệ thống công nghệ vừa mang
tính tiêu chuẩn, vừa mang tính ứng dụng được sử dụng để khởi tạo, lưu trữ và
quản lý các chứng thực điện tử (digital certificate) cũng như các mã khoá công
cộng và cá nhân. Sáng kiến PKI ra đời năm 1995, khi mà các tổ chức công
nghiệp và các chính phủ xây dựng các tiêu chuẩn chung dựa trên phương pháp
mã hoá để hỗ trợ một hạ tầng bảo mật trên mạng Internet. Tại thời điểm đó, mục
tiêu được đặt ra là xây dựng một bộ tiêu chuẩn bảo mật tổng hợp cùng các công
cụ và lý thuyết cho phép người sử dụng cũng như các tổ chức (doanh nghiệp
hoặc phi lợi nhuận) có thể tạo lập, lưu trữ và trao đổi các thông tin một cách an
toàn trong phạm vi cá nhân và công cộng.
Giờ đây, những nỗ lực hoàn thiện PKI vẫn đang được đầu tư và thúc đẩy.
Và để hiện thực hoá ý tưởng tuyệt vời này, các tiêu chuẩn cần phải được nghiên
cứu phát triển ở các mức độ khác nhau bao gồm: mã hoá, truyền thông và liên
kết, xác thực, cấp phép và quản lý. Nhiều chuẩn bảo mật trên mạng Internet,
chẳng hạn Secure Sockets Layer/Transport Layer Security (SSL/TLS) và Virtual
Private Network (VPN), chính là kết quả của sáng kiến PKI. Một minh chứng là
thuật toán mã hoá bất đối xứng được xây dựng dựa trên phương pháp mã hoá và
giải mã thông tin sử dụng hai loại mã khoá: công cộng và cá nhân. Trong trường
hợp này, một người sử dụng có thể mã hoá tài liệu của mình với mã khoá bí mật
và sau đó giải mã thông tin đó bằng chìa khoá công cộng. Nếu một văn bản có
chứa các dữ liệu nhạy cảm và cần phải được truyền một cách bảo mật tới duy
30

31. nhất một cá nhân, thông thường người gửi mã hoá tài liệu đó bằng mã khoá riêng
và người nhận sẽ giải mã sử dụng mã khoá công khai của người gửi. Mã khoá
công khai này có thể được gửi kèm theo tài liệu này hoặc có thể được gửi cho
người nhận trước đó.
Bởi sự tồn tại của khá nhiều thuật toán bất đối xứng, các chuẩn công cộng
tồn tại và thường xuyên được nghiên cứu cải tiến để phù hợp các thuật toán đó.
Có một minh chứng khá đơn giản: Nếu những người sử dụng làm việc ở các tổ
chức khác nhau và chỉ có thể truyền thông với nhau qua một mạng công cộng,
chẳng hạn Internet, như vậy sẽ cần phải xây dựng các tiêu chuẩn ở từng bước
khác nhau. Thứ nhất, cần phải xác định phương thức các chứng thực được phát
hành. Một người nhận được xác thực cần phải chấp nhận tính hợp lệ của chứng
thực đó và tin tưởng bộ phận thẩm quyền phát hành chứng thực đó. Thứ hai, các
chuẩn phải thiết lập phương thức các chứng thực được truyền thông giữa các chủ
thể (đơn vị hoặc bộ phận) khác nhau. Email và các dạng truyền thông khác đều
dựa trên các tiêu chuẩn công nghệ và thông thường các chuẩn này không nhất
thiết phải hỗ trợ PKI. Để hiện thực hoá kịch bản như mô tả ở trên, ta cần phải có
các quy tắc và tiêu chuẩn hỗ trợ việc các chứng thực được phát hành bởi các chủ
thể có thẩm quyền khác nhau có thể trao đổi và giao dịch giữa các tổ chức khác
nhau. Thứ ba, các tiêu chuẩn phải định nghĩa rõ được các thuật toán có thể và
phải bao gồm. Cuối cùng, các tiêu chuẩn phải chỉ ra được cách thức duy trì các
hạ tầng cấu trúc truyền thông. Bên cạnh đó, chúng cũng phải xây dựng được
danh sách người dùng được cấp chứng thực và danh sách những chứng thực bị
huỷ bỏ. Hãy quyết định cách thức các thẩm quyền cấp chứng thực khác nhau sẽ
được truyền thông với nhau và phương pháp tái lập lại một chứng thực trong
trường hợp xảy ra mất mát.
Cấu trúc PKI trong các hạ tầng HTTT được sử dụng trong các ứng dụng
mạng. Như khi có website sử dụng SSL/TLS, như khi kết nối và làm việc trong
mạng nội bộ sử dụng chuẩn VPN và Point To Point Tunneling Protocol (PPTP),
hoặc như khi đang dùng các tính năng mã hoá của IPSec.
PKI có thể đảm bảo một cơ chế bảo mật và tổng hợp để lưu trữ và chia sẻ
các tài sản trí tuệ của tổ chức doanh nghiệp, cả trong và ngoài phạm vi tổ chức.
31

32. Tuy nhiên, chi phí và/hoặc sự phức tạp của nó có thể gây ra những rào cản nhất
định đối với khả năng ứng dụng.
Những vấn đề phức tạp có thể được hiểu như sau: Đa phần các giao dịch
truyền thông của doanh nghiệp với khách hàng, chính quyền và các đối tác khác
đều được diễn ra một cách điện tử. Khi ta nhận thức được tất cả các kênh khác
nhau trong các giao dịch đó, ta sẽ là một trong số ít các chuyên gia IT giỏi nhất.
Một khi ta mở cánh cửa đối với email, phải thừa nhận rằng mọi thứ có thể gửi đi
sẽ được gửi đi, không kể đó là giữa các đối tác, trong nội bộ công ty hay thậm chí
vượt qua “ranh giới” công ty. Một ví dụ trong số đó là một người nhận "bên
ngoài" có tên trong dòng Cc có thể nhận được một tài liệu mật và gửi nó trên các
kênh không an toàn khác. Khi có ý định giải quyết vấn đề này hoặc các vấn đề
khác tương tự, một công việc quan trọng là cần phải quyết định về mức độ mở
rộng của “biên giới" bảo mật, những tài sản " bạn phải bảo vệ, và mức độ bất hợp
lý bạn sẽ phải áp dụng đối với những người dùng”.
Ngày nay, một giải pháp an ninh toàn diện cạnh tranh với PKI thực sự chưa
được tìm thấy. Từ góc độ giải pháp công nghệ, điều này làm cho việc chọn lựa
trở nên đơn giản hơn. Nhiều hãng khác cũng cung cấp các giải pháp PKI, song
nếu doanh nghiệp đã từng được đầu tư cho các công nghệ của Microsoft, thì có
thể sẽ tận dụng được những lợi thế mà tập đoàn này hỗ trợ. Với những cải tiến
lớn với PKI trong Windows XP Professional (dành cho máy trạm) và Windows
Server (dành cho máy chủ) Microsoft đưa ra giải pháp có thể giải quyết được các
vấn đề chính liên quan tới một chính sách bảo mật PKI. Những tính năng này,
cùng khả năng quản lý và liên kết PKI, đã được tích hợp vào hệ điều hành và các
ứng dụng có liên quan.
PKI cho phép tạo ra một quan hệ tin cậy giữa các chứng thực của các tổ
chức khác nhau và giải pháp PKI của Windows Server 2003 cũng bao gồm tính
năng này. Nó giúp các doanh nghiệp bắt đầu với một phạm vi quan hệ tin cậy
không lớn và cho phép mở rộng phạm vi này trong tương lai.
3.2.2. Dùng RSA
Khái niệm RSA:
32

33. RSA là một hệ thống bảo mật khoá công cộng cho cả hai cơ chế mã hoá và
xác thực; nó được phát minh vào năm 1977 bởi Ron Rivest, Adi Shamir, và
Leonard Adleman. RSA được ứng dụng trong cả hai lĩnh vực an ninh thông tin là
Mã hoá RSA privacy và Xác thực RSA.
Mã hoá RSA privacy: Giả định rằng người A muốn gửi cho người B một
bản tin m, A tạo một văn bản dạng mã hoá c tạo bởi (c=me
mod n), e và n là
khoá công cộng của người B. Người A gửi c cho người B. Để giải mã, người B
thực hiện m=cd
mod n; Mối liên hệ giữa e và d đảm bảo rằng người B khôi phục
đúng n. Vì chỉ người B biết d, do vậy chỉ người B có thể giải mã.
Xác thực RSA: Giả định người A muốn gửi cho người B bản tin m theo cái
cách mà người B được đảm bảo rằng bản tin là tin cậy và được gửi từ người A.
người A tạo một dạng chữ ký số hoá s bởi công thức: s=md
mod n, d và n là khoá
riêng của người A. Người A gửi m và s cho người B. Để xác minh lại chữ ký số,
người B dùng công thức m=se mod n dựa trên bản tin m nhận được, e và n là
khóa công cộng của người A.
Vì thế, mã hoá và xác thực có thể được sử dụng mà không cần phải chia sẻ
khoá riêng, mỗi người chỉ dùng khoá công cộng của người khác và khoá riêng
của chính mình. Bất kỳ người nào có thể gửi một bản tin đã mã hoá hoặc xác
minh lại bản tin đã được xác nhận chữ ký số, bằng cách chỉ dùng khoá chung,
nhưng chỉ người nào đó có được khoá riêng đúng thì có thể giải mã hoặc xác
thực bản tin.
Ứng dụng RSA:
Các sản phẩm RSA ngày nay đã trở nên phổ biến trong tất cả các lĩnh vực
quan tâm đến giải pháp an ninh thông tin như: RSA securID authentication,
Smart Card & USB tokens, Digital Certificate, Quản lý truy nhập Web, RSA
Mobile …
Công nghệ RSA Mobile:
Công nghệ RSA Mobile là một giải pháp xác thực tiên tiến mà bảo vệ truy
cập tới các tài nguyên thông tin trên web bằng cách cung cấp giải pháp xác thực
hai yếu tố (Two-factor user authentication) thông qua việc sử dụng các thiết bị
mobile phones và PDA. Được thiết kế để bảo vệ các ứng dụng B2C và B2B,
33

34. phần mềm RSA Mobile yêu cầu người dùng định danh chính họ với hai yếu tố
riêng biệt của từng người – cái mà họ biết (số PIN – Personal Identification
Number) và cái mà họ có (mã truy cập sử dụng một lần được gửi tới mobile
phone hoặc PDA của họ) - trước khi họ được cấp quyền tới một trang web được
bảo vệ. Với phần mềm RSA Mobile, các doanh nghiệp có thể nhận dạng một
cách chắc chắn người dùng và cung cấp các dịch vụ quan trọng một cách riêng tư
(confidently), thuận tiện và an toàn cho người dùng ở bất cứ địa điểm nào, tại bất
kỳ thời gian nào. Lợi ích của người dùng là từ việc đăng nhập hệ thống đơn giản,
loại trừ việc phải ghi nhớ quá nhiều mật khẩu hoặc phải sử dụng nhiều loại card
khác nhau.
Bảo vệ truy cập tới các ứng dụng web: Công nghệ RSA Mobile cung cấp
một cách thuận lợi để bảo vệ các tài nguyên web (web resources) bằng giải pháp
xác thực hai yếu tố. Thông qua trình duyệt web (browser), người dùng yêu cầu
truy cập tới một tài nguyên web mà được bảo vệ bởi phần mềm RSA Moblie
Agent bằng cách gửi tên và số PIN riêng của người dùng, phần mềm RSA
Mobile Agent sẽ tạo ra một mã truy cập sử dụng một lần riêng cho mỗi người
dùng và gửi nó tới mobile phone hoặc PDA của họ dưới dạng SMS hoặc tin
34
Hình 3.2 : Mô phỏng an ninh mạng dùng công nghệ RSA Mobile

35. nhắn. Người dùng nhập mã truy cập này vào trình duyệt để hoàn tất quá trình xác
thực. Server RSA Mobile Authentication quản lý quá trình xác thực. Khi người
dùng gửi thông tin xác thực tới, server này xác định thông tin có hợp lệ hay
không.
Giải pháp bảo mật được công nhận: Công nghệ RSA Mobile được xây
dựng trên kỹ thuật đồng bộ thời gian (time-synchronous) và thuật toán
(algorithms) đã được công nhận và đã được sử dụng thành công trong nhiều năm
bởi hàng triệu người dùng. Mã truy cập RSA Mobile được gửi tới mobile phone
hoặc PDA của người dùng bằng cách sử dụng các thuật toán mã hoá như với mã
hoá đường thoại. Phần mềm RSA Mobile còn tiến hành thêm một bước là yêu
cầu người dùng nhập mã truy cập của họ vào đúng trình duyệt web mà họ đã
dùng để đưa ra yêu cầu truy cập, điều này ngăn chặn một ai đó đánh cắp được mã
truy cập có thể sử dụng nó để truy cập bất hợp pháp trên một máy tính khác.
Hỗ trợ nhiều phương thức xác thực : Công nghệ RSA Mobile cung cấp cho
người quản trị khả năng chuyển đổi phương thức xác thực cho các tài nguyên
khác nhau. Ví dụ, một vài tài nguyên có thể sử dụng các phương thức xác thực
như sử dụng RSA token hoặc mật khẩu. Khả năng hỗ trợ nhiều phương thức xác
thực cho phép người quản trị có thể xác định một cách linh hoạt phương thức xác
thực thích hợp trong các hoàn cảnh khác nhau. Các hàm xác thực API được cung
cấp với phần mềm RSA Mobile trao cho người quản trị khả năng tích hợp một
cách dễ dàng các giao diện xác thực đã có vào sản phẩm RSA Mobile.
3.2.3. Dùng Firewall.
Thuật ngữ Firewall có nguồn gốc từ một kỹ thuật thiết kế trong xây dựng để
ngăn chặn, hạn chế hoả hoạn. Trong công nghệ mạng thông tin, Firewall là một
kỹ thuật được tích hợp vào hệ thống mạng để chống sự truy cập trái phép, nhằm
bảo vệ các nguồn thông tin nội bộ và hạn chế sự xâm nhập không mong muốn
vào hệ thống. Cũng có thể hiểu Firewall là một cơ chế (mechanism) để bảo vệ
mạng tin tưởng (Trusted network) khỏi các mạng không tin tưởng (Untrusted
network).
Thông thường Firewall được đặt giữa mạng bên trong (Intranet) của một
doanh nghiệp, tổ chức, ngành hay một quốc gia, và Internet. Vai trò chính là bảo
35

36. mật thông tin, ngăn chặn sự truy nhập không mong muốn từ bên ngoài (Internet)
và cấm truy nhập từ bên trong (Intranet) tới một số địa chỉ nhất định trên Internet.
Chức năng chính của Firewall là kiểm soát luồng thông tin từ giữa Intranet
và Internet. Thiết lập cơ chế điều khiển dòng thông tin giữa mạng bên trong
(Intranet) và mạng Internet. Cụ thể là:
• Cho phép hoặc cấm những dịch vụ truy nhập ra ngoài (từ Intranet ra
Internet).
• Cho phép hoặc cấm những dịch vụ phép truy nhập vào trong (từ Internet
vào Intranet).
• Theo dõi luồng dữ liệu mạng giữa Internet và Intranet.
• Kiểm soát địa chỉ truy nhập, cấm địa chỉ truy nhập.
• Kiểm soát người sử dụng và việc truy nhập của người sử dụng.
• Kiểm soát nội dung thông tin thông tin lưu chuyển trên mạng.
Firewall chuẩn bao gồm một hay nhiều các thành phần sau đây:
• Bộ lọc packet (packet-filtering router)
• Cổng ứng dụng (application-level gateway hay proxy server)
• Cổng mạch (circuite level gateway)
• Bộ lọc paket (Paket filtering router)
Nguyên lý thực hiện của firewall như sau:
Khi nói đến việc lưu thông dữ liệu giữa các mạng với nhau thông qua
Firewall thì điều đó có nghĩa rằng Firewall hoạt động chặt chẽ với giao thức
TCP/IP. Vì giao thức này làm việc theo thuật toán chia nhỏ các dữ liệu nhận đ-
ược từ các ứng dụng trên mạng, hay nói chính xác hơn là các dịch vụ chạy trên
các giao thức (Telnet, SMTP, DNS, SMNP, NFS...) thành các gói dữ liệu (data
pakets) rồi gán cho các paket này những địa chỉ để có thể nhận dạng, tái lập lại ở
đích cần gửi đến, do đó các loại Firewall cũng liên quan rất nhiều đến các packet
và những con số địa chỉ của chúng.
Bộ lọc packet cho phép hay từ chối mỗi packet mà nó nhận được. Nó kiểm
tra toàn bộ đoạn dữ liệu để quyết định xem đoạn dữ liệu đó có thoả mãn một
36

37. trong số các luật lệ của lọc packet hay không. Các luật lệ lọc packet này là dựa
trên các thông tin ở đầu mỗi packet (packet header), dùng để cho phép truyền
các packet đó ở trên mạng. Đó là:
• Địa chỉ IP nơi xuất phát ( IP Source address).
• Địa chỉ IP nơi nhận (IP Destination address).
• Những thủ tục truyền tin (TCP, UDP, ICMP, IP tunnel).
• Cổng TCP/UDP nơi xuất phát (TCP/UDP source port).
• Cổng TCP/UDP nơi nhận (TCP/UDP destination port) .
• Dạng thông báo ICMP ( ICMP message type) .
• Giao diện packet đến ( incomming interface of packet).
• Giao diện packet đi ( outcomming interface of packet).
Nếu luật lệ lọc packet được thoả mãn thì packet được chuyển qua firewall.
Nếu không packet sẽ bị bỏ đi. Nhờ vậy mà Firewall có thể ngăn cản được các kết
nối vào các máy chủ hoặc mạng nào đó được xác định, hoặc khoá việc truy cập
vào hệ thống mạng nội bộ từ những địa chỉ không cho phép. Hơn nữa, việc kiểm
soát các cổng làm cho Firewall có khả năng chỉ cho phép một số loại kết nối nhất
định vào các loại máy chủ nào đó, hoặc chỉ có những dịch vụ nào đó (Telnet,
SMTP, FTP...) được phép mới chạy được trên hệ thống mạng cục bộ.
Ưu điểm:
Đa số các hệ thống firewall đều sử dụng bộ lọc packet. Một trong những ưu
điểm của phương pháp dùng bộ lọc packet là chi phí thấp vì cơ chế lọc packet đã
được bao gồm trong mỗi phần mềm router.
Ngoài ra, bộ lọc packet là trong suốt đối với người sử dụng và các ứng
dụng, vì vậy nó không yêu cầu sự huấn luyện đặc biệt nào cả.
Hạn chế:
Việc định nghĩa các chế độ lọc package là một việc khá phức tạp; đòi hỏi
người quản trị mạng cần có hiểu biết chi tiết vể các dịch vụ Internet, các dạng
packet header, và các giá trị cụ thể có thể nhận trên mỗi trường. Khi đòi hỏi vể sự
lọc càng lớn, các luật lệ về lọc càng trở nên dài và phức tạp, rất khó để quản lý và
điều khiển.
37

38. Do làm việc dựa trên header của các packet, rõ ràng là bộ lọc packet không
kiểm soát được nôi dung thông tin của packet. Các packet chuyển qua vẫn có thể
mang theo những hành động với ý đồ ăn cắp thông tin hay phá hoại của kẻ xấu.
Nhận xét firewall:
Firewall không đủ thông minh như con người để có thể đọc hiểu từng loại
thông tin và phân tích nội dung tốt hay xấu của nó. Firewall chỉ có thể ngăn chặn
sự xâm nhập của những nguồn thông tin không mong muốn nhưng phải xác định
rõ các thông số địa chỉ.
Firewall không thể ngăn chặn một cuộc tấn công nếu cuộc tấn công này
không "đi qua" nó. Một cách cụ thể, firewall không thể chống lại một cuộc tấn
công từ một đường dial-up, hoặc sự dò rỉ thông tin do dữ liệu bị sao chép bất hợp
pháp lên đĩa mềm.
Firewall cũng không thể chống lại các cuộc tấn công bằng dữ liệu (data-
drivent attack). Khi có một số chương trình được chuyển theo thư điện tử, vượt
qua firewall vào trong mạng được bảo vệ và bắt đầu hoạt động ở đây.
Một ví dụ là các virus máy tính. Firewall không thể làm nhiệm vụ rà quét
virus trên các dữ liệu được chuyển qua nó, do tốc độ làm việc, sự xuất hiện liên
tục của các virus mới và do có rất nhiều cách để mã hóa dữ liệu, thoát khỏi khả
năng kiểm soát của firewall.
Tuy nhiên, Firewall vẫn là giải pháp hữu hiệu được áp dụng rộng rãi.
3.2.4. Dùng IDS (Intrusion Detection Systems ).
IDS cho phép các tổ chức doanh nghiệp bảo vệ mạng chống lại những sự đe
doạ công mạng bao gồm: Những điểm yếu của mạng, những nguy cơ tiềm tàng,
và những lỗ hổng mạng hiện tại. Sự đe doạ tấn công một mạng thường bị xảy ra
bởi giao tiếp mạng với Internet, hoặc mạng ứng dụng các công nghệ mới.
Những điểm dễ bị xâm nhập là những điểm yếu của các ứng dụng và HĐH,
những điểm yếu sẽ là những nguy cơ để có thể bị xâm nhập tấn công mạng qua
đó. Những điểm yếu thường được phát hiện bởi những công cụ kiểm tra, quét
mạng. Mọi công nghệ, sản phẩm, những hệ thống mới sẽ sinh ra nhiều lỗi “bugs”
và những điểm yếu cho mạng.
38

39. Nguy cơ tác động tấn công vào những điểm yếu trên mạng thường xảy ra
thường xuyên, Sự xâm nhập tấn công mạng có thể gây ra dừng hệ thống, dừng
dịch vụ, sai khác dữ liệu, mất mát dữ liệu, và là sự thiệt hại không lường trước
cho doanh nghiệp
IDS có thể tăng cường sự bảo vệ cho một tổ chức chống lại nguy cơ xâm
nhập bằng cách mở rộng sự tuỳ chọn sẵn có để quản lý những rủi ro từ những đe
doạ và những điểm yếu.
Tương tự với cách sử dụng tuần tra bảo vệ cho một khu nhà, IDS liên tục
kiểm tra mạng bên trong, kiểm tra tất cả các lưu thông trong mạng ngăn chặn
những hoạt động không mong muốn.
IDS được dùng để phát hiện xâm nhập, xác định và huỷ bỏ những phiên
truyền thông bất hợp pháp, hỗ trợ kiểm tra và phát hiện những nguy cơ tiềm tàng,
bảo vệ điểm yếu chống lại sự xâm nhập trong tương lai.
Có ba loại cơ bản của IDS- Dựa vào mạng (quản lý gói), dựa vào host
(kiểm tra system log phát hiện những biểu hiện xâm nhập hay nhứng hoạt động
của ứng dụng không mong muốn trong thời gian thực), và hệ thống kết hợp.
Hệ thống phát hiện xâm nhập dựa vào mạng: Một phần mềm quản lý
mạng luôn kiểm tra các gói tin hoạt động trên mạng và tìm kiếm những dấu vết
tấn công mạng, dùng sai chính sách mạng, sự bất thường của dữ liệu…Khi một
IDS quan sát, nghi ngờ một sự kiện thì một tác động được kích hoạt như bật chức
năng gửi bản tin, khi đó sự kiện sẽ bị dừng lại, và những chi tiết được ghi lại
dùng để phân tích cho sau này. Loại IDS này dùng để triển khai trên các hệ thống
đứng độc lập, phía trước firewall.
Host Based Intrusion Detection Systems: Một phần mềm quản lý kiểm tra
system logs để phát hiện các dấu vết, các ứng dụng không mong muốn thời gian
thực. Nó cũng quản lý các file hệ thống để phát hiện nguy cơ xâm nhập
3.3. Mạng VPN và Bảo mật trong VPN (Virtual Private network).
3.3.1. Khái niệm VPN.
Phương án truyền thông nhanh, an toàn và tin cậy đang trở thành mối quan
tâm của nhiều tổ chức doanh nghiệp, đặc biệt là các tổ chức có các triển khai
39

40. mạng phân tán về mặt địa lý, công ty đa quốc gia. Giải pháp thông
thường được áp dụng là thuê các đường truyền riêng (leased lines) để duy trì một
mạng WAN (Wide Area Network). Các đường truyền này, được giới hạn từ
ISDN (Integrated Services Digital Network, 128 Kbps) đến đường cáp quang
OC3 (Optical Carrier-3, 155 Mbps). Mỗi mạng WAN đều có các điểm thuận lợi
trên một mạng công cộng như Internet trong độ tin cậy, hiệu năng và tính an
toàn, bảo mật. Nhưng để bảo trì một mạng WAN, đặc biệt khi sử dụng các đường
truyền riêng, có thể trở lên quá đắt và làm tăng giá khi công ty muốn mở rộng các
văn phòng đại diện.
Do bởi gia tăng các dịch vụ ứng dụng trên Internet, các doanh nghiệp mở
rộng mạng (intranet) thông qua môi trường Internet, mà các site được bảo mật
bằng mật khẩu được thiết kế cho việc sử dụng chỉ bởi các thành viên trong công
ty. Hiện tại, có rất nhiều doanh nghiệp sử dụng VPN để kết nối văn phòng chính
với các văn phòng đại diện trên các quốc gia .
Mỗi VPN có thể có một mạng LAN chung tại toà nhà trung tâm của một
công ty, các mạng Lan khác tại các văn phòng từ xa hay các nhân viên làm việc
tại nhà,... kết nối tới
40
Hình 3.5: Kiến trúc VPN của mạng doanh nghiệp

41. Về căn bản, mỗi VPN là một mạng riêng rẽ sử dụng một mạng chung
(thường là internet) để kết nối cùng với các site (các mạng riêng lẻ) hay nhiều
người sử dụng từ xa. Thay cho việc sử dụng bởi một kết nối thực, chuyên dụng
như đường leased line, mỗi VPN sử dụng các kết nối ảo được dẫn đường qua
Internet từ mạng riêng của các công ty tới các site hay các nhân viên từ xa. Trong
bài viết này, chúng ta sẽ xét tới một số các khái niệm cơ bản của VPN và tìm
hiểu về các thành phần cơ bản của VPN, các công nghệ, bảo mật VPN và
đường truyền dẫn.
Có 3 loại VPN thông dụng:
Remote-Access: Hay cũng được gọi là Virtual Private Dial-up Network
(VPDN), đây là dạng kết nối User-to-Lan áp dụng cho các công ty mà các nhân
viên có nhu cầu kết nối tới mạng riêng (private network) từ các địa điểm từ xa.
Điển hình, mỗi công ty có thể hy vọng rằng cài đặt một mạng kiểu Remote-
Access diện rộng theo các tài nguyên từ một nhà cung cấp dịch vụ ESP
(Enterprise Service Provider). ESP cài đặt một một công nghệ Network Access
Server (NAS) và cung cấp cho các user ở xa với phần mềm client trên mỗi máy
của họ. Các nhân viên từ xa này sau đó có thể quay một số từ 1-800 để kết nối
được theo chuẩn NAS và sử dụng các phần mềm VPN client để truy cập mạng
công ty của họ. Các công ty khi sử dụng loại kết nối này là những hãng lớnvới
hàng trăm nhân viên thương mại. Remote-access VPNs đảm bảo các kết nối được
bảo mật, mã hoá giữa mạng riêng rẽ của công ty với các nhân viên từ xa qua một
nhà cung cấp dịch vụ thứ ba (third-party)
Site-to-Site: Bằng việc sử dụng một thiết bị chuyên dụng và cơ chế bảo mật
diện rộng, mỗi công ty có thể tạo kết nối với rất nhiều các site qua một mạng
công cộng như Internet. Các mạng Site-to-site VPN có thể thuộc một trong hai
dạng sau:
Intranet-based: Áp dụng trong truờng hợp công ty có một hoặc
nhiều địa điểm ở xa, mỗi địa điểm đều đã có 1 mạng cục bộ LAN. Khi đó họ có
thể xây dựng một mạng riêng ảo VPN để kết nối các mạng cục bộ đó trong 1
mạng riêng thống nhất.
41

42. Extranet-based: Khi một công ty có một mối quan hệ mật thiết với một
công ty khác (ví dụ như, một đồng nghiệp, nhà hỗ trợ hay khách hàng), họ có thể
xây dựng một mạng extranet VPN để kết nối kiểu mạng Lan với mạng Lan và
cho phép các công ty đó có thể làm việc trong một môi trường có chia sẻ tài
nguyên.
Lợi ích của VPN:
• Mở rộng vùng địa lý có thể kết nối được
• Tăng cường bảo mật cho hệ thống mạng
• Giảm chi phí vận hành so với mạng WAN truyền thống
• Giảm thời gian và chi phí truyền dữ liệu đến người dùng ở xa
• Tăng cường năng suất
• Giảm đơn giản hoá cấu trúc mạng
• Cung cấp thêm một phương thức mạng toàn cầu
• Cung cấp khả năng hỗ trợ thông tin từ xa
• Cung cấp khả năng tương thích cho mạng băng thông rộng
• Cung cấp khả năng sinh lợi nhuận cao hơn mạng WAN truyền thống
• Một mạng VPN được thiết kế tốt sẽ đáp ứng được các yêu cầu sau:
• Bảo mật (Security)
• Tin cậy (Reliability)
• Dễ mở rộng, nâng cấp (Scalability)
42
Hình 3.6: Kiến trúc mạng sử dụng 3 loại VPN

43. • Quản trị mạng thuận tiện (Network management)
• Quản trị chính sách mạng tốt (Policy management)
3.3.2. Tính bảo mật của VPN:
Một VPN được thiết kế tốt thường sử dụng vài phương pháp để duy trì kết
nối và giữ an toàn khi truyền dữ liệu:
Bức tường lửa: Một tường lửa (firewall) cung cấp biện pháp ngăn chặn
hiệu quả giữa mạng riêng của bạn với Internet. Bạn có thể sử dụng tường lửa
ngăn chặn các cổng được mở, loại gói tin được phép truyền qua và giao thức sử
dụng. Một vài sản phẩm VPN, chẳng hạn như router 1700 của Cisco, có thể nâng
cấp để bao gồm cả tường lửa bằng cách chạy Cisco IOS tương ứng ở trên router.
Bạn cũng nên có tường lửa trước khi bạn sử dụng VPN, nhưng tường lửa cũng có
thể ngăn chặn các phiên làm việc của VPN.
Mã hoá: Đây là quá trình mật mã dữ liệu khi truyền đi khỏi máy tính theo
một quy tắc nhất định và máy tính đầu xa có thể giải mã được. Hầu hết các hệ
thống mã hoá máy tính thuộc về 1 trong 2 loại sau:
• Mã hoá sử dụng khoá riêng (Symmetric-key encryption)
• Mã hoá sử dụng khoá công khai (Public-key encryption)
Trong hệ symmetric-key encryption, mỗi máy tính có một mã bí mật sử
dụng để mã hoá các gói tin trước khi truyền đi. Khoá riêng này cần được cài trên
mỗi máy tính có trao đổi thông tin sử dụng mã hoá riêng và máy tính phải biết
được trình tự giải mã đã được quy ước trrước. Mã bí mật thì sử dụng để giải mã
gói tin. Ví dụ; Khi tạo ra một bức thư mã hoá mà trong nội dung thư mỗi ký tự
được thay thế bằng ký tự ở sau nó 2 vị trí trong bảng ký tự . Như vậy A sẽ được
thay bằng C, và B sẽ được thay bằng D. Bạn đã nói với người bạn khoá riêng là
Dịch đi 2 vị trí (Shift by 2). Bạn của bạn nhận được thư sẽ giải mã sử dụng chìa
khoá riêng đó. Còn những người khác sẽ không đọc được nội dung thư.
Máy tính gửi mã hoá dữ liệu cần gửi bằng khoá bí mật (symetric key), sau
đó mã hoá chính khóa bí mật (symetric key) bằng khoá công khai của người
nhận (public key). Máy tính nhận sử dụng khoá riêng của nó (private key)
43

44. tương ứng với khoá public key để giải mã khoá bí mật (symetric key), sau đó sử
dụng khoá bí mật này để giải mã dữ liệu
Hệ Public-key encryption sử dụng một tổ hợp khoá riêng và khoá công
cộng để thực hiện mã hoá, giải mã. Khoá riêng chỉ sử dụng tại máy tính
đó, còn khoá công cộng được truyền đi đến các máy tính khác mà nó muốn trao
đổi thông tin bảo mật. Để giải mã dữ liệu mã hoá, máy tính kia phải sử dụng
khoá công cộng nhận được, và khoá riêng của chính nó. Một phần mềm mã hóa
công khai thông dụng là Pretty Good Privacy (PGP) cho phép mã hoá đựợc hầu
hết mọi thứ. Bạn có thể xem thêm thông tin tại trang chủ PGP.
(http://www.howstuffworks.com/framed.htm?parent=encryption.htm&url=http://www.pgp.com/)
Ứng dụng Giao thức bảo mật IPSec: Internet Protocol Security Protocol
cung cấp các tính năng bảo mật mở rộng bao gồm các thuật toán mã hóa và xác
thực tốt hơn. IPSec có hai chế độ mã hoá: kênh tunnel và lớp truyền tải
transport. Mã hoá kênh Tunnel mã hoá cả header và nội dung mỗi gói tin trong
khi mã hoá lớp truyền tải chỉ mã hoá nội dung gói tin. Chỉ có những hệ thống sử
dụng IPSec tương thích mới có khả năng tiên tiến này. Mặc dù vậy, tất cả các
thiết bị phải sử dụng một khoá dùng chung và các tường lửa ở mỗi mạng phải có
chính sách cấu hình bảo mật tương đương nhau. IPSec có thể mã hoá dữ liệu
truyền giữa rất nhiều thiết bị, chẳng hạn như:
• Từ router đến router
• Từ firewall đến router
44
Hình 3.7: Một hệ thông truy cập xa dựa trên VPN sử dụng IPSec

45. • Từ PC đến router
• Từ PC đến server
Máy chủ xác thực, xác nhận và quản lý tài khoản AAA Server
AAA: (Authentication, Authorization, Accounting Server) được sử dụng để
tăng tính bảo mật trong truy nhập từ xa của VPN. Khi một yêu cầu được gửi đến
để tạo nên một phiên làm việc, yêu cầu này phải đi qua một AAA server đóng via
trò proxy. AAA sẽ kiểm tra:
• Bạn là ai (xác thực)
• Bạn được phép làm gì (xác nhận)
• Bạn đang làm gì (quản lý tài khoản)
Các thông tin về tài khoản sử dụng đặc biệt hữu ích khi theo dõi người dùng
nhằm mục đích bảo mật, tính hoá đơn, hoặc lập báo cáo.
3.3.3. Các kỹ thuật sử dụng trong VPN
Phụ thuộc vào kiểu VPN (truy nhập từ xa Remote-Access hay kết nối ngang
hàng Site-to-Site), bạn sẽ cần một số thành phần nhất định để hình thành VPN,
bao gồm:
• Phần mềm máy trạm cho mỗi người dùng xa
• Các thiết bị phần cứng riêng biệt, ví dụ như: bộ tập trung (VPN
Concentrator) hoặc tường lửa (Secure PIX Firewall)
• Các máy chủ VPN sử dụng cho dịch vụ quay số
• Máy chủ truy cập NAS (Network Access Server) dùng cho các người dùng
VPN ở xa truy nhập
• Trung tâm quản lý mạng và chính sách VPN
Hiện nay do chưa có tiêu chuẩn rộng rãi để triển khai VPN, rất nhiều công
ty đã tự phát triển các giải pháp trọn gói cho riêng mình.
3.3.4. Kỹ thuật Tunneling
Hầu hết các VPN đều dựa trên tunneling để hình thành mạng riêng ảo trên
nền internet. Về cơ bản, tunneling là quá trình xử lý và đặt toàn bộ các gói
45

46. tin (packet) trong một gói tin khác và gửi đi trên mạng. Giao thức sinh ra các gói
tin được đặt tại cả hai điểm thu phát gọi là giao tiếp kênh - tunnel interface, ở
giao tiếp đó các gói tin truyền đi và đến.
Kênh thông tin yêu cầu bao giao thức khác nhau:
Giao thức sóng mang - Carrier protocol: (còn gọi là giao thức truyền tải)
giao thức này sử dụng trên mạng để thông tin về trạng thái đường truyền.
Giao thức đóng gói - Encapsulating protocol: bao gồm các giao thức
GRE, IPSec, L2F, PPTP, L2TP cho phép che giấu nội dung truyền
Giao thức gói - Passenger protocol: giao thức bao gồm IPX, NetBeui, IP
Tunneling rất tốt khi sử dụng cho VPN. Ví dụ, bạn có thể đặt một gói tin có giao
thức không hỗ trợ cho internet chẳng hạn như NetBeui vào trong một gói tin IP
và truyền nó đi an toàn thông qua mạng Internet. Hoặc là bạn có thể đặt một gói
tin sử dụng trong mạng riêng - không định tuyến được (non-routable) vào trong
một gói tin có địa chỉ IP toàn cầu (định tuyến được) – “globally unique IP
address” và dùng để mở rộng mạng riêng trên nền tảng mạng Internet.
Trong mô hình VPN Site-to-Site, bộ định tuyến dùng chung GRE (Generic
Routing Encapsulation) thường là giao thức đóng gói hỗ trợ cho việc đóng gói
bản tin giao thức gói và truyền đi trên mạng nhờ giao thức sóng mang - thường
dựa trên IP. Nó chứa các thông tin về kiểu gói tin được đóng gói, thông tin về kết
nối giữa máy chủ và máy khách. Thay thế cho GRE, IPSec trong Tunnel Mode
46
Hình 3.8: Kiến trúc VPN Site-to-Site

47. thường sử dụng như giao thức đóng gói. IPSec làm việc tốt trên cả hai mô hình
VPN Remote-Access và Site-to-Site. IPSec hỗ trợ cho cả hai giao thức này.
Trong mô hình VPN truy nhập từ xa, tunneling thường sử dụng PPP. Một
phần của giao thức TCP/IP, PPP là giao thức truyền tải cho các giao thức IP khác
khi thông tin trên mạng giữa các máy tính. Remote-Access VPN tunneling dựa
trên nền tảng PPP.
Mỗi giao thức được liệt kê dưới đây được xây dựng dựa trên nền giao thức
PPP và thường dùng trong VPN truy nhập từ xa.
L2F (Layer 2 Forwarding): do Cisco phát triển, L2F sẽ sử dụng bất kỳ một
cơ chế xác nhận do PPP hỗ trợ.
PPTP (Point-to-Point Tunneling Protocol): do PPTP Forum phát triển,
một nhóm cộng tác bao gồm US Robotics, Microsoft, 3COM, Ascend và ECI
Telematics. PPTP hỗ trợ cho mã hoá 40-bit và 128-bit được sử dụng trong bất kỳ
cơ chế xác nhận nào sử dụng trong PPP.
L2TP (Layer 2 Tunneling Protocol): được phát triển gần đây nhất, L2TP là
sản phẩm do các thành vỉên trong PPTP Forum hình thành nên, Cisco và IETF
(Internet Engineering Task Force). Nó tích hợp các tính năng của cả PPTP và
L2F, L2TP đồng thời cũng hỗ trợ IPSec.
L2TP có thể sử dụng như giao thức kênh thông tin - tunneling protocol
trong mô hình VPN Site-to-Site cũng như VPN tuy nhập từ xa. Trong thực tế,
L2TP có thể tạo kênh thông tin giữa:
• Client và Router
• NAS và Router
• Router và Router
Tunneling giống như chuyên chở máy tính bằng xe ô tô. Nhà cung cấp
đóng gói chiếc máy tính (passenger protocol) vào trong hộp đựng (encapsulating
protocol) và đặt vào xe ô tô (carrier protocol) đang đỗ ở cổng nhà sản xuất (entry
tunnel interface). Ô tô (carrier protocol) sẽ chuyên chở cái máy tình đóng hộp
trên đường (Internet) đến nhà bạn (exit tunnel interface). Bạn nhận chiếc hộp rồi
mở ra (encapsulating protocol) và nhận lấy chiếc máy tính (passenger protocol).
Tunneling đơn giản là như vậy!
47

48. 48

49. CHƯƠNG 4
PHÁT TRIỂN NGN TRONG MÔ HÌNH DOANH NGHIỆP
4.1. Khái niệm mạng NGN (Next Generation Network)
Do nhu cầu phát triển các dịch vụ thông tin mà kiến trúc mạng truyền thống
hiện nay không đáp ứng kịp với nhu cầu phát triển của doanh nghiệp, đòi hỏi phải
có một giải pháp mới hiệu quả và kinh tế hơn. Những dịch vụ mới được khai thác
đưa vào ứng dụng là thoại (VoIP), hội thảo truyền hình từ xa, chẩn đoán khám
chữa bệnh từ xa, thương mại điện tử, truyền âm thanh, video stream, dữ liệu tích
hợp...
Kiến trúc mạng mới để phát triển các dịch vụ này được gọi là mạng thế hệ tiếp
theo NGN (Next Generation Network). NGN, một bước phát triển tiếp theo của
mạng trong lĩnh vực truyền thông, là kết hợp bởi ba mạng truyền thống- PSTN,
49
Hình 4.1: Kiến trúc tổng quát của mạng NGN