Giáo trình hệ tính CCNA 4

pdf 215 trang vanle 3770
Bạn đang xem 20 trang mẫu của tài liệu "Giáo trình hệ tính CCNA 4", để tải tài liệu gốc về máy bạn click vào nút DOWNLOAD ở trên

Tài liệu đính kèm:

  • pdfgiao_trinh_he_tinh_ccna_4.pdf

Nội dung text: Giáo trình hệ tính CCNA 4

  1. BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC KHOA  Giáo trình hệ tính CCNA 4
  2. 483 TẬP 4 CHƯƠNG I:PHÂN CHIA ĐỊA CHỈ IP GIỚI THIỆU Sự phát triển không ngừng của Internet đã làm cho những nhà nghiên cứu bất ngờ. Một trong những nguyên nhân làm cho Internet phát triển nhanh chóng như vậy là do sự linh hoạt, uyển chuyển của thiết kế ban đầu. Nếu chúng ta không có các biện pháp phân phối địa chỉ IP thì sự phát triển của Internet sẽ làm cạn kiệt nguồn địa chỉ IP. Để giải quyết vấn đề thiếu hụt địa chỉ IP, nhiều biện pháp đã được triển khai. Trong đó, một biện pháp đã được triển khai rộng rãi là chuyển đổi địa chỉ mạng (Network Address Translation – NAT). NAT là một cơ chế để tiết kiệm địa chỉ IP đăng kí trong một mạng lớn và giúp đơn giản hóa việc quản lý địa chỉ IP. Khi một gói dữ liệu được định tuyến trong một thiết bị mạng, thường là firewall hoặc các router biên, địa chỉ IP nguồn sẽ được chuyển đổi từ địa chỉ mạng riêng thành địa chỉ IP công cộng định tuyến được. Điều này cho phép gói dữ liệu được truyền đi trong trong mạng công cộng, ví dụ như Internet. Sau đó, địa chỉ công cộng trong gói trả lời lại được chuyển đổi thành địa chỉ riêng để phát vào trong mạng nội bộ. Một dạng của NAT, được gọi là PAT (Port Address Translation), cho phép nhiều địa chỉ riêng được dịch sang một địa chỉ công cộng duy nhất. Router, server và các thiết bị quan trọng khác trong mạng thường đòi hỏi phải được cấu hình bằng tay địa chỉ IP cố định. Trong khi đó, các máy tính client không cần thiết phải đặt cố định một địa chỉ mà chỉ cần xác định một dải địa chỉ cho nó. Dải địa chỉ này thường là một subnet IP. Một máy tính nằm trong subnet có thể được phân phối bất kì địa chỉ nào nằm trong subnet đó.
  3. 484 Giao thức DHCP (Dynamic Host Configuration Protocol) được thiết kế để phân phối địa chỉ IP và đồng thời cung cấp các thông tin cấu hình mạng quan trọng một cách tự động cho máy tính. Số lượng máy client chiếm phần lớn trong hệ thống mạng, do đó DHCP thực sự là công cụ tiết kiệm thời gian cho người quản trị mạng. Sau khi hoàn tất chương này, các bạn có thể: • Xác định địa chỉ IP riêng được mô tả trong RFC 1918. • Nắm được các đặc điểm của NAT và PAT. • Phân tích các lợi điểm của NAT. • Phân tích cách cấu hình NAT và PAT, bao gồm cả chuyển đổi cố định, chuyển đổi động và chuyển đổi overloading. • Xác định các lệnh dùng để kiệm tra cấu hình NAT và PAT. • Liệt kê các bước xử lý sự cố NAT và PAT. • Nắm được các ưu điểm và nhược điểm của NAT. • Mô tả các đặc điểm của DHCP. • Phân tích sự khác nhau giữa BOOTP và DHCP. • Phân tích quá trình cấu hình DHCP client. • Cấu hình DHCP server. • Xử lý sự cố DHCP. • Phân tích yêu cầu đặt lại DHCP. 1.1. Chia địa chỉ mạng với NAT và PAT 1.1.1. Địa chỉ riêng RFC 1918 dành riêng 3 dải địa chỉ IP sau: • 1 địa chỉ lớp A: 10.0.0.0/8. • 16 địa chỉ lớp B: 172.16.0.0 – 172.31.255.255 (172.16.0.0/12).
  4. 485 • 256 địa chỉ lớp C: 192.168.0.0-192.168.255.255 (192.168.0.0/16). Những địa chỉ trên chỉ dùng cho mạng riêng, mạng nội bộ. Các gói dữ liệu có địa chỉ như trên sẽ không định tuyến được trên Internet. Địa chỉ Internet công cộng phải được đăng ký với một công ty có thẩm quyền Internet, ví dụ như American Registry for Internet Numbers (ARIN) hoặc Réseaux IP Européens (RIPE) và The Regional Internet Registry phụ trách khu vực Châu Âu và Bắc Phi. Địa chỉ IP công cộng còn có thể được thuê từ một nhà cung cấp dịch vụ Internet (ISP). Địa chỉ IP riêng được dành riêng và có thể được sử dụng bởi bất kỳ ai. Điều này có nghĩa là có thể có 2 mạng hoặc 2 triệu mạng sử dụng cùng một địa chỉ mạng riêng. Router trên Internet sẽ không định tuyến các địa chỉ RFC 1918.ISP cấu hình Router biên ngăn không cho các lưu lượng của địa chỉ riêng được phát ra ngoài. NAT mang đến rất nhiều lợi ích cho các công ty và Internet. Trước đây, khi không có NAT, một máy tính không thể truy cập Internet với địa chỉ riêng. Bây giờ, sau khi có NAT, các công ty có thể cấu hình địa chỉ riêng cho một hoặc tất cả các máy tính và sử dụng NAT để truy cập Internet. 1.1.2. Giới thiệu NAT và PAT NAT được thiết kế để tiết kiệm địa chỉ IP và cho phép mạng nội bộ sử dụng địa chỉ IP riêng. Các địa chỉ IP riêng sẽ được chuyển đổi sang địa chỉ công cộng định tuyến được bằng cách chạy phần mềm NAT đặc biệt trên thiết bị mạng. Điều này giúp cho mạng riêng càng được tách biệt và giấu được địa chỉ IP nội bộ. NAT thường được sử dụng trên Router biên của mạng một cửa. Mạng một cửa là mạng chỉ có một kết nối duy nhất ra bên ngoài. Khi một host nằm trong mạng một cửa muốn truyền dữ liệu cho một host nằm bên ngoài nó sẽ truyền gói dữ liệu đến Router biên giới. Router biên giới sẽ thực hiện tiến trình NAT, chuyển đổi địa chỉ
  5. 486 riêng của host nguồn sang một địa chỉ công cộng định tuyến được. Trong thuật ngữ NAT, mạng nội bộ có nghĩa là tập hợp các địa chỉ mạng cần chuyển đổi địa chỉ. Mạng bên ngoài là tất cả các địa chỉ khác còn lai. Mạng cục bộ chỉ có một cửa ra mạng bên ngoài. Hình 1.1.2.a. Mạng một cửa Cisco định nghĩa các thuật ngữ NAT như sau: • Địa chỉ cục bộ bên trong (Inside local address): là địa chỉ được phân phối cho các host bên trong mạng nội bộ. Các địa chỉ này thường không phải là địa chỉ được cung cấp bởi InterNIC (Internet Network Information Center) hoặc bởi nhà cung cấp dịch vụ Internet. Địa chỉ này thường là địa chỉ riêng RFC 1918. • Địa chỉ toàn cục bên trong (Inside global address): là địa chỉ IP hợp pháp được cung cấp bởi InterNIC hoặc bởi nhà cung cấp dịch vụ Internet. Địa chỉ này đại diện cho một hoặc nhiều địa chỉ nội bộ bên trong đối với thế giới bên ngoài.
  6. 487 • Địa chỉ cục bộ bên ngoài (Outside local address): là địa chỉ riêng của host nằm bên ngoài mạng nội bộ. • Địa chỉ toàn cục bên ngoài (Outside global address): là địa chỉ công cộng hợp pháp của host nằm bên ngoài mạng nội bộ. Hình 1.1.2.b. Host nội bộ 10.0.0.3 muốn gửi gói dữ liệu cho một host nằm ngoài 128.23.2.2. Gói dữ liệu được gửi tới router biên giới RTA. Hình 1.1.2.c. RTA nhận thấy gói dữ liệu này đươc gửi ra ngoài internet nên nó thực hiên tiến trình NAT, chuyến đổi địa chỉ nguồn 10.0.0.3 thành địa chỉ công cộng là 179.9.8.80. Sauk hi thực hiện NAT xong, gói dữ liệu từ RTA đi ra sẽ có địa chỉ nguồn là một địa chỉ công cộng hợp pháp 179.9.8.80.
  7. 488 Hình 1.1.2.d. Sau đó server 128 23.2.2 có thể gửi lại một gói trả lời. Khi đó gói trả lời sẽ có địa chỉ đích là 179.9.8.80. Hình 1.1.2.e. RTA nhận thấy gói dữ liệu này được gửi từ bên ngoài vào trong mạng nội bộ. RTA sẽ tìm trong bảng NAT để ánh xạ từ địa chỉ đích công cộng sang địa chỉ riêng tương ứng. Sau khi thực hiên NAT xong, gói dữ liệu từ RTA phát vào trong mạng nội bộ sẽ có địa chỉ đích là địa chỉ riêng của host đích 10.0.0.3. Xét ví dụ hình 1.1.2.b, đối với RTA: • Địa chỉ nội bộ bên trong là 10.0.0.3. • Địa chỉ toàn cục bên trong là: 179.9.8.80. • Địa chỉ toàn cục bên ngoài là: 128.23.2.2.
  8. 489 1.1.3. Các đặc điểm của NAT và PAT Chuyển đổi NAT rất hữu ích cho nhiều mục đích khác nhau và có thể chuyển đổi động hoặc cố định. NAT cố định được thiết kế để ánh xạ một-một, từ một địa chỉ nội bộ sang một địa chỉ công cộng tương ứng duy nhất. Điều này rất tốt đối với những host cần phải có địa chỉ nhất định để truy cập từ Internet. Những host này có thể là các server toàn hệ thống hoặc các thiết bị mạng. NAT động được thiết kế để ánh xạ một địa chỉ IP riêng sang một địa chỉ công cộng một cách tự động. Bất kỳ địa chỉ IP nào nằm trong dải địa chỉ IP công cộng đã được định trước đều có thể được gán cho một host bên trong mạng. Overloading hoặc PAT có thể ánh xạ nhiều địa chỉ IP riêng sang một địa chỉ IP công cộng vì mỗi địa chỉ riêng được phân biệt bằng số port. PAT sử dụng số port nguồn cùng với địa chỉ IP riêng bên trong để phân biệt khi chuyển đổi. Số port được mã hóa 16 bit. Do đó có tới 65.536 địa chỉ nội bộ có thể được chuyển đổi sang một địa chỉ công cộng. Thực tế thì số lượng port có thể gán cho một địa chỉ IP là khoảng 4000 port. PAT sẽ cố gắng giữ nguyên số port nguồn ban đầu. Nhưng nếu số port này đã bị sử dụng thi PAT sẽ lấy số port còn trống đầu tiên trong các nhóm port 0-511, 512-1023, 1024-65535. Khi không còn số port nào còn trống và vẫn còn địa chỉ IP công cộng khác đã được cấu hình thì PAT sẽ chuyển sang địa chỉ IP công cộng kế tiếp và bắt đàu xác định số port nguồn như trên. Quá trình này sẽ được thực hiện cho đến khi nào hết số port và địa chỉ IP công cộng còn trống.
  9. 490 Hình 1.1.3.a. . Hình 1.1.3.b.
  10. 491 Hình 1.1.3.c. Host 10.0.0.3 gửi gói dữ liệu ra internet. Trong gói dữ liệu này, địa chỉ IP nguồn là 10.0.0.3, port là 1444 Hình 1.1.3.d. Router thực hiện chuyển đổi địa chỉ IP nguồn từ 10.0.0.3 sang địa chỉ 179.9.8.80, port nguồn vẫn giữ nguyên là 1444. Hình 1.1.3.e. Bây giờ Host 10.0.0.4 cũng gửi gói dữ liệu ra internet với địa chỉ nguồn là 10.0.0.4, port nguồn là 1444
  11. 492 Hình 1.1.3.f. Router thực hiện chuyển đổi địa chỉ IP nguồn từ 10.0.0.4 sang 179.9.8.80. Port nguồn là 1444 lúc này phải đổi sang 1445. Như vậy theo như bảng NAT trong hình ta thấy địa chỉ công cộng 179.9.8.80: 1444 là tương ứng với 10.0.0.3:1444, 179.9.8.80:1445 tương ứng với 10.0.0.4:1444. Bằng cách sử dụng kết hợp với số port như vậy, PAT có thể ánh xạ một địa chỉ IP công cộng cho nhiều địa chỉ riêng bên trong. NAT cung cấp những lợi điểm sau: • Không cần phải gán địa chỉ IP mới cho từng host khi thay đổi sang một ISP mới. Nhờ đó có thể tiết kiệm được thời gian và tiền bạc. • Tiết kiệm địa chỉ thông qua ứng dụng ghép kênh cấp độ port. Với PAT, các host bên trong có thể chia sẻ một địa chỉ IP công cộng để giao tiếp với bên ngoài. Với cách cấu hình này, chúng ta cần rất ít địa chỉ công cộng, nhờ đó có thể tiết kiệm địa chỉ IP. • Bảo vệ mạng an toàn vì mạng nội bộ không để lộ địa chỉ và cấu trúc bên trong ra ngoài. 1.1.4. Cấu hình NAT và PAT
  12. 493 1.1.4.1. Chuyển đổi cố định Để cấu hình chuyển đổi cố định địa chỉ nguồn bên trong, chúng ta cấu hình các bước như sau: Bước Thực hiện Ghi chú 1 Thiết lập mối quan hệ chuyển đổi giữa địa Trong chế độ cấu hình toàn chỉ nội bộ bên trong và địa chỉ đại diện cục, bạn dùng câu lệnh no ip bên ngoài nat inside source static để xóa sụ chuyển đổi địa chỉ cố Router (config) # ip nat inside định. source static local-ip global-ip 2 Xác định cổng kết nối vòa mạng bên Sau khi gõ lệnh interface, trong. dấu nhắc của dòng lệnh sẽ chuyển từ (config) # sang Router (config) # interface type number (config-if) # 3 Đánh dấu cổng này là cổng kết nối vào mạng nội bộ bên trong. Router (config-if) # ip nat inside 4 Thóat khỏi chế độ cấu hình cổng hiện tại. Router (config-if) # exit 5 Xác định cổng kết nối ra mạng công cộng bên ngoài. Router (config) # interface type number
  13. 494 6 Đánh dấu cổng này là cổng kết nối ra mạng công cộng bên ngoài. Router (config-if) # ip nat outside Hình vẽ - 2 hình Hình 1.1.4.a Sự chuyển đổi địa chỉ sẽ được thưc hiện giữa hai cổng inside và outside
  14. 495 Hình 1.1.4.b. Cấu hình NAT chuyển đổi cố định từ địa chỉ 10.1.1.2 sang 192.168.1.2. Khi có một gói dữ liệu từ host 10.1.1.2 được gửi ra ngoài internet, router GW sẽ chuyển đổi địa chỉ nguồn 10.1.1.2 của gói dữ liệu sang địa chỉ 192.168.1.2 trước khi phát gói ra cổng s0. 1.1.4.2. Chuyển đổi động Để Chuyển đổi động địa chỉ nguồn bên trong, chúng ta cấu hình theo các bước như sau: Bước Thực hiện Ghi chú 1 Xác định dải địa chỉ đại diện bên ngoài Trong chế độ cấu hình toàn cục, gõ lệnh no ip Rourter (config) # ip nat pool name start-ip nat pool name để xóa dải end-ip [netmask netmask /prefix-length địa chỉ đại diên bên ngoài. prefix-length] 2 Thiết lập ACL cơ bản cho phép những địa Trong chế độ cấu hình chỉ nội bộ bên trong nào được chuyển đổi. toàn cục, gõ lệnh no access-list access-list- Router (config) # access-list access-list- number để xóa ACL đó. number permit source [source-wildcard] 3 Thiết lập mối liên quan giữa địa chỉ nguồn Trong chế độ cấu hình đã được xác định trong ACL ở bước trên với toàn cục, gõ lênh no ip dải địa chỉ đại diện bên ngoài: nat inside source để xóa sự chuyển đổi động này Router (config) # ip nat inside source list access-list-number pool name 4 Xác định cổng kết nối vào mạng nội bộ Sau khi gõ xong lệnh
  15. 496 Router (config) # interface type number interface, dấu nhắc của dòng lệnh sẽ chuyển đổi từ config sang (config-if)# 5 Đánh dấu cổng này là cổng kết nối vào mạng nội bộ. Router (config-if) # ip nat inside 6 Thóat khỏi chế độ cổng hiện tại. Router (config) # exit 7 Xác định cổng kết nối ra bên ngoài. Router (config) # interface type number 8 Đánh dấu cổng này là cổng kết nối ra bên ngoài. Router (config) # ip nat outside Danh sách điều khiển truy cập (ACL – Access Control List) cho phép khai báo những địa chỉ nào được chuyển đổi. Bạn nên nhớ là kết thúc một ACL luôn có câu lệnh ẩn cấm tuyệt đối để tránh những kết quả không dự tính được khi một ACL có quá nhiều điều kiện cho phép. Cisco khuyến cáo là không nên dùng điều kiện cho phép tất cả permit any trong ACL sử dụng cho NAT vì câu lệnh này làm hao tốn quá nhiều tài nguyên của Router và do đó có thể gây ra sự cố mạng.
  16. 497 Hình 1.1.4.c Xét ví dụ hình 1.1.4.c: Dải địa chỉ công cộng đại diện ben ngoài có tên là nat- pool1, bao gồm các địa chỉ từ 179.9.8.80 đến 179.9.95. Địa chỉ nội bộ bên trong được phép chuyển đổi được định nghĩa trong access-list 1 là 10.1.0.0 – 10.1.0.255. Như vậy, gói dữ liệu nào trong mạng nội bộ đi ra ngoài Internet có địa chỉ nguồn nằm trong dải địa chỉ 10.1.0.0 – 10.1.0.255 sẽ được chuyển đổi địa chỉ nguồn sang một trong bất kỳ địa chỉ nào còn trống trong dải địa chỉ công cộng 179.9.8.80 – 179.9.8.95. Host 10.1.1.2 sẽ không được chuyển đổi địa chỉ vì địa chỉ của nó không được cho phép trong acces-list 1, do đó nó không truy cập được Internet. Overloading hay PAT Overloading được cấu hình theo hai cách tùy theo địa chỉ IP công cộng được cấp phát như thể nào. Một ISP có thể cho một hệ thống mạng của khách hàng sử dụng chung một địa chỉ IP công cộng duy nhất, đia jchỉ IP công cộng này chính là địa chỉ của cổng giao tiểp trên Router nối về ISP. Sau đây là ví dụ cấu hình cho tình huống này:
  17. 498 Router (config) # access-list 1 permit 10.0.0.0 0.0.255.255 Router (config) ip nat inside source list 1 interface serial0/0 overload Bước Thực hiện Ghi chú 1 Tạo ACL để cho phép những địa chỉ nội bộ Trong chế độ cấu hình nào được chuyển đổi. toàn cục, gõ lệnh no access-list access-list- Router(config) # access-list acl-number number để xóa access-list permit source [source-wildcard] tương ứng. 2A Thiết lập mối liên quan giữa địa chỉ nguồn đã Trong chế độ cấu hình được xác định trong access-list ở bước trên với toàn cục, gõ lệnh no ip địa chỉ đại diện là địa chỉ của cổng kết nối với nat inside source để xóa bên ngoài. sự chuyển đổi động này. Từ khóa overload để cho Router (config) # ip nat inside source list acl- phép chạy PAT number interface interface overload Hoặc Khai báo dải địa chỉ đại diện bên ngoài dùng 2B overload. Router (config) ip nat pool name start-ip end- ip [netmask netmask / prefix-length prefix- length] Thiết lập chuyển đổi overload giữa địa chỉ nội bộ đã được xác định trong ACL ở bước 1 với dải địa chỉ đại diện bên ngoài mới khai báo ở
  18. 499 trên. Router (config) # ip nat inside source list acl- number pool name overload 3 Xác định cổng kết nối với mạng nội bộ. Sau khi gõ lệnh interface, dấu nhắc của dòng lệnh sẽ Router (config) # interface type number được đổi từ (config)# Router (config-if) # ip nat inside sang (config-if)# 4 Xác định cổng kết nối với bên ngoài. Router (config) # interface type number Router (config-if) # ip nat outside. Một cách khác để cấu hình Overload là khi ISP cung cấp một hoặc nhiều địa chỉ IP công cộng để cho hệ thống mạng khách hàng sử dụng làm dải địa chỉ chuyển đổi PAT. Cấu hình ví dụ cho tình huống này như sau: • Xác định địa chỉ nội bộ được phép chuyển đổi là 10.0.0.0/16:
  19. 500 Router (config) # access-list 1 permit 10.0.0.0.0.0.255.255 • Khai báo dải địa chỉ đại diện bên ngoài với tên là nat-pool2, bao gồm các địa chỉ trong subnet 179.9.8.20/28: Router (config) # ip nat pool nat-pool2 179.9.8.20 netmask 255.255.255.240 • Thiết lập sự chuyển đổi Overload địa chỉ nội bộ được xác định trong access- list 1 với dải địa chỉ đại diện nat pool2: Router (config) # ip nat inside source list 1 pool nat-pool2 overload Hình 1.1.4.d. Xét ví dụ hình 1.1.4.d: địa chỉ nội bộ bên trong được phép chuyển đổi được xác định trong access-list 1 là 192.168.2.0/24 và 192.168.3.0/24. Địa chỉ đại diện bên ngoài là địa chỉ của cổng serial 0, cổng kết nối ra Internet. Như vậy phải toàn bộ địa chỉ bên trong được chuyển đổi PAT với một địa chỉ IP đại diện duy nhất là địa chỉ của cổng kết nối ra Internet, cổng serial 0.
  20. 501 1.1.5. Kiểm tra cấu hình PAT Sau khi NAT đã được cấu hình, chúng ta có thể dùng lệnh clear và show để kiểm tra hoạt động của NAT. Mặc định, trong bảng chuyển đổi NAT động, mỗi một cặp chuyển đổi địa chỉ sẽ bị xóa đi sau một khoảng thời gian không sử dụng. Với chuyển đổi không sử dụng chỉ số Port thì khoảng thời gian mặc định là 24 giờ. Chúng ta có thể thay đổi khoảng thời gian này bằng lệnh ip nat translation timeout timeout_seconds trong chế độ cấu hình toàn cục. Các thông tin về sự chuyển đổi có thể được hiển thị bằng các lệnh sau: Lệnh Giải Thích Clear ip nat translation * Xóa mọi cặp chuyển đổi địa chỉ động trong bảng NAT. Clear ip nat translation inside global- Xóa một cặp chuyển đổi địa chỉ động ip local-ip [outside local-ip global-ip] bên trong hoặc cả bên trong và bên ngoài tương ứng với địa chỉ cụ thể được khai báo trong câu lệnh. Clear ip nat translation protocol inside Xóa một cặp chuyển đổi địa chỉ động global-ip global-port local-ip local-port mở rộng. [outside local-ip local-port global-ip global-port] Show ip nat translations Hiển thị bảng NAT đang hoạt động. Show ip nat statistics Hiển thị trạng thái hoạt động của NAT.
  21. 502 Hình 1.1.5.a Hình 1.1.5.b Chúng ta có thể dùng lệnh show run để kiểm tra lại các giá trị cần khai báo trong các câu lệnh cấu hình NAT, access-list, interface. 1.1.6. Xử lý sự cố cấu hình NAT và PAT Thường rất khó xác định nguyên nhân của sự cố khi kết nối IP bị sự cố trong môi trường NAT. Nhiều khi chúng ta nhầm lẫn là do NAT gây ra nhưng thực sự nguyên nhân lại nằm ở chỗ khác. Khi cố gắng xác định nguyên nhân sự cố của một kết nối IP, chung ta nên cố gắng xác định loại trừ khả năng từ NAT trước. Sau đay là các bước để kiểm tra hoạt động của NAT: 1. Dựa vào tập tin cấu hình, xác định rõ ràng NAT thực hiện những gì. 2. Kiểm tra bảng NAT xem các chuyển đổi địa chỉ có đúng không. 3. Kiểm tra hoạt động NAT xảy ra như thế nào bằng các lệnh show và debug. 4. Xem chi tiết những gì xảy ra cho một gói dữ liệu và kiểm tra xem router có định tuyến đúng cho gói dữ liệu hay không.
  22. 503 Sử dụng lệnh debug ip nat để kiểm tra hoạt động của NAT, hiển thị các thông tin về mỗi gói được chuyển đổi NAT bởi router. Lệnh debug ip nat detal còn cung cấp thêm một số thông tin liên quan đến sự chuyển của mỗi gói giúp chúng ta xác định lỗi, ví dụ như lỗi không xác định được địa chỉ đại diện bên ngoài. Hình 1.1.6 Xét ví dụ hình 1.1.6. Hai dòng đầu tiên cho thấy các gói yêu cầu và trả lời DNS được phát đi. Những dòng còn lại cho biết về một kết nối Telnet từ một host bên trong tới một host bên ngoài mạng. Để giải mã những thông tin hiển thị của lệnh debug, chúng ta dựa vào những điểm mấu chốt sau: • Dấu * kế bên từ NAT cho biết sự chuyển đổi đang được thực hiện trên đường chuyển mạch nhanh. Gói dữ liệu đầu tiên của một phiên đối thoại luôn được xử lý chuyển mạch nên chuyển mạch chậm. Các gói dữ liệu tiếp theo được truyền chuyển mạch nhanh với bộ đệm, không cần xử lý nhiều như gói đầu tiên.
  23. 504 • S= a.b.c.d là địa chỉ nguồn. • Địa chỉ nguồn a.b.c.d được dịch sang w.x.y.z. • D=e.f.g.h là địa chỉ đích. • Giá trị trong giấu ngoặc vuông là chỉ số danh đinh IP. Thông tin này có thể sẽ hữu dụng vì dựa vào đó chúng ta sẽ tìm được những gói dữ liệu tương ứng được phân tích từ những phần mền phân tích giao thức khác. 1.1.7. Những vấn đề của NAT NAT có những ưu điểm sau: • Tiết kiệm địa chỉ đăng ký hợp pháp bằng cách cho phép sử dụng địa chỉ riêng. • Tăng tính linh hoạt của các kết nối ra mạng công cộng. Chúng ta có thể triển khai nhiều dải địa chỉ chia tải để đảm bảo độ tin cậy của kết nối mạng công cộng. • Nhất quán hồ sơ địa chỉ mạng nội bộ. Nếu mạng không sử dụng địa chỉ IP riêng và NAT mà sử dụng địa chỉ công cộng thì khi thay đổi địa chỉ công cộng, toàn bộ hệ thống mạng phải đặt lại địa chỉ. Chi phí cho việc đặt lại địa chỉ toàn bộ các thiết bịi mạng nội bộ được giữ nguyên khi thay đổi địa chỉ công cộng. NAT cũng không phải là không có nhược điểm. Khi chuyển đổi địa chỉ như vậy sẽ làm mất đi một số chức năng đặc biệt của giao thức và ứng dụng có cần đến các thông tin địa chỉ IP trong gói IP. Do đó cần phải có thêm các hỗ trợ khác cho thiết bị NAT. NAT làm tăng thời gian trễ. Thời gian trễ chuyển mạch sẽ lớn hưon do đó phải chuyển đổi từng địa chỉ IP trong mỗi dữ liệu. Gói dữ liệu đầu tiên luôn phải sử lý chuyển mạch nên thời gian chuyển mạch nhanh hơnnếu có bộ đệm.
  24. 505 Hiệu suất hoạt động cũng là một vấn đề cần được quan tâm vì NAT được thực hiện trong tiến trình chuyển mạch. CPU phải được kiểm tra từng gói dữ liệu để quyết định gói dữ liệu đó có cần chuyển đổiđịa chỉ hay không. CPU phải thay đổi phần gói IP của gói dữ liệu và cũng có htể phải thay cả phần đóng gói TCP hoặc UDP. Một nhược điểm đáng kể khi sử dụng NAT là sự mất đi khả nặng truy tìm địa chỉ IP đầu cuối-đến-đầu cuối. Việc truy theo gói dữ liệu sẽ trở nên khó hơn do gói dữ liệu thay đổi địa chỉ nhiều lần qua nhiều trạm NAT. Hacker sẽ rất khó khăn khi muốn xác định địa chỉ nguồn hoặc đích của gói dữ liệu. NAT cũng làm cho một số ứng dụng sử dụng địa chỉ IP không hoạt động được vì nó giấu địa chỉ IP đầu cuối-đến-đầu cuối. Những ứng dụng sử dụng địa chỉ vật lý thay vì sử dụng tên miền sẽ không đến được đích nằm sau router NAT. Đôi khi, sự cố này có thể tránh được bằng cách ánh xạ NAT cố định. Cisco IOS NAT hỗ trợ các loại lưu lượng sau: • ICMP • File Transfer Protocol (FTP), bao gồm lệnh PPRRT và PÁV. • Dịch vụ NetBIOS qua TCP/IP, gói dự liệu, tên và phiên giao tiếp. • RealNetworks’ RealAudio • White Pines’ CUSeeMe • Xing Technologies’ StreamWorks • DNS “A” and “PTR” queries • H.323/Microsoft NetMeeting, IOS versions 12.0(1)/ 12.0(1) T và sau đó. • VDOnet’s VDOLive, IOS version 11.3(4)11.3(4)T và sau đó. • VXtreme’s Web Theater, IOS versions 11.3(4)11.3(4)T và sau đó. • IP Multicast, IOS version 12.0(1)T chỉ chuyển đổi địa chỉ nguồn. Cisco IOS NAT không hỗ trợ các loại giao thức sau:
  25. 506 • Thông tin cập nhật bảng định tuyến. • Chuyển đổi vùng DNS. • BOOTP • Giao thức talk and ntalk. • Giao thức quản lý mạng đơn giản – Simple Network Management Protocol (SNMP) 1.2. DHCP 1.2.1. Giới thiệu DHCP Giao thức cấu hình họat động (DHCP – Dynamic Host Configuration Protocol) làm việc theo chế độ client-server. DHCP cho phép các DHCP client trong một mạng IP nhận cấu hình IP của mình từ một DHCP server. Khi sử dụng DHCP thì công việc quản lý mạng IP sẽ ít hơn vì phần lớn cấu hình IP của client được lấy về từ server. Giao thức DHCP được mô tả trong RFC 2131. Một DHCP client có thể chạy hầu hết các hệ điều hành Windows, Netvell Netửae, Sun Solaris, Linux và MAC OS. Client yêu cầu server DHCP cấp một địa chỉ cho nó. Server này quản lý việc cấp phát địa chỉ IP, sẽ gửi trả lời cấu hình IP cho client. Một DHCP có thể phục vụ cho nhiều subnet khác nhau nhưng không phục vụ cho cấu hình router, switch và các server khác vì những thiết bị này cần phải có địa chỉ IP cố định.
  26. 507 Hình 1.2.1.a. Client gửi trực tiếp quảng bá một yêu cầu DHCP. Trường hợp đơn giản nhất là có DHCP server nằm trong cùng subnet với client, server DHCP này sẽ nhận được gói yêu cầu. Server thấy phần GIADDR bỏ trống thì biết client nằm trong cùng subnet với server. Đồng thời server sẽ đọc địa chỉ vật lý (địa chỉ MAC) của client. Hình 1.2.1.b. Server sẽ lấy một địa chỉ IP trong dải địa chỉ tương ứng để cấp cho client. Sau đó server dùng địa chỉ của vật lý của client để gửi gói trả lời lại cho client.
  27. 508 Hình 1.2.1.c. Hệ điều hành trên DHCP client sẽ dùng những thông tin nhận được trong gói trả lời server để cấu hình IP cho client đó. Server chạy DHCP thực hiện tiến trình xác định địa chỉ IP cấp cho client. Client sử dụng địa chỉ được cấp từ server trong một khoảng thời gian nhất định do người quản trị mạng quy định. Khi thời này hết hạn thì client phải yêu cầu cấp lại địa chỉ mới mặc dù thông thường client sẽ vẫn được cấp lại địa chỉ cũ. Các nhà quản trị mạng thường sử dụng dịch vụ DHCP vì giải pháp này giúp quản lý hệ thống mạng dễ và có khả năng mở rộng. Cisco router có thể sử dụng Cisco IOS có hỗ trợ Easy IP để làm DHCP server. Mặc định , Easy IP cấp cấu hình IP cho client sử dụng trong 24 tiếng. Cơ chế này rất tiện lợi cho các văn phòng nhỏ hoặc những văn phòng tại nhà, người sử dụgn tại nhà có thể tận dụng diạhc vụ DHCP và NAT của router mà không cần phải có thêm một server NT hoặc UNIX. Người quản trị mạng cài đặt dải địa chỉ cho DHCP server còn có thể cung cấp nhiều thông tin khác như địa chỉ DNS server, địa chỉ WINS server và tên miền. Hầu hết các DHCP server đều cho phép người quản trị mạng khai báo những địa chỉ MAC nào cần phục vụ và tự động cấp cho những địa chỉ MAC này địa chỉ IP không thay đổi mỗi lần chúng yêu cầu. DHCP sử dụng giao thức UDP (User Datagram Protocol) làm giao thức vận chuyển của nó. Client gửi thông điệp cho server trên port 67. Server gửi thông điệp cho client trên port 68.
  28. 509 1.2.2. Những điểm khác nhau giữa BOOTP và DHCP Đầu tiên cộng đồng Internet phát triển giao thức BOOTP để cấu hình cho máy trạm không có ổ đĩa. BOOTP được định nghĩa trong RFC 951 vào năm 1985. Là một phiên bản đi trước của DHCP nên BOOTP cũng có nhiều đặc điểm họat động tương tự như DHCP. Cả hai giao thức này đêgu dựa trên cơ sở client-server và sử dụng port UDP 67, 68. Hai port này hiện vẫn được biết đến như là port BOOTP. Một cấu hình IP cơ bản bao gồm 4 thông tin sau: • Địa chỉ IP. • Địa chỉ Gateway. • Subnet mask. • Địa chỉ DNS server. BOOTP không tự động cấp phát địa chỉ IP cho một host. Khi client yêu cầu một địa chỉ IP, BOOTP server tìm trong bảng đã được cấu hình trước xem có hàng nào tương ứng với địa chỉ MAC của client hay không.Nếu có thì địa chỉ IP tương ứng sẽ được cung cấp cho client. Điều này có nghĩa là địa chỉ MAC và địa chỉ IP tương ứng phải được cấu hình trước trên BOOTP server. Sau đây là hai điểm khác nhau cơ bản giữa BOOTP và DHCP: • DHCP cấp một địa chỉ IP cho một client trong một khoảng thời gian nhất định. Hết khoảng thời gian này địa chỉ IP có thể được cấp cho client khác. Client có thể lấy địa chỉ mới hoặc vẫn có thể tiếp tục giữ địa chỉ cũ. • DHCP cung cấp cho client nhiều thông tin cấu hình IP khác như địa chỉ WINS server, tên miền.
  29. 510 BOOTP DHCP Ánh xạ cố định giữ địa chỉ MAC và Ánh xạ tự động giữa địa chỉ MAC và địa chỉ IP dải địa chỉ IP tương ứng. Cấp cố định Cấp trong một khoảng thời gian nhất định Chỉ cung cấp 4 thông tin cơ bản của Có thể cung cấp hơn 30 thông tin cấu cấu hình IP hình IP 1.2.3. Những đỉểm chính của DHCP Có 3 cơ chế dùng để cấp phaqst một địa chỉ IP cho client: • Cấp phát tự động – DHCP tự động chọn một địa chỉ IP trong dải địachỉ được cấu hình và cấp địa chỉ IP đó cố định, không thay đổi cho một client. • Cấp phát cố định – Địa chỉ IP của một client do người quản trị mạng quyết định. DHCP chỉ truyền địa chỉ này cho client đó. • Cấp phát động – DHCP cấp và thu hồi lại một địa chỉ IP của client theo một khoảng thời gian giới hạn. Trong phần này chúng ta tập trung vào cơ chế cấp phát động. Một số thông số cấu hình được liệt kê trong IÈT RFC 1533 là: • Subnet mask • Router • Tên miền • Server DNS • WINS server Chúng ta có thể tạo trên DHCP server nhiều dải địa chỉ IP và thông số như trên tương ứng. Mỗi một dải địa chỉ dành riêng cho một subnet IP. Điều này cho phép
  30. 511 có thể có nhiều DHCP cùng trả lời và IP client có thể di động. Nếu có nhiều server cùng trả lời thì client có thể chọn một trả lời duy nhất. Hình 1.2.3 1.2.4. Họat động của DHCP Quá trình DHCP client lấy cấu hình DHCP diễn ra theo các bước sau: 1. Client phải có cấu hình DHCP khi bắt đầu tiến trình tìm các thành viên trong mạng. Client gửi một yêu cầu cho server để yêu cầu cấu hình IP. Đôi khi client có thể đề nghị trước địa chỉ IP mà nó muốn, ví dụ như khi nó hết thời gian sử dụng địa chỉ IP hiện tại và muốn gia hạn thêm thời gian. Client sẽ xác định được DHCP server bằng cách gửi gói quảng bá gọi là DHCPDISCOVER. 2. Khi server nhận được gói quảng bá, nó sẽ tìm trong cơ sở dữ liệu của nó và quyết định là có trả lời được yêu cầu này không. Nếu server không trả lời yêu cầu thì nó sẽ gửi gói trả lời trực tiếp bằng DHCPOFFER về cho client, trong đó mời client sử dụng cấu hình IP của server. Trong DHCPOFER có
  31. 512 thể có các thôngtin cho client về địa chỉ IP, địa chỉ DNS server và thời gian sử dụng địa chỉ này. 3. Nếu client nhận thấy lời mời của server phù hợp thì nó sẽ gửi quảng bá một DHCPREQUEST để yêu cầu cung cấp những thông cố cụ thể của cấu hình IP. Tại sao lúc này client lại gửi quảng bá mà nó không gửi trực tiếp cho server? Do thông điệp đầu tiên là DHCPDISCOVER đã được gửi quảng bá nên thông điệp này có thể sẽ đến được nhiều server DHCP khác nhau. Khi đó, có thể sẽ có nhiều server cùng mời một client chấp nhận. Thông thường lời mời mà client nhận được đầu tiên sẽ được chấp nhận. 4. Server nào nhận được DHCPREQUEST cho biết client đã chấp nhận sử dụng cấu hình IP mà server đã mời thì server đó sẽ gửi trả lời trực tiếp cho client một gói DHCPACK. Rất hiếm khi nhưng cũng có thể server sẽ không gửi DHCPACK vì có thể cấu hình IP đó đã được cấp cho client khác rồi. 5. Sau khi client nhận được DHCPACK thì có thể bắt đầu sử dụng địa chỉ IP ngay. 6. Nếu client phát hiện rằng địa chỉ IP này đã được sử dụng trong cùng mạng nội bộ với nó thì client sẽ gửi thông điệp DHCPDECLINE và bắt đầu tiến trình DHCP lại từ đầu. Hoặc nếu client nhận được thông điệp DHCPNAK từ server trả lời cho thông điệp DHCPREQUEST thì sau đso client cũng bắt đầu tiến trình lại từ đầu. 7. Nếu client không cần sủ dụng địa chỉ IP này nữa thì client guiử thống điệp DHCPRELEASE cho server.
  32. 513 Hình 1.2.4.a. Tiến trình hoạt động DHCP Tùy theo quy định của mỗi tổ chức, công ty, người quản trị mạng có thể cấp cố định cho một địa chỉ IP nằm trong dải địa chỉ của một DHCP server. Cisco IOS DHCP server luôn luôn phải kiểm tra một địa chỉ IP đã được sử dụng trong mạng hay chưa trước khi mời client sử dụng địa chỉ IP đó. Server sẽ phát một yêu cầu ICMP echo, hay còn gọi là ping, đến các địa chỉ IP nằm trong dải địa chỉ của mình trước khi gửi DHCPOFFER cho client. Số lượng ping mặc định được sủ dụng để kiểm tra một địa chỉ IP là 2 gói và chúng ta có thể cấu hình con số này được. Hình 1.2.4.b. Thứ tự các thông điệp DHCP được gửi đi trong tiến trình DHCP.
  33. 514 1.2.5. Cấu hình DHCP Tương tự như NAT, DHCP server cũng yêu cầu người quản trị mạng phải khai báo trước dải địa chỉ. Câu lệnh ip dhcp pool dùng để khai báo dải địa chỉ mà server có thể cấp pháp cho host. Câu lệnh đầu tiên, ip dhcp pool, tạo dải địa chỉ với một tên cụ thể và đặt router vào chế độ cấu hình DHCP. Trong chế độ cấu hình DHCP, lệnh network được dùng để xác định dải địa chỉ được cấp phát. Nếu trong mạng đã có sử dụng cố định một số địa chỉ IP nằm trong dải đã khai báo thì chúng ra quay trở lại chế độ cấu hình toàn cục. Chúng ra sử dụng lệnh ip dhcp excluded-address để cấu hình cho Router loại trừ một số hoặc một dải địa chỉ khi phân phối địa chỉ cho client. Những địa chỉ dành riêng này thường được cấu hình cố định cho những host quan trọng và cho các cổng của Router. Hình 1.2.5. Cấu hình ví dụ một DHCP server trên router Thông thường, chúng ta còn có thể cấu hình thêm nhiều thông tin khác ngoài thông tin về địa chỉ IP cho một DHCP server. Trong chế độ cấu hình DHCP, chúng ta dùng lệnh default-router để khai báo cổng mặc định gateway, lệnh dns-server để khai báo địa chỉ của DNS server, lệnh netbios-name-server dùng để khai báo cho WINS server.
  34. 515 Dịch vụ DHCP được chạy mặc định trên các phiên bản Cisco IOS có hỗ trợ dịch vụ này. Để tẳt dịch vụ này, chúng ta dùng lệnh no service dhcp và dùng lệnh ip service dhcp để chạy lại dịch vụ này. Lệnh Giải thích network Khai báo địa chỉ mạng và subnet mask tương ứung cho dải địa chỉ DHCP. Chiều dài bit thuộc phần network có thể network-number được khai báo bằng subnet mask hoặc bằng con số thể [mask / hiện số lượng bit, con số này luôn có dấu xổ phải (/) đứng /prefix-length] trước. Default-router Khai báo địa chỉ của cổng mặc định gateway cho DHCP client. Mặc dù chỉ cần một địa chỉ những trong cấu lệnh Addresss này bạn có thể khai báo tới 8 địa chỉ. [address2 Address8] Dns-server Khai báo địa chỉ của DNS server cho DHCP client. Mặc dù chỉ cần một địa chỉ những trong câu lệnh này bạn có Address thể khai báo tối đa 8 địa chỉ. [address2 Address8] Netbios-name- Khai báo địa chỉ NetBios WINS server cho các Microsoft DHCP client. Mặc dù chỉ cần một địa chỉ những trong câu Server address lệnh này bạn có thể khai báo tới 8 địa chỉ. [address2
  35. 516 Address8] Domain-name Khai báo tên miền cho client. Name Lease [days Khai báo khoảng thời gian cho phép client được sử dụng một địa chỉ IP. Thời gian mặc định là một ngày. [hours} [minutes] / infinite] 1.2.6. Kiểm tra hoạt động DHCP Để kiểm tra họat động DHCP, bạn dùng lệnh show ip dhcp binding. Lệnh này sẽ hiển thị danh sách các địa chỉ IP đã được dịch vụ DHCP cấp phát cho các host nào tương ứng. Để xem các thông điệp DHCP mà router đã gửi đi và nhận vào, chúng ta dùng lệnh show ip dhcp server statistics. Lệnh này sẽ hiển thị các thông tin về số lượng các thông điệp DHCP mà Router đã gửi đi và nhận vào. Hình 1.2.6 1.2.7. Xử lý sự cố DHCP
  36. 517 Để xử lý sự cố của họat động DHCP server chúng ta có thể dùng lệnh debug ig dhcp server events. Lệnh này sẽ cho biết chu kỳ kiểm tra của server để xem địa chỉ IP nào đã hết thời hạn được sử dụng và tiến trình lấy lại hoặc cấp phát một địa chỉ IP. Hình 1.2.7. 1.2.8. Chuyển tiếp DHCP DHCP client sử dụng IP quảng bá để tìm DHCP server trong mạng nội bộ. Điều gì sẽ xảy ra khi server và client không nằm trong cùng một mạng và bị ngăn cách nhau bởi Router? Router không hề chuyển tiếp gói quảng bá. DHCP không phải là một dịch vụ quan trọng duy nhất sử dụng quảng bá Cisco router và các thiết bị khác cũng sử dụng quảng bá để tìm TFTP server. Một số client cần sử dụng quảng bá để tìm TACACS server. TACACS server là một server bảo vệ. Thông thường, trong cấu trúc mạng phân cấp phức tạp, client này phát quảng bá để tim server thì mặc định là router sẽ không chuyển các gói quảng bá ra ngoài subnet của client. Tuy nhiên có nhiều client sẽ không thể hoạt động được nếu không có những dịc vụ như DHCP chẳng hạn, khi đó phải chon lựa một trong hai giải pháp. Người quả trị mạng có thể đặt server cho mọi subnet trong mạng hoặc là sử dụng đặc tính giúp
  37. 518 đỡ địa chỉ của Cisco IOS. Việc chạy các dich vụ như DHCP hay DNS trên nhiều máy tính sẽ tạo sự quá tải và khó quản trị nên giải pháp đầu không hiệu quả. Nếu có thể thì người quản trị mạng nên sử dụng giải pháp thứ hai là dùng lệnh ip helper-address để chuyển tiếp yêu cầu quảng bá cho những dịch vụ UDP quan trọng này. Khi sử dụng đặc tính giúp đỡ địa chỉ, router sẽ có thể được cấu hình để tiếp nhận yêu cầu quảng bá của một dịch vụ UDP và sau đó chuyển tiếp yêu cầu đó một cách trực tiếp đến một địa chỉ IP cụ thể. Mặc định, lệnh ip helper-address có thể cho phép chuyển tiếp yêu cầu của 8 dịch vụ UDP sau: • Time • TACES • DNS • BOOTP/DHCP server • BOOTP/DHCP client • TFTP • Dịch vụ NetBIOS name • Dịch vụ NetBIOS datagram Chúng ta xét cụ thể dịch vụ DHCP, client phát quảng bá gói DHCPDISCOVER ra mạng nội bộ của nó. Gói quảng bá này sẽ đến được Gateway chính là router. Nếu trên router có cấu hình lệnh ip helper-address thì gói DHCP này sẽ dược chuyển tiếp cho một địa chỉ IP xác định. Trước khi chuyển tiếp gói yêu cầu này, Router sẽ điền địa chỉ của cổng Router kết nối với client vào phần GIADDR của gói DHCPDISCOVER. Địa chỉ này sẽ là địa chỉ Gateway cho DHCP client sau khi client lấy được địa chỉ IP.
  38. 519 DHCP server nhận được gói DHCPDISCOVER. Đựa vào địa chỉ nằm trong phần GIADDR server sẽ xác định được Gateway này tương ứng với dải địa chỉ nào. Sau đó server sẽ lấy một địa chỉ IP còn trống trong dải để cấp cho client. Hình 1.2.8.a. Cấu trúc gói DHCP Hình 1.2.8.b. Chuyển tiếp DHCP
  39. 520 Hình 1.2.8.c. Client A gửi quảng bá DHCPDISCOVER và router chuyển tiếp yêu cầu này cho server DHCP 192.168.2.254. Trước khi chuyển tiếp yêu cầu này router điền địa chỉ của cổng kết nối với client A là 192.168.1.1 vào phần GIADDP của gói DHCPDISCOVER. Hình 1.2.8.d. DHCP server nhận được gói yêu cầu DHCP từ router. Dựa vào địa chỉ 192.168.1.1 trong phần GIADDR, server sẽ xác định được client A nằm trong subnet nào và chọn một địa chỉ IP còn trống trong giải địa chỉ tương ứng để cấp cho client A Trong gói trả lời của DHCP server chúng ta thấy client A được cấp địa chỉ 192.168.1.10.
  40. 521 TỔNG KẾT Sau đây là những điểm quan trọng cần nắm trong chương này: • Địa chỉ riêng được sử dụng cho các mạng riêng, nội bộ và không bao giờ được định tuyến trên các Router Internet công cộng. • NAT thay đổi phần IP header của gói dữ liệu để chuyển đổi địa chỉ nguồn hoặc đích hoặc cả hai. • PAT sử dụng một địa chỉ IP công cộng duy nhất cùng với số port để ánh xạ cho nhiều địa chỉ nội bộ bên trong. • Chuyển đổi NAT có thể được thực hiện cố định hoặc tự động tùy theo mục đích sử dụng. • NAT và PAT có thể được cấu hình để chuyển đổi cố định, chuyển đổi động và chuyển đổi overloading. • Lệnh clear và show được sử dụng để kiểm tra họat động của NAT và PAT. • Lệnh debug ip nat được sử dụng để tìm sự cố của cấu hình NAT và PAT. • Những ưu điểm và nhược điểm của NAT • DHCP làm việc theo chế độ client-server, cho phép client lấy cấu hình IP từ một DHCP server. • BOOTP là một phiên bản trước của DHCP và cũng có nhiều đặc điểm họat động giống DHCP nhưng BOOTP chỉ cấp phát địa chỉ cố định. • DHCP server quản lý dải địa chỉ IP và các thông số tương ứng kèm theo. Mỗi một dải địa chỉ tương ứng với một subnet IP. • DHCP client thực hiện 4 bước để lấy cấu hình IP từ server. • DHCP server thường được cấu hình để phân phối nhiều địa chỉ IP. • Lệnh show ip dhcp binding dùng để kiểm tra họat động của DHCP.
  41. 522 • Lệnh debug ip dhcp server events được dùng để tìm sự cố của DHCP. • Khi DHCP server và client không nằm trong cùng một mạng và bị ngăn cách bởi Router, chúng ta dùng lệnh ip helper-address để router chuyển tiếp yêu cầu DHCP. 2.2. Các công nghệ WAN 2.2.1.Kênh quay số (dial-up) Hình 2.2.1. Kết nối WAN thông qua modem và mạng điện thoại. Modem và đường điện thoại quay số dùng tín hiệu tương tự cung cấp kết nối chuyển mạch, dung lượng thấp, phù hợp cho nhu cầu truyền dữ liệu tốc độ thấp, rẻ tiền. Điện thoại truyền thống sử dụng cáp đồng kết nối từ máy điện thoại của thuê bao đến tổng đài mạng điện thoại chuyển mạch công cộng (PSTN – Public switched telephone network). Tín hiệu truyền đi trên đường truyền này là tín hiệu tương tự biến đổi liên tục để truyền tiếng nói. Do đó, đường truyền này không phù hợp với tín hiệu số nhị phân của máy tính. Modem tại đầu phát phải thực hiện điều chế tín nhị phân sang tính hiệu tương tự rồi mới đưa tín hiệu xuống đường truyền. Modem tại đầu thu giải điều chế tín hiệu tương tự thành tín hiệu nhị phân như ban đầu.
  42. 523 Đặc điểm vật lý của đường truyền và kết nối PSTN khiến tốc độ của tín hiệu bị hạn chế. Giới hạn trên khoảng 33 kb/giây. Tốc độ này có thể tăng lên khoảng 56 kb/giây nếu tín hiệu được truyền trực tiếp qua một kết nối số. Đối với nhưng doanh nhiệp nhỏ thì đường truyền này phù hợp vì họ chỉ cần trao đổi các thông tin về bảng lương, giá cả, các báo cáo thông thường và email. Hơn nữa, họ có thể sử dụng cách quay số tự động vào ban đêm hoặc vào ngày nghỉ cuối tuần để truyền tải dữ liệu có dung lượng lớn và lưu dữ liệu dự phòng, vì trong nhưng khoảng thời gian này mức giá cước thấp hơn bình thường. Tổng chi phí cước phụ thuộc và khoảng cách giữa các điểm kết nối, thời gian trễ và thời gian thực hiện cuộc gọi. Ưu điểm của modem và đường truyền tương tự là thực hiện đơn giản ở mọi nơi, chi phí thấp. Nhược điểm là tốc độ thấp, thời gian thực hiện kết nối lâu, có thời gian trễ và nghẽn mạch, việc truyền thoại và video không được tốt với tốc độ thấp như vậy. 2.2.2. ISDN Các đường trung kế của PSTN được thay đổi từ tín hiệu tương tự phân kênh theo tần số sang tín hiệu số phân kênh theo thời gian (TDM). Bước tiếp theo là mạch vọng nội bộ kết nối từ tổng đài đến thuê bao cũng truyền tín hiệu số. Do đó, đường truyền này có dung lượng cao hơn. ISDN (Integrated Services Digital Network) là kết nối số TDM. Kết nối này sử dụng các kênh B (Bearer) 64 Kb/giây để truyền thoại hoặc dữ liệu và một kênh báo hiệu D (Delta) dùng để thiết lập cuộc gọi và nhiều mục đích khác.
  43. 524 Giao tiếp tốc độ cơ bản BRI ISDN cung cấp hai kênh B 64 Kb/giây và một kênh D 16 Kb/giây phù hợp cho cá nhân, gia đình và các công ty nhỏ. Nếu nhu cầu lớn hơn nữa thì chúng ta có giao tiếp PRI ISDN. PRI cung cấp 23 kênh B 64 Kb/giây và một kenh Điểm 64 Kb/giây ở Bắc Mỹ, tổng tốc độ bit lên tới 1.544 Mb/giây. Ở Châu Âu, Australia và nhiều nơi khác trên thế giới, ISDN PRI cung cấp 30 kênh B và một kênh D, tổng tốc độ bit lên tới 2,048 Mb/giây. Kết nối T1 có tốc độ PRI ở Bắc Mỹ, kết nối E1 có tốc độ PRI quốc tế. Kênh Điểm BRI không được tận dụng hết khả năng vì nó chỉ được sử dụng để điều khiển cho 2 kênh B. Một số nhà cung cấp dịch vụ cho phép kênk D truyền dữ liệu ở tốc độ thấp, ví dụ như kết nối X.25 với tốc độ 9,6 kb/giây. Đối với mạng WAN nhỏ thì kết nối BRI ISDN là một kết nối lý tưởng . BRI có thời gian thiết lập cuộc gọi nhỏ hơn một giây, kênh B 64 kb/giây cung cấy dung lượng lớn hơn một kết nối tương tự với modem. Nếu nhu cầu dung lương cao hơn thì kênh B thứ 2 sẽ được kích hoạt để cung cấp tốc độ 128 kb/giây. Mặc dù như vậy vẫn chưa phù hợp cho truyền video nhưng cũng đã cho phép thực hiện cùng lúc nhiều cuộc đối thoại cùng với các luồng lưu lượng khác. Hình 2.2.a. ISDN
  44. 525 Một ứng dụng thông thường của ISDN là cung cấp thêm dung lượng truyền cho đường truyền thuê riêng. Đường truyền thuê riêng được sử dụng chính, trong những thời điểm nhu cầu dung lượng tăng cao thì ISDN được kích hoạt để hỗ trợ thêm. Ngoài ra, ISDN còn được sử dụng làm đường truyền dự phòng trong trường hợp đường truyền thuê riêng gặp sự cố. Chi phí cước của ISDN được tính trên từng kênh B và cũng tương tự như kết nối thoại quay số. Với PRI ISDN, ta có thể kết nối hai điểm với nhau bằng nhiều kênh B. Do đó, ta có thể thực hiện được hội nghị truyền hình (video conference), kết nối dữ liệu tốc độ cao, không có thời gian trễ và nghẽn mạch, nhưng chi phí sẽ cao khi khoảng cách giữa các điểm khá lớn Hình 2.2.2.b. Cấu trúc chung của mạng WAN với ISDN, Router cần phải có cổng giao tiếp ISDN hoặc phải kết nối thông qua bộ chuyển đổi giao tiếp. 2.2.3.Đường truyền thuê riêng (leased line) Khi cần phải có một kết nối dành riêng cố định thì sử dụng đường truyền thuê riêng với dung lượng có thể lên tới 2,5 Gb/giây.
  45. 526 Loại Chuẩn Dung lượng 56 DS0 56 Kbps 64 DS0 64 Kbps T1 DS1 1.544 Mbps E1 ZM 2.048 Mbps E3 M3 34.064 Mbps J1 Y1 2.048 Mbps T3 DS3 44.736 Mbps OC-1 SONET 51.84 Mbps OC-3 SONET 155.54 Mbps OC-9 SONET 466.56 Mbps OC-12 SONET 622.08 Mbps OC-18 SONET 933.12 Mbps OC-24 SONET 1244.16 Mbps OC-36 SONET 1866.24 Mbps OC-48 SONET 2488.32 Mbps Hình 2.2.3.a. Các đường truyền WAN và băng thông tương ứng. Một kết nối điểm-đến-điểm thiết lập một đường truyền WAN từ vị trí của thuê bao thông qua mạng của nhà cung cấp dịch vụ đến điểm đích. Đườn truyền điểm-đến- điểm này thườn được thuê từ nhà cung cấp dịch vụ nên được gọi là đường truyền thuê riêng. Đường truyền thuê riêng có thể được cung cấp với nhiều mức dung
  46. 527 lượng khác nhau. Giá cả phụ thuộc vào mức băng thông yêu cầu và khoảng cách giữa hai điểm kết nối. Đương nhiên, giá thuê một đường truyền riêng điểm-đến- điểm sẽ cao hơn nhiều so với các đường chia sẻ khác như Frame Relay. Đôi khi chi phí cho đường thuê riêng quá cao so với nhu cầu mà ta sử dụng được. Chi phí này sẽ hiệu quả hơn nếu các kết nối này được sử dụng để nối nhiều vị trí trung tâm. Dung lượng cố định có ưu điểm là không có thời gian trễ và nghẽn mạch giữa hai điểm cuối, phù hợp cho nhiều ứng dụng như thương mại điện tử. Để thực hiện kết nối thuê riêng ta cần phải có CSU/DSU và đường truyền từ nhà cung cấp dịch vụ, router phải có cổng Serial, mỗi cổng tương ứng với một kết nối. Hình 2.3.b. Mạng WAN với đường truyền thuê riêng. Đường kết nối trực tiếp thường được sử dụng để kết nối giữa các toà nhà, cung cấp dung lượng truyền cố định. Đường truyền thuê riêng là một chọn lựa truyền thống từ trước tới nay, tuy nhiên nó cũng có nhiều nhược điểm. Lưu lượng WAN luôn biến đổi nhưng dung lượng đường truyền cố định. Do đó, băng thông đường truyền ít khi nào bằng với lưu lượng thực tế. Mỗi router tại mỗi điểm cuối cần phải có một
  47. 528 cổng Serial cho một kết nối, do đó chi phí cho thiết bị sẽ tăng thêm. Mỗi lần muốn thay đổi dung lượng đường truyền ta cần phải liên hệ với nhà cung cấp dịch vụ. Đường truyền thuê riêng cung cấp kết nối trực tiếp điểm-đến-điểm giữa các LAN và kết nối nhiều chi nhánh riêng lẻ vào mạng chuyển mạch gói. 2.2.4.X.25 Do đường truyền thuê riêng có chi phí cao nên các nhà cung cấp dịch vụ đã giới thiệu mạng chuyển mạch gói sử dụng đường truyền chia sẻ để giảm bớt chi phí. Mạng chuyển mạch gói đầu tiên là mạng X.25. X.25 cung cấp tốc độ bit thấp, dung lượng chia sẻ qua dịch vụ chuyển mạch hoặc cố định. X.25 là một giao thức lớp Mạng và các thuê bao được cung cấp một địa chỉ mạng. Khi có yêu cầu từ một tập hợp các địa chỉ, mạch ảo SVC sẽ được thiết lập, mỗi SVC được phân biệt bằng một địa chỉ số kênh. Các gói dữ liệu được dán nhãn theo chỉ số kênh này, dựa vào đó các gói dữ liệu được truyền đến đúng địa chỉ mạng đích. Trên một kết nối vật lý có thể thiết lập nhiều kênh truyền. Thuê bao có thể kết nối vào mạng X.25 bằng kết nối thuê riêng hoặc bằng kết nối quay số. Mạng X.25 cũng có thể cung cấp kênh truyền cố định PVC cho các thuê bao.
  48. 529 Hình 2.2.4. Mạng X25 X.25 có chi phí thấp và hiệu quả vì chi phí cước được tính theo lưu lượng dữ liệu chứ không tính theo thời gian kết nối và khoảng cách của kết nối. Dữ liệu được truyền đi với bất kỳ tốc độ nào lên tới mức độ tối đa của đường truyền. Nhưng mạng X.25 thường có dung lượng thấp, tối đa là 48 Kb/giây. Ngoài ra thời gian truyền gói dữ liệu cũng bị trễ do đặc trưng của mạng chia sẻ. Công nghệ X.25 từ lâu đã không còn được sử dụng rộng rãi. Frame Relay đã thay thế cho X.25 Ứng dụng thường thấy của X.25 là trên các máy đọc thẻ tín dụng. Tại các trung tâm thương mại, siêu thị, khi khach hàng sử dụng thẻ để thanh toán thì các máy đọc thẻ sẽ sử dụng X.25 để liên hệ với máy tính trung tâm xác định giá trị của thẻ, thực hiện giao dịch thanh toán. Một số công ty còn sử dụng X.25 trên mạng VAN ( Value-add network). VAN là một mạng riêng được các công ty thuê từ nhà cung cấp dịch vụ để thực hiện trao đổi dữ liệu về tài chính và nhiều thông tin thương mại
  49. 530 khác. Đối với những ứng dụng này, băng thông thấp và thời gian trễ cao không phải là vấn đề lớn, trong khi đó chi phí thấp lại là một ưu điểm của X.25. 2.2.5. Frame Relay. Do nhu cầu băng thông ngày càng cao và yêu cầu thời gian chuyển mạch gói nhanh hơn, nhà cung cấp dịch vụ đã giới thiệu Frame Relay, Frame Relay cũng hoạt động như X.25 nhưng có tốc độ cao hơn, lên đến 4 Mb/giây hoặc hơn nữa. Frame Relay có một số đặc điểm khác với X.25. Trong đó, điểm khác biệt quan trọng nhất là: Frame Relay là giao thức đơn giản hơn, hoạt động ở lớp liên kết dữ liệu thay vì ở lớp Mạng. Frame Relay không thực hiện điều khiển luồng và kiểm tra lỗi. Do đó, thời gian trễ do chuyển mạch frame giảm đi. Hình 2.2.5. Mạng Frame Relay Hầu hết các kết nối Frame Relay đều là kết nối PVC, chứ không phải là SVC. Kết nối từ mạng của khách hàng vào mạng của nhà cung cấp dịch vụ thường là kết nối thuê riêng hoặc cũng có thể là kết nối quay số nếu nhà cung cấp dịch vụ có sử dụng đường ISDN, Kênh D ISDN được sử dụng để thiết lập kết nối SVC trên một hay
  50. 531 nhiều kênh B. Giá cước Frame Relay được tính theo dung lượng kết nối và dung lượng thoả thuận trên các PVC> Frame Relay cung cấp kết nối chia sẻ có băng thông truyền cố định, có thể truyền được cả tiếng nói. Frame Relay là một chọn lựa lý tưởng cho kết nối giữa các LAN. Router trong LAN chỉ cần một cổng vật lý, trên đó cầu hình nhiều kết nối ảo VC. Kết nối thuê riêng để kết nối vào mạng Frame Relay khá ngắn nên chi phí cũng tương đối hiệu quả khi nối giữa các LAN. 2.2.6. ATM Các nhà cung cấp dịch vụ đã nhìn thấy nhu cầu cần phải có công nghệ cung cấp mạng chi sẻ cố định với thời gian trễ thấp, ít nghẽn mạch và băng thông cao. Giải pháp của họ chính là ATM (Asychronous Transfer Mode) với tốc độ 155 Mb/giây. So với các công nghệ chia sẻ khác như X.25, Frame Relay thì sơ đồ mạng WAN ATM cũng tương tự. Hình 2.2.6. ATM. ATM là một công nghệ có khả năng truyền thoại, video và dữ liệu thông qua mạng riêng và mạng công cộng. ATM được xây dựng dựa trên cấu trúc tế bào (cell) chứ không dựa trên cấu trúc frame. Gói dữ liệu được truyền đi trên mạng ATM không được gọi là frame mà gọi là tế bào (cell). Mỗi tế bào ATM luôn có chiều dài cố định là 53 byte. Tế bào ATM 53 byte này chứa 5 byte phần ATM header, tiếp theo
  51. 532 sau là 48 byte của phần dữ liệu. Tất cả các tế bào ATM đều có kích thước nhỏ, cố định như nhau. Do đó, không có các gói dữ liệu khác lơn hơn trên đường truyền, mọi tế bào đều không phải chờ lâu. Thời gian truyền của mỗi gói là như nhau. Do đó, các gói đến đích cách nhau đều đặn, không có gói nào đến quá chậm so với gói trước. Cơ chế này rất phù hợp cho truyền thoại và video vì những tín hiệu này vốn rất nhạy cảm với vấn đề thời gian trễ. So với các frame lơn hơn của Frame Relay và X.25 thì tế bào ATM 53 byte không được hiệu quả bằng. Khi có một packet lớn của lớp Mạng cần phải phân đoạn nhỏ hơn thì cữ mỗi 48 byte phải có 5 byte cho phần ATM header. Công việc ráp các phân đoạn lại thành packet ban đầu ở ATM switch đầu thu sẽ phức tạp hơn. Hơn nữa, việc đóng gói như vậy làm cho đường truyền ATM phải tốn nhiều hơn 20% băng thông so với Frame Relay để truyền cùng một lượng dữ liệu lớp Mạng. ATM cung cấp cả kết nối PVC và SVC mặc dù PVC được sử dụng nhiều hơn trong WAN. Cũng như các công nghệ chia sẻ khác, ATM cho phép thiết lập kết nối ảo trên một kết nối vật lí. 2.2.7. DSL Digital Subscriber Line – DSL là một công nghệ truyền băng rộng sử dụng đường truyền hai dây xoắn của hệ thống điện thoại để truyền dữ liệu với băng thông lớn đến thuê bao dùng dịch vụ. Kỹ thuật truyền băng rộng ghép nhiều dải tần số khác nhau trên cùng một đường truyền vật lý để truyền dữ liệu xDSL bao gồm các công nghệ DSL như sau: Asymmetric DSL (ADSL) Symmetric DSL (SDSL) High Bit Rate DSL (HDSL) ISDN DSL (IDSL) Consumer DSL (CDSL), cũng được gọi là DSL-lite hay G.lite
  52. 533 Hình 2.2.7.a. Với công nghệ DSL, các nhà cung cấp dịch vụ có thế cung cấp cho khách hàng dịch vụ mạng tốc độ cao trên đường dây thoại cáp đồng. Công nghệ DSL cho phép đường dây này thực hiện song song đồng thời chức năng của một kết nối điện thoại và một kết nối mạng thường trực cố định. Nhiều kết nối của thuê bao DSL được ghép kênh vào một đường kết nối có dung lượng cao tại trung tâm cung cấp dịch vụ thông qua thiết bị ghép kênh truy cập DSL (DSLAM – DSL Access Multiplexer). Nhiều kết nối DSL của thuê bao được DSLAM tích hợp vào một kết nối T3/DS3 duy nhất. Các công nghệ DSL hiện nay sử dụng nhiều kỹ thuật mã hoá và điều chế phức tạp để đạt được tốc độ dữ liệu lên đến 8,192 Mb/giây. Kênh truyền thoại chuẩn trên đường dây điện thoại nằm trong dải tần 300 Hz đến 3,3 KHz. Như vậy, dải tần số 4 KHz được dành để truyền thoại trên đường dây điện thoại. Công nghệ DSL sử dụng dải tần cao hơn 4 KHz để truyền tải dữ liệu. Bằng cách này thoại và dữ liệu có thể được truyền tải song song đồng thời trên cùng một đường truyền.
  53. 534 Hình 2.2.7.b. Mạch vòng nội bộ của hệ thống điện thoại kết nối modem DSL của từng thuê bao đến DSLAM đặt tại trung tâm cung cấp dịch vụ. Thoại và dữ liệu sử dụng hai dải tần số riêng biệt. Có 2 loại công nghệ DSL cơ bản là ADSL (Asymmetric DSL – DSL bất đối xứng) và SDSL (Symmetric DSL – DSL đối xứng). Dịch vụ bất đối xứng cung cấp kênh tải dữ liệu (download) lớn hơn kênh truyền dữ liệu (upload). Dịch vụ đối xứng cung cấp cả hai kênh truyền này có dung lượng như nhau. Không phải tất cả các công nghệ DSL đều cho phép sử dụng đường dây điện thoại. Ví dụ SDSL không cung cấp dịch vụ điện thoại trên cùng một đường truyền. Do đó phải có riêng một đường truyền cho SDSL. Các loại DSL khác nhau cung cấp băng thông khác nhau với dung lượng có thể vượt qua đường thuê riêng T1 hoặc E1. Tốc độ truyền phụ thuộc vào chiều dài thực tế của mạch vòng nội bộ, loại cáp và điều kiện đi dây cáp. Để dịch vụ được cung cấp tốt thì mạch vòng nội bộ nên ngắn hơn 5,5 km. DSL thường không được chọn làm kết nối giữa nhà riêng và hệ thống mạng trong công ty vì thuê bao không thể từ nhà riêng kết nối trực tiếp vào mạng trung tâm của công ty, mà phải thông qua một nhà cung cấp dịch vụ Internet (ISP – Internet Service Provider). Từ đây, một kết nối IP mới được thực hiện thông qua Internet để đến mạng trung tâm của công ty. Như vậy rất nguy hiêm về mặt bảo mật. Để đảm bảo tính an toàn, dịch vụ DSL có cung cấp khả năng sử dụng mạng riêng ảo VPN (Virtual Private Network) để kết nối vào server VPN đặt tại công ty. 2.2.8. Cable modem Cáp đồng trục được sử dụng rộng rãi trong các thành phố để truyền tín hiệu truyền hình. Hệ thống mạng được xây dựng dựa trên hệ thống cáp đồng trục này có băng thông cao hơn so với hệ thống mạng trên cáp đồng điện thoại.
  54. 535 Hình 2.2.8.a. Cable modem Cable modem thực hiện truyền dữ liệu hai chiều tốc độ cao, sử dụng cáp đồng trục trong hệ thống mạng cáp truyền hình. Một số nhà cung cấp dịch vụ còn cam kết tốc độ truyền dữ liệu cao gấp 6,5 lần đường thuê riêng T1. Tốc độ này cho phép truyền được nhanh chóng một lượng lớn thông tin số bao gồm video clip, audio Lượng thông tin cần phải mất 2 phút nếu tải bằng đường truyền ISDN BRI thì bây giờ chỉ mất 2 giây thông qua kết nối cable modem. Cable modem cũng cung cấp kết nối thường trực và lắp đặt kết nối này đơn giản. Một kết nối thường trực cũng có nghĩa là máy tính luôn luôn đứng trước mối nguy hiểm về mặt bảo mật, do đó cần phải được bảo vệ bằng bức tường lửa (firewalls). Để đảm bảo về mặt an toàn, dịch vụ cable modem cũng cho phép sử dụng mạng riêng ảo VPN để kết nối vào VPN server đặt tại mạng trung tâm của một công ty. Một kết nối cable modem có dung lượng có thể lên đến 30 – 40 Mb/giây trên kênh truyền 6 MHz. Đường truyền này nhanh gần gấp 500 lần so với đường truyền modem thường (56 Kb/giây).
  55. 536 Với cable modem, thuê bao vẫn có thể nhận song song đồng thời dịch vụ truyền hình cáp và dữ liệu cho máy tính thông qua một bộ phân giải 1-2 đơn giản. Hình 2.2.8.b. Cấu trúc bộ phân giải 1-2. Thuê bao cable modem phải sử dụng ISP liên kết với nhà cung cấp dịch vụ truyền hình cáp. Tất cả các thuê bao nội bộ đều chia sẻ cùng một băng thông cáp. Do đó càng nhiều người tham gia vào dịch vụ thì lượng băng thông cho mỗi người sẽ giảm xuống.
  56. 538 Hình 2.2.8.c. Cấu trúc mạng cable modem. 2.3. Thiết kế WAN 2.3.1. Thông tin liên lạc bằng WAN WAN là một tập hợp các đường liên kết dữ liệu kết nối các router trong các LAN khác nhau. Vì lý do chi phí và pháp định nên chỉ có các nhà cung cấp dịch vụ thông tin liên lạc - viễn thông mới sở hữu các đường truyền dữ liệu của WAN. Khách hàng thuê các đường liên kết này để kết nối các mạng LAN của mình hoặc kết nối đến các mạng ở xa. Tốc độ truyền dữ liệu trong WAN thường thấp hơn tốc độ 100 Mb/giây trong LAN. Chi phí thuê bao đường truyền là chi phí lớn nhất cho một mạng WAN. Do đó, việc thiết kế WAN phải đảm bảo cung cấp băng thông lớn nhất trong khả năng chi trả chấp nhận được. Đối với người sử dụng, việc cân đối giữa chi phí và nhu cầu dịch vụ tốc độ cao là một điều không dễ dàng. WAN truyền tải rất nhiều loại lưu lượng khác nhau như dữ liệu, thoại và video. Do đó thiết kế được đưa ra phải cung cấp đủ dung lượng, thời gian truyền đáp ứng được với yêu cầu của toàn bộ hệ thống. Ngoài ra, người thiết kế còn phải quan tâm đến cấu trúc của mạng nối giữa các trung tâm với nhau, về đặc tính tự nhiên, về băng thông và khả năng của các kết nối này.
  57. 539 Mạng WAN cũ trước đây thường bao gồm các đường kết nối giữa các máy tính lớn (mainframe) ở cách xa nhau. Mạng WAN ngày nay kết nối các LAN ở xa lại với nhau. Tất cả các máy tính đầu cuối, server và router nằm trong cùng một phạm vi được kết nối với nhau thông qua LAN và WAN kết nối các router của từng LAN lại với nhau. Thông qua sự trao đổi thông tin địa chỉ lớp 3 router có thể định tuyến cho mọi luồng dữ liệu. Ngoài ra, router còn cung cấp chế độ quản lý chất lượng dịch vụ (QoS) cho phép định tuyến và chuyển mạch các luồng dữ liệu khác nhau với các mức ưu tiên khác nhau. WAN thường chỉ là tập hợp các kết nối giữa các router để liên kết các LAN với nhau, do đó không có dịch vụ nào thực hiện trên WAN. WAN hoạt động ở 3 lớp dưới của mô hình OSI. Router quyết định chọn đường đến đích cho dữ liệu từ thông tin lớp Mạng nằm trong gói dữ liệu rồi sau đó chuyển gói dữ liệu xuống kết nối vật lý tương ứng.
  58. 540 Hình 2.3.1.a. Mạng WAN trước đây và hiện nay. Hình 2.3.1.b. Các công nghệ WAN hoạt động ở 3 lớp dưới của mô hình OSI. 2.3.2. Các bước trong thiết kế WAN Thiết kế WAN là một công việc đầy thử thách, nhưng nếu thiết kế theo một cách có hệ thống thì chúng ta sẽ xây dựng được một mạng WAN có hiệu suất hoạt động cao với chi phí thấp. Mỗi khi cần thay đổi một mạng WAN đã có sẵn thì chũng ta nên đi theo các bước được đề nghị dưới đây trong phần này.
  59. 541 Chúng ta thường phải thay đổi mạng WAN mỗi khi cần mở rộng server WAN, công việc kinh doanh thực tế có sự thay đổi Các công ty lắp đặt mạng WAN để thực hiện trao đổi dữ liệu giữa các chi nhánh. Mạng WAN này phục vụ cho toàn bộ hệ thống mạng của công ty. Chi phí bao gồm nhiều phần, ví dụ trong đó có chi phí cho thiết bị và cho việc quản lý đường truyền. Trong thiết kế WAN, chúng ta cần biết trong mạng WAN đó truyền những loại lưu lượng nào, từ đâu đến đâu. WAN có thể truyền tải nhiều loại dữ liệu khác nhau với yêu cầu băng thông, độ trễ và nghẽ mạch khác nhau. Hình 2.3.2.a. So sánh giữa các loại lưu lượng trong WAN. Chúng ta càn biết thông tin về các đặc điểm của mỗi loại lưu lượng trên mỗi hướng. Quyết định về những đặc điểm này tuỳ thuộc vào sự sử dụng của user. Việc thiết kế WAN thường là nâng cấp, mở rộng hoặc thay đổi một mạng WAN đã có sẵn. Do đó, có rất nhiều dữ liệu mà chúng ta cần đã có trong hồ sơ quản lý của mạng cũ. Các đặc điểm của lưu lượng mạng: • Kết nối và mức độ dòng lưu lượng. • Dữ liệu Client/Server. • Hướng kết nối hay không hướng kết nối. • Khả năng kéo dài thời gian trễ. • Khả năng hoạt động của mạng.
  60. 542 • Tỉ lệ lỗi. • Mức độ ưu tiên. • Loại giao thức. • Chiều dài trung bình của gói dữ liệu. Việc xác định vị trí các điểm cuối của kết nối sẽ giúp chúng ta xây dựng sơ đồ cấu trúc WAN. Cấu trúc này phải thoả mãn các điều kiện về địa lý cũng như các điều kiện hoạt động. Nếu điều kiện hoạt động đòi hỏi cao thì cần phải có thêm các kết nối để dự phòng và chia sẻ tải. Cuối cung, chúng ta phải quyết đình chi phí lắp đặt và hoạt động cho WAN, so sánh chi phí đó với những lợi ích mà WAN mang lại. Trong thực tế các bước được đưa ra dưới đây rất ít khi là một quá trình xuyên suốt liên tục. Sẽ có thể có nhiều thay đổi cần thiết trước khi kết thúc thiết kế. Sau khi lắp đặt WAN xong chúng ta cũng luôn phả theo dõi và đánh giá lại mạng WAN để đảm bảo hiệu quả hoạt động của nó. Hình 2.3.2.b. Các bước trong thiết kế WAN Xác định và lựa chọn dung lượng mạng như thế nào
  61. 543 Thiết kế WAN thực chất bao gồm các công việc sau: Lựa chọn cấu trúc kết nối giữa các vị trí khác nhau. Lựa chọn công nghệ cho các kết nối này sao cho phù hợp với yêu cầu của toàn bộ hệ thống và chi phí chấp nhận được. Có rất nhiều mạng WAN sử dụng cấu trúc hình sao. Khi tổ chức phát triển hơn, thêm một chi nhánh cần kết nối vào trung tâm thì khi đó triển khai thêm một nhánh cho cấu trúc hình sao. Đôi khi các điểm cuối của hình sao được kết nối chéo với nhau để tạo thành mạng lưới, tạo thêm nhiều khả năng kết nối. Khi thiết kế, đánh giá lại hoặc thay đổi mạng WAN chúng ta cần chọn ra một cấu trúc phù hợp với yêu cầu. Hình 2.3.3.a. Cấu trúc hình sao.
  62. 544 Hình 2.3.3.b. Cấu trúc hình lưới toàn phần. Hình 2.3.3.c. Cấu trúc hình lưới một phần. Khi lựa chọn cấu trúc, chúng ta cần quan tâm đến một số yếu tố. Càng nhiều kết nối thì chi phí càng tăng cao, nhưng càng có nhiều đường kết nối giữa các điểm thì độ tin cậy của mạng càng cao. Càng đặt thêm nhiều thiết bị trên đường truyền dữ liệu càng làm tăng thêm thời gian trễ và làm giảm độ tin cậy. Chúng ta có rất nhiều
  63. 545 công nghệ khác nhau với những đặc điểm khác nhau để chọn lựa cho kết nối dữ liệu. Công nghệ Yếu tố tính cước Tốc độ bit tối đa Đặc điểm khác phí Đường thuê riêng Khoảng cách, Không giới hạn Dung lượng cố dung lượng định. Đường điện thoại Khoảng cách, thời 33 – 56 kb/giây Quay số, kết nối gian chậm. ISDN Khoảng cách, 64 hoặc 128 Quay số, kết nối dung lượng Kb/giây nhanh. 155 Mb/giây Dung lượng thay đổi. Những công nghệ đòi hỏi phải thiết lập kết nối trước khi truyền dữ liệu, ví dụ như đường điện thoại, ISDN, X.25, không phù hợp cho mạng WAN cần thời gian đáp ứng nhanh hoặc thời gian trễ thấp. Một khi đã được thiết lập kết nối thì ISDN và các dịch vụ quay số khác có thời gian trễ thấp, ít nghẽn mạch. ISDN thường được chọn để kết nối các văn phòng nhỏ vào mạng trung tâm vì nó cung cấp kết nối tin cậy, băng thông phù hợp. ISDN còn được sử dụng làm đường dự phòng cho đường kết nối chính và là kết nối được thiết lập theo yêu cầu để chia sẻ tải với đường kết nối chính. Một ưu điểm của công nghệ này là thuê bao chỉ phải trả cước phí cho thời gian đường truyền được thiết lập. Các chi nhánh của một công ty có thể kết nối trực tiếp với nhau bằng đường thuê riêng hoặc kết nối vào mạng chia sẻ như X.25, Frame Relay và ATM. Đường truyền thuê kênh riêng kéo được xa hơn và đương nhiên cũng đắt hơn nhưng nó có thể cung cấp mọi băng thông chúng ta muốn, thời gian trễ và nghẽn mạch rất thấp.
  64. 546 Mạng ATM, Frame Relay và X.25 truyền lưu lượng của nhiều khách hàng khác nhau trong cùng một kết nối. Khách hàng không kiểm soát được số lượng đường kết nối, số lượng trạm trung gian mà dữ liệu phải đi qua trong mạng chia sẻ, cũng như không thể điều khiển được thời gian chờ tại mỗi trạm. Chính vì nhược điểm về thời gian trễ và nghẽn mạch mà các công nghệ này không phù hợp với một số loại lưu lượng mạng. Tuy nhiên, nhược điểm này vẫn thường được chấp nhận vì các mạng chia sẻ này lại có ưu điểm lớn là chi phí rẻ. Khi có nhiều khách hàng cùng chia sẻ một đường kết nối thì đương nhiên chi phí sẽ thấp hơn nhiều so với chi phí cho một đường thuê kênh riêng có cùng dung lượng. Mặc dù ATM cũng là một mạng chia sẻ nhưng nó được thiết kế để giảm thiểu tối đa thời gian trễ và nghẽn mạch bằng cách sử dụng các kết nối tốc độ cao với một đơn vị dữ liệu thống nhất, dễ quản lý, gọi là tế bào. Mỗi một tế bào ATM ( chính là mỗi gói dữ liệu trong mạng ATM) có chiều dài cố định là 53 byte, trong đó 48 byte dữ liệu và 5 byte cho phần Header. Các tế bào có chiều dài nhỏ và như nhau, không có gói nào khác lớn hơn trong mạng ATM nên không có thời gian trễ lớn hơn giữa các gói. Do đó, ATM được sử dụng rộng rãi cho các loại lưu lượng nhạy cảm với thời gian trễ. Frame Relay cũng có thể được sử dụng cho những loại lưu lượng nhạy cảm với thời gian trễ nhưng thường phải sử dụng thêm cơ chế QoS để cấu hình độ ưu tiên cho những loại dữ liệu này. Việc chọn lựa các công nghệ cho WAN thường dựa trên loại lưu lượng và dung lượng của chúng. ISDN, DSL, Frame Relay hoặc đường thuê riêng thường được sử dụng để kết nối các chi nhánh vào một trung tâm. Frame Relay, ATM hoặc đường thuê riêng thường được sử dụng để kết nối các vùng mở rộng vào đường trục chính. ATM hoặc đường thuê kênh riêng được sử dụng làm đường trục chính cho WAN. 2.3.4. Mô hình thiết kế 3 lớp Việc kết hợp một cách có hệ thống là rất cần thiết khi chúng ta cần liên kết nhiều vị trí lại với nhau. Giải pháp phân cấp với mô hình 3 lớp cho chúng ta rất nhiều ưu điểm được nêu trong bảng sau.
  65. 547 Khả năng Mạng được thiết kế theo mô hình phân cấp có thể mở rộng hơn mở rộng nhiều mà không hề làm giảm bớt mức độ kiểm soát và quản lý hệ thống. Các chức năng của hệ thống đã mang tính tập trung và các lỗi tiềm ẩn sẽ được phát hiện dễ dàng hơn. Hệ thống mạng chuyển mạch điện thoại là một ví dụ cho kiểu cấu trúc mạng phân cấp lớn. Dễ triển Cấu trúc phân cấp có chức năng rõ ràng cho từng lớp nên công việc khai triển khai cũng được thực hiện dễ dàng hơn. Dễ dàng Việc phân chi chức năng rõ ràng cho mỗi lớp cho phép việc xác định xử lý sự sự cố dễ dàng hơn. Việc chia hệ thống mạng ra thành nhiều phân cố đoạn giúp giảm thiểu phạm vi ảnh hưởng của sự cố. Khả năng Phản ứng của hệ thống mạng có cấu trúc phân lớp hoàn toàn có thể dự đoán dự đoán được, do đó việc nâng cấp hệ thống cũng sẽ tạo được thuận lợi hơn. Khả năng Đối với cấu trúc mạng có phân cấp thì việc tích hợp các ứng dụng và hỗ trợ giao thức hiện tại với tương lai có thể thực hiện dễ dàng vì cơ sở hạ các giao tầng mạng được tổ chức theo logic. thức Khả năng Tất cả các ưu điểm được liệt kê ở trên đều nhằm cung cấp khả năng quản lý quản lý tốt hơn cho hệ thống mạng. Chúng ta thử tưởng tượng một công ty lớn hoạt động trên mọi quốc gia ở Châu Âu và có chi nhán ở mọi thành phố có dân số hơn 10.000 người. Mỗi chi nhánh là một LAN và chúng ta cần liên kết các chi nhánh với nhau. Mạng hình lưới rõ ràng là không khả thi vì chúng ta cần tới gần 500.000 liên kết cho 900 điểm. Mạng hình sao đơn cũng không thực hiện được vì chúng ta cần phải có một router tại vị trí trung tâm hình sao với 900 cống hoặc 1 cổng vật lý có khả năng thiết lập 900 giao tiếp ảo.
  66. 548 Thay vào đó chúng ta sẽ thiết kết theo mô hình phân cấp. Các mạng LAN trong cùng một vùng địa lý sẽ được liên kết lại với nhau thành một vùng. Các vùng sẽ được kết nối với nhau tạo thành một khu vực. Các khu vực kết nối với nhau và đóng vai trò là trục chính của mạng WAN. Hình 2.3.4.a. Các LAN trong một vùng được kết nối lại theo hình sao và từ router ở trung tâm hình sao kết nối ra khu vực. Hình 2.3.4.b. Một mạng khu vực.
  67. 549 Hình 2.3.4.c. Kết nối mạng khu vực vào đường trục chính. Số lượng các địa điểm được kết nối với nhau trong một vùng được giới hạn trong khoảng từ 30 đến 50. Mỗi vùng có cấu trúc hình sao, thiết bị tại trung tâm hình sao sẽ kết nối ra khu vực. Mạng khu vực có phạm vi địa lý lớn, kết nối khoảng 3 đến 10 vùng với nhau. Thiết bị trung tâm của mạng khu vực sẽ kết nối ra trục chính, các kết nối này có thể là kết nối điểm-đến-điểm. Mô hình 3 lớp này dựa theo thiết kế phân cấp được sử dụng trong hệ thống điện thoại. Lớp truy cập là lớp kết nối các điểm trong cùng một vùng và đây là điểm truy cập vào hệ thống mạng. Lưu lượng giữa các vùng được phân phối bởi các kết nối trong lớp phân phối và chỉ được chuyển lên đường trục chính sang khu vực khác khi cần thiết. Cấu trúc này rất hữu dụng khi công ty có cấu trúc chi nhánh và được chia thành khu vực, vùng, chi nhánh. Cấu trúc này cũng rất phù hợp khi có một trung tâm dịch vụ mà tất cả các chi nhánh đều cần phải truy cập vào nhưng cấp độ lưu lượng không đủ để phân phối trực tiếp cho từng kết nối của từng chi nhánh.
  68. 550 Trong mạng LAN ở trung tâm của mỗi vùng, chúng ta có thể đặt các server để cung cấp dịch vụ nội bộ. Tuỳ theo mức độ và loại lưu lượng mà kết nối truy cập có thể là quay số, thuê riêng hoặc Frame Relay. Cấu trúc Frame Relay cho phép thực hiên dạng mạng lưới để dự phòng mà không cần phải thêm kết nối vật lý. Các kết nối ở lớp Phân phối (Distribution Layer) có thể là Frame Relay hoặc ATM và kết nối trục chính ( Core Layer) có thể là ATM hoặc đường thuê riêng. 2.3.5. Các mô hình phân lớp khác Có nhiều hệ thống mạng lại không đòi hỏi phải có cấu trúc phân cấp phức tạp đủ 3 lớp. Do đó, chúng ta có thể sử dụng dạng phân cấp đơn giản hơn. Hình 2.3.5.a. Mô hình phân cấp 3 lớp. Một công ty có một số chi nhánh nhỏ với mức độ lưu lượng thấp thì có thể thiết kết theo một lớp. Trước đây, mô hình này không được phổ biến vì chiều dài của đường thuê riêng là một yếu tố đáng kể. Ngày nay, với Frame Relay chúng ta không trả cước phí theo chiều dài thì giải pháp thiết kế này có thể thực hiện được.
  69. 551 Hình 2.3.5.b. Mô hình phân cấp một lớp. Nếu do yêu cầu địa lý cần phải tập trung thành một số điểm thì chúng ta có thể áp dụng mô hình thiết kế 2 lớp. Khi thiết kế mạng đơn giản chúng ta vẫn dựa theo mô hình ba lớp để mạng có khả năng mở rộng về sau. Các thiết bị tại trung tâm của lớp 2 được coi là trục chính mặc dù không có router nào ở lớp trục chính (core layer) kết nối vào nó. Tương tự, trong thiết kế một lớp, thiết bị trung tâm cũng đồng thời là thiết bị khu vực và thiết bị trục chính. Với cách thiết kế phân lớp như vậy hệ thống có thể được mở rộng dễ dàng sau này. 2.3.6. Một số điểm cần lưu ý khác khi thiết kế WAN. Nhiều mạng WAN có kết nối ra Internet. Đây là một giải pháp có nhiều vấn đề về bảo mật nhưng lại là một cách tốt để kết nối các chi nhánh ở nhiều quốc gia khác nhau. Trong quá trình thiết kế, chúng ta phải quant tâm đến thành phần đi ra và đi vào từ Internet. Từ khi Internet được triển khai khắp nơi, các mạng LAN của công ty có thể trao đổi dữ liệu theo hai cách. Mỗi LAN có một kết nối đến ISP trong vùng của nó hoặc là từ router trung tâm củ vùng thực hiện một kết nối đến một ISP. Cách thứ nhất có ưu điểm là luồng lưu lượng được truyền đi trong mạng Internet chứ
  70. 552 không phải trong mạng của công ty, do đó kết nối WAN có thể có dung lượng nhỏ hơn. Nhưng cách này có một nhược điểm là cả hệ thống mạng công ty được phơi ra cho các tấn công từ Internet. Khi có nhiều kết nối như vậy thì việc theo dõi và quản lý cũng gặp khó khăn. Một kết nối đơn từ router trung tâm của vùng ra Internet sẽ dễ dàng theo dõi và bảo vệ hơn và như vậy mạng WAN của công ty sẽ phải thực hiện truyền tải lưu lượng nhiều hơn. Hình 2.3.6. Sử dụng Internet như mạng WAN của công ty. Nếu mỗi LAN trong mạng có một kết nối Internet riêng thì Internet có thể được sử dụng như mạng WAN của công ty đó, trong đó lưu lượng giữa các chi nhánh được truyền đi trong Internet. Việc bảo vệ các mạng LAN sẽ là một vấn đề nhưng chi phí tiết kiêm được do không phải xây dựng mạng WAN riêng sẽ được dành để chi trả cho vấn đề bảo mật. Server nên được đặt ở gần nơi thường xuyên truy cập vào nó nhất. Các thông tin trả lời, cập nhật của server sẽ làm giảm dung lượng hiệu dụng của đường truyền. Vị trí đặt dịch vụ truy cập Internet phụ thuộc vào đặc tính của bản thân mỗi dịch vụ, mỗi loại lưu lượng và yêu cầu về bảo mật. Lĩnh vực này là một chủ đề đặc biệt nằm ngoài phạm vi của giáo trình này.
  71. 553 TỔNG KẾT Sau đay là các điểm chính của chương này: • Sự khác nhau về phạm vi địa lý giữa WAN và LAN. • Các lớp hoạt động của WAN và LAN trong mô hình OSI.
  72. 554 CHƯƠNG 3: GIAO THỨC ĐIỂM NỐI ĐIỂM (Point – to – Point Protocol) GIỚI THIỆU Chương này cung cấp cho bạn đọc một cái nhìn tổng quát về công nghệ WAN. Trong đó chúng tôi giới thiệu và giải thích các thuật ngữ WAN như truyền nối tiếp, phân kênh theo thời gian (TDM – Time Division Multiplexing), điểm ranh giới, DTE –Data Terminal Equipment, DCE – Data Circuit – terminating Equipment. Sự phát triển và ứng dụng của giao thức đóng gói HDLC (High-level Data Link Control) cũng như phương pháp cấu hình và xử lý sự cố cổng Serial trên router được trình bày trong chương trình này. PPP (Point – to – Point Protcol) là một giao thức thường được chọn để triển khai trên một kết nối WAN nối tiếp. PPP có thể thực hiện được Thong tin lien lien lạc thông tin liên lạc đồng bộ, bất đồng bộ và phát hiện lỗi. Quan trọng nhất là PPP có quá trình xác minh sử dụng CHAP hoặc PAP. PPP có thể sử dụng được trên nhiều môi trường vật lý khác nhau bao gồm cáp xoắn, cáp quan và truyền qua vệ tinh. Trong chương này chúng ta sẽ tìm hiểu về quá trình cấu hình và xử lý sự cố cho PPP Sau khi hoàn t ất ch ương n ày các b ạn c ó th ể th ực hi ện đ ư ợc: Gi ải th ích s ự truy ền n ối ti ếp M ô t ả v à cho v í d ụ v ề TDM x ác định đi ểm ranh giới trong mạng WAN M ô t ả ch ức n ăng c ủa DTE v à DCE Tr ình b ày s ự ph át tri ển c ủa giao th ức đ óng g ói HDLC S ử d ụng s ự ph át tri ển c ủa giao th ức đ óng g ói HDLC S ử d ụng l ệnh encapsulation hdlc đ ể c ấu h ình HDLC X ử l ý s ự c ố tr ên c ổng S erial b ằng l ệnh sh ow int erface v à sh ow c ontroller
  73. 555 X ác đ ịnh nh ững ưu đi ểm khi s ử d ụng PPP • Gi ải th ích ch ức n ăng c ủa hai th ành ph ần trong PPP :LCP ( Link C ontrol Protocol ) v à NCP (Net work C ontrol Protocol) • M ô t ả c ấu tr úc frame PPP • X ác đ ịnh 3 qu á tr ình c ủa m ột phi ên giao ti ếp PPP • Gi ải th ích s ự kh ác nhau gi ữa PAP v à CHAP • Li ệt k ê c ác b ư ớc c ủa qu á tr ình x ác minh PPP • C ấu h ình PPP v ới nhi ều ch ọn l ựa kh ác nhau • C ấu h ình ki ểu đ óng g ói PPP • C ấu h ình qu á tr ình x ác minh Chap va PAP • S ử d ụng l ệnh Sh ow int erface đ ể ki ểm tra ki ểu đ óng g ói tr ên c ổng S erial • X ử l ý c ác sự cố liên quan đến cấu hình PPP bằng lệnh debug PPP 3.1. Liên kết nối tiếp điểm-đến-điểệ 3.1.1.Giới thiệu về truyền nối tiếp Các công nghệ WAN đều dựa trên cơ sở truyền nối tiếp ở lớp Vật lý. Điều này có ý nghĩa là các bit trong một frame được truyền lần lượt trên đường truyền vật lý • Mỗi bit trong frame Lớp 2 được mã hoá thành tín hiệu và được truyền lần lượt xuống môi trường tryền vật lý. Các phương pháp mã hoá ín hiệu lớp Vật lý bao gồm NRZ-L (Nonreturn to Zezo Level), HDB3(High Density Binary) và AMI ( các phương pháp mã hoá tín hiệu khác nhau. Sau đây là một số các chuẩn truyền nối tiếp khác nhau
  74. 556 • RS-232-E • V.35 • High Speed Serial Interface (HSSI) 3.1.2 Phân kênh theo thời gian (TDM- Time Division Multiplexing) Phân kênh theo thời gian TDM là truyền nhiều nguồn thong tin trên cùng một tín hiệu, sau đó lại tách ra thành các nguồn riêng biệt như ban đầu tại điểm cuối Ví dụ như hình 3.1.2.a chúng ta có 3 nguồn thong tin khác nhau đưa vào cùng một kênh. Mỗi nguồn thông tin được truyền luân phiên, đơn vị dữ liệu. Đơn vị dữ liệu này có thể là một bit hoặc một byte. Tuỳ theo đơn vị là bit hay byte mà loại TDM này được gọi là chèn bit hay chèn byte. Mỗi nguồn thông tin ở đầu vào có một dung ượng riêng của nó. Để có thể truyền thông tin cho cả 3 nguồn thì dung lượng của kênh truyền không được thấp hơn tổng dung lượng của 3 đầu vào. Trong TDM các khe thời gian luôn luôn tồn tại cho dù không có dữ liệu truyền vào. TDM có thể được ví như một xe lửa có 3 toa xe. mỗi toa xe thuộc sở hữu của một công ty và mỗi ngày xe lửa đều cạy với 32 toa. Nêu công ty nào có hang gởi đi thì toa xe của công ty đó đầy. Nếu công ty nào không có gì gởi đi thì toa xe đó để trống nhưng vẫn hiện diện trong đoàn tàu
  75. 557 TDM là một khái niệm ở lớp Vật lý, nó không phụ thuộc vào bản chất của thông tin được ghép vào kênh truyền và cũng không phụ thuộc vào các giao thức lớp 2 được sử dụng trên các đầu vào. Một ví dụ cho TDM là ISDN (Integrated Services Digital Network). ISDN BRI có 3 kênh truyền, bao gồm 2 kênh B 64Kb/giây và một kênh D 16Kb/giây. TDM có 9 khe thời gian được chia ra như trong hình3.1.2b. 3.1.3 Điểm ranh giới Điểm ranh giới là điểm mà trách nhiệm của nhà cung cấp dịch vụ trong mạng kết thúc. Ở Mỹ nhà cung cấp dịch vụ cung cấp mạng vòng nội bộ đến vị trí của khách hang và khách hang kết nối thiết bị của mình như CSU/DSU vào điểm cuối của mạch vòng dữ liệu này. Khách hang phải chịu trách nhiệm bảo trì, thay thể hay sửa chữa thiết bị của mình Ở các nước khác trên thế giới thì công ty khai thác dịch vụ sẽ cung cấp và quản lý đơn vị kết cuối mạng NTU (network terminating unit). Như vậy nhà cung cấp dịch vụ có thể quản lý và xử lý sự cố với điểm ranh giới nằm sau NTU. Khách hàng kết nối thiết bị CPE của mình, ví dụ như router, thiết bị truy cập Frame Relay vào NTU bằng cổng Serial V3.5 hoặc RS -232
  76. 558 3.1.4 DTE/DCE Một kết nối tiếp có một đầu là thiết bị DTE và đầu kia là thiết bị DCE. Kết nối giữa hai DCE chính là mạng WAN của nhà cung cấp dịch vụ CPE thông thường là router của khách hang đóng vai trò là DTE Máy tính, máy in, máy fax cũng là những ví dụ cho thiết bị DTE, DCE, thông thường là moderm hoặc CSU/DSU là thiết bị chuyển đổi tín hiệu từ DTE sang dạng tín hiệu phù hợp với đường truyền trong mạng WAN của nhà cung cấp dịch vụ. Tín hiệu này được thiết bị DCE ở đầu bên kia nhận được và lại được chuyển đổi thành dạng tín hiệu phù hợp với DTE và được truyền cho DTE
  77. 559 Chuyển giao tiếp DTE/DCE định nghĩa các đặc điểm sau: • Cấu trúc vật lý: số lượng chân và hình dạng của đầu kết nối • Điện : định nghĩa mức điện thế cho tín hiệu 0 và 1 • Chức năng: quy ước chức năng ý nghĩa của từng đường tín hiệu trong cổng kết nối • Thủ tục: quy ước thứ tự các bước trong truyền dữ liệu Nếu hai DTE cần phải kết nối trực tiếp với nhau giống như hai máy tính hoặc hai router thì chúng ta cần sử dụng một loại cáp đặc biệt gọi là cáp null-moderm để thay thế cho DCE. Đối với kết nối đồng bộ thì cần phải có tín hiệu đồng bộ, khi đó chúng ta cần phải có thêm một thiết bị bên ngoài hoặc một trong hai thiết bị DTE phải phát được tín hiệu đồng bộ Cổng Serial đồng bộ trên router được cấu hình là DTE hay DCE là tuỳ theo đầu cáp cắm vào cổng đó là DTE hay DCE. Cấu hình mặc định của cổng Serial là DTE. Nếu cổng Serial được cấu hình là DTE thì CSU/DSU hoặc thiết bị DCE kết nối vào cổng này phải phát tín hiệu đồng bộ Cáp cho kết nối DTE – DCE là cáp nối tiếp có lớp bọc chống nhiều. Đầu cáp kết nối vào cổng Serial trên Router là đầu DB-60. Đầukia của cáp theo chuẩn nào là tuỳ theo CSU/DSU hay nhà cung cấp dịch vụ WAN. Thiết bị Cisso có hỗ trợ các chuẩn kết nối sau: EIA/TIA-32, EIA/TIA-449, V.35, X.21 và EIA/TIA-530
  78. 560 Cisso cũng đã giới thiệu loại cáp Smart Serial với độ nhạy cao hơn và kiểu dáng nhỏ gọn hơn . Đầu cáp Smart Serial cắm vào cổng Serial trên router chỉ có 26 chân tín hiệu nhỏ gọn hơn so với đầu DB-60 3.1.5 Đóng gói HDLC • Truyền nối tiếp đặt cơ sở trên giao thức hướng bit. Giao thức hướng bit tuy có hiệu quả hơn nhưng thường mang tính độc quyền. Năm 1979, ISO đã chấp thuận HDLC là giao thức chuẩn hướng bit của lớp Liên kết dữ liệu) cho ISDN Link Aceess Procedure f or Mod emsthực hiện đóng gói dữ liệu cho đường truyền nối tiếp đồng bộ. Sự chuẩn hoá này đã giúp cho các tổ chức khác áp dụng và mở rộng giao thức này. Từ năm 1981, ITU-T đã phát triển một loạt các phiên bản của HDLC. Sau đâ là một ví dụ, những giao thức này được gọi là giao thức truy cập đường liên kết: • Link Aceess Procedure, Balanced (LAPB) cho X.25\ • Link Aceess Procedure on the D channel (LAPD) cho ISDN( • Link Aceess Procedure f or Mod ems (LAPM) and PPP cho mod ems • Link Acc ess Proced ure f or Frame Relay (L APF) cho Frame Relay HDLC cung c ấp c ơ ch ế truyền đồng bộ không có lỗi giữa hai điểm. HDLC định nghĩa cấu trúc frame Lớp 2 cho phép điều khiển luồng theo cơ chế cửa sổ trượt, kiểm tra lỗi và báo nhận. Frame dữ liệu hay frame điều khiển đều có cùng một định dạng frame
  79. 561 Chuẩn HDLC không hỗ trợ nhiều giao thức trên một đường kết nối, đồng thời cũng không có thông tin cho biết giao thức lớp trên nào đang được truyền trên đường truyền. Cisso có giới thiệu một phiên bản HDLC độc quyền riêng. Frame Cisso HDLC có phần “type” cho biết giao thức lớp trên của của frame. Nhờ có phần này mà nhiều giao thức lớp Mạng có thể chia sẻ cùng một đường truyền nối tiếp . HDLC là giao thức Lớp 2 mặc định trên cổng Serial của Cisso router HDLC định nghĩa 3 loại frame mỗi loại có định dạng phần điêu khiển khác nhau • Frame thông tin (I-Frames– Information frames): là frame mạng dữ liệu của máy truyền. Trong frame thông tin có chèn thêm phần điều khiển luồng và lỗi. • Frame giám sát (S-Frames – Supervisory frames): cung cấp cơ chế hỏi đáp khi cơ chế chèn thông tin trong I-Frame không được sử dụng. • Frame không đánh số (U-Frames – Unnumbered frames):thực hiện chức năng bổ sung điều khiển kết nối như thiết lập kết nối. Phần “code” trong frame sẽ xác định loại frame là U-frame Một hoặc hai bit đầu tiên của phần “Cotrol” cho biết loại frame. Trong frame thông tin phần nay có chỉ số của gói gủi kế tiếp và gói nhận kế tiếp. Trong frame phát đi của máy gửi và máy nhận đều có hai chỉ số này 3.1.6 Cấu hình đóng gói HDLC
  80. 562 Kiêủ đóng gói mặc định trên cổng Serial đồng bộ của thiết bị Cisco là Cisco HDLC. Nếu cổng Serial đã được cấu hình kiểu đóng gói khác và bây giờ cần quay lại kiểu đóng gói HDLC thì chúng ta vào chế độ cấu hình cổng Serial tương ứng. Sau đó dung lệnh encapsulation để khai báo giao thức đóng gói HDLC cho cổng đó Router (config – if)# encapsulation hdlc Cisso HDLC là giao thức điểm nối điểm được sử dụng trên đường truyền nối tiếp giữa hai thiết bị Cisso. Nếu kết nối với một thiết bị không phải của Cisco thì chúng ta nên chọn PPP 3.1.7 Xử lý sự cố trên cổng Serial Kết quả hiển thị của lệnh show interfaces serial cho biết các thông tin về cổng serial. Khi cổng serial được cấu hình kiểu đóng gói HDLC thì chúng ta sẽ đọc thấy dòng “Encapsulation HDLC” trong kết quả hiển thị của lệnh này Nếu cổng serial đã được cấu hình PPP thì chúng ta sẽ đọc thấy dòng “Encapsulation PPP” như trong hình 3.1.7b
  81. 563 Sau đây là 5 trạng thái sự cố mà chúng ta có thể xác định được thông qua kết quả hiển thị của lệnh show interfaces serial” • Serial x is down, line protocol is down • Serial x is up, line protocol is down • Serial x is up, line protocol is up (looped) • Serial x is up, line protocol is down (disabled) • Serial x is administratively down, line protocol is down Trạng thái Điều kiện có thể Sự cố/ Giải pháp đường kết nối xảy ra Serial x is up, Đây là trạng thái hoạt Không cần phải làm gì cả line protocol is động tốt của đường up truyền Serial x is Router không gửi tín 1.Kiểm tra LED trên CSU/DSU xem down, line hiệu CD, có nghĩa CD CD có hoạt động hay không, hoặc
  82. 564 protocol is không hoạt động. Có sử dụng thiết bị đo trên đường dây down (dầu thể sự cố xảy ra do xem có tín hiệu CD hay không. DTE) phía nhà cung cấp dịch 2. Kiểm tra cáp và kết nối có theo vụ WAN, kết nối đúng hướng dẫn lắp đặt hay không không thực hiện hoặc chưa được kết nối vào 3. Sử dụng thiết ị kiểm tra mọi dây CSU/DSU cáp. Cáp bị lỗi hoặc kết nối 4. Liên hệ với nhà cung cấp dịch vụ không đúng để kiểm tra vị trí xảy ra sự cố. Lỗi phần cứng 5. Thay thế phần bị sự cố. (CSU/DSU) 6. Nếu nghi ngờ phần cứng router bị hư hỏng thì nên chuyển kết nối sang cổng khác. Nếu sự cố không xảy ra nữa thì có nghĩa là cổng kết nối trước đó đã bị hư. Serial x is up, Router nội bộ hoặc 1. Đặt modem, CSU hoặc DSU vào line protocol is router ở đầu bên kia bị chế độ loopback và dùng lệnh show down (dầu cấu hình sai. interfaces serial để xem line DTE) protocol is up, có nghĩa là sự cố do Router đầu bên kia phía nhà cung cấp dịch vụ WAN không gửi thông điệp hoặc router ở đầu bên kia bị sự cố. Keepalives 2. Nếu có vẻ như sự cố xảy ra ở đâù Có thể sự cố xảy ra do bên kia thì chúng ta lặp lại bước 1 ở phía nhà cung cấp dịch đầu bên kia vụ, đường truyền bị nhiễu hoặc switch bị 3. Kiểm tra mọi dây cáp, chúng ta cấu hình sai. cần chắc chắn rằng mọi dây cáp đã được kết nối vào đúng cổng, đúng Vấn đề về đồng bộ xảy CSU/DSU vào đúng điểm cuối của ra trên cáp, SCTE – mạng WAN của nhà cung cấp dịch Serial clock transmit vụ.Chúng ta sử dụng lệnh show
  83. 565 external chưa được cài controllers để xác định cáp nào đang đặt trên CSU/DSU. được cắm vào cổng nào SCTE được thiết kế để 4. Sử dụng lệnh debug serial bổ xung cho sự lệch interface. phạ đồng hồ trên cáp 5. Nếu vẫn còn trạng thái line dài. protocol is down trong chế độ Thiết bị DCE sử dụng loopback ở bước 1 và kết quả hiển SCTE thay vì xung thị của lệnh debug serial interface đồng hồ bầu bên trong cho thấy số lượng Keepalive không thiết bị DCE tăng lên thì khả năng lớn là lỗi phần cứng của router . Kết nối loopback CSU/DSU nội bộ hoặc cho cổng đang kết nối trên router ở đầu bên kia bị sự cố. 6. Nếu line protocol is up, số lượng Phần cứng của router Keepalive tăng lên thì sự cố không nội bộ hoặc router đầu nằm trên router nội bộ bên kia bị hư 7. Nếu nghi ngờ sự cố do phần cứng router thì chúng ta đổi kết nối lên cổng khác còn trống. Nếu kết nối hoạt động được có nghĩa là cổng trước đó bị hư Serial x is up Thiếu lệnh cấu hình 1.Thêm lệnh cấu hình clokrate cho line protocol is clokrate cho cổng. cấu hình cổng serial down (dầu Thiết bị DTE không hỗ 2. Clockrate bps DCE) trợ hoặc chưa được cấu hình cho chế độ SCTE 3. Tham số bps có thể là : .CSU hoặc DSU ở đầu 1200,2400,4800,9600,19200,38400, bên kia bị hư 56000,64000,72000,125000,148000, 250000,500000,800000,1000000, 1300000,2000000,8000000.
  84. 566 4. Nếu có vẻ như sự cố xảy ra ở đầu bên kia kết nối thì chúng ta thực hiện lại bước 1 ở modem, CSU hoặc DSU ở đầu bên kia 5. Kiểm tra xem cáp có kết nối đúng không. 6. Nếu vẫn còn trạng thái line protocol is down, sự cố có thể là phần cứng hoặc do cáp Chúng ta sử dụng thiết bị kiểm tra cáp 7. Thay thế phần bị hư khi cần thiết Serial x is up Tồn tại mạch lặp vòng. 1. Sử dụng lệnh show running- line protocol is Khi mạch lặp vòng bắt confif để kiểm tra xem có lệnh nào up (looped) đầu được phát hiện, chỉ cấu hình cho cổng làm loopback hay số thứ tự của gói không Keepalive thay đổi 2. Nếu có lệnh loopback trong cấu ngẫu nhiên. Nếu chỉ số hình của cổng giao tiếp thì chúng ta nhận lại cũng giống với dùng lệnh no loopback để xoá lệnh chỉ số gửi đi thì có này khỏi cấu hình nghĩa là đang tồn tại mạch lặp vòng 3. Nếu không có lệnh cấu hình loopback thì chúng ta kiểm tra CSU/DSU xem thiết bị này có bị cấu hình bằng tay vào chế độ loopback hay không. Nếu có thì chúng ta tắt chế độ này đi 4.Sau khi tắt chế độ loopback trên CSU/DSU, chúng ta khởi động lại CSU/DSU và xem lại trạng thái
  85. 567 đường liên kết. Nếu Line protocol is up thì không cần làm gì nữa 5. Nếu CSU/DSU không thể cấu hình bằng tay được thì chúng ta nên liên hệ với nhà cung cấp dịch vụ để yêu cầu hỗ trợ xử lý sự cố trên đường truyền Serial x is up Tỉ lệ lỗi cao đang xảy 1.Sử dụng thiết bị kiểm tra và phân line protocol is ra do sự cố phía nhà tích đường truyền. Kiểm tra tín hiệu down (disable) cung cấp dịch vụ. CTS và DSR Sự cố phần cứng của 2. Ngắn mạch CSU/DSU. Nếu sự cố CSU hoặc DSU. vẫn còn thì có nghĩa là sự cố phần cứng. Nếu không còn sự cố thì sự cố Phần cứng router là do phía nhà cung cấp dịch vụ. không tốt 3. Thay thế những thiết bị có sự cố (CSU, DSU, Switch, router) Serial x is Trong cấu hình cổng 1. Kiểm tra cấu hình cổng router administratively của router có lệnh xem có lệnh shutdown hay không down, line shutdown. 2. Nếu có thì dùng lệnh no protocol is Bị trùng địa chỉ IP shutdown để xoá bỏ lệnh này ra khỏi down cấu hình 3. Kiểm tra cấu hình địa chỉ IP bằng lệnh show running – config hoặc show interfaces 4. Nếu có trùng địa chỉ thì thay thế địa chỉ IP khác Lệnh show controllers là một công cụ rất hữu ích khi xử lý sự cố trên kết nối serial. Kết quả hiển thị của lệnh show controllers cho biết trạng thái của cổng, cáp nào hiện đang kết nối vào cổng. Ví dụ như trong hình 3.1.7.c cổng Serial 0/0 được kết
  86. 568 nối với đầu cáp V.35 DTE. Tuỳ theo các phiên bản router khác nhau mà cấu trúc câu lệnh này có khác nhau Ví dụ khi chúng ta cần xem thông tin về cổng Serial trên router Cisco 7000 thì dùng lệnh show controllers cbus Nếu trong kết quả hiển thị của câu lện này cho thấy cổng giao tiếp là UNKNOWN thay vì là V.35, EIA/TIA – 449 hay một chuẩn cụ thể nào khác, thì sự cố có thể là do kết nối cáp không đúng, Khi đó kết quả hiển thị của lệnh show interfaces serial (X) sẽ cho thấy interface is down, line protocol is down. 3.2 Quá trình xác minh trong PPP 3.2.1. Cấu trúc phân lớp của PPP PPP sử dụng cấu trúc phân lớp. Cấu trúc phân lớp là mô hình giao tiếp logic giữa các lớp. Mô hình OSI là một ví dụ về mô hình phân lớp trong mạng. PPP cung cấp cách đóng gói phù hợp cho nhiều gói dữ liệu của nhiều giao thức khác nhau để truyền trên một đường truyền điểm-nối-điểm, đồng thời PPP sử dụng lớp liên kết dữ liệu để kiểm tra kết nối. Do đó PPP được chia thành hai giao thức con:
  87. 569 • Giao thức điều khiển đường truyền LCP (Link Control Protocol): được sử dụng để thiết lập kết nối điểm - nối - điểm • Giao thức điều khiển lớp mạng NCP (Network Control Protocol): được sử dụng để cấu hình cho nhiều giao thức lớp Mạng khác nhau PPP có thể được cấu hình trên nhiều loại cổng vật lý như sau: • Cổng truyền nối tiếp bất đồng bộ (Asynchronous serial) • Cổng truyền nối tiếp đồng bộ (Synchronous serial) • High – Speed Serial Interface (HSSI). • Integrated Services Digital Network (ISDN) LCP nằm ngay trên lớp Vật lý, được sử dụng để thiết lập, cấu hình và kiểm tra kết nối theo những yêu cầu sau Thực hiện xác minh: Yêu cầu nay đòi bên thiết lập kết nối phải cung cấp thông tin cho biết có được phép của người quản trị mạng để thiết lập kết nối hay không. Hai router ở hai đầu kết nối sẽ thực hiện quá trình xác minh bằng PAP hoặc Chap • Nén: Thực hiện yêu cầu nén frame khi truyền kết nối PPP sẽ giúp tăng thông lượng của đường truyền, giảm lượng dữ liệu phải truyền trên đường dây. Tại đầu nhận frame dữ liệu sẽ được giải nén. Router Cisco có hỗ trợ hai giao thức nén là Stacker và Predictor • Phát hiện lỗi: Cơ chế phát hiện lỗi của PPP thực hiện quá trình kiểm tra điều kiện đường truyền. Chỉ số Quality Magic giúp xác định vòng lặp và độ tin cậy của đường truyền. • Ghép kênh (Multilink PPP):Cisco IOS phiên bản 11.1 trở đi cho phép thực hiện ghép kênh PPP trên cổng của router để thực hienẹ chia sẻ tải • PPP Callback: Để gia tăng khả năng bảo mật, Cisco IOS phiên bản 11.1 trở đi đã cho phép thực hiện chức năng gọi lại trên kết nối PPP. Cisco router đóng vai trò là callback client hoặc callback server. Callback client thiết lập
  88. 570 một cuộc gọi yêu cầu callback server gọi lại cho nó rồi kết thúc ngay cuộc gọi này. Sau đó callback server thực hiện gọị lại cho client dựa trên cấu hình của nó. LCP còn thực hiện những việc sau: • Kiểm soat các giới hạn khác nhau về kích thước gói dữ lieu • Phát hiện lỗi cấu hình • Kết thúc đường truyền • Kiểm tra xem đường truyền hoạt động tốt hay bị hư hỏng PPP cho phép nhiều giao thức lớp mạng khác nhau hoạt động trên cùng một đường truyền. Đối với mỗi giao thức lớp Mạng được sử dụng, PPP cung cấp một NCP riêng biệt. Ví dụ : IPCP (IP Control Protocol) sử dụng cho giao thức IP, IPXCP (Novell IPX control Protocol) sử dụng cho IPX. NCP có mã số chuẩn cho biết giao thức lớp mạng nào đang được đóng gói trong frame PPP Sau đây là các phần trong frame PPP • Cờ: Cho biết bắt đầu kết thúc một frame, phần này bao gồm chuỗi nhị phân 0111110 • Địa chỉ: Chứa địa chỉ quảng bá 11111111. PPP không ấn định địa chỉ riêng cho trạm đích vì kết nối PPP là kết nối điểm-nối-điểm • Điều khiển : Chiều gài 1 byte có giá trị là 00000011,thực hiện dịch vụ truyền thông kết nối, tương tự như LLC (Logical Link Control) loại 1, truyền dữ liệu không theo thứ tự frame • Giao thức:Chiều gài 2 bte cho biết giao thức lớp trên nào có dữ liệu được đóng gói trong frame • Dữ liệu: Có chiều dài >= 0 byte, chứa toàn bộ dữ liệu của lớp trên. Kết thúc phần dữ liệu là cờ kết thúc và tiếp theo sau là 2 byte của phần FCS. Chiều dài tối đa mặc định của phần dữ liệu là 1500 byte • FCS: Thường dài 2 byte được sử dụng để kiểm tra lỗi frame 3.2.2. Thiết lập một phiên kết nối PPP
  89. 571 Một phiên kết nối PPP được thiết lấp sau 3 giai đoạn: giai đoạn thiết lập kết nối, giai đoạn xác minh và giai đoạn cấu hình giao thức lớp Mạng. Frame LCP được sử dụng để thực hiện các công việc trong mỗi giai đoạn. Sau đây là các loại frame LCP được sử dụng trong phiên kết nối PPP • Frame thiết lập kết nối: được sử dụng để thiết lập và cấu hình kết nối • Frame kết thúc kết nối : được sử dụng để kết thúc kết nối • Frame duy trì kết nối được sử dụng để quản lý và điều chỉnh đường truyền Sau đây là 3 giai đoạn thiết lập một phiên kết nối PPP: • Giai đoạn thiết lập kết nối;Trong giai đoạn này mỗi thiết bị PPP gửi đi frame LCP để cấu hình và kiểm tra kết nối.Trong frame LCP có chứa các thông tin để các thiết bị có thể thoả thuận và thực hiện các cấu hình cho đường truyền, ví dụ: đơn vị truyền tối đa (MTU – Maximum transmission unit), nén dữ liệu và giao thức xác minh. Nếu không có thông tin gì nằm trong gói LCP thì đường truyền sẽ được thiết lập theo các thông số mặc định. Đường truyền phải được mở lên và cấu ình xong trước khi có thể truyền các gói dữ liệu lớp Mạng. Quá trình này dược kết thúc khi thông tin xác nhận cấu hình được gửi và nhận xong. • Giai đoạn xác minh:(Giai đoạn này không bắt buộc phải có ) Sauk hi đường truyền đã được thiết lập và giao thức xác minh đã được chọn xong, thiết bị ở hai đầu kết nối thực hiện xác mnh với nhau. Quá trình xác minh được thực hiện trước khi chuyển sang giai đoạn cấu hình giao thức lớp Mạng. Trong giai đoạn này LCP cũng thực hiện kiểm tra chất lượng đường truyền. • Giai đoạn câu hình giao thức lớp mang Trong giai đoạn này các thiết bị PPP gửi gói NCP để chọn lựa và cấu hình cho một hay nhiều giao thức lớp Mạng, ví dụ như giao thức IP. Khi mỗi giao thức lớp Mạng được cấu hình xong thì gói dữ liệu của giao thức đó có thể được truyền đi trên đường truyền. Kết quả của lệnh show interfaces sẽ cho biết trạng thái của LCP và NCP trong cấu hình PPP Một kết nối PPP sẽ được duy trì cho đến khi: Frame LCP hay LCP đóng đường truyền • Thời gian chờ đã hết hạn • Sự can thiệp của người sử dụng 3.2.3 Giao thức xác minh PPP
  90. 572 Giai đoạn xác minh của một phiên kết nối PPP là không bắt buộc. Sauk hi đường truyền đã được thiết lập và giao thức xác minh đã được chọn thì hai thiết bị ở hai đầu kết nối thực hiện xác minh với nhau. Quá trình xác minh được thực hiện trước khi giai đoạn cấu hình giao thức lớp Mạng bắt đầu. Khi thực hiện xác minh, bên thiết lập kết nối được yêu cầu cung cấp các thông tin để xác minh quyền thiết lập kết nối. Hai router ở hai đầu kêt nối sẽ trao đổi với nhau các thông điệp xác minh Khi cấu hình quá trình xác minh PPP, người quản trị mạng có thể chọn giao thức PAP (Password Authentication Protocol) hay CHAP (Challenge Handshake Authentication Protocol). Nói chung Chap là giao thức thường được đề nghị hơn 3.2.4 PAP (Password Authentication Protocol) PAP cung cấp một cơ chế xác minh đơn giản sử dụng quá trình bắt tay 2 bước. Sauk hi giai đoạn thiết lập kết nối PPP hoàn tất, cặp username/password được router ở đầu xa gửi đi nhiêu lần trên đường truyền cho đến khi đã được xác nhận hoặc kết nối bị xóa. PAP không phải là một giao thức xác minh manh. Password được gửi đi nguyên mẫu trên đường truyền. Do đó không có gì khó khăn đối với các loại tấn công Playback hoặc repeated trial-and-error. Router đầu xa chỉ được kiểm tra một lần khi truy nhập 3.2.5 CHAP (Challenge Handshake Authentication Protocol) Chap được sử dụng khi khởi động đường truyền và sau đó kiểm tra router đầu xa theo định kỳ với quá trình bắt tay 3 bước. CHAP được thực hiện ở lúc bắt đầu thiết lập kết nối và luôn được lặp lai trong suốt quá trình kết nối được duy trì.
  91. 573 Sau khi giai đoạn thiết lập kết nối PPP hoàn tất, router trung tâm gửi một thông điệp “thử thách” cho router đầu xa. Router đầu xa sử dụng thông điẹp này với password của nó thông qua thuật toán MD5 (Message Digest ) tạo ra một thông điệp trả lời. Router đầu xa gửi thông điệp trả lời này cho router trung tâm. Router trung tâm sử dụng thông điệp trả lời để tính toan ra một giá trị. Nếu giá trị này đúng với thông điệp “thử thách” ban đầu thì thông tin xác minh được xác nhận nếu khong thì kết nối sẽ bị xoá ngay Chap chống được kiểu tấn công Playback vì giá trị của thông điệp “thử thách” là ngẫu nhiên hoàn toàn khác nhau giữa mỗi lần gửi và không thể đoán được. Do đó giá trị của thông điệp trả lời cũng ngẫu nhiên và riêng biệt. Việc xác minh được thực hiện lặp đi lặp lại để giời hạn thời gian tìm ra mật mã của các đợt tấn công đơn lẻ 3.2.6 Quá trình thực hiện xác minh PPP Sauk hi nhập lệnh encapsulation ppp thi bạn có thể thêm cấu hình cho quá trình xác minh PAP hoặc Chap. Nếu không cấu hình quá trình xác minh thì phiên kết nối PPP được bắt đầu ngay . Nếu bạn có cấu hình cho quá trình xác minh thì sẽ diễn ra như sau: • Xác định giao thức xác minh • Kiểm tra cơ sở dữ liệu để tìm cặp username/password tương ứng
  92. 574 • Nếu tín hiệu trả lời từ cơ sở dữ liệu là đúng thì phiên kết nối PPP được bắt đầu nếu không thì sẽ bị xoá ngay
  93. 575 3.3 Cấu hình PPP 3.3.1 Giới thiệu cấu hình PPP Cấu hình PPP bao gồm các thông tin về : phương pháp xác minh, nén dữ liệu phát hiện lỗi có ghép kênh hay không Các thành Chức năng Giao Lệnh cấu hình phần cấu hinh thức PPP
  94. 576 Quá trình xác Quá trình xác minh yêu cầu PAP Ppp minh bên thiết lập kết nối cung cấp CHAP Authentication thông tin để xác minh quyền thực hiện kết nối . Hai router Pap ở hai bên đầu kết nối trao đổi Ppp thông điệp xác minh. Có hai giao thức thực hiện xác minh Authentication là PAP và CHAP Chap Nén dữ liệu Nén dữ liệu giúp tăng thông Stacker Compress stac lượng đường truyền PPP Predictor Compress bằng cách giảm lượng dữ liệu được truyền đi trên đường Predictor truyền. Frame sẽ được giải nén ở đầu nhận. Hai giao thức nén dữ liệu chạy trên router Cisco là Stacker và Preditor Phát hiện lỗi Cơ chế phát hiện lỗi của PPP thực hiện quá trình kiểm tra điều kiện đường truyền. Chỉ số Quality Magic giúp xác định vòng lặp và độ tin cập của đường truyền Multilink Phiên bản Cisco IOS 11.1 trở MP Ppp multilink đi có hỗ trợ giao thức ghép kênh MP (Multilink protocol) Giao thức này cho phép chia sẻ tải trên các cổng của router đang sử dụng PPP. MP cắt gói dữ liệu thành nhiều phân đoạn có đánh số thứ tự và truyền trên các kênh song song. Các kênh PPP này hoạt
  95. 577 động như một kênh logic, giúp tăng thông lượng và giảm thời gian trễ giữa hai router 3.3.2 Cấu hình PPP Sau đây là ví dụ cho cấu hình đóng gói PPP trên cổng Serial (pp) • Router # configure terminal • Router (config) # interface serial 0/0 • Router (config –if)#encapsulation ppp Chúng ta cũng có thể cấu hình phần mềm nén dữ liệu trên cổng Serial đang sử dụng đóng gói PPP. Nén dữ liệu được thực hiện bằng phần mềm. Chúng ta không nên sử dụng nén dữ liệu lần nữa khi bản than phần lớn dữ liệu được truyền đi trên cổng này đã được nén rồi. • Router (config)#interface serial 0/0 • Router (config – if )#encapsulation ppp • Router (config – if)# compress (predictor stac) Chúng ta nhập lệnh sau để có thể theo dõi mức đọ rớt gói dữ liệu trên đường truyền và tránh bị vòng lặp: • Router (config)#interface serial 0/0 • Router (config – if )#encapsulation ppp • Router (config – if )#ppp quality p ercentage Ch úng ta s ử d ụng c ác l ệnh sau đ ể cho ph ép th ực hi ện chia t ải tr ên nhi ều đ ư ờng k ết n ối: • Router (config)#interface serial 0/0 • Router (config – if )#encapsulation pp • Rot er (c onfig – if) # ppp multilink 3.3.3 Cấu hình quá trình xác minh PPP Bước Mô tả Bước 1 Trên mỗi router khai báo username và password của router kết nối vào nó