Giáo trình Mạng thông tin

Thông tin liên lạc đóng vai trò hết sức quang trọng trong cuộc sống, hầu hết chúng ta luôn

gắn liền với một vài dạng thông tin nào đó. Các dạng trao đổi tin có thể nhƣ: đàm thoại

ngƣời với ngƣời, đọc sách, gửi và nhận thƣ, nói chuyện qua điện thoại, xem phim hay

truyền hình, xem triển lãm tranh , tham dự diễn đàn . . .

Có hàng nghìn ví dụ khác nhau về thông tin liên lạc, trong đó gia công chế biến để truyền

đi trong thông tin số liệu là một phần đặc biệt trong lĩnh vực thông tin.

ở đây: AP- Applicayion process- Quá trình ứng dụng

Từ các ví dụ trên chúng ta nhận thấy rằng mỗi hệ thống truyền tin đều có các đặc trƣng

riêng nhƣng có một số đặc tính chung cho tất cả các hệ thống. Đặc trƣng chung có tính

nguyên lý là tất cả các hệ thống truyền tin đều nhằm mục đích chuyển tải thông tin từ

điểm này đến điểm khác. Trong các hệ thống truyền số liệu, thƣờng gọi thông tin là dữ

liệu hay thông điệp.

pdf 121 trang kimcuc 18640
Bạn đang xem 20 trang mẫu của tài liệu "Giáo trình Mạng thông tin", để tải tài liệu gốc về máy hãy click vào nút Download ở trên

Tóm tắt nội dung tài liệu: Giáo trình Mạng thông tin

Giáo trình Mạng thông tin
TRƯỜNG ĐẠI HỌC SƯ PHẠM KỸ THUẬT HƯNG YÊN 
KHOA ĐIỆN-ĐIỆN TỬ 
BÀI GIẢNG 
MẠNG THÔNG TIN 
Hưng Yên 2015 
(Tài liệu lưu hành nội bộ) 
KHOA ĐIỆN-ĐIỆN TỬ ĐHSP KT HƯNG YÊN 
TS. NGUYỄN VĂN VINH MẠNG THÔNG TIN -3-
Chƣơng 1. CÁC KHÁI NIỆM CƠ BẢN VỀ MẠNG THÔNG TIN 
1.1. TỔNG QUAN VỀ MẠNG THÔNG TIN 
Nội dung chính của chƣơng này đƣợc trình bày theo các mục chính và đƣợc sắp xếp theo 
trình, cụ thể: Thông tin và truyền thông đây là một trong những vấn vấn đề đang đƣợc xã 
hội quan tâm trong nền kinh tế mới, nền kinh tế thông tin, nền kinh tế trí thức, nền kinh tế 
học hỏi và nền kinh tế số; trang bị về cái nhìn tổng quát về mạng số liệu; tổ chức về mạng 
truyền số liệu hiện đại, các kỹ thuật đƣợc dùng trong truyền số liệu và những vấn đề căn 
bản trong chuẩn hóa và mô hình tham chiếu của mạng 
1.1.1 Thông tin và truyền thông 
Thông tin liên lạc đóng vai trò hết sức quang trọng trong cuộc sống, hầu hết chúng ta luôn 
gắn liền với một vài dạng thông tin nào đó. Các dạng trao đổi tin có thể nhƣ: đàm thoại 
ngƣời với ngƣời, đọc sách, gửi và nhận thƣ, nói chuyện qua điện thoại, xem phim hay 
truyền hình, xem triển lãm tranh , tham dự diễn đàn . . . 
Có hàng nghìn ví dụ khác nhau về thông tin liên lạc, trong đó gia công chế biến để truyền 
đi trong thông tin số liệu là một phần đặc biệt trong lĩnh vực thông tin. 
Hình 1.1. Một hệ thống thông tin cơ bản 
ở đây: AP- Applicayion process- Quá trình ứng dụng 
Từ các ví dụ trên chúng ta nhận thấy rằng mỗi hệ thống truyền tin đều có các đặc trƣng 
riêng nhƣng có một số đặc tính chung cho tất cả các hệ thống. Đặc trƣng chung có tính 
nguyên lý là tất cả các hệ thống truyền tin đều nhằm mục đích chuyển tải thông tin từ 
điểm này đến điểm khác. Trong các hệ thống truyền số liệu, thƣờng gọi thông tin là dữ 
liệu hay thông điệp. Thông điệp có nhiều dạng khác nhau, để truyền thông điệp từ một 
điểm này đến điểm khác cần phải có sự tham gia của 3 thành phần của hệ thống: nguồn 
Hệ thống phục 
truyền tin 
AP 
Hệ thống phục vụ 
phục truyền tin 
AP 
Máy tính A Máy tính B 
Thông tin user đến user 
Thông tin máy 
tính đến máy tính 
Thông tin máy 
tính đến mạng 
Mạng truyền số liệu 
KHOA ĐIỆN-ĐIỆN TỬ ĐHSP KT HƯNG YÊN 
TS. NGUYỄN VĂN VINH MẠNG THÔNG TIN -4-
tin là nơi phát sinh và chuyển thông điệp lên môi trƣờng truyền; môi trƣờng truyền là 
phƣơng tiện mang thông điệp tới đích thu. Các phần tử này là yêu cầu tối thiểu trong bất 
cứ quá trình truyền tin nào. Nếu một trong các thành phần này không tồn tại, truyền tin 
không thể xảy ra. Một hệ thống truyền tin thông thƣờng đƣợc miêu tả trên hình 1.1. 
Các thành phần cơ bản có thể xuất hiện dƣới dạng khác nhau tuỳ thuộc vào hệ thống. Khi 
xây dựng các thành phần của một hệ thống truyền tin, cần phải xác định một số các yếu tố 
liên quan đến phẩm chất hoạt động của nó. 
Để truyền tin hiệu quả các chủ để phải hiểu đƣợc thông điệp. Nơi thu nhận thông điệp 
phải có khả năng dịch thông điệp một cách chính xác. Điều này là hiển nhiên bởi vì trong 
giao tiếp hàng ngày nếu chúng ta dùng một từ mà ngƣời ta không thể hiểu thì hiệu quả 
thông tin không đạt yêu cầu. Tƣơng tự, nếu máy tính mong muốn thông tin đến với tốc độ 
chỉ định và ở một dạng mã nào đó nhƣng thông tin lại đến với tốc độ khác và với dạng mã 
khác thì rõ ràng không thể đạt đƣợc hiệu quả truyền. 
Các đặc trƣng toàn cục của một hệ thống truyền đƣợc xác định và bị giới hạn bởi các 
thuộc tính riêng của nguồn tin, của môi trƣờng truyền và đích thu. Nhìn chung, dạng 
thông tin cần truyền quyết định kiểu nguồn tin, môi trƣờng và đích thu. 
Trong một hệ thống truyền, hiện tƣợng nhiễu có thề xảy ra trong tiến trình truyền và 
thông điệp có thể bị ngắt quãng. Bất kỳ sự xâm nhập không mong muốn nào vào tín hiệu 
đều bị gọi là nhiễu. Có nhiều nguồn nhiễu và nhiều dạng nhiễu khác nhau. 
Hiểu biết đƣợc các nguyên tắc căn bản về truyền tin sẽ giúp chúng ta dễ dàng tiếp cận 
một lĩnh vực đặc biệt hấp dẫn đó là thông tin số liệu.Thông tin số liệu liên quan đến một 
tổ hợp nguồn tin, môi trƣờng và máy thu trong các kiểu mạng truyền số liệu khác nhau. 
1.1.2 Các dạng thông tin và xử lý thông tin 
Tất cả những gì mà con ngƣời muốn trao đổi với nhau đƣợc hiểu là thông tin những 
thông tin nguyên thuỷ này đƣợc gia công chế biến để truyền đi trong không gian đƣợc 
hiểu là tín hiệu. Tuỳ theo việc sử dụng đƣờng truyền, tín hiệu có thể tạm chia tín hiệu 
thành hai dạng: tín hiệu điện-từ và tín hiệu không phải điện từ. Việc gia công tín hiệu cho 
phù hợp với mục đích và phù hợp với đƣờng truyền vật lý đƣợc gọi là xử lý tín hiệu. 
Ngày nay với sự phát triển của công nghệ tin học đã tạo ra một công nghệ mới về truyền 
số liệu. Máy tính với những tính năng vô cùng to lớn đã trở thành hạt nhân trong việc xử 
lý thông tin, điều khiển các quá trình truy nhập số liệu, máy tính và các hệ thống thông tin 
tạo thành một hệ thống truyền số liệu. 
Có 2 nguồn thông tin đó là thông tin tƣơng tự và thông tin số. Trong đó nguồn thông tin 
tƣơng tự liên tục theo sự thay đổi của giá trị vật lý thể hiện thông tin với đặc tính chất 
KHOA ĐIỆN-ĐIỆN TỬ ĐHSP KT HƯNG YÊN 
TS. NGUYỄN VĂN VINH MẠNG THÔNG TIN -5-
lƣợng nhƣ tiếng nói, tín hiệu hình ảnh , còn nguồn thông tin số là tín hiệu gián đoạn thể 
hiện thông tin bởi nhóm các giá trị gián đoạn xác định đặc tính chất lƣợng bằng quan hệ 
với thời gian nhƣ tín hiệu số liệu. 
Thông tin số có nhiều ƣu điểm hơn so với thông tin tƣơng tự nhƣ : thông tin số có nhiều 
khả năng chống nhiễu tốt hơn vì nó có các bộ lặp để tái tạo lại tín hiệu, cung cấp chất 
lƣợng truyền dẫn tốt hơn với các khoảng cách, nó kết hợp đƣợc mọi nguồn dịch vụ hiện 
đang có, nó tạo ra đƣợc một tổ hợp truyền dẫn số và tổng đài số. Những phần tử bán dẫn 
dùng trong truyền dẫn số là những mạch tổ hợp nó đƣợc sản xuất hàng loạt, và mạng liên 
lạc trở thành mạng thông minh vì dễ chuyển đổi tốc độ cho các loại dịch vụ khác nhau 
thay đổi thủ tục, xử lý tín hiệu số (DSP) chuyển đổi phƣơng tiện truyền dẫn ... 
Hệ thống thông tin số cho phép thông tin điều khiển đƣợc cài đặt vào và tách dòng thông 
tin thực hiện một cách độc lập với với bản chất của phƣơng tiện truyền tin ( cáp đồng trục, 
cáp sợi quang, vi ba, vệ tinh..),. Vì vậy thiết bị báo hiệu có thể thiết kế riêng biệt với hệ 
thống truyền dẫn. 
Chức năng điều khiển có thể thay đổi mà không phụ thuộc vào hệ thống truyền dẫn, 
ngƣợc lại hệ thống có thể nâng cấp không ảnh hƣởng tới các chức năng điều khiển ở cả 2 
đầu của đƣờng truyền 
1.2 Khái quát mạng truyền số liệu 
Hình 1.2. Mô hình mạng truyền số liệu hiện đại 
Ngày nay với sự phát triển của kỹ thuật và công nghệ đã tạo ra một bƣớc tiến dài trong 
lĩnh vực truyền số liệu. Sự kết hợp giữa phần cứng, các giao thức truyền thông các thuật 
toán đã tạo ra các hệ thống truyền số liệu hiện đại, những ký thuật cơ sở vẫn đƣợc dùng 
nhƣng chúng đƣợc xử lý tinh vi hơn. Về cơ bản một hệ thống truyền số liệu hiện đại mô 
tả nhƣ hình 1.2 
Giao tiếp 
DTE-DCE 
DTE DCE 
Hệ thống truyền 
(nhận) tin 
Giao tiếp 
DTE-DCE 
DCE DTE 
Hệ thống nhận 
(truyền) tin 
Kênh truyền tin 
KHOA ĐIỆN-ĐIỆN TỬ ĐHSP KT HƯNG YÊN 
TS. NGUYỄN VĂN VINH MẠNG THÔNG TIN -6-
a. DTE (Data Terminal Equipment – Thiết bị đầu cuối dữ liệu) 
Đây là thiết bị lƣu trữ và xử lý thông tin. Trong hệ thống truyền số liệu hiện đại thi DTE 
thƣờng là máy tính hoặc máy Fax hoặc là trạm cuối (terminal). Nhƣ vậy tất cả các ứng 
dụng của ngƣời sử dụng (chƣơng trình, dữ liệu) đều nằm trong DTE Chức năng của DTE 
thƣờng lƣu trữ các phần mềm ứng dụng , đóng gói dữ liệu rồi gửi ra DCE hoặc nhận gói 
dữ liệu từ DCE theo một giao thức (protocol) xác định DTE trao đổi với DCE thông qua 
một chuẩn giao tiếp nào đó. Nhƣ vậy mạng truyền số liệu chính là để nối các DTE lại cho 
phép chúng ta phân chia tài nguyên, trao đổi dữ liệu và lƣu trữ thông tin dùng chung 
b. DCE (Data Circuit terminal Equipment- Thiết bị cuối kênh dữ liệu) 
Đây là thuật ngữ dùng để chỉ các thiết bị dùng để nối các DTE với các đƣờng (mạng) 
truyền thông nó có thể là một Modem, Multiplexer, Card mạng...hoặc một thiết bị số nào 
đó nhƣ một máy tính nào đó trong trƣờng hợp máy tính đó là một nút mạng và DTE đƣợc 
nối với mạng qua nút mạng đó. DCE có thể đƣợc cài đặt bên trong DTE hoặc đứng riêng 
nhƣ một thiết bị độc lập. 
Trong thiết bị DCE thƣờng có các phần mềm đƣợc ghi vào bộ nhớ ROM phần mềm và 
phần cứng kết hợp với nhau để thực hiện nhiệm vụ của nó vẫn là chuyển đổi tín hiệu biểu 
diễn dữ liệu của ngƣời dùng thành dạng chấp nhận đƣợc bởi đƣờng truyền. Giữa 2 thiết 
bị DTE việc trao đổi dữ liệu phải tuân thủ theo chuẩn, dữ liệu phải gửi theo một Format 
xác định. Thí dụ nhƣ chuẩn trao đổi dữ liệu tầng 2 của mô hình 7 lớp là HDLC 
(High level Data Link Control) Trong máy Fax thì giao tiếp giữa DTE và DCE đã thiết kế 
và đƣợc tích hợp vào trong một thiết bị, phần mềm điều khiển đƣợc cài đặt trong ROM. 
c. Kênh truyền tin 
Kênh truyền tin là môi trƣờng mà trên đó 2 thiết bị DTE trao đổi dữ liệu với nhau trong 
phiên làm việc 
DTE C D E F DTE 
Hình 1.3. Kênh thông tin 
ở đây: C, D-Modem; E, F- Transducer 
Trong môi trƣờng thực này 2 hệ thống đƣợc nối với nhau bằng một đoạn cáp đồng trục và 
một đoạn cáp sợi quang, modem C để chuyển đổi tín hiệu số sang tín hiệu tƣơng tự để 
truyền trong cáp đồng trục modem D lại chuyển tín hiệu đó thành tín hiệu số và qua 
Tranducer E để chuyển đổi từ tín hiệu điện sang tín hiệu quang để truyền trên cáp sợi 
Cáp đồng 
trục 
Cáp sợi 
quang 
KHOA ĐIỆN-ĐIỆN TỬ ĐHSP KT HƯNG YÊN 
TS. NGUYỄN VĂN VINH MẠNG THÔNG TIN -7-
quang cuối cùng Tranducer F lại chuyển tín hiệu quang thành tín hiệu điện để tới DTE 
1.4. Mạng truyền số liệu 
Mạng truyền số liệu bao gồm hai hay nhiều hệ thống truyền (nhận) tin nhƣ hình 1.2 đƣợc 
ghép nối với nhau theo nhiều hình thức nhƣ phân cấp hoặc phân chia thành các trung tâm 
xử lý trao đổi tin với các chức năng riêng ... 
Mạng truyền số liệu là một hệ thống nhằm kết nối các máy tính lại với nhau, sự thông tin 
giữa chúng đƣợc thực hiện bởi các giao thức đã đƣợc chuẩn hoá, có nghĩa các phần mềm 
trong các máy tính khác nhau có thể cùng nhau giải quyết một công việc hoặc trao đổi 
thông tin với nhau. 
Các ứng dụng tin học ngày càng rộng rãi do đó đã đẩy các hƣớng ứng dụng mạng xử lý số 
liệu, mạng đấu nối có thể có cấu trúc tuyến tính cấu trúc vòng cấu trúc hình sao... Cấu 
trúc mạng phải có khả năng tiếp nhận các đặc thù khác nhau của các đơn vị tức là mạng 
phải có tính đa năng, tính tƣơng thích. 
Mạng số liệu đƣợc thiết kế nhằm mục đích có thể nối nhiều thiết bị đầu cuối với nhau. Để 
truyền số liệu ta có thể dùng mạng điện thoại hoặc dùng đƣờng truyền riêng có tốc độ cao. 
Dịch vụ truyền số lỉệu trên kênh thoại là một trong các dịch vụ đầu tiên của việc truyền số 
liệu. Trên mạng này có thể có nhiều máy tính cùng chủng loại hoặc khác loại đƣợc ghép 
nối lại với nhau, khi đó cần giải quyết những vấn đề phân chia tài nguyên. Để các máy 
tính ở các đầu cuối có thể làm việc đƣợc với nhau cần phải có cùng một protocol nhất 
định. 
Dạng thức của phƣơng tiện truyền số liệu đƣợc qui định bởi bản chất tự nhiên của ứng 
dụng, bởi số lƣợng máy tính liên quan và khoảng cách vật lý giữa chúng. Các dạng truyền 
số liệu trên có các dạng sau: 
a. Nếu chỉ có hai máy tính và cả hai đều đặt ở một văn phòng, thì phƣơng tiện truyền số 
liệu có thể chỉ gồm một liên kết điểm nối đơn giản, hình 1.4. Tuy nhiên, nếu chúng liên 
kết ở những vị trí khác nhau trong một thành phố hay một quốc gia thì phải cần đến các 
phƣơng tiện truyền tải công cộng. Mạng điên thoại công cộng đƣợc dùng nhiều nhất, 
trong trƣờng hợp này sẽ cần đến bộ thích nghi gọi là Modem. Sắp xếp truyền theo dạng 
này đƣợc trình bày trên hình1.4 
KHOA ĐIỆN-ĐIỆN TỬ ĐHSP KT HƯNG YÊN 
TS. NGUYỄN VĂN VINH MẠNG THÔNG TIN -8-
Hình 1.4. Truyền số liệu nối qua mạng điện thoại công cộng dùng modem 
b. Khi cần nhiều máy tính trong một ứng dụng, một mạng chuyển mạch sẽ đƣợc dùng cho 
phép tất cả các máy tính có thể liên lạc với nhau vào bất cứ thời điểm nào. Nếu tất cả máy 
tính đều nằm trong một toà nhà , có thể xây dựng một mạng riêng .Một mạng nhƣ vậy 
đƣợc xem nhƣ mạng cục bộ LAN (Local Area Network) .Nhiều chuẩn mạng LAN và các 
thiết bị liên kết đã đƣợc tạo ra cho các ứng dụng thực tế . Hai hệ thống mạng Lan cơ bản 
đƣợc trình bày trên hình 1.5 
Hình 1.5. Các hệ thống LAN cơ bản (liên kết LAN qua backbone trong một văn phòng) 
Khi máy tính đƣợc đặt ở nhiều nơi cách xa nhau cần liên lạc với nhau, phải dùng đến các 
phƣơng tiện công cộng .Việc liên kết máy tính này tạo nên một mạng rộng lớn, đƣợc gọi 
là mạng diện rộng WAN (Wide Area Network). Kiểu mạng WAN đƣợc dùng phụ thuộc 
vào tƣờng ứng dụng tự nhiên. 
Ví dụ nếu tất cả các máy tính đều thuộc về một công ty và có yêu cầu truyền một số lƣợng 
dữ liệu quan trọng giữa các điểm , thì giải pháp đơn giản nhất cho vắn đề là thuê các 
Hệ thống phục 
truyền tin 
AP 
Hệ thống phục vụ 
phục truyền tin 
AP 
PSTN 
Modem Modem 
Hệ thống phục 
truyền tin 
AP 
Hệ thống phục vụ 
phục truyền tin 
AP 
KHOA ĐIỆN-ĐIỆN TỬ ĐHSP KT HƯNG YÊN 
TS. NGUYỄN VĂN VINH MẠNG THÔNG TIN -9-
đƣờng truyền từ nhà cung cấp phƣơng tiện truyền dẫn và xây dựng hệ thống chuyển mạch 
riêng tại một đIểm để tạo thành mạng tƣ nhân. 
Các giải pháp thuê kênh chỉ hiệu quả đối với các công ty lớn vì có tải hữu ích để cân đối 
với giá thuê kênh. Trong hầu hết các trƣờng hợp khác đều cần đến các mạng truyền dẫn 
công cộng. Bên cạnh việc cung cấp dịch vụ điện thoại công cộng, ngày nay hầu hết các 
nhà cung cấp dịch vụ truyền dẫn đều cung cấp một dịch vụ chuyển mạch số liệu mang 
tính công cộng. Thật ra các mạng này tƣơng tự nhƣ mạng PSTN là đƣợc liên kết quốc tế, 
chỉ khác ở chỗ đƣợc thiết kế chuyên cho truyền số liệu. Nhƣ vậy các ứng dụng liên quan 
đến máy tính đƣợc phục vụ bởi mạng số liệu chuyển mạch công cộng PSDN. Ngoài ra 
còn có thể chuyển đổi các mạng PSTN có sẵn sao cho có thể truyền đƣợc số liệu mà 
không cần dùng modem. Các mạng này hoạt động trong chế độ số (digital) hoàn toàn 
đƣợc gọi là mạng số liên kết đa dịch vụ ISDN 
1.4.1. Phân loại mạng truyền số liệu 
Mạng truyền số liệu đa dạng về chủng loại cũng nhƣ về số lƣợng , có nhiều cách phân 
chia mạng số liệu, bao gồm: 
a. Phân loại theo địa lý: Mạng nội bộ, Mạng diện rộng và Mạng toàn cầu 
b. Phân loại theo tính chất sử dụng mạng: Mạng truyền số liệu kí sinh và Mạng truyền số 
liệu chuyên dụng. 
c. Phân loại theo topo mạng: Mạng tuyến tính, Mạng hình sao và Mạng vòng 
d. Phân loại theo kỹ thuật: Mạng chuyển mạch kênh, Mạng chuyển mạch gói và Mạng 
chuyển mạch thông báo 
1.4.2. Kỹ thuật chuyển mạch giữa các node trong mạng 
Để thực hiện việc liên lạc giữ các thuê bao ngƣời ta tạo ra mạng liên lạc với các NODE. 
Các thuê bao đƣợc nối đến các node . các thuê bao đƣợc nối vào mạng thông qua các 
Node. Số lƣợng các node phụ thuộc vào độ lớn của mạng, nhƣ vậy mỗi thuê bao chị cần 
một cổng I/O. 
Mỗi mạng bao gồm các Node , các node đƣợc nối với nhau , số liệu sẽ truyền từ ngƣời 
gửi đến ngƣời nhận theo con đƣờng thông qua mạng, các Node đƣợc nối với nhau theo 
hƣớng truyền, số liệu đƣợc định đƣờng từ Node này sang node này sang node khác. 
a. Kỹ thuật chuyển mạch kênh 
Liên lạc thông qua chuyển mạch kênh đặc trƣng bởi việc cung cấp  ...  này phải trả giá cho tốc độ xử lý. Khi một máy chủ nhận các gói tin từ mạng ngoài rồi 
chuyển chúng vào mạng trong, sẽ tạo ra một lỗ hổng cho các kẻ phá hoại (Hacker) xâm nhập từ 
mạng ngoài vào mạng trong. Nhƣợc điểm của kiểu Firewall này là hoạt động dựa trên trình ứng 
dụng uỷ quyền (Proxy). 
4.4. MẠNG RIÊNG ẢO VPN (Virtual Private Networks) 
4.4.1 Khái niệm mạng riêng ảo 
Mạng máy tính ban đầu đƣợc triển khai với 2 kỹ thuật chính: đƣờng thuê riêng (Leased Line) cho 
các kết nối cố định và đƣờng quay số (Dial-up) cho các kết nối không thƣờng xuyên. Các mạng 
này có tính bảo mật cao, nhƣng khi lƣu lƣợng thay đổi và đòi hỏi tốc độ cao nên đã thúc đẩy hình 
thành một kiểu mạng dữ liệu mới, mạng riêng ảo. Mạng riêng ảo đƣợc xây dựng trên các kênh 
lôgích có tính “ảo”. Xu hƣớng hội tụ của các mạng trên nền NGN tạo điều kiện cho sự xuất hiện 
nhiều dịch vụ mới, trong đó có dịch vụ mạng riêng ảo. 
KHOA ĐIỆN-ĐIỆN TỬ ĐHSP KT HƯNG YÊN 
TS. NGUYỄN VĂN VINH MẠNG THÔNG TIN -116-
Mạng riêng ảo là một mạng máy tính, trong đó các điểm của khách hàng đƣợc kết nối với nhau 
trên một cơ sở hạ tầng chia sẻ với cùng một chính sách truy nhập và bảo mật nhƣ trong mạng 
riêng. 
Có 2 dạng chính mạng riêng ảo VPN là: Remote Access VPN, Site - to - Site VPN (Intranet VPN 
và Extranet VPN). Remote Access VPN (Client - to - LAN VPN) cho phép thực hiện các kết nối 
truy nhập từ xa đối với ngƣời sử dụng di động (máy tính cá nhân hoặc các Personal Digital 
Assistant) với mạng chính (LAN hoặc WAN) qua đƣờng quay số, ISDN, đƣờng thuê bao số 
DSL. Site- to - Site VPN dùng để kết nối các mạng tại các vị trí khác nhau thông qua kết nối 
VPN. 
Có thể chia loại này ra 2 loại khác: Intranet VPN và Extranet VPN. Intranet VPN kết nối các văn 
phòng ở xa với trụ sở chính thƣờng là các mạng LAN với nhau. Extranet VPN là khi Intranet 
VPN của một khách hàng mở rộng kết nối với một Intranet VPN khác. Bảo mật là một yếu tố 
quan trọng bảo đảm cho VPN hoạt động an toàn và hiệu quả. Kết hợp với các thủ tục xác thực 
ngƣòi dùng, dữ liệu đƣợc bảo mật thông qua các kết nối đƣờng hầm (Tunnel) đƣợc tạo ra trƣớc 
khi truyền dữ liệu. Tunnel là kết nối ảo điểm - điểm (Point to Point) và làm cho mạng VPN hoạt 
động nhƣ một mạng riêng. Dữ liệu truyền trên VPN có thể đƣợc mã hoá theo nhiều thuật toán 
khác nhau với các độ bảo mật khác nhau. Ngƣời quản trị mạng có thể lựa chọn tuỳ theo yêu cầu 
bảo mật và tốc độ truyền dẫn. Giải pháp VPN đƣợc thiết kế phù hợp cho những tổ chức có xu 
hƣớng tăng khả năng thông tin từ xa, các hoạt động phân bố trên phạm vi địa lý rộng và có các cơ 
sở dữ liệu, kho dữ liệu, hệ thống thông tin dùng riêng với yêu cầu đảm bảo an ninh cao. Chất 
lƣợng dịch vụ QoS, các thoả thuận (Service Level Agreement-SLA) với các ISP liên quan đến độ 
trễ trung bình của gói trên mạng, hoặc kèm theo chỉ định về giới hạn dƣới của băng thông. Bảo 
đảm cho QoS là một việc cần đƣợc thống nhất về phƣơng diện quản lý đối với các ISP. Tất cả các 
giao thức sử dụng trong mạng VPN, các gói dữ liệu IP đƣợc mã hoá (RSA RC-4 trong PPTP 
hoặc mã khóa công khai khác trong L2TP, IPSec) và sau đó đóng gói (ESP), thêm tiêu đề IP mới 
để tạo đƣờng hầm trên mạng IP công cộng. Nhƣ vậy, khi gói tin MTU bị thất lạc trên mạng IP 
công cộng thì thông tin trong đó đã đƣợc mã hoá nên kẻ phá hoại khó có thể dò tìm thông tin thực 
sự chứa trong bản tin. Trong các giao thức PPTP và L2TP, mã hoá gói tin đã đƣợc thực hiện từ 
ngƣời dùng cho đến máy chủ của VPN. Việc mất mát gói tin dẫn đến việc phải truyền lại toàn bộ 
gói tin, điều này gây nên độ trễ chung đối với VPN và ảnh hƣởng đến QoS của mạng VPN. 
4.4.2 Kiến trúc của mạng riêng ảo 
Hai thành phần cơ bản của Internet tạo nên mạng riêng ảo VPN, đó là: 
• Đƣờng hầm (Tunnelling) cho phép làm “ảo” một mạng riêng. 
• Các dịch vụ bảo mật đa dạng cho phép dữ liệu mang tính riêng tƣ. 
KHOA ĐIỆN-ĐIỆN TỬ ĐHSP KT HƯNG YÊN 
TS. NGUYỄN VĂN VINH MẠNG THÔNG TIN -117-
Hình 4.3. Cấu trúc một đường hầm 
Đƣờng hầm: là kết nối giữa 2 điểm cuối khi cần thiết. Khi kết nối này sẽ đƣợc giải phóng khi 
không truyền dữ liệu dành băng thông cho các kết nối khác. Kết nối này mang tính lôgích “ảo” 
không phụ thuộc vào cấu trúc vật lý của mạng. Nó che giấu các các thiết bị nhƣ bộ định tuyến, 
chuyển mạch và trong suốt đối với ngƣời dùng. 
Hình 4.4: Đường hầm trong các cấu trúc LAN và Client. 
Đƣờng hầm đƣợc tạo ra bằng cách đóng gói các gói tin (Encapsulate) để truyền qua Internet. 
Đóng gói có thể mã hoá gói gốc và thêm vào tiêu đề IP mới cho gói. Tại điểm cuối, cổng Định 
dạng gói tin tạo đƣờng hầm: IP Header, AH, ESP, Tiêu đề và dữ liệu. Đƣờng hầm có 2 loại: 
Thƣờng trực (Permanent) và tạm thời (Temporary hay Dynamic). Thông thƣờng các mạng riêng 
ảo VPN sử dụng dạng đƣờng hầm động. Đƣờng hầm động rất hiệu quả cho VPN, vì khi không có 
KHOA ĐIỆN-ĐIỆN TỬ ĐHSP KT HƯNG YÊN 
TS. NGUYỄN VĂN VINH MẠNG THÔNG TIN -118-
nhu cầu trao đổi thông tin thì đƣợc huỷ bỏ. Đƣờng hầm có thể kết nối 2 điểm cuối theo kiểu 
LAN- to - LAN tại các cổng bảo mật (Security Gateway), khi đó ngƣời dùng trên các LAN có thể 
sự dụng đƣờng hầm này. Còn đối với trƣờng hợp Client- to - LAN, thì Client phải khởi tạo việc 
xây dựng đƣờng hầm trên máy ngƣời dùng để thông tin với cổng bảo mật để đến mạng LAN 
đích. 
4.4.3 Những ưu điểm của mạng VPN Chi phí 
Công nghệ VPN cho phép tiết kiệm đáng kể chi phí thuê kênh riêng hoặc các cuộc gọi đƣờng dài 
bằng chi phí cuộc gọi nội hạt. Hơn nữa, sử dụng kết nối đến ISP còn cho phép vừa sử dụng VPN 
vừa truy nhập Internet. Công nghệ VPN cho phép sử dụng băng thông đạt hiệu quả cao nhất. 
Giảm nhiều chi phí quản lý, bảo trì hệ thống. Tính bảo mật: Trong VPN sử dụng cơ chế đƣờng 
hầm (Tunnelling) và các giao thức tầng 2 và tầng 3, xác thực ngƣời dùng, kiểm soát truy nhập, 
bảo mật dữ liệu bằng mã hoá, vì vậy VPN có tính bảo mật cao, giảm thiểu khả năng tấn công, 
thất thoát dữ liệu. Truy nhập dễ dàng: Ngƣời sử dụng trên VPN, ngoài việc sử dụng các tài 
nguyên trên VPN còn đƣợc sử dụng các dịch vụ khác của Internet mà không cần quan tâm đến 
phần phức tạp ở tầng dƣới. 
4.4.4. Giao thức PPTP (Point to Point Tunnelling Protocol) 
PPP là giao thức tầng 2-Data link, truy nhập mạng WAN nhƣ HDLC, SDLC, X.25, Frame Relay, 
Dial on Demand. PPP có thể sử dụng cho nhiều giao thức lớp trên nhƣ TCP/IP, Novell/IPX, 
Apple Talk nhờ sử dụng NCP ( Network Control Protocol). 
PPP sử dụng Link Control Protocol để thiết lập và điều khiển các kết nối. 
PPP sử dụng giao thức xác thực PAP hoặc CHAP. PPTP dựa trên PPP để thực thi các chức năng 
sau: 
- Thiết lập và kết thúc kết nối vât lý. 
- Xác thực ngƣời dùng 
- Tạo gói dữ liệu PPP. 
4.4.5 Giao thức L2F (Layer Two Forwarding Protocol) 
Giao thức L2FP do hãng Cisco phát triển, dùng để truyền các khung SLIP/PPP qua Internet. L2F 
hoạt động ở tầng 2 (Data Link) trong mô hình OSI. Cũng nhƣ PPTP, L2F đƣợc thiết kế nhƣ là 
một giao thức Tunnel, sử dụng các định nghĩa đóng gói dữ liệu riêng của nó để truyền các gói tin 
ở mức 2. Một sự khác nhau giữa PPTP và L2F là tạo Tunnel trong giao thức L2F không phụ 
thuộc vào IP và GRE, điều này cho phép nó làm việc với các môi trƣờng vật lý khác nhau. Cũng 
nhƣ PPTP, L2F sử dụng chức năng của PPP để cung cấp một kết nối truy cập từ xa và kết nối này 
có thể đƣợc đi qua một tunnel thông qua Internet để tới đích. Tuy nhiên L2TP định nghĩa giao 
thức tạo tunnel riêng của nó, dựa trên cơ cấu của L2F. Cơ cấu này tiếp tục định nghĩa việc truyền 
L2TP qua các mạng chuyển mạch gói nhƣ X25, Frame Relay và ATM. Mặc dù nhiều cách thực 
hiện L2TP tập trung vào việc sử dụng giao thức UDP trên mạng IP, ta vẫn có khả năng thiết lập 
KHOA ĐIỆN-ĐIỆN TỬ ĐHSP KT HƯNG YÊN 
TS. NGUYỄN VĂN VINH MẠNG THÔNG TIN -119-
một hệ thống L2TP không sử dụng IP. Một mạng sử dụng ATM hoặc Frame Relay cũng có thể 
đƣợc triển khai cho các tunnel L2TP. 
4.4.6. Giao thức L2TP (Layer Two Tunnelling Protocol) 
Giao thức L2TP đƣợc sử dụng để xác thực ngƣời sử dụng Dial-up và Tunnel các kết nối 
SLIP/PPP qua Internet. Vì L2TP là giao thức lớp 2, nên hỗ trợ cho ngƣời sử dụng các khả năng 
mềm dẻo nhƣ PPTP trong việc truyền tải các giao thức không phải là IP, ví dụ nhƣ là IPX và 
NETBEUI. 
Hình 4.5. Kiến trúc của L2TP 
Hình 4.6. Quá trình chuyển gói tin qua Tunnel L2TP 
 Bảo mật trong L2TP: Việc xác thực ngƣời dùng trong 3 giai đoạn: Giai đoạn 1 tại ISP, giai đoạn 
2 và giai đoạn 3 (tuỳ chọn) tại máy chủ mạng riêng. Trong giai đoạn 1, ISP có thể sử dụng số 
PPP L2TP 
Giao thức 
ESP 
Giải thuật 
Mã hóa 
Giao thức 
AH 
Giải thuật 
Xác thực 
Quản lý 
khóa 
KHOA ĐIỆN-ĐIỆN TỬ ĐHSP KT HƯNG YÊN 
TS. NGUYỄN VĂN VINH MẠNG THÔNG TIN -120-
điện thoại của ngƣời dùng hoặc tên ngƣời dùng để xác định dịch vụ L2TP và khởi tạo kết nối 
đƣờng hầm đến máy chủ của VPN. Khi đƣờng hầm đƣợc thiết lập, LAC của ISP chỉ định một số 
nhận dạng cuộc gọi (Call ID) mới để định dạnh cho kết nối trong đƣờng hầm và khởi tạo phiên 
làm việc bằng cách chuyển thông tin xác thực cho máy chủ VPN. Máy chủ VPN tiến hành tiếp 
bƣớc 2 là quyết định chấp nhận hay từ chối cuộc gọi dựa vào các thông tin xác thực từ cuộc gọi 
của ISP chuyển đến. Thông tin đó có thể mang CHAP, PAP, EAP hay bất cứ thông tin xác thực 
nào. Sau khi cuộc gọi đƣợc chấp nhận, máy chủ VPN có thể khởi động giai đoạn 3 tại lớp PPP, 
bƣớc náy tƣơng tự nhƣ máy chủ xác thực một ngƣời dùng quay số truy nhập vào thăngr máy chủ. 
Việc sử dụng các giao thức xác thực đơn giản nhƣng không bảo mật cho các luồng dữ liệu điều 
khiển và thông báo dữ liệu tạo kẽ hở cho việc chèn gói dữ liệu để chiếm quyền điều khiển đƣờng 
hầm, hay kết nối PPP, hoạc phá vỡ việc đàm phán PPP, lấy cắp mật khẩu ngƣời dùng. Mã hoá 
PPP không có xác thực địa chỉ, toàn vẹn dữ liệu, quản lý khoá nên bảo mật này yếu không an 
toàn trong kênh L2TP. Vì vậy, để có đƣợc xác thực nhƣ mong muốn, cần phải phân phối khoá và 
có giao thức quản lý khoá. Về mã hoá, sử dụng IPSec cung cấp bảo mật cao để bảo vệ gói mức 
IP, tối thiểu cũng phải đƣợc thực hiện cho L2TP trên IP. Việc quản lý khoá đƣợc thực hiện thông 
qua liên kết bảo mật - Security Association (SA). SA giúp 2 đối tƣợng truyền thông xác định 
phƣơng thức mã hoá, nhƣng việc chuyển giao khoá lại do IKE thực hiện. Nội dung này sẽ đƣợc 
nói rõ hơn trong giao thức IPSec. 
4.4.7. Giao thức IPSEC 
IPSec bảo đảm tính tin cậy, tính toàn vẹn và tính xác thực truyền dữ liệu qua mạng IP công cộng. 
IPSec định nghĩa 2 loại tiêu đề cho gói IP điều khiển quá trình xác thực và mã hóa: một là xác 
thực tiêu đề Authentication Header (AH), hai là đóng gói bảo mật tải Encapsulating Security 
Payload (ESP). Xác thực tiêu đề AH đảm bảo tính toàn vẹn cho tiêu đề gói và dữ liệu. Trong khi 
đó đóng gói bảo mật tải ESP thực hiện mã hóa và đảm bảo tính toàn vẹn cho gói dữ liệu nhƣng 
không bảo vệ tiêu đề cho gói IP nhƣ AH. IPsec sử dụng giao thức Internet Key Exchange IKE để 
thỏa thuận liên kết bảo mật SA giữa hai thực thể và trao đổi các thông tin khóa. IKE cần đƣợc sử 
dụng phần lớn các ứng dụng thực tế để đem lại thông tin liên lạc an toàn trên diện rộng. 
* Xác thực tiêu đề AH: AH một trong những giao thức bảo mật IPsec đảm bảo tính toàn vẹn cho 
tiêu đề gói và dữ liệu cũng nhƣ việc chứng thực ngƣời sử dụng. Nó đảm bảo chống phát lại và 
chống xâm nhập trái phép nhƣ một tùy chọn. Trong những phiên bản đầu của IPsec đóng gói bảo 
mật tải ESP chỉ thực hiện mã hóa mà không có chứng thực nên AH và ESP đƣợc dùng kết hợp 
còn ở những phiên bản sau ESP đã có thêm khả năng chứng thực. Tuy nhiên AH vẫn đƣợc dùng 
do đảm bảo việc chứng thực cho toàn bộ tiêu đề và dữ liệu cũng nhƣ việc đơn giản hơn đối với 
truyền tải dữ liệu trên mạng IP chỉ yêu cầu chứng thực. 
AH có hai chế độ: Transport và Tunnel. Chế độ Tunnel AH tạo ra tiêu đề IP cho mỗi gói còn ở 
chế độ Transport AH không tạo ra tiêu đề IP mới. Hai chế độ AH luôn đảm bảo tính toàn vẹn 
(Integrity), chứng thực (Authentication) cho toàn bộ gói. 
KHOA ĐIỆN-ĐIỆN TỬ ĐHSP KT HƯNG YÊN 
TS. NGUYỄN VĂN VINH MẠNG THÔNG TIN -121-
* Xử lý đảm bảo tính toàn vẹn: IPsec dùng thuật toán mã chứng thực thông báo băm HMAC 
(Hash Message Authentication Code) thƣờng là HMAC-MD5 hay HMAC-SHA-1. Nơi phát giá 
trị băm đƣợc đƣa vào gói và gửi cho nơi nhận. Nơi nhận sẽ tái tạo giá trị băm bằng khóa chia sẻ 
và kiểm tra sự trùng khớp giá trị băm qua đó đảm bảo tính toàn vẹn của gói dữ liệu. Tuy nhiên 
IPsec không bảo vệ tính toàn vẹn cho tất cả các trƣờng trong tiêu đề của IP. Một số trƣờng trong 
tiêu đề IP nhƣ TTL (Time to Live) và trƣờng kiểm tra tiêu đề IP có thể thay đổi trong quá trình 
truyền. Nếu thực hiện tính giá trị băm cho tất cả các trƣờng của tiêu đề IP thì những trƣờng đã 
nêu ở trên sẽ bị thay đổi khi chuyển tiếp và tại nơi nhận giá trị băm sẽ bị sai khác. Để giải quyết 
vấn đề này giá trị băm sẽ không tính đến những trƣờng của tiêu đề IP có thể thay đổi hợp pháp 
trong quá trình truyền. 
* ESP cũng có hai chế độ: Transport và Tunnel. Chế độ Tunnel ESP tạo tiêu đề IP mới cho mỗi 
gói. Chế độ này có thể mã hóa và đảm bảo tính toàn vẹn của dữ liệu hay chỉ thực hiện mã hóa 
toàn bộ gói IP gốc. Việc mã hóa toàn bộ gói IP (gồm cả tiêu đề IP và tải IP) giúp che đƣợc địa chỉ 
cho gói IP gốc. Chế độ Transport ESP dùng lai tiêu đề của gói IP gốc chỉ mã hóa và đảm bảo tính 
toàn vẹn cho tải của gói IP gốc. Cả hai chế độ chứng thực để đảm bảo tính toàn vẹn đƣợc lƣu ở 
trƣờng ESP Auth. 
* Xử lý mã hóa: ESP dùng hệ mật đối xứng để mã hóa gói dữ liệu, nghĩa là thu và phát đều dùng 
cùng một loại khóa để mã hóa và giải mã dữ liệu. ESP thƣờng dùng loại mã khối AES-CBC 
(AES-Cipher Block Chaining), AES-CTR (AES Counter Mode) và 3DES * Trao đổi khóa mã 
hóa IKE (Internet Key Exchange): Trong truyền thông sử dụng giao thức IPsec phải có sự trao 
đổi khóa giữa hai điểm kết cuối, do đó đòi hỏi phải có cơ chế quản lý khóa. Có hai phƣơng thức 
chuyển giao khóa đó là chuyển khóa bằng tay và chuyển khóa bằng giao thức IKE. Một hệ thống 
IPsec phụ thuộc phải hỗ trợ phƣơng thức chuyển khóa băng tay. Phƣơng thức chìa khóa trao tay 
chẳng hạn khóa thƣơng mại ghi trên giấy. Phƣơng thức này chỉ phù hợp với số lƣợng nhỏ các 
Site, đối với mạng lớn phải thực hiện phƣơng thức quản lý khóa tự động. Trong IPsec ngƣời ta 
dùng giao thức quản lý chuyển khóa IKE (Internet Key Exchange). IKE có các khả năng sau: 
- Cung cấp các phƣơng tiện cho 2 bên sử dụng các giao thức, giải thuật và khóa. - Đảm bảo ngay 
từ lúc bắt đầu chuyển khóa. 
- Quản lý các khóa sau khi chúng đƣợc chấp nhận trong tiến trình thỏa thuận. 
- Đảm bảo các khóa đƣợc chuyển một cách bảo mật. 
4.4.8 Ứng dụng ESP và AH trong cấu hình mạng 
* ESP trong cấu hình Gateway-to-Gateway: Trong cấu hình này sẽ thiết lập kết nối có IPsec để 
mã hoá và đảm bảo tính toàn vẹn của dữ liệu giữa hai điểm A và B (điểm kết cuối A dùng 
Gateway A trên mạng A, điểm kết cuối B dùng Gateway B trên mạng B). 
KHOA ĐIỆN-ĐIỆN TỬ ĐHSP KT HƯNG YÊN 
TS. NGUYỄN VĂN VINH MẠNG THÔNG TIN -122-
Hình 4.7. Cấu hình Gateway -to-Gateway 
* ESP và AH trong cấu hình Host-to-Host: Trong cấu hình này sẽ thiết lập kết nối có IPsec để mã 
hoá và đảm bảo tính toàn vẹn của dữ liệu giữa hai điểm A và B. Tuỳ thuộc và nhu cầu bảo mật có 
thể dùng ESP hay AH. 
Hình 4.8. Cấu hình Host-to-Host 

File đính kèm:

  • pdfgiao_trinh_mang_thong_tin.pdf