Giáo trình Mạng thông tin
Thông tin liên lạc đóng vai trò hết sức quang trọng trong cuộc sống, hầu hết chúng ta luôn
gắn liền với một vài dạng thông tin nào đó. Các dạng trao đổi tin có thể nhƣ: đàm thoại
ngƣời với ngƣời, đọc sách, gửi và nhận thƣ, nói chuyện qua điện thoại, xem phim hay
truyền hình, xem triển lãm tranh , tham dự diễn đàn . . .
Có hàng nghìn ví dụ khác nhau về thông tin liên lạc, trong đó gia công chế biến để truyền
đi trong thông tin số liệu là một phần đặc biệt trong lĩnh vực thông tin.
ở đây: AP- Applicayion process- Quá trình ứng dụng
Từ các ví dụ trên chúng ta nhận thấy rằng mỗi hệ thống truyền tin đều có các đặc trƣng
riêng nhƣng có một số đặc tính chung cho tất cả các hệ thống. Đặc trƣng chung có tính
nguyên lý là tất cả các hệ thống truyền tin đều nhằm mục đích chuyển tải thông tin từ
điểm này đến điểm khác. Trong các hệ thống truyền số liệu, thƣờng gọi thông tin là dữ
liệu hay thông điệp.
Tóm tắt nội dung tài liệu: Giáo trình Mạng thông tin
TRƯỜNG ĐẠI HỌC SƯ PHẠM KỸ THUẬT HƯNG YÊN KHOA ĐIỆN-ĐIỆN TỬ BÀI GIẢNG MẠNG THÔNG TIN Hưng Yên 2015 (Tài liệu lưu hành nội bộ) KHOA ĐIỆN-ĐIỆN TỬ ĐHSP KT HƯNG YÊN TS. NGUYỄN VĂN VINH MẠNG THÔNG TIN -3- Chƣơng 1. CÁC KHÁI NIỆM CƠ BẢN VỀ MẠNG THÔNG TIN 1.1. TỔNG QUAN VỀ MẠNG THÔNG TIN Nội dung chính của chƣơng này đƣợc trình bày theo các mục chính và đƣợc sắp xếp theo trình, cụ thể: Thông tin và truyền thông đây là một trong những vấn vấn đề đang đƣợc xã hội quan tâm trong nền kinh tế mới, nền kinh tế thông tin, nền kinh tế trí thức, nền kinh tế học hỏi và nền kinh tế số; trang bị về cái nhìn tổng quát về mạng số liệu; tổ chức về mạng truyền số liệu hiện đại, các kỹ thuật đƣợc dùng trong truyền số liệu và những vấn đề căn bản trong chuẩn hóa và mô hình tham chiếu của mạng 1.1.1 Thông tin và truyền thông Thông tin liên lạc đóng vai trò hết sức quang trọng trong cuộc sống, hầu hết chúng ta luôn gắn liền với một vài dạng thông tin nào đó. Các dạng trao đổi tin có thể nhƣ: đàm thoại ngƣời với ngƣời, đọc sách, gửi và nhận thƣ, nói chuyện qua điện thoại, xem phim hay truyền hình, xem triển lãm tranh , tham dự diễn đàn . . . Có hàng nghìn ví dụ khác nhau về thông tin liên lạc, trong đó gia công chế biến để truyền đi trong thông tin số liệu là một phần đặc biệt trong lĩnh vực thông tin. Hình 1.1. Một hệ thống thông tin cơ bản ở đây: AP- Applicayion process- Quá trình ứng dụng Từ các ví dụ trên chúng ta nhận thấy rằng mỗi hệ thống truyền tin đều có các đặc trƣng riêng nhƣng có một số đặc tính chung cho tất cả các hệ thống. Đặc trƣng chung có tính nguyên lý là tất cả các hệ thống truyền tin đều nhằm mục đích chuyển tải thông tin từ điểm này đến điểm khác. Trong các hệ thống truyền số liệu, thƣờng gọi thông tin là dữ liệu hay thông điệp. Thông điệp có nhiều dạng khác nhau, để truyền thông điệp từ một điểm này đến điểm khác cần phải có sự tham gia của 3 thành phần của hệ thống: nguồn Hệ thống phục truyền tin AP Hệ thống phục vụ phục truyền tin AP Máy tính A Máy tính B Thông tin user đến user Thông tin máy tính đến máy tính Thông tin máy tính đến mạng Mạng truyền số liệu KHOA ĐIỆN-ĐIỆN TỬ ĐHSP KT HƯNG YÊN TS. NGUYỄN VĂN VINH MẠNG THÔNG TIN -4- tin là nơi phát sinh và chuyển thông điệp lên môi trƣờng truyền; môi trƣờng truyền là phƣơng tiện mang thông điệp tới đích thu. Các phần tử này là yêu cầu tối thiểu trong bất cứ quá trình truyền tin nào. Nếu một trong các thành phần này không tồn tại, truyền tin không thể xảy ra. Một hệ thống truyền tin thông thƣờng đƣợc miêu tả trên hình 1.1. Các thành phần cơ bản có thể xuất hiện dƣới dạng khác nhau tuỳ thuộc vào hệ thống. Khi xây dựng các thành phần của một hệ thống truyền tin, cần phải xác định một số các yếu tố liên quan đến phẩm chất hoạt động của nó. Để truyền tin hiệu quả các chủ để phải hiểu đƣợc thông điệp. Nơi thu nhận thông điệp phải có khả năng dịch thông điệp một cách chính xác. Điều này là hiển nhiên bởi vì trong giao tiếp hàng ngày nếu chúng ta dùng một từ mà ngƣời ta không thể hiểu thì hiệu quả thông tin không đạt yêu cầu. Tƣơng tự, nếu máy tính mong muốn thông tin đến với tốc độ chỉ định và ở một dạng mã nào đó nhƣng thông tin lại đến với tốc độ khác và với dạng mã khác thì rõ ràng không thể đạt đƣợc hiệu quả truyền. Các đặc trƣng toàn cục của một hệ thống truyền đƣợc xác định và bị giới hạn bởi các thuộc tính riêng của nguồn tin, của môi trƣờng truyền và đích thu. Nhìn chung, dạng thông tin cần truyền quyết định kiểu nguồn tin, môi trƣờng và đích thu. Trong một hệ thống truyền, hiện tƣợng nhiễu có thề xảy ra trong tiến trình truyền và thông điệp có thể bị ngắt quãng. Bất kỳ sự xâm nhập không mong muốn nào vào tín hiệu đều bị gọi là nhiễu. Có nhiều nguồn nhiễu và nhiều dạng nhiễu khác nhau. Hiểu biết đƣợc các nguyên tắc căn bản về truyền tin sẽ giúp chúng ta dễ dàng tiếp cận một lĩnh vực đặc biệt hấp dẫn đó là thông tin số liệu.Thông tin số liệu liên quan đến một tổ hợp nguồn tin, môi trƣờng và máy thu trong các kiểu mạng truyền số liệu khác nhau. 1.1.2 Các dạng thông tin và xử lý thông tin Tất cả những gì mà con ngƣời muốn trao đổi với nhau đƣợc hiểu là thông tin những thông tin nguyên thuỷ này đƣợc gia công chế biến để truyền đi trong không gian đƣợc hiểu là tín hiệu. Tuỳ theo việc sử dụng đƣờng truyền, tín hiệu có thể tạm chia tín hiệu thành hai dạng: tín hiệu điện-từ và tín hiệu không phải điện từ. Việc gia công tín hiệu cho phù hợp với mục đích và phù hợp với đƣờng truyền vật lý đƣợc gọi là xử lý tín hiệu. Ngày nay với sự phát triển của công nghệ tin học đã tạo ra một công nghệ mới về truyền số liệu. Máy tính với những tính năng vô cùng to lớn đã trở thành hạt nhân trong việc xử lý thông tin, điều khiển các quá trình truy nhập số liệu, máy tính và các hệ thống thông tin tạo thành một hệ thống truyền số liệu. Có 2 nguồn thông tin đó là thông tin tƣơng tự và thông tin số. Trong đó nguồn thông tin tƣơng tự liên tục theo sự thay đổi của giá trị vật lý thể hiện thông tin với đặc tính chất KHOA ĐIỆN-ĐIỆN TỬ ĐHSP KT HƯNG YÊN TS. NGUYỄN VĂN VINH MẠNG THÔNG TIN -5- lƣợng nhƣ tiếng nói, tín hiệu hình ảnh , còn nguồn thông tin số là tín hiệu gián đoạn thể hiện thông tin bởi nhóm các giá trị gián đoạn xác định đặc tính chất lƣợng bằng quan hệ với thời gian nhƣ tín hiệu số liệu. Thông tin số có nhiều ƣu điểm hơn so với thông tin tƣơng tự nhƣ : thông tin số có nhiều khả năng chống nhiễu tốt hơn vì nó có các bộ lặp để tái tạo lại tín hiệu, cung cấp chất lƣợng truyền dẫn tốt hơn với các khoảng cách, nó kết hợp đƣợc mọi nguồn dịch vụ hiện đang có, nó tạo ra đƣợc một tổ hợp truyền dẫn số và tổng đài số. Những phần tử bán dẫn dùng trong truyền dẫn số là những mạch tổ hợp nó đƣợc sản xuất hàng loạt, và mạng liên lạc trở thành mạng thông minh vì dễ chuyển đổi tốc độ cho các loại dịch vụ khác nhau thay đổi thủ tục, xử lý tín hiệu số (DSP) chuyển đổi phƣơng tiện truyền dẫn ... Hệ thống thông tin số cho phép thông tin điều khiển đƣợc cài đặt vào và tách dòng thông tin thực hiện một cách độc lập với với bản chất của phƣơng tiện truyền tin ( cáp đồng trục, cáp sợi quang, vi ba, vệ tinh..),. Vì vậy thiết bị báo hiệu có thể thiết kế riêng biệt với hệ thống truyền dẫn. Chức năng điều khiển có thể thay đổi mà không phụ thuộc vào hệ thống truyền dẫn, ngƣợc lại hệ thống có thể nâng cấp không ảnh hƣởng tới các chức năng điều khiển ở cả 2 đầu của đƣờng truyền 1.2 Khái quát mạng truyền số liệu Hình 1.2. Mô hình mạng truyền số liệu hiện đại Ngày nay với sự phát triển của kỹ thuật và công nghệ đã tạo ra một bƣớc tiến dài trong lĩnh vực truyền số liệu. Sự kết hợp giữa phần cứng, các giao thức truyền thông các thuật toán đã tạo ra các hệ thống truyền số liệu hiện đại, những ký thuật cơ sở vẫn đƣợc dùng nhƣng chúng đƣợc xử lý tinh vi hơn. Về cơ bản một hệ thống truyền số liệu hiện đại mô tả nhƣ hình 1.2 Giao tiếp DTE-DCE DTE DCE Hệ thống truyền (nhận) tin Giao tiếp DTE-DCE DCE DTE Hệ thống nhận (truyền) tin Kênh truyền tin KHOA ĐIỆN-ĐIỆN TỬ ĐHSP KT HƯNG YÊN TS. NGUYỄN VĂN VINH MẠNG THÔNG TIN -6- a. DTE (Data Terminal Equipment – Thiết bị đầu cuối dữ liệu) Đây là thiết bị lƣu trữ và xử lý thông tin. Trong hệ thống truyền số liệu hiện đại thi DTE thƣờng là máy tính hoặc máy Fax hoặc là trạm cuối (terminal). Nhƣ vậy tất cả các ứng dụng của ngƣời sử dụng (chƣơng trình, dữ liệu) đều nằm trong DTE Chức năng của DTE thƣờng lƣu trữ các phần mềm ứng dụng , đóng gói dữ liệu rồi gửi ra DCE hoặc nhận gói dữ liệu từ DCE theo một giao thức (protocol) xác định DTE trao đổi với DCE thông qua một chuẩn giao tiếp nào đó. Nhƣ vậy mạng truyền số liệu chính là để nối các DTE lại cho phép chúng ta phân chia tài nguyên, trao đổi dữ liệu và lƣu trữ thông tin dùng chung b. DCE (Data Circuit terminal Equipment- Thiết bị cuối kênh dữ liệu) Đây là thuật ngữ dùng để chỉ các thiết bị dùng để nối các DTE với các đƣờng (mạng) truyền thông nó có thể là một Modem, Multiplexer, Card mạng...hoặc một thiết bị số nào đó nhƣ một máy tính nào đó trong trƣờng hợp máy tính đó là một nút mạng và DTE đƣợc nối với mạng qua nút mạng đó. DCE có thể đƣợc cài đặt bên trong DTE hoặc đứng riêng nhƣ một thiết bị độc lập. Trong thiết bị DCE thƣờng có các phần mềm đƣợc ghi vào bộ nhớ ROM phần mềm và phần cứng kết hợp với nhau để thực hiện nhiệm vụ của nó vẫn là chuyển đổi tín hiệu biểu diễn dữ liệu của ngƣời dùng thành dạng chấp nhận đƣợc bởi đƣờng truyền. Giữa 2 thiết bị DTE việc trao đổi dữ liệu phải tuân thủ theo chuẩn, dữ liệu phải gửi theo một Format xác định. Thí dụ nhƣ chuẩn trao đổi dữ liệu tầng 2 của mô hình 7 lớp là HDLC (High level Data Link Control) Trong máy Fax thì giao tiếp giữa DTE và DCE đã thiết kế và đƣợc tích hợp vào trong một thiết bị, phần mềm điều khiển đƣợc cài đặt trong ROM. c. Kênh truyền tin Kênh truyền tin là môi trƣờng mà trên đó 2 thiết bị DTE trao đổi dữ liệu với nhau trong phiên làm việc DTE C D E F DTE Hình 1.3. Kênh thông tin ở đây: C, D-Modem; E, F- Transducer Trong môi trƣờng thực này 2 hệ thống đƣợc nối với nhau bằng một đoạn cáp đồng trục và một đoạn cáp sợi quang, modem C để chuyển đổi tín hiệu số sang tín hiệu tƣơng tự để truyền trong cáp đồng trục modem D lại chuyển tín hiệu đó thành tín hiệu số và qua Tranducer E để chuyển đổi từ tín hiệu điện sang tín hiệu quang để truyền trên cáp sợi Cáp đồng trục Cáp sợi quang KHOA ĐIỆN-ĐIỆN TỬ ĐHSP KT HƯNG YÊN TS. NGUYỄN VĂN VINH MẠNG THÔNG TIN -7- quang cuối cùng Tranducer F lại chuyển tín hiệu quang thành tín hiệu điện để tới DTE 1.4. Mạng truyền số liệu Mạng truyền số liệu bao gồm hai hay nhiều hệ thống truyền (nhận) tin nhƣ hình 1.2 đƣợc ghép nối với nhau theo nhiều hình thức nhƣ phân cấp hoặc phân chia thành các trung tâm xử lý trao đổi tin với các chức năng riêng ... Mạng truyền số liệu là một hệ thống nhằm kết nối các máy tính lại với nhau, sự thông tin giữa chúng đƣợc thực hiện bởi các giao thức đã đƣợc chuẩn hoá, có nghĩa các phần mềm trong các máy tính khác nhau có thể cùng nhau giải quyết một công việc hoặc trao đổi thông tin với nhau. Các ứng dụng tin học ngày càng rộng rãi do đó đã đẩy các hƣớng ứng dụng mạng xử lý số liệu, mạng đấu nối có thể có cấu trúc tuyến tính cấu trúc vòng cấu trúc hình sao... Cấu trúc mạng phải có khả năng tiếp nhận các đặc thù khác nhau của các đơn vị tức là mạng phải có tính đa năng, tính tƣơng thích. Mạng số liệu đƣợc thiết kế nhằm mục đích có thể nối nhiều thiết bị đầu cuối với nhau. Để truyền số liệu ta có thể dùng mạng điện thoại hoặc dùng đƣờng truyền riêng có tốc độ cao. Dịch vụ truyền số lỉệu trên kênh thoại là một trong các dịch vụ đầu tiên của việc truyền số liệu. Trên mạng này có thể có nhiều máy tính cùng chủng loại hoặc khác loại đƣợc ghép nối lại với nhau, khi đó cần giải quyết những vấn đề phân chia tài nguyên. Để các máy tính ở các đầu cuối có thể làm việc đƣợc với nhau cần phải có cùng một protocol nhất định. Dạng thức của phƣơng tiện truyền số liệu đƣợc qui định bởi bản chất tự nhiên của ứng dụng, bởi số lƣợng máy tính liên quan và khoảng cách vật lý giữa chúng. Các dạng truyền số liệu trên có các dạng sau: a. Nếu chỉ có hai máy tính và cả hai đều đặt ở một văn phòng, thì phƣơng tiện truyền số liệu có thể chỉ gồm một liên kết điểm nối đơn giản, hình 1.4. Tuy nhiên, nếu chúng liên kết ở những vị trí khác nhau trong một thành phố hay một quốc gia thì phải cần đến các phƣơng tiện truyền tải công cộng. Mạng điên thoại công cộng đƣợc dùng nhiều nhất, trong trƣờng hợp này sẽ cần đến bộ thích nghi gọi là Modem. Sắp xếp truyền theo dạng này đƣợc trình bày trên hình1.4 KHOA ĐIỆN-ĐIỆN TỬ ĐHSP KT HƯNG YÊN TS. NGUYỄN VĂN VINH MẠNG THÔNG TIN -8- Hình 1.4. Truyền số liệu nối qua mạng điện thoại công cộng dùng modem b. Khi cần nhiều máy tính trong một ứng dụng, một mạng chuyển mạch sẽ đƣợc dùng cho phép tất cả các máy tính có thể liên lạc với nhau vào bất cứ thời điểm nào. Nếu tất cả máy tính đều nằm trong một toà nhà , có thể xây dựng một mạng riêng .Một mạng nhƣ vậy đƣợc xem nhƣ mạng cục bộ LAN (Local Area Network) .Nhiều chuẩn mạng LAN và các thiết bị liên kết đã đƣợc tạo ra cho các ứng dụng thực tế . Hai hệ thống mạng Lan cơ bản đƣợc trình bày trên hình 1.5 Hình 1.5. Các hệ thống LAN cơ bản (liên kết LAN qua backbone trong một văn phòng) Khi máy tính đƣợc đặt ở nhiều nơi cách xa nhau cần liên lạc với nhau, phải dùng đến các phƣơng tiện công cộng .Việc liên kết máy tính này tạo nên một mạng rộng lớn, đƣợc gọi là mạng diện rộng WAN (Wide Area Network). Kiểu mạng WAN đƣợc dùng phụ thuộc vào tƣờng ứng dụng tự nhiên. Ví dụ nếu tất cả các máy tính đều thuộc về một công ty và có yêu cầu truyền một số lƣợng dữ liệu quan trọng giữa các điểm , thì giải pháp đơn giản nhất cho vắn đề là thuê các Hệ thống phục truyền tin AP Hệ thống phục vụ phục truyền tin AP PSTN Modem Modem Hệ thống phục truyền tin AP Hệ thống phục vụ phục truyền tin AP KHOA ĐIỆN-ĐIỆN TỬ ĐHSP KT HƯNG YÊN TS. NGUYỄN VĂN VINH MẠNG THÔNG TIN -9- đƣờng truyền từ nhà cung cấp phƣơng tiện truyền dẫn và xây dựng hệ thống chuyển mạch riêng tại một đIểm để tạo thành mạng tƣ nhân. Các giải pháp thuê kênh chỉ hiệu quả đối với các công ty lớn vì có tải hữu ích để cân đối với giá thuê kênh. Trong hầu hết các trƣờng hợp khác đều cần đến các mạng truyền dẫn công cộng. Bên cạnh việc cung cấp dịch vụ điện thoại công cộng, ngày nay hầu hết các nhà cung cấp dịch vụ truyền dẫn đều cung cấp một dịch vụ chuyển mạch số liệu mang tính công cộng. Thật ra các mạng này tƣơng tự nhƣ mạng PSTN là đƣợc liên kết quốc tế, chỉ khác ở chỗ đƣợc thiết kế chuyên cho truyền số liệu. Nhƣ vậy các ứng dụng liên quan đến máy tính đƣợc phục vụ bởi mạng số liệu chuyển mạch công cộng PSDN. Ngoài ra còn có thể chuyển đổi các mạng PSTN có sẵn sao cho có thể truyền đƣợc số liệu mà không cần dùng modem. Các mạng này hoạt động trong chế độ số (digital) hoàn toàn đƣợc gọi là mạng số liên kết đa dịch vụ ISDN 1.4.1. Phân loại mạng truyền số liệu Mạng truyền số liệu đa dạng về chủng loại cũng nhƣ về số lƣợng , có nhiều cách phân chia mạng số liệu, bao gồm: a. Phân loại theo địa lý: Mạng nội bộ, Mạng diện rộng và Mạng toàn cầu b. Phân loại theo tính chất sử dụng mạng: Mạng truyền số liệu kí sinh và Mạng truyền số liệu chuyên dụng. c. Phân loại theo topo mạng: Mạng tuyến tính, Mạng hình sao và Mạng vòng d. Phân loại theo kỹ thuật: Mạng chuyển mạch kênh, Mạng chuyển mạch gói và Mạng chuyển mạch thông báo 1.4.2. Kỹ thuật chuyển mạch giữa các node trong mạng Để thực hiện việc liên lạc giữ các thuê bao ngƣời ta tạo ra mạng liên lạc với các NODE. Các thuê bao đƣợc nối đến các node . các thuê bao đƣợc nối vào mạng thông qua các Node. Số lƣợng các node phụ thuộc vào độ lớn của mạng, nhƣ vậy mỗi thuê bao chị cần một cổng I/O. Mỗi mạng bao gồm các Node , các node đƣợc nối với nhau , số liệu sẽ truyền từ ngƣời gửi đến ngƣời nhận theo con đƣờng thông qua mạng, các Node đƣợc nối với nhau theo hƣớng truyền, số liệu đƣợc định đƣờng từ Node này sang node này sang node khác. a. Kỹ thuật chuyển mạch kênh Liên lạc thông qua chuyển mạch kênh đặc trƣng bởi việc cung cấp ... này phải trả giá cho tốc độ xử lý. Khi một máy chủ nhận các gói tin từ mạng ngoài rồi chuyển chúng vào mạng trong, sẽ tạo ra một lỗ hổng cho các kẻ phá hoại (Hacker) xâm nhập từ mạng ngoài vào mạng trong. Nhƣợc điểm của kiểu Firewall này là hoạt động dựa trên trình ứng dụng uỷ quyền (Proxy). 4.4. MẠNG RIÊNG ẢO VPN (Virtual Private Networks) 4.4.1 Khái niệm mạng riêng ảo Mạng máy tính ban đầu đƣợc triển khai với 2 kỹ thuật chính: đƣờng thuê riêng (Leased Line) cho các kết nối cố định và đƣờng quay số (Dial-up) cho các kết nối không thƣờng xuyên. Các mạng này có tính bảo mật cao, nhƣng khi lƣu lƣợng thay đổi và đòi hỏi tốc độ cao nên đã thúc đẩy hình thành một kiểu mạng dữ liệu mới, mạng riêng ảo. Mạng riêng ảo đƣợc xây dựng trên các kênh lôgích có tính “ảo”. Xu hƣớng hội tụ của các mạng trên nền NGN tạo điều kiện cho sự xuất hiện nhiều dịch vụ mới, trong đó có dịch vụ mạng riêng ảo. KHOA ĐIỆN-ĐIỆN TỬ ĐHSP KT HƯNG YÊN TS. NGUYỄN VĂN VINH MẠNG THÔNG TIN -116- Mạng riêng ảo là một mạng máy tính, trong đó các điểm của khách hàng đƣợc kết nối với nhau trên một cơ sở hạ tầng chia sẻ với cùng một chính sách truy nhập và bảo mật nhƣ trong mạng riêng. Có 2 dạng chính mạng riêng ảo VPN là: Remote Access VPN, Site - to - Site VPN (Intranet VPN và Extranet VPN). Remote Access VPN (Client - to - LAN VPN) cho phép thực hiện các kết nối truy nhập từ xa đối với ngƣời sử dụng di động (máy tính cá nhân hoặc các Personal Digital Assistant) với mạng chính (LAN hoặc WAN) qua đƣờng quay số, ISDN, đƣờng thuê bao số DSL. Site- to - Site VPN dùng để kết nối các mạng tại các vị trí khác nhau thông qua kết nối VPN. Có thể chia loại này ra 2 loại khác: Intranet VPN và Extranet VPN. Intranet VPN kết nối các văn phòng ở xa với trụ sở chính thƣờng là các mạng LAN với nhau. Extranet VPN là khi Intranet VPN của một khách hàng mở rộng kết nối với một Intranet VPN khác. Bảo mật là một yếu tố quan trọng bảo đảm cho VPN hoạt động an toàn và hiệu quả. Kết hợp với các thủ tục xác thực ngƣòi dùng, dữ liệu đƣợc bảo mật thông qua các kết nối đƣờng hầm (Tunnel) đƣợc tạo ra trƣớc khi truyền dữ liệu. Tunnel là kết nối ảo điểm - điểm (Point to Point) và làm cho mạng VPN hoạt động nhƣ một mạng riêng. Dữ liệu truyền trên VPN có thể đƣợc mã hoá theo nhiều thuật toán khác nhau với các độ bảo mật khác nhau. Ngƣời quản trị mạng có thể lựa chọn tuỳ theo yêu cầu bảo mật và tốc độ truyền dẫn. Giải pháp VPN đƣợc thiết kế phù hợp cho những tổ chức có xu hƣớng tăng khả năng thông tin từ xa, các hoạt động phân bố trên phạm vi địa lý rộng và có các cơ sở dữ liệu, kho dữ liệu, hệ thống thông tin dùng riêng với yêu cầu đảm bảo an ninh cao. Chất lƣợng dịch vụ QoS, các thoả thuận (Service Level Agreement-SLA) với các ISP liên quan đến độ trễ trung bình của gói trên mạng, hoặc kèm theo chỉ định về giới hạn dƣới của băng thông. Bảo đảm cho QoS là một việc cần đƣợc thống nhất về phƣơng diện quản lý đối với các ISP. Tất cả các giao thức sử dụng trong mạng VPN, các gói dữ liệu IP đƣợc mã hoá (RSA RC-4 trong PPTP hoặc mã khóa công khai khác trong L2TP, IPSec) và sau đó đóng gói (ESP), thêm tiêu đề IP mới để tạo đƣờng hầm trên mạng IP công cộng. Nhƣ vậy, khi gói tin MTU bị thất lạc trên mạng IP công cộng thì thông tin trong đó đã đƣợc mã hoá nên kẻ phá hoại khó có thể dò tìm thông tin thực sự chứa trong bản tin. Trong các giao thức PPTP và L2TP, mã hoá gói tin đã đƣợc thực hiện từ ngƣời dùng cho đến máy chủ của VPN. Việc mất mát gói tin dẫn đến việc phải truyền lại toàn bộ gói tin, điều này gây nên độ trễ chung đối với VPN và ảnh hƣởng đến QoS của mạng VPN. 4.4.2 Kiến trúc của mạng riêng ảo Hai thành phần cơ bản của Internet tạo nên mạng riêng ảo VPN, đó là: • Đƣờng hầm (Tunnelling) cho phép làm “ảo” một mạng riêng. • Các dịch vụ bảo mật đa dạng cho phép dữ liệu mang tính riêng tƣ. KHOA ĐIỆN-ĐIỆN TỬ ĐHSP KT HƯNG YÊN TS. NGUYỄN VĂN VINH MẠNG THÔNG TIN -117- Hình 4.3. Cấu trúc một đường hầm Đƣờng hầm: là kết nối giữa 2 điểm cuối khi cần thiết. Khi kết nối này sẽ đƣợc giải phóng khi không truyền dữ liệu dành băng thông cho các kết nối khác. Kết nối này mang tính lôgích “ảo” không phụ thuộc vào cấu trúc vật lý của mạng. Nó che giấu các các thiết bị nhƣ bộ định tuyến, chuyển mạch và trong suốt đối với ngƣời dùng. Hình 4.4: Đường hầm trong các cấu trúc LAN và Client. Đƣờng hầm đƣợc tạo ra bằng cách đóng gói các gói tin (Encapsulate) để truyền qua Internet. Đóng gói có thể mã hoá gói gốc và thêm vào tiêu đề IP mới cho gói. Tại điểm cuối, cổng Định dạng gói tin tạo đƣờng hầm: IP Header, AH, ESP, Tiêu đề và dữ liệu. Đƣờng hầm có 2 loại: Thƣờng trực (Permanent) và tạm thời (Temporary hay Dynamic). Thông thƣờng các mạng riêng ảo VPN sử dụng dạng đƣờng hầm động. Đƣờng hầm động rất hiệu quả cho VPN, vì khi không có KHOA ĐIỆN-ĐIỆN TỬ ĐHSP KT HƯNG YÊN TS. NGUYỄN VĂN VINH MẠNG THÔNG TIN -118- nhu cầu trao đổi thông tin thì đƣợc huỷ bỏ. Đƣờng hầm có thể kết nối 2 điểm cuối theo kiểu LAN- to - LAN tại các cổng bảo mật (Security Gateway), khi đó ngƣời dùng trên các LAN có thể sự dụng đƣờng hầm này. Còn đối với trƣờng hợp Client- to - LAN, thì Client phải khởi tạo việc xây dựng đƣờng hầm trên máy ngƣời dùng để thông tin với cổng bảo mật để đến mạng LAN đích. 4.4.3 Những ưu điểm của mạng VPN Chi phí Công nghệ VPN cho phép tiết kiệm đáng kể chi phí thuê kênh riêng hoặc các cuộc gọi đƣờng dài bằng chi phí cuộc gọi nội hạt. Hơn nữa, sử dụng kết nối đến ISP còn cho phép vừa sử dụng VPN vừa truy nhập Internet. Công nghệ VPN cho phép sử dụng băng thông đạt hiệu quả cao nhất. Giảm nhiều chi phí quản lý, bảo trì hệ thống. Tính bảo mật: Trong VPN sử dụng cơ chế đƣờng hầm (Tunnelling) và các giao thức tầng 2 và tầng 3, xác thực ngƣời dùng, kiểm soát truy nhập, bảo mật dữ liệu bằng mã hoá, vì vậy VPN có tính bảo mật cao, giảm thiểu khả năng tấn công, thất thoát dữ liệu. Truy nhập dễ dàng: Ngƣời sử dụng trên VPN, ngoài việc sử dụng các tài nguyên trên VPN còn đƣợc sử dụng các dịch vụ khác của Internet mà không cần quan tâm đến phần phức tạp ở tầng dƣới. 4.4.4. Giao thức PPTP (Point to Point Tunnelling Protocol) PPP là giao thức tầng 2-Data link, truy nhập mạng WAN nhƣ HDLC, SDLC, X.25, Frame Relay, Dial on Demand. PPP có thể sử dụng cho nhiều giao thức lớp trên nhƣ TCP/IP, Novell/IPX, Apple Talk nhờ sử dụng NCP ( Network Control Protocol). PPP sử dụng Link Control Protocol để thiết lập và điều khiển các kết nối. PPP sử dụng giao thức xác thực PAP hoặc CHAP. PPTP dựa trên PPP để thực thi các chức năng sau: - Thiết lập và kết thúc kết nối vât lý. - Xác thực ngƣời dùng - Tạo gói dữ liệu PPP. 4.4.5 Giao thức L2F (Layer Two Forwarding Protocol) Giao thức L2FP do hãng Cisco phát triển, dùng để truyền các khung SLIP/PPP qua Internet. L2F hoạt động ở tầng 2 (Data Link) trong mô hình OSI. Cũng nhƣ PPTP, L2F đƣợc thiết kế nhƣ là một giao thức Tunnel, sử dụng các định nghĩa đóng gói dữ liệu riêng của nó để truyền các gói tin ở mức 2. Một sự khác nhau giữa PPTP và L2F là tạo Tunnel trong giao thức L2F không phụ thuộc vào IP và GRE, điều này cho phép nó làm việc với các môi trƣờng vật lý khác nhau. Cũng nhƣ PPTP, L2F sử dụng chức năng của PPP để cung cấp một kết nối truy cập từ xa và kết nối này có thể đƣợc đi qua một tunnel thông qua Internet để tới đích. Tuy nhiên L2TP định nghĩa giao thức tạo tunnel riêng của nó, dựa trên cơ cấu của L2F. Cơ cấu này tiếp tục định nghĩa việc truyền L2TP qua các mạng chuyển mạch gói nhƣ X25, Frame Relay và ATM. Mặc dù nhiều cách thực hiện L2TP tập trung vào việc sử dụng giao thức UDP trên mạng IP, ta vẫn có khả năng thiết lập KHOA ĐIỆN-ĐIỆN TỬ ĐHSP KT HƯNG YÊN TS. NGUYỄN VĂN VINH MẠNG THÔNG TIN -119- một hệ thống L2TP không sử dụng IP. Một mạng sử dụng ATM hoặc Frame Relay cũng có thể đƣợc triển khai cho các tunnel L2TP. 4.4.6. Giao thức L2TP (Layer Two Tunnelling Protocol) Giao thức L2TP đƣợc sử dụng để xác thực ngƣời sử dụng Dial-up và Tunnel các kết nối SLIP/PPP qua Internet. Vì L2TP là giao thức lớp 2, nên hỗ trợ cho ngƣời sử dụng các khả năng mềm dẻo nhƣ PPTP trong việc truyền tải các giao thức không phải là IP, ví dụ nhƣ là IPX và NETBEUI. Hình 4.5. Kiến trúc của L2TP Hình 4.6. Quá trình chuyển gói tin qua Tunnel L2TP Bảo mật trong L2TP: Việc xác thực ngƣời dùng trong 3 giai đoạn: Giai đoạn 1 tại ISP, giai đoạn 2 và giai đoạn 3 (tuỳ chọn) tại máy chủ mạng riêng. Trong giai đoạn 1, ISP có thể sử dụng số PPP L2TP Giao thức ESP Giải thuật Mã hóa Giao thức AH Giải thuật Xác thực Quản lý khóa KHOA ĐIỆN-ĐIỆN TỬ ĐHSP KT HƯNG YÊN TS. NGUYỄN VĂN VINH MẠNG THÔNG TIN -120- điện thoại của ngƣời dùng hoặc tên ngƣời dùng để xác định dịch vụ L2TP và khởi tạo kết nối đƣờng hầm đến máy chủ của VPN. Khi đƣờng hầm đƣợc thiết lập, LAC của ISP chỉ định một số nhận dạng cuộc gọi (Call ID) mới để định dạnh cho kết nối trong đƣờng hầm và khởi tạo phiên làm việc bằng cách chuyển thông tin xác thực cho máy chủ VPN. Máy chủ VPN tiến hành tiếp bƣớc 2 là quyết định chấp nhận hay từ chối cuộc gọi dựa vào các thông tin xác thực từ cuộc gọi của ISP chuyển đến. Thông tin đó có thể mang CHAP, PAP, EAP hay bất cứ thông tin xác thực nào. Sau khi cuộc gọi đƣợc chấp nhận, máy chủ VPN có thể khởi động giai đoạn 3 tại lớp PPP, bƣớc náy tƣơng tự nhƣ máy chủ xác thực một ngƣời dùng quay số truy nhập vào thăngr máy chủ. Việc sử dụng các giao thức xác thực đơn giản nhƣng không bảo mật cho các luồng dữ liệu điều khiển và thông báo dữ liệu tạo kẽ hở cho việc chèn gói dữ liệu để chiếm quyền điều khiển đƣờng hầm, hay kết nối PPP, hoạc phá vỡ việc đàm phán PPP, lấy cắp mật khẩu ngƣời dùng. Mã hoá PPP không có xác thực địa chỉ, toàn vẹn dữ liệu, quản lý khoá nên bảo mật này yếu không an toàn trong kênh L2TP. Vì vậy, để có đƣợc xác thực nhƣ mong muốn, cần phải phân phối khoá và có giao thức quản lý khoá. Về mã hoá, sử dụng IPSec cung cấp bảo mật cao để bảo vệ gói mức IP, tối thiểu cũng phải đƣợc thực hiện cho L2TP trên IP. Việc quản lý khoá đƣợc thực hiện thông qua liên kết bảo mật - Security Association (SA). SA giúp 2 đối tƣợng truyền thông xác định phƣơng thức mã hoá, nhƣng việc chuyển giao khoá lại do IKE thực hiện. Nội dung này sẽ đƣợc nói rõ hơn trong giao thức IPSec. 4.4.7. Giao thức IPSEC IPSec bảo đảm tính tin cậy, tính toàn vẹn và tính xác thực truyền dữ liệu qua mạng IP công cộng. IPSec định nghĩa 2 loại tiêu đề cho gói IP điều khiển quá trình xác thực và mã hóa: một là xác thực tiêu đề Authentication Header (AH), hai là đóng gói bảo mật tải Encapsulating Security Payload (ESP). Xác thực tiêu đề AH đảm bảo tính toàn vẹn cho tiêu đề gói và dữ liệu. Trong khi đó đóng gói bảo mật tải ESP thực hiện mã hóa và đảm bảo tính toàn vẹn cho gói dữ liệu nhƣng không bảo vệ tiêu đề cho gói IP nhƣ AH. IPsec sử dụng giao thức Internet Key Exchange IKE để thỏa thuận liên kết bảo mật SA giữa hai thực thể và trao đổi các thông tin khóa. IKE cần đƣợc sử dụng phần lớn các ứng dụng thực tế để đem lại thông tin liên lạc an toàn trên diện rộng. * Xác thực tiêu đề AH: AH một trong những giao thức bảo mật IPsec đảm bảo tính toàn vẹn cho tiêu đề gói và dữ liệu cũng nhƣ việc chứng thực ngƣời sử dụng. Nó đảm bảo chống phát lại và chống xâm nhập trái phép nhƣ một tùy chọn. Trong những phiên bản đầu của IPsec đóng gói bảo mật tải ESP chỉ thực hiện mã hóa mà không có chứng thực nên AH và ESP đƣợc dùng kết hợp còn ở những phiên bản sau ESP đã có thêm khả năng chứng thực. Tuy nhiên AH vẫn đƣợc dùng do đảm bảo việc chứng thực cho toàn bộ tiêu đề và dữ liệu cũng nhƣ việc đơn giản hơn đối với truyền tải dữ liệu trên mạng IP chỉ yêu cầu chứng thực. AH có hai chế độ: Transport và Tunnel. Chế độ Tunnel AH tạo ra tiêu đề IP cho mỗi gói còn ở chế độ Transport AH không tạo ra tiêu đề IP mới. Hai chế độ AH luôn đảm bảo tính toàn vẹn (Integrity), chứng thực (Authentication) cho toàn bộ gói. KHOA ĐIỆN-ĐIỆN TỬ ĐHSP KT HƯNG YÊN TS. NGUYỄN VĂN VINH MẠNG THÔNG TIN -121- * Xử lý đảm bảo tính toàn vẹn: IPsec dùng thuật toán mã chứng thực thông báo băm HMAC (Hash Message Authentication Code) thƣờng là HMAC-MD5 hay HMAC-SHA-1. Nơi phát giá trị băm đƣợc đƣa vào gói và gửi cho nơi nhận. Nơi nhận sẽ tái tạo giá trị băm bằng khóa chia sẻ và kiểm tra sự trùng khớp giá trị băm qua đó đảm bảo tính toàn vẹn của gói dữ liệu. Tuy nhiên IPsec không bảo vệ tính toàn vẹn cho tất cả các trƣờng trong tiêu đề của IP. Một số trƣờng trong tiêu đề IP nhƣ TTL (Time to Live) và trƣờng kiểm tra tiêu đề IP có thể thay đổi trong quá trình truyền. Nếu thực hiện tính giá trị băm cho tất cả các trƣờng của tiêu đề IP thì những trƣờng đã nêu ở trên sẽ bị thay đổi khi chuyển tiếp và tại nơi nhận giá trị băm sẽ bị sai khác. Để giải quyết vấn đề này giá trị băm sẽ không tính đến những trƣờng của tiêu đề IP có thể thay đổi hợp pháp trong quá trình truyền. * ESP cũng có hai chế độ: Transport và Tunnel. Chế độ Tunnel ESP tạo tiêu đề IP mới cho mỗi gói. Chế độ này có thể mã hóa và đảm bảo tính toàn vẹn của dữ liệu hay chỉ thực hiện mã hóa toàn bộ gói IP gốc. Việc mã hóa toàn bộ gói IP (gồm cả tiêu đề IP và tải IP) giúp che đƣợc địa chỉ cho gói IP gốc. Chế độ Transport ESP dùng lai tiêu đề của gói IP gốc chỉ mã hóa và đảm bảo tính toàn vẹn cho tải của gói IP gốc. Cả hai chế độ chứng thực để đảm bảo tính toàn vẹn đƣợc lƣu ở trƣờng ESP Auth. * Xử lý mã hóa: ESP dùng hệ mật đối xứng để mã hóa gói dữ liệu, nghĩa là thu và phát đều dùng cùng một loại khóa để mã hóa và giải mã dữ liệu. ESP thƣờng dùng loại mã khối AES-CBC (AES-Cipher Block Chaining), AES-CTR (AES Counter Mode) và 3DES * Trao đổi khóa mã hóa IKE (Internet Key Exchange): Trong truyền thông sử dụng giao thức IPsec phải có sự trao đổi khóa giữa hai điểm kết cuối, do đó đòi hỏi phải có cơ chế quản lý khóa. Có hai phƣơng thức chuyển giao khóa đó là chuyển khóa bằng tay và chuyển khóa bằng giao thức IKE. Một hệ thống IPsec phụ thuộc phải hỗ trợ phƣơng thức chuyển khóa băng tay. Phƣơng thức chìa khóa trao tay chẳng hạn khóa thƣơng mại ghi trên giấy. Phƣơng thức này chỉ phù hợp với số lƣợng nhỏ các Site, đối với mạng lớn phải thực hiện phƣơng thức quản lý khóa tự động. Trong IPsec ngƣời ta dùng giao thức quản lý chuyển khóa IKE (Internet Key Exchange). IKE có các khả năng sau: - Cung cấp các phƣơng tiện cho 2 bên sử dụng các giao thức, giải thuật và khóa. - Đảm bảo ngay từ lúc bắt đầu chuyển khóa. - Quản lý các khóa sau khi chúng đƣợc chấp nhận trong tiến trình thỏa thuận. - Đảm bảo các khóa đƣợc chuyển một cách bảo mật. 4.4.8 Ứng dụng ESP và AH trong cấu hình mạng * ESP trong cấu hình Gateway-to-Gateway: Trong cấu hình này sẽ thiết lập kết nối có IPsec để mã hoá và đảm bảo tính toàn vẹn của dữ liệu giữa hai điểm A và B (điểm kết cuối A dùng Gateway A trên mạng A, điểm kết cuối B dùng Gateway B trên mạng B). KHOA ĐIỆN-ĐIỆN TỬ ĐHSP KT HƯNG YÊN TS. NGUYỄN VĂN VINH MẠNG THÔNG TIN -122- Hình 4.7. Cấu hình Gateway -to-Gateway * ESP và AH trong cấu hình Host-to-Host: Trong cấu hình này sẽ thiết lập kết nối có IPsec để mã hoá và đảm bảo tính toàn vẹn của dữ liệu giữa hai điểm A và B. Tuỳ thuộc và nhu cầu bảo mật có thể dùng ESP hay AH. Hình 4.8. Cấu hình Host-to-Host
File đính kèm:
- giao_trinh_mang_thong_tin.pdf