chương I
interneT và các dịch vụ
trên internet
Lịch sử ra đời của INTernet:
Internet, mạng của các mạng, là một liên mạng toàn cầu ra đời từ những năm 70 và phát triển với một tốc độ rất nhanh. Tiền thân của nó là mạng ARPANet (viết tắt của từ Advanced Research Project Agency Network có nghĩa là mạng của trung tâm phát triển dự án nghiên cứu thuộc Bộ Quốc phòng Mỹ) được thành lập từ năm 1969. Mục đích ban đầu của mạng này là phát triển một mạng thông tin có khả năng hoạt động được ngay cả
78 trang |
Chia sẻ: huyen82 | Lượt xem: 1622 | Lượt tải: 0
Tóm tắt tài liệu Internet & các dịch vụ trên Internet, để xem tài liệu hoàn chỉnh bạn click vào nút DOWNLOAD ở trên
khi một bộ phận trong mạng bị “tấn công bởi bom nguyên tử”. Càng ngày mạng ARPAnet ngày càng mở rộng với rất nhiều tổ chức Quốc tế kết nối vào nó nhằm mục đích truy nhập thông tin hàng ngày. Đến năm 1975, mạng ARPANet được chuyển từ một mạng thí nghiệm sang một mạng hoạt động chính thức. Cùng với sự ra đời của bộ giao thức TCP/IP (viết tắt của từ Transmission Control Protocol/ Internet Protocol, có nghĩa là giao thức truyền dữ liệu và giao thức Internet) thì sự phát triển của ARPANet ngày càng lớn mạnh khắp thế giới. Cho đến khi các chuẩn TCP/IP được sử dụng rộng rãi thì thuật ngữ INTERNET đã được mọi người công nhận như là một từ chỉ tới mạng thông tin toàn cầu lớn nhất và bao trùm tất cả các mạng khác trên thế giới.
Về cơ bản, INTERNET là một liên mạng máy tính giao tiếp dưới cùng một bộ giao thức TCP/IP. Giao thức này cho phép mọi máy tính trên mạng giao tiếp với nhau một cách thống nhất giống như một ngôn ngữ Quốc tế mà mọi người sử dụng để giao tiếp với nhau hàng ngày. Các mạng cấu thành nên INTERNET được kết nối với nhau thông qua nhiều hệ thống truyền tin khác nhau.
Các dịch vụ trên internet
Như ta đã biết, INTERNET là một liên mạng Quốc tế bao gồm rất nhiều các dịch vụ khác nhau, các nhà cung cấp dịch vụ INTERNET (ISP - viết tắt của từ Internet Server Provider) phải cung cấp cho các thuê bao INTERNET tất cả các dịch vụ trên mạng mà thuê bao yêu cầu. Tuy nhiên trong phần này chỉ giới thiệu sơ lược một số dịch vụ quan trọng trên INTERNET, đó là dịch vụ thư điện tử, FTP, Gopher, Wais, World Wide Web, NetNews và Veronica.
Các dịch vụ thư điện tử:
Thư điện tử (e-mail) là công cụ quan trọng nhất và đơn giản nhất để đưa thông tin tới mọi người dùng trên INTERNET. Ngoài ra dịch vụ thư điện tử không chỉ nối kết những người trên INTERNET mà còn cả với những người trên các mạng thương mại khác như: Compuserve, American Online, Prodigy .v.v.v... với số lượng tổng cộng tới gần 10 triệu người dùng trên thế giới.
Kể từ khi thư điện tử trở thành một dịch vụ chiếm ưu thế trên INTERNET, thì dịch vụ “mailling-list” là một cách tốt nhất để cung cấp các thông tin “nóng hổi” tới tay nhiều người cùng một lúc.
Có hai dạng dịch vụ mở rộng dựa trên thư điện tử, đó là dịch vụ mailling-list hay còn gọi là danh sách điện thư và dịch vụ Archive tức là dịch vụ tìm kiếm và chuyển file.
Một mailling-list là một danh sách địa chỉ thư điện tử của một nhóm người nào đó, chỉ cần gửi một bức thư tới một địa chỉ thì tất cả những người còn lại trong danh sách đều nhận được thư.
Một dịch vụ Archive làm nhiệm vụ truyền các file qua đường điện thư theo đòi hỏi của người sử dụng.
Ta có thể dùng mailling-list cho nhiều mục đích đa dạng, từ những việc đơn giản cho đến những việc phức tạp. Người ta có thể dùng mailling-list để tạo ra các nhóm tranh luận về một đề tài nào đó trên INTERNET. Hiện nay có một số chương trình mailling-list thông dụng như: Majordomo, Listserv, Listproc .v.v... để tự động hoá công việc quản lý những danh sách mailling-list lớn.
Dịch vụ Archive có thể tự động thực hiện yêu cầu của người dùng truyền các file qua đường điện thư. Mọi người có thể gửi thư điện tử tới máy phục vụ còn gọi là server, để yêu cầu một đề mục thông tin hoặc những file dữ liệu, server sẽ tìm kiếm trong tài nguyên của nó có đáp ứng được không, sau đó nó sẽ chuyển về cho chúng ta theo đường điện thư. Nếu một file quá lớn, thì server sẽ mã hoá file đó, phân nó thành các phần nhỏ rồi chuyển tới tay người dùng; ở phía người nhận sẽ phải ráp lại các phần nhỏ, giải mã lại các file rồi mới lấy được đúng tài liệu mình cần.
Dịch vụ FTP (File Transfer Protocol)
Đây là dịch vụ mà mọi người dùng trên INTERNET đều sử dụng để truyền các file, bởi vì đó là dịch vụ phổ biển nhất để truyền các file trên INTERNET. Dịch vụ này cho phép người sử dụng đăng nhập vào các máy từ xa nhưng chỉ giới hạn ở mức chuyển giao các file. Những máy FTP server được thiết lập cho các dịch vụ FTP công cộng thường được gọi là FTP nặc danh, bởi vì mọi người đều có thể đăng nhập vào mà không cần ghi rõ địa danh hoặc mật khẩu. Những FTP client thì có ở tất cả các máy tính từ máy tính cá nhân tới máy tính mainframer. Dịch vụ FTP là dịch vụ được sử dụng nhiều nhất sau thư điện tử.
FTP cung cấp tất cả các dạng file, trên thực tế nó không quan tâm tới dạng file cho dù đó là dạng file ASCH, file nhị phân .v.v.. Chỉ cần một ít cấu hình và một máy FTP server, chúng ta có thể phân lớp người sử dụng nào có quyền được truy nhập từng phần trong kho tài nguyên của mình, giới hạn số người sử dụng dịch vụ cùng một thời điểm ...
Tuy nhiên FTP cũng có nhược điểm. Điểm chính là việc truy nhập vào từng thư mục để tìm file là một quá trình chậm chạp. Kỹ thuật truyền thống mà một quản trị mạng dùng để giúp người sử dụng tìm file là cung cấp một danh sách đệ qui các file mà điều này không phải là không có rắc rối. Một vài người quản trị có thể tạo ra các file README ở mỗi thư mục để mô tả nội dung của nó, tuy nhiên điều này lại dẫn tới việc các file này luôn lạc hậu so với nội dung thực.
Dịch vụ Telnet và Finger
Đây là hai dịch vụ có ở hầu hết các hệ điều hành Unix, vì vậy nó được sử dụng rộng rãi dù nó có giao diện không mấy thân thiện.
Telnet là dịch vụ cho phép ta đăng nhập vào các máy trên mạng như một thiết bị đầu cuối (terminal). Nó thường được dùng để cung cấp dịch vụ Internet tương tự như khi bạn nối vào hệ thống bằng modem.
Dịch vụ Finger được thiết kế để cung cấp thông tin cho người sử dụng ở các hệ thống từ xa. Nó có thể cung cấp một số dạng thông tin như tin tức thời tiết .v.v...
Dịch vụ Gopher
Gopher là một dịch vụ cho phép ta định hướng qua các nguồn thông tin.
Các phần mềm Gopher Client hiển thị một thực đơn theo dạng chọn lựa trên bảng, sau đó người dùng chọn một đề mục, đề mục này có thể hiện thị một số tư liệu hoặc đưa người sử dụng đến một thực đơn khác. Ngoài ra ta cũng có thể trở lại đề mục cũ một cách dễ dàng. Đi kèm với mỗi hệ thống thực đơn là các tài liệu, người dùng có thể xem hoặc lưu trữ nó, và một danh sách chỉ mục để tìm kiếm thông tin nữa. Một vài đề mục trong thực đơn có thể kết nối với các server khác và một số dịch vụ thông tin như FTP. Cấu trúc thực đơn đơn giản như vậy nhưng thực ra lại rất hữu ích và dễ dàng tổ chức cũng như bảo trì nó. Đồng thời nó cũng rất dễ dàng quản lý: việc cấu trúc thông tin trên một server chỉ đơn giản là tạo nên một thư mục để thiết lập server trên đó, các thư mục nhỏ hơn sẽ là các đề mục của thực đơn và các file trên thư mục sẽ là các tài liệu thông tin. Vấn đề đặt ra ở đây là phải làm sao cho thông tin dễ truy nhập và cập nhập thường xuyên với các server khác.
Tuy nhiên, các hạn chế của dịch vụ Gopher chính là các dạng dự liệu mà nó hỗ trợ và số dịch vụ mà nó có thể truy nhập được. Hiện nay Gopher mới chỉ hiển thị dữ liệu dạng văn bản và chỉ truy nhập được một số dịch vụ như FTP, Telnet, Wais, .v.v... Mặc dù vậy, Gopher vẫn được ưa chuộng bởi nó là dịch vụ rẻ tiền và truy nhập thông tin nhanh chóng. Ngày nay, Gopher đã bị thay thế dần bởi một dịch vụ mạnh hơn, đó là dịch vụ World Wide Web.
Dịch vụ WAIS (Wide Area Information Server)
Trong khi Gopher và World Wide Web thường dùng giao diện người dùng để hiển thị thông tin và hỗ trợ rất ít khả năng tìm kiếm dữ liệu thì ngược lại ở Wais chức năng tìm kiếm dữ liệu lại quan trọng hơn cả. Đó là dịch vụ hỗ trợ tìm kiếm thông tin rất hữu hiệu nhưng lại hỗ trợ tối thiểu về giao diện người dùng. Về khía cạnh nào đó, người ta coi Wais như là một bổ sung rất tốt cho Gopher và World Wide Web.
Dịch vụ này tìm kiếm thông tin trên một danh sách của server cho một hoặc nhiều từ khoá và đưa ra những báo cáo về kết quả tìm kiếm. Một cơ chế tìm kiếm cho phép ta tìm được những tài liệu theo một từ khoá nào đó và nếu không tìm được tài liệu này, nó sẽ cho ta những tài liệu gần với đòi hỏi nhất.
Wais làm việc dựa trên một chỉ mục được tạo bởi một số tiêu chí nào đó. Các phần mềm đánh mục chỉ có thể xử lý được rất nhiều dạng dữ liệu khác nhau, bao gồm các file văn bản, Latex, Poscript .v.v..., danh sách thư điện tử. Có thể thêm vào một cách dễ dàng các kiểu dữ liệu mới để tìm kiếm. Ngoài ra phần đánh chỉ mục và cơ sở dữ liệu của Wais cho phép kết hợp nhiều dạng dữ liệu trong một chỉ mục để tìm kiếm.
Một vấn đề nảy sinh là các chỉ mục dữ liệu thường rất lớn so với chính bản thân dữ liệu. Khi ta đánh chỉ mục các file tin văn bản thì có thể file chỉ mục sẽ rất lớn. Nếu Wais bao gồm nhiều loại thông tin để tìm kiếm thì ta phải trả giá về không gian đĩa để chạy. Vì vậy hiện nay người ta đang tìm biện pháp để giải quyết vấn đề này.
Dịch vụ World Wide Web (W W W)
Đây là dịch vụ mới phát triển mạnh trên INTERNET. Nó bao gồm nhiều chức năng, cộng thêm khả năng tích hợp được hầu hết các dịch vụ hiện có trên INTERNET. World Wide Web cho phép ta truy cập được Gopher, Wais, FTP, sử dụng Telnet, Finger.
Các tài liệu World Wide Web được viết bằng ngôn ngứ HTML, hay còn gọi là: Hyper Text Markup Language. Nó cho phép ta mô tả các mối liên kết giữa các tài liệu với nhau và các mối liên kết tới các dịch vụ INTERNET khác. Web truyền các tài liệu HTML thông qua một giao thức gọi là HTTP (Hyper Text Transfer Protocol).
Các tài liệu HTML bao gồm khả năng liên kết tới rất nhiều dạng thông tin khác nhau như văn bản, âm thanh .v.v...
Tuy nhiên do khả năng hỗ trợ multimedia như vậy, chỉ những người có đường kết nối tốc độ cao vào mạng INTERNET mới có khả năng tận dụng hết các khía cạnh ưu việt của dịch vụ World Wide Web.
Dịch vụ Netnews.
Dịch vụ mailling-list là một cách khả dĩ để chuyển thư cho một nhóm nhỏ người nhưng tỏ ra không hiệu quả khi gửi cho nhiều người. Đơn giản là vì, việc duy trì danh sách lớn hàng ngàn người cũng đã mất rất nhiều công sức ngay cả khi tự động hoá gần hết danh sách bằng một chương trình như LISTSERV chẳng hạn. Một điều nữa là việc chuyển thư tới hàng ngàn địa chỉ là một gánh nặng cho hệ thống chuyển thư đi.
Dịch vụ USENET News (hay còn gọi là Netnews hay ngắn gọn hơn là News) giải quyết được vấn đề đó, USENET có thể coi là một hệ thống bản tin điện tử (Bulltin Board System) rất lớn, được xây dựng như là một mạng logic ở phía trên các mạng và các kết nối khác. Các chương trình đọc tin (newsreader) cho phép người dùng có thể chọn các tin mà họ quan tâm, do đó tránh được hiện tượng lãng phí ổ đĩa khi phải lưu trữ những thông tin không cần thiết ở nhiều nơi. Ngoài ra còn có các chỉ mục, các liên kết chéo và việc loại bỏ các tin cũ.
Các tin trên mạng được chia thành các nhóm tin theo các chủ đề khác nhau, chúng ta có thể nghĩ đến nhóm tin như một bảng thông báo điện tử hay một cuộc thảo luận dành cho một chủ đề. Tồn tại hàng trăm nhóm tin trên mạng phục vụ cho mọi nhu cầu trong cuộc sống: từ các nhóm tin về chủ đề kỹ thuật như trí tuệ nhân tạo, chuẩn ngôn ngữ lập trình hay các hệ thống máy tính đặc biệt cho tới các chủ đề về nhà vườn hay rượu vang .v.v...
Hiện nay USENET có trên 30 nghìn địa điểm trên toàn thế giới. Rất nhiều địa điểm USENET dùng UUCP như là một giao thức mạng cơ bản. Tuy nhiên USENET được nối qua nhiều hệ thống gateway đến nhiều mạng máy tính lớn trên thế giới chẳng hạn như BITNET, và EASYnet dùng một số giao thức khác như NNTP hay Notes thay cho UUCP.
Dịch vụ Veronica
Đối với dịch vụ Gopher việc tìm kiếm nguồn thông tin tư liệu nhiều khi không kết quả (nghĩa là không tìm thấy nơi chứa thông tin cần tìm). Trong trường hợp đó người sử dụng có thể muốn tìm các Gopher server để nhằm tìm nguồn thông tin cần có, dịch vụ này gọi là dịch vụ Veronica.
Để dùng dịch vụ này người sử dụg phải kết nối máy tính của mình với một Gopher server nào đó trên INTERNET (mà người sử dụng đã có đăng ký Account Gopher Server đó) và Gopher Server đó cho phép truy nhập tới một Veronica Server nào đó. Cơ sở dự liệu về Veronica được tạo nên bằng việc quét các thực đơn trên các Gopher Server trên mạng INTERNET, đồng thời cũng có tìm được thông qua các không gian Gopher có sử dụng Veronica.
Chương II
Bộ giao thức trên Internet
Hiện nay có rất nhiều họ giao thức đang được thực hiện trên mạng truyền thông như: IEE802.X dùng cho mạng cục bộ; CCITT X25 dùng cho mạng tầm rộng và đặc biệt là họ giao thức chuẩn của ISO (viết tắt của từ International Standard Organization - Tổ chức chuẩn hoá Quốc tế), dựa trên mô hình tham chiếu bảy tầng cho việc kết nối các hệ thống mở. Gần đây do sự xâm nhập của mạng INTERNET vào Việt Nam chúng ta được làm quen với họ giao thức mới là: TCP/IP mặc dù chúng đã xuất hiện từ hơn 20 năm trước đây.
Như đã đề cập ở trên đây, mạng INTERNET được xây dựng trên cơ sở giao thức TCP/IP. Thực chất đây là một bộ gồm nhiều giao thức làm những nhiệm vụ khác nhau; tên của bộ giao thức được đặt theo tên hai giao thức quan trọng nhất, đó là : TCP (Transmission Control Protocol) và (Internet Protocol). Bên cạnh hai giao thức này còn có rất nhiều giao thức khác như:
- FTP (File Transfer Protocol): Giao thức truyền tập tin trên mạng.
- SNMP (Simple Network Management Protocol): Giao thức quản lý mạng đơn giản.
- SMTP (Simple Mail Transfer Protocol): Giao thức truyền thư đơn giản.
- HTTP (Hyper Text Transport Protocol): Giao thức truyền các siêu văn bản.
- Nhiều giao thức khác....
Đây là bộ giao thức được dùng rộng rãi vì tính mở của nó. Có nghĩa là bất cứ máy nào dùng bộ giao thức TCP/IP đều có khả năng nối được vào mạng INTERNET. Để hiểu về bộ giao thức TCP/IP chúng ta hãy tìm hiểu qua về mô hình OSI đã được coi là một chuẩn trên toàn thế giới.
I. Mô hình bộ giao thức OSI (Open System Interconnection)
Cấu trúc của mô hình OSI được biểu diễn trong hình sau:
Lớp ứng dụng
(application)
Lớp THể HIệN
(PRESENTATION)
Lớp PHIÊN
(SESSION)
Lớp điều vận
(Trans Post layer)
Lớp MạNG
(NETWORK)
Lớp LIÊN KếT Dữ LIệU
(DATA LINK)
Lớp VậT Lý
(PHYSICAL LINK)
Các lớp trên thực hiện các chức năng sau:
Lớp nối vật lý (Physical Link Leyer):
Lớp này bảo đảm các công việc sau:
- Lập, cắt cuộc nối.
- Truyền tin dạng bit qua kênh vật lý.
- Có thể có nhiều kênh.
Lớp nối số liệu (Data Link Leyer):
Lớp này đảm bảo việc biến đổi các tin dạng bit nhận được từ lớp dưới (vật lý) sang dạng khung số liệu, thông báo cho hệ phát kết quả thu được sao cho các thông tin truyền lên cho mức 3 không có lỗi.
Các thông tin truyền ở mức 1 có thể làm hỏng các thông tin khung số liệu (Framer Error). Phần mềm mức hai sẽ thông báo cho mức một truyền lại các thông tin bị mất/lỗi.
Đồng bộ hay các hệ số có tốc độ xử lý tính khác nhau, một trong những phương pháp hay sử dụng là dùng bộ đệm trung gian để lưu giữ số liệu nhận được. Độ lớn của bộ đệm này phụ thuộc vào tương quan xử lý của các hệ thu và phát.
Trong trường hợp đường truyền song công toàn phần, lớp datalink phải đảm bảo việc quản lý các thông tin số liệu và các thông tin trạng thái.
Lớp mạng (Network Leyer):
Lớp mạng có thể gọi một cách khác là lớp liên lạc mạng (Comunication Subnet Layer) theo dõi toàn bộ hoạt động của Subnet, các thông tin số liệu ở lớp này được tổ chức thành gói dữ liệu (packets) chứa đầy đủ địa chỉ gốc (Source) và địa chỉ đích (Destination).
Số lượng các gói dữ liệu truyền trên các kênh khác nhau của mạng thông tin máy tính phụ thuộc vào lưu lượng thông tin trên các đường truyền. Lớp mạng đảm bảo tìm đường tối ưu cho các gói dữ liệu bằng các giao thức chọn đường dựa trên các thiết bị chọn đường (Route).
Lớp mạng kiểm soát thông tin trong mạng để quyết định số lượng gói vận chuyển, tránh trường hợp có quá nhiều gói dữ liệu trên Subnet gây ra tắc nghẽn.
Lớp điều vận (Transpost Leyer):
Lớp này thực hiện các chức năng sau:
Nhận thông tin từ lớp phiên (Session) chia thành các gói nhỏ hơn và truyền xuống lớp dưới, hoặc nhận thông tin từ lớp dưới chuyển lên phục hồi theo cách chia của hệ phát.
Yêu cầu nối xuất phát từ lớp 5 (Session), trong trường hợp hệ thống yêu cầu chuyển nhanh thông tin, lớp điều vận sẽ thiết lập nhiều cuộc nối để tăng lưu lượng thông tin trên mạng (phí thuê bao tăng). Hoặc hệ thống có thể dùng chung cuộc nối cho các thông tin khác nhau (giảm phí thuê bao).
Có cơ chế để kiểm soát dòng thông tin để đồng bộ tốc độ xử lý giữa các hệ (giữa hệ nhanh và hệ chậm).
Lớp phiên (Session)
Cuộc nối giữa 2 người dùng gọi là phiên.
Giao diện giữa mạng và người sử dụng, người sử duọng thiết lập, quản lý, đối thoại, kết thúc cuộc nối.
Cho phép người sử dụng thâm nhập vào hệ xa, truyền file giữa các hệ. Trong trường hợp các đường truyền thông không hoặc chưa vận chuyển hết thông tin cho hệ ở xa được, lớp phiên sẽ đảm bảo không hoặc chưa chuyển giao các thông tin đó cho hệ xa (thí dụ trong khi truyền file dữ liệu lớp phiên sẽ đợi nhận đủ file mới chuyển cho người sử dụng dùng hệ xa).
Lớp thể hiện (Presentation Lever):
- Thư viện các yêu cầu của người dùng.
- Chứa các thư viện tiện ích.
- Thí dụ thay đổi dạng thể hiện của các tệp, nén file...
Lớp ứng dụng (Application Leyer):
Lớp ứng dụng cho phép người sử dụng khai thác các tài nguyên trong mạng tương tự như tài nguyên tại chỗ (hệ thống mạng thông suốt đối với người sử dụng - USER Transparent).
* TCP/IP với mô hình OSI
hình dung vị trí của TCP/IP trong một kiến trúc mạng ta so sánh chức năng của nó với mô hình mạng của CCITT và OSI qua hình dưới đây:
ISO
CCITT
X400
Application
FTP
Telnet
Presentation
Session
TCP
Transport
Netword
IP
ISDN
Data Link
X25
Physical Link
Như vậy TCP tương ứng với 4 lớp cộng thêm 1 số chức năng của lớp thứ 5 trong họ giao thức chuẩn OSI. Còn IP tương ứng với 3 lớp của mô hình OSI.
II. bộ giao thức tcp/ip:
Khái niệm giao thức (Protocol) là một khái niệm cơ bản của mạng truyền thông. Có thể hiểu một cách khái quát rằng đó chính là tập hợp tất cả các qui tắc cần thiết (các thủ tục, các khuôn dạng dữ liệu, các cơ chế phụ trợ...) cho phép các thao tác trao đổi thông tin trên mạng được thực hiện một cách chính xác và an toàn. Có rất nhiều họ giao thức đang được thực hiện trên mạng truyền thông hiện nay như IEE802.X dùng trong mạng cục bộ, CCITT dùng cho mạng diện rộng và đặc biệt là họ giao thức chuẩn của ISO (các tổ chức tiêu chuẩn hoá quốc tế) dựa trên mô hình tham chiếu bảy tầng cho việc kết nối các hệ thống mở. Trên INTERNET họ giao thức được sử dụng là bộ giao thức TCP/IP. Gần đây do sự xâm nhập của mạng INTERNET vào Việt Nam chúng ta mới được làm quen với họ giao thức này mặc dù chúng đã xuất hiện từ hơn 20 năm trước đây.
Sự ra đời của họ giao thức TCP/IP gắn liền với sự ra đời của mạng INTERNET mà tiền thân là mạng ARPANet do Bộ Quốc phòng Mỹ tạo ra. Hai giao thức được dùng chủ yếu ở đây là TCP (Transmission Control Protocol) và IP (Internet Protocol).
TCP/IP có một số đặc tính quan trọng sau:
- Là bộ giao thức mở chuẩn, sẵn có và phát triển độc lập với phần cứng nên nó được sử dụng rộng rãi trong việc kết nối trên INTERNET.
- TCP/IP độc lập với phần cứng mạng vật lý, điều này cho phép TCP/IP thích ứng được với nhiều mạng khác nhau. Nó có thể được dùng trên Ethernet, Token-ring, X25...
- TCP/Ip yêu cầu phải đánh địa chỉ cho các trạm (Host) trên mạng, mục đích của việc đánh địa chỉ là đảm bảo tính duy nhất cho các trạm hoà mạng.
- Các giao thức bậc cao được tiêu chuẩn hoá để thích hợp và sẵn có với người dùng.
Sau khi ra đời, TCP/IP đã nhanh chóng được đón nhận và phát triển bởi nhiều nhà nghiên cứu và các hãng công nghiệp máy tính với mục đích xây dựng và phát triển một mạng truyền thông mở rộng khắp thế giới mà ngày nay chúng ta gọi là INTERNET.
Phạm vi phục vụ của INTERNET không còn dành riêng cho quân sự như ARPAnet nữa mà nó đã mở rộng lĩnh vực cho mọi loại đối tượng sử dụng, trong đó tỷ lệ quan trọng nhất vẫn thuộc về giới nghiên cứu khoa học, giáo dục và thương mại.
1. Cấu trúc phân lớp của họ giao thức TCP/IP:
Bộ giao thức TCP/IP trong mô hình INTERNET bốn lớp được mô tả như hình vẽ sau đây:
(4) Application Layer
Bao gồm các ứng dụng và các tiến trình trên mạng
(3) Host to Host Transport Layer
Cung cấp các dịch vụ truyền dữ liệu liên tục
(2) Internet Layer
Định nghĩa đơn vị truyền và có nhiệm vụ tìm đường
(1) Network Access Layer
Bao gồm các công việc cần thiết để truy nhập tới mạng vật lý
Trong cấu trúc bốn lớp của INTERNET khi dữ liệu truyền từ lớp ứng dụng (Application) cho đến lớp truy nhập mạng (Network Access) thì mỗi lớp đều cộng thêm vào dữ liệu phần điều khiển của mình để đảm bảo cho việc truyền được chính xác. Mỗi thông tin điều khiển này được gọi là một header và được đặt ở trước phần dữ liệu được truyền. Mỗi lớp xem tất cả các thông tin mà nó nhận được từ lớp trên là dữ liệu, và đặt phần thông tin điều khiển header của nó vào phần trước phần thông tin này. Việc cộng thêm vào các header ở mỗi lớp trong quá trình truyền tin được gọi là bao bọc (Encapsulation). Quá trình nhận dữ liệu diễn ra theo chiều ngược lại, mỗi lớp sẽ tách ra phần header trước khi truyền dữ liệu lên lớp trên.
Hình vẽ sau mô tả qúa trình truyền dữ liệu trong mô hình INTERNET:
Data
Application Layer
Data
Header
Transport Layer
Data
Header
Header
Intenet Layer
Header
Header
Data
Header
Netwrk Access Layer
Send Receive
Mỗi lớp có một cấu trúc dữ liệu độc lập, và mỗi lớp không hẳn biết đến cấu trúc dữ liêu được dùng ở lớp trên hay lớp dưới của nó. Trong thực tế, cấu trúc dữ liệu ở các lớp ngay cạnh để cho việc truyền dữ liệu được hiệu quả hơn. Tuy nhiên ở mỗi lớp vẫn có một cấu trúc dữ liệu riêng và có một thuật toán riêng để mô tả cấu trúc đó.
Các ứng dụng dùng TCP gọi dữ liệu được truyền là một dòng dữ liệu (Stream) trong khi các ứng dụng dùng UDP (User Datagram Protocol) gọi dữ liệu được truyền là các thông báo (Message). Lớp TCP gọi tên dữ liệu được truyền là Segment còn UDP định nghĩa cấu trúc dữ liệu của nó là Packet. Lớp INTERNET xem tất cả các dữ liệu như là các khối và gọi là Datagram. Bộ giao thức TCP/IP có thể dùng nhiều kiểu khác nhau của lớp mạng vật lý (Ethernet, Token-ring, FĐI, X25...), mỗi loại có thể có một phương thức khác nhau để truyền dữ liệu. Phần lớn các mạng kết cấu phần dữ liệu truyền đi dưới dạng các packets hay là các frames, ở đây ta thừa nhận mẫu dữ liệu mà lớp mạng vật lý dưới cùng truyền đi gọi là frames.
Hình vẽ sau đây mô tả cấu trúc dữ liệu dùng trong bộ giao thức TCP/IP:
(4) Application
Stream
(3) Transport
Segment/Datagram
(2) Internet
Datagram
(1) Network Access
Frame
a. Lớp truy nhập mạng (Network Access Layer):
Network Access Layer là lớp thấp nhất trong cấu trúc phân bậc của TCP/IP. Những giao thức ở lớp này cung cấp cho hệ thống phương thức để truyền dữ liệu trên các tầng vật lý khác nhau của mạng. Nó định nghĩa cách thức truyền các khối dữ liệu (Datagram) IP. Các giao thức ở lớp này phải biết chi tiết các phần cấu trúc vật lý mạng ở dưới nó (bao gồm cấu trúc gói của nó, địa chỉ .v.v.v..) để định dạng được chính xác các dữ liệu sẽ được truyền tuỳ thuộc vào từng loại mạng cụ thể.
So sánh với cấu trúc OSI thì lớp này của TCP/IP tương đương với ba lớp Network, Datalink, và Physical trong cấu trúc OSI.
Chức năng định dạng dữ liệu sẽ được truyền ở lớp này bao gồm việc đóng gói các gói dữ liệu IP vào các frame sẽ được truyền trên mạng và việc ánh xạ các địa chỉ IP vào địa chỉ vật lý được dùng cho mạng trước khi truyền xuống kênh vật lý.
b. Lớp liên mạng (Internet Layer):
Internet Layer là lớp ở ngay trên lớp Network Access trong cấu trúc phân lớp của TCP/IP. Internet Protocol (IP) là giao thức trung tâm của TCP/IP và là phần quan trọng nhất của lớp liên mạng (Internet) này. IP cung cấp dịch vụ lưu truyền các gói IP trên mạng. Tất cả các giao thức ở lớp trên và lớp dưới của IP đều dùng IP để truyền dữ liệu, và tất cả các dữ liệu lưu truyền qua IP, vào và ra, đều không quan tâm đến đích cuối cùng của nó.
* IP bao gồm một số chức năng sau:
Nó định nghĩa các khối dữ liệu (Datagram), đây là khối cơ bản của việc truyền tin.
Định nghĩa hệ thống địa chỉ INTERNET (IP Address).
Truyền dữ liệu giữa lớp Transport và lớp Network Access.
Định tuyến đường để gửi các gói dữ liệu đến các trạm ở xa.
Thực hiện việc phân mảnh và hợp nhất (Fragmentation - reassembly) các khối dữ liệu.
Cấu trúc dữ liệu được truyền ở lớp IP được định nghĩa là các Datagram. Mỗi Datagram có một header chứa các thông tin cần thiết để truyền dữ liệu đi. Trong phần header này có chứa địa chỉ đích, và IP sẽ truyền dữ liệu bằng cách kiểm tra địa chỉ đích này. Địa chỉ đích bao gồm 32 bit địa chỉ IP dùng để xác định mạng đích và trạm ở trên mạng đích đó. Nếu địa chỉ đích là địa chỉ của một trạm nằm trên cùng một mạng với máy nguồn thì các gói dữ liêụ sẽ được truyền thẳng tới đích, còn nếu địa chỉ đích không nằm trên cùng một mạng với máy nguồn thì các gói dữ liệu phải được gửi đến một cổng truyền (gateway) để truyền đi. (Trong đó gateway lưu truyền các gói dữ liệu nằm giữa hai mạng vật lý khác nhau).
Hình vẽ sau đây minh hoạ khuôn dạng của một gói dữ liệu lưu truyền ở lớp IP:
| 0 | 4 | 8 | 16 | 20 | 24 | 28 | 31
Version | IHL | Type of service | Total length
Identification | Flags | Fragment Offset
Time to live | Protocol | Header Checksum
Source Address
Destination Address
Options | Padding
Data begin here...
- Trường Version dùng để chỉ Version của IP được dùng.
- Trường IHL chỉ độ dài của header, độ dài của header được đánh giá bởi các từ 32 bit. Nếu không có trường này thì độ dài ngầm định của header là 5 từ. Trường này gồm có 8 bit.
- Trường Total Length: trường Total Length chứa độ dài của các gói, được đo dưới dạng các octet, bao gồm cả phần header lẫn phần dữ liệu của mỗi gói dữ liệu.
- Trường Identification dùng để xác định một fragment thuộc vào gói nào.
Để tìm hiểu thêm về IP, ta hãy xem cấu trúc địa chỉ mà nó sử dụng (thường gọi là IP Address). Để đảm bảo cho tất cả các trạm trên mạng được định danh một cách duy nhất, IP sử dụng 32 bit cho mỗi địa chỉ. Để tiện cho việc quản lý người ta chia địa chỉ IP thành các lớp (Class), mỗi lớp địa chỉ tương ứng với một kích thước mạng khác nhau và số lượng các trạm làm việc nối vào.
- Nếu như bit đầu tiên của địa chỉ là 0 thì nó là địa chỉ thuộc lớp A.
Bit đầu tiên của địa chỉ lớp A xác định địa chỉ, bảy bit tiếp theo xác định địa chỉ mạng, và 24 bit cuối cùng xác định địa chỉ của các trạm. Như vậy với điạ chỉ ở lớp A thì chỉ đánh địa chỉ cho 128 mạng, nhưng mỗi mạng có thể bao gồm hàng triệu trạm.
- Nếu hai bit đầu tiên của địa chỉ là 1 0, thì địa chỉ này là thuộc vào lớp B. Trong lớp B, hai bit đầu tiên được dùng để xác định lớp địa chỉ, 14 bit tiếp theo xác định địa chỉ mạng, và 16 bit cuối cùng xác định địa chỉ của trạm. Như vậy, nếu dùng địa chỉ lớp B thì có thể đánh địa chỉ được cho hàng ngàn mạng, mỗi mạng có hàng ngàn trạm.
- Nếu ba bit đầu tiên của địa chỉ là 1 1 0. thì địa chỉ này thuộc vào lớp địa chỉ C. Trong địa chỉ lớp C thì ba bit đầu tiên được dùng để xác định lớp địa chỉ, 21 bit tiếp theo dùng để xác định địa chỉ mạng, và ba bit tiếp theo dùng để xác định địa chỉ mạng, và tám bit cuối cùng dùng để xác định địa chỉ cho các trạm. Dùng địa chỉ lớp C ta có thể đánh địa chỉ cho hàng triệu mạng, nhưng mỗi mạng chỉ có thể bao gồm ít hơn 254 trạm.
- Nếu ba bit đầu của địa chỉ là 1 1 1, thì nó là một địa chỉ dự trữ đặc biệt. Các địa chỉ này đôi lúc còn được gọi là địa chỉ lớp D. Phần địa chỉ này được dùng để dự trữ cho một số mục đích đặc biệt, chẳng hạn như dùng để đánh địa chỉ cho một nhóm các máy tính, mà các máy tính này có phần giao thức dùng chung, do đó ta có thể không cần quan tâm nhiều tới lớp địa chỉ này.
Hình sau sẽ cho thấy cấu trúc của ba lớp địa chỉ A B C được sử dụng trong IP:
19
0
104
26
8network bits
24 host bits
0
0
1
1
16
178
1
12
66
128
Class A
Class B
Class C
0
1
1
16 network bits
16 host bits
192
24 network bits
8 host bits
Trong thực tế, địa chỉ IP thường được viết dưới dạng bốn chữ số ở dạng cơ số 10, các số này phân cách nhau bởi dấu “.”. Mỗi một số là nằm trong khoảng từ 0 cho đến 255. Vì vậy, dựa vào chữ số đầu tiên ta có thể nói rằng:
- Nhỏ hơn 128 là địa chỉ lớp A. Byte đầu tiên là địa chỉ mạng, ba byte còn lại là địa chỉ của trạm.
- Từ 128 cho đến 191 là địa chỉ lớp B. Hai byte đầu xác định địa chỉ mạng, hai byte tiếp theo xác định địa chỉ trạm.
- Từ 192 cho đến 233 là địa chỉ thuộc lớp C. Ba byte đầu xác định địa chỉ mạng, một byte cuối cùng xác định địa chỉ của các trạm.
- Lớn hơn 233 là các địa chỉ được dự trữ cho các mục đích đặc biệt và ta có thể không cần quan tâm đến.
Ví dụ:
00001010000000000000000000001000 = 1.0.0.0.8
Địa chỉ này thuộc lớp A với : địa chỉ mạng = 10
địa chỉ trạm = 0.0.8
Để tiện cho việc thực hiện các phương cách tìm đường trên mạng và đánh địa chỉ cho các mạng nhỏ hơn nữa (đặc biệt là trong công nghệ Intranet), người ta đưa ra khái niệm Subnet Mask. Subnet Mask cũng giống như địa chỉ IP bao gồm 32 bit. Mục đích của địa chỉ Subnet Mask là để có thể chia nhỏ một địa chỉ IP thành các mạng nhỏ hơn và theo dõi vùng nào trên địa chỉ IP dùng để làm địa chỉ cho mạng con (còn được gọi là các Subnet) đó, vùng nào dùng làm địa chỉ cho các trạm làm việc.
Nội dung của một Subnet Mask được quy định như sau:
Các bit 1: dùng để chỉ định địa chỉ mạng trên địa chỉ IP.
Các bit 0: dùng để chỉ định địa chỉ trạm làm việc trên địa chỉ IP.
Từ địa chỉ IP ta thực hiện phép toán logic AND với địa chỉ Subnet Mask kết quả tạo ra sẽ được địa chỉ mạng nơi đến. Kết quả này được sử dụng để tìm bước tiếp theo trong thuật toán tìm đường trên mạng. Nếu kết quả này trùng với địa chỉ mạng tại trạm đang làm việc thì sẽ xét tiếp địa chỉ trạm làm việc để truyền đi. Theo cấu trúc của Subnet Mask ta nhận thấy rằng tất cả các trạm làm việc trong cùng một mạng con sẽ có cùng giá trị Subnet Mask.
Với phương pháp này số bit dùng để đánh địa chỉ host có thể nhỏ hơn 8 bit (lớp C) tức là 1 địa chỉ lớp C có thể được phân nhỏ hơn nữa và khi đó các mạng con này thường được xác định bởi các địa chỉ có thêm phần chú thích số bit dành cho địa chỉ mạng, ví dụ 203.160.0.0/25 mô tả subnet 203.160.0.0 (thuộc lớp C) nhưng có 25 bit dùng cho địa chỉ mạng và 7 bit dùng cho địa chỉ host tức là subnet này chỉ có tối đa là 128 host chứ không phải là 256 nữa.
Trong hệ thống địa chỉ Subnet này như sau:
11001011101000000000000000000000 tương ứng với
203 . 160 . 0 . 0 nhưng Subnet Mask của nó sẽ là
11111111111111111111111110000000 tương ứng với
255 . 255 . 255 . 128
._.Hình vẽ sau sẽ mô tả tổng quát việc chia nhỏ một địa chỉ thành các Subnet bằng cách sử dụng Subnet Mask.
203.160.0.0/24
203.160.0.0/24
203.160.0.0/24
0/26
64/26
32/27
0/27
0/28
16/28
32/28
48/27
64/27
96/27
64/26
...
...
...
...
128/27
...
...
160/28
128/27
Trong tất cả các lớp địa chỉ mạng cũng như các Subnet, các địa chỉ đầu và cuối của mạng được dùng vào mục đích riêng. Một địa chỉ IP cùng với tất cả các bit địa chỉ trạm có giá trị là 0 (địa chỉ đầu mạng) được dùng để chỉ chính mạng đó (hay địa chỉ xác định mạng). Ví dụ như địa chỉ 203.160.1.0 được dùng để chỉ mạng 203.160.1.0. Còn nếu tấtcả các bit địa chỉ trong phần địa chỉ của trạm đều có giá trị là 1 (địa chỉ cuối mạng) thì địa chỉ này được dùng làm địa chỉ quảng bá - broadcast (Một địa chỉ broadcast được dùng để đánh địa chỉ cùng một lúc cho tất cả các trạm trong một mạng, nó được dùng để cho phép thông báo cho nhiều trạm cùng một lúc). Ví dụ như địa chỉ broadcast của mạng 203.160.0.0 là 203.160.0.255. Một gói dữ liệu gửi đến địa chỉ này sẽ được truyền đến tất cả các trạm trên mạng này.
IP là giao thức cung cấp dịch vụ truyền thông theo kiểu “không liên kết” (Connectionless) hay còn gọi là dịch vụ Datagram (tên gọi của đơn vị dữ liệu sử dụng giao thức IP). Phương thức không liên kết cho phép cặp đối tác không cần phải thực hiện việc thiết lập liên kết trước khi truyền dữ liệu và do vậy cũng không cần phải giải phóng liên kết khi không còn nhu cầu truyền dữ kiệu nữa. Điều đó làm giảm nhẹ công sức cài đặt hệ thống nhưng tăng độ phức tạp kiểm soát luồng dữ liệu và tiếp nhận sự đúng đắn dữ liệu trong trường hợp nhiều người sử dụng đồng thời trên mạng.
Việc phân mảnh các gói dữ liệu:
Trong qua trình truyền dữ liệu, một gói dữ liệu (datagram) có thể được truyền đi thông qua nhiều mạng khác nhau. Một gói dữ liệu nhận được từ một mạng nào đó có thể quá lớn để truyền đi trong gói đơn ở trên một mạng khác, bởi mỗi loại cấu trúc mạng là cho phép một đơn vị truyền cực đại (Maximum Transmission Unix), hay còn gọi là MTU, khác nhau. Đây chính là kích thước lớn nhất của một gói mà chúng có thể truyền. Nếu như một gói dữ liệu nhận được từ một mạng nào đó mà lớn hơn MTU của một mạng khác thì nó cần phân mảnh ra thành các gói nhỏ hơn, gọi là fragment, để truyền đi, quá trình này gọi là quá trình phân mảnh. Dạng của một fragment cũng giống như dạng của một gói dữ liệu thông thường. Từ thứ hai trong phần header chứa các thông tin để xác định mỗi fragment và cung cấp các thông tin để hợp nhất các fragment này lại thành các gói như ban đầu. Trường Identification dùng để xác định fragment này là thuộc vào gói dữ liệu nào.
ICMP (Internet Control Message Protocol)
Đây là một giao thức của lớp IP, nó dùng các gói dữ liệu IP để gửi đi các thông điệp của nó. ICMP gửi các thông điệp như điều khiển dòng truyền, báo lỗi...
- Điều khiển dòng truyền (Flow Control): Khi các gói dữ liệu đến quá nhanh, trạm đích hoặc một gateway ở giữa sẽ gửi một thông điệp ICMP trở lại nơi gửi, thông điệp này nói với nơi gửi tạm thời ngừng việc gửi dữ liệu lại.
- Thông báo lỗi: Trong trường hợp địa chỉ đích là không với tới được thì hệ thống sẽ gửi một thông báo lỗi “Destination Unreachable”. Nếu địa chỉ đích không thể với đến là một mạng hay một trạm thì thông điệp này sẽ được gửi bởi một gateway ở giữa. Nhưng nếu địa chỉ đích là một cổng không thể với đến thì chính trạm đích sẽ gửi thông điệp báo lỗi này.
- Đổi hướng các tuiyến đường: một gateway sẽ gửi một thông điệp ICMP “Redirect Router” để nói với một trạm là nên dùng gateway khác bởi vì dùng gateway này là một lựa chọn tốt hơn. Thông điệp này có thể chỉ được dùg khi mà trạm nguồn là ở trên cùng một mạng với cả hai gateway.
- Kiểm tra các trạm ở xa: một trạm có thể gửi một thông điệp ICMP “Echo” đi để biết được liệu một trạm ở xa có đang mở và hoạt động hay không. Khi một hệ thống nhận được một thông điệp “Echo”, nó gửi trả lại một gói tương tự quay trở lại trạm nguồn.
c. Lớp vận chuyển (Transport Layer)
Lớp giao thức nằm ngay trên lớp IP là Transport (lớp truyền tin). hai giao thức quan trọng nhất trong lớp này là TCP (Transmission Control Protocol) và UDP (User Datagram Protocol). TCP cung cấp dịch vụ truyền dữ liệu đwocj tin tưởng với khả năng phát hiện lỗi và sửa lỗi theo kiểu end-to-end. Còn UDP cung cấp các chương trình ứng dụng thâm nhập trực tiếp đến các dịch vụ lưu truyền datagram, điều này cho phép trao đổi các thông điệp ra ngoài mạng với một số lượng nhỏ các giao thức. Cả hai giao thức này đều truyền dữ liệu giữa lớp ứng dụng và lớp Internet.
Dạng thông điệp của TCP:
Các thông điệp của TCP đều có dạng như sau:
0 15 16 31
Source port
Destination
Sequence
Acknowkedgement Number
Offset
Reserved
U
R
G
a
c K
p s h
r s t
s y n
f
i
n
Window
Checksum
Urgent
Options
Padding
Data begins here...
Trong đó:
* Source port và Destination port: xác định các cổng nguồn và đích của các dịch vụ.
* Sequence: là byte liên hệ bù đắp cho byte đầu tiên trong thông điệp hiện thời. Đây là một số 32-bit có thể thay đổi được dùng để thực hiện việc điều đình khi TCP mở một kết nối với một TCP ở xa.
* Acknowledgement: đây là byte được dùng để TCP gửi thông điệp. TCP dùng trường này để báo cho biết liệu dữ liệu có được nhận thành công hay không. Trường này sẽ được kiểm tra khi cờ ACK được dựng.
* Offset: trường này nói với người nhận nơi phần dữ liệu người dùng bắt đầu và gián tiếp nói độ dài của bất kỳ chọn lựa TCP nào ở vào cuối phần header.
* Reserved: luôn luôn được đặt là 0. Trường này được dự trữ cho tương lai.
Các cờ:
- URG: cờ này được đặt sẽ nói cho bên nhận TCP rằng trường Urgent cho biết vị trí byte trong dòng dữ liệu của dữ liệu nên được giải quyết trước so với các dữ liệu khác trong thông điệp.
- ACK: cờ này được thiết lập cho mục đích dùng trường Acknowledgement.
- PSH: trường này nói rằng một thông điệp được nhận nên được gửi đến tiến trình kết hợp với một sự khết nối được thiết lập ngay lập tức.
- RST: cờ này chỉ ra rằng việc kết nối nên được reset trở lại khi phần mềm hoặc phần cứng bị hỏng.
- SYN: được dùng lúc ban đầu khi setup việc kết nối.
- FIN: chỉ ra rằng người gửi không còn thêm dữ liệu để truyền tiếp. Khi cờ này được gửi đi thì việc kết nối đóng một nửa, trong trường hợp này người nhận FIN có thể tiếp tục gửi dữ liệu nhưng sẽ không nhận thêm bất kỳ gói dữ liệu nào từ người gửi. Chỉ đến khi người nhận gửi FIN thì sự kết nối mới thực sự đóng.
* Window: chỉ ra số các byte dữ liệu được chấp nhận. TCP dùng trường này để điều khiển dòng truyền và quản lý buffer.
* U rgent: đây là byte đăng ký dữ liệu nào trong thông điệp nên được xử lý trước tiên.
* Options: biến các tuỳ chọn của TCP.
* Data: phần data của người dùng.
Dạng thông điệp của UDP:
Các dạng thông điệp của UDP đều có dạng chung như sau:
0 15 16 31
Source port
Destination port
Length
Checksum
Data
d. Lớp ứng dụng (Application Layer):
Lớp ứng dụng là lớp giao thức cao nhất nằm trong cấu trúc phân lớp của INTERNET. Lớp này bao gồm tất cả các tiến trình dùng các giao thức của lớp transport để truyền dữ liệu. Có nhiều giao thức ứng dụng ở lớp này, phần lớn là nhằm cung cấp cho người dùg các dịch vụ ứng dụng. Các dịch vụ thông dụng trên lớp này đều đã được đề cập đến trong phần giới thiệu về INTERNET như:
- Telnet: cung cấp khả năng truy cập từ xa thông qua mạng.
- FTP: dùng để truyền file trên mạng.
- SMTP (Simple Mail Transfer Protocol): truyền thư điện tử.
- RIP (Routing Information Protocol): dùng để trao đổi thông tin chọn đường.
2. Một số các ứng dụng trên TCP/IP giúp cho việc kiểm tra, quản lý các dịch vụ trên Internet.
Để kiểm tra và quản lý các dịch vụ trên INTERNET, TCP/IP đã đưa ra một số các ứng dụng để trợ giúp cho các nhà quản trị hệ thống như:
- tcpd: tcpd là một chương trình ứng dụng củaTCP/IP giúp cho việc quản lý một số các dịch vụ trên INTERNET như : Telnet, FTP, Rlogin, Talk... Hoạt động củat tcpd là: khi có một yêu cầu đối với một dịch vụ INTERNET đến, tcpd trước tiên sẽ chạy thay thế cho các dịch vụ đó. tcpd tiếp nhận yêu cầu và thực hiện một số các công việc kiểm tra. Nếu tất cả là tốt thì khi đó tcpd sẽ gọi chạy chương trình dịch vụ tương ứng và rút lui khỏi dịch vụ này.
- ethernetfind: ethernetfind là trình ứng dụng cho phép người quản trị hệ thống nhận biết tất cả các gói dữ liệu ddang lưu truyền trên ethernet.
Ví dụ như để có thể biết tất cả các gói dữ liệu đang lưu truyền giữa hai trạm taydo và hanoi trên ethernet ta có dùng ethernètind với cấu trúc như sau:
ethernet between taydo hanoi
Lúc đó ta có thể kiểm tra các gói dữ liệu lưu truyền giữa hai trạm này với nhau.
- ping: gửi một thông điệp ICMP echo đến một hệ thống ở xa. Khi dùng lệnh này, một chuỗi các thông điệp sẽ được gửi đi và nhận về do đó lệnh ping rất hay dùng để kiểm tra liệu kênh truyền hoặc host đó có hoạt động hay không.
- rpcinfo: xem thông tin vào các chương trình đang hoạt động trên một trạm cục bộ hay một trạm ở xa.
- traceroute: gửi một chuỗi các gói dữ liệu (datagram) cùng với các trường Time-to-live khác nhau. các thông điệp ICMP sẽ được trả vào từ mỗi router trên đường truyền đến đích.
- finger: finger là một giao thức ứng dụng của TCP/IP. Nó được dùng để nhận các thông tin vào một người dùng độc lập hoặc một người dùng đang thâm nhập hệ thống của mình.
- w: w là một ứng dụng cho phép hiển thị thông tin vào các người dùng đang thâm nhập vào máy, cùng với các tiến trình của họ. Trình ứng dụng w được viết bởi Larry Greenfield và Michael K.Johnson.
- ps: ps là một chương trình ứng dụng quan trọng cho phép ta kiểm tra các tiến trình đang được thực hiện. Dựa vào ứng dụng này ta có thể quản lý được dễ dàng các tiến trình đang được tiến hành trên hệ thống của chúng ta.
Tóm lại TCP/IP là một bộ giao thức mở chuẩn có khả năng tương thích với nhiều mạng vật lý, các tính năng của TCP/IP đã được hoàn thiện dần và trở thành một bộ gia thức được dùng rộng rãi như một ngôn ngữ chung để kết nối các máy tính trên khắp thế giới với nhau.
Chương iii
Mạng trục internet
việt nam (VNN)
Tháng 9 năm 1997, Việt Nam tham gia kết nối vào mạng INTERNET toàn cầu như một thành viên chính thức. Có nghĩa là chúng ta có địa chỉ riêng cung cấp và truy nhập thông tin trên mạng. Cho đến nay việc cung cấp ứng dụng INTERNET đã được cơ quan chủ quản là: VNPT (Tổng công ty Bưu chính viễn thông Việt Nam) tổ chức quản lý đến từng thuê bao trên mạng. Cụ thể VNPT giao cho Công ty Điện toán và Truyền số liệu (VDC) trực tiếp quản lý cấp phát địa chỉ và các dịch vụ vho người sử dụng thông qua các ISP, các mạng dùng riêng và các thuê bao tại bưu điện tỉnh, thành phố trực thuộc trung ương. Cùng với VNPT còn có Bộ Nội vụ, Bộ Văn hoá - Thông tin tham gia lập thành Ban điều phối Quốc gia. Trước khi trình bày một cách đầy đủ về tổ chức quản lý, cấu hình mạng VNN, xin được nêu ra một vài tư liệu cơ bản về mạng INTERNET trên thế giới.
I. Mạng internet toàn cầu
1. Tổ chức của INTERNET.
Tổ chức mạng INTERNET bao gồm các Uỷ ban, các nhóm đặc trách quản lý thống nhất trong toàn hiệp hội và theo từng khu vực. Cụ thể như sau:
* Hiệp hội INTERNET (ISOC - Internet Society)
* Uỷ ban kiến trúc mạng (IAP - Internet Architecture Broad)
Nhóm nghiên cứu phát triển INTERNET (IRTF)
Nhóm đặc trách kỹ thuật cho mạng (IETF)
Trung tâm thông mạng (NIC - Net work information Center)
Tại Châu á, Thái Bình Dương là APNIC
NIC chịu trách nhiệm phân tên và địa chỉ cho các mạng máy tính.
Sơ đồ dưới đây sẽ cho thấy rõ hơn về tổ chức của INTERNET:
ISOC
IAB
NIC
IRTF
APNIC
...NIC
IETF
Sơ đồ 3.1 Tổ chức của INTERNET
2. Các đối tượng tham gia INTERNET.
Các đối tượng tham gia vào mạng INTERNET rất đa dạng nhưng có thể tập trung thành các lĩnh vực chính dựa vào mục đích tham gia như: quân sự, thương mại quản lý nhà nước, giáo dục, và các thành phần khác.
Tỉ lệ tham gia vào mạng INTERNET của các thành phần được biểu diễn trong hình dưới đây (Theo thống kê của viễn thông úc năm 1999).
3. Cấu trúc mạng INTERNET
Cấu trúc mạng INTERNET bao gồm các nhà cung cấp cửa truy nhập INTERNET (IAP), các nhà cung cấp dịch vụ INTERNET (ISP) và những người sử dụng thông qua mạng truyền thông. Có thể biểu diễn cấu trúc mạng như sau:
Nhà cung cấp dịch vụ INTERNET (ISP)
Nhà cung cấp dịch vụ INTERNET (ISP)
Mạng truyền số liệu công cộng
Mạng điện thoại công cộng
Modem
Nhà cung cấp cửa truy nhập INTERNET (IAP)
Người sử dụng
Mạng dùng riêng
Sơ đồ 3.2: Cấu trúc INTERNET
4. Các con số về mạng INTERNET trên thế giới.
Sau đây là những con số được thống kê đến hết năm 1999 của mạng INTERNET (theo thống kê của Viễn thông úc):
- Số máy chủ kết nối vào mạng : 8,9,triệu.
- Số nuoc sử dụng : 123 nuoc
- Số người sử dụng : hơn 130 triệu.
- Số mạng máy tính trên INTERNET: 200.000
*Trung bình cứ 20 phút có một mạng máy tính tham gia INTERNET.
* Mức tăng trưởng hàng năm : Hơn 120%.
II. Mạng internet việt nam (Vnn)
1. Tổ chức mạng INTERNET Việt Nam.
Như đã nói ở phần đầu, mạng INTERNET Việt Nam VNPT giao cho Công ty Điện toán và Truyền số liệu trực tiếp khai thác, quản lý và cung cấp cho khách hàng với sự tham gia của các bộ, ngành liên quan. Công ty Điện toán và Truyền số liệu là đầu nối chịu trách nhiệm trước khách hàng, có sự hỗ trợ của các Bưu điện địa phương.
Sơ đồ dưới đây khái quát cách tổ chức của mạng INTERNET Việt Nam:
Sơ đồ 3.3 – Tổ chức Intrnet Việt Nam
Người
sử dụng
đơn vị có IAP
mạng dùng
riêng WWW
đơn vị kinh IAP
doanh cung ISP
cấp dịch vụ ICP
UBND
Tỉnh, TP trực
thuộc TƯ
Bộ
nội vụ
Bộ văn hóa
Thông tin
Tổng cục
Bưu điện
Ban điều phối quốc gia
2. Cấu hình mạng INTERNET Việt Nam.
Cấu hình mạng INTERNET Việt Nam (Backbone Network Configuration) được trình bày trong hình 3.2. Qua đó ta thấy mạng trục bao gồm:
Hai cổng nối kết vào mạng INTERNET toàn cầu đặt tại Hà Nội và TP.Hồ Chí Minh cửa nối với quốc tế thông qua vệ tinh. Tốc độ đường truyền:
- Tại Hà Nội : 256 Kbps
- Tại TP. Hồ Chí Minh : 64Kbps
Hai bộ định tuyến (Gateway) tại hai cửa ngõ này dùng loại gateway - CISCO 4700M.
Ngoài ra còn một đường cáp tốc độ 2Mbps tại mỗi cửa.
Trước khi thông tin vào bộ tập trung (HUB) chúng được kiểm tra bằng một bức tường lửa (Firewall).
Bộ tập trung (HUB).
- Tại Hà Nội: CISCO CATALYST 5.000 bao gồm:
* Máy chủ quản lý tên (miền) địa chỉ: (DNS) SUN SPARC 4.
* Máy chủ quản lý truy nhập : (TACAS SERVER) SUN SPARC 4.
* Hệ thống quản lý mạng: (NMS) SUN ULTRA.
* Hệ thống tính cước và quản lý ứng dụng (BILLING AND APPLICATION SERVER) SUN ULTRA.
- Tại TP. Hồ Chí Minh: CISCO CATALYST 1900 gồm:
* Máy chủ quản lý tên (miền) địa chỉ: SUN SPARC 20.
* Hệ thống quản lý ứng dụng (WEB - MAIL TACAS SERVER) SUNSPARC 20.
bộ tập trung có hai đường truyền.
- Một vào bộ quan lý truy nhập gián tiếp (ACCESS SERVSER) AS 5100
- Một tới bộ định tuyến (Router).
Tại Hà Nội : Router CISCO 7513.
Tại TP. HCM : Router CISCO 4700M
Hai Router này nối với nhau bằng trung kế (TRUNK) 2Mbps đồng thời cùng nối với mạng chuyển mạch goí (PSDN) bằng đường dự phòng 128Kbps.
Hai ACCESS SERVER được nối vào mạng điện thoại công cộng qua trung kế thoại và nối vào mạng chuyển mạch gói bằng đường truyền 128Kbps.
Người sử dụng kết nối vào mạng thông qua mạng điện thoại công cộng và mạng chuyền mạch gói.
Khi người sử dụng đầu cuối muốn tham gia kết nối vào mạng điện thoại công cộng họ cần phải sử dụng một Modem tốc độ tối thiểu 9600Kbps.
3. Các thiết bị phụ trợ kết nối:
NTU (Network Transfer Unit):
NTU (Network Transfer Unit) là thiết bị đảm bảo sự nối kết trong suốt giữa thiết bị đầu cuối (DTE - Data Terminal Equipment) của người dùng và mạng dữ liệu số (DDN - Digital Data Network) thông qua đường thuê bao chuyên dụng số (Leased Line). Các kỹ thuật phân thời gian, phân tần số cho phép một đường cáp đơn cung cấp một số lượng kênh cho người sử dụng. Loại DS-0 (fractional T1) có tốc dộ 64 Mb/sec bằng một kênh điện thoại. DS - 1 (T1) có tốc độ 1.544 Mb/sec bao gồm 24 kênh DS-0 v.v...
NTU có thể được kết nối với nhau qua đường Leased Line theo các mô hình:
Modem vô tuyến:
Modem vô tuyến AirLink S-Band cung cấp một kết nối không dây để truyền dữ liệu, sử dụng kỹ thuật dải rộng trong băng sóng 2400 - 2483.5.
MHz. Modemm hỗ trợ đường truyền song công đồng bộ ở tốc độ từ 1.2 - 64 Kbps và từ 1.2 - 19.2 Kbps không đồng bộ.
Các tính năng của thiết bị:
- Khoảng cách giữa 2 đầu liên kết đạt được từ 35 - 50 km.
- Tần số làm việc từ 2.4 - 2483.5 GHz.
- Có thể hoạt động theo cá mô hình kết nối điểm tới điểm (point to point) hoặc điểm tới nhiều điểm (point to multipoint).
- Các giao thức là trong suốt đối với trạm làm việc.
- Sửa lỗi.
- Nhiều kênh chuyển đổi được.
- Nguồn nuôi thay đổi được.
- Chức năng lặp lại tín hiệu phục vụ cho viẹc mở rộng hệ thống mạng.
- Anten vô hướng hoặc có hướng.
- Các đèn LED chỉ thị nguồn nuôi, đồng bộ và chất lượng tín hiệu.
- Các cổng giao tiếp DTE loại RS-232, V.11/V.35 và EIA-530.
- Tín hiệu đồng hồ nội bộ hoặc lấy từ mạng về.
- Điều chỉnh được khoảng thời gian trễ RTS - CTS.
Modem vô tuyến AirLink được chế tạo để hoạt động như một modem hữu tuyến đa điểm thông thường và có thể thay thế modem thường mà không hề ảnh hưởng gì đến các chương trình ứng dụng của người dùng. Modem song công có thể hoạt động trong cả môi trường điểm-tới-điểm (point to point) và điểm-tới -nhiều điểm (point to multipoint).
Modem có thể được cấu hình thành máy chủ (master) hoặc máy tớ (slave). Trong cấu hình điểm-tới-nhiều điểm điển hình thì có một máy chủ và nhiều máy tớ dùng chung một kênh RF. Nếu chỉ có một máy tớ thì hệ thống trở thành điểm-tới-điểm.
Khoảng cách giữa 2 modem vô tuyến phổ biến là dưới 15km. Khoảng cách xa nhất có thể đạt được là 50km với anten định hướng tầm xa (high-gain) đặt ở trên cao tại cả 2 phía thu và phát. Với cự ly trên dưới 15km có thể sử dụng anten vô hướng tầm xa tại trạm chủ và anten định hướng tại các trạm tớ.
- Kết nối điểm-tới-điểm:
Trong kết nối điểm-tới-điểm chỉ có một máy chủ nối với một máy tớ bằng sóng điện từ (hình 4.4) Máy chủ phát tín hiệu đồng bộ đồng hồ burst, máy tớ thu nhận, đồng bộ hoá theo xung nhịp này và phát tín hiệu xung đáp lại. Cơ cấu này tạo ra đường truyền song công đồng bộ. Các modem AirLink có thể được dùng để nối rất nhiều thiết bị với nhau bằng sóng điện từ (ví dụ: nối máy tính với máy in...) hoặc làm cầu nối giữa các mạng cục bộ (trong một toà nhà hoặc giữa các toà nhà với nhau...)
- Kết nối điểm-tới-nhiều điểm:
Với mô hình liên kết này, một trạm chủ có thể được nối với 2 hoặc nhiều thiết bị đầu cuối (terminal) khác nhau. Các đầu cuối này được điều khiển bởi trạm chủ bằng thủ tục hỏi vòng (polling) mà trong trường hơpj này là tiến trình đánh địa chỉ các đầu cuối bởi một phần mềm chạy trên trạm chủ. Thực chất đây là tập hợp của nhiều liên kết điểm-tới-điểm giữa trạm chủ và từng đầu cuối với đường truyền song công đồng bộ. Xung đồng bộ được máy chủ phát đi và tất cả các máy tớ đều điều chỉnh nhịp đồng bộ theo xung này.
Slave
Terminal
Host
Master
Slave
Slave
Terminal
Terminal
Hình 3.6 - Kết nối điểm – tới – nhiều điểm.
- Chế độ lặp lại tín hiệu (repeater)
Khi khoảng cách yêu cầu kết nối trở nên quá lớn hoặc trên đường truyền có các chướng ngại vật lớn, thì có một giải pháp là cấu hình cho modem chạy ở chế độ lặp lại tín hiệu. Ví dụ, một liên kết điểm-tới-điểm có thể được tiếp sức ở giữa quãng đường bằng cách nối máy tớ với một máy chủ chạy ở chế độ lặp lại tín hiệu và sử dụng kênh RF khác (hình 4.6). Số lượng các trạm lặp phụ thuộc vào số lượng kênh sóng cho phép, các anten và địa hình.
Để thực hiện kết nối này ta phải thiết lập một vùng lặp (repeater site). Trong vùng lặp có 2 modem, 1 chủ và 1 tớ hoạt động ở 2 kênh sóng RF khác nhau. Dữ liệu được truyền giữa 2 modem này qua một sợi cáp xoắn. Mặc dù modem có thể hoạt động được cả ở 2 chế độ đồng bộ và không đồng bộ nhưng trong vùng lặp thì tín hiệu bắt buộc phải là đồng bộ.
Thiết bị định tuyến (router):
Trong hệ thống chuyển mạch gói routing là cụm từ chỉ việc chọn đường gửi các gói dữ liệu qua mạng, trạm định tuyến (router) - hay thiết bị định tuyến - là các trạm đặc biệt thực hiện chức năng này.
Một Router có thể là một thiết bị cứng chuyên dụng hoặc có thể là một phần mềm chạy trên một máy PC (chạy hệ điều hành UNIX, MS-DOS, WINDOWS, MACINTOS...). Các gói dữ liệu lưu chuyển trong một liên mạng (INTERNET - mạng của các mạng), đi từ Router này đến Router khác cho tới khi chúng đến được đích.
Router phải tiến hành tác vụ định tuyến cho mỗi gói nó nhận được, nó phải quyết định xem bằng cách nào có thể đưa gói đến đích. Thông thường các gói không hề chứa đựng bất kỳ một thông tin nào giúp cho Router ngoại trừ địa chỉ IP của đích, nó chỉ cho biết nơi nó muốn đến chứ không phải bằng cách nào. Router thông tin với nhau bằng cách sử dụng các “giao thức định tuyến” như RIP và OSPF để xây dựng các bảng định tuyến trong bộ nhớ và tìm đường để đưa gói đến đích. Trong một mạng lớn có rất nhiều các kết nối vật lý giữa các chuyển mạch gói, một mạng có thể tự nó có khả năng điều khiển một gói dữ liệu từ lúc nó được gửi đi cho đến khi nó được nhận. Những thuật toán chọn đường ở trong một mạng thì chỉ có tác dụng ở chính bên trong mạng, các máy ở ngoài không thể can thiệp vào các quyết định này. Các mạng ở ngoài chỉ có thể coi mạng này như một thực thể phân phát gói dữ liệu. Bộ giao thức TCP/IP cung cấp cho ta một mạng ảo cùng với dịch vụ cung cấp gói phân phát gói dữ liệu IP truyền qua mạng. Chọn đường cho các gói dữ liệu trong mạng INTERNET là một công việc khó khăn, đặc biệt là giữa các máy tính có nhiều mối liên kết ra ngoài. Mỗi khi gói dữ liệu được truyền đến, router xác định các thông tin về tình trạng của các kết nối với bên ngoài, cập nhập lại bảng chọn đường, đồng thời cũng xác định chiều dài các gói dữ liệu (datagram length), loại dịch vụ (type of service)... được xác định ở trong header của gói dữ liệu trước khi lựa chọn con đường tốt nhất.
Khi định tuyến cho một gói, Router so sánh địa chỉ của gói với các chỉ mục (entry) trong bảng định tuyến và gửi gói dữ liệu đi theo hướng được chỉ ra bởi bảng định tuyến. Trên thực tế thường không có một tuyến xác định cho từng đích cụ thể và Router sẽ sử dụng tuyến mặc định, nói chung là các tuyến này thường chỉ đến một Router khác có kết nối mạng rộng rãi hơn (đa số các mạng cục bộ có tuyến mặc định chỉ ra INTERNET)
Là một thiết bị không thể thiếu được trong kỹ thuật kết nối hệ thống Intranet/Internet và với mức độ phức tạp trong hoạt động nhằm đảm bảo cho quá trình truyền dữ liệu được an toàn thông suốt nên việc cài đặt và xây dựng cấu hình cho thiết bị định tuyến trở thành hết sức quan trọng. Công việc này đòi hỏi một quá trình nghiên cứu, thử nghiệm kỹ lưỡng để đạt được hiệu quả tối đa.
Chương iv
Xây dựng internet firewall
Khái niệm về hệ thống mạng INTERNET ngày nay đã trở nên quá quen thuộc đối với mọi người đến mức các sách báo thông thường (không phải chuyên môn, kỹ thuật) khi đề cập đến INTERNET không còn cần phải đưa thêm các lời chú giả kèm theo. Trong khi các ấn bản phổ thông thường xuyên đưa tin xoay quanh chủ đề INTERNET thì các ấn bản kỹ thuật lại chuyển sang một đề tài mời, đó là vấn đề an ninh trên mạng.
Xa lộ thông tin INTERNET là một tiến bộ phi thường của kỹ thuật hiện đại, nó cung cấp cho con người khả năng truy nhập thông tin một cách nhanh chóng, tiện lợi và khả năng quảng bá thông tin đến mọi nơi trên tế giới trong khoảng thời gian ngắn nhất. Tuy nhiên như người ta thường nói INTERNET giống như một xã hội thu nhỏ có đủ mặt tốt và những mặt xấu. Chúng ta không thể không đề cập đến mặt trái của INTERNET, đó là hiểm hoạ đáng sợ của việc đánh cắp và phá huỷ thông tin cũng như việc tuyên truyền, phổ biến những tin tức độc hại, sai lệch. Do đó, việc bảo vệ các thông tin mật trên mạng, cũng như chống người lạ thâm nhập vào trong hệ thống để lấy cắp thông tin trở thành một vấn đề cấp thiết thúc đẩy các nhà khoa học thiết kế các hệ thống an ninh cho mạng máy tính.
Để thực hiện việc đảm bảo vấn đề an ninh trên mạng, từ trước đến nay đã có nhiều phương pháp khác nhau, chẳng hạn như việc sử dụng mật khẩu (password), phân quyền người dùng, cấm sửa đổi các file hệ thống... Trong đó hiện nay phương pháp phân quyền và điều khiển thâm nhập được dùng làm giải pháp chủ yếu. Để tăng cường an ninh trên mạng, nhất là khi phát triển các mô hình mạng Intranet với đầy đủ các dịch vụ như WWW (World Wide Web), tra cứu cơ sở dữ liệu, truy cập từ xa và khi nối vào INTERNET thì những biện pháp nêu trên là chưa đủ mà chúng ta còn cần đến các công nghệ mới như là cổng kiểm soát (guarded gate), hay còn được gọi là Firewall. Cổng chắn này thường được đặt giữa mạng cục bộ Intranet với thế giới INTERNET rộng lớn bên ngoài. Tất cả các biện pháp trên thuộc lĩnh vực quản trị mạng, một lĩnh vực khá mới mẻ đối với Việt Nam.
i. khái niệm về internet firewall.
Firewall theo ý nghĩa thông thường thì nó là một bức tường chống không cho lửa đi qua để bảo vệ không cho lửa lan tràn từ phần này sang phần khác. Các nhà quản lý hệ thống máy tính đã áp dụng cách thức này để bảo vệ hệ thống máy tính của họ.
Mục đích của Firewall là tạo nên một lớp vỏ bọc bao quanh một mạng để bảo vệ các máy ở bên trong mạng tránh các mối đe dọa khác nhau ở bên ngoài. Cơ chế làm việc của Firewall là dựa trên việc kiểm tra các gói dữ liệu của IP lưu chuyển giữa Server và Client. Các mối đe doạ mà Firewall có thể chống lại bao gồm:
- Chống lại các cuộc thâm nhập từ xa đến các Server nguồn khi không được cho phép.
- Từ chối các dịch vụ bỏ bom logic vào một mạng (chẳng hạn như khi có một trạm ở bên ngoài mạng gởi hàng ngàn bức thư vào trong một mail server ở trong một mạng với âm mưu làm rối loạn hệ thống).
- Không cho phép thâm nhập ra ngoài khi cần thiết.
- Chống lại sự giả danh (các thư điện tử bắt nguồn từ một trạm bên ngoài có thể gây nên sự lúng túng cho người khác).
Một phương án đơn giản nhất để chống lại các vấn đề này là không nối mạng của mình với bất kỳ một mạng nào khác. Tuy nhiên đây hoàn toàn không phải là một phương pháp hay bởi mục đích chính của chúng ta hiện nay là hoà mạng toàn cầu. Thay vào đó, hiện nay người ta thường dùng một kiểu Firewall điển hình như hình vẽ sau:
Trong cấu hình này, mạng được bảo vệ được phân cách với bên ngoài bởi một Firewall Gateway. Một Gateway thường được dùng để thực hiện việc duy trì các dịch vụ giữa hai mạng với nhau. Trong trường hợp là một Fireway Gateway thì nó còn cung cấp 1 dịch vụ lọc cho phép giới hạn các thể thức thông tin được cho qua để vào hay ra từ các trạm trong mạng.
II. một số kiểu firewall thông dụng
Hiện nay ta có thể thực hiện việc đảm vảo an ninh trên mạng ngay bên trong mạng bằng cách xây dựng các công cụ dựa trên một số dịch vụ hiện có trên mạng, tuy nhiên phương pháp này không hiệu quả, nhất là đối với các hệ thống lớn. Để đảm bảo an ninh cho một hệ thống lớn, thông thường ta phải cấu tạo nên hệ thống Firewall để kiểm tra tất cả các dịch vụ có liên quan đến mạng của mình.
ở đây em xin trình bày ba kiểu cấu hình thông dụng của Firewall như sau:
1. Packet Filtering Gateway (Cổng lọc gói):
Phương pháp cổng lọc gói là một phương pháp đơn giản và rẻ nhất để trang bị một mức độ lọc cơ bản cho một mạng. Các thiết bị bao gồm một Router (thiết bị định tuyến) dùng để nối hai mạng lại với nhau. Thiết bị chọn đường này được dùng cùng với một phần mềm cho qua hay loại bỏ các gói (packet) dựa trên địa chỉ nguồn hay đích của cổng. Hoạt động lọc có thể áp dụng cho các gói vào, các gói ra, hoặc cả hai. Để thực hiện việc lọc các gói thì router cần phải biết rằng các gói nào được chấp nhận và các gói nào bị loại bỏ. Phần thông tin này được lưu giữ trong một file định nghĩa bộ các luật lọc của router. Hệ thống các luật lọc này thường bao gồm các thông tin về nguồn và đích để cho phép lọc các gói gửi đến hay gửi đi.
Đôi khi để giải quyết vấn đề tốc độ, việc lọc chỉ xảy ra đối với các gói vào hay các gói ra chứ không cả hai. Điều này liên quan mật thiết đến tốc độ của bản thân Router và phải được tính toán kỹ lưỡng, làm sao cho cổng lọc gói này không trở thành cái nút cổ chai cho toàn bộ hệ thống mạng. Kết nối INTERNET trên thực tế thường có tốc độ trung bình cỡ 56 - Kb/s hoặc 1.544 - Mb/s (đường T1). Lọc gói là một tác vụ liên quan đến các gói, do đó các gói càng nhỏ thì càng có nhiều gói đi qua trong 1 giây và do đó hệ thống lọc càng phải tính toán, xử lý nhiều hơn. Một gói dữ liệu IP nhỏ nhất - chỉ chứa các header IP và không có dữ liệu khác đi kèm - dài 20 byte (160 bit). Vì vậy, một liên kết ở tốc độ 56 Kb/s có thể truyền được 350 gói một giây và ở tốc độ 1.544 Kb/s là 9650 gói một giây. Bảng tham số dưới đây cho thấy quan hệ giữa tốc độ và số lượng gói truyền trong một giây:
Loại kết nối
Tốc độ trung bình
(bit/s)
Số gói/giây
(gói 40byte)
Số gói/giây
(gói 40byte)
Modem V.32 bis
14.400
90
45
Đường 56 Kb/s
56.000
350
175
Đường T1
1.544.000
9.650
4.825
Mạng Ethernet
(thực tế)
3.000.000
18.750
9.375
Mạng Ethernet
(lý thuyết)
10.000.000
62.500
31.250
Đường T3
45.000.000
281.250
140.620
FDDI
100.000.000
625.000
312.500
Trên thực tế, các dịch vụ trên INTERNET thường dựa trên giao thức TCP/IP nên các gói dữ liệu lưu chuyển trong mạng sẽ là loại TCP/IP. Chiều dài tối thiểu của một gói TCP/IP (chỉ chứa phần header IP và header TCP, không có dữ liệu) là 40 byte, và do đó số lượng các gói trong 1 giây sẽ giảm xuống một nửa như trong bảng. Các gói có thêm dư liệu đi kèm sẽ còn dài hơn nữa nên số lượng gói mà bộ lọc phải xử lý sẽ thấp hơn trong bảng.
Hiện nay việc thiết kế các Gateway mức cao đều dựa vào việc lọc các gói dữ liệu, và chúng hoạt động khá tốt. Tuy nhiên nó cũng có một số điểm bất tiện như: việc bảo trì cũng như thiết kế một cổng lọc gói đòi hỏi người thiết kết phải hiểu rất rõ về INTERNET, các bộ lọc gói là công cụ rất tiện lợi nhưng chúng không cho phép chúng ta hoàn toàn tuyệt đối tin tưởng vào sự đảm bảo an toàn của chúng.
Mặt khác, việc phân mảnh các gói dữ liệu đã gây khó khăn rất nhiều cho việc thiết kế các bộ lọc gói. Ngoại trừ mảnh đầu tiên, các mảnh khác của gói là không chứa số hiệu của cổng đích, do đó phần thông tin dùng để trợ giúp cho việc lọc gói bị hạn chế. Nếu ta chỉ quan tâm đến các mối đe doạ từ bên ._.
Các file đính kèm theo tài liệu này:
- P0104.doc