Ôn tập Mạng máy tính nâng cao 3

Message và Control Message). Bên dưới đây là 1 số loại ICMP thông dụng. Nhóm Error Message: Destination unreachable: Khi một thiết bị nhận ra rằng một gói tin  không thể được đưa đến địa chỉ đích ghi trong gói tin, thiết bị sẽ gửi ngược về một thông điệp ICMP Unreachable. Để giúp xác định nguyên nhân sâu xa tại sao gói tin không thể được phân phối, thông điệp ICMP bao gồm một trong năm giá trị sau để chỉ ra nguyên nhân của vấn đề. Format: 0 8 16 31 Type(3) Code(0-12) Checksum Unused (must be zero) Internet Header + First 64 bits of datagram Type: 3 Code: Code Description 0 Net unreachable. 1 Host unreachable. 2 Protocol unreachable. 3 Port unreachable. 4 Fragmentation needed and DF set. 5 Source route failed. 6 Destination network unknown 7 Destination host unknown 8 Source Host Isolated 9 Communication with destination network administratively prohibited 10 Communication with destination network administratively prohibited 11 Network unreachable for type of device 12 Host unreachable for type of device Unreachable code Ý nghĩa Ví dụ Network Unreachable Router không có đường đi trong trong bảng định tuyến trùng với địa chỉ đích của gói tin Router A không có tuyến đi về 10.1.2.0. Router A gửi Unreachable về Fred Host Unreachable Gói tin đã đến được router cuối cùng, nhưng host không trả lời ARP request Máy web bị tắt. Router B gửi cho Fred một thông điệp host unreachable Can’t fragment Một gói tin có kích thước lớn hơn MTU nhưng gói tin có bit DF (Don’t fragment) được thiếp lập. Router A có MTU là 1500 bytes. Gói tin có kích thước 1600 bytes và có DF=1. Protocol Unreachable Gói tin đã đến được host đích nhưng trên host đích không có cài giao thức đó Host Web không có cài giao thức TCP. Host web trả lời Unreachable cho Fred. Port Unreachable Gói tin được gửi đến host đích. Không có tiến trình nào lắng nghe trên port đích Máy web đang làm việc nhưng web server không hoạt động. Máy web gửi port unreachable về cho Fred. Test destination reachability (Ping) Dùng để kiểm tra xem có thể đi đến destination hay không. Khi muốn kiểm tra 1 destination nào đó có thể đến được hay không, ta gởi đi gói tin “echo request” đến destination. Destination nhân được gói tin “echo request” sẽ trả lời lại bằng gói tin “echo reply”. Format: 0 8 16 31 Type (0 or 8) Code (0) Checksum Identifier Sequence number Option Data … Type: 0: gói tin “echo request”. 8: gói tin “echo reply”. Code: 0 Idnetifier và Sequence number: Là duy nhất đối với các thông điệp request và thông điệp reply. Được dùng để đối chiếu các gói reply có tương ứng với các gói request hay không. Option data: chưa các thông tin phu (nếu có). Nhóm Control Message: Không giống như các Error Message, các Control Message được dùng để thông báo về tình trạng tắc nghẽn mạng, hay tìm thấy 1 gateway mới tốt hơn để đi. ICMP redirect/change requests: Loại thông điệp này chị được phát sinh ra do các gateway (thường là các router) để cập nhật lại đường đi (route) của gói tin đên đich, đường đi mới này sẽ “ngắn” hơn đườn đi cũ. Loại thông điệp này được phát khi: Interface mà gói tin được gởi tới và bị gởi ra giống nhau. Subnet/network của địa chỉ IP source và địa chỉ next-hop IP giống với nhau. Datagram không được source-routed. Đường mới không phải là đường của một ICMP redirect khác và cũng không phải là đường mặc đinh (default route). The route for the redirect is not another ICMP redirect or a default route. Router được configured để gởi các redirects. Format: 0 8 16 31 Type (5) Code (0-3) Checksum Router Internet address Internet Header + First 64 bits of datagram … Type: 5 Code: 0 --Redirect datagrams for the network. 1 --Redirect datagrams for the host. 2 --Redirect datagrams for the type of service and network. 3 --Redirect datagrams for the type of service and host. Router Ineternet Address: default gateway mới (đường mới). Clock synchronization and transit time estimation: Thông điệp này giúp giảm được các vấn đề về đụng độ thời gian trong multiple network. Format: 0 8 16 31 Type (13 or 14) Code (0) Checksum Identifier Sequence number Originate Timestamp Receive Timestamp Transit Timestamp Type: 13: timestamp request. 14: Timestamp reply Code: 0 Originate timestamp: nhãn thời gian mà thông điệp ICMP được gởi từ requesting host. Receive timestamp: nhãn thời gian mà nơi đến nhận được thông điệp ICMP. Transit timestamp: nhãn thời gian mà nơi đến gởi gói tin reply. Information requests and reply message formats: Host sử dụng thông điệp ICMP này để xác định network number của host đó. Format: 0 8 16 31 Type (15 or 16) Code (0) Checksum Identifier Sequence number Type: 15: Imformation request 16: Imformation reply. Address mask requirements: Các host dùng thông điệp này để lấy address mark. Format: 0 8 16 31 Type (17 or 18) Code (0) Checksum Identifier Sequence number Address Mask … Type: 17: Address mask request 18: Address mask reply. Router discovery message: Host dùng thông điệp này để tìm kiếm các router khi boot. Các router sau khi nhận được thông điệp náy sẽ trả lới lại cho host biết địa chỉ của nó (Nếu router có hỗ trợ trả lời gói tin này). Format: 0 8 16 31 Type (9) Code (0) Checksum Number of addresses Address entry size Lifetime Router address 1 Preferences Level 1 Router address 2 Preferences Level 2 Các trường của IP diagram Các thuật ngữ : IP Diagram = header + data . Data ở đây chính là UDP segment hoặc TCP segment . Ở bên gửi , tầng trên là tầng Transport sẽ gửi UDP segment hoặc TCP segment xuống tầng Network . Nhiệm vụ tầng Network là sẽ đóng thêm header vào (TCP segment hoặc UDP segment ở tầng Transport đưa xuống ) để tạo thành gói gọi là IP diagram UDP segment : là dạng dữ liệu do giao thức UDP ở tầng Transport đưa xuống tầng Network , TCP segment : là dạng dữ liệu do giao thức TCP ở tầng Transport đưa xuống tầng Network . Fragment : là các mảnh của IP Diagram bị phân chia nhỏ ra để truyền trên kênh truyền . Fragment cũng có bao gồm phần Header + data (data chỉ là 1 phần của data ở IP Diagram) Gói : ở đây mình dùng từ “gói” để chỉ IP Diagram. Sau đây là miêu tả cấu trúc của Header ở mỗi IP Diagram (Lưu ý theo hình vẽ thì header chỉ từ phần VERS à Padding thôi) VERS (4 bit): Version: chỉ ra phiên bản của trình nghi thức IP đang được dùng là Ipv4 (0100) hoặc Ipv6 (0110) . Nếu trường này khác với phiên bản IP của thiết bị nhận, thiết bị nhận sẽ từ chối và loại bỏ các gói tin này. IP Header Length (HLEN) (4 bit): – Chỉ ra chiều dài của header , mỗi đơn vị là 1 word , mỗi word = 32 bit = 4 byte . Ở đây trường Header Length có 4 bit => 2^4 = 16 word = 16 x 4byte = 64 byte è chiều dài header tối đa là 64 byte . Bình thường Hearder dài 20 byte . Đây là chiều dài của tất cảc các thông tin Header. Trường này cũng giúp ta xác định byte đầu tiên của Data nằm ở đâu trong gói tin IP datagram Type Of Services (TOS)(8 bit) : Chỉ ra cách thức xử lý data như thế nào, có độ ưu tiên hay không, độ trễ cho phép xử lý gói dữ liệu . Trường này thường được dùng cho QoS là 1 chức năng dành 1 lượng băng thông để cho để cho 1 dịch vụ nào đó hoạt động ví dụ như dịch vụ truyền thoại , video … Total Length : - Chỉ ra chiều dài của toàn bộ gói tính theo byte, bao gồm dữ liệu và header,có 16 bit. 16 bit à tối đa là 2^16 = 65536 bye = 64 Kb è chiều dài tối đa của 1 IP datagram là 64 Kb. Identification – có 16 bit . Chỉ mã số của 1 IP datagram , giúp bên nhận có thể ghép các mảnh của 1IP datagram lại với nhau vì IP datagram phân thành các mảnh và các mảnh thuộc cùng 1 IP datagram sẽ có cùng Identification Flag – Một field có 3 bit, Bit 0 : không dùng Bit 1 : cho biết gói có phân mảnh hay không . Bit 2 : Nếu gói IP datagram bị phân mảnh thì mảnh này cho biết mảnh này có phải là mảnh cuối không . Fragment Offset – có 13 bit. Báo bên nhận vị trí offset của các mảnh so với gói IP datagram gốc để có thể ghép lại thành IP datagram gốc. VD : theo hình minh họa 1 gói tin IP datagram chiều dài là 4000 byte , có 20 byte header + 3980 byte dữ liệu. Mà trên đường truyền chỉ cho phép truyền tối đa là 1500 byte => cho nên gói tin sẽ phần thành 3 mảnh nhỏ . Mỗi mảnh đều có header là 20 byte , còn phần dữ liệu lần lượng của 3 mảnh là 1480 byte , 1480 byte , 1020 byte . Nên offset của 3 mảnh lần lượt là 0 , 1480 , 2960 . Dựa vào offset để ráp lại thành mảnh lớn ở bên nhận . Cuối cùng là trường Flag bên nhận xác định được mảnh cuối cùng ID ở mỗi mảnh nhỏ = x , nghĩa là cùng thuộc 1 mảnh lớn Time To Live (TTL) – Chỉ ra số bước nhảy (hop) mà một gói có thể đi qua.Con số này sẽ giảm đi 1 , khi gói tin đi qua 1 router. Khi router nào nhận gói tin thấy TTL đạt tới 0 gói này sẽ bị loại. Đây là giải pháp nhằm ngăn chặn tình trạng lặp vòng vô hạn của gói tin trên mạng. Protocol( 8 bit) : Chỉ ra giao thức nào của tầng trên (tầng Transport) sẽ nhận phần data sau khi công đoạn xử lí IP diagram ở tầng Network hoàn tất hoặc chỉ ra giao thức nào của tầng trên gởi segment xuống cho tầng Network đóng gói thành IP Diagram , mỗi giao thức có 1 mã. 06 : TCP : 17 : UDP 01 : ICMP 08 : EGP Header CheckSum – có 16 bit . Giúp bảo đảm sự toàn vẹn của IP Header, . Source Address (32 bit) : Chỉ ra địa chỉ của thiết bị truyền IP diagram . Destination Address(32 bit ) : Chỉ ra địa chỉ IP của thiệt bị sẽ nhận IP diagram . IP Option : kích thước không cố định , chứa các thông tin tùy chọn như : Time stamp : thời điểm đã đi qua router. Security : cho phép router nhận gói dữ liệu không , nếu không thì gói sẽ bị hủy Record router : lưu danh sách địa chỉ IP của router mà gói phải đi qua, Source route : bắt buộc đi qua router nào đó. Lúc này sẽ không cần dùng bảng định tuyến ở mỗi Router nữa. Padding – Các số 0 được bổ sung vào field này để đảm bảo IP Header luôn là bội số của 32 bit. Data – Chứa thông tin lớp trên, chiều dài thay đổi đến 64Kb . Là TCP hay UDP Segment của tầng Transport gửi xuống cho tần Network , tầng Network sẽ thêm header vào à Gói tin IP datagram . Cuối cùng muốn được hiểu rõ hơn về các trường một cách trực quan bạn có thể dùng phần mềm bắt gói dữ liệu để xem thông tin chi tiết trong đó : ethereal, wireshark , … Định dạng của TCP header Định dạng TCP Header: Source Port 16 bits : số cổng gởi Destination Port 16 bits. : số cổng nhận Sequence Number: 32 bits Số thứ tự của octet dữ liệu đầu tiên trong segment(Ngoại trừ khi bit SYN được bật). Số Acknowledgment : 32 bits Trường này chứa đựng giá trị của số thứ tự tiếp theo của segment mà bên nhận mong muốn bên gửi gửi đến. HLEN : 4 bit , chỉ chiều dài header , là con số của các 32 word Reserved : 4 bit , trường để dành để dùng sau này khi cần thiết Control Bits (8 bits): Các bit cờ điều khiển ACK: số để xác thực kết nối Acknowledgment RST: Reset lại kết nối. SYN: Synchronize sequence numbers FIN: báo cho biết bên gởi đã gởi hết dữ liệu Window: 16 bits Checksum : 16 bit , kiểm tra lỗi TCP header Urgent pointer : 16 bit , Options : vùng tùy chọn , có kích thước thay đổi Padding : thêm các con số 0 sao cho kích thước gói TCP luôn là bội số của 32 bit Data : Xác định đường đi cho gói IP (lưu ý câu này nên học hình là chủ yếu , rồi tự động mô tả bằng tiếng việt) Việc xác định con đường đi xảy ra ở tầng network. Xác định con đường đi cho phép router so sánh địa chỉ đích với các giá trị định tuyết có trong bảng định tuyến, và chọn con đường đinh tốt nhất. Router sẽ học các giá trị định tuyến thông qua định truyến tĩnh hoặc động. Định tuyến được cấu hình bằng tay bởi quản trị mạng được gọi là định tuyến tĩnh. Định tuyến được học bởi một router khác sử dụng nghi thức định tuyến được gọi là định truyến động. Router dùng việc xác định con đường đi để quyết định là port nào sẽ được sử dụng để gởi dữ liệu đến đích. Tiến trình sau sẽ được sử dụng trong suốt quá trình xác định con đường đi khi một packet được định tuyến: Xác định địa chỉ đích của packet. Mặt nạ của mục đầu tiên trong bảng định tuyến sẽ được áp dụng cho địa chỉ đích. So sánh mặt nạ của địa chỉ đích với mục đâu tiên đó Nếu khớp thì packet sẽ được chuyển qua port được kết hợp trong mục đó Nếu không khớp thì sẽ kiểm tra với mục tiếp theo trong bảng định tuyến. Nếu không khớp với bất kỳ mục nào trong bảng định tuyến thì router sẽ kiểm tra xem định tuyến mặc định có được thiết lập không Nếu định tuyến mặc định có được thiết lập thì packet sẽ được gởi đi. Một định tuyến mặc định là định tuyến do người quản trị mạng cấu hình để định tuyến nếu như khi so sánh không có giá trị nào khớp với bản định tuyến. Nếu định tuyến mặc định không được thiết lập thì packet sẽ bị từ chối. Thông thường thì sẽ gới thông điệp đến cho tiết bị gởi để báo là địa chỉ đích không tìm thấy Xử lý packet trong router hoặc tripping Khi một gói IP đến router thì địa chỉ sẽ được kiểm tra xem có phải là một địa chỉ trực tiếp đến một cổng router nào hay không, hoặc nó có phải là địa chỉ broadcast hay không. Nếu là một trong 2 trường hợp đó thì frame dữ liệu sẽ được chấp nhận. Tuy nhiên frame dữ liệu sẽ bị vứt bỏ nếu nó bị đụng độ (collison domain). Frame dữ liệu được chấp nhận sẽ có thông tin Cyclic Redundancy Check (CRC) được rút trích từ frame trailer dùng để tính toán và kiểm tra lại xem frame dữ liệu đó có lỗi không. Nếu quá trình kiểm tra là fail thì frame dữ liệu đó cũng bị bỏ. Nếu hợp lệ thì header và trailer của frame sẽ được rở bỏ và packet sẽ được đưa lên tầng 3. Packet sau đó được kiểm tra coi có phải là gởi cho router này hay là cho một thiết bị khác trên mạng. Nếu địa chỉ IP đích là của một trong các port của router thì header của tầng 3 sẽ được bỏ và dữ liệu sẽ được đưa lên tầng 4. Còn nếu packet cần được định tuyến thì địa chỉ IP đích sẽ được so sánh trong bảng định tuyến. Nếu thấy so khớp hoặc có một định truyến mặc định thì packet sẽ được gởi đến một interface cụ thể. Khi packet được chuyển đến một interface thì một giá trị CRC mới sẽ được add vào như là trailer của frame và một header phù hợp cũng sẽ được thêm vào packet. Sau đó frame sẽ được chuyển tới một mạng khác cho tới khi đến đích. Tổng quan thì theo mô hình sau: Distance Vector Routing Distance-vector routing được chia làm hai phần: distance và vector. Distance là metric để tới đích (tiêu chuẩn về khoảng cách để tới đích). Vector là hướng để tới đích nó được xác định bởi next-hop của tuyến đường. Các giao thức định tuyến Distance-vector update bảng định tuyến , bằng cách mỗi router theo định kỳ broacast toàn bộ bảng định tuyến của mình sang các router láng giềng . Tuy nhiên một vấn đề chung xảy ra đối với các giao thức định tuyến Distance-Vector đó chính là “Routing Loop ”. Do các Router không được update ngay lập tức mà theo chu kỳ, chính điều đó đã khiến cho các Router xây dựng lên bảng định tuyến không đúng. Dẫn đến các gói tin đi trên đường mà nó đã đi qua rồi, kết quả là gói tin đi lòng vòng trên mạng. Hiện tượng “Routing Loop ” đã làm phát sinh lưu lượng mạng vô ích gây lãng phí băng thông. Thuật toán định tuyến theo distance vector là copy các bảng định tuyến của các router khác. Thuật toán này dựa trên thuật toán Bellman-Ford. Mỗi router sẽ nhận bảng định tuyến của router kế bên. Router B sẽ nhận thông tin từ router A, router B sẽ tăng thêm một đơn vị cho distance vector , sau đó router B lại thêm bảng định tuyến mới từ router C, và tiến trình cứ lập đi lập lại như thế. Distance Vector broadcast thông tin định tuyến bằng cách gửi đi các messages, được gọi là routing updates, ra khỏi tất cả các giao diện ( interfaces ) của nó. Các bản tin updates này chứa toàn bộ các entries trong bảng định tuyến. Mỗi entry đại diện cho một subnet và một metric. Metric thể hiện độ tốt xấu của tuyến đường đến subnet đó. Metric càng nhỏ càng tốt.Khi một router nhận được bản tin update, nó chỉ cập nhật các tuyến đường nó chưa học hoặc các tuyến đường có metric thấp hơn metric của đường nó đã biết. Đặc điểm của thuật toán theo distance vector Lặp : diễn ra khi không còn thông điệp trao đổi , tự kết thúc vì không có tín hiệu dừng lại, khi có một sự thay đổi thì 1 nút gửi thông điệp cho các hàng xóm biết để xây dựng lại bảng định tuyến , nút này lại gửi thông điệp cho các hàng xóm khác . Không đồng bộ : nút gửi và nhận thông điệp cho nhau một cách tùy ý , mà không cần đợi bên kia mới chạy tiếp , sau khi gửi nút có thể nhận thông điệp kế tiếp Phân tán : mỗi nút chỉ truyền thông điệp với hàng xóm của mình khi có thay đổi đường đi , xây dựng chỉ tại 1 nút đó. Tổng kết các đặc điểm cơ bản của Distance Vector : • Router đưa các subnet nối trực tiếp với nó vào bảng định tuyến, thậm chỉ khi trên router không chạy giao thức định tuyến nào( với điều kiện , interface được sử dụng cho kết nối trực tiếp tới subnet này phải ở trạng thái up up ) .• Router định kỳ gửi ra tất cả các giao diện toàn bộ thông tin mà nó biết về các tuyến đường đến các subnet trên mạng. Bao gồm cả mạng của nó và mạng học đường từ hàng xóm ( neighbors ) .• Router lắng nghe bản tin update định kỳ của hàng xóm. Do vậy nó có thể học các tuyến đường mới.• Thông tin định tuyến bao gồm subnet number và metric. Metric xác định độ tốt xấu của tuyến đường. Giá trị càng nhỏ càng tốt.• Nếu có thể , router sử dụng broadcast hoặc multicast để gửi bản tin update. Do đó, tất cả các hàng xóm trong mạng LAN có thể nhận được thông tin định tuyến trong một lần update.• Nếu router học được nhiều tuyến đường đến một subnet, nó chọn tuyến tốt nhất để đưa vào bảng định tuyến ( dựa trên số metric ) . • Router gửi định kỳ bản tin full update và mong nhận được bản tin full update từ hàng xóm.• Sau một thời gian không nhận được bản tin update từ hàng xóm, router sẽ loại các tuyến đường mà nó học được từ hàng xóm ra khỏi bảng định tuyến.• Nếu một router X quảng bá tuyến đường đến một subnet cho router hàng xóm, router này sẽ coi router X là next hop ( bước tiếp theo ) trên đường đến subnet được quảng bá. Link-state Routing Khác với Distance-vector routing protocol, router chỉ biết được next-hop để gửi packet đi tới đích. Đối với Link-state routing protocol mỗi router đều xác định được chính xác topology của mạng. Chính vì vậy router sẽ đưa ra quyết định để đưa packet đến đích tốt hơn. Mỗi router trong mạng sẽ báo cáo trạng thái của nó, các link nối trực tiếp và trạng thái của mỗi link. Router sẽ nhân bản thông tin này tới tất cả các router trên mạng. Cuối cùng tất cả các rouer trên mạng đều có cái nhìn giống nhau về topo mạng. Một điểm khác nữa đối với distance-vector routing protocol là các router không gửi toàn bộ routing table mà chỉ khi có sự thay đổi xảy ra hay một bản tin hello với kích thước nhỏ gọn theo chu kỳ nhất định nếu như mạng không có sự thay đổi . Nên link-state có một ưu điểm nữa là tốn ít băng thông hơn distance-vector để xây dựng nên routing table. Nhược điểm của link-state protocol là phức tạp hơn trong cấu hình so với distace-vector routing protocol và yêu cầu phần cứng của router cao hơn khi sử dụng distance-vector routing protocol. Link-state routing sử dụng thuật toán Dijkstras hay thuật toán SPF (shortest path first). Thuật toán của distance vector thì không có thông cho tin cụ thể về khoảng cách của mạng cũng như khoản cách của các router. Còn thuật toán này thì cho sẽ cho ta biết đầy đủ các thông tin trên . Thuật toán này sử dụng : Link-state advertisements (LSAs) – LSAs là một packet có kích thước nhỏ của thông tin định tuyến được truyền giữa các router. Topological database – CSDL cấu trúc mạng là tập hợp các thông tin LSAs SPF algorithm – thuật toán trên CSDL cấu trúc mạng để ra được cây đường đi ngắn nhất Routing tables – một danh sách cho biết các đường đi và interface Tóm lại hoạt động của link-state routing protocol có thể chia làm 4 bước sau: Các router tìm neighbors của mình từ các router nối trực tiếp. Sau khi tìm được neighbors xong, router gửi các LSA tới các neighbor của nó. Sau khi nhận và copy thông tin từ LSA, router sẽ forward hay flood LSA tới các neighbor của nó. Tất cả các router lưu LSA trong database của nó. Điều đó có nghĩa là tất cả các router đều có một cái nhìn giống nhau về topo mạng. Mỗi router sử dụng thuật toán Dijkstra để tính toán ra đường tốt nhất để đưa vào routing table. Là giao thức mở , mỗi nút biết topo mạng , các quảng cáo được gửi trên toàn bộ AS , 4: Network Layer4b-17 Các đặc điểm “ưu việt” của OSPF (so với RIP) rAn ninh: Có thể kiểm chứng các thông điệp OSPF (để ngăn ngừa phá hoại); Sử dụng kết nối TCP rCho phép các tuyến đường có cùng một giá (không có trong RIP) rTrên mỗi đường truyền, có nhiều giá khác nhau cho các TOS khác nhau (ví dụ đường truyền vệ tinh có giá “thấp” cho dịch vụ cố gắng tối đa; “cao” cho dịch vụ thời gian thực) rHỗ trợ gửi một đích và gửi nhiều đích (multicast): mMulticast OSPF (MOSPF) giống OSPF rPhân nhỏ OSPF trong các miền lớn. r Phân cấp 2 mức : cục bộ , trục chính 4: Network Layer4b-19 Phân cấp OSPF rPhân cấp hai mức: cục bộ, trục chính. mQuảng cáo Link-state trong một vùng cục bộ mMỗi nút chỉ biết topo trong một vùng; chỉ biết hướng (đường đi tốt nhất) tới các vùng khác. rArea border router: “tổng hợp” khoảng cách đến các nút trong vùng, quảng cáo đến các Area Border router khác. rBackbone router: chạy thuật toán định tuyến OSPF trên trục chính. rBoundary router: Kết nối tới các AS khác. RIP (Routing Information Protocol) Đặc điểm RIP Là giao thức định tuyến theo Distance Vector. Sử dụng số hop làm metric để xác định hướng và khoảng cách cho bất kỳ một liên kết nào trong mạng. Mỗi router Broadcast toàn bộ bảng định tuyến của nó cho các router láng giềng theo định kỳ là 30 giây. RIP tránh định tuyến loop đến vô hạn bằng cách giới hạn số lượng hop tối đa cho phép từ máy gửi đến máy nhận là 15 hop. Ngoài ra, RIP cũng có nhiều đặc tính tương tự như giao thức định tuyến khác. Ví dụ: RIP cũng có split horizon và thời gian holddown để tránh cập nhật thông tin định tuyến không chính xác. RIPv1 RIPv1 là giao thức định tuyến được sử dụng phổ biến vì đơn giản và tính tương thích toàn cầu của nó và mọi router đều có hỗ trợ giao thức này. Định tuyến theo lớp địa chỉ.Người ta còn gọi là Classful Routing. Không gởi thông tin về subnet-mask trong thông tin định tuyến. Không hỗ trợ VLSM. Vì vậy tất cả các mạng trong hệ thống RIPv1 phải cùng subnet mask. Không có cơ chế xác minh thông tin định tuyến. Gởi quản bá theo địa chỉ 255.255.255.255 RIPv2 Định tuyến không theo lớp địa chỉ .RIPv2 còn cung cấp thêm prefix routing, có thông tin subnet mask trong bảng định tuyến, người ta còn gọi là classless routing Có hỗ trợ VLSM. Nên các mạng trong hệ thống RIPv2 có thể có chiều dài subnet mask khác nhau. RIPv2 có thêm chức năng chứng thực để an toàn cập nhật nội dung bảng định tuyến Gửi broacast theo địa chỉ 224.0.0.9 nên hiệu quả hơn. Vài cơ chế của RIP Xem chi tiết ở câu “17. Các phương pháp khắc phục Routing loop” + Split Horizon : + Route Poisoning :+ Poison Reverse : 30s cúc nút hàng xóng trao đổi 1 lần qua Respone message , mỗi response message có thể chuyển qua 25 trạm khác nhau Giao thức động , có thể phát hiện đương truyền hỏng , định kỳ respone message phải định kỳ gửi IGRP (Interior Gateway Routing Protocol ) IGRP là giao thức định tuyến có rất nhiều điểm chung với RIP, chúng cùng là classfull distance vector protocol Metric của IGRP là tổ hợp của các thành phần : bandwidth, delay, load, reliability. Mặc định của metric là bandwidth và delay. Cũng như định kỳ broadcast routing table ra tất cả active interface. Giống như RIP nó cũng không gửi subnetmask trong thông tin định tuyến.Nếu như RIP dùng port 520 của giao thức UDP để trao đổi thông tin định tuyến, thì IGRP thì làm điều này trực tiếp trong gói tin IP với trường Protocol number là 9. IGRP sử dụng khái niệm Autonomous System (AS), một IGRP AS là một IGRP process domain tập hợp các router có chung routing protocol . Người quản trị có thể tạo một IGRP AS cho mỗi routing domain, giúp cho việc điều khiển thông tin giữa các mạng tương tác tốt hơn. IGRP (Interior Gateway Routing Protocol) rĐộc quyền của công ty CISCO; thay thế RIP (giữa 1980) rDistance Vector, giống RIP rĐo bằng nhiều tiêu chí khác nhau (Độ trễ, Băng thông, Độ tin cậy, Tải…) rSử dụng TCP để cập nhật thông tin định tuyến rĐịnh tuyến không bị lặp thông qua Distributed Updating Alg. (DUAL) Single Area OSPF Chú ý: Để hiểu rõ OSPF các bạn cần hiểu rõ đặc điểm và hoạt động của Link-state routing protocol OSPF là một link-state routing protocol Các thuật ngữ cần phải biết trong OSPF (không cần học , đọc hiểu) Links: là một interface (cổng) trên router Links state: là trạng thái của link giữa 2 router, cũng có thể là interface của router và relationship của nó với router láng giềng Area: Là một tập hợp các mạng và router có cùng ID nhận dạng vùng Mỗi router trong một area có chung thông tin link-state Một router trong một area là một internal router (router trong) Links cost: là giá trị đo bằng tốc độ truyền dẫn được gán cho một link (nó là một loại metric) Adjency Database: là một danh sách các neighbor mà router có thiết lập quan hệ 2 chiều phục vụ cho mục đích trao đổi thông tin định tuyến. Không phải mỗi cặp router láng giềng đều trở thành adjency Link-state database: Còn gọi là topological database Là một danh sách các entry link-state của tất cả các router khác trong mạng (là tập hợp các LSA được phát đi bởi các router khác) Tất cả router trong một area có chung link-state database Routing table: Còn gọi là forwarding database, được tạo ra khi router chạy thuật toán SPF dựa trên link-state database DR và BDR router Designated Router (DR): Để ngăn chặn tình trạng storm LSA trong multi-access network một DR được bầu ra trong multi-access network. DR có những nhiêm vụ sau: Đại diện cho multi-access network và gắn bó với phần còn lại internetwork. Để quản lý quá trình flood xử lý trên multi-access network. Nhắc lại: Multi-access network: là một mạng mà trong đó phương tiện truyền dẫn vật lý được share giữa nhiều end-system Backup Designated Router (BDR): một vấn đề quan trọng với sự sắp xếp DR là khi DR bị fail, một new DR phải được xác định. Adjacency mới phải được thiết lập lại và tất cả Router trên mạng phải đồng bộ lại database của chúng với new DR. Trong suốt quá trình bị fail này thì mạng không gửi dữ liệu được Để ngăn chặn điều này người ta đưa ra khái niệm BDR. Tất cả các router không chỉ thiết lập adjacency với DR mà còn với BDR. Nếu DR bị fail thì BDR sẽ trở thành DR mới mà không phải đồng bộ lại database của chúng. OSPF Network Type Router OSPF quyết định router nào trở thành router kế dựa vào loại network mà nó kết nối. OSPF nhận ra 3 loại mạng sau: Broadcast Multi-access : như là Ethernet, Token ring, FDDI. Point to point network: Nonbroacast multi-access (NBMA): như là Frame Relay Hoạt động của OSPF có thể tóm tắt trong 7 bước sau: Các OSPF-speaking router gửi các Hello packet ra tất cả các OSPF-enable interface. Nếu 2 router sau khi trao đổi Hello packet và thoả thuận một số thông số chúng sẽ trở thành neighbor.  Adjacency có thể được tạo qua virtual point-to-point link hay được tạo qua một vài neighbor. OSPF định nghĩa ra một số loại network và một số loại router. Sự thiết lập một adjacency được xác định bởi loại router trao đổi Hello và loại network mà Hello trao đổi qua.  Mỗi router gửi các link state advertisement (LSA) qua tất cả adjacency. LSA mô tả tất cả các interface của router (link) và trạng thái của link. Các link này có thể là stub network, tới OSPF router khác, tới network trong cùng một area, tới external network. Do có rất nhiều loại link state information cho nên OSPF định nghĩa ra đến 11 loại LSA.  Mỗi router nhận một LSA từ neighbor với link state database của neighbor đó và gửi một copy của LSA tới tất cả neighbor khác của nó.  Bằng cách flooding các LSA toàn bộ một area, tất cả router sẽ xây dựng chính xác link state database.  Khi database được hoàn tất, mỗi router sử dụng thuật toán SPF để xây dựng nên SPF tree.  Mỗi router sẽ xây dựng nên routing table từ SPF tree. Tóm gọn lại ta có các bước chính sau (theo slide CCNA): Thiết lập router kế cận (adjancy). Bầu ra một DR và BDR (nếu cần thiết). Tìm ra các route. Chọn ra route thích hợp để dùng. Duy trì thông tin routing. So sánh OSPF và Distance Vector routing protocol Distance vector OSPF Xem topo mạng dưới góc nhìn của láng giềng (cục bộ) Chỉ thêm vector khoảng cách (hop) từ router đến router Update thường xuyên, theo chu kỳ: hội tụ chậm Chuyển toàn bộ routing table cho các router khác Dùng topo mạng phẳng (ko phân cấp) Có cái nhìn chung về toàn bộ topo mạng (toàn cục) Tính ra đường đi ngắn nhất đến các router Update theo sự kiện: hội tụ nhanh Chuyển thông tin link-state cho những router khác Cho phép kiến trúc phân cấp với mạng lớn Hỗ trợ VLSM Các phương pháp khắc phục Routing loop: Route Poisoning Route Poisoning : giả sử mạng X kết nối trực tiếp với router B và thông tin định tuyến về mạng X đã được router B gửi cho router A. Nếu như mạng X bị disconect thì ngay lập tức router B sẽ gửi ngay thông tin định tuyến cho router A về mạng X với metric là 16. VD theo hình dưới : Khi network 5 down,router E sẽ thiết lập distance đến router network 5 = 16 để xóa router này,router C sẽ ko route đến network 5. Poison reverse Poison Reverse : cơ chế này sẽ gắn liền với cơ chế Route Poisoning, khi router A đã nhận được thông tin định tuyến từ router B về mạng X với metric là 16 thì router A sẽ gửi lại thông tin định tuyến về mạng X cho router B với metric là 16 để chắc chắn rằng mạng X đã bị disconect. (lưu ý là khi cơ chế Route Poisoning và Poison Reverse hoạt động thì cơ chế Split Horizon sẽ được tạm dừng, đây là trường hợp đặc biệt vì metric = 16). Split horizon Split Horizon : cơ chế này dùng để chống loop bằng cách, giả sử router A nhận thông tin định tuyến từ router B về mạng X, thì sau khi đưa vào bảng routing table, router A sẽ không broadcast thông tin định tuyến của mạng X về lại cho router B nữa. Với split horizon khi tuyến học được từ một cổng giao tiếp thì tuyến đó sẽ không broadcast lại trên cổng giao tiếp đó. Triggered Updates Ngay khi một quá trình định tuyến thay đổi metric cho một network nào đó trong bảng định tuyến của nó, nó sẽ gửi một cập nhật với giá trị metric với giá trị không dùng được. Giá trị này thường là bằng 16. Trigger update thông báo cho các router khác ngay lập tức. Nếu có một vấn đề xảy ra, tất cả các router bị ành hưởng sẽ đi vào trạng thái holdown ngay lập tức thay vì chờ một khoảng thời gian định kỳ. Cơ chế này giúp giảm thời gian hội tụ và giúp ngăn ngừa routing loop. Holddown timer Để giải quyết vấn đề này có 1 giải fáp là Hold-Down Timer : nghĩa là mỗi packet được set cho time , và sau time đó mà không tới thì sẽ bị crop.- Và HD Timer sẽ được reset lại trong các trường hợp sau đấy :+ Khi router nhận được update từ 1 neighbor ( mà hồi nãy đã gửi 1 update về 1 network nào đó down ) bây giờ thì network đó good.+ Nhận được 1 update với metric tốt hơn về network nào đó từ những neighbor khác. ARP Nguyên tắc hoạt động của Router - ARP protocol. Như ta đã biết tại tầng network của mô hình OSI, chúng ta thường sử dụng các loại địa chỉ mang tính chất quy ước như IP, IPX... Các địa chỉ này là các địa chỉ có hướng, nghĩa là chúng được phân thành hai phần riêng biệt là phần địa chỉ network và phần địa chỉ host. Cách đánh số địa chỉ như vậy nhằm giúp cho việc tìm ra các đường kết nối từ hệ thống mạng này sang hệ thống mạng khác được dễ dàng hơn. Các địa chỉ này có thể được thay đổi theo tùy ý người sử dụng. Trên thực tế, các card mạng chỉ có thể kết nối với nhau theo địa chỉ MAC, địa chỉ cố định và duy nhất của phần cứng. Do vậy ta phải có một phương pháp để chuyển đổi các dạng địa chỉ này qua lại với nhau. Từ đó ta có giao thức phân giải địa chỉ: Address Resolution Protocol (ARP).ARP là một protocol dựa trên nguyên tắc: khi một thiết bị mạng muốn biết địa chỉ MAC của một thiết bị mạng nào đó mà nó đã biết địa chỉ ở tầng network (IP, IPX...) nó sẽ gửi một ARP request bao gồm địa chỉ MAC address của nó và địa chỉ IP của thiết bị mà nó cần biết MAC address trên toàn bộ một miền broadcast. Mỗi một thiết bị nhận được request này sẽ so sánh địa chỉ IP trong request với địa chỉ tầng network của mình. Nếu trùng địa chỉ thì thiết bị đó phải gửi ngược lại cho thiết bị gửi ARP request một packet (trong đó có chứa địa chỉ MAC của mình). Trong một hệ thống mạng đơn giản như hình ngay bên dưới, ví dụ như máy A muốn gửi packet đến máy B và nó chỉ biết được địa chỉ IP của máy B. Khi đó máy A sẽ phải gửi một ARP broadcast cho toàn mạng để hỏi xem "địa chỉ MAC của máy có địa chỉ IP này là gì?" Khi máy B nhận được broadcast này, nó sẽ so sánh địa chỉ IP trong packet này với địa chỉ IP của nó. Nhận thấy địa chỉ đó là địa chỉ của mình, máy B sẽ gửi lại một packet cho máy A trong đó có chứa địa chỉ MAC của B. Sau đó máy A mới bắt đầu truyền packet cho B. Trong một môi trường phức tạp hơn: hai hệ thống mạng gắn với nhau thông qua một router C. Máy A thuộc mạng A muốn gửi packet đến máy B thuộc mạng B. Do các broadcast không thể truyền qua router nên khi đó máy A sẽ xem router C như một cầu nối để truyền dữ liệu. Trước đó, máy A sẽ biết được địa chỉ IP của router C (port X) và biết được rằng để truyền packet tới B phải đi qua C. Tất cả các thông tin như vậy sẽ được chứa trong một bảng gọi là bảng routing (routing table). Bảng routing table theo cơ chế này được lưu giữ trong mỗi máy. Routing table chứa thông tin về các gateway để truy cập vào một hệ thông mạng nào đó. Ví dụ trong trường hợp trên trong bảng sẽ chỉ ra rằng để đi tới LAN B phải qua port X của router C. Routing table có chứa địa chỉ IP của port X. Quá trình truyền dữ liệu theo từng bước sau: - Máy A gửi một ARP request (broadcast) để tìm địa chỉ MAC của port X.- Router C trả lời, cung cấp cho máy A địa chỉ MAC của port X.- Máy A truyền packet đến port X của router.- Router nhận được packet từ máy A, chuyển packet ra port Y của router. Trong packet có chứa địa chỉ IP của máy B.- Router sẽ gửi ARP request để tìm địa chỉ MAC của máy B.- Máy B sẽ trả lời cho router biết địa chỉ MAC của mình.- Sau khi nhận được địa chỉ MAC của máy B, router C gửi packet của A đến B. Trên thực tế ngoài dạng routing table này người ta còn dùng phương pháp proxy ARP, trong đó có một thiết bị đảm nhận nhiệm vụ phân giải địa chỉ cho tất cả các thiết bị khác. Quá trình này được trình bày trong hình bên dưới: Theo đó các máy trạm không cần giữ bảng routing table nữa router C sẽ có nhiệm vụ thực hiện, trả lời tất cả các ARP request của tất cả các máy trong các mạng kết nối với nó. Router sẽ có một bảng routing table riêng biệt chứa tất cả các thông tin cần thiết để chuyển dữ liệu. Ví dụ bảng routing table: Trong bảng Routing Table, dòng đầu tiên có nghĩa là tất cả các packet gửi cho một máy bất kỳ thuộc mạng 10.1.2.0 subnet mask 255.255.255.0 sẽ thông qua port ethernet 0 (eth 0) có địa chỉ IP là 10.1.2.1. Flag = U có nghĩa là port trong trạng thái hoạt động ("up"). Giao thức IP Tổng quát Nhiệm vụ chính của giao thức IP là cung cấp khả năng kết nối các mạng con thành liên kết mạng để truyền dữ liệu, vai trò của IP là vai trò của giao thức tầng mạng trong mô hình OSI. Giao thức IP là một giao thức kiểu không liên kết (connectionless) có nghĩa là không cần có giai đoạn thiết lập liên kết trước khi truyền dữ liệu. Các giao thức trong mạng IP Để mạng với giao thức IP hoạt động được tốt người ta cần một số giao thức bổ sung, các giao thức này đều không phải là bộ phận của giao thức IP và giao thức IP sẽ dùng đến chúng khi cần. Giao thức ARP (Address Resolution Protocol): Ở đây cần lưu ý rằng các địa chỉ IP được dùng để định danh các host và mạng ở tầng mạng của mô hình OSI, và chúng không phải là các địa chỉ vật lý (hay địa chỉ MAC) của các trạm trên đó một mạng cục bộ (Ethernet, Token Ring.). Trên một mạng cục bộ hai trạm chỉ có thể liên lạc với nhau nếu chúng biết địa chỉ vật lý của nhau. Như vậy vấn đề đặt ra là phải tìm được ánh xạ giữa địa chỉ IP (32 bits) và địa chỉ vật lý của một trạm. Giao thức ARP đã được xây dựng để tìm địa chỉ vật lý từ địa chỉ IP khi cần thiết. Giao thức RARP (Reverse Address Resolution Protocol): Là giao thức ngược với giao thức ARP. Giao thức RARP được dùng để tìm địa chỉ IP từ địa chỉ vật lý. Giao thức ICMP (Internet Control Message Protocol): Giao thức này thực hiện truyền các thông báo điều khiển (báo cáo về các tình trạng các lỗi trên mạng.) giữa các gateway hoặc một nút của liên mạng. Tình trạng lỗi có thể là: một gói tin IP không thể tới đích của nó, hoặc một router không đủ bộ nhớ đệm để lưu và chuyển một gói tin IP, Một thông báo ICMP được tạo và chuyển cho IP. IP sẽ "bọc" (encapsulate) thông báo đó với một IP header và truyền đến cho router hoặc trạm đích. Các bước hoạt động của giao thức IP Khi giao thức IP được khởi động nó trở thành một thực thể tồn tại trong máy tính và bắt đầu thực hiện những chức năng của mình, lúc đó thực thể IP là cấu thành của tầng mạng, nhận yêu cầu từ các tầng trên nó và gửi yêu cầu xuống các tầng dưới nó. Đối với thực thể IP ở máy nguồn, khi nhận được một yêu cầu gửi từ tầng trên, nó thực hiện các bước sau đây: 1)     Tạo một IP datagram dựa trên tham số nhận được. 2)     Tính checksum và ghép vào header của gói tin. 3)     Ra quyết định chọn đường: hoặc là trạm đích nằm trên cùng mạng hoặc một gateway sẽ được chọn cho chặng tiếp theo. 4)     Chuyển gói tin xuống tầng dưới để truyền qua mạng. Đối với router, khi nhận được một gói tin đi qua, nó thực hiện các động tác sau: 1)     Tính chesksum, nếu sai thì loại bỏ gói tin. 2)     Giảm giá trị tham số Time - to Live. nếu thời gian đã hết thì loại bỏ gói tin. 3)     Ra quyết định chọn đường. 4)     Phân đoạn gói tin, nếu cần. 5)     Kiến tạo lại IP header, bao gồm giá trị mới của các vùng Time - to -Live, Fragmentation và Checksum. 6)     Chuyển datagram xuống tầng dưới để chuyển qua mạng. Cuối cùng khi một datagram nhận bởi một thực thể IP ở trạm đích, nó sẽ thực hiện bởi các công việc sau: 1)     Tính checksum. Nếu sai thì loại bỏ gói tin. 2)     Tập hợp các đoạn của gói tin (nếu có phân đoạn) 3)     Chuyển dữ liệu và các tham số điều khiển lên tầng trên. Giao Thức TCP TCP là một giao thức "có liên kết" (connection - oriented), nghĩa là cần phải thiết lập liên kết giữa hai thực thể TCP trước khi chúng trao đổi dữ liệu với nhau. Một tiến trình ứng dụng trong một máy tính truy nhập vào các dịch vụ của giao thức TCP thông qua một cổng (port) của TCP. Số hiệu cổng TCP được thể hiện bởi 2 bytes. Cổng truy nhập dịch vụ TCP Một cổng TCP kết hợp với địa chỉ IP tạo thành một đầu nối TCP/IP (socket) duy nhất trong liên mạng. Dịch vụ TCP được cung cấp nhờ một liên kết logic giữa một cặp đầu nối TCP/IP. Một đầu nối TCP/IP có thể tham gia nhiều liên kết với các đầu nối TCP/IP ở xa khác nhau. Trước khi truyền dữ liệu giữa 2 trạm cần phải thiết lập một liên kết TCP giữa chúng và khi không còn nhu cầu truyền dữ liệu thì liên kết đó sẽ được giải phóng. Các thực thể của tầng trên sử dụng giao thức TCP thông qua các hàm gọi (function calls) trong đó có các hàm yêu cầu để yêu cầu, để trả lời. Trong mỗi hàm còn có các tham số dành cho việc trao đổi dữ liệu. Routing protocol và routed protocol Một protocol là những luật được đặc ra để chỉ ra làm thế nào các may tính liên lạc với nhau trên mạng. Routing Protocol(giao thức định tuyến): có nhiệm vụ điền đầy thông tin định tuyến vào một bảng ( được gọi là bảng định tuyến). Mọi người có thể hiểu nôm na, routing protocol giống như là những người làm đường , nó sẽ xây dựng nên các tuyến đường đi trong mạng Có 2 lọai giao thức định tuyến : giao thức định tuyến trong ( ví dụ RIP). Giao thức định tuyến ngòai ( ví dụ BGP, EGP) Routed Protocol (nghi thức định tuyến) : cho phép xác định tuyến đường “tốt” (dãy các router) trên mạng từ nút gửi đến nút nhận . 1 Routed Protocol phải cung cấp khả năng chuyển giao địa chỉ mạng và địa chỉ host cho mỗi thiết bị cá nhân .Routed Protocol là bất kỳ một giao thức mạng nào cung cấp đầy đủ thông tin trong địa chỉ tầng mạng của nó để cho phép một gói tin được truyền đi từ một máy chủ (host) đến host khác dựa trên sự sắp xếp về địa chỉ, không cần biết đến đường đi tổng thể từ nguồn đến đích. Hầu như các giao thức ở tầng 3 đều có thể định tuyến đuợc, IP là một ví dụ. . Mọi người có thể hiểu Routed Protocol như là những phương tiện để vận chuyển dữ liệu đi trên các tuyến đường đã được tạo ra bởi Routing protocol . Thủ tục cấp phát DHCP Bước 1: Máy trạm khởi động với “địa chỉ IP rỗng” . Sau đó máy trạm broadcast liên tục thông điệp DHCP-DISCOVER lên mạng cho đến khi nhận được phản hồi từ máy chủ. Thông điệp DHCP-DISCOVER chứa địa chỉ MAC và tên máy tính  Bước 2: Mọi máy chủ DHCP có thể nhận thông điệp và chuẩn bị địa chỉ IP cho máy trạm. Nếu máy chủ có cấu hình hợp lệ cho máy trạm, nó unicast thông điệp “chào hàng” (DHCP-OFFER) chứa địa chỉ MAC của khách, địa chỉ IP “chào hàng”, subnet mask, địa chỉ IP của máy chủ và thời gian cho thuê. Địa chỉ “chào hàng” được đánh dấu là “reserve” (để dành).  Bước 3: Khi khách nhận thông điệp DHCP-OFFER và chấp nhận một trong các địa chỉ IP, máy trạm phát tán thông điệp DHCP-REQUEST để khẳng định nó đã chấp nhận địa chỉ IP và từ máy chủ DHCP.  Bước 4: Cuối cùng, máy chủ DHCP khẳng định toàn bộ sự việc với máy trạm bằng gói tin DHCP -ACK. Để ý rằng lúc đầu máy trạm broadcast yêu cầu về địa chỉ IP lên mạng, nghĩa là mọi máy chủ DHCP đều có thể nhận thông điệp này . Do đó, có thể có nhiều hơn một máy chủ DHCP tìm cách cho thuê địa chỉ IP bằng cách gởi thông điệp DHCP-OFFER . Máy trạm chỉ chấp nhận một thông điệp DHCP-OFFER sau đó broadcast thông điệp DHCP-REQUEST lên mạng. Vì thông điệp này được broadcast , tất cả máy chủ DHCP có thể nhận được nó. Thông điệp chứa địa chỉ IP của máy chủ DHCP vừa cho thuê, vì thế các máy chủ DHCP khác rút lại thông điệp DHCP-OFFER của mình và hoàn trả địa chỉ IP vào vùng địa chỉ, để dành cho trạm khác. IPSec IPsec (IP security) bao gồm một hệ thống các giao thức để bảo mật quá trình truyền thông tin trên nền tảng Internet Protocol (IP). Bao gồm xác thực và/hoặc mã hoá (Authenticating and/or Encrypting) cho mỗi gói IP (IP packet) trong quá trình truyền thông tin. IPsec cũng bao gồm những giao thức cung cấp cho mã hoá và xác thực. Giao thức IPsec được làm việc tại tầng Network Layer – layer 3 của mô hình OSI. Các giao thức bảo mật trên Internet khác như SSL, TLS và SSH, được thực hiện từ tầng transport layer trở lên (Từ tầng 4 tới tầng 7 mô hình OSI). Điều này tạo ra tính mềm dẻo cho IPsec, giao thức này có thể hoạt động từ tầng 4 với TCP, UDP, hầu hết các giao thức sử dụng tại tầng này. IPsec có một tính năng cao cấp hơn SSL và các phương thức khác hoạt động tại các tầng trên của mô hình OSI. Với một ứng dụng sử dụng IPsec mã (code) không bị thay đổi, nhưng nếu ứng dụng đó bắt buộc sử dụng SSL và các giao thức bảo mật trên các tầng trên trong mô hình OSI thì đoạn mã ứng dụng đó sẽ bị thay đổi lớn. IPsec đã được giới thiệu và cung cấp các dịch vụ bảo mật: 1. Mã hoá quá trình truyền thông tin 2. Đảm bảo tính nguyên ven của dữ liệu 3. Phải được xác thực giữa các giao tiếp 4. Chống quá trình replay trong các phiên bảo mật. Lợi ích ủa IPSec -Tính xác nhận và Tính nguyên vẹn dữ liệu (Authentication and data integrity). IPSec cung cấp một cơ chế mạnh mẽ để xác nhận tính chất xác thực của người gửi và kiểm chứng bất kỳ sự sữa đổi không được bảo vệ trước đó của nội dung gói dữ liệu bởi người nhận. Các giao thức IPSec đưa ra khả năng bảo vệ mạnh để chống lại các dạng tấn công giả mạo, đánh hơi và từ chối dịch vụ. - Sự cẩn mật (Confidentiality). Các giao thức IPSec mã hóa dữ liệu bằng cách sử dụng kỹ thuật mã hóa cao cấp, giúp ngăn cản người chưa chứng thực truy cập dữ liệu trên đường đi của nó. IPSec cũng dùng cơ chế tạo hầm để ẩn địa chỉ IP của nút nguồn (người gửi) và nút đích (người nhận) từ những kẻ nghe lén. - Quản lý khóa (Key management). IPSec dùng một giao thức thứ ba, Internet Key Exchange (IKE), để thỏa thuận các giao thức bao mật và các thuật toán mã hóa trước và trong suốt phiên giao dịch. Một phần quan trọng nữa, IPSec phân phối và kiểm tra các khóa mã và cập nhật những khóa đó khi được yêu cầu. Rules and polocies Rules are composed of: A filter A filter action An authentication method Default polices include: Client (Respond Only) Server (Request Security) Secure Server (Require Security) Certificates là 1 chứng chỉ điện tử được tạo ra để xác thực người dùng trên internet và intranets Bước Client Server Bước Server được mở trước, sẵn sàng để load thông tin các mặt hàng từ file DataServer. 1 2 Từ Client, nhập tên Server (hoặc IP), tên cửa hàng. Kết nối đến Server. Các dữ liệu từ bước này khi gởi đi và nhận lại được mã hoá bằng thuật toán RSA Bắt đầu quá trình chứng thực 2 chiều theo mô hình SSL. Server gởi thách thức (random) đến Client và chờ trả lời. Các dữ liệu từ bước này khi gởi đi và nhận lại được mã hoá bằng thuật toán RSA 3 4 Client nhận thách thức, dùng Private key mã hoá rồi gởi lại Server Server nhận và kiểm tra thông tin gởi về. Nếu đúng sẽ gởi thông báo OK đến cho Client, nếu sai sẽ huỷ kết nối. 5 6 Client nhận được thông báo, nếu sai gởi thông báo cho người dùng. Nếu là OK, gởi thách thức (random) của mình đến cho Server Server nhận thách thức từ Client, dùng Private key mã hoá rồi gởi lại cho Client 7 8 Client nhận thông tin mã hoá, dùng Public key có sẵn kiểm tra. Nếu đúng gởi thông báo OK đến cho Server, nếu sai thông báo cho người dùng. Nhận kết quả từ Client, nếu sai sẽ huỷ kết nối. Nếu đúng sẽ phát sinh một session key để dùng cho việc mã hoá trong phiên làm việc này. 9 Gởi Session key về cho Client. Key này vẫn được mã hoá bằng RSA. 10 11 Nhận Session key từ Server, giải mã để lấy key gốc. 12 Gởi thông tin tên cửa hàng cho Server. Từ bước này sử dụng Session key để mã hoá dữ liệu gởi đi và giải mã dữ liệu nhận được. Nhận thông tin từ Client và kiểm tra trong danh sách các cửa hàng đã đăng ký. Gởi kết quả về cho Client. Từ bước này sử dụng Session key để mã hoá dữ liệu gởi đi và giải mã dữ liệu nhận được. 13 14 Nhận thông tin từ Server, nếu sai báo cho người dùng biết. Nếu đúng thì nhận IDClient ứng với tên cửa hàng đó 15 Tiếp tục gởi yêu cầu lấy dữ liệu mặt hàng trong ngày từ Server Server nhận thông tin, nếu là yêu cầu lấy báo giá thì đọc file cơ sở dữ liệu và gởi thông tin về cho Client. 16 17 Client nhận thông tin, cho hiển thị trên màn hình giao diện 18 Nếu có yêu cầu mua hàng, Client cập nhật xuống file cơ sở dữ liệu DataClient 19 Khi nhấn vào nút gởi thông tin bán hàng trong ngày về cho Server, Client đọc trong file cơ sở dữ liệu và gởi về Server Khi nhận được thông tin bán hàng trong ngày từ Client, Server lưu xuống cơ sở dữ liệu của mình với IDClient đó 20 Khi có yêu cầu thay đổi giá, Server cập nhật trên màn hình giao diện, cập nhật giá trong cơ sở dữ liệu và gởi tới tất cả Client đang kết nối với nó. 21 22 Client nhận thông tin giá cập nhật, thay đổi ngay trên màn hình giao diện của mình 23 Sau khi gởi thông tin bán hàng trong ngày, có yêu cầu thoát, Client gởi yêu cầu đóng kết nối cho Server Server nhận yêu cầu đóng kết nối của Client, thực hiện đóng kết nối 24 25 Đóng kết nối Câu 17 : Thuật toán phương pháp CSMA / CD (trong slide 04A_Ethernet Fundamentals.pptx) Carrier Sense Multiple Access with Collision Detection + Carrier Sense : sóng cảm ứng + Collision Detection : phát hiệt xem có gói dữ liệu nào đang sử dụng đường truyền ko . + Multiple Access : giải quyết vấn đề nhiều máy truyền dữ liệu cùng lúc nhưng ko đồng thời Phương pháp này được Cài đặt trong driver card mạng để giải quyết vấn đề Media Access Control của Ethernet , có 3 chức năng căn bản: Truyền DL từ card mạng nguồn à card mạng bên nhận Decoding : bên nhận khi nhận được gói dữ liệu , nó móc data ra đưa lên tầng trên . Ktra địa chỉ bên gởi & bên nhận có hợp lệ hay ko ? Có khả năng phát hiện lỗi trong gói DL được nhận Có 2 loại lỗi chính Lỗi CRC : lỗi về nội dung (khi truyền bị sai 1 vài bits) Bản thân gói DL : lỗi về kích thước , driver card mạng hình thành nên gói DL với kích thước bị sai Khi host có nhu cầu truyền DL Ktra xem trên đg truyền có gói DL nào chạy trên đó ko ? Chuẩn bị truyền gói DL , Frame được thiết lập Bắt đầu truyền Trong khi truyền Frame DL thì vẫn tiếp tục ktra phát hiện xem có hiện tượng collision hay ko ? Nếu ko có collision vẫn tiếp tục truyền gói DL đó Hỏi xem chấm dứt quá trình truyền chưa ? Truyền thành công Tổng phát lên đg mạng tình trạng tắt nghẽn Tăng biến đếm lên Ktra biến đếm có vượt qua ngưỡng hay ko ? Nếu có collision à hủy bỏ quá trình truyền Nếu chưa vượt ngưỡng à thì collision vẫn chấp nhận được à chờ Chạy thuật toán tính toán thời gian chờ (backup time)(chờ micro giây) Đợi trong khoảng t ms , rồi bắt đầu truyền lại à Bảo đảm tại 1 thời điểm chỉ có 1 máy truyền tín hiệu trên đường cáp . Mục đích là hạn chế vấn đề collison xảy ra Cấu trúc 1 frame dữ liệu tổng quát IEEE 802.3 7 1 6 6 2 64-1500 4 Preamble Start Frame Delimiter Dest. Address Source Address Length 802.2 Header & Data FCS Có nhiều cấu trúc frame theo nhiều chuẩn khác nhau . Sau đây là Định dạng frame tổng quát . 1 Frame là đơn vị dữ liệu được đóng gói ở giao thức ở lớp 2(Datalink) Preamble gồm 7 bytes,chứa một dãy các bit 0 và 1,kết thúc bằng 2 bit 11,được sử dụng cho việc đồng bộ thời gian Start of frame (SOF) gồm 1 byte,trong byte này chứa chuỗi bit 10101011 Destination Address 6 bytes chứa địa chỉ MAC đích (unicast,multicast,broadcast) Source address 6 bytes chứa địa chỉ MAC nguồn,thường là địa chỉ unicast Length 2 bytes Data số lượng byte của trường này có thể nhận tùy ý tuy nhiên số lượng này ít hơn hoặc bằng 1500. Nếu độ dài của trường dữ liệu nhỏ hơn 46 thì một phần sẽ được thêm vào sao cho độ dài đạt được ít nhất 46 bytes. FCS (frame check sequence) 4 bytes giá trị CRC , dùng để xác định lỗi của frame