1.TCP/IP thuộc lớp Transport

Là một bộ các giao thức truyền thông cài đặt chồng giao thức mà Internet và hầu hết các mạng máy

tính thương mại đang chạy trên đó.

Như nhiều bộ giao thức khác, bộ giao thức TCP/IP có thể được coi là một tập hợp các tầng, mỗi tầng

giải quyết một tập các vấn đề có liên quan đến việc truyền dữ liệu, và cung cấp cho các giao thức

tầng cấp trên một dịch vụ được định nghĩa rõ ràng dựa trên việc sử dụng các dịch vụ của các tầng

thấp hơn.

Những tầng gần trên nóc gần với người sử dụng hơn, còn những tầng gần đáy gần với thiết bị truyền

thông dữ liệu. Mỗi tầng có một giao thức để phục vụ tầng trên nó, và một giao thức để sử dụng dịch

vụ của tầng dưới nó.

a. Quy trình bắt tay 3 bước:

Trước khi 2 máy tính bắt đầu truyền ID cho nhau phần mềm TCP/IP ở 2 máy phải được kết nối bằng

quy trình bắt tay 3 bước:

B1 : Client yêu cầu mở cổng dịch vụ bằng cách gửi gói tin SYN (gói tin TCP) tới server, trong gói tin

này, tham số sequence number được gán cho một giá trị ngẫu nhiên X.

B2 : Server hồi đáp bằng cách gửi lại phía client bản tin SYN-ACK, trong gói tin này, tham

số acknowledgment number được gán giá trị bằng X + 1, tham số sequence number được gán

ngẫu nhiên một giá trị Y.

B3 : Để hoàn tất quá trình bắt tay ba bước, client tiếp tục gửi tới server bản tin ACK, trong bản tin

này, tham số sequence number được gán cho giá trị bằng X + 1 còn tham sốacknowledgment

number được gán giá trị bằng Y + 1.

Sau khi trao đổi dữ liệu xong, để kết thúc kết nối hai bên sử dụng quá trình bắt tay 4 bước và chiều

của kết nối kết thúc độc lập với nhau. Khi một bên muốn kết thúc, nó gửi đi một gói tin FIN và bên kia

gửi lại tin báo nhận ACK. Vì vậy, một quá trình kết thúc tiêu biểu sẽ có 2 cặp gói tin trao đổi.

b. Cơ chế retransmit :

Sau khi host gửi 1 gói TCP đi, bắt đầu đếm ngược chờ cho đến khi nhận lại tin báo ACK trước khi

gửi đi 1 gói TCP khác.

Nếu như tin báo ACK ko được gửi lại trước khi đếm ngược kết thúc, gói tin được coi như là đã bị rớt

và bắt đầu truyền lại gói tin.

Quy trình tìm ra thời gian đếm ngược gọi là quy trình tính gần đúng Round-Trip Time (Round-Trip

Time estimation).

Tuy nhiên, cơ chế retransmit sử dụng băng thông không được hiệu quả vì host phải chờ tín hiệu ACK

trước khi gửi đi 1 gói tin mới và mỗi lần chỉ gửi được 1 gói tin.

c. TCP header:

d. Lớp IP:

Cách chia nhỏ gói tin:

Thiết bị phụ trách quá trình chia nhỏ (fragmentation) thực hiện thuật toán cụ thể nào đó để chia dữ

liệu ra thành nhiều phần nhỏ để truyền đi dễ dàng.

Khi dữ liệu có kích thước lớn hơn MTU (Maximum Transmission Unit) thì bắt buộc phải chia nhỏ ra

thành nhiều fragment nhỏ hơn.Header của dữ liệu gốc sẽ thành header của fragment đầu tiên và các

fragment còn lại sẽ được tạo mới header.

Sau khi chia nhỏ gói tin, thiết bị gửi sẽ thêm vào thông tin đi kèm với dữ liệu đã được chia nhỏ để

thiết bị nhận có thể ghép gói tin lại thành dữ liệu hoàn chỉnh, thông tin đó nằm trong IP header bao

gồm Total Length, Identification, More Fragments, Fragment Offset.

Total Length : kích thước của mỗi fragment, không phải kích thước của toàn bộ gói

tin.Thường sẽ bằng với giá trị của MTU ( Maximum Transmission Unit) và chia hết cho 8

để cho ra Fragment Offset tròn.

Identification : để phân biệt giữa các gói tin khác nhau, các fragment được chia ra từ

cùng 1 dữ liệu gốc sẽ có chung Identification.

More Fragments : flag này = 0 thì là fragment cuối cùng, = 1 thì chưa phải là fragment

cuối cùng.

Fragment Offset : xác định thứ tự của mỗi fragment, bằng tổng Total Length của các

fragment trước chia cho 8.

2. UDP ICMP port unreachable scanning :

Sử dụng giao thức UDP thay vì TCP.

=>Khó hơn bởi vì các port mở không gửi ACK để trả lời lại truy vấn từ bên ngoài.

Nhưng vì hầu hết các server có gửi gói tin lỗi ICMP_PORT_UNREACHABLE khi gửi 1 gói đến port

UDP đóng => có thể tìm ra các port đang đóng =>suy ra được port nào đang mở.

Tuy nhiên không chắc chắn rằng gói tin UDP sẽ đến đích hoặc gói tin lỗi ICMP sẽ quay trở lại mà

không bị rớt giữa đường truyền => UDP scanner phải áp dụng quy trình Retransmit để gửi lại nếu

như bị mất gói tin.

Tuy nhiên, kỹ thuật quét này được coi là chậm vì các server sẽ giới hạn tần số gửi gói tin lỗi ICMP trả

lời lại.

ICMP : Internet Control Message Protocol là 1 trong những giao thức chính của bộ giao thức

mạng.Được sử dụng bởi các thiết bị mạng như router để gửi đi gói tin lỗi.

ICMP còn dùng để gửi đi gói tin truy vấn (query message).

Có số thứ tự giao thức là 1.

ICMP khác UDP với TCP ở chỗ nó không được dùng để trao đổi dữ liệu giữa các hệ thống

hay được dùng thường xuyên bởi các ứng dụng mạng của người dùng (ngoại trừ tracert và

ping).

Nằm ở lớp 2 Internet của TCP/IP.

3. DNS thuộc lớp Application :

1. Giới thiệu về DNS :

- Mỗi máy tính, thiết bị mạng tham gia vào mạng Internet đều giao tiếp với nhau bằng địa chỉ IP

(Internet Protocol) . Để thuận tiện cho việc sử dụng và dễ nhớ ta dùng tên miền (domain name) để

xác định thiết bị đó. Hệ thống tên miền (Domain Name System) được sử dụng để ánh xạ tên miền

thành địa chỉ IP. Vì vậy, khi muốn liên hệ tới các máy, chúng chỉ cần sử dụng chuỗi ký tự dễ nhớ

(domain name) như: www.microsoft.com,www.ibm.com..., thay vì sử dụng địa chỉ IP là một dãy số

dài khó nhớ.

- Ban đầu, khi DNS chưa ra đời, người ta sử dụng một file tên Host.txt, file này sẽ lưu thông tin về

tên host và địa chỉ của host của tất cả các máy trong mạng, file này được lưu ở tất cả các máy để

chúng có thể truy xuất đến máy khác trong mạng. Khi đó, nếu có bất kỳ sự thay đổi về tên host, địa

chỉ IP của host thì ta phải cập nhật lại toàn bộ các file Host.txt trên tất cả các máy. Do vậy đến năm

1984 Paul Mockpetris thuộc viện USC’s Information Sciences Institute phát triển một hệ thống quản

lý tên miền mới lấy tên là Hệ thống tên miền – Domain Name .

- Hệ thống tên miền này cũng sữ dụng một file tên host.txt, lưu thông tin của tất cả các máy trong

mạng, nhưng chỉ được đặt trên máy làm máy chủ tên miền (DNS). Khi đó, các Client trong mạng

muốn truy xuất đến các Client khác, thì nó chỉ việc hỏi DNS.

- Thuộc lớp Application chạy port 53.

- Như vậy, mục đích của DNS là :

Phân giải tên miền thành địa chỉ IP và ngược lại.

Quản lý cơ sở dữ liệu tên miền trong 1 khu vực.

2. DNS namespace :

- Hệ thống tên trong DNS được sắp xếp theo mô hình phân cấp và cấu trúc cây logic được gọi là

DNS namespace.

3. Cấu trúc của hệ thống tên miền :

- Hiện nay hệ thống tên miền được phân thành nhiêu cấp :

- Gốc (Domain root) : Nó là đỉnh của nhánh cây của tên miền. Nó có thể biểu diễn đơn giản chỉ là dấu

chấm “.”

- Tên miền cấp một (Top-level-domain) : gồm vài kí tự xác định một nước, khu vưc hoặc tổ chức. Nó

đươc thể hiện là “.com” , “.edu” ….

- Tên miền cấp hai (Second-level-domain): Nó rất đa dạng rất đa dạng có thể là tên một công ty, một

tổ chức hay một cá nhân.

- Tên miền cấp nhỏ hơn (Subdomain) : Chia thêm ra của tên miền cấp hai trở xuống thường được sử

dụng như chi nhánh, phòng ban của một cơ quan hay chủ đề nào đó.

4. Phân loại tên miền :

- Com : Tên miền này được dùng cho các tổ chức thương mại.

- Edu : Tên miền này được dùng cho các cơ quan giáo dục, trường học.

- Net : Tên miền này được dùng cho các tổ chức mạng lớn.

- Gov : Tên miền này được dùng cho các tổ chức chính phủ.

- Org : Tên miền này được dùng cho các tổ chức khác.

- Int : Tên miền này dùng cho các tổ chức quốc tế.

- Info : Tên miền này dùng cho việc phục vụ thông tin.

- Mil : Tên miền dành cho các tổ chức quân sự, quốc phòng.

- Mã các nước trên thế giới tham gia vào mạng internet, các quốc gia này được qui định bằng hai

chữ cái theo tiêu chuẩn ISO-3166 .Ví dụ : Việt Nam là .vn, Singapo là sg….

DNS Server :

- Là một máy tính có nhiệm vụ là DNS Server, chạy dịch vụ DNS service.

- DNS Server là một cơ sở dữ liệu chứa các thông tin về vị trí của các DNS domain và phân giải các

truy vấn xuất phát từ các Client.

- DNS Server có thể cung cấp các thông tin do Client yêu cầu, và chuyển đến một DNS Server khác

để nhờ phân giải hộ trong trường hợp nó không thể trả lời được các truy vấn về những tên miền

không thuộc quyền quản lý và cũng luôn sẵn sàng trả lời các máy chủ khác về các tên miền mà nó

quản lý. DNS Server lưu thông tin của Zone, truy vấn và trả kết quả cho DNS Client.

- Máy chủ quản lý DNS cấp cao nhất là Root Server do tổ chức ICANN quản lý:

+ Là Server quản lý toàn bộ cấu trúc của hệ thống tên miền

+ Root Server không chứa dữ liệu thông tin về cấu trúc hệ thống DNS mà nó chỉ chuyển quyền

(delegate) quản lý xuống cho các Server cấp thấp hơn và do đó Root Server có khả năng định

đường đến của một domain tại bất kì đâu trên mạng

- Phân loại DNS Server :

Primary Server :

- Thông tin về tên miền do nó quản lý được lưu trữ tại đây và sau đó có thể được chuyển sang cho

các Secondary Server.

- Các tên miền do Primary Server quản lý thì được tạo và sửa đổi tai Primary Server và được cập

nhật đến các Secondary Server.

Secondary Server :

- DNS được khuyến nghị nên sử dụng ít nhất là hai DNS Server để lưu cho mỗi một Zone. Primary

DNS Server quản lý các Zone và Secondary Server sử dụng để lưu trữ dự phòng cho Primary

Server. Secondary DNS Server được khuyến nghị dùng nhưng không nhất thiết phải có.

- Secondary Server được phép quản lý domain dữ liệu về tên miền, nhưng Secondary Server không

tạo ra các bản ghi về tên miền (domain) mà nó lấy về từ Primary Server.

- Khi lượng truy vấn Zone tăng cao tại Primary Server thì nó sẽ chuyển bớt tải sang cho Secondary

Server .Hoặc khi Primary Server gặp sự cố không hoạt động được thì Secondary Server sẽ hoạt

động thay thế cho đến khi Primary Server hoạt động trở lại.

- Primary Server thường xuyên thay đổi hoặc thêm vào các Zone mới. Nên DNS Server sử dụng cơ

chế cho phép Secondary lấy thông tin từ Primary Server và lưu trữ nó. Có hai giải pháp lấy thông tin

về các Zone mới là lấy toàn bộ (full) hoặc chỉ lấy phần thay đổi (incremental).

Caching-only Server :

- Tất cả các DNS Server đều có khả năng lưu trữ dữ liệu trên bộ nhớ cache của máy để trả lời truy

vấn một cách nhanh chóng. Nhưng hê thống DNS còn có một loại Caching-only Server.

- Loại này chỉ sử dụng cho việc truy vấn, lưu giữ câu trả lời dựa trên thông tin có trên cache của máy

và cho kết quả truy vấn. Chúng không hề quản lý một domain nào và thông tin mà nó chỉ giới hạn

những gì được lưu trên cache của Server.

- Lúc ban đầu khi Server bắt đầu chạy thì nó không lưu thông tin nào trong cache. Thông tin sẽ được

cập nhật theo thời gian khi các Client Server truy vấn dịch vụ DNS. Nếu sử dụng kết nối mạng WAN

tốc độ thấp thì việc sử dụng caching-only DNS Server là giải pháp hữu hiệu cho phép giảm lưu lượng

thông tin truy vấn trên đường truyền.

- Caching-only có khả năng trả lời các câu truy vấn đến Client. Nhưng không chứa Zone nào và cũng

không có quyền quản lý bất kì domain nào. Nó sử dụng bộ cache của mình để lưu các truy vấn của

DNS của Client. Thông tin sẽ được lưu trong cache để trả lời các truy vấn đến Client.

Stub Server :

- Là DNS Server chỉ chứa danh sách các DNS Server đã được authoritative từ Primary DNS

- Sử dụng stub có thể tăng tốc độ phân giải tên và dễ quản lý.

DNS Zone :

- DNS Zone là tập hợp các ánh xạ từ host đến địa chỉ IP và từ IP đến host của một phần liên tục

trong một nhánh của domain..

- Hệ thống tên miền (DNS) cho phép phân chia tên miền để quản lý và nó chia hệ thống tên miền

thành Zone và trong Zone quản lý tên miền được phân chia đó.Các Zone chứa thông tin vê miền cấp

thấp hơn, có khả năng chia thành các Zone cấp thấp hơn và phân quyền cho các DNS Server khác

quản lý.

- Có 2 loại DNS Zone : Standard Primary Zone và Active Directory Integrated Zones.

Standard Primary Zone :

- Được sử dụng trong các single domain, không có Active Dicrectory .

- Tất cả những thay đổi trong Zone sẽ không ảnh hưởng đến các Zone khác.Tuy nhiên nếu ta tạo

thêm một Zone (Secondary Zone), thì Zone này sẽ bị ảnh hưởng từ Primary Zone. Secondary Zone

sẽ lấy thông tin từ Primary Zone.

- Quá trình chuyển thông Primary Zone đến Secondary Zone được gọi là Zone Transfer. Sau một

khoảng thời gian nhất định, Secondary Zone sẽ cập nhật các records từ Primary Zone, quá trình này

được gọi là synchronized ( đồng bộ hóa).

Active Directory Integrated Zones :

- Mặc định sẽ được tạo khi máy tính chạy DNS Server được nâng cấp thành Domain Contronller.

Active Directory Integrated Zones thực chất là Zone được nâng cấp lên từ Standard Primary Zone khi

lên Domain Controller

- DNS Zones được lưu như một đối tượng trong cơ sở dữ liệu của Active Directory.

- Thông tin về DNS Zones đều chứa trên tất cả Domain Contronller. Cho phép việc cập nhật tự động

cơ sở dữ liệu DNS Zones bảo mật (secure updates ).

4.RIPv1 và RIPv2 thuộc lớp Application :

RIPv1 RIPv2

• RIPv1 là giao thức định tuyến theo Distance-Vector. • RIPv1 là giao thức định tuyến theo lớp địa chỉ (Classful), tức là chỉ áp dụng subnet mask mặc định của địa chỉ lớp A,B và C /8 /16 /24.Không gửi kèm subnet mask khi gửi cập nhật định tuyến. • RIPv1 không hỗ trợ VLSM (Variable Length Subnet Masking). • RIPv1 hỗ trợ maximum metric (hop count) là 15. Bất kỳ router nào có metric cao hơn 15 được xem như là unreachable. • RIPv1 gửi cập nhật định tuyến theo chu kỳ mỗi 30 giây bằng broadcasts dùng địa chỉ IP đích là limited broadcast IP adddress 255.255.255.255. Vì thế cho nên, tất cả router phải xử lý thông tin cập nhật định tuyến dù có chạy RIPv1 hay không. • RIPv1 không hỗ trợ xác minh thông tin định tuyến .

• RIPv2 là giao thức định tuyến theo Distance-Vector có 1 vài đặc điểm của giao thức định tuyến Link State. • RIPv2 là giao thức định tuyến không theo lớp địa chỉ, cho phép người dùng đặt subnet mask cho mạng. Có thể gửi kèm subnet mask khi gửi cập nhật định tuyến • RIPv2 hỗ trợ VLSM (Variable Length Subnet Masking). • RIPv2 hỗ trợ maximum metric (hop count) là 15. Bất kỳ router nào có metric cao hơn 15 được xem như là unreachable. • RIPv2 hỗ trợ cập nhật bất cứ lúc nào. • RIPv2 cập nhật định tuyến gửi đi Multicast đến địa chỉ 224.0.0.9. Cập nhật Multicast giảm đi lưu lượng mạng, giảm đi overhead khi xử lý dữ liệu gói tin cập nhật định tuyến ở router không chạy RIPv2. • Chỉ các router chạy RIPv2 mới được tham gia vào nhóm Multicast 224.0.0.9. Những router không chạy RIPv2 sẽ lọc gói tin đi ở lớp 2. • RIPv2 hỗ trợ xác minh thông tin định tuyến RIPv2 (plain-text or MD5). Xác minh giúp nhận biết được gói tin đến từ nguồn đáng tin cậy.

RIPv1

Định tuyến theo lớp địa chỉ.

Không gởi thông tin về subnet-mask trong thông tin định tuyến.

Không hỗ trợ VLSM. Vì vậy tất cả các mạng trong hệ thống RIPv1 phải cùng subnet mask.

Không có cơ chế xác minh thông tin định tuyến.

Gởi quản bá theo địa chỉ 255.255.255.255

RIPv2

Định tuyến không theo lớp địa chỉ.

Có gởi thông tin về subnet mask trong thông tin định tuyến.

Có hỗ trợ VLSM. Nên các mạng trong hệ thống RIPv2 có thể có chiều dài subnet mask khác nhau.

Có cơ chế xác minh thông tin định tuyến.

Gửi quản bá theo địa chỉ 224.0.0.9 nên hiệu quả hơn.

5.NAT Netword Address Translation thuộc lớp Transport

vì nó thay đổi IP header:

Địa chỉ riêng (Private Address) : là địa chỉ IP được dành riêng và có thể được sử dụng trong

mạng nội bộ. Các gói dữ liệu có địa chỉ riêng sẽ không được định tuyến trên internet.

o Lớp A: 10.0.0.0/8 ->10.255.255.255

o Lớp B: 172.16.0.0/16 ->172.31.255.255

o Lớp C: 192.168.0.0/24 ->192.168.255.255

Địa chỉ công cộng (Public Address) : Là địa chỉ phải được đăng ký với một công ty có thẩm

quyền internet. Có thể được thuê từ 1 ISP.

– Là quá trình thay đổi thông tin địa chỉ IP trong gói tin đang được truyền qua một thiết bị định tuyến.

– Ban đầu, NAT được đưa ra nhằm giải quyết vấn đề thiếu hụt địa chỉ của IPv4.

– NAT giúp chia sẻ kết nối Internet (hay 1 mạng khác) với nhiều máy trong LAN chỉ với 1 IP duy nhất.

– NAT che giấu IP bên trong LAN.

– NAT giúp quản trị mạng lọc các gói tin được gửi đến hay gửi từ một địa chỉ IP và cho phép hay

cấm truy cập đến một port cụ thể.

– Có 4 loại NAT : Full Cone NAT, Restricted Cone NAT, Port Restricted Cone NAT, Symmetric NAT.

Cách hoạt động:

NAT sử dụng IP của chính nó làm Public IP Address cho mỗi máy con có Private IP Address.

Khi một máy con thực hiện kết nối hoặc gửi dữ liệu ra ngoài internet, dữ liệu sẽ được gởi tới

NAT, sau đó NAT sẽ thay thế địa chỉ IP gốc của máy con đó bằn địa chỉ Public của NAT rồi

gửi gói dữ liệu đi.

Sau khi đầu bên kia nhận được gói tin sẽ gửi trả lời cho NAT và NAT gửi lại cho máy trong

mạng nội bộ.

NAT cũng có thể coi như một firewall cơ bản. Để thực hiện được công việc đó, NAT duy trì

một bảng thông tin về mỗi gói tin được gửi qua. Khi một PC trên mạng kết nối đến 1 website

trên Internet header của địa chỉ IP nguồn được thay đổi và thay thế bằng địa chỉ Public mà

đã được cấu hình sẵn trên NAT server , sau khi có gói tin trở về NAT dựa vào bảng record

mà nó đã lưu về các gói tin, thay đổi địa chỉ IP đích thành địa chỉ của PC trong mạng và

chuyển tiếp đi. Thông qua cơ chế đó quản trị mạng có khả năng lọc các gói tin được gửi đến

hay gửi từ một địa chỉ IP và cho phép hay cấm truy cập đến một port cụ thể.

NAT xử lý một gói tin xuất phát từ bên trong đi ra bên ngoài một mạng theo cách thức sau:

+> Khi NAT nhận một gói tin từ một cổng bên trong, gói tin này đáp ứng các tiêu chuẩn để NAT,

router sẽ tìm kiếm trong bảng NAT địa chỉ bên ngoài (outside address) của gói tin. Nói cách khác,

tiến trình NAT tìm kiếm một hàng ở trong bảng NAT trong đó địa chỉ outside local address bằng với

địa chỉ đích của gói tin. Nếu không có phép so trùng nào tìm thấy, gói tin sẽ bị loại bỏ.

+> Nếu có một hàng trong bảng NAT là tìm thấy (trong hàng này, địa chỉ đích của gói tin bằng với địa

chỉ outside local), NAT sẽ thay thế địa chỉ đích trong gói tin bằng địa chỉ outside global theo thông tin

trong bảng NAT.

+> Tiến trình NAT tiếp tục tìm kiếm bảng NAT để xem có một địa chỉ inside local nào bằng vớI địa chỉ

nguồn của gói tin hay không. Nếu có một hàng là tìm thấy, NAT tiếp tục thay thế địa chỉ nguồn của

gói tin bằng địa chỉ inside global. Nếu không có một hàng nào được tìm thấy, NAT sẽ tạo ra một hàng

mới trong bảng NAT và chèn địa chỉ mới vào trong gói tin.

NAT sẽ xử lý một gói tin xuất phát từ mạng bên ngoài đi vào mạng bên trong theo cách sau:

+> Khi NAT nhận được một gói tin xuất phát từ một cổng bên ngoài, đáp ứng các tiêu chuẩn để NAT,

tiến trình NAT sẽ tìm kiếm trong bảng NAT một hàng trong đó địa chỉ inside global là bằng vớI đia chỉ

đích của gói tin.

+> Nếu không có hàng nào trong bảng NAT được tìm thấy, gói tin bị loại bỏ. Nếu có một hàng tìm

thấy trong bảng NAT, NAT sẽ thay thế địa chỉ đích bằng địa chỉ inside local từ bảng NAT.

+> Router tìm kiếm bảng NAT để tìm ra địa chỉ outside global bằng với địa chỉ nguồn của gói tin. Nếu

có một hàng là tìm thấy, NAT sẽ thay thế địa chỉ đích bằng địa chỉ outside local từ bảng NAT. Nếu

NAT không tìm thấy một hàng nào, nó sẽ tạo ra một hàng mới trong bảng NAT và cũng thực hiện

như ở bước 2.

Các khái niệm cơ bản .

1. Inside local address - Địa chỉ IP được gán cho một host của mạng trong. Đây là địa chỉ được cấu

hình như là một tham số của hệ điều hành trong máy tính hoặc được gán một cách tự động thông

qua các giao thức như DHCP. Địa chỉ này không phải là những địa chỉ IP hợp lệ được cấp bởi NIC

(Network Information Center) hoặc nhà cung cấp dịch vụ Internet

2. Inside global address - Là một địa chỉ hợp lệ được cấp bởi NIC hoặc một nhà cung cấp dịch vụ

trung gian. Địa chỉ này đại diện cho một hay nhiều địa chỉ IP inside local trong việc giao tiếp với mạng

bên ngoài.

3. Outside local address - Là địa chỉ IP của một host thuộc mạng bên ngoài, các host thuộc mạng

bên trong sẽ nhìn host thuộc mạng bên ngoài thông qua địa chỉ này. Outside local không nhất thiết

phải là một địa chỉ hợp lệ trên mạng IP (có thể là địa chỉ private).

4. Outside global address - Là địa chỉ IP được gán cho một host thuộc mạng ngoài bởi người sở

hữu host đó. Địa chỉ này được gán bằng một địa chỉ IP hợp lệ trên mạng Internet

Chúng ta có thể hình dung để phân biệt 4 kiểu địa chỉ này như sau:

Các gói tin bắt nguồn từ bên trong mạng nội bộ (inside) sẽ có source IP là địa chỉ kiểu “inside local”

và destination IP là “ouside local” khi nó còn ở trong phần mạng nội bộ. Cũng gói tin đó, khi được

chuyển ra ngoài mạng (qua NAT) source IP address sẽ được chuyển thành "inside global address"

và địa destination IP của gói tin sẽ là “outside global address”. Hay ngược lại, khi một gói tin bắt

nguồn từ một mạng bên ngoài, khi nó còn đang ở mạng bên ngoài đó, địa chỉ source IP của nó sẽ là

"outside global address", địa chỉ destination IP sẽ là "inside global address". Cũng gói tin đó khi được

chuyển vào mạng bên trong (qua NAT), địa chỉ source sẽ là "outside local address" và địa chỉ

destination của gói tin sẽ là "inside local address".

5b.NAT-T (Traversal)

NAT traversal (vượt tường) là thuật ngữ chung cho những kỹ thuật tạo dựng và duy trì kết nối mạng

giữa những máy nằm sau router NAT. NAT thường xuyên gây ra vấn đề với các kết nối mạng, nhất

là các kết nối giữa hai người dùng (end-to-end hoặc peer-to-peer connectivity). Vì thế, một nhóm các

kĩ thuật đã được phát triển để khắc phục vấn đề này. Các kĩ thuật này là tối quan trọng đối với các

ứng dụng/giao thức dựa trên kết nối gữa hai người dùng, điển hình như VoIP, chat, instant

messaging, video/audio call, WebRTC...

Vấn đề chủ yếu đối với các kĩ thuật Vượt Tường NAT là không có một tiêu chuẩn định nghĩa chung

cho tất cả các loại NAT. Vì thế, nhiều kĩ thuật khác nhau thường được ứng dụng để đạt 100% thành

công.

6. Thiết lập quan hệ láng giềng OSPF EIGRP thuộc lớp Network Access :

Giống OSPF, ngay khi bật EIGRP trên một cổng, router sẽ gửi các gói tin hello ra khỏi cổng để thiết

lập quan hệ láng giềng với router kết nối trực tiếp với mình. Điểm khác biệt là các gói tin hello được

gửi đến địa chỉ multicast dành riêng cho EIGRP là 224.0.0.10 với giá trị hello – timer (khoảng thời

gian định kỳ gửi gói hello) là 5s.

Hình 1 - Các router gửi gói tin hello.

Và cũng giống như OSPF, không phải cặp router nào kết nối trực tiếp với nhau cũng xây dựng được

quan hệ láng giềng. Để quan hệ láng giềng thiết lập được giữa hai router, chúng phải khớp với nhau

một số thông số được trao đổi qua các gói tin hello, các thông số này bao gồm:

1. Giá trị AS được cấu hình trên mỗi router.

2. Các địa chỉ đấu nối giữa hai router phải cùng subnet.

3. Thỏa mãn các điều kiện xác thực.

4. Cùng bộ tham số K.

Khi cấu hình EIGRP trên các router, ta phải khai báo một giá trị dùng để định danh cho AS mà router

này thuộc về. Giá trị này buộc phải khớp nhau giữa hai router kết nối trực tiếp với nhau để các router

này có thể thiết lập được quan hệ láng giềng với nhau. Về mặt cấu hình, giá trị AS này nằm ở vị trí

trong câu lệnh rất giống với giá trị process – id khi so sánh với câu lệnh cấu hình OSPF. Tuy nhiên,

giá trị process – id trong cấu hình OSPF chỉ có ý nghĩa local trên mỗi router và có thể khác nhau

giữa các router nhưng giá trị AS trong cấu hình EIGRP bắt buộc phải giống nhau giữa các router

thuộc cùng một routing domain.

Không giống như với OSPF, EIGRP không yêu cầu phải thống nhất với nhau về cặp giá trị Hello –

timer và Dead – timer (EIGRP gọi khái niệm này là Hold – timer) giữa hai neighbor.

Các router chạy EIGRP chỉ có một loại trạng thái quan hệ láng giềng là “Adjacency”, không chia

thành nhiều cập độ neighbor như với OSPF. Có thể hiểu “Adjacency” với EIGRP tương đương với

quan hệ dạng “Full” của OSPF.

Tiêu chuẩn lên láng giềng

OSPF:

o Nằm trong cùng 1 Area-ID.

o Các cổng có cùng Hello-timer và Dead-timer.

o Có cùng Subnet Mask và Stub Flag.

o Password giống nhau.

EIGRP:

o Có cùng AS

o Có cùng bộ tham số K

o Có cùng Subnet Mask.

o Password giống nhau.

o Có cùng chỉ sốmetric EIGRPf(BW,delay,load,reliability).

7.OSPF + EIGRP

Một số đặc điểm chính của giao thức OSPF:

1. Là chuẩn mở chạy trên router tất cả các hãng.

2. OSPF là một giao thức link – state điển hình.

3. Hoạt động :

a. Tất cả router phải có ID có dạng giống địa chỉ IP.

b. B1 :Mỗi router khi chạy giao thức sẽ gửi các trạng thái đường link của nó cho tất cả

các router trong vùng (area).

c. B2 :Sau một thời gian trao đổi, các router sẽ đồng nhất được bảng cơ sở dữ liệu

trạng thái đường link (Link State Database – LSDB) với nhau, mỗi router đều có

được “bản đồ mạng” của cả vùng.

d. B3 :Từ đó mỗi router sẽ chạy giải thuật Dijkstra tính toán ra một cây đường đi ngắn

nhất (Shortest Path Tree) và dựa vào cây này để xây dựng nên bảng định tuyến.

4. OSPF có AD = 110.

5. Metric của OSPF còn gọi là cost, được tính theo bandwidth trên cổng chạy OSPF.

6. OSPF chạy trực tiếp trên nền IP, có protocol – id là 89.

Một số đặc điểm chính của giao thức EIGRP:

1. EIGRP là một giao thức định tuyến do Cisco phát triển, chỉ chạy trên các sản phẩm của

Cisco.

2. EIGRP là một giao thức dạng Distance – vector được cải tiến (Advanced Distance vector).

EIGRP sử dụng thuật toán DUAL. Cách thức hoạt động của EIGRP vay mượn một số cấu

trúc và khái niệm của OSPF như: xây dựng quan hệ láng giềng, sử dụng bộ 3 bảng dữ liệu

(bảng neighbor, bảng topology và bảng định tuyến). Chính vì điều này mà EIGRP thường

được gọi là dạng giao thức lai ghép (hybrid). Tuy nhiên, về bản chất thì EIGRP thuần túy

hoạt động theo kiểu Distance – vector: gửi thông tin định tuyến là các route cho láng giềng

(chỉ gửi cho láng giềng) và tin tưởng tuyệt đối vào thông tin nhận được từ láng giềng.

3. EIGRP không gửi cập nhật theo định kỳ mà chỉ gửi toàn bộ bảng định tuyến cho láng giềng

cho lần đầu tiên thiết lập quan hệ láng giềng, sau đó chỉ gửi cập nhật khi có sự thay đổi. Điều

này tiết kiệm rất nhiều tài nguyên mạng.

4. Việc sử dụng bảng topology và thuật toán DUAL khiến cho EIGRP có tốc độ hội tụ rất nhanh.

5. EIGRP sử dụng một công thức tính metric rất phức tạp dựa trên nhiều thông số: Bandwidth,

delay, load và reliability.

6. Chỉ số AD của EIGRP là 90 cho các route internal và 170 cho các route external.

7. EIGRP chạy trực tiếp trên nền IP và có số protocol – id là 88.