EE4611: An ninh và quản trị mạng – HK1 2018/2019 TS. Đào Trung Kiên – ĐH Bách khoa Hà Nội Bài 7: Modem, DHCP, NAT, DNS 1
EE4611: An ninh và quản trị mạng – HK1 2018/2019
TS. Đào Trung Kiên – ĐH Bách khoa Hà Nội
Bài 7: Modem, DHCP, NAT, DNS
1
EE4611: An ninh và quản trị mạng – HK1 2018/2019
TS. Đào Trung Kiên – ĐH Bách khoa Hà Nội
Modem là gì
Modem: Modulator/Demodulator
Thiết bị chuyển đổi tín hiệu số tương tự dùng trong truyềnthông
Tốc độ thường đo bằng bps (bits per second)
Kết nối mạng nội bộ với WAN
Nhiều loại modem tuỳ thuộccông nghệ truyền thông
Modem điện thoại
Modem ADSL
Modem cáp quang
…
3
EE4611: An ninh và quản trị mạng – HK1 2018/2019
TS. Đào Trung Kiên – ĐH Bách khoa Hà Nội
Modem ngoài và modem trong
4
Modem trong:
cắm bên trong máy tính
không cần thêm nguồn
chia sẻ mạng phụ thuộcmáy tính
Modem ngoài: ngược lại
EE4611: An ninh và quản trị mạng – HK1 2018/2019
TS. Đào Trung Kiên – ĐH Bách khoa Hà Nội
Modem điện thoại
Dùng chung cơ sở hạ
tầng mạng điện thoại cố
định
Chuẩn V.90, V.92
Chất lượng không ổn
định
Lưu lượng thấp (56
Kbps) do dùng tần số âm
thanh (tần số thấp)
Chiếm dụng đường
truyền trong thời gian sử
dụng5
EE4611: An ninh và quản trị mạng – HK1 2018/2019
TS. Đào Trung Kiên – ĐH Bách khoa Hà Nội
Modem cáp đồng trục
Dùng chung cơsở hạ tầng mạngtruyền hình cáp
Chất lượng khôngổn định
Lưu lượng thấp(56 Kbps)
Cùng chia sẻđường truyềntrong thời gian sửdụng
6
EE4611: An ninh và quản trị mạng – HK1 2018/2019
TS. Đào Trung Kiên – ĐH Bách khoa Hà Nội
Modem xDSL DSL: digital subscriber line
Băng thông tương đối lớn
Chất lượng ổn định
Dùng chung cơ sở hạ tầngvới mạng điện thoại cố định
Dùng tần số cao (cỡ MHz) không ảnh hưởng tới tín hiệuđiện thoại
Không chiếm dụng đườngtruyền
Chia kênh để tăng lưu lượng
7
EE4611: An ninh và quản trị mạng – HK1 2018/2019
TS. Đào Trung Kiên – ĐH Bách khoa Hà Nội
Modem cáp quang
Tốc độ rất cao (có thể đạt 200-400 Gbps)
8
EE4611: An ninh và quản trị mạng – HK1 2018/2019
TS. Đào Trung Kiên – ĐH Bách khoa Hà Nội
Modem 3G/4G
Còn gọi là modem
không dây
Dùng mạng dữ liệu điện
thoại di dộng
9
EE4611: An ninh và quản trị mạng – HK1 2018/2019
TS. Đào Trung Kiên – ĐH Bách khoa Hà Nội
Thiết bị LAN
10
EE4611: An ninh và quản trị mạng – HK1 2018/2019
TS. Đào Trung Kiên – ĐH Bách khoa Hà Nội
Switch, hub, bridge, router
Xem các bài 5, 6
11
EE4611: An ninh và quản trị mạng – HK1 2018/2019
TS. Đào Trung Kiên – ĐH Bách khoa Hà Nội
DHCP
(Dynamic Host Configuration Protocol)
12
EE4611: An ninh và quản trị mạng – HK1 2018/2019
TS. Đào Trung Kiên – ĐH Bách khoa Hà Nội
Giới thiệu DHCP
Là giao thức giúp người quản trị mạng tự động gán
địa chỉ IP và một số thông số mạng cho các thiết bị
Tránh phải cấu hình từng thiết bị tham gia vào mạng một
cách thủ công
Là mở rộng của giao thức Bootstrap (BOOTP):
Là giao thức cho phép các thiết bị không có ổ cứng: tìm
server, nhận IP từ server, tải file cấu hình từ server, và
khởi động theo cấu hình
Địa chỉ IP các thiết bị được cấu hình trước một cách thủ
công và lưu trong CSDL của server
13
EE4611: An ninh và quản trị mạng – HK1 2018/2019
TS. Đào Trung Kiên – ĐH Bách khoa Hà Nội
Tổng quan
DHCP hoạt động ở tầng Application
Dựa trên giao thức UDP, cổng 67, 68
Cho phép thực hiện 3 cơ chế cấp phát IP:
Cấp phát tự động
Cấp phát động
Cấp phát thủ công
Các vai trò của host trong DHCP
DHCP server
DHCP client
DHCP relay (chuyển tiếp)
14
EE4611: An ninh và quản trị mạng – HK1 2018/2019
TS. Đào Trung Kiên – ĐH Bách khoa Hà Nội
Yêu cầu với DHCP
Đảm bảo cấp phát địa chỉ duy nhất trong mạng cho
client
Giữ cấu hình cho client khi client bị ngắt mạng
Cho phép cấp phát tĩnh với một số client nhất định
15
EE4611: An ninh và quản trị mạng – HK1 2018/2019
TS. Đào Trung Kiên – ĐH Bách khoa Hà Nội
Cấu trúc bản tin DHCP
OpCode: 1 = client request,
2 = server response
Hw type: 1 = Ethernet
Hw addr len: 6 = MAC length
16
Hop count: số hop đã chuyển tiếp
Trans ID: dùng để khớp các bản tin
request/response
Boot file name: dùng cho BOOTP
EE4611: An ninh và quản trị mạng – HK1 2018/2019
TS. Đào Trung Kiên – ĐH Bách khoa Hà Nội
Cơ chế hoạt động
17
EE4611: An ninh và quản trị mạng – HK1 2018/2019
TS. Đào Trung Kiên – ĐH Bách khoa Hà Nội
Bản tin DISCOVER
Client quảng bá để tìm (các) DHCP server trong
mạng
18
EE4611: An ninh và quản trị mạng – HK1 2018/2019
TS. Đào Trung Kiên – ĐH Bách khoa Hà Nội
Bản tin OFFER
Server trả lời bản tin DISCOVER kèm theo địa chỉ của mình
19
EE4611: An ninh và quản trị mạng – HK1 2018/2019
TS. Đào Trung Kiên – ĐH Bách khoa Hà Nội
Bản tin REQUEST, ACK
Client gửi đến server để: yêu cầu thông tin cấu hình, gia hạn thờigian sử dụng với cấu hình đã có
20
EE4611: An ninh và quản trị mạng – HK1 2018/2019
TS. Đào Trung Kiên – ĐH Bách khoa Hà Nội
Các bản tin khác
NAK: server thông báo không đáp ứng được
REQUEST của client, địa chỉ của client không đúng
hoặc thông tin cấu hình của client đã hết hạn
DECLINE: client thông báo với server địa chỉ mạng
đã được sử dụng
RELEASE: client thông báo với server không còn sử
dụng địa chỉ mạng nữa
21
EE4611: An ninh và quản trị mạng – HK1 2018/2019
TS. Đào Trung Kiên – ĐH Bách khoa Hà Nội
Nhiều DHCP server trong mạng?
22
EE4611: An ninh và quản trị mạng – HK1 2018/2019
TS. Đào Trung Kiên – ĐH Bách khoa Hà Nội
DHCP client: Windows
Một số lệnh
ipconfig /all
ipconfig /release
ipconfig /renew
23
EE4611: An ninh và quản trị mạng – HK1 2018/2019
TS. Đào Trung Kiên – ĐH Bách khoa Hà Nội
NAT
(Network Address Translation)
24
EE4611: An ninh và quản trị mạng – HK1 2018/2019
TS. Đào Trung Kiên – ĐH Bách khoa Hà Nội
Tổng quan về NAT
Các host trong mạng IP nội bộ không kết nối trực
tiếp với Internet
IP trong mạng nội bộ thường được gán tuỳ tiện,
không được đăng ký và không đảm bảo duy nhất
nếu tham gia vào Internet
Tăng cường bảo mật của mạng nội bộ bằng cách
tránh các kết nối trực tiếp với bên ngoài
Số lượng IPv4 hạn chế ngay cả dùng CIDR
Dịch vụ NAT làm trung gian kết nội mạng nội bộ và
Internet
25
EE4611: An ninh và quản trị mạng – HK1 2018/2019
TS. Đào Trung Kiên – ĐH Bách khoa Hà Nội
Địa chỉ IP nội bộ và IP internet
Các dải IP mạng nội bộ: 10.0.0.0/8
172.16.0.0/20
192.168.0.0/16
Các địa chỉ này không nhận được các route đến
26
H1
R1
H2
10.0.1.3
10.0.1.1
10.0.1.2
H3
R2
H4
10.0.1.310.0.1.2
Private network 1
Internet
H5
10.0.1.1Private network 1
213.168.112.3
128.195.4.119 128.143.71.21
EE4611: An ninh và quản trị mạng – HK1 2018/2019
TS. Đào Trung Kiên – ĐH Bách khoa Hà Nội
NAT
Là một dịch vụ (chức năng) của router
Thay thế địa chỉ IP nội bộ trong các gói tin các host gửi ra
ngoài bằng IP public của router
Các gói tin đến được thay thế IP theo chiều ngược lại và
gửi lại cho host
Xác định host sử dụng port trên router tương ứng với
host
Router nằm trên biên của mạng (như gateway)
Cho phép các host trong mạng nội bộ kết nối với
host ngoài Internet một cách trong suốt
Cả host trong và ngoài mạng đều không cần biết về sự
hiện diện của NAT ở giữa
27
EE4611: An ninh và quản trị mạng – HK1 2018/2019
TS. Đào Trung Kiên – ĐH Bách khoa Hà Nội
Cơ chế hoạt động
Thiết bị NAT thường có một bảng thông tin chuyển
đổi
Gồm các cặp thông tin (địa chỉ IP, cổng)
28
EE4611: An ninh và quản trị mạng – HK1 2018/2019
TS. Đào Trung Kiên – ĐH Bách khoa Hà Nội
Cho phép sử dụng nhiều hơn một IP public (IP pooling)
29
H1
private address: 10.0.1.2
public address:
H5
Private
networkInternet
Source = 10.0.1.2
Destination = 213.168.112.3
Source = 128.143.71.21
Destination = 213.168.112.3
public address: 213.168.112.3NAT
device
Private
Address
Public
Address
10.0.1.2
Pool of addresses: 128.143.71.0-128.143.71.30
EE4611: An ninh và quản trị mạng – HK1 2018/2019
TS. Đào Trung Kiên – ĐH Bách khoa Hà Nội
Phân tải server dịch vụ
30
EE4611: An ninh và quản trị mạng – HK1 2018/2019
TS. Đào Trung Kiên – ĐH Bách khoa Hà Nội
Nhược điểm
NAT không đảm bảo kết nối end-to-end
Host từ ngoài mạng không thể mở kết nối trực tiếp tới
host trong mạng
Vấn đề càng phức tạp khi cả hai host thuộc hai mạng nội
bộ khác nhau
Các ứng dụng cần thông tin địa chỉ IP trong dữ liệu
tầng Application thường không hoạt động qua NAT
Cần thêm các giải pháp khác bổ sung ở các tầng này
31
EE4611: An ninh và quản trị mạng – HK1 2018/2019
TS. Đào Trung Kiên – ĐH Bách khoa Hà Nội
Ví dụ cấu hình NAT: pfSense
32
EE4611: An ninh và quản trị mạng – HK1 2018/2019
TS. Đào Trung Kiên – ĐH Bách khoa Hà Nội
DNS
(Domain Name System)
33
EE4611: An ninh và quản trị mạng – HK1 2018/2019
TS. Đào Trung Kiên – ĐH Bách khoa Hà Nội
Vì sao cần DNS
Mạng TCP/IP hoạt động chủ yếu dựa trên địa chỉ IP
Khó ghi nhớ đối với con người Cần một dịch vụ ánh xạ
các tên dễ nhớ hơn (domain, tên miền) với địa chỉ IP
Vai trò tương tự như sổ danh bạ điện thoại, nhưng hoạt
động trên phạm vi toàn Internet
34
EE4611: An ninh và quản trị mạng – HK1 2018/2019
TS. Đào Trung Kiên – ĐH Bách khoa Hà Nội
Tổng quan về DNS
Hoạt động theo mồ hình client-server, nhưng được
phân tán và phân cấp
Không server chứa toàn bộ thông tin DNS
Cho phép thực hiện truy vấn 2 chiều domain IP
35
1. What is the IP address of wonderful.com?
1. What is the host name of 200.200.200.5
It is 200.200.200.5
It is wonderful.com
EE4611: An ninh và quản trị mạng – HK1 2018/2019
TS. Đào Trung Kiên – ĐH Bách khoa Hà Nội
Ví dụ ứng dụng DNS: Web
36
EE4611: An ninh và quản trị mạng – HK1 2018/2019
TS. Đào Trung Kiên – ĐH Bách khoa Hà Nội
Ví dụ ứng dụng DNS: Mail
Fully Qualified Domain Name (FQDN):
wonderful.com.
Các ứng dụng thường tự động thêm “.” cuối cùng
37
EE4611: An ninh và quản trị mạng – HK1 2018/2019
TS. Đào Trung Kiên – ĐH Bách khoa Hà Nội
Tên miền
Cơ chế phân cấp giúp dễ dàng mởrộng
VD:
www.hust.edu.vn. thuộc hust.edu.vn.
hust.edu.vn. thuộc edu.vn.
edu.vn. thuộc vn.
38
EE4611: An ninh và quản trị mạng – HK1 2018/2019
TS. Đào Trung Kiên – ĐH Bách khoa Hà Nội
Hệ thống DNS hiện nay
Quản lý ở cấp cao nhất bởi ICANN
Hiện gồm 3 nhóm domain
39
EE4611: An ninh và quản trị mạng – HK1 2018/2019
TS. Đào Trung Kiên – ĐH Bách khoa Hà Nội
Domain chung
40
EE4611: An ninh và quản trị mạng – HK1 2018/2019
TS. Đào Trung Kiên – ĐH Bách khoa Hà Nội
Domain các nước
Tên miền .vn của Việt
Nam do VNNIC quản
lý
41
EE4611: An ninh và quản trị mạng – HK1 2018/2019
TS. Đào Trung Kiên – ĐH Bách khoa Hà Nội
Inverse domain
Nhằm giúp thực hiện
các truy vấn ngược IP
domain
42
EE4611: An ninh và quản trị mạng – HK1 2018/2019
TS. Đào Trung Kiên – ĐH Bách khoa Hà Nội
Máy chủ tên miền
Chứa thông tin DNS cấp thấp hơn
Trả lời các truy vấn tên miền (cổng 53)
43
EE4611: An ninh và quản trị mạng – HK1 2018/2019
TS. Đào Trung Kiên – ĐH Bách khoa Hà Nội
Phân giải tên miền
Thực hiện truy vấn để ánh xạ tên miền địa chỉ IP
Hai cách thực hiện Iterative (tuần tự)
Recursive (đệ quy)
Có cơ chế lưu cache để tăng hiệu năng
44
Query
Response
Resolver Name Server
EE4611: An ninh và quản trị mạng – HK1 2018/2019
TS. Đào Trung Kiên – ĐH Bách khoa Hà Nội
Phân giải tuần tự
45
EE4611: An ninh và quản trị mạng – HK1 2018/2019
TS. Đào Trung Kiên – ĐH Bách khoa Hà Nội
Phân giải đệ quy
46
EE4611: An ninh và quản trị mạng – HK1 2018/2019
TS. Đào Trung Kiên – ĐH Bách khoa Hà Nội
DNS cache
Các DNS resolver thường lưu các domain đã phângiải vào cache trong một thời gian nhất định Giảm tải
Tăng hiệu năng của toàn hệ thống DNS
Cache được thực hiện ở nhiều cấp độ
Với các máy cá nhân: bật sẵn trên Windows vàMacOS, nhưng không bật sẵn trên Linux
47
EE4611: An ninh và quản trị mạng – HK1 2018/2019
TS. Đào Trung Kiên – ĐH Bách khoa Hà Nội
Bản ghi DNS (DNS records)
Chứa các thông tin tên miền, TTL trong CSDL của
máy chủ tên miền
TTL: time to live
48
label ttlclass
record
type rdata
www.ripe.net. 3600 IN A 10.10.10.2
ripe.net. 7200 IN SOA ns.ripe.net. olaf.ripe.net. (
2001061501 ; Serial
43200 ; Refresh 12 hours
14400 ; Retry 4 hours
345600 ; Expire 4 days
7200 ; Negative cache 2 hours
)
ripe.net. 7200 IN NS ns.ripe.net.
ripe.net. 7200 IN NS ns.eu.net.
pinkje.ripe.net. 3600 IN A 193.0.1.162
host25.ripe.net. 2600 IN A 193.0.3.25
EE4611: An ninh và quản trị mạng – HK1 2018/2019
TS. Đào Trung Kiên – ĐH Bách khoa Hà Nội
Bản ghi SOA và NS
Chưa các thông tin về chính máy chủ DNS đó
SOA chứa thông tin về nơi đăng ký
49
Timing parameter
Master server Contact address
Version number
net. 3600 IN SOA A.GTLD-SERVERS.net. nstld.verisign-grs.com. (
2002021301 ; serial
30M ; refresh
15M ; retry
1W ; expiry
1D ) ; neg. answ. ttl
EE4611: An ninh và quản trị mạng – HK1 2018/2019
TS. Đào Trung Kiên – ĐH Bách khoa Hà Nội
Đăng ký tên miền
Đăng ký tại các dịch vụ bán tên miền (resellers)
Có thể sử dụng DNS server của nhà bán lẻ, hoặc tự thiếtlập DNS server của riêng
50
EE4611: An ninh và quản trị mạng – HK1 2018/2019
TS. Đào Trung Kiên – ĐH Bách khoa Hà Nội
WHOIS
Giao thức truy vấn thông
tin đăng ký tên miền
Cung cấp bởi các dịch
vụ đăng ký và quản lý
tên miền
Một số dịch vụ
https://www.whois.net/
https://whois.icann.org/en
https://www.whois.com/
https://vnnic.vn/whois-
information
51
EE4611: An ninh và quản trị mạng – HK1 2018/2019
TS. Đào Trung Kiên – ĐH Bách khoa Hà Nội
DynDNS (hay DDNS)
Tên miền thường được đăng ký lâu dài và gắn với
IP cố định
Tuy nhiên, khi IP có thể bị thay đổi thường xuyên
cập nhật DNS tự động
Một số nhà cung cấp
dịch vụ:
https://dyn.com/
https://www.noip.com/
52
EE4611: An ninh và quản trị mạng – HK1 2018/2019
TS. Đào Trung Kiên – ĐH Bách khoa Hà Nội
DNS client: Windows
Một số lệnh liên quan ipconfig /all
ipconfig /flushdns
nslookup google.com
nslookup 216.58.221.142
ping google.com
ping -a 216.58.221.142
DNS thủ công <WinDir>\system32\drivers\etc\hosts
53
EE4611: An ninh và quản trị mạng – HK1 2018/2019
TS. Đào Trung Kiên – ĐH Bách khoa Hà Nội
DNS spoofing (DNS giả mạo)
54