Đồ án Quản trị mạng máy tính

ều cổng giao tiếp ra/vào. Là thiết bị định tuyến đường đi cho việc truyền thông trên mạng, khả năng vận chuyển dữ liệu với mức độ thông minh cao bằng cách xác định đường đi ngắn nhất cho việc gửi dữ liệu. Nó có thể định tuyến cho 1 gói dữ liệu đi qua nhiều kiểu mạng khác nhau và dùng bảng định tuyến lưu những địa chỉ đường mạng để xác định đường đi tốt nhất để đến đích. Router làm việc ở tầng 3-tầng Mạng-Network trong mô hình OSI. Lợi thế của việc dùng Router hơn Bridge (vì Routers là sự kết hợp của Bridge và Switch) đó là vì Router có thể xác định đường đi tốt nhất cho dữ liệu đi từ điểm bắt đầu đến đích của nó. Cũng giống như Bridge, Router có khả năng lọc nhiễu tuy nhiên nó làm việc chậm hơn Bridge vì nó thông minh hơn do phải phân tích mỗi gói dữ liệu qua nó. Do những tính năng thông minh như thế nên giá thành của Router cao hơn các thiết bị khác rất nhiều. Ứng dụng trong các kết nối LAN-LAN, LAN-WAN, WAN-WAN, ví dụ kết nối giữa mạng LAN của bạn với ISP mà bạn đang sử dụng (có thể là đường truyền Dial-up, Leasline, xDSL, ISDN…), xây dựng một mạng WAN (từ 2 router trở lên), kết nối 2 mạng LAN vật lý thành một LAN logic, kết nối giữa 2 ISP với nhau. Các loại Router. Mô hình ứng dụng thực tế của Router. Brouter: Brouter thật sự là một ý tưởng tài tình vì nó là sự kết hợp các tính năng tốt nhất của Bridge và Router. Được dùng để kết nối những phân đoạn mạng khác nhau và cũng chỉ định tuyến cho 1 giao thức cụ thể nào đó. Cần nhắc lại Bridge làm việc tại tầng Data Link,Router làm việc tại tầng Network của mô hình OSI. Đầu tiên Brouter kiểm tra những gói dữ liệu đi vào, xác định xem giao thức của gói đó có thể định tuyến hay không, ví dụ TCP/IP thì có thể, ngược lại giao thức NetBEUI của Microsoft thì không thể. Nếu Router xác định gói dữ liệu đó có thể định tuyến nó sẽ dựa vào bảng định tuyến để định ra đường đi cho gói đó, ngược lại nó sẽ dựa vào bảng địa chỉ MAC để xác định nơi nhận thích hợp. Gateway: Là thiết bị trung gian dùng để nối kết những mạng khác nhau cả về kiến trúc lẫn môi trường mạng. Gateway được hiểu như cổng ra vào chính của một mạng nội bộ bên trong kết nối với mạng khác bên ngoài. Có thể đó là thiết bị phần cứng chuyên dụng nhưng thường là một server cung cấp kết nối cho các máy mà nó quản lý đi ra bên ngoài giao tiếp với một mạng khác. Gateway là thiết bị mạng phức tạp nhất vì nó xử lý thông tin ở tất cả các tầng trong mô hình OSI nhưng thường thì ở tầng 7. Ứng dụng (Application) vì ở đó nó chuyển đổi dữ liệu và đóng gói lại cho phù hợp với những yêu cầu của địa chỉ đích đến.. Điều này làm cho Gateway chậm hơn những thiết bị kết nối mạng khác và tốn kém hơn. Gateway kiểm soát tất cả các luồng dữ liệu đi ra và vào bên trong mạng, nhằm ngăn chặn những kết nối bất hợp pháp, cho phép người quản trị chia sẻ một số dịch vụ trên nó (cho chia sẻ internet). Mô hình ứng dụng của Gateway. Modem: Là thiết bị dùng để chuyển đổi dữ liệu định dạng số thành dữ liệu định dạng tương tự cho một quá trình truyền từ môi trường tín hiệu số qua môi trường tín hiệu tương tự và sau đó trở ra môi trường tín hiệu số ở phía nhận cuối cùng. Tên gọi Modem thật ra là từ viết tắt được ghép bởi những chữ cái đầu tiên của MOdulator/DEModulator –Bộ điều biến/Bộ giải điều biến. Việc giao tiếp của Modem với máy tính được chia làm hai loại: Internal- gắn trong và External-gắn ngoài. Loại Internal: giao tiếp với máy tính bằng các khe cắm mở rộng trên Bo mạch chính của máy tính như khe ISA, PCI. Trong khi đó loại External giao tiếp với máy tính bằng các cổng như COM, USB. Cả 2 loại đều hỗ trợ tốc độ truy cập lên đến 56Kb/s. Phương tiện truyền dẫn của Modem là cáp điện thoại, sử dụng đầu RJ-11 để giao tiếp. Dùng để kết nối Internet bằng kết nối Dial-up-dịch vụ quay số thông qua mạng điện thoại công cộng. Kết nối các mạng LAN ở những khu vực địa lý khác nhau tạo thành một mạng WAN. Hỗ trợ công tác quản trị từ xa bằng dịch vụ RAS-Remote Access Service (Dịch vụ truy cập từ xa).., giúp cho nhà quản trị mạng quản lý dễ dàng hệ thống mạng của mình từ xa. Chi phí cho việc sử dụng Modem là rất thấp, xong mạng lại hiệu quả rất lớn Sơ đồ kết nối của Modem Internal và External. Các phương tiện truyền dẫn: Phương tiện truyền dẫn là những phương tiện vật lý cung cấp môi trường truyền dẫn cho các thiết bị mạng truyền thông với nhau trên nó. Được chia làm 2 loại là Hữu tuyến và Vô tuyến. Tín hiệu truyền thông trên nó là tín hiệu Số và tín hiệu Tương tự. Các thuộc tính của phương tiện truyền dẫn: Chi phí; Phương thức thiết kế, lắp đặt; Băng tầng cơ sở-Baseband; Băng thông-Bandwidth; Độ suy giảm của tín hiệu- Signal Attenuation; Nhiễu điện từ- Electronmagnetic Interference(EMI); Nhiễu xuyên kênh. Các loại cáp: Cáp đồng trục (coaxial): Là loại cáp đầu tiên được dùng trong các LAN. Cấu tạo của Cáp đồng trục gồm: Dây dẫn trung tâm: lõi đồng hoặc dây đồng bện; Một lớp cách điện giữa dây dẫn phía ngoài và dây dẫn trung tâm; Dây dẫn ngoài: bao quanh lớp cách điện và dây dẫn trung tâm dưới dạng dây đồng bện hoặc lá. Dây này có tác dụng bảo vệ dây dẫn trung tâm khỏi nhiễu điện từ và được kết nối để thoát nhiễu; Ngoài cùng là một lớp vỏ nhựa-plastic bảo vệ cáp. Cấu tạo của cáp đồng trục. Có 2 loại cáp đồng trục: Cáp đồng trục mỏng và Cáp đồng trục dày. Cáp đồng trục mỏng (Thin cable/Thinnet): Được dùng trong mạng Ethernet 10Base2; Có đường kính khoảng 6 mm, thuộc họ RG-58; Chiều dài tối đa cho phép truyền tín hiệu là 185m; Dùng đầu nối: BNC, T connector; Số node tối đa trên 1 đoạn cáp là 30; Tốc độ : 10Mbps; Chống nhiễu tốt; Độ tin cậy: trung bình Độ phức tạp cho việc lắp đặt: trung bình; Khắc phục lỗi kém; Quản lý khó; Chi phí cho 1 node kết nối vào: thấp; Ứng dụng tốt nhất: Dùng trong mạng đường trục-Backbone. BNC connector. Sơ đồ kết nối máy tính vào hệ thống dùng Thinnet. Để kết nối một máy tính vào 1 phân đoạn mạng dùng cáp đồng trục mỏng, ta phải thực hiện theo sơ đồ kết nối trên. Cáp đồng trục dày (Thick cable/Thicknet): Được dùng trong mạng Ethernet 10Base5; Có đường kính khoảng 13 mm, thuộc họ RG-8; Khoảng cách tối đa cho phép truyền tín hiệu: 500m; Dùng đầu nối: N-series; Số node tối đa trên 1 đoạn cáp: 100; Tốc độ: 10Mbps; Chống nhiễu tốt; Độ tin cậy: Tốt; Độ phức tạp cho việc lắp đặt: cao; Khắc phục lỗi kém; Quản lý: khó; Chi phí cho 1 node kết nối vào: trung bình; Ứng dụng tốt nhất: Dùng trong mạng đường trục-Backbone. N-series connector. Để kết nối máy tính vào một phân đoạn mạng dùng cáp đồng trục dày ta phải dùng một đầu chuyển đổi-transceiver thông qua cổng AUI của máy tính. Cách kết nối tham khảo ở phần Transceiver. Cáp xoắn đôi: Cáp xoắn đôi gồm nhiều cặp dây đồng xoắn lại với nhau nhằm chống phát xạ nhiễu điện từ. Có hai loại cáp xoắn đôi được sử dụng rộng rãi trong LAN: Cáp xoắn đôi có vỏ bọc kim loại chống nhiễu- STP Cable (Shielded twisted-Pair) và Cáp xoắn đôi không có vỏ bọc kim loại chống nhiễu-UTP Cable (Unshielded Twisted- Pair). Cáp xoắn đôi có vỏ bọc chống nhiễu STP (Shielded twisted-Pair): Gồm nhiều cặp xoắn đôi được phủ bên ngoài một lớp vỏ làm bằng dây đồng bện. Lớp vỏ này có tác dụng chống nhiễu điện từ từ bên ngoài vào và chống phát xạ nhiễu bên trong. Lớp vỏ bọc chống nhiễu này được nối đất để thoát nhiễu. Cáp STP ít bị tác động bởi nhiễu điện và có tốc độ truyền qua khoảng cách xa cao hơn cáp UTP. Cấu tạo cáp STP. Khoảng cách tối đa cho phép truyền tín hiệu : 100m; Tốc độ: 100Mbps; Đầu nối: STP sử dụng đầu nối DIN (DB-9). Cáp xoắn đôi không có vỏ bọc chống nhiễu UTP (Unshielded Twisted- Pair): Gồm nhiều cặp xoắn như cáp STP nhưng không có lớp vỏ đồng chống nhiễu. Cáp UTP được sử dụng trong mạng Ethernet 10BaseT hoặc 100BaseT. Do giá thành rẻ nên đã nhanh chóng trở thành loại cáp mạng cục bộ được ưa chuộng nhất. Không có vỏ bọc chống nhiễu nên dễ bị nhiễu khi đặt gần các thiết bị và cáp khác do đó thông thường dùng để đi dây trong nhà. Đầu nối dùng RJ- 45 Cáp UTP được phân thành các loại sau : Loại 1: có 2 cặp dây xoắn, dùng truyền tín hiệu âm thanh, tốc độ < 4Mbps, ứng dụng trong mạng PSTN; Loại 2: có 4 cặp dây xoắn, tốc độ lên đến 4 Mbps, ứng dụng trong mạng Token Ring over UTP. Loại 3: có 4 cặp dây xoắn, 3 mắt xoắn trên mỗi foot, tốc độ lên đến 10 Mbps, dùng truyền tín hiệu thoại rất tốt. Loại 4: có 4 cặp dây xoắn, dùng truyền dữ liệu, tốc độ đạt được 16Mbps có thể lên đến 20Mbps, ứng dụng cho mạng Token Ring tốc độ cao. Loại 5: có 4 cặp dây xoắn, dùng truyền dữ liệu, tốc độ 100 Mbps có thể đạt 1Gbps, ứng dụng trong mạng Fast Ethernet. Loại 5e: có 4 cặp dây xoắn, dùng truyền dữ liệu, tốc độ 1Gbps, giá thành cao hơn loại 5, ứng dụng trong mạng Giga Ethernet. Loại 6: có 4 cặp dây xoắn, dùng truyền dữ liệu, tốc độ từ 1Gbps đến 10Gbps, được chỉ định thay thế cho loại 5e, ứng dụng trong mạng Super Ethernet. Đặc điểm của cáp UTP: Khoảng cách tối đa cho phép truyền tín hiệu: 100m; Lắp đặt: dễ dàng; Khắc phục lỗi: tốt; Quản lý: dễ dàng; Chi phí: thấp; Ứng dụng: mạng LAN. Ngoài cáp STP và UTP còn có cáp xoắn có vỏ bọc ScTP-FTP ( Screened Twisted- Pair) : FTP là loại cáp lai tạo giữa cáp UTP và STP, nó hỗ trợ chiều dài tối đa 100m: Cấu tạo cáp ScTp-FTP. Cáp UTP và STP sử dụng đầu nối RJ-11, RJ-45: Các kỹ thuật bấm cáp mạng: Chuẩn kết nối cáp của đầu nối RJ-45 được chia thành 2 chuẩn: T-568A và T-568B, được phân chia theo mã màu trên cáp UTP và cáp STP như sau: Cáp thẳng (Straight- Through cable): là cáp dùng để nối PC và các thiết bị mạng như Hub, Switch…. Cáp thẳng theo chuẩn 10/100 Base-T dùng 2 cặp cáp xoắn nhau và dùng chân 1,2,3,6 trên đầu RJ-45. Cặp dây xoắn thứ nhất nối vào chân 1,2, cặp dây xoắn thứ hai nối vào chân 3,6. Đầu cáp còn lại dựa vào màu nối vào chân của đầu RJ-45 ban đầu và nối tương tự: Cáp chéo (Crossover cable): là cáp dùng nối trực tiếp giữa hai thiết bị giống nhau như PC-PC, Hub - Hub, Switch - Switch. Cáp chéo trật tự dây cũng giống như cáp thẳng nhưng đầu dây còn lại phải chéo cặp dây xoắn sử dụng. Cáp Console: dùng để nối PC vào các thiết bị mạng chủ yếu dùng để cấu hình các thiết bị. Thông thường khoảng cách dây Console ngắn nên chúng ta không cần chọn cặp dây xoắn, mà chọn theo màu từ 1-> 8 sao cho dễ nhớ và đầu bên kia theo thứ tự ngược lại từ 8->1. Cáp quang (Fiber-Optic cable): Cáp quang có cấu tạo gồm dây dẫn trung tâm là sợi thủy tinh hoặc plastic đã được tinh chế nhằm cho phép truyền đi tối đa các tín hiệu ánh sáng. Sợi quang được tráng một lớp nhằm phản chiếu các tín hiệu . Cáp quang chỉ truyền sóng ánh sáng (không truyền tín hiệu điện) với băng thông cực cao nên không gặp các sự cố về nhiễu hay bị nghe trộm. Cáp dùng nguồn ánh sáng lasers, diode phát xạ ánh sáng. Cáp rất bền và độ suy tần tín hiệu rất thấp nên đoạn cáp có thể dài đến vài km. Băng thông cho phép đến 2Gbps. Nhưng cáp quang có khuyết điểm là giá thành cao và khó lắp đặt. Các loại cáp quang: Loại lõi 8.3 micron, lớp lót 125 micron, chế độ đơn. Loại lõi 50 micron, lớp lót 125 micron, đa chế độ. Loại lõi 62.5 micron, lớp lót 125 micron, đa chế độ. Loại lõi 100 micron, lớp lót 140 micron, đa chế độ. Hộp đấu nối cáp quang: do cáp quang không thể bẻ cong nên khi nối cáp quang vào các thiết bị khác chúng ta phải thông qua hộp đấu nối. Đầu nối cáp quang: đầu nối cáp quang rất đa dạng thông thường trên thị trường có các đầu nối như sau: FT, ST, FC … Sơ đồ đấu nối của cáp quang. Môi trường vô tuyến: Sóng Radio từ dãi tầng: 10KHz đến 1GHz; Sóng Viba: 21GHz đến 23GHz; Sóng Hồng ngoại 100GHz đến 1000GHz; Phần 5: Thiết kế mạng LAN Các vấn đề cần lưu ý: Khi thiết kế một hệ thống LAN ta cần chú ý những hạng mục cần thực sau đây, giúp cho việc định hướng đúng tác thiết kế xây dựng 1 hệ thống mạng LAN. Chi phí tổng thể cho việc đầu tư trang thiết bị cho toàn hệ thống; Những yêu cầu thật cần thiết cho hệ thống mạng tại thời điểm xây dựng và những kế hoạch mở rộng hệ thống trong tương lai; Khảo sát hiện trạng địa hình, địa lý, cách bố trí phòng ban; Cân nhắc áp dụng kiểu kiến trúc, công nghệ mạng thực sự cần thiết trong thời gian hiện tại và tương lai; Khảo sát và lựa chọn ISP hội tụ những điều kiện tốt nhất cho mạng LAN của mình; Lên kế hoạch tiến độ thi công, thực hiện toàn bộ công trình; Lập kế hoạch sử dụng tài chính; Lập kế hoạch chuẩn bị nhân lực; Lập bảng thống kê chi tiết cho việc triển khai đầu tư trang thiết bị; Mô hình hóa hệ thống mạng bằng phần mềm Visio; Triển khai công trình, quyết tâm thực hiện cho bằng được kế hoạch đưa ra với thời gian sớm nhất. Những yêu cầu chung của việc thiết kế mạng: Nói chung một hệ thống mạng LAN sau khi thiết kế xong phải thỏa mãn các điều kiện sau đây: Phải đảm bảo các máy tính trong công ty trao đổi dữ liệu được với nhau. Chia sẻ được máy in, máy Fax, ổ CD-ROM… Tổ chức phân quyền truy cập theo từng người dùng. Cho phép các nhân viên đi công tác có thể truy cập vào công ty. Tổ chức hệ thống Mail nội bộ và Internet. Tổ chức Web nội bộ và Internet. Cài đặt các chương trình ứng dụng phục vụ cho công việc của các nhân viên. Ngoài ra hệ thống mạng còn cung cấp các dịch vụ khác. Khảo sát hiện trạng: Cấu trúc toà nhà của công ty gồm 1 tầng trệt và 1 tầng lầu.Trong đó tầng trệt được chia thành 3 phòng ban và tầng lầu chia thành 2 phòng ban. Sơ đồ cấu trúc các phòng của toà nhà: Tầng trệt Cách phân phối các máy tính: Hệ thống mạng của công ty gồm 32 máy Client và 1 máy Server được phân phối cho 5 phòng ban như sau: Phòng Tài Chính – Kế Toán 10 máy Client Phòng Kinh Doanh 10 máy Client Phong Kỹ Thuật 10 máy Client và 1 máy Server Phòng Giám Đốc 1 máy Client Phòng Phó Giám Đốc 1 máy Client Mô hình Logic các phòng máy: Sơ đồ vật lý: Lựa chọn mô hình mạng: Do mô hình mạng được phân tích như trên, hệ thống mạng gồm 1 Server và 32 máy Client nên ở đây chúng ta sử dụng mô hình xử lý mạng tập trung với kiến trúc mạng Bus. Ngoài ra yêu cầu của hệ thống mạng là sử dụng BootRom. Ưu điểm: Dữ liệu được bảo mật an toàn, dễ backup và diệt virus. Chi phí cho các thiết bị thấp. Dùng ít cáp (303 m), dễ lắp đặt. Khi mở rộng mạng tương đối đơn giản, nếu khoảng cách xa thì có thể dùng Repeater để khuếch đại tín hiệu. Việc quản trị dễ dàng (do mạng thiết kế theo mô hình xử lý tập trung). Sử dụng Switch (không sử dụng hub) vì Switch có khả năng mở rộng mạng tối ưu hơn Hub ,tốc độ truyền dữ liệu nhanh…Ngoài ra Switch còn hỗ trợ Trunking,VLAN… Dùng cáp STP không dùng UTP vì STP chống nhiễu, tốc độ truyền tín hiệu nhanh, không bị nghe trộm. Tiết kiệm chi phí do ta sử dụng hệ thống mạng Bootrom. Không sợ xảy ra trục trặc về hệ điều hành. Khuyết điểm: Cấu hình máy Server phải mạnh (có thể là máy server chuyên dụng). Khó khăn trong việc cài đặt thêm các phần mềm cho client . Máy server phải cài nhiều dịch vụ cung cấp cho các máy client. Card mạng phải bắt buộc hỗ trợ BootRom theo chuẩn PXE với version 0.99 trở lên Phụ thuộc nhiều vào Server. Mọi sự thay đổi trên ổ cứng ảo của Client đều không có giá trị. Ram của hệ thống sẽ bị giảm do được sử dụng làm cache. Khó đáp ứng được yêu cầu của nhiều ứng dụng khác nhau. Tốc độ truy xuất không nhanh. Khi đoạn cáp hay các đầu nối bị hở ra thì sẽ có hai đầu cáp không nối được với terminator nên tín hiệu sẽ bị dội ngược và làm toàn bộ hệ thống mạng phải ngưng hoạt động. Những lỗi như thế sẽ rất khó phát hiện ra là hỏng ở chỗ nào nên công tác quản trị rất khó khi mạng lớn Thiết bị phần cứng: Thiết bị mạng : Switch: 1 Switch 24 port và 1 Switch 16 port Cáp: Sử dụng cáp STP Đầu nối cáp: Sử dụng đầu nối RJ-45 Card mạng: Card mạng phải hỗ trợ BootRom theo chuẩn PXE Bảng chi tiết từng loại thiết bị : ( tỷ giá : 1USD = 17,000VND) STT Thiết bị SL Đơn gía ($) Thành tiền 1 Cáp STP 303m 0.25 USD/m 1,287,750 2 Đầu nối RJ-45 68 cái 0.2USD/cái 231,200 3 Switch 24 port 1 cái 114USD/cái 1,938,000 3 Switch 16 port 1 cái 67USD/cái 1,139,000 4 Card mạng 33 cái 10 USD/cái 561,000 5 RomBoot 32 con 25000Đ/con 800,000 Tổng cộng 5,956,950 Máy tính: Máy Server: Vì hệ thống mạng sử dụng BootRoom nên cấu hình máy Server phải mạnh. Cấu hình đề xuất: Pentium 4, RAM 1GB, ổ cứng 120 GB chuẩn SATA hoặc SCSI, CPU tốc độ 3.0GHz, MainBoard hỗ trợ công nghệ siêu phân luồng. Bảng chi tiết cấu hình máy Server STT Linh Kiện Đặc Tính Giá Thành (USD) Số Lượng 1 MainBoard : Intel Pentium 4 Chip Intel 865PE, S/p 478 P4 3.06Ghz, AGP8X, ATA100, 4xDDRAM- 400Mhz, Sound on Board, 5PCI, Bus 800, USB2.0, 2 SATA-150 , kỹ thuật siêu phân luồng. 93 1 2 CPU: Intel Pentium 4 –3.0GC Soket 478 512K Bus 800 275 1 3 RAM: 512 DDRAM Bus 400 Mhz, PC3200 KINGMAX 78 2 HDD: 160GB SEAGATE SATA ATA/150 – 7.200 rpm 108 1 5 FDD: 1.44MB MITSUMI 6.5 1 6 VGA : 128MB ASUS V9520 MAGIC Geforce FX5200 - 8XOutTV DDR, S/p DVD 90 1 7 CASE ATX 300W 24 1 STT Linh Kiện Đặc Tính Giá Thành(USD) Số Lượng 8 MONITOR 15’’SAMSUNG Synmaster 93 1 9 KEYBOARD: MITSUMI PS/2 8 1 10 MOUSE: MITSUMI PS/2 3.5 1 11 CDROM: ASUS 52X IDE 20 1 Tổng cộng chi phí lắp ráp máy Server : 877USD =13,654,890.00 VND Máy Client: Máy tính thế hệ Pentium III , không ổ cứng, Ram 128M. Bảng chi tiết cấu hình máy và chi phí STT Linh Kiện Đặc Tính Đơn gía ($) Số Lượng 1 MainBoard : Tổng cộng Các thiết bị khác: Mordem ADSL, máy in STT Thiết bị S L Đơn gía ($) Thành tiền 1 2 Tổng cộng Phần mềm: Máy Server: Chạy hệ điều hành Microsoft Windows 2000 Server và cài các dịch vụ phục vụ cho các máy Client như: MS ISA Server, MS Exchange Server … Máy Client: Chạy hệ điều hành Microsoft Windows XP professional. Chạy các chương trình ứng dụng như: Microsoft Office XP, các phần mềm kế toán, nhân sự.Phần 6: Mạng diện rộng và WIFI Mạng chuyển mạch (Circuit Swiching Network): Để thực hiện được việc liên kết giữa hai điểm nút, một đường nối giữa điểm nút này và điểm nút kia được thiết lập trong mạng thể hiện dưới dạng cuộc gọi thông qua các thiết bị chuyển mạch. (Hình trang sau) Một ví dụ của mạng chuyển mạch là hoạt động của mạng điện thoại, các thuê bao khi biết số của nhau có thể gọi cho nhau và có một đường nối vật lý tạm thời được thiết lập giữa hai thuê bao. Với mô hình này mọi đường đều có thể một đường bất kỳ khác, thông qua những đường nối và các thiết bị chuyên dùng người ta có thể liên kết một đường tạm thời từ nơi gửi tới nơi nhận một đường nối vật lý, đường nối trên duy trì trong suốt phiên làm việc và chỉ giải phóng sau khi phiên làm việc kết thúc. Để thực hiện một phiên làm việc cần có các thủ tục đầy đủ cho việc thiết lập liên kết trong đó có việc thông báo cho mạng biết địa chỉ của nút nhận. Hình 6.1: Mô hình mạng chuyển mạch Hiện nay có 2 loại mạng chuyển mạch là chuyển mạch tương tự (analog) và chuyển mạch số (digital). Chuyển mạch tương tự (Analog): Việc chuyển dữ liệu qua mạng chuyển mạch tương tự được thực hiện qua mạng điện thoại. Các trạm sử dụng một thiết bị có tên là modem, thiết bị này sẽ chuyển các tín hiệu số từ máy tính sao cho tín hiệu tuần tự có thể truyền đi trên mạng điện thoại và ngược lại. Hình6.2: Mô hình chuyển mạch tương tự Chuyển mạch số (Digital): Đường truyền chuyển mạch số lần đầu tiên được AT&T thiệu vào cuối 1980 khi AT&T giới thiệu mạng chuyển mạch số Acnet với đường truyền 56 kbs. Việc sử dụng đường chuyển mạch số cũng đòi hỏi sử dụng thiết bị phục vụ truyền dữ liệu số (Data Service Unit - DSU) vào vị trí modem trong chuyển mạch tương tự. Thiết bị phục vụ truyền dữ liệu số có nhiệm vụ chuyển các tín hiệu số đơn chiều (unipolar) từ máy tính ra thành tín hiệu số hai chiều (bipolar) để truyền trên đường truyền. Hình 6.3: Mô hình chuyển mạch số Mạng chuyển mạch số cho phép người sử dụng nâng cao tốc độ truyền (ở đây do khác biệt giữa kỹ thuật truyền số và kỹ thuật truyền tương tự nên hiệu năng của truyền mạch số cao hơn nhiều so với truyền tương tự cho dù cùng tốc độ), độ an toàn. Vào năm 1991 AT&T giới thiệu mạng chuyển mạch số có tốc độ 384 Kbps. Người ta có thể dùng mạng chuyển mạch số để tạo các liên kết giữa các mạng LAN và làm các đường truyền dự phòng. Mạng thuê bao riêng (Leased line Network): Với kỹ thuật chuyển mạch giữa các nút của mạng (tương tự hoặc số) có một số lượng lớn đường dây truyền dữ liệu, với mỗi đường dây trong một thời điểm chỉ có nhiều nhất một phiên giao dịch, khi số lượng các trạm sử dụng tăng cao người ta nhận thấy việc sử dụng mạng chuyển mạch trở nên không kinh tế. Để giảm bớt số lượng các đường dây kết nối giữa các nút mạng người ta đưa ra một kỹ thuật gọi là ghép kênh. Hình 6.4: Mô hình ghép kênh Mô hình đó được mô tả như sau: tại một nút người ta tập hợp các tín hiệu trên của nhiều người sử dụng ghép lại để truyền trên một kênh nối duy nhất đến các nút khác, tại nút cuối người ta phân kênh ghép ra thành các kênh riêng biệt và truyền tới các người nhận. Có hai phương thức ghép kênh chính là ghép kênh theo tần số và ghép kênh theo thời gian, hai phương thức này tương ứng với mạng thuê bao tuần tự và mạng thuê bao kỹ thuật số. Trong thời gian hiện nay mạng thuê bao kỹ thuật số sử dụng kỹ thuật ghép kênh theo thời gian với đường truyền T đang được sử dụng ngày một rộng rãi và dần dần thay thế mạng thuê bao tuần tự. Phương thức ghép kênh theo tầng số: Để sử dụng phương thức ghép kênh theo tần số giữa các nút của mạng được liên kết bởi đường truyền băng tần rộng. Băng tần này được chia thành nhiều kênh con được phân biệt bởi tần số khác nhau. Khi truyền dữ liệu, mỗi kênh truyền từ người sử dụng đến nút sẽ được chuyển thành một kênh con với tần số xác định và được truyền thông qua bộ ghép kênh đến nút cuối và tại đây nó được tách ra thành kênh riêng biệt để truyền tới người nhận. Theo các chuẩn của CCITT có các phương thức ghép kênh cho phép ghép 12, 60, 300 kênh đơn. Người ta có thể dùng đường thuê bao tuần tự (Analog) nối giữa máy của người sử dụng tới nút mạng thuê bao gần nhất. Khi máy của người sử dụng gửi dữ liệu thì kênh dữ liệu được ghép với các kênh khác và truyền trên đường truyền tới nút đích và được phân ra thành kênh riêng biệt trước khi gửi tới máy của người sử dụng. Đường nối giữa máy trạm của người sử dụng tới nút mạng thuê bao cũng giống như mạng chuyển mạch tuần tự sử dụng đường dây điện thoại với các kỹ thuật chuyển đổi tín hiệu như V22, V22 bis, V32, V32 bis, các kỹ thuật nén V42 bis, MNP class 5. Phương thức ghép kênh theo thời gian: Khác với phương thức ghép kênh theo tần số, phương thức ghép kênh theo thời gian chia một chu kỳ thời gian hoạt động của đường truyền trục thành nhiều khoảng nhỏ và mỗi kênh truyền dữ liệu được một khoảng. Sau khi ghép kênh lại thành một kênh chung dữ liệu được truyền đi tương tự như phương thức ghép kênh theo tần số. Người ta dùng đường thuê bao là đường truyền kỹ thuật số nối giữa máy của người sử dụng tới nút mạng thuê bao gần nhất. Hiện nay người ta có các đường truyền thuê bao T1 với tốc độ 1.544 Mbps nó bao gồm 24 kênh vớp tốc độ 64 kbps và 8000 bits điều khiển trong 1 giây. Tổng quan về Wi-fi: Wi-Fi (Wireless Fidelity) là một chứng nhận (certification) về tính tương thích của loại mạng cục bộ không dây (wireless LAN) theo tiêu chuẩn 802.11. Chứng nhận Wi-Fi được đưa ra bởi một tổ chức phi lợi nhuận có tên gọi là Wi-Fi Alliance (www.wi-fi.org). Khi những sản phẩm cùng có được chứng nhận Wi-Fi (Wi-Fi certified) thì xem như chúng được đảm bảo sẽ tương thích với nhau. Điều này tạo ra sự thuận lợi cho các nhà sản xuất (đặc biệt là các nhà sản xuất nhỏ) và giới hạn khả năng độc quyền của các nhà sản xuất lớn (do thường áp đặt việc sản xuất theo chuẩn của riêng mình). Một ích lợi nữa là giá thành sản phẩm sẽ giảm do sự tương thích mang lại và cuối cùng, người hưởng lợi nhất vẫn là người sử dụng. Khi đầu tư (ví dụ như khi xây dựng mạng wireless LAN), người dùng không phải tra cứu các tài liệu để xem rằng các thiết bị mình mua có tương thích với nhau không,mà trong trường hợp này, họ chỉ cần xác định là mình đã mua các thiết bị được chứng nhận Wi-Fi là đủ. Về công nghệ, hiện nay Wi-Fi đã chứng nhận 3 chuẩn về mạng cục bộ không dây và 1 chuẩn về an ninh cho các loại mạng này, bao gồm: Chuẩn mạng 802.11a Chuần mạng 802.11b Chuẩn mạng 802.11g Chuẩn an ninh Wi-Fi Protected Access (WPA) Chuẩn 802.11b là chuẩn đầu tiên được chứng nhận có tốc độ 11Mbps trong dãy tần số 2.4GHz. Đây là chuẩn đang được sử dụng phổ biến nhất hiện nay nên nhiều người vẫn xem Wi-Fi là 802.11b và ngược lại. Hiện nay, các thiết bị chuẩn này có giá thành thấp và được “build-in” vào sẵn trong các thiết bị như máy tính xách tay, máy trợ giúp cá nhân hay cả điện thoại di động. Chuẩn kế tiếp là 802.11a cải thiện khuyết điểm về tốc độ và nâng lên được 54Mbps. Tuy nhiên, chuẩn này dùng tần số 5Ghz và không tương thích ngược với 802.11b (vốn đã rất phổ biến) nên không được chấp nhận rộng rãi. Cải thiện vấn đề này, 802.11g ra đời với cả 2 ưu điểm về tốc độ cao (54Mbps) và tương thích ngược với chuẩn 802.11b. Chuần này chỉ thua 802.11a ở điểm là có ít kênh tần số hơn. Riêng chuẩn WPA sẽ được trình bày trong mục “Các phương pháp bảo vệ an toàn cho Wi-Fi”. Mạng không dây (wireless) đang là một trong những xu hướng phát triển chung của nền công nghệ thông tin thế giới. Vì vậy, ngay từ khi ra đời, Wi-Fi đã được cả thế giới đón nhận và nhanh chóng được ứng dụng rộng rãi. Không dừng lại ở đó, Wi-Fi nói riêng và mạng wireless LAN nói chung sẽ phải tiếp tục phát triển theo các xu hướng sau: Tăng tốc độ kết nối. Đây có thể nói là quyết tâm lớn nhất của các nhà phát triển chuẩn mạng. Hiện đã có 1 số sản phẩm nhân đôi tốc độ thật sự của chuẩn bằng cách thiết lập cùng một lúc 2 kênh kết nối. Tuy nhiên, cách làm này vẫn chưa được chuẩn hóa cũng như chưa được Wi-Fi chứng nhận. Tăng khoảng cách phủ sóng. Hiện tại, khoảng cách của Wi-Fi vẫn còn hạn chế nhưng nếu xét trên phương diện mạng cục bộ thì khoảng cách này vẫn tạm chấp nhận được. Vì vậy xu hướng này vẫn tiếp tục được chú ý nhưng không phải là ưu tiên hàng đầu. Tăng số kênh sử dụng. Hiện tại số lượng kênh sử dụng thấp làm hạn chế đến số lượng mạng không dây cùng hoạt động trong một phạm vi địa lý. Vấn đề này cũng có thể cải tiến được nếu tăng tần số sóng nhưng sẽ bị ảnh hưởng đến vấn đề xin cấp “giấy phép tần số”. Tăng cường an ninh. Khác với mạng có dây, mạng không dây dễ dàng bị truy cập trái phép nên vấn đề an ninh luôn đặt lên hàng đầu khi phát triển. Hiện nay, việc kết hợp giữa WPA và 802.1x mang lại kết quả tốt. Tuy nhiên vấn đề an ninh vẫn cần tiếp tục được cải thiện tốt hơn nữa. Giảm công suất tiêu thụ. Xu hướng này đặc biệt quan trọng đối với các thiết bị đầu cuối di động. Tiết giảm năng lượng sẽ giúp các thiết bị hoạt động lâu hơn khi làm việc trong môi trường di động. Giảm kích thước. Mới đây, công nghệ Centrino của Intel đã tích hợp chip Wi-Fi với các chip xử lý khác giúp kích thước và độ tiêu hao năng lượng của các thiết bị giảm xuống đáng kể. Không dừng lại ở đây, công nghệ chip sẽ giảm kích thước và trong 1 tương lai không xa, các thiết bị nhỏ như điện thoại di động có thể tích hợp sẵn Wi-Fi. Giảm giá thành. Là xu hướng luôn được quan tâm của tất cả mọi công nghệ. Chip Wi-Fi 02.11b hiện đã giảm nhiều và có xu hướng tiếp tục giảm nữa. Giá thành của 802.11g còn tương đối cao và trong một tương lai không xa, chuẩn này có thể sẽ thay thế 802.11b. Tóm lại, Wi-Fi hiện đang được phát triển mạnh mẽ và sẽ tiếp tục phát triển trong thời gian tới. Có nhiều người cho rằng Wi-Fi sẽ bị các loại mạng khác như broadband wireless, CDMA, GPRS… thay thế nhưng thực tế sẽ không như vậy, Wi-Fi cũng sẽ được cải tiến và tồn tại song song với các loại mạng này. An ninh mạng luôn là mục tiêu hàng đầu của Wi-Fi nói riêng và mạng không dây nói chung. Vì vậy ngay từ khi mới ra đời, các mạng Wi-Fi đều có những cơ chế để bảo vệ mình. Mỗi sản phẩm có thể ứng dụng một hay nhiều trong số các cơ chế này: Lọc địa chỉ MAC. Cơ chế này luôn có trong tất cả các thiết bị truy cập mạng không dây (AP – Access Point) để cho phép hay cấm 1 số địa chỉ MAC. Đối với các mạng nhỏ như mạng gia đình, việc chỉ cho phép địa chỉ MAC của các thiết bị trong gia đình truy cập vào là rất tiện và an toàn. Tuy nhiên, trên thực tế, vẫn có thể tìm cách giả địa chỉ MAC được, nên cơ chế này chỉ an toàn ở mức tương đối. Các phương pháp bảo vệ an toàn cho Wi-Fi và xu hướng phát triển của Wi-Fi Không broadcast SSID. Service Set Identifier (SSID) là định danh cho thiết bị Access Point. Nếu người dùng không biết định danh này thì không thể truy cập vào mạng wireless được. Bình thường định danh này được broadcast nên bất kỳ người dùng nào cũng có thể biết được và truy cập vào. Nếu tắt chức năng broadcast thì chỉ có những người biết được SSID mới có thể truy cập vào mạng. Tuy nhiên, vì đây là tham số dùng chung nên việc “rò rỉ” ra bên ngoài là có thể xảy ra. Ngoài ra, một số phần mềm có thể phát hiện được tham số này nếu theo dõi trong một thời gian nhất định. Mã hóa các gói tin. Để tăng cường thêm mức độ an ninh, các mạng Wi-Fi đầu tiên dùng cơ chế WEP (Wired Equivalent Privacy) bằng cách mã hóa RC4 qua 1 mã khóa - gọi là key. Cơ chế này vừa mã hóa vừa cung cấp khả năng xác thực người dùng (vì phải biết khóa mới vào được) nhưng chỉ tồn tại một thời gian và sau đó người ta phát hiện khá nhiều khuyết điểm của nó. Hiện tại, người ra đang cải tiến bằng cách tăngchiều dài khóa, tạo khóa động… qua các chuẩn mới như WPA, WPA2… Xác thực trước khi kết nối. Các loại Access Point đầu tiên chưa có cơ chế này và chủ yếu xác thực qua việc dùng SSID (bằng cách không broadcast) và khóa WEP. Hiện tại, người ta dùng 802.1x - một cơ chế xác thực lớp 2 cho mạng LAN có dây - để làm xác thực cho Wi-Fi. Đây là cơ chế tốt và có thể dùng kết hợp với RADIUS server để xác thực một cách tập trung. Chia mạng LAN ảo (VLAN). Vì người dùng không dây có thể thuộc nhiều bộ phận khác nhau với những chính sách sử dụng tài nguyên khác nhau, nên việc chia VLAN của những người này khi truy cập vào mạng không dây là rất cần thiết và tăng cường thêm khả năng an ninh của hệ thống. Tóm lại, hiện nay người ta đang kết hợp nhiều hình thức an ninh khác nhau cho mạng không dây. Tuy nhiên, một trong những chuẩn đang được quan tâm nhất là sử dụng WPA và 802.1x. Trong đó 802.1x dùng để xác thực với username/password và WPA tạo các khóa mã hóa động nên tránh được sự theo dõi và đánh cắp thông tin. Hiện nay cho dù WPA (Wi-Fi Protected Access) vẫn chưa phải là chuẩn của IEEE nhưng lại đã có chứng nhận của Wi-Fi. Chuẩn này sẽ là một phần (subset) trong chuẩn 802.11i - chuẩn an ninh mạng không dây của IEEE sắp ra đời trong năm nay. Chuẩn WPA không giống với 802.11i nhiều, nhưng chuẩn trung gian WPA2 có rất nhiều điểm tương đồng. Trước khi Wi-Fi ra đời, có rất nhiều chuẩn về mạng cục bộ không dây nên việc chọn lựa sử dụng chuẩn nào là hết sức khó khăn. Các hãng sản xuất thiết bị đầu cuối như laptop, PDA… cũng khó khăn trong việc lựa chọn chuẩn để tích hợp vào thiết bị của mình. Sau khi ra đời và phổ biến trên khắp thế giới, Wi-Fi nhanh chóng được các thiết bị đầu cuối và đặc biệt là các thiết bị di động hỗ trợ sử dụng. Dưới đây là các mức độ hỗ trợ Wi-Fi: Tích hợp sẵn phần cứng và phần mềm. Đây là hình thức hỗ trợ đầy đủ nhất. Người sử dụng chỉ việc cấu hình thiết bị theo đúng hướng dẫn là có thể dùng được. Hỗ trợ khe cắm mở rộng và phần mềm. Trường hợp này thiết bị có sẵn phần mềm và khe cắm mở rộng. Người dùng cần mua thêm một card Wi-Fi tương thích, cắm vào, cấu hình rồi mới có thể sử dụng được. Hỗ trợ khe mở cắm rộng. Đây là hình thức thấp nhất, thiết bị chỉ có khe cắm mở rộng I/O. Người dùng mua thêm card Wi-Fi và cài đặt thêm phần mềm để sử dụng. Wi-Fi và thế giới di động: Aironet 1100 là một trong những sản phẩm Wireless Access Point của hãng Cisco - một công ty hàng đầu trong việc cung cấp các thiết bị mạng như switch, router, firewall, remote access... Sản phẩm này đáp ứng các giải pháp về mạng LAN không dây như tốc độ cao, bảo mật, dễ sử dụng. Cisco 1100 sử dụng sóng đơn hoạt động ở tần số 2.4GHz, với giao tiếp miniPCI - được sử dụng trong các loại máy tính xách tay có Wi-Fi. Với tốc độ gửi nhận dữ liệu 11Mbps đối với 802.11b hay 54Mbps đối với 802.11g (có thể xem như là ngang bằng với ADSL của mạng dùng dây cáp). Việc quản lý và cấu hình Aironet 1100 cũng dễ dàng và tiện lợi qua các giao thức như: Telnet, HTTP, TFTP, SNMP. Đặc biệt với giao diện Cisco command-line interface (CLI) cho phép áp dụng nhanh chóng các khả năng có sẵn trong IOS của Cisco. Aironet 1100 hỗ trợ các khả năng về network rất cao như: Acquire IP address via DHCP server; Broadcast and multicast filters; High-layer protocol filtering; Inline Power over Ethernet; VLAN tagging; Quality or Class of Service support; Radio transmit power control; Mobile IP support. Đi kèm là sự hỗ trợ về những cơ chế bảo mật như: 40-bit WEP, 128-bit WEP, AES, Wi-Fi Protected Access (WPA), MAC- address access control lists, 802.1x, Integrated user authentication database. Có thể nói Cisco Aironet 1100 là 1 trong những sản phẩm Wi-Fi Access Point có tích hợp cơ chế bảo mật cao ở thời điểm hiện nay – phù hợp các yêu cầu cao cấp của mạng doanh nghiệp vừa và nhỏ. Windows XP là hệ điều hành phổ biến nhất hiện nay và đã hỗ trợ sẵn Wi-Fi. Tuy nhiên, việc cấu hình các tham số còn hơi khó hiểu và gây trở ngại cho người dùng - đặc biệt là người dùng thông thường (không phải chuyên gia máy tính). Thấy được khuyết điểm này, Microsoft nhanh chóng sửa chữa giao diện Wi-Fi và đưa vào bộ cập nhật Service Pack 2 (SP2). Đây là bản cập nhật rất quan trọng của Microsoft đối với HĐH thông dụng nhất này để chuẩn bị tiến tới hệ điều hành của tương lai - hệ điều hành với tên mã Longhorn. Với sự bổ sung của SP2, người dùng Windows XP sẽ sử dụng mạng Wi-Fi dễ dàng hơn – đặc biệt là trong môi trường đa kết nối như hiện nay. Phần 7: Bảo mật mạng Virus: Nếu chỉ nghe nói qua đến virus máy tính, thì những người không biết có thể cho rằng nó cũng nôm na tựa như một loại virus bệnh dịch nào đó, và họ thường phân vân không hiểu virus sẽ lây vào chỗ nào trong máy tính của mình và mình có cần cho máy tính của mình uống kháng sinh không nhỉ ? Sự thật không phải vậy, virus máy tính thực chất chỉ là một chương trình máy tính có khả năng tự sao chép chính nó từ đối tượng lây nhiễm này sang đối tượng khác (đối tượng có thể là các file chương trình, văn bản, đĩa mềm...), và chương trình đó mang tính phá hoại. Virus có nhiều cách lây lan và tất nhiên cũng có nhiều cách phá hoại, nhưng chỉ cần bạn nhớ rằng đó là một đoạn chương trình và đoạn chương trình đó dùng để phục vụ những mục đích không tốt. Virus máy tính là do con người tạo ra, quả thực cho đến ngày nay có thể coi nó đã trở thành như những bệnh dịch cho những chiếc máy tính và chúng tôi, các bạn, chúng ta là những người bác sĩ, phải luôn chiến đấu với bệnh dịch và tìm ra những phương pháp mới để hạn chế và tiêu diệt chúng. Cũng như mọi vấn đề ngoài xã hội, cũng khó tránh khỏi việc có những loại bệnh mà phải dày công nghiên cứu mới trị được, hoặc cũng có những trường hợp gây ra những hậu quả khôn lường. Chính vì vậy, phương châm "Phòng hơn chống" vẫn luôn đúng đối với virus máy tính Các loại Virus: Nếu bạn là người muốn tìm hiểu sâu hơn về virus thì hãy đọc phần này, nó sẽ giúp bạn có thêm một số kiến thức về các loại virus máy tính, để có thể tự tin trong việc phòng chống chúng. Tuy nhiên, nếu không cũng không sao, bạn chỉ cần nhớ câu nói trong phần trên là đủ: "Dường như tất cả mọi thứ đều có thể nhiễm virus, chúng không tha bất cứ cái gì và chúng sẽ thâm nhập vào tất cả những gì có thể ". Virus Boot: Khi bạn bật máy tính, một đoạn chương trình nhỏ để trong ổ đĩa khởi động của bạn sẽ được thực thi. Đoạn chương trình này có nhiệm vụ nạp hệ điều hành mà bạn muốn (Windows, Linux hay Unix...). Sau khi nạp xong hệ điều hành bạn mới có thể bắt đầu sử dụng máy. Đoạn mã nói trên thường được để ở trên cùng của ổ đĩa khởi động, và chúng được gọi là "Boot sector". Những virus lây vào Boot sector thì được gọi là virus Boot. Virus Boot thường lây lan qua đĩa mềm là chủ yếu. Ngày nay ít khi chúng ta dùng đĩa mềm làm đĩa khởi động máy, vì vậy số lượng virus Boot không nhiều như trước. Tuy nhiên, một điều rất tệ hại là chúng ta lại thường xuyên để quên đĩa mềm trong ổ đĩa, và vô tình khi bật máy, đĩa mềm đó trở thành đĩa khởi động, điều gì xảy ra nếu chiếc đĩa đó có chứa virus Boot? Virus File: Là những virus lây vào những file chương trình như file .com, .exe, .bat, .pif, .sys... Có lẽ khi đọc phần tiếp theo bạn sẽ tự hỏi "virus Macro cũng lây vào file, tại sao lại không gọi là virus File?". Câu trả lời nằm ở lịch sử phát triển của virus máy tính. Như bạn đã biết qua phần trên, mãi tới năm 1995 virus macro mới xuất hiện và rõ ràng nguyên lý của chúng khác xa so với những virus trước đó (những virus File) nên mặc dù cũng lây vào các File, nhưng không thể gọi chúng là virus File. Virus Macro: Là loại virus lây vào những file văn bản (Microsoft Word) hay bảng tính (Microsoft Excel) và cả (Microsoft PowerPoint) trong bộ Microsoft Office. Macro là những đoạn mã giúp cho các file của Ofice tăng thêm một số tính năng, có thể định một số công việc sẵn có vào trong macro ấy, và mỗi lần gọi macro là các phần cái sẵn lần lượt được thực hiện, giúp người sử dụng giảm bớt được công thao tác. Có thể hiểu nôm na việc dùng Macro giống như việc ta ghi lại các thao tác, để rồi sau đó cho tự động lặp lại các thao tác đó với chỉ một lệnh duy nhất. Con ngựa Thành Troia - Trojan Horse: Thuật ngữ này dựa vào một điển tích cổ, đó là cuộc chiến giữa người Hy Lạp và người thành Troia. Thành Troia là một thành trì kiên cố, quân Hy Lạp không sao có thể đột nhập vào được. Người ta đã nghĩ ra một kế, giả vờ giảng hoà, sau đó tặng thành Troia một con ngựa gỗ khổng lồ. Sau khi ngựa được đưa vào trong thành, đêm xuống những quân lính từ trong bụng ngựa xông ra và đánh chiếm thành từ bên trong. Phương pháp trên cũng chính là cách mà các Trojan máy tính áp dụng. Đầu tiên kẻ viết ra Trojan bằng cách nào đó lừa cho đối phương sử dụng chương trình của mình, khi chương trình này chạy thì vẻ bề ngoài cũng như những chương trình bình thường (một trò chơi, hay là những màn bắn pháo hoa đẹp mắt chẳng hạn). Tuy nhiên, song song với quá trình đó, một phần của Trojan sẽ bí mật cài đặt lên máy nạn nhân. Đến một thời điểm định trước nào đó chương trình này có thể sẽ ra tay xoá dữ liệu, hay gửi những thứ cần thiết cho chủ nhân của nó ở trên mạng (ở Việt Nam đã từng rất phổ biến việc lấy cắp mật khẩu truy nhập Internet của người sử dụng và gửi bí mật cho chủ nhân của các Trojan). Khác với virus, Trojan là một đoạn mã chương trình “HOÀN TOÀN KHÔNG CÓ TÍNH CHẤT LÂY LAN”. Nó chỉ có thể được cài đặt bằng cách người tạo ra nó "lừa" nạn nhân. Còn virus thì tự động tìm kiếm nạn nhân để lây lan. Thông thường các phần mềm có chứa Trojan được phân phối như là các phần mềm tiện ích, phần mềm mới hấp dẫn, nhằm dễ thu hút người sử dụng. Vì vậy bạn hãy cẩn thận với những điều mới lạ, hấp dẫn nhưng không rõ nguồn gốc! Sâu Internet -Worm quả là một bước tiến đáng kể và đáng sợ nữa của virus. Worm kết hợp cả sức phá hoại của virus, sự bí mật của Trojan và hơn hết là sự lây lan đáng sợ mà những kẻ viết virus trang bị cho nó, cũng một phần. Một kẻ phá hoại với vũ khí tối tân. Tiêu biểu như Mellisa hay Love Letter. Với sự lây lan đáng sợ chúng đã làm tê liệt hàng loạt các hệ thống máy chủ, làm ách tắc đường truyền. Worm thường phát tán bằng cách tìm các địa chỉ trong sổ địa chỉ (Address book) của máy mà nó đang lây nhiễm, ở đó thường là địa chỉ của bạn bè, người thân, khách hàng... của chủ máy. Tiếp đến, nó tự gửi chính nó cho những địa chỉ mà nó tìm thấy, tất nhiên với địa chỉ người gửi là chính bạn, chủ sở hữu của chiếc máy. Điều nguy hiểm là những việc này diễn ra mà bạn không hề hay biết, chỉ khi bạn nhận được thông báo là bạn đã gửi virus cho bạn bè, người thân thì bạn mới vỡ lẽ rằng máy tính của mình bị nhiễm virus (mà chưa chắc bạn đã tin như thế!!?). Với cách hoàn toàn tương tự trên những máy nạn nhân, Worm có thể nhanh chóng lây lan trên toàn cầu theo cấp số nhân, điều đó lý giải tại sao chỉ trong vòng vài tiếng đồng hồ mà Mellisa và Love Letter lại có thể lây lan tới hàng chục triệu máy tính trên toàn cầu. Cái tên của nó Worm hay "Sâu Internet" cho ta hình dung ra việc những con virus máy tính "bò" từ máy tính này qua máy tính khác trên các "cành cây" Internet. Với sự lây lan nhanh và rộng lớn như vậy, Worm thường được kẻ viết ra chúng cài thêm nhiều tính năng đặc biêt, chẳng hạn như chúng có thể định cùng một ngày giờ và đồng loạt từ các máy nạn nhân (hàng triệu máy) tấn công vào một địa chỉ nào đó, máy chủ có mạnh đến mấy thì trước một cuộc tấn công tổng lực như vậy thì cũng phải bó tay, Website của nhà Trắng là một ví dụ. Ngoài ra, chúng còn có thể cho phép chủ nhân của chúng truy nhập vào máy của nạn nhân và có thể làm đủ mọi thứ như ngồi trên máy dó một cách bất hợp pháp. Ở đây chúng tôi chỉ có thể nói sơ qua về lịch sử, cũng như phân loại virus nhằm cung cấp cho các bạn một cách nhìn nhận đúng đắn về virus máy tính, để từ đó sẽ có những phương pháp hữu hiệu để ngăn chặn chúng. IP security: Tổng quan: Giao thức IPsec được làm việc tại tầng Network Layer – layer 3 của mô hình OSI. Các giao thức bảo mật trên Internet khác như SSL, TLS và SSH, được thực hiện từ tầng transport layer trở lên (Từ tầng 4 tới tầng 7 mô hình OSI). Điều này tạo ra tính mềm dẻo cho IPsec, giao thức này có thể hoạt động từ tầng 4 với TCP, UDP, hầu hết các giao thức sử dụng tại tầng này. IPsec có một tính năng cao cấp hơn SSL và các phương thức khác hoạt động tại các tầng trên của mô hình OSI. Với một ứng dụng sử dụng IPsec mã (code) không bị thay đổi, nhưng nếu ứng dụng đó bắt buộc sử dụng SSL và các giao thức bảo mật trên các tầng trên trong mô hình OSI thì đoạn mã ứng dụng đó sẽ bị thay đổi lớn. Cấu trúc bảo mật: IPsec được triển khai (1) sử dụng các giao thức cung cấp mật mã (cryptographic protocols) nhằm bảo mật gói tin (packet) trong quá trình truyền, (2) phương thức xác thực và (3) thiết lập các thông số mã hoá. Xây dựng IPsec sử dụng khái niệm về bảo mật trên nền tảng IP. Một sự kết hợp bảo mật rất đơn giản khi kết hợp các thuật toán và các thông số (ví như các khoá – keys) là nền tảng trong việc mã hoá và xác thực trong một chiều. Tuy nhiên trong các giao tiếp hai chiều, các giao thức bảo mật sẽ làm việc với nhau và đáp ứng quá trình giao tiếp. Thực tế lựa chọn các thuật toán mã hoá và xác thực lại phụ thuộc vào người quản trị IPsec bởi IPsec bao gồm một nhóm các giao thức bảo mật đáp ứng mã hoá và xác thực cho mỗi gói tin IP. Trong các bước thực hiện phải quyết định cái gì cần bảo vệ và cung cấp cho một gói tin outgoing (đi ra ngoài), IPsec sử dụng các thông số Security Parameter Index (SPI), mỗi quá trình Index (đánh thứ tự và lưu trong dữ liệu – Index ví như một cuốn danh bạ điện thoại) bao gồm Security Association Database (SADB), theo suốt chiều dài của địa chỉ đích trong header của gói tin, cùng với sự nhận dạng duy nhất của một thoả hiệp bảo mật (tạm dịch từ - security association) cho mỗi gói tin. Một quá trình tương tự cũng được làm với gói tin đi vào (incoming packet), nơi IPsec thực hiện quá trình giải mã và kiểm tra các khoá từ SADB. Cho các gói multicast, một thoả hiệp bảo mật sẽ cung cấp cho một group, và thực hiện cho toàn bộ các receiver trong group đó. Có thể có hơn một thoả hiệp bảo mật cho một group, bằng cách sử dụng các SPI khác nhau, tuy nhiên nó cũng cho phép thực hiện nhiều mức độ bảo mật cho một group. Mỗi người gửi có thể có nhiều thoả hiệp bảo mật, cho phép xác thực, trong khi người nhận chỉ biết được các keys được gửi đi trong dữ liêu. Chú ý các chuẩn không miêu tả làm thế nào để các thoả hiệp và lựa chọn việc nhân bản từ group tới các cá nhân. Các chuẩn hóa: IPsec là một phần bắt bược của IPv6, có thể được lựa chọn khi sử dụng IPv4. Trong khi các chuẩn đã được thiết kết cho các phiên bản IP giống nhau, phổ biến hiện nay là áp dụng và triển khai trên nền tảng IPv4. Các giao thức IPsec được định nghĩa từ RFCs 1825 – 1829, và được phổ biến năm 1995. Năm 1998, được nâng cấp với các phiên bản RFC 2401 – 2412, nó không tương thích với chuẩn 1825 – 1929. Trong tháng 12 năm 2005, thế hệ thứ 3 của chuẩn IPSec, RFC 4301 – 4309. Cũng không khác nhiều so với chuẩn RFC 2401 – 2412 nhưng thế hệ mới được cung cấp chuẩn IKE second. Trong thế hệ mới này IP security cũng được viết tắt lại là IPsec. Sự khác nhau trong quy định viết tắt trong thế hệ được quy chuẩn bởi RFC 1825 – 1829 là ESP còn phiên bản mới là ESPbis. Thiết kế: IPsec được cung cấp bởi Transport mode (end-to-end) đáp ứng bảo mật giữa các máy tính giao tiếp trực tiếp với nhau hoặc sử dụng Tunnel mode (portal-to-portal) cho các giao tiếp giữa hai mạng với nhau và chủ yếu được sử dụng khi kết nối VPN. IPsec có thể được sử dụng trong các giao tiếp VPN, sử dụng rất nhiều trong giao tiếp. Tuy nhiên trong việc triển khai thực hiện sẽ có sự khác nhau giữa hai mode này. Giao tiếp end-to-end được bảo mật trong mạng Internet được phát triển chậm và phải chờ đợi rất lâu. Một phần bở lý do tính phổ thông của no không cao, hay không thiết thực, Public Key Infrastructure (PKI) được sử dụng trong phương thức này. IPsec đã được giới thiệu và cung cấp các dịch vụ bảo mật: Mã hoá quá trình truyền thông tin Đảm bảo tính nguyên ven của dữ liệu Phải được xác thực giữa các giao tiếp Chống quá trình replay trong các phiên bảo mật. Các loại mode Có hai mode khi thực hiện IPsec đó là: Transport mode và tunnel mode. Transport mode Trong Transport mode, chỉ những dữ liệu bạn giao tiếp các gói tin được mã hoá và/hoặc xác thực. Trong quá trình routing, cả IP header đều không bị chỉnh sửa hay mã hoá; tuy nhiên khi authentication header được sử dụng, địa chỉ IP không thể biết được, bởi các thông tin đã bị hash (băm). Transport và application layers thường được bảo mật bởi hàm băm (hash), và chúng không thể chỉnh sửa (ví dụ như port number). Transport mode sử dụng trong tình huống giao tiếp host-to-host. Điều này có nghĩa là đóng gói các thông tin trong IPsec cho NAT traversal được định nghĩa bởi các thông tin trong tài liệu của RFC bởi NAT-T. Tunnel mode Trong tunnel mode, toàn bộ gói IP (bao gồm cả data và header) sẽ được mã hoá và xác thực. Nó phải được đóng gói lại trong một dạng IP packet khác trong quá trình routing của router. Tunnel mode được sử dụng trong giao tiếp network-to-network (hay giữa các routers với nhau), hoặc host-to-network và host-to-host trên internet. Các giao thức: Có hai giao thức được phát triển và cung cấp bảo mật cho các gói tin của cả hai phiên bản IPv4 và IPv6: IP Authentication Header giúp đảm bảo tính toàn vẹn và cung cấp xác thực. IP Encapsulating Security Payload cung cấp bảo mật, và là option bạn có thể lựa chọn cả tính năng authentication và Integrity đảm bảo tính toàn vẹn dữ liệu. Thuật toán mã hoá được sử dụng trong IPsec bao gồm HMAC-SHA1 cho tính toàn vẹn dữ liệu (integrity protection), và thuật toán TripleDES-CBC và AES-CBC cho mã mã hoá và đảm bảo độ an toàn của gói tin. Toàn bộ thuật toán này được thể hiện trong RFC 4305. Authentication Header (AH) AH được sử dụng trong các kết nối không có tính đảm bảo dữ liệu. Hơn nữa nó là lựa chọn nhằm chống lại các tấn công replay attack bằng cách sử dụng công nghệ tấn công sliding windows và discarding older packets. AH bảo vệ quá trình truyền dữ liệu khi sử dụng IP. Trong IPv4, IP header có bao gồm TOS, Flags, Fragment Offset, TTL, và Header Checksum. AH thực hiện trực tiếp trong phần đầu tiên của gói tin IP. dưới đây là mô hình của AH header.  Các modes thực hiện 0 - 7 bit 8 - 15 bit 16 - 23 bit 24 - 31 bit Next header Payload length RESERVED Security parameters index (SPI) Sequence number Authentication data (variable) Ý nghĩa của từng phần: Next header: Nhận dạng giao thức trong sử dụng truyền thông tin. Payload length: Độ lớn của gói tin AH. RESERVED: Sử dụng trong tương lai (cho tới thời điểm này nó được biểu diễn bằng các số 0). Security parameters index (SPI): Nhận ra các thông số bảo mật, được tích hợp với địa chỉ IP, và nhận dạng các thương lượng bảo mật được kết hợp với gói tin. Sequence number: Một số tự động tăng lên mỗi gói tin, sử dụng nhằm chống lại tấn công dạng replay attacks. Authentication data: Bao gồm thông số Integrity check value (ICV) cần thiết trong gói tin xác thực. Encapsulating Security Payload (ESP) Giao thức ESP cung cấp xác thực, độ toàn vẹn, đảm bảo tính bảo mật cho gói tin. ESP cũng hỗ trợ tính năng cấu hình sử dụng trong tính huống chỉ cần bảo mã hoá và chỉ cần cho authentication, nhưng sử dụng mã hoá mà không yêu cầu xác thực không đảm bảo tính bảo mật. Không như AH, header của gói tin IP, bao gồm các option khác. ESP thực hiện trên top IP sử dụng giao thức IP và mang số hiệu 50 và AH mang số hiệu 51. 0 - 7 bit 8 - 15 bit 16 - 23 bit 24 - 31 bit Security parameters index (SPI) Sequence number Payload data (variable) Padding (0-255 bytes) Pad Length Next Header Authentication Data (variable) Ý nghĩa của các phần: Security parameters index (SPI): Nhận ra các thông số được tích hợp với địa chỉ IP. Sequence number: Tự động tăng có tác dụng chống tấn công kiểu replay attacks. Payload data: Cho dữ liệu truyền đi Padding: Sử dụng vài block mã hoá Pad length: Độ lớn của padding. Next header: Nhận ra giao thức được sử dụng trong quá trình truyền thông tin. Authentication data: Bao gồm dữ liệu để xác thực cho gói tin. Sự thi hành: IPsec được thực hiện trong nhân với các trình quản lý các key và quá trình thương lượng bảo mật ISAKMP/IKE từ người dùng. Tuy nhiên một chuẩn giao diện cho quản lý key, nó có thể được điều khiển bởi nhân của IPsec. Bởi vì được cung cấp cho người dùng cuối, IPsec có thể được triển khai trên nhân của Linux. Dự án FreeS/WAN là dự án đầu tiên hoàn thành việc thực hiện IPsec trong mã nguồn mở cụ thể là Linux. Nó bao gồm một nhấn IPsec stack (KLIPS), kết hợp với trình quản lý key là deamon và rất nhiều shell scripts. Dự án FreeS/WAN được bắt đầu vào tháng 3 năm 2004. Openswan và strongSwan đã tiếp tục dự án FreeS/WAN. Dự án KAME cũng hoàn thành việc triển khai sử dụng IPsec cho NetBSB, FreeBSB. Trình quản lý các khoá được gọi là racoon. OpenBSB được tạo ra ISAKMP/IKE, với tên đơn giản là isakmpd (nó cũng được triển khai trên nhiều hệ thống, bao gồm cả hệ thống Linux).