Bài giảng Chương 2: Mạng nội bộ môn Thiết kế và triển khai mạng IP | Trường Đại học Bách Khoa Hà Nội

lOMoAR cPSD| 59703641 slide2.md 2025-06-28
Chắc chắn rồi! Tôi sẽ trình bày chi tiết bài giảng này cho bạn, slide बाय slide. Tôi sẽ giải thích cặn kẽ các khái
niệm, sơ đồ và mục tiêu của từng phần. Sau mỗi phần chính, tôi sẽ dừng lại và hỏi xem bạn đã hài lòng chưa
trước khi chúng ta tiếp tục. Bắt đầu nào!
Phần Mở đầu: Giới thiệu và Các khái niệm cơ bản (Slides 1-4) Slide 1: Trang bìa
Nội dung: Đây là trang bìa của bài giảng "Thiết kế mạng IP", Chương 2: Mạng nội bộ (Private network).
Giải thích: Trang này giới thiệu chủ đề chính của chúng ta ngày hôm nay là về mạng nội bộ. Bài giảng
được biên soạn bởi thầy Phạm Huy Hoàng, thuộc Viện Công nghệ Thông tin và Truyền thông (SoICT), Đại
học Bách Khoa Hà Nội (HUST). Logo "25 năm" cho thấy đây là một phần trong chuỗi sự kiện kỷ niệm của Viện. Slide 2: Nội dung
Nội dung: Slide này liệt kê các chủ đề chính sẽ được đề cập trong chương 2.
Giải thích: Đây là mục lục của bài giảng. Chúng ta sẽ đi qua một hành trình đầy đủ về mạng nội bộ,
bắt đầu từ những khái niệm cơ bản nhất.
Khái niệm & định nghĩa: Hiểu rõ "mạng nội bộ" là gì.
Private network đơn giản: Tìm hiểu về các thành phần cơ bản như LAN, virtual LAN (VLAN).
Kết nối với Internet: Đây là phần cốt lõi, tìm hiểu cách một mạng riêng có thể giao tiếp với thế
giới bên ngoài thông qua các công nghệ như DHCP, NAT, Port Forwarding.
Mạng nội bộ ảo (VPN): Cách tạo ra một mạng riêng an toàn trên nền tảng của mạng công cộng (Internet).
Kết nối dịch vụ: Cách các dịch vụ phổ biến như DNS, Email, Web, FTP hoạt động trong môi
trường mạng riêng và kết nối ra ngoài.
Đảm bảo an toàn: Cuối cùng, chúng ta sẽ tìm hiểu các biện pháp bảo mật cho mạng nội bộ như
quy hoạch vùng an toàn, tường lửa (firewall), và hệ thống phát hiện xâm nhập (IDS).
Slide 3: Khái niệm & định nghĩa
Nội dung: Slide này đưa ra hai định nghĩa về "Private Network" từ Wikipedia và Techopedia, cùng với
các đặc điểm tóm tắt. Giải thích:
Định nghĩa của Wikipedia nhấn mạnh vào khía cạnh kỹ thuật: "mạng máy tính sử dụng không
gian địa chỉ IP riêng". Các dải địa chỉ này (như 10.x.x.x, 192.168.x.x) được dành riêng và không
được định tuyến trên Internet công cộng. Chúng được dùng cho các mạng LAN trong nhà, văn phòng, doanh nghiệp.
Định nghĩa của Techopedia nhấn mạnh vào khía cạnh an ninh: "một kết nối... trong đó các hạn
chế được thiết lập để thúc đẩy một môi trường an toàn". Mục đích là để các thiết bị bên ngoài
không thể truy cập vào bên trong.
Tóm tắt các đặc điểm (bằng tiếng Việt):
1. Mục đích sử dụng riêng: Phân biệt rõ với mạng công cộng (public Internet).
2. Chứa tài nguyên riêng, được bảo vệ: Các máy chủ file, máy in, cơ sở dữ liệu nội bộ được
bảo vệ, không cho phép truy cập trái phép từ bên ngoài. 1 / 25
3. Có kết nối với public bên ngoài: Đây là điểm quan trọng. Mạng riêng không hoàn toàn
cô lập, nó có một "cánh cổng" (Gateway) để đi ra Internet.
4. Sử dụng dải địa chỉ IP private: Việc này giúp tiết kiệm địa chỉ IP public (vốn rất hạn chế
và tốn kém), đồng thời tăng cường bảo mật.
5. Sử dụng mạng public làm công cụ (VPN): Tận dụng Internet để kết nối các mạng riêng
lẻ ở xa nhau một cách an toàn, tạo thành một mạng riêng ảo lớn hơn.
Sơ đồ: Sơ đồ minh họa rất rõ ràng. "Private Network" là một vùng được bao bọc, bên trong có
các máy tính. Nó kết nối ra "Internet" thông qua một thiết bị gọi là "Gateway". Gateway hoạt
động như một người gác cổng, kiểm soát mọi luồng dữ liệu ra vào.
Slide 4: Kiến trúc tổng thể
Nội dung: Slide này mô tả kiến trúc tổng quan về cách các mạng riêng (Private Network) tương tác với
nhau và với mạng công cộng (Public Network/Internet). Giải thích:
Internet: Đóng vai trò là "xa lộ" kết nối tất cả các mạng riêng lại với nhau. Nó bao gồm các
đường truyền tốc độ cao, các bộ định tuyến (router) và các giao thức định tuyến (BGP/IGP) để
tìm đường đi tốt nhất cho dữ liệu.
Private Network: Slide này đi sâu hơn vào các thành phần bên trong một kiến trúc mạng riêng phức tạp:
1. Gateway: Là bộ định tuyến (router) kết nối mạng riêng với mạng công cộng.
2. Tường lửa (Firewall): Đây chính là "người bảo vệ" trên Gateway. Nó hoạt động dựa trên
các "luật xử lý gói tin" (rules) để quyết định cho phép hay từ chối các gói tin đi qua. Đây là
tuyến phòng thủ đầu tiên chống lại các truy cập trái phép từ Internet.
3. DMZ zone (Demilitarized Zone - Khu phi quân sự): Đây là một khái niệm an ninh rất
quan trọng. DMZ là một vùng mạng nhỏ, nằm giữa Internet và mạng nội bộ thực sự. Nơi
đây thường đặt các máy chủ cần phải truy cập từ Internet (như Web server, Mail server).
Nếu một kẻ tấn công chiếm được máy chủ trong DMZ, chúng vẫn chưa thể vào được
mạng nội bộ (private zone) vì còn một lớp tường lửa nữa.
4. NAT & Port Forwarding: Vì các máy trong mạng riêng dùng địa chỉ IP private không thể
đi ra Internet trực tiếp, Gateway phải dùng cơ chế NAT (Network Address Translation) để
"dịch" địa chỉ private thành địa chỉ public của Gateway. Port Forwarding là cơ chế ngược
lại, cho phép các yêu cầu từ Internet đi đến một máy chủ cụ thể trong DMZ hoặc mạng riêng.
5. IP Tunnelling (Đường hầm IP) / VPN: Khi hai mạng riêng ở hai địa điểm khác nhau (ví
dụ văn phòng Hà Nội và TP.HCM) muốn kết nối an toàn với nhau qua Internet, họ sẽ tạo
một "đường hầm ảo" giữa hai Gateway. Dữ liệu đi qua đường hầm này sẽ được mã hóa,
giống như đang đi trên một đường dây thuê bao riêng, dù thực chất đang chạy trên
Internet công cộng. Điều này tạo ra một "Virtual Private Network" (Mạng riêng ảo).
Sơ đồ: Sơ đồ này minh họa đầy đủ các thành phần trên. Bạn có thể thấy hai "Private Network"
được kết nối với Internet qua "Gateway". Một Gateway có vùng "DMZ". Hai Gateway này còn
được kết nối với nhau qua một "Đường hầm VPN" (VPN Tunnel) để tạo thành một mạng riêng lớn hơn.
Phần trình bày về khái niệm, định nghĩa và kiến trúc tổng thể của mạng nội bộ đã kết thúc. Bạn đã hài lòng
với phần giải thích này chưa và có muốn tôi tiếp tục với phần tiếp theo về Private network đơn giản (LAN, VLAN, DHCP) không?
OK, tuyệt vời! Chúng ta sẽ tiếp tục với phần tiếp theo, đi sâu vào các dạng mạng nội bộ đơn giản và cách chúng được cấu hình.
Phần 2: Private Network Đơn giản (Slides 5-13)
Slide 5: Private Network đơn giản nhất: LAN
Nội dung: Giới thiệu về Local Area Network (LAN) và cách cấu hình địa chỉ cho các máy trạm trong LAN. Giải thích:
Local Area Network (LAN): Đây là dạng mạng nội bộ cơ bản nhất mà chúng ta thường gặp.
Hoạt động tầng 2 (thậm chí tầng 1): Về cơ bản, các thiết bị trong cùng một LAN giao
tiếp với nhau qua địa chỉ MAC (tầng 2 - Data Link) trên các thiết bị như switch. Tầng 1
(Physical) là cáp mạng, sóng wifi...
Dễ dàng chia sẻ tài nguyên: Đây là mục đích chính của LAN - cho phép các máy tính
trong cùng một văn phòng, một nhà có thể dễ dàng chia sẻ máy in, file, thư mục... Quản
lý tài nguyên tập trung: Đây mới là yếu tố cốt lõi xác định một LAN. Có một điểm quản
lý chung (ví dụ: máy chủ, router) giúp việc quản trị trở nên dễ dàng hơn.
Cấu hình địa chỉ cho máy trạm: Để một máy tính (máy trạm) có thể giao tiếp trên mạng IP, nó
cần được cấu hình các thông số sau:
1. Địa chỉ IP của trạm: Để các máy khác trong cùng LAN biết "nhà" của nó ở đâu.
2. Địa chỉ IP gateway: Khi máy trạm muốn gửi dữ liệu ra ngoài LAN (ví dụ: ra Internet), nó
phải gửi đến "cổng" của LAN, đó chính là gateway (thường là router).
3. Gán địa chỉ IP: Có hai cách:
Tĩnh (static): Admin tự gõ địa chỉ IP vào từng máy. Cách này khó quản lý khi có nhiều máy.
Động (dynamic): Sử dụng giao thức DHCP (Dynamic Host Configuration
Protocol). Khi một máy mới kết nối mạng, nó sẽ tự động xin và được cấp một địa chỉ IP.
4. Kết hợp static và dynamic: Trong một mạng, ta có thể dành một khoảng địa chỉ để cấp
phát động cho các máy trạm thông thường, và một khoảng địa chỉ tĩnh cho các thiết bị
quan trọng như máy chủ, máy in.
5. DHCP với IP đặt trước (reserved IP): Đây là một tính năng hữu ích. Admin có thể cấu
hình trên DHCP server để một máy tính cụ thể (dựa vào địa chỉ MAC) luôn luôn được cấp
cùng một địa chỉ IP mỗi khi nó kết nối. Việc này tiện lợi như gán IP tĩnh nhưng vẫn quản lý
tập trung tại DHCP server.
Slide 6: Giao thức DHCP
Nội dung: Mô tả chi tiết quá trình 4 bước của giao thức DHCP để cấp phát địa chỉ IP.
Giải thích: Quá trình này được gọi là DORA: Discover, Offer, Request, Acknowledge.
1. DHCPDISCOVER (Khám phá): Khi client (máy tính) vừa cắm dây mạng hoặc kết nối Wifi, nó
chưa có địa chỉ IP. Nó sẽ gửi một gói tin broadcast (gửi cho tất cả mọi người trong mạng) với
thông điệp: "Có ai là DHCP Server ở đây không? Tôi cần xin một địa chỉ IP!".
2. DHCPOFFER (Chào giá): (Các) DHCP server trong mạng khi nhận được gói tin DISCOVER, sẽ trả
lời client bằng một gói tin DHCPOFFER. Gói tin này chứa một địa chỉ IP mà server đề nghị cấp
cho client, cùng các thông tin khác như địa chỉ Gateway, DNS server, thời gian cho thuê (lease
time). Có thể có nhiều server cùng gửi OFFER.
3. DHCPREQUEST (Yêu cầu): Client sẽ chọn một trong các OFFER (thường là cái đến đầu tiên). Sau
đó, nó gửi broadcast một gói tin REQUEST với thông điệp: "Cảm ơn tất cả các server, tôi quyết
định chọn địa chỉ IP X từ server Y". Việc gửi broadcast giúp các server khác biết rằng client đã
chọn server khác và chúng có thể thu hồi lại địa chỉ IP đã offer.
4. DHCPACK (Xác nhận): DHCP Server được client lựa chọn sẽ gửi lại một gói tin DHCPACK để xác
nhận: "OK, địa chỉ IP đó chính thức là của bạn trong một khoảng thời gian nhất định". Lúc này,
client mới bắt đầu sử dụng địa chỉ IP đó.
Lưu ý quan trọng (mũi tên đỏ): "DHCP không có cơ chế xác thực & lựa chọn server". Điều này
tạo ra một lỗ hổng bảo mật gọi là "fake DHCP" hay "DHCP spoofing". Kẻ tấn công có thể giả
mạo một DHCP server, cấp phát địa chỉ IP sai (ví dụ: cấp gateway giả mạo) để lừa client gửi dữ
liệu qua máy của kẻ tấn công, thực hiện tấn công Man-in-the-middle.
Slide 7: Các thông điệp DHCP
Nội dung: Slide này hiển thị chi tiết cấu trúc của các gói tin DHCP (Discover, Offer, Request, Ack) ở mức độ header của gói tin.
Giải thích: Đây là một slide kỹ thuật sâu, dành cho những ai muốn phân tích gói tin mạng. Chúng ta có
thể thấy các trường quan trọng:
UDP Src/Dest Port: DHCP dùng cổng 67 (server) và 68 (client).
XID (Transaction ID): Một số ngẫu nhiên để client có thể khớp các gói tin Request và Reply với nhau.
YIADDR (Your IP address): Trường này sẽ chứa địa chỉ IP được đề nghị (trong Offer) hoặc được cấp (trong Ack).
SIADDR (Server IP address): Địa chỉ của DHCP server.
GIADDR (Gateway IP address): Địa chỉ của relay agent (nếu có).
CHADDR (Client hardware address): Địa chỉ MAC của client.
DHCP Options: Đây là phần quan trọng nhất, chứa các thông tin cấu hình như:
option 53: Loại thông điệp (Discover, Offer, Request, Ack). option 1: Subnet mask.
option 3: Router (gateway). option 6:
DNS servers. option 51: Thời gian cho thuê (lease time).
Slide 8: Thực hành: Thiết lập DHCP cho LAN
Nội dung: Đây là tiêu đề cho một bài thực hành, hướng dẫn sinh viên tự cấu hình một DHCP server cho một mạng LAN.
Giải thích: Mục tiêu của bài thực hành này là để bạn áp dụng các kiến thức lý thuyết vừa học vào thực
tế. Bạn sẽ học cách cài đặt và cấu hình một dịch vụ DHCP (ví dụ trên Linux hoặc trên một router), định
nghĩa dải IP cấp phát, cấu hình các options (gateway, DNS), và kiểm tra xem máy client có nhận được IP tự động hay không.
Slide 9: Inter-LAN & Virtual LAN (nhắc lại)
Nội dung: Nhắc lại và phân biệt hai khái niệm: Inter-LAN và Virtual LAN (VLAN). Giải thích:
Inter-LAN (Kết nối giữa các LAN):
Nhu cầu: Khi một tổ chức phát triển, họ cần nhiều hơn một LAN (ví dụ: phòng Kế toán,
phòng Kỹ thuật). Inter-LAN là việc kết nối các LAN riêng biệt này lại với nhau, thường thông qua một router.
Bảo mật: Việc chia ra nhiều LAN giúp bảo mật. Phòng Kế toán có tài nguyên riêng, không
thể truy cập trực tiếp từ phòng Kỹ thuật và ngược lại. Router ở giữa sẽ kiểm soát luồng truy cập này. Virtual LAN (VLAN):
Nhu cầu: VLAN giải quyết một vấn đề phức tạp hơn. Giả sử phòng Kỹ thuật có nhân viên
ngồi ở cả tầng 1 và tầng 3. Về mặt vật lý, họ thuộc 2 LAN khác nhau. Nhưng về mặt logic, họ
cùng thuộc một phòng ban và cần chung một không gian mạng (broadcast domain).
Cách hoạt động: VLAN cho phép nhóm các cổng trên một hoặc nhiều switch lại với
nhau thành một LAN ảo, bất kể vị trí vật lý. Các máy tính trong cùng một VLAN sẽ giao tiếp
với nhau như thể chúng đang cắm vào cùng một switch.
Trunk port: Để các VLAN có thể trải dài trên nhiều switch, cần có một cổng đặc biệt
gọi là "Trunk port" để "chuyên chở" frame của nhiều VLAN khác nhau giữa các switch. Sơ đồ:
Sơ đồ minh họa rất rõ. Hai switch vật lý được nối với nhau. Các cổng 1-4 trên cả hai switch được
cấu hình thuộc VLAN "Marketing". Các cổng 9-12 thuộc "Engineering", và 17-24 thuộc
"Operations". Dù ở hai switch khác nhau, các máy tính của "Marketing" vẫn thấy nhau như trong cùng một LAN.
Slide 10: Port-based & Protocol-based VLAN
Nội dung: Giới thiệu hai cách triển khai VLAN ban đầu. Giải thích:
Port-based VLAN (VLAN dựa trên cổng): Đây là cách phổ biến và đơn giản nhất. Admin sẽ gán
mỗi cổng của switch vào một VLAN cụ thể (ví dụ: cổng 1-8 thuộc VLAN 10, cổng 9-16 thuộc
VLAN 20). Bất kỳ thiết bị nào cắm vào cổng đó sẽ tự động thuộc VLAN tương ứng.
Protocol-based VLAN (VLAN dựa trên giao thức): Đây là một phương pháp linh hoạt hơn
nhưng ít phổ biến hơn. Switch sẽ xem xét loại giao thức bên trong frame (ví dụ: IP, IPX). Tất cả
các frame IP sẽ được đưa vào một VLAN, tất cả các frame IPX sẽ được đưa vào một VLAN khác,
bất kể chúng đến từ cổng nào. Sơ đồ minh họa một cổng có thể xử lý cả frame IP và IPX, và
switch sẽ "lọc" chúng vào VLAN "orange" (IP) hoặc "blue" (IPX).
Slide 11: 802.1Q Tagged VLAN
Nội dung: Giới thiệu chuẩn 802.1Q, phương pháp "đánh dấu" (tagging) để quản lý VLAN. Giải thích:
Đây là chuẩn hóa của IEEE và là phương pháp được sử dụng rộng rãi nhất hiện nay, đặc biệt cho các kết nối "trunk".
Cách hoạt động: Khi một frame đi từ một cổng access (thuộc một VLAN cụ thể) vào switch và
cần được chuyển qua một cổng trunk để đi đến switch khác, switch sẽ chèn thêm một "thẻ" (tag)
4-byte vào header của frame Ethernet.
802.1Q Tag: Thẻ này chứa các thông tin:
TPID (Tag Protocol ID): Giá trị 0x8100 để báo cho thiết bị nhận biết rằng đây là một frame có tag 802.1Q.
User Priority (802.1p): 3 bit để ưu tiên chất lượng dịch vụ (QoS).
CFI: Thường không dùng.
VLAN Identifier (VID): Đây là phần quan trọng nhất (12 bit), chứa số hiệu của VLAN (từ 1
đến 4094) mà frame này thuộc về.
Khi frame đến switch đích qua cổng trunk, switch sẽ đọc VID, biết được frame này thuộc VLAN
nào, gỡ bỏ tag và chuyển frame đến cổng access tương ứng của VLAN đó.
Slide 12: VLAN & IP
Nội dung: Giải thích mối quan hệ giữa VLAN (tầng 2) và IP (tầng 3). Giải thích:
Hoạt động tầng IP không phân biệt: Đối với một máy tính, nó không hề biết mình đang ở
trong một VLAN. Nó chỉ biết địa chỉ IP, subnet mask, và gateway của mình. Việc xử lý VLAN hoàn
toàn do các switch đảm nhiệm ở tầng 2.
VLAN chỉnh sửa broadcast domain: Bản chất của VLAN là chia một broadcast domain lớn (của
cả một LAN vật lý) thành nhiều broadcast domain nhỏ hơn.
Hậu quả đối với ARP: Giao thức ARP (dùng để tìm địa chỉ MAC từ địa chỉ IP) hoạt động bằng
cách gửi broadcast. Vì các VLAN khác nhau có broadcast domain khác nhau, một máy ở VLAN 10
không thể gửi broadcast ARP để tìm máy ở VLAN 20. Chúng không thể "nhìn thấy" MAC của nhau.
Kết nối Inter-VLAN: Do đó, để hai máy ở hai VLAN khác nhau có thể giao tiếp, chúng phải đi
qua tầng 3 (IP). Dữ liệu phải được gửi đến gateway (router), router sẽ định tuyến gói tin từ
mạng con của VLAN này sang mạng con của VLAN kia. Quá trình này được gọi là Inter-VLAN routing.
Thiết bị: Việc này có thể được thực hiện bằng một router vật lý (như sơ đồ) hoặc phổ biến hơn
hiện nay là dùng một Layer-3 Switch, một loại switch cao cấp có khả năng định tuyến.
Slide 13: Private Network với Cisco layer 3 switch
Nội dung: Giới thiệu mô hình mạng 3 lớp của Cisco, sử dụng switch Layer 3 để xây dựng các mạng
private quy mô vừa và lớn. Giải thích:
Với các mạng lớn như trường đại học, việc sử dụng VLAN là bắt buộc. Cisco, một hãng sản xuất
thiết bị mạng hàng đầu, đã đưa ra mô hình kiến trúc phân cấp 3 lớp để thiết kế mạng hiệu quả và dễ mở rộng:
1. Access Layer (Tầng truy cập): Đây là lớp dưới cùng, nơi các thiết bị người dùng cuối
(máy tính, máy in) kết nối vào mạng. Các switch ở lớp này cung cấp kết nối cổng cho
người dùng và thực hiện các chính sách cơ bản như gán VLAN.
2. Distribution Layer (Tầng phân phối): Lớp này kết nối các switch Access lại với nhau. Đây
là nơi thực hiện các chính sách phức tạp hơn như Inter-VLAN routing (sử dụng switch
Layer 3), lọc gói tin (Access Control List), và định nghĩa ranh giới broadcast.
3. Core Layer (Tầng lõi): Đây là "xương sống" tốc độ cao của mạng, kết nối các switch
Distribution lại với nhau. Nhiệm vụ duy nhất của lớp Core là chuyển mạch các gói tin với
tốc độ nhanh nhất có thể. Nó không thực hiện các chính sách phức tạp để tránh làm chậm hệ thống.
Lợi ích: Mô hình này giúp tạo ra một mạng có hiệu suất cao, dễ quản lý, dễ khắc phục sự cố và
dễ dàng mở rộng khi có nhu-cầu.
Chúng ta đã đi qua phần tìm hiểu về các dạng mạng nội bộ đơn giản, từ LAN, DHCP cho đến VLAN và kiến
trúc mạng 3 lớp. Bạn có câu hỏi nào hay cần làm rõ điểm nào không? Nếu bạn đã hài lòng, chúng ta sẽ
chuyển sang phần quan trọng tiếp theo: Kết nối tầng IP với Internet.
Rất tốt! Giờ chúng ta sẽ bước vào phần cốt lõi của việc thiết kế mạng nội bộ: làm thế nào để mạng riêng của
chúng ta có thể giao tiếp với thế giới Internet rộng lớn.
Phần 3: Kết nối tầng IP với Internet (Slides 14-26)
Slide 14: Tiêu đề - Kết nối tầng IP với Internet
Nội dung: Đây là slide tiêu đề cho phần mới, báo hiệu chúng ta sẽ tập trung vào các cơ chế cho phép
kết nối từ mạng nội bộ ra ngoài.
Slide 15: Inter-LAN và qui hoạch default gateway
Nội dung: Slide này giải thích khái niệm "default gateway" và cách quy hoạch nó trong một mạng có nhiều LAN (Inter-LAN). Giải thích:
Default Gateway: Khi một máy tính muốn gửi gói tin đến một địa chỉ IP không nằm trong mạng
LAN của nó, nó không biết đường đi. Vì vậy, nó sẽ gửi gói tin đó đến một địa chỉ "mặc định", gọi
là default gateway. Gateway này (thường là một router) sẽ có trách nhiệm tìm đường và chuyển
tiếp gói tin đi đến đích.
Quy hoạch gateway trong mạng Inter-LAN:
1. Gateway ra Internet: Đối với toàn bộ Private Network, Gateway chính là router kết nối ra
mạng public Internet (router R3 trong sơ đồ).
2. Gateway của từng LAN: Đối với một máy tính trong LAN 2, khi nó muốn nói chuyện với
một máy tính trong LAN 1, nó không gửi trực tiếp ra R3. Nó sẽ gửi đến gateway của LAN
2, đó là router R2. R2 sẽ chuyển tiếp gói tin đến R1, rồi đến máy đích trong LAN 1. Do đó,
R2 là gateway của LAN 2, và R1 là gateway của LAN 1.
3. LAN có một router: Nếu một LAN chỉ có một lối ra duy nhất (một router), thì router đó
mặc nhiên là default gateway.
4. LAN có nhiều router (Lựa chọn): Đây là trường hợp phức tạp hơn. Giả sử LAN 2 có thể
đi ra ngoài qua cả R2 và R3. Ta phải quyết định router nào sẽ là default gateway. Lựa chọn
này thường dựa trên hướng lưu lượng chính. Sơ đồ minh họa:
Lưu lượng chính từ LAN 2 là đi sang LAN 1 (màu xanh lá). Do đó, default gateway của các
máy trong LAN 2 nên được cấu hình là địa chỉ của router R2 (192.168.1.130).
Lưu lượng chính từ LAN 3 là đi ra Internet (màu xanh dương). Do đó, default gateway của
các máy trong LAN 3 nên được cấu hình là địa chỉ của router R3 (192.168.2.2). Nếu một
máy trong LAN 2 muốn đi ra Internet, nó sẽ gửi gói tin đến R2. R2 sẽ phải chuyển tiếp gói
tin này đến R3, rồi R3 mới đi ra Internet. Đây là một đường đi vòng, không tối ưu. Vấn đề này sẽ
được giải quyết ở slide tiếp theo.
Slide 16: ICMP Redirect & routing vòng
Nội dung: Giải thích cơ chế ICMP Redirect để khắc phục đường đi không tối ưu và vấn đề routing vòng. Giải thích:
Tình huống đi vòng (Suboptimal Routing): Lấy ví dụ từ slide trước. Một máy trong LAN3 (IP
.15) muốn ping đến máy trong LAN1 (IP .20).
Default gateway của máy LAN3 là R3. Gói tin được gửi đến R3.
R3 nhìn vào bảng định tuyến của nó và thấy rằng để đến được LAN1, nó phải gửi gói tin đến R1.
R1 nhận gói tin và chuyển đến máy đích trong LAN1.
Vấn đề: Đường đi tối ưu phải là từ máy LAN3 -> R1 -> máy LAN1. Việc đi qua R3 là một bước thừa.
ICMP Redirect: Khi R1 nhận được gói tin từ R3 (để đi đến LAN1), nó nhận ra rằng cả máy gửi
(LAN3) và đích đến tối ưu (chính là R1) đều nằm trên cùng một mạng LAN (mạng
192.168.2.0/24). R1 hiểu rằng R3 đã chỉ đường sai. Nó sẽ gửi một thông điệp ICMP Redirect về
cho máy gửi (LAN3) và bảo rằng: "Lần sau, nếu muốn đến 192.168.1.20, đừng gửi cho R3 nữa,
hãy gửi thẳng cho tôi (192.168.2.1)".
Xử lý: Máy trạm sau khi nhận được ICMP Redirect sẽ tạm thời thêm một "route" mới vào bảng
định tuyến của nó. Lần ping tiếp theo, nó sẽ gửi thẳng đến R1, đường đi sẽ tối ưu hơn.
Routing vòng (Loop Routing): Đây là một lỗi cấu hình nghiêm trọng hơn. Nếu bảng định tuyến
của các router bị cấu hình sai (ví dụ: R1 nói đến X qua R2, R2 lại nói đến X qua R1), gói tin sẽ bị
lặp đi lặp lại giữa các router cho đến khi hết TTL (Time-to-live). Các giao thức định tuyến động
(dynamic routing protocols) thường có cơ chế để phát hiện và ngăn chặn việc này.
Dòng lệnh ping: Output của lệnh ping trong slide minh họa rõ cơ chế ICMP Redirect. Bạn có
thể thấy các dòng "Redirect Host(New nexthop: 192.168.2.1)" được gửi từ 192.168.2.2 (địa chỉ
của R2, nhưng trong ví dụ này có lẽ là R1 gửi) về cho máy nguồn.
Slide 17: Thực hành: Qui hoạch gateway cho LAN & Private Net.
Nội dung: Đây là tiêu đề của bài thực hành thứ hai.
Giải thích: Bài thực hành này yêu cầu bạn:
1. Dựng lại mô hình mạng trong sơ đồ.
2. Cấu hình địa chỉ IP và default gateway cho các host trong các LAN theo hướng lưu lượng ưu tiên đã phân tích.
3. Thực hiện lệnh ping từ LAN3 sang LAN1 để quan sát thông điệp ICMP Redirect.
4. Cấu hình lại máy tramiya trong LAN3 (ví dụ: thêm một route tĩnh) để nó biết đường đi tối ưu và
kiểm tra lại bằng lệnh ping.
Slide 18: Quản lý tài nguyên địa chỉ IP
Nội dung: Giới thiệu về hệ thống quản lý và cấp phát địa chỉ IP trên toàn cầu và tại Việt Nam. Giải thích:
Địa chỉ IP public là tài nguyên hữu hạn và phải được quản lý chặt chẽ để đảm bảo tính duy nhất trên toàn cầu.
Quản lý toàn cầu: IANA (Internet Assigned Numbers Authority) là tổ chức cao nhất, họ phân bổ
các khối địa chỉ IP lớn cho 5 tổ chức khu vực (RIR - Regional Internet Registry): ARIN: Bắc Mỹ.
RIPE NCC: Châu Âu, Trung Đông.
APNIC: Châu Á - Thái Bình Dương (Việt Nam thuộc khu vực này).
Quản lý tại Việt Nam:
VNNIC (Trung tâm Internet Việt Nam) là tổ chức quản lý tài nguyên Internet quốc gia
(tên miền .vn, địa chỉ IP). VNNIC nhận các khối địa chỉ IP từ APNIC.
Các tổ chức lớn ở Việt Nam (như các ISP: VNPT, Viettel, FPT) sẽ xin cấp các khối địa chỉ IP
từ VNNIC để phục vụ hoạt động kinh doanh.
Soho (Small Office/Home Office): Người dùng cá nhân, văn phòng nhỏ không xin IP trực
tiếp từ VNNIC. Họ kết nối Internet thông qua một ISP. ISP sẽ cấp cho họ một (hoặc vài) địa
chỉ IP từ khối địa chỉ mà ISP sở hữu. Địa chỉ này có thể là động (thay đổi mỗi lần kết nối)
hoặc tĩnh (cố định, thường phải trả thêm phí).
Sơ đồ: Sơ đồ minh họa quy trình một tổ chức xin cấp địa chỉ IP từ VNNIC.
Slide 19: Vai trò của private IP addresses
Nội dung: Mô tả một kịch bản Soho điển hình, làm rõ vai trò của địa chỉ IP private, Giải thích: WAN IP, LAN IP. Sơ đồ:
Soho Network: Mạng LAN tại nhà/văn phòng nhỏ của bạn. Các máy tính bên trong
dùng địa chỉ IP private (ví dụ: 192.168.1.0/24).
Router ISP: Thiết bị modem/router mà nhà mạng cung cấp cho bạn.
WAN IP (địa chỉ mặt ngoài): Đây là địa chỉ IP mà ISP cấp cho router của bạn (ví dụ:
203.162.11.25). Đây là địa chỉ public, có thể "nhìn thấy" từ Internet.
LAN IP (địa chỉ mặt trong): Đây là địa chỉ IP của router đó nhưng ở phía mạng LAN của
bạn (ví dụ: 192.168.1.1). Đây chính là default gateway cho các máy tính trong mạng Soho.
Vai trò của Private IP:
Các dải địa chỉ private (10.x.x.x, 172.16-31.x.x, 192.168.x.x) được sử dụng tự do
trong mạng nội bộ mà không cần xin phép.
Việc này giúp giải quyết bài toán cạn kiệt địa chỉ IPv4 và tăng cường bảo mật (vì các máy
bên ngoài không thể kết nối trực tiếp đến một địa chỉ IP private).
Kết nối ra bên ngoài:
Khi máy tính 192.168.1.20 muốn truy cập Google, nó gửi gói tin đến gateway
192.168.1.1. Router sẽ dùng NAT để thay địa chỉ nguồn 192.168.1.20 bằng địa chỉ
WAN IP 203.162.11.25 trước khi gửi ra Internet.
Khi bạn muốn host một web server tại nhà và cho phép người ngoài truy cập, bạn phải dùng Port Forwarding.
Slide 20: Network Address Translation (NAT)
Nội dung: Giải thích chi tiết về cơ chế hoạt động cơ bản của NAT. Giải thích:
Về mặt kỹ thuật: Router không phân biệt IP public và private, chúng chỉ đơn giản là các con số 32-bit.
Về mặt quản lý: Các router trên "xương sống" Internet được cấu hình để không định tuyến các
gói tin có địa chỉ nguồn/đích thuộc dải IP private. Chúng sẽ bị loại bỏ.
NAT (dịch địa chỉ mạng): Là một chức năng trên gateway (router) giúp "che giấu" toàn bộ
mạng private đằng sau một địa chỉ IP public duy nhất.
Cơ chế hoạt động (Basic NAT):
1. Outbound (Đi ra): Một máy private (192.168.100.15) gửi gói tin đến một máy public
(205.192.25.17). Khi gói tin đi qua NAT Gateway, Gateway sẽ thay đổi địa chỉ IP nguồn
từ 192.168.100.15 thành địa chỉ IP public của nó (203.162.11.25). Gateway sẽ lưu lại
ánh xạ này trong một bảng gọi là NAT table.
2. Inbound (Đi vào): Máy public trả lời về địa chỉ 203.162.11.25. Khi gói tin về đến NAT
Gateway, Gateway sẽ tra bảng NAT, thấy rằng gói tin này thực chất là dành cho
192.168.100.15. Nó sẽ thay đổi địa chỉ IP đích từ 203.162.11.25 về lại
192.168.100.15 rồi chuyển vào mạng private.
Với Basic NAT (one-to-one), mỗi IP private cần một IP public để ánh xạ, không giải quyết được bài toán tiết kiệm IP.
Slide 21: One-to-many NAT: NAPT
Nội dung: Giới thiệu NAPT (hay PAT), phiên bản nâng cao của NAT cho phép nhiều máy private chia sẻ một IP public. Giải thích:
Đây là loại NAT phổ biến nhất hiện nay, được dùng trong hầu hết các router gia đình. NAPT
(Network Address and Port Translation): Không chỉ dịch địa chỉ IP (tầng 3), NAPT còn dịch
cả số hiệu cổng (Port) ở tầng 4 (TCP/UDP). Cách hoạt động: 1. Outbound:
Máy A (.15) gửi gói tin từ cổng 3456.
Máy B (.34) gửi gói tin từ cổng 6543.
Khi đi qua NAPT Gateway, cả hai gói tin đều được đổi địa chỉ IP nguồn thành
203.162.11.25. Tuy nhiên, Gateway cũng sẽ gán cho mỗi kết nối một cổng nguồn
mới, duy nhất ở phía public (ví dụ: 3457 cho máy A, 6542 cho máy B).
Gateway lưu lại ánh xạ đầy đủ trong bảng Transition table:
(192.168.100.15:3456) <-> (203.162.11.25:3457). 2. Inbound:
Khi gói tin trả lời về cổng 3457, Gateway tra bảng và biết nó dành cho máy A (.15) cổng 3456.
Khi gói tin trả lời về cổng 6542, Gateway tra bảng và biết nó dành cho máy B (.34) cổng 6543.
Nhờ việc sử dụng các cổng khác nhau, NAPT cho phép hàng nghìn máy tính trong mạng private
cùng lúc kết nối ra Internet chỉ qua một địa chỉ IP public duy nhất.
Slide 22: NAT lồng nhau (nested)
Nội dung: Mô tả tình huống NAT được áp dụng ở nhiều cấp độ khác nhau. Giải thích:
Đây là một thực tế rất phổ biến.
1. Cấp LAN: Mạng LAN của bạn trong công ty dùng NAT để ra ngoài (được cấp IP IP3).
2. Cấp Office: Toàn bộ công ty của bạn kết nối với ISP thông qua một gateway khác, và
gateway này cũng dùng NAT (được cấp IP IP2).
3. Cấp ISP: Ngay cả nhà cung cấp dịch vụ Internet (ISP) cũng có thể sử dụng một kỹ thuật
gọi là Carrier-Grade NAT (CGNAT) để chia sẻ một lượng IP public ít ỏi cho nhiều khách
hàng. Các khách hàng sẽ được cấp một IP "gần như public" (ví dụ, trong dải
100.64.0.0/10), rồi ISP lại NAT một lần nữa ra IP public thực sự (IP IP1).
Hậu quả: Khi máy A (địa chỉ private IP4) gửi gói tin đến máy X, gói tin sẽ được NAT qua 3 lần.
Địa chỉ nguồn sẽ lần lượt bị đổi từ IP4 -> IP3 -> IP2 -> IP1.
Đối với máy A và X, quá trình này hoàn toàn trong suốt. Tuy nhiên, nó gây ra nhiều vấn đề cho
các ứng dụng đòi hỏi kết nối ngang hàng (P2P) hoặc Port Forwarding.
Slide 23: NAT & NAPT Discussion
Nội dung: Tóm tắt các đặc điểm và hạn chế của NAT/NAPT. Giải thích: Ưu điểm:
Hoạt động độc lập với tầng ứng dụng, cho phép hầu hết các ứng dụng client-server thông
thường (web, email) hoạt động mà không cần sửa đổi.
Trong suốt với người dùng cuối.
Nhược điểm (Hạn chế):
1. Vấn đề với các ứng dụng "thông minh": Một số ứng dụng (như FTP ở chế độ active) có
cơ chế truyền thông tin địa chỉ IP/port bên trong phần dữ liệu của gói tin. NAT/NAPT chỉ
sửa header, không sửa phần dữ liệu, dẫn đến ứng dụng bị lỗi. Các Gateway hiện đại
thường có thêm một module gọi là ALG (Application-level gateway) để "đọc" và sửa cả
phần dữ liệu này cho các giao thức phổ biến.
2. Chỉ hỗ trợ kết nối ra (outbound): NAT/NAPT được thiết kế để một máy bên trong
(private) chủ động bắt đầu kết nối ra bên ngoài (public). Nó không thể xử lý trường hợp
một máy bên ngoài muốn chủ động bắt đầu kết nối vào một máy chủ (ví dụ: web server)
đặt bên trong mạng private. Đây là lúc chúng ta cần Port Forwarding.
Slide 24: NAT Port Forwarding
Nội dung: Giải thích cơ chế Port Forwarding để cho phép kết nối từ bên ngoài vào. Giải thích:
Mục đích: Khi bạn có một dịch vụ trong mạng private (ví dụ: web server, camera an ninh) mà
muốn người dùng từ Internet có thể truy cập, bạn cần Port Forwarding.
Cơ chế: Port Forwarding (hay "Port Mapping") là việc bạn cấu hình trước trên Gateway một quy
tắc tĩnh, ví dụ: "Bất kỳ kết nối nào từ Internet gửi đến cổng 80 của Gateway này, hãy chuyển tiếp
(forward) nó đến địa chỉ 192.168.100.3 cổng 801 trong mạng private".
Luồng hoạt động (Inbound):
1. Người dùng bên ngoài gửi yêu cầu đến 203.162.11.25:80.
2. Gateway nhận được, tra bảng Port Forwarding, thấy có quy tắc khớp.
3. Gateway thay đổi địa chỉ IP đích và port đích của gói tin thành 192.168.100.3:801 và chuyển vào mạng private.
Luồng hoạt động (Outbound Reply): Web server trả lời. Gói tin đi ra Gateway. Gateway sẽ thực
hiện NAT ngược lại (đổi địa chỉ nguồn từ 192.168.100.3 thành 203.162.11.25) để người dùng
bên ngoài nhận được phản hồi từ đúng địa chỉ mà họ đã gửi yêu cầu đến.
Sơ đồ minh họa 2 quy tắc: Cổng 80 public được forward đến cổng 801 của máy .3, và cổng 90
public được forward đến cổng 901 của máy .34.
Slide 25: Linux iptables (nhắc lại)
Nội dung: Giới thiệu iptables, công cụ tường lửa và NAT mạnh mẽ trên Linux. Giải thích:
iptables là một công cụ dòng lệnh cho phép người quản trị cấu hình các quy tắc xử lý gói tin trong kernel của Linux.
Chain (Dòng): Là các điểm "chốt chặn" trên đường đi của một gói tin. Các chain quan trọng cho NAT là:
PREROUTING: Gói tin vừa đi vào card mạng, trước khi được định tuyến. Đây là nơi thực hiện
DNAT (Destination NAT, dùng cho Port Forwarding).
POSTROUTING: Gói tin sắp đi ra khỏi card mạng, sau khi đã được định tuyến. Đây là nơi
thực hiện SNAT (Source NAT, dùng cho NAPT/PAT).
Table (Bảng): Các rule được nhóm vào các bảng theo chức năng. Bảng nat chứa các rule liên quan đến NAT.
Rule (Luật): Một quy tắc cụ thể, ví dụ: "nếu gói tin đi ra qua cổng eth1, hãy thực hiện hành động MASQUERADE".
MASQUERADE: Đây là một "action" đặc biệt trong iptables, là một dạng SNAT động. Nó tự
động lấy địa chỉ IP của card mạng đi ra để làm địa chỉ nguồn. Rất tiện lợi khi card mạng đó nhận IP
động từ ISP. Lệnh iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE là lệnh kinh điển để bật NAPT trên Linux.
Slide 26: Thực hành: NAT & Port Forwarding
Nội dung: Tiêu đề bài thực hành tổng hợp về NAT và Port Forwarding.
Giải thích: Bài thực hành này yêu cầu bạn:
1. Dựng lại mô hình mạng Inter-LAN.
2. Sử dụng một máy ảo (Router R3) làm gateway ra Internet. Cấu hình tính năng NAT trên máy ảo
này (ví dụ: dùng iptables trên Linux hoặc tính năng "NAT Network" của VirtualBox).
3. Kiểm tra xem tất cả các máy trạm trong LAN1, LAN2, LAN3 có thể truy cập Internet thông qua R3 hay không.
4. Cấu hình Port Forwarding trên R3 để một máy tính từ bên ngoài (máy host của bạn) có thể truy
cập vào một dịch vụ (ví dụ: web server) đang chạy trên một máy trong LAN1.
Phần trình bày về các cơ chế kết nối tầng IP với Internet, đặc biệt là NAT và Port Forwarding, đã hoàn tất. Đây
là một phần rất quan trọng và có tính ứng dụng cao. Bạn có thấy rõ ràng và hài lòng không? Hay có điểm
nào cần tôi giải thích lại trước khi chúng ta chuyển sang Virtual Private Network (VPN)?
Tuyệt vời! Chúng ta sẽ tiếp tục với một chủ đề rất thú vị và thực tiễn: Virtual Private Network (VPN), hay Mạng riêng ảo.
Phần 4: Virtual Private Network (VPN) (Slides 27-37)
Slide 27: Tiêu đề - Virtual Private Network (VPN)
Nội dung: Slide tiêu đề giới thiệu chủ đề Mạng riêng ảo (VPN).
Slide 28: Virtual Private Network (VPN) - Khái niệm
Nội dung: Giới thiệu về nhu cầu sử dụng VPN và các tiêu chí cốt lõi của một VPN. Giải thích:
Nhu cầu: Trong thế giới hiện đại, mọi người cần làm việc từ xa, di chuyển liên tục, nhưng vẫn cần
truy cập vào các tài nguyên nội bộ của công ty (file server, cơ sở dữ liệu...). Các tài nguyên này
được bảo vệ trong một mạng private. Làm thế nào để một người dùng đang ngồi ở quán cà phê
có thể truy cập an toàn vào mạng công ty? VPN chính là giải pháp.
Định nghĩa: VPN được hình dung như một mạng riêng (private network) "ảo" được tạo ra trên
nền tảng của một mạng công cộng (public network - thường là Internet). Nó cho phép các chi
nhánh hoặc người dùng ở xa kết nối với nhau một cách an toàn.
Các tiêu chí cốt lõi của VPN (CIA Triad mở rộng):
1. Bảo mật (Confidentiality): Dữ liệu truyền trên Internet công cộng phải được mã hóa
(encryption). Nếu một kẻ tấn công nghe lén (sniffing) được gói tin, chúng cũng chỉ thấy
một mớ dữ liệu vô nghĩa và không thể giải mã được.
2. Xác thực (Authentication): Phải đảm bảo rằng chỉ những người dùng/thiết bị hợp lệ mới
được quyền kết nối vào VPN. Cơ chế này ngăn chặn việc giả mạo danh tính để truy cập trái phép.
3. Toàn vẹn (Integrity): Phải đảm bảo dữ liệu không bị thay đổi trên đường truyền. VPN sử
dụng các thuật toán hashing (như SHA-256) để tạo ra một "dấu vân tay" cho dữ liệu. Nếu
dữ liệu bị sửa đổi dù chỉ một bit, "dấu vân tay" sẽ không khớp và gói tin sẽ bị loại bỏ.
Sơ đồ: Sơ đồ minh họa một "Head-office" (trụ sở chính) có mạng riêng. Các "Regional Office"
(văn phòng chi nhánh) và "Remote/roaming users" (người dùng từ xa) sử dụng Internet để kết
nối an toàn vào mạng của trụ sở chính, tạo thành một mạng riêng ảo thống nhất.
Slide 29: Host-to-net VPN
Nội dung: Giới thiệu mô hình VPN phổ biến nhất: Host-to-net (hay còn gọi là Remote Access VPN). Giải thích:
Mục đích: Hỗ trợ một người dùng đơn lẻ ở xa (the Host) kết nối vào một mạng riêng (the Net).
Đây chính là kịch bản người dùng làm việc từ xa. Cách hoạt động:
1. Gateway của mạng private sẽ được cài đặt một phần mềm VPN Server.
2. Người dùng từ xa (Remote Client) cài đặt phần mềm VPN Client trên máy tính của mình.
3. Khi client kết nối thành công vào VPN server, một "đường hầm" (tunnel) ảo và an toàn sẽ
được thiết lập giữa client và gateway qua Internet.
4. VPN server sẽ cấp cho client một địa chỉ IP ảo (virtual IP) thuộc dải mạng private.
5. Từ góc nhìn của các máy chủ bên trong mạng private, remote client giờ đây giống như
một máy tính "ảo" (virtual client) đang ngồi ngay bên trong mạng của họ. Chúng không
cần biết client này thực chất đang ở rất xa.
Đường hầm (Tunnel): Đây là cơ chế cốt lõi. Tất cả các gói tin nội bộ (ví dụ: từ remote client đến
file server) sẽ được "đóng gói" (encapsulation) vào bên trong một gói tin IP khác. Gói tin bên
ngoài này có địa chỉ nguồn là của remote client và đích là của gateway. Gói tin "bên trong" được
mã hóa để đảm bảo an toàn khi đi qua Internet.
Slide 30: Host-to-net VPN demo (Luồng đi)
Nội dung: Mô tả chi tiết từng bước của một phiên kết nối Host-to-net VPN khi client truy cập tài nguyên.
Giải thích: Đây là luồng dữ liệu khi Remote Client (người dùng từ xa) muốn truy cập Server (máy chủ nội bộ).
1. Thiết lập: Cấu hình VPN server trên Gateway, định nghĩa dải IP sẽ cấp cho client (ví dụ: 192.168.1.200-210).
2. Login: Remote client kết nối Internet, sau đó dùng phần mềm VPN client để login vào Gateway.
3. Cấp IP: Login thành công, Gateway cấp cho client một địa chỉ IP, ví dụ 192.168.1.200 (VPN IP).
Đồng thời Gateway tạo ra một "agent" ảo (Virtual Client) bên trong mạng để đại diện cho client này.
4. Tạo đường hầm: Gateway và Remote Client thiết lập một đường hầm IP an toàn.
5. Gửi yêu cầu: Remote client muốn truy cập server 192.168.1.10. Nó sẽ tạo một gói tin IP bình
thường với nguồn là 192.168.1.200 và đích là 192.168.1.10.
6. Đóng gói (Encapsulation): Gói tin ở bước 5 (gói tin nội bộ) sẽ được mã hóa và đóng gói vào
bên trong một gói tin IP khác (gói tin đường hầm). Gói tin mới này có:
Nguồn: IP public của Remote Client (205.192.25.17)
Đích: IP public của Gateway (203.162.11.25)
7. Truyền qua Internet: Gói tin đường hầm được gửi qua Internet.
8. Mở gói (Decapsulation): Gateway nhận được gói tin đường hầm. Nó giải mã và "mở" gói tin,
lấy ra gói tin nội bộ ban đầu (S: 192.168.1.200, D: 192.168.1.10).
9. Chuyển tiếp: Gateway chuyển tiếp gói tin nội bộ này đến Server.
10. Xử lý: Server nhận được yêu cầu từ 192.168.1.200, nó xử lý và không hề biết đây là một client từ xa.
Slide 31: Host-to-net VPN demo (tiếp) (Luồng về)
Nội dung: Mô tả luồng dữ liệu trả về từ Server đến Remote Client.
Giải thích: Đây là quá trình ngược lại.
1. Server trả lời: Server gửi gói tin trả lời với nguồn là 192.168.1.10 và đích là 192.168.1.200 (VPN IP của client).
2. Đến Gateway: Gói tin này đi trong mạng private và đến Gateway (vì Gateway biết đường đến
mạng 192.168.1.0/24, bao gồm cả dải VPN).
3. Đóng gói: Gateway nhận ra gói tin này dành cho một remote client. Nó lại mã hóa và đóng gói
gói tin trả lời này vào một gói tin đường hầm mới. Gói tin mới này có:
Nguồn: IP public của Gateway (203.162.11.25)
Đích: IP public của Remote Client (205.192.25.17)
4. Truyền qua Internet: Gói tin đường hầm được gửi ngược lại qua Internet.
5. Mở gói: Remote Client nhận được gói tin đường hầm. Phần mềm VPN client sẽ giải mã và "mở"
nó ra, lấy lại được gói tin trả lời gốc từ Server.
6. Chuyển cho ứng dụng: Gói tin trả lời được đưa đến ứng dụng đang chờ (ví dụ: trình duyệt
web), hoàn tất quá trình truy cập.
Slide 32: Thực hành: host-to-net VPN
Nội dung: Hướng dẫn thực hành cài đặt một hệ thống Host-to-net VPN sử dụng OpenVPN.
Giải thích: Bài thực hành này rất thực tế:
Bạn sẽ sử dụng phần mềm mã nguồn mở phổ biến là OpenVPN.
Mô hình: Dựng một mạng giả lập gồm:
Gateway: Máy cài OpenVPN server.
Local user: Máy trong mạng private.
Internet user: Máy đóng vai người dùng từ xa, cài OpenVPN client. Các bước:
1. Cài đặt OpenVPN server trên Gateway.
2. Tạo các file xác thực (chứng chỉ, khóa) cho server và client.
3. Cài đặt OpenVPN client trên máy Internet user và nạp file xác thực vào. 4. Kết nối VPN.
5. Kiểm tra xem Internet user có thể ping được Local user không.
6. Dùng công cụ như traceroute để xem đường đi của gói tin, quan sát cách nó đi qua "đường hầm" VPN.
Slide 33: Net-to-net VPN
Nội dung: Giới thiệu mô hình VPN thứ hai: Net-to-net (hay Site-to-Site VPN). Giải thích:
Mục đích: Kết nối hai hoặc nhiều mạng private ở các địa điểm khác nhau (ví dụ: trụ sở chính và
văn phòng chi nhánh) thành một mạng riêng ảo thống nhất qua Internet.
Khác biệt với Host-to-net: Thay vì kết nối một máy tính, mô hình này kết nối toàn bộ một
mạng LAN. Người dùng trong các mạng này có thể giao tiếp với nhau như thể họ đang ở trong
cùng một mạng lớn mà không cần cài đặt phần mềm VPN client trên từng máy.
Cách hoạt động: Một đường hầm IP vĩnh viễn (hoặc bán vĩnh viễn) được thiết lập sẵn giữa các
Gateway của các mạng private. Toàn bộ quá trình đóng gói và giải mã gói tin được thực hiện tự
động bởi các Gateway này.
Sơ đồ: Đường đi logic của gói tin (màu xanh lá) là trực tiếp từ Local client #1 đến Local client
#2. Nhưng đường đi thực tế (màu đỏ) là gói tin phải đi đến Gateway #1, được đóng gói và đi qua
đường hầm VPN trên Internet đến Gateway #2, rồi mới được giải mã và chuyển đến Local client #2.
Slide 34: Net-to-net VPN demo
Nội dung: Mô tả chi tiết các bước thiết lập và luồng dữ liệu của một Net-to-net VPN. Giải thích:
1. Bối cảnh: Công ty có 2 mạng riêng (network #1 và network #2) ở 2 nơi. Mục tiêu là gộp chúng
thành một VPN để các máy có thể giao tiếp bằng địa chỉ IP private.
2. Thiết lập đường hầm: Thiết lập một đường hầm IP giữa 2 địa chỉ public của 2 gateway (fo:
203.162.5.11 và fo: 205.192.25.12).
3. Cấu hình routing: Đây là bước quan trọng.
Trên Gateway #1, phải thêm một route: "Để đi đến mạng 192.168.4.0/24 (network #2),
hãy gửi gói tin vào giao diện đường hầm (tunnel interface)".
Tương tự trên Gateway #2: "Để đi đến mạng 192.168.3.0/24 (network #1), hãy gửi gói tin vào tunnel".
4. Luồng dữ liệu:
Client #1 (192.168.3.20) gửi gói tin đến Client #2 (192.168.4.25). Gói tin đến Gateway #1.
Gateway #1 tra bảng routing, thấy đích thuộc mạng ở xa và phải đi qua tunnel.
VPN agent trên Gateway #1 sẽ đóng gói gói tin này vào một gói tin đường hầm (S:
203.162.5.11, D: 205.192.25.12) và gửi đi.
Gateway #2 nhận được, mở gói, lấy ra gói tin gốc và chuyển đến Client #2.
Slide 35: Thực hành: net-to-net VPN
Nội dung: Hướng dẫn thực hành cài đặt một hệ thống Net-to-net VPN.
Giải thích: Tương tự bài thực hành Host-to-net, nhưng ở đây bạn sẽ:
Cấu hình hai Gateway, một cho mỗi Private Network.
Cài đặt OpenVPN server trên một Gateway và client trên Gateway còn lại (trong chế độ Net- tonet).
Thiết lập routing tĩnh trên các Gateway để chúng biết đường đến mạng ở xa thông qua tunnel.
Kiểm tra kết nối giữa các Local user ở hai mạng khác nhau.
Dòng lệnh route -n và tracepath: Các output này rất hữu ích. route -n cho thấy bảng định
tuyến, bạn có thể thấy các route đi qua giao diện tun0 (tunnel). tracepath cho thấy đường đi
của gói tin, nó sẽ đi từ máy local -> gateway của nó -> gateway của mạng kia -> máy đích.
Slide 36: Các công nghệ triển khai VPN
Nội dung: Giới thiệu một bức tranh tổng quan về rất nhiều công nghệ VPN khác nhau, phân loại theo
tầng và mô hình cung cấp.
Giải thích: Đây là một slide nâng cao.
Đường hầm IP (IP-in-IP, GRE) chỉ là một trong nhiều cách triển khai VPN.
Phân loại theo nhà cung cấp:
Customer Provisioned: Khách hàng (doanh nghiệp) tự mua thiết bị, tự thiết lập và quản
lý VPN của mình. Mô hình này linh hoạt nhưng đòi hỏi chuyên môn cao.
Provider Provisioned (PPVPNs): Nhà cung cấp dịch vụ (ISP) cung cấp dịch vụ VPN cho
khách hàng. Khách hàng chỉ cần kết nối vào mạng của ISP, ISP sẽ lo toàn bộ phần còn lại.
Mô hình này đắt hơn nhưng dễ triển khai và được hỗ trợ kỹ thuật.
Phân loại theo tầng hoạt động: VPN có thể hoạt động ở nhiều tầng khác nhau trong mô hình OSI:
Layer 3 VPNs (L3VPN): Hoạt động ở tầng mạng (IP). Đây là loại phổ biến nhất (IPsec, OpenVPN).
Layer 2 VPNs (L2VPN): Tạo ra một "cây cầu" ảo ở tầng 2, cho phép kết nối hai mạng LAN
ở xa như thể chúng đang cắm vào cùng một switch.
Layer 1 VPNs (L1VPN): Gần như là thuê một đường truyền vật lý riêng.
Slide 37: Triển khai VPN phía nhà cung cấp
Nội dung: Đi sâu hơn vào mô hình Provider Provisioned VPN (PPVPN). Giải thích:
Nhu cầu: Các công ty lớn có nhiều chi nhánh trên toàn cầu cần một giải pháp kết nối ổn định,
hiệu quả. Họ sẽ tìm đến các nhà cung cấp dịch vụ mạng. Kiến trúc:
Nhà cung cấp sẽ xây dựng một VPN backbone (mạng xương sống) tốc độ cao.
Tại mỗi địa điểm của khách hàng, sẽ có 2 thiết bị:
CE (Customer Edge device): Router của khách hàng, đặt tại cơ sở của khách hàng.
PE (Provider Edge device): Router của nhà cung cấp, đặt tại điểm truy cập (PoP) của nhà cung cấp.
Kết nối giữa CE và PE là "đường biên" giữa mạng khách hàng và mạng nhà cung cấp.
Toàn bộ sự phức tạp của việc định tuyến, tạo đường hầm giữa các chi nhánh (ví dụ: giữa
VPN site 1, 2, 3) sẽ được xử lý bên trong mạng backbone của nhà cung cấp, giữa các router PE.
Ví dụ: Các dịch vụ như MPLS/VPN của các nhà mạng lớn ở Việt Nam là một ví dụ điển hình của mô hình này.
Phần trình bày về Mạng riêng ảo (VPN) đã kết thúc. Chúng ta đã tìm hiểu từ khái niệm, các mô hình phổ biến
(Host-to-net, Net-to-net) cho đến các công nghệ triển khai. Bạn có hài lòng với phần này không? Nếu có,
chúng ta sẽ chuyển sang phần Kết nối dịch vụ với Internet.
Rất tốt! Chúng ta sẽ tiếp tục với phần tiếp theo, nơi chúng ta sẽ tìm hiểu cách các dịch vụ mạng cơ bản như
DNS, Mail, FTP được quy hoạch và hoạt động trong một môi trường mạng nội bộ kết nối với Internet.
Phần 5: Kết nối dịch vụ với Internet (Slides 38-49)
Slide 38: Tiêu đề - Kết nối dịch vụ với Internet
Nội dung: Slide tiêu đề cho phần mới. Nó tóm tắt các nội dung chính:
Kết nối tầng giao vận và các dịch vụ.
Quy hoạch public server trong mạng private.
Các dịch vụ IP cơ bản: DNS, Mail, FTP.
Slide 39: Dịch vụ IP cơ bản và dịch vụ giao vận
Nội dung: Liệt kê các dịch vụ ứng dụng phổ biến và giao thức tầng giao vận (TCP hoặc UDP) mà chúng sử dụng.
Giải thích: Bảng này cung cấp một cái nhìn tổng quan quan trọng:
Tầng ứng dụng (Application Layer): Cung cấp các dịch vụ trực tiếp cho người dùng (DNS, HTTP, SMTP, FTP...).
Tầng giao vận (Transport Layer): Cung cấp dịch vụ truyền dữ liệu cho tầng ứng dụng. Có hai giao thức chính:
TCP (Transmission Control Protocol):
Đặc điểm: Hướng kết nối (connection-oriented), đáng tin cậy (reliable), có kiểm
soát luồng và kiểm soát lỗi. Dữ liệu được đảm bảo đến đúng thứ tự và không bị mất.
Ứng dụng: Dùng cho các dịch vụ đòi hỏi độ chính xác tuyệt đối của dữ liệu như
Web (HTTP), Email (SMTP), File Transfer (FTP), Remote Access (Telnet/SSH).
UDP (User Datagram Protocol):
Đặc điểm: Không kết nối (connectionless), không đáng tin cậy (unreliable - "best
effort"). Gửi dữ liệu đi mà không cần biết nó có đến nơi hay không. Nhanh và nhẹ hơn TCP.
Ứng dụng: Dùng cho các dịch vụ ưu tiên tốc độ hơn độ chính xác, hoặc các ứng
dụng có cơ chế kiểm soát lỗi riêng ở tầng trên. Ví dụ điển hình là DNS (một truy
vấn và một phản hồi, cần nhanh), streaming media, Internet telephony (VoIP)
(mất một vài gói tin âm thanh không quá nghiêm trọng bằng việc bị trễ).
Slide 40: Qui hoạch public server trong mạng private
Nội dung: Giới thiệu khái niệm "server zone" và cách phân loại các luồng truy cập trong một mạng có
cả server riêng tư và server công cộng.
Giải thích: Đây là một slide về kiến trúc an ninh mạng.
Server Zone (Vùng máy chủ): Trong một mạng doanh nghiệp, không phải tất cả các máy chủ
đều giống nhau. Chúng ta cần quy hoạch một vùng riêng để đặt các máy chủ cần phải tiếp xúc
với Internet (public-facing servers) như Web server, Mail server, DNS server. Vùng này chính là
DMZ (Demilitarized Zone) mà chúng ta đã nói ở slide 4. Sơ đồ này gọi nó là "Server zone".
Phân loại các luồng truy cập:
1. Truy cập đến private servers (không có trong sơ đồ, nhưng ẩn ý): Đây là các server nội bộ (file
server, database server) chỉ được phép truy cập từ bên trong "private (working) zone". Luồng truy
cập này được xem là an toàn và tin cậy.
2. Truy cập đến public Internet servers (các server trong Server zone):
Từ người dùng trong mạng private: Người dùng nội bộ truy cập web server của
công ty. Luồng này an toàn.
Từ người dùng trên Internet: Khách hàng truy cập web server của công ty. Luồng
này không an toàn, không tin cậy.
Từ các server trên Internet: Ví dụ, một mail server khác trên Internet gửi mail đến
mail server của công ty. Luồng này được xem là tương đối tin cậy.
Kiến trúc: Sơ đồ cho thấy một kiến trúc 3 vùng điển hình được bảo vệ bởi một Gateway (có tường lửa):
Private (working) zone: Nơi người dùng nội bộ làm việc. Mức độ an toàn cao nhất.
Server zone (DMZ): Nơi đặt các server công cộng. Mức độ an toàn trung bình.
Public Internet: Môi trường bên ngoài, không tin cậy.
Slide 41: Nhắc lại khái niệm dịch vụ DNS
Nội dung: Ôn lại các khái niệm cơ bản về DNS. Giải thích:
Tên miền (Domain Name): Là định danh dạng văn bản, dễ nhớ cho con người (ví dụ:
www.google.com) để thay thế cho địa chỉ IP khó nhớ (ví dụ: 142.250.204.100).
Quản lý tên miền:
Quốc tế: ICANN là tổ chức cao nhất.
Việt Nam: VNNIC quản lý tên miền quốc gia .vn.
DNS (Domain Name System): Là một hệ thống phân cấp, phân tán toàn cầu gồm các máy chủ
DNS. Nhiệm vụ của nó là phân giải (resolve) tên miền thành địa chỉ IP.
Vấn đề: Máy tính giao tiếp với nhau bằng địa chỉ IP, nhưng con người lại thích dùng tên miền.
Do đó, cần có một cơ chế để chuyển đổi qua lại.
Câu hỏi cốt lõi: Làm thế nào để chuyển đổi tên miền sang địa chỉ IP? Câu trả lời chính là hệ thống DNS.
Slide 42: Chuyển đổi địa chỉ và ví dụ
Nội dung: Minh họa một quy trình phân giải DNS đơn giản. Giải thích:
1. NSD (Người sử dụng) gõ www.soict.hust.edu.vn vào trình duyệt.
2. Máy tính của NSD không biết địa chỉ IP của tên miền này. Nó sẽ gửi một yêu cầu truy vấn đến
Máy chủ tên miền (DNS Server) mà nó được cấu hình (thường nhận qua DHCP).
3. Máy chủ tên miền thực hiện quá trình phân giải (có thể phải hỏi nhiều server khác) và tìm ra địa
chỉ IP tương ứng là 202.191.56.65.
4. Máy chủ tên miền trả lời địa chỉ IP này về cho máy của NSD.
5. Lúc này, máy của NSD mới bắt đầu thiết lập kết nối TCP đến địa chỉ IP 202.191.56.65 để tải nội dung trang web.
Slide 43: Không gian tên miền Giải thích:
Nội dung: Mô tả kiến trúc hình cây của không gian tên
miền và các loại bản ghi DNS.
Kiến trúc hình cây: Không gian tên miền được tổ chức theo cấu trúc phân cấp hình cây.
Root (Nút gốc): Ký hiệu là ".". Đây là cấp cao nhất.
Từ gốc, chia thành các Top-Level Domains (TLD) như .com, .org, .net, .vn...
Mỗi TLD lại được chia nhỏ hơn, ví dụ .vn có .edu.vn, .gov.vn...
Zone (Vùng): Một "zone" là một phần của cây tên miền được quản lý bởi một hoặc nhiều Name Server cụ thể.
Resource Records (RR - Bản ghi tài nguyên): Mỗi nút trong cây (tức là mỗi tên miền)
được mô tả bởi một tập hợp các bản ghi. Các loại bản ghi phổ biến:
SOA (Start of Authority): Bản ghi bắt đầu của một zone, chứa thông tin quản trị về zone đó.
NS (Name Server): Chỉ định các máy chủ DNS có thẩm quyền (authoritative) cho zone này.
A (Address): Ánh xạ một tên miền sang một địa chỉ IPv4. (AAAA cho IPv6).
Tên miền "mới": Các TLD mới như .ai, .me liên tục ra đời, mở rộng không gian tên miền.
Slide 44: Internet DNS servers & private DNS server
Nội dung: Mô tả cách một DNS server nội bộ (private DNS) tương tác với hệ thống DNS của Internet. Giải thích:
Hệ thống DNS Internet: Là sự kết hợp của các Top-level DNS servers (quản lý các TLD) và các
DNS servers của từng zone (quản lý các tên miền cụ thể như google.com, hust.edu.vn).
Nhu cầu của mạng nội bộ: Một công ty cần phân giải cả tên miền nội bộ (ví dụ:
fileserver.local) và tên miền Internet. Họ sẽ thiết lập một private DNS server. Tương tác:
1. Phân giải tên miền nội bộ: Khi có yêu cầu phân giải fileserver.local, private DNS
server sẽ trả lời trực tiếp vì nó quản lý zone .local.
2. Forwarding (Chuyển tiếp): Khi có yêu cầu phân giải www.google.com, private DNS
server không biết. Thay vì tự mình đi hỏi các root server, nó sẽ chuyển tiếp (forward) yêu
cầu này đến một DNS server public (ví dụ: 8.8.8.8 của Google) và chờ kết quả trả về.
3. Delegation (Ủy quyền): Giả sử công ty sở hữu tên miền mycompany.com. DNS server của
.com sẽ không chứa bản ghi chi tiết của mycompany.com. Thay vào đó, nó sẽ có một bản
ghi NS ủy quyền (delegate), nói rằng: "Muốn biết gì về mycompany.com, hãy đi hỏi DNS
server tại địa chỉ ns1.mycompany.com". Private DNS server của công ty sẽ đóng vai trò là
server có thẩm quyền cho zone này.
Cần có cơ chế xác thực (ví dụ: TSIG) để đảm bảo an toàn khi private DNS server cập nhật dữ liệu
với server cấp trên (trong trường hợp delegation).
Slide 45: Bài thực hành DNS
Nội dung: Hướng dẫn một bài thực hành rất toàn diện về DNS.
Giải thích: Bài thực hành này yêu cầu bạn:
Dùng phần mềm (như BIND) để giả lập hệ thống DNS của Việt Nam.
Thiết lập một top-level server cho zone .vn.
Thiết lập các server cấp dưới cho zone .edu.vn và .com.vn, được ủy quyền từ server .vn.
Thiết lập một private DNS server cho zone nội bộ hust.edu.vn, được ủy quyền từ server .edu.vn.
Khai báo các host nội bộ (ví dụ: server1.hust.edu.vn).
Xử lý việc phân giải cho một host public (ví dụ: www.hust.edu.vn) để nó có thể được truy cập từ
cả bên trong và bên ngoài.
Slide 46: Một số xử lý mở rộng DNS
Nội dung: Giới thiệu hai ứng dụng nâng cao của DNS. Giải thích:
Cân bằng tải dựa trên DNS (DNS-based Load Balancing): Khi bạn truy vấn tên miền
www.google.com, DNS server không phải lúc nào cũng trả về cùng một địa chỉ IP. Nó có thể trả
về các địa chỉ IP khác nhau của nhiều server khác nhau theo một thuật toán (ví dụ: round-robin).
Điều này giúp phân phối tải truy cập đến nhiều server, tránh một server bị quá tải.
Dịch vụ top-level DNS: Các công ty lớn như Cloudflare, Amazon (Route 53) cung cấp dịch vụ
DNS hiệu suất cao, an toàn, có khả năng chống tấn công DDoS và phân phối trên toàn cầu, giúp
tăng tốc độ truy cập cho người dùng ở khắp nơi.
Slide 47: Dịch vụ thư điện tử (Email)
Nội dung: Giới thiệu các thành phần và giao thức của hệ thống email. Giải thích:
MUA (Mail User Agent): Là phần mềm client mà người dùng sử dụng để đọc, soạn, gửi mail (ví
dụ: Outlook, Thunderbird, Gmail web interface).
MTA (Mail Transfer Agent): Là phần mềm server (ví dụ: Sendmail, Postfix, MS Exchange) chịu
trách nhiệm nhận, lưu trữ và chuyển tiếp email giữa các server. Giao thức:
SMTP (Simple Mail Transfer Protocol): Dùng để gửi mail. MUA dùng SMTP để gửi mail
đến MTA của mình. Các MTA dùng SMTP để chuyển tiếp mail cho nhau.
POP3 (Post Office Protocol v3) / IMAP (Internet Mail Access Protocol): Dùng để nhận
(lấy) mail. MUA dùng một trong hai giao thức này để kết nối đến MTA và tải thư từ hộp
thư (mailbox) về máy mình.
POP3: Thường tải hết thư về máy client và xóa trên server.
IMAP: Đồng bộ hóa thư giữa client và server, cho phép quản lý thư trên nhiều thiết bị.
Slide 48: Triển khai Email trong mạng nội bộ
Nội dung: Tiêu đề cho bài thực hành hoặc phần thảo luận về việc cài đặt một hệ thống email nội bộ.
Giải thích: Điều này bao gồm việc cài đặt một Mail Transfer Agent (MTA) như Postfix, tạo tài khoản
người dùng, cấu hình để nó có thể nhận mail từ Internet (liên quan đến bản ghi MX trong DNS) và cho
phép người dùng nội bộ gửi/nhận mail bằng các Mail User Agent (MUA) như Outlook.
Slide 49: Dịch vụ truyền file: File Transfer Protocol (FTP)