CHƯƠNG 2: NGHIÊN CứU XÂY DựNG MạNG WAN-ISDN
2.1. Công nghệ mạng diện rộng
2.1.1. Xây dựng mạng diện rộng dùng các đ−ờng leased line
Có nhiều cách để kết nối mạng WAN, bao gồm các đường kết nối đồng bộ nối tiếp điểm - điểm. Các kết nối điểm - điểm đồng bộ này gồm một dây cáp nối từ một nhà cung cấp dịch vụ, với khả năng gửi và nhận các bit dữ liệu với tốc độ đ−ợc
đặt trước tới thiết bị của người sử dụng. Kết nối vật lý gồm một CSU/DSU trên mỗi
đầu cuối nh− biểu diễn trên hình 2.1.
Hình 2.1. Mô hình kết nối WAN leased-line
Với kiểu kết nối này chỉ cần thiết lập cấu hình cho các CSU/DSU và các bộ
định tuyến trên đường kết nối. Trong trường hợp sử dụng hai bộ định tuyến, để
Cáp ngắn Cáp dài
CSU/DSU
CPE Demarc Demarc
CPE WAN Switch WAN Switch
CO CO
chúng có thể ping được thấy nhau trên đường kết nối, chỉ cần thiết lập địa chỉ IP trên mỗi bộ định tuyến.
Phần đáng quan tâm hơn nữa của các kết nối mạng WAN kiểu điểm - điểm liên quan tới việc lựa chọn các giao thức tại lớp liên kết dữ liệu và cách mà mỗi giao thức đó hoạt động. Các giao thức tại lớp liên kết dữ liệu trong mạng WAN sử dụng các kết nối nối tiếp điểm - điểm có chức năng phân phát dữ liệu trên các kết nối. Có hai giao thức điển hình đ−ợc sử dụng đó là giao thức HDLC (High-Level Data Link) và PPP. Mỗi một giao thức trong các giao thức mạng WAN đều có những chức năng chung sau:
- HDLC và PPP có nhiệm vụ phân phát dữ liệu qua một kết nối nối tiếp kiểu
®iÓm - ®iÓm.
- HDLC và PPP phân phát dữ liệu một cách đồng bộ trên các kết nối nối tiếp; PPP cũng hỗ trợ các kết nối nối tiếp không đồng bộ.
Các giao thức này cũng sử dụng khái niệm “đóng khung hay framming”. Mỗi giao thức tại lớp liên kết dữ liệu xác định các khung bắt đầu và khung kết thúc, thông tin và định dạng của phần tiêu đề và phần đuôi, và nội dung của gói tin nằm giữa phần tiêu đề và phần đuôi. Nói một cách khác, các giao thức tại lớp liên kết dữ
liệu đồng bộ trong mạng WAN là giao thức định hướng khung, giống với các giao thức tại lớp liên kết dữ liệu trong mạng LAN.
Các kết nối đồng bộ trong mạng WAN đòi hỏi các thiết bị CSU/DSU tại mỗi
đầu cuối kết nối hoạt động với tốc độ chính xác. Về cơ bản, các CSU/DSU ở mỗi bên kết nối thoả thuận sử dụng một tốc độ đồng hồ để gửi và nhận các bit. Việc có
đ−ợc các CSU/DSU hoạt động với cùng tốc độ chính xác là rất tốn kém, bởi vậy sau khi đã thoả thuận với một tốc độ nào đó, cả hai CSU/DSU sẽ cố gắng hoạt động ở cùng tốc độ đó.
Các giao thức tại lớp liên kết dữ liệu để đồng bộ sẽ gửi các khung liên tục, thậm chí việc gửi các khung rỗi khi không có dữ liệu của ng−ời sử dụng đ−ợc gửi trên đường truyền. Các giao thức HDLC và PPP xác định các khung rỗi, gọi là các khung Receiver Ready, chỉ ra rằng người gửi đã không có gì để gửi ngoài các khung chờ để cho phép thực hiện quá trình đồng bộ liên tục. Các khung này không có chứa thông tin gì ngoài chức năng để đồng bộ bởi vậy clock có thể đ−ợc điều chỉnh ở phía
đầu cuối nhận tín hiệu, duy trì quá trình đồng bộ.
Hai giao thức HDLC và PPP có một số điểm khác nhau, dựa trên ba đặc tính sau đây chúng ta sẽ thấy đ−ợc sự khác biệt đó.
Các giao thức này hỗ trợ thông tin đồng bộ, không đồng bộ hay cả hai. Giao thức đồng bộ cho phép nhiều dữ liệu truyền qua đường kết nối hơn là các giao thức không đồng bộ. Tuy nhiên, các giao thức không đồng bộ đòi hỏi phần cứng rẻ hơn, vì không cần phải điều chỉnh tốc độ clock. Đối với các kết nối giữa các bộ định tuyến, các kết nối đồng bộ là cần thiết và đ−ợc sử dụng nhiều hơn.
Các giao thức này có chức năng khôi phục lỗi không. Không nên nhầm lẫn giữa khôi phục dữ liệu bị lỗi với dò tìm lỗi. Hầu hết các giao thức ở lớp liên kết dữ
liệu, bao gồm cả HDLC và PPP, đều thực hiện dò lỗi. Tất cả các giao thức ở lớp liên kết dữ liệu được miêu tả ở đây đều sử dụng một trường trong phần đuôi, thường
đ−ợc gọi FCS (Frame Check Sequence), tr−ờng này sẽ kiểm tra xem liệu các bit lỗi có xuất hiện trong suốt quá trình truyền dẫn khung không. Nếu có, khung sẽ bị huỷ bỏ. Khôi phục dữ liệu khi bị lỗi là quá trình sẽ thực hiện truyền lại các khung bị mất hoặc các khung bị lỗi. Khôi phục dữ liệu bị lỗi có thể đ−ợc thực hiện bằng giao thức ở lớp liên kết dữ liệu hoặc một giao thức ở lớp cao hơn. Mặc dù vậy, tất cả các giao thức ở lớp liên kết dữ liệu trong mạng WAN đều thực hiện quá trình dò lỗi, bao gồm cả quá trình thông báo lỗi và huỷ bỏ các khung bị lỗi.
1 1 2 2 Variable 4 1
HDLC Flag Address Control Type
(Proprietary) Data FCS Flag
1 1 2 2 Variable 4 1
PPP Flag Address Control Type
(Standardized) Data FCS Flag Hình 2.2: Các tr−ờng trong khung của HDLC và PPP
Cuối cùng là trong các khung của các giao thức đó có hay không có trường Protocol Type. Mỗi giao thức ở lớp liên kết dữ liệu có hỗ trợ đa giao thức ở lớp mạng đều cần một phương pháp để xác định loại gói tin được đóng gói trong khung ở lớp liên kết dữ liệu. Nếu nh− có một tr−ờng trong phần miêu tả cụ thể về giao thức, nó đ−ợc xem nh− là có cấu trúc - nói một cách khác nó chỉ ra cụ thể kiểu giao thức.
Hình 2.2 biểu diễn chi tiết các tr−ờng trong khung của HDLC và PPP
Giao thức PPP đ−ợc xây dựng sau HDLC. Do đó, PPP sẽ có thêm nhiều đặc tính bổ sung mà ch−a thấy trong các giao thức tại lớp liên kết dữ liệu trong mạng WAN trước đó. Vì vậy, PPP đã trở thành một giao thức tại lớp liên kết dữ liệu phổ biến nhất và có nhiều đặc tính mở rộng nhất đ−ợc dùng trong mạng WAN.
PPP sử dụng một giao thức mà tập trung vào các đặc tính phù hợp với giao thức đ−ợc sử dụng ở lớp 3 và các giao thức khác để hỗ trợ cho từng giao thức lớp 3 trên đường kết nối. Giao thức PPP Link Control Protocol (LCP) cung cấp các đặc tính cơ bản đối với PPP. Đối với các đặc tính có liên quan đến một giao thức cụ thể ở lớp 3, PPP sử dụng một loạt các giao thức điều khiển PPP, chẳng hạn nh− IP Control Protocol (IPCP). Ví dụ, IPCP dùng để gán địa chỉ IP, đặc tính này đ−ợc sử dụng rất nhiều cho các kết nối kiểu dial-up vào mạng Internet hiện nay.
PPP sử dụng một LCP trên mỗi kết nối và một Control Protocol cho mỗi giao thức ở lớp 3 trên một kết nối. Nếu một bộ định tuyến đ−ợc thiết lập cấu hình là IPX, Apple Talk, và IP trên một kết nối nối tiếp PPP, bộ định tuyến đ−ợc thiết lập cấu hình theo phương thức đóng gói PPP sẽ tự động đưa ra các giao thức điều khiển phù hợp cho từng giao thức ở lớp 3 (ví dụ, IPCP).
LCP cung cấp một loạt các đặc tính lựa chọn cho PPP nh− sau:
Dò tìm kết nối vòng kín (Looped Link)
Quá trình dò tìm lỗi và dò tìm kết nối vòng kín là hai đặc tính quan trọng của PPP. Dò tìm kết nối vòng kín cho phép có độ hội tụ nhanh hơn khi một kết nối bị hỏng vì nó là vòng đóng. LCP thông báo các kết nối đóng một cách nhanh chóng sử dụng một đặc tính gọi là magic number (số ảo thuật). Khi đang sử dụng PPP, bộ
định tuyến gửi các bản tin PPP LCP; các bản tin này bao gồm một magic number, các bộ định tuyến khác nhau có các magic number khác nhau. Nếu một đường dẫn là vòng đóng, bộ định tuyến nhận một bản tin LCP với số magic number của nó thay vì nhận một bản tin với số magic number của bộ định tuyến khác. Một bộ định tuyến nhận đ−ợc magic number của nó sẽ biết khung mà đ−ợc gửi trở lại.
Dò tìm lỗi
Cũng giống nh− nhiều giao thức khác ở lớp liên kết dữ liệu, PPP sử dụng một trường FEC trong phần đuôi để quyết định nếu có một khung riêng biệt nào đó có lỗi. Nếu một khung nhận đ−ợc bị lỗi, khung đó sẽ bị huỷ bỏ. Tuy nhiên, PPP sẽ giám sát liên tục các khung nhận đ−ợc bị lỗi, và nó có thể đ−ợc thiết lập cấu hình để gỡ bỏ giao diện nếu có quá nhiều lỗi xảy ra.
PPP LCP phân tích tỉ lệ lỗi trên đường liên kết sử dụng một đặc tính của PPP
đ−ợc gọi là Link Quality Monitoring (LQM). LCP tại mỗi đầu cuối của liên kết gửi các bản tin miêu tả một cách chính xác số các gói tin và byte đã nhận đ−ợc. Bộ định tuyến mà gửi các gói tin đi sẽ so sánh số này với số của gói tin và byte nó gửi đi, và
nó sẽ tính toán phần trăm mất mát gói tin. Bộ định tuyến có thể đ−ợc thiết lập cấu hình để gỡ bỏ giao diện nếu sau khi một tỉ lệ lỗi đ−ợc thiết lập bị v−ợt quá.
Quyền xác thực trên các kết nối WAN
Các vấn đề bảo mật trên một mạng WAN có thể đ−ợc so sánh với bảo mật trên một mạng LAN. Trong mạng LAN, phần lớn các thiết bị đ−ợc đặt trong cùng một toà nhà có thể không bao giờ rời khỏi ranh giới của cơ quan. Tuy nhiên, với các mạng WAN, bằng cách xác định quyền, dữ liệu có thể di chuyển trên một số mạng khác nhau của nhà cung cấp dịch vụ và trở lại một phía mạng khác.
Thuật ngữ quyền xác thực chỉ tới một tập hợp các chức năng bảo mật giúp một thiết bị đảm bảo rằng nó đang liên lạc hợp lệ với thiết bị khác. Quyền xác thực trong mạng WAN là thường xuyên cần đến khi sử dụng các đường dial-up. Tuy nhiên, thiết lập cấu hình của các đặc tính quyền xác thực vẫn là nh− nhau khi sử dụng đ−ờng leased line hay đ−ờng dialup. Phần sau đây sẽ trình bày về ph−ơng thức thiết lập quyền xác thực.
Giao thức PAP (Password Authentication Protocol) và CHAP (Challenge Handshake Authentication Protocol) xác nhận các điểm đầu cuối trên đầu cuối còn lại của kết nối nối tiếp điểm - điểm. CHAP chỉ tới một ph−ơng pháp hiện nay đang sử dụng vì các mã nhận biết trên đ−ờng liên kết đ−ợc tạo ra sử dụng MD5 (Message Digest 5), bảo mật hơn các mật khẩu thuần tuý toàn ký tự của PAP.
Cả PAP và CHAP đều đòi hỏi việc trao đổi các bản tin giữa các thiết bị. Khi sử dụng một kết nối quay số, bộ định tuyến quay số vào sẽ đợi để nhận một username và password từ bộ định tuyến quay số với cả PAP và CHAP. Với một
đường leased line, một bộ định tuyến bắt đầu quá trình xử lý, và bộ định tuyến khác sẽ trả lời. Trên các kết nối đ−ờng leased line hoặc đ−ờng quay số (dial), với PAP, username và password đ−ợc gửi đi trong bản tin đầu tiên. Với CHAP, giao thức bắt
đầu với một bản tin gọi là challenge, nó sẽ hỏi bộ định tuyến khác để gửi username và password của nó.
Xác thực dùng PAP không bảo mật bằng dùng CHAP vì PAP gửi tên và mật khẩu của máy chủ d−ới dạng hoàn toàn là văn bản thuần tuý trong bản tin. Các thông tin đó có thể bị đọc trộm một cách dễ dàng nếu có ai đó đặt một công cụ bám thông tin trên đường truyền. Còn CHAP thay vì đó nó sử dụng thuật toán one-way hash, với lối vào thuật toán là mật khẩu và một số ngẫu nhiên. CHAP sẽ thử các trạng thái của số ngẫu nhiên, cả hai bộ định tuyến đều đ−ợc thiết lập cấu hình từ trước với mật khẩu truy cập. Bộ định tuyến nhận chạy thuật toán hash sử dụng số
ngẫu nhiên đã được học trước và mật khẩu bảo mật và gửi kết quả quay trở lại bộ
định tuyến gửi. Bộ định tuyến gửi sẽ chạy cùng một thuật toán sử dụng số ngẫu nhiên (gửi qua đ−ờng kết nối) và mật khẩu (không đ−ợc gửi qua đ−ờng truyền). Nếu kết quả phù hợp thì tức là các mật khẩu phù hợp.
Phần đáng quan tâm nhất của quá trình xử lý đó là mật khẩu không đ−ợc truyền đi trên đ−ờng kết nối. Với số ngẫu nhiên, giá trị hash là khác nhau tại từng thời điểm khác nhau. Bởi vậy nếu ngay cả khi có ai đó nhìn thấy đ−ợc giá trị hash đã
đ−ợc tính toán khi sử dụng công cụ bám thông tin, thì giá trị đó cũng sẽ hết ý nghĩa vì tại thời điểm tiếp theo nó đã bị phá bỏ rồi. Xác thực theo kiểu CHAP rất khó vị bẻ gãy, ngay cả khi có một công cụ bám thông tin trên liên kết mạng WAN.