Download as docx, pdf, or txt
Download as docx, pdf, or txt
You are on page 1of 15

MỤC LỤC

Chương I : Router
I. Router biên
1. Định nghĩa
2. Chức năng
II. Các giao thức định tuyến cho Router biên
1. Giao thức định tuyến OSPF
2. Giao thức định tuyến BGP
III. Các dịch vụ đi kèm với Router biên
1. DNS
a. Định nghĩa
b. Hoạt động
c. Cấu trúc gói tin DNS
2. DHCP
a. Định nghĩa
b. Hoạt động
c. Cấu trúc của DHCP Message
3. NAT
a. Định nghĩa
b. Chức năng
c. Hoạt động
4. VPN
a. Định nghĩa
b. Phân loại
5. Firewall
a. Firewall trên Router
b. ACL
c. Phân loại
d. Những chú ý khi áp dụng ACLs
e. Hạn chế của ACLs.
6. Chuyển đổi giữa IPv4 và IPv6
a. Ưu điểm của IPv6 .....
b. Cơ chế chuyển đổi .
Chương II: SWITCH
I. Giới thiệu tổng quan về SW
II. Vai trò của SW
1. Ở lớp Access
2. Ở lớp Distribuiton
3. Ở lớp Core
III. Đặc tính của SW cơ bản
IV.Hoạt động của SW.
1. Chức năng của SW
2. Cách học địa chỉ của SW
3. Quá trình chuyển mạch của SW
4. Độ trễ mạng

V. Các giao thức và cơ chế hỗ trợ SW.


1. STP
2. Chia VLAN
3. VTP
4. Inter VLAN
5. Layer 3 Forwading.
Chương 3 : MPLS
I. Khái quát MPLS
1. MPLS lá gì
2. Chức năng của MPLS
3. Lợi ích của MPLS
II. Các thành phần trong MPLS
1. Các thành phần trong MPLS
2. Các khái niệm trong MPLS
3. Phần chức năng chuyển gói tin
4. Phần chức năng điều khiển của MPLS
III. Ứng dụng cơ bản của MPLS
1. Định tuyến phân cấp
2. Ứng dụng MPLS trên nền ATM
3. Kỹ thuật lưu lượng trong MPLS
4. Mạng riêng ảo VPN
IV. MPLS tại Việt Nam
Chương 1: ROUTER
I. Router biên:
1. Định nghĩa:
Router biên (Edge Router) là các router nằm ở biên mạng của nhà cung cấp
dịch vụ ISP (Internet Service Provider). Đó là các router nằm ở vùng biên
giới, để kết nối giữa mạng nội bộ (LAN) với mạng diện rộng (WAN), nhằm
lựa chọn đường lưu thông tốt nhất cho việc gửi và nhận các gói tin Ví dụ:
những con router kết nối với mạng khách hàng. Còn router lõi (Core router)
là các router nằm bên trong của mạng ISP, việc chia subnet cho các router
không phụ thuộc vào các router đó ở đâu mà phụ thuộc vào cách quy hoạch
mạng.
2. Chức năng:
- Router có chức năng tìm đường đi tốt nhất trong mạng và forward gói tin
Tuy nhiên tùy loại router mà chức năng này sẽ khác nhau. Đối với core
router thì việc tìm đường đi và forward gói tin này được diễn ra ở nội bộ bên
trong của mạng LAN. Còn edge router thì có một sự tương phản với Core
router, việc liên lạc này được diễn ra giữa các mạng với nhau.
- Có nhiều loại router biên với nhiều chức năng khác nhau. Ví dụ: một
LER(Lable Edge Router) sử dụng mạng MPLS làm nhiệm vụ kiểm tra việc
đóng nhãn của các gói tin khi đi tới. Nếu nó phát hiện không có nhãn thì nó
sẽ làm nhiệm vụ đóng nhãn cho gói tin đó. Còn nếu có nhãn thì nó sẽ tra
cứu trong bảng chứa thông tin nhãn dùng để forward các gói tin(LFIB) và
thực hiện thay thế nhãn hay gắn thêm nhãn rồi chuyển tới next hop tiếp
theo. Khi gói tin ra khỏi mạng MPLS thì router biên sẽ tháo hết nhãn ra và
thực hiện routing bình thường. Còn các router lõi thì chỉ có nhiệm vụ thay
thế nhãn và chuyển mạch
II. Các giao thức định tuyến cho router biên:
Có nhiều giao thức được dùng để định tuyển cho router biên. Tuy nhiên ở đây
ta chỉ xét 2 giao thức tiêu biểu nhất, đó là OSPF và BGP.
1. Giao thức định tuyến OSPF:
a Định nghĩa:
Giao thức OSPF là một giao thức đặc trưng cho kiểu Interior Gateway
Protocol (IGP), hoạt động theo kiểu trạng thái liên kết (link state protocol).
Bắt đầu được xây dựng vào năm 1988 và hoàn thành vào năm 1991. Nó sử
dụng thuật toán tìm ra tuyến đường đi ngắn nhất mô tả cụ thể các tuyến
đường nên chọn để đến được đích.OSPF có nhiều tính năng mà các giao thức
distance vector không có. Việc hỗ trợ các tính năng này đã khiến cho OSPF
trở thành một giao thức định tuyến khá phức tạp nhưng được sử dụng rộng
rãi trong các môi trường mạng lớn. Trong thực tế, RFC 1812 (đưa ra các yêu
cầu cho bộ định tuyến IPv4) - đã xác định OSPF là giao thức định tuyển động
duy nhất cần thiết phục vụ cho các mạng lớn hiện nay.
b. Tính chất:
Đây chính là một số tính năng tiêu biểu đã tạo nên thành công của
giao thức này:
- Cân bằng tài giữa các tuyến cùng cost (load balancing): Việc sử dụng
cùng lúc nhiều tuyến cho phép tận dụng có hiệu quả tài nguyên bang thông
trên mạng.
- Phân chia mạng một cách logic: Điều này làm giảm bớt các thông tin phát ra
trong những điều kiện bất lợi. Nó cũng giúp kết hợp các thông bảo về định
tuyến, hạn chế việc phát đi những thông tin không cần thiết về mạng
- Hỗ trợ chứng thực (authentication): OSPF hỗ trợ chứng thực cho tất cả
các node phát thông tin quảng cáo định tuyến. Điều này hạn chế được nguy
cơ thay đổi bảng định tuyến với mục đích xấu.
- Thời gian hội tụ (convergence) nhanh hơn các giao thức khác: OSPF cho
phép truyền các thông tin về thay đổi các đường paths một cách tức thì.
Điều đó giúp rút ngắn thời gian hội tụ cần thiết để cập nhật thông tin cấu
hình mạng.
- Hỗ trợ CIDR và VLSM: Điều này cho phép nhà quản trị mạng có thể
phân phối nguồn địa chỉ IP một cách có hiệu quả hơn
c. Cách thức hoạt động của OSPF:
- Trước khi router tiến hành truyền thông tin cho các devides khác trong
mạng, nó sẽ xác định các neighbors đang được kết nối trực tiếp với nó
bằng cách gửi gói tin Hello packets ra tất cả các interfaces của nó. Trong
gói Hello packet có chứa thông tin OSPF Router ID của router gửi.
- Router ID: đơn giản là IP address. Router ID được sử dụng dựa theo thứ
tự sau:
+ Sử dụng IP address từ câu lệnh router-id.
+ Nếu router không được cấu hình câu lệnh router-id thì nó sẽ lấy địa chỉ
IP cao nhất của các loopback interfaces(ding loopback interface có thuận lợi
là nó không bao giờ rơi vào trạng thái down cả).
+ Nếu không có loopback interfaces nào được cấu hình, router sẽ lầy địa
chỉ IP cao nhất của các interfaces vật lý.
- Sau khi nhận được thông tin phản hồi từ các gói Hello packets mà các
router neighbors gửi về router sẽ tiến hành phân chia các neighbors. Quá
trình này được xác định dựa vào thông số cost trong mạng. Cách tỉnh cost
của OSPF:
cost = 10³/bps.
- Dựa vào cost mà router sẽ tính toán được đường đi tốt nhất trong mạng.
- Lựa chọn Designated Router (DR) và Backup Designated Router (BDR)
+ DR sẽ update cho tất cả các router khác trong mạng khi có sự thay đổi
xuất hiện trong mạng multi — access.
+ BDR cũng hoạt động giống như DR nhưng khi DR đã bị ngừng hoạt
động.
- Quá trình lựa chọn DR và BDR:
Router có số interface priority cao nhất được chọn làm DR. Router có số
interface priority cao thứ hai được chọn làm BDR. Trong trường hợp số -
interface priority bằng nhau, thì việc lựa chọn sẽ dựa vào Router ID (RID).
- Các thông số về thời gian:
- Hello interval: xác định chu kỳ gửi các gói hello packets. Đối với multi-
access segments hay point- to -point segments thì là 10s. Đối với non -
broadcast multi-access segments (NBMA) nhur là Frame Relay, X.25 hay
ATM thi là 30s.
- Dead interval: là khoảng thời gian mà router chờ gói hello packet phân
hồi từ các neighbors trước khi đưa nó về trạng thái “down”. Mặc định
thời gian này sẽ gấp 4lần thời gian hello interval : đối với multi-access
segments hay point – to – point segmets là 40s, đối với non-broadcast
multi-access segments là 120s.
- Chú ý: Nếu dead interval kết thúc mà router chưa nhận được gói hello
packet phản hồi thì giao thức OSPF sẽ loại bỏ router neighbor ra khỏi
link-state database và sẽ gửi thông báo về trạng thái “down ” của router
này cho các neighbors khác trong mạng.
- Vấn đề chứng thực (authentication): cũng giống như các giao thức khác.
OSPF cũng được hỗ trợ chứng thực. Authentication đảm bảo rằng router
sẽ nhận được các routing infomation từ các router khác đã được cấu hình
cùng password hoặc authentication information
2. Giao thức định tuyến BGP:
a. Định nghĩa:
BGP Between AS's

- BGP là giao thức đặc trưng cho kiểu Exterior Gateway Protocol (EGP),
là giao thức để kết nối các mạng rất lớn hoặc các Autonomuos System
(AS). Đây là một giao thức khá phức tạp được dùng nhiều trên Internet
và các công ty đa quốc gia. Mục đích của giao thức ngoại BGP không chỉ
là tìm ra đường đi trong mạng mà còn cho phép người quản trị tim ra các
AS của các mạng
- Autonomous-System (AS) là một nhóm các router cùng chia sẻ một
chính sách hay hoạt động trong cùng một miền nhất định. Mỗi AS được
định danh bởi một số( loại Public từ 1-64511, loại Privite từ 64512-
65535)và được cung cấp bởi một nhà cung cấp AS hoặc bởi ISP.
b. Một số thuộc tính cơ bản của BGP:
- AS- Path:là thuộc tỉnh quan trọng trong việc xác định đường đi tối
ưu(AS-Path cảng ngắn thì càng được router ưu tiên) và để ngăn ngừa
loop.
- Thuộc tỉnh Origin-attribute: là thuộc tỉnh xác định nguồn gốc các
routing thông tin cập nhật định tuyến (“Y”: IGP, “e”: EGP).
- Thuộc tính Next hop attribute:là địa chỉ của router bên ngoài vùng tự
trị AS quảng bá vào bên trong AS.
- Thuộc tỉnh Local Preference: được diễn tả bằng một con số và được so sánh
để tìm đường đi đến đích khi ra khỏi một AS (Local Preference cao sẽ được
chọn).
- Thuộc tỉnh Weight: Router sẽ ưu tiên dùng câu route có giá trị Weight
cao hơn.
- Thuộc tỉnh Multi-Exit-Disc(MED): là một thuộc tỉnh được AS dùng để
tham chiếu trong việc chọn router nào để đến cùng một đích trong một AS.
- Thuộc tính Community attribute: cung cấp các chính sách cho một
nhóm các router đi qua một AS. Là thuộc tỉnh không bắt buộc.
c. Hoạt động của BGP:
- BGP là giao thức định tuyến dạng Path-vector nên việc lựa chọn đường
đi tốt nhất thông thưởng dựa trên một tập hợp các thuộc tỉnh được gọi là
Attribute. Do sử dụng metric khá phức tạp. BGP được xem là một trong
những giao thức phức tạp.
- Nhiệm vụ của BGP là đảm bảo thông tin liên lạc giữa các AS, trao đổi
thông tin định tuyến và cung cấp thông tin về trạm cuối cho mỗi địch đến.
- Trong giai đoạn đầu của phiên thiết lập quan hệ BGP, toàn bộ các thông
tin routing-update sẽ được gửi. Sau đó, BGP sẽ chuyển sang cơ chế dùng
trigger-update. Bất kỳ một thay đổi nào trong hệ thống mạng cũng sẽ là
nguyên nhân để gửi trigger-update.
- So sánh giữa OSPF và BGP:
OSPF BGP
- Là giao thức kiểu IGP, dạng - Là giao thức kiểu EGP, dạng path
link state. vector.
- Quảng bá thông tin hiện có đến - Quảng bá thông tin đến danh sách
các láng giềng. toàn
- Chống loop kém. bộ đường dẫn dến đích.
- Cân bằng tải. - Có khả năng phát hiện loop và loại
- Không biết được topology mạng bỏ
- Gói tin đi từ nguồn đến đích mà ngay lập tức.
không quan tâm đến policy - Không cân bằng tải.
- Biết được topology của mạng.
- Hỗ trợ chính sách định tuyến
(policy).
III. Các dịch vụ đi kèm với router biên:
1. DNS (Domain Name System):
a. Định nghĩa:
- DNS là hệ thống tên miền được phát minh vào năm 1984 cho Internet, là
hệ thống cho phép thiết lập tương ứng giữa địa chỉ IP với tên miền
- Ta có thể hiểu đơn giản là DNS giống như một “Danh bạ điện thoại”,
mỗi một tên tương ứng với một số điện thoại và ngược lại.
Ví dụ: tên miền www.cisco.com có địa chỉ IP tương ứng là
198.133.219.25
b. Cách thức hoạt động:
- DNS phân giải các tên miền thành các địa chỉ IP tương ứng giúp tạo sự
dễ dàng, thuận lợi cho người truy cập mạng.
- DNS sử dụng một hệ thống phân tầng gồm các DNS Server tạo cơ sở dữ
liệu cho việc phân giải các tên miền thành các địa chỉ IP.
- DNS có khả năng yêu cầu các DNS Server khác hỗ trợ trong việc phân
giải tên miền thành địa chỉ IP. DNS Server có khả năng ghi nhớ lại những
tên miền vừa phân giải để dùng cho những yêu cầu phân giải lần sau. Số
lượng những tên miền phân giải được lưu lại tùy thuộc vào quy mô của
từng DNS.

Ví dụ: mỗi một website có một tên và một địa chỉ IP riêng. Khi mở một
trình duyệt web lên và truy nhập tên website, trình duyệt web sẽ gửi yêu
cầu lên DNS Server để xin địa chỉ IP tương ứng với tên miền đó. Khi đó
DNS Server sẽ dịch tên miền ra địa chỉ IP tương ứng và gửi về cho trinh
duyệt web. Trình duyệt web sẽ dùng địa chi IP mới nhận được này để truy
cập đến website cần vào. Các DNS Server hỗ trợ lẫn nhau để dịch
địa chi Ip thành tên miền và ngược lại.
c. Cấu trúc của gói tin DNS:
Một gói tin DNS có dạng: ID QR Opcode AA IC RD RAZ Rcode
QDcount ANcount NScount ARcount
- ID (16 bits): chứa mã nhận dạng. Mã này được tạo ra bởi một chương
trình để thay cho truy vấn. Gói tin hồi đáp sẽ dựa vào mã nhận dạng này
để hồi đáp lại. Chính vì vậy mà truy vấn và hồi đáp có thể phù hợp với
nhau.
- QR(1 bit): có giá trị là 0 + truy vấn; 1 + hồi đáp.
- Opcode(4 bits): được thiết lập là 0 + cờ hiệu truy vấn; 1 ngược ; 2 + tình
trạng truy vấn
- AA(1bit) nếu gói tin là hồi đáp, nó sẽ đi đến một server có thẩm quyền
giải quyết truy vấn.
- TC(1bit):cho biết gói tin có bị cắt khúc do kích thước vượt qua băng
thông cho phép hay không.
- RD(l bit): cho biết truy vẫn muốn server tiếp tục truy vấn một cách đệ
quy.
- RA(l bit):cho biết truy vấn đệ quy có được thực thi trên router hay không.
- Z(1bit):là trưởng dự trữ, và được thiết lập là 0.
- Rcode(4bits): gói tin hồi đáp có thể nhận các giá trị sau:
+ 0: không có lỗi trong quá trình truy vấn
+ 1: định dạng gói tin bị lỗi, server không hiểu được truy vấn.
+ 2: Server bị trục trặc, không thực hiện hồi đáp được.
+ 3: Tên bị lỗi. Chỉ có Server có đủ thẩm quyền mới có thể thiết lập giả
trị này.
+ 4: không thi hành, Server không thể thực hiện chức năng này.
+ 5: Server từ chối thực thi truy vẫn
- QDcount số lần truy vấn của gói tin trong một vấn đề.
- ANcount: số lượng tài nguyên tham gia trong phần trả lời.
- NScount: số lượng tài nguyên được ghi lại trong các phần có thẩm quyền
của gói tin.
- ARcount: số lượng tài nguyên ghi lại trong phần thêm vào của gói tin.
2. DHCP (Dynamic Host Configuration Protocol):
a. Định nghĩa:
Giao thức cấu hinh động máy chủ - DHCP – là một giao thức cấu hình tự
động địa chỉ IP. Máy tính được cấu hình một cách tự động vì thế sẽ giảm
việc can thiệp vào hệ thống mạng. Nó cung cấp một database trung tâm
để theo dõi tất cả các máy tính trong hệ thống mạng. Mục đích là để tránh
trường hợp hai máy tính khác nhau lại có cùng địa chỉ IP. Nếu không có
DHCP, các máy có thể cấu hình IP bằng tay, nhưng sẽ mất nhiều thời gian.
Ngoài việc cung cấp địa chỉ IP, DHCP còn cung cấp thông tin cấu
hình khác, như DNS.

b. Hoạt động:
- Đầu tiên, DHCP Client sẽ gửi broadcast gói tin DHCP Discover chứa
Mac Address và tên máy tính cho đến khi nhận được trả lời từ DHCP Server.
- Một DHCP Server sẽ trả lời bằng cách gửi unicast gói tin DHCP Offer
chứa các thông tin về địa chỉ IP, subnet mask default getway, DNS
Server....DHCP Client có thể nhận được nhiều DHCP Offer nếu như có
nhiều DHCP Server cùng trả lời.
-DHCP Client gửi broadcast gói tin DHCP Request để xác định nó đã
chọn địa chỉ IP và DHCP Server nào.
- Cuối cùng, DHCP Server sẽ gửi unicast gói tin DHCP Acknowledge cho
DHCP Client để xác nhận toàn bộ quá trình

c. Cấu trúc của DHCP Message:


3. NAT (Network Address Translation):
a. Định nghĩa:
NAT là một kỹ thuật chuyển đổi giữa private address và public address để
giải quyết vấn đề IP shortage cũng như giúp các máy tính trong một mạng
LAN có thể truy cập Internet bằng địa chi IP của ISP.

b. Chức năng:
- NAT cho phép chia sẻ kết nối intemet cho nhiều máy bên trong mạng
LAN với một địa chỉ IP của mạng WAN.
- NAT có thể làm việc như một Firewall.
- NAT rất linh hoạt và sử dụng dễ dàng trong việc quản lý.
Nhờ các ưu điểm trên mà NAT giúp cho các home user và các doanh
nghiệp nhỏ có thể tạo kết nối với Internet một cách dễ dàng và hiệu quả
cũng như tiết kiệm vốn đầu tư.
c. Hoạt động:
- Static NAT: Static NAT được thiết kế để ánh xạ một địa chỉ IP này sang
một địa chi khác, thông thường là từ một địa chỉ nội bộ sang một địa chỉ
công cộng và quá trình này được cải đặt thủ công, nghĩa là địa chỉ ánh xạ
và địa chỉ được ảnh xạ được chỉ định rõ ràng tương ứng duy nhất. Các địa
chỉ này được chứa trong bảng NAT Table.
+Static NAT rất hữu ích trong trường hợp những host cần phải có
địa chỉ cố định để truy cập từ Internet. Những host này có thể là những
public server: mail server, web server,...
- Dynamic NAT: khác với Static NAT, đối với Dynamic NAT, các địa chỉ
IP được thay đổi liên tục mỗi lần host tạo kết nối ra ngoài. Khi đó, NAT
sẽ lưu lại thông tin IP của host này trong NAT Table và khi host này
không kết nối nữa thì địa chỉ IP này sẽ được sử dụng để cấp phát cho một
host khác có nhu cầu kết nối ra ngoài. Vì vậy, ưu điểm của Dynamic
NAT là tất cả các host đều có khả năng kết nối ra ngoài, còn Static NAT
thì chỉ có những host được mapping mới có thể kết nối ra ngoài.
➤ PAT (Port Address Translation):
- PAT cung cấp chức năng giống như NAT nhưng PAT cho phép nhiều
host có thể kết nối Internet cùng một lúc bằng cách chỉ dùng một địa chỉ
IP public address (cho phép gần tới 65536 hosts cho một public address).
Vì vậy, PAT được xem là NAT overload.
- PAT sẽ track và chuyển đổi: Source IP address, Destination IP address
và TCP UDP Source port Number. Nhờ vậy có thể phân biệt được giữa
các gói tin của các hoạt và nhiều hoạt có thể kết nối ra ngoài cùng một
thời điểm.

4. VPN – dịch vụ mạng riêng ảo (Virtual Private Network):


a. Định nghĩa:
- VPN là một công nghệ xây dựng một mạng riêng sử dụng hệ thống mạng
công cộng (Intemet) để kết nối các địa điểm hoặc người sử dụng từ xa với
một mạng LAN ở trụ sở trung tâm VPN cho phép các máy tính
truyền thông với nhau thông qua một môi trường chia sẽ như mạng
Internet nhưng vẫn đảm bảo được tính riêng tư và bảo mật dữ liệu. Ví dụ
như nhu cầu truy cập từ xa mạng nội bộ để trao đổi dữ liệu hay sử dụng
các ứng dụng ngày càng phổ biến. Thay vi dùng kết nối vật lý thật khá
phức tạp(đường dây thuê bao số), dựa vào router, VPN tạo ra các liên kết
ảo được truyền qua Internet giữa mạng riêng của một tổ chức với địa
điểm hoặc người sử dụng ở xa.
- Trước đây, để truy cập từ xa vào hệ thống mạng, người ta thường sử
dụng phương thức Remote Access quay số dựa trên mạng điện thoại, gây
mất thời gian và không an toàn. Để cung cấp kết nối giữa các máy tính,
các gói thông tin được bao bọc bằng một header có chứa những thông tin
định tuyến, cho phép dữ liệu có thể gửi từ máy truyền qua môi trường
mạng chia sẻ và đến được máy nhận ví dụ như truyền trên các đường
truyền ống riêng được gọi là tunnel. Để đảm bảo tính riêng tư và bảo mật,
các gói tin được mã hóa và chỉ có thể giải mã với những khóa thích hợp,
ngăn ngừa trường hợp bị mất gói tin trên đường truyền.
b. Phân loại:
Có 2 loại được sử dụng phổ biến:
- VPN truy cập từ xa (Remote- Access)
+ Còn được gọi là mạng Dial-up riêng ảo (VPDN)là một kết nối
giữa người dùng đến mạng LAN, để đáp ứng nhu cầu liên lạc mạng riêng
từ rất nhiều địa điểm ở xa. Ưu điểm của loại VPN này là cho phép các kết
nối an toàn, có mật mã.
+ Ví dụ: Một công ty muốn thiết lập một VPN lớn thì cần phải liên
hệ với nhà cung cấp dịch vụ doanh nghiệp (ESP). ESP này tạo ra một máy
chủ truy cập mạng NAS và cung cấp cho những người sử dụng từ xa (“văn
phòng” tại gia hay nhân viên di động một phần mềm client cho máy tính
của họ. Sau đó, người sử dụng có thể gọi một số miễn phi để liên lạc với
NAS và dùng phần mềm VPN client để truy cập vào mạng riêng của
công ty đó.
- VPN điểm nối điểm (Site - to -Site):
+ Là việc sử dụng mật mã dành riêng cho nhiều người để kết nối
nhiều điểm cố định với nhau thông qua một mạng công cộng như Internet.
Loại này có thể dựa trên Intranet (VPN nội bộ) hay Extranet (VPN mở
rộng).
+ Intranet. ví dụ như công ty có một vài địa điểm từ xa muốn tham
gia vào một mạng riêng duy nhất, họ có thể tạo ra một VPN nội bộ
(Intranet) để nối LAN với LAN.
+ Extranet: ví dụ công ty trên có mối quan hệ mật thiết với một
công ty khác (đối tác cung cấp, khách hàng....) họ có thể xây dựng một
VPN mở rộng (Extranet) kết nối LAN với LAN để nhiều tổ chức khác
nhau có thể làm việc trên một môi trường chung.
+ Router là thiết bị cung cấp tinh năng truyền dẫn, bảo mật được sử
dụng trong VPN. Dựa vào hệ điều hành Internet IOS của mình, Cisco đã
phát triển loại router thích hợp cho mọi trường hợp, từ truy cập nhà-văn
phòng cho đến các doanh nghiệp có quy mô lớn.
5. Bảo mật:
a. Firewall trên router:
➤ Firewall cho VPN:
- Tường lửa là rào chắn vững chắc giữa mạng riêng ảo VPN
và Internet. Bạn có thể thiết lập các tường lửa để hạn chế số lượng cổng
mở, loại gói tin và giao thức được chuyển qua. Do đó cần cài đặt Firewall
thật tốt trước khi thiết lập VPN. ( Cisco có sản phẩm tường lửa PIX: trao
đổi Internet riêng Private Internet Exchange bao gồm một cơ chế dịch địa
chỉ mạng rất mạnh, máy chủ proxy, bộ lọc gói tin, các tính năng VPN và
chặn truy cập bất hợp pháp).

You might also like