Learning & Sharing knowledges » Mạng máy tính (Network)

Cách bấm đầu RJ-45 vào đầu dây cáp UTP

chungxa — Sat, 29 Sep 2007 09:32:18 +0000

Bài viết này hướng dẫn các bạn các thao tác bấm đầu RJ-45 vào đầu dây cáp UTP

CÁC BƯỚC THAO TÁC

1. Dùng dao cắt bỏ lớp vỏ nhựa bọc ngoài một đoạn khoảng 1,5cm ở đầu dây (nên nhẹ tay vì rất dễ cắt đứt luôn vỏ nhựa của từng sợi dây).

2. Sắp xếp các sợi dây theo thứ tự từ trái qua phải theo sơ đồ sau:

a. Kiểu 586A:

Pin ID Dây
1 Xanh lá cây-trắng
2 Xanh lá cây
3 Cam-trắng
4 Xanh biển
5 Xanh biển-trắng
6 Cam
7 Nâu-trắng
8 Nâu

b. Kiểu 586B (thông dụng):

Pin ID Dây
1 Cam-trắng
2 Cam
3 Xanh lá cây-trắng
4 Xanh biển
5 Xanh biển-trắng
6 Xanh lá cây
7 Nâu-trắng
8 Nâu

Nhận xét: 2 cách trên chỉ khác nhau ở việc đổi vị trí cặp dây xanh lá với cặp dây màu cam

Lưu ý: Hầu hết các đôi xoắn của cáp UTP bán trên thị trường đều theo mầu qui ước (cam + cam-trắng, nâu + nâu-trắng…) , tuy nhiên cũng có những loại cáp mà dây thứ hai trong đôi xoắn chỉ có một mầu trắng rất dễ nhầm lẫn. Bạn cần tách theo từng đôi xoắn để sắp xếp cho đúng.

- Nếu bấm cáp thẳng (Nối giữa 2 thiết bị khác loại) thì 2 đầu cáp phải cùng 1 kiểu 586A hoặc 586B, nếu bấm cáp chéo (PC to PC) thì 1 đầu bấm theo kiểu 586A, đầu còn lại bấm theo kiểu 586B

- Cần phải bấm đúng chuẩn trên để chống nhiễu khi đi cáp dài.

3. Dùng lưỡi cắt trên kìm bấm để cắt bằng các đầu dây (để lại độ dài khoảng 1,2cm)

4. Lật ngửa đầu nhựa RJ-45 (phía lưng có cái nẫy cho quay xuống phía dưới)

5. Giữ nguyên sự sắp xếp của các dây và đẩy đầu dây vào trong đầu RJ-45 (mỗi sợi dây sẽ nằm gọn trong một rãnh) sao cho các dầu sợi dây nằm sát vào đỉnh rãnh.

6. Kiểm tra lại một lần nữa thứ tự của các sợi dây rồi cho vào kìm bấm thật chặt.

Với đầu dây còn lại bạn hãy làm tương tự như trên.

Sau khi làm xong cả hai đầu thì sợi dây đã sẵn sàng để sử dụng. Không có sự khác biệt về công năng giữa hai đầu dây. Bạn nên đánh dấu từng cặp đầu dây để dễ dàng trong việc kiểm tra sửa lỗi.

Tài khoản mặc định truy cập của một số Modem ADSL

chungxa — Sat, 29 Sep 2007 08:52:55 +0000

Modem Planet 3100 : http://10.0.0.2
User: admin Pass: epicrouter
Modem Cnet DNAC804: http://10.0.0.2
User: admin Pass: epicrouter
Modem Zoom: http://10.0.0.2
User: admin Pass: zoomadsl
Modem Zyxel : http://192.168.1.1
User: admin Pass: 1234
Conexant x3/x4 : http://10.0.0.2
User: admin Pass: zoomadsl
Aztech DSL 305EU/305E http://10.0.0.2
User: admin Pass:
Modem Planet ADSL http://10.0.0.2
User : admin Pass : epicrouter
Huawei và SMARTLINK http://192.168.1.1
User : admin Pass: admin
Modem POSTEF http://192.168.1.1
User :postef Pass :postef
Speed Com++ http://10.0.0.2
User : admin Pass : conexant
Billion ADSL Router : http://192.168.1.254
User : admin Pass : password
Micronet ADSL Router : http://10.0.0.2
User : admin Pass : epicrouter
Prolink ADSL Rounter : http://10.0.0.2
User : admin Pass : password
Draytek ADSL Router http://192.168.1.1
User : none (để trống) Pass: none (để trống)
D-Link: http://192.168.1.1
User: admin Pass: admin
SIEMENS http://192.168.1.1
user:admin pass :admin
LinkPro http://192.168.1.1 Or http://10.0.0.2
user : admin pass : epicrouter
MotoFax http://10.0.0.2
User:Admin Pass:conexant
SpeedStream 5100 http://192.168.254.254
user : username Pass : password
TP-Link Router : http://10.0.0.2
User: admin pass: admin
TENDA http://192.168.1.1
User: root pass: root

Sự khác biệt giữa Hub, Switch và Router

chungxa — Sat, 29 Sep 2007 08:40:37 +0000

Ngày nay, hầu hết các router đều là thiết bị kết hợp nhiều chức năng, và thậm chí nó còn đảm nhận cả chức năng của switch và hub.

Đôi khi router, switch và hub được kết hợp trong cùng một thiết bị, và đối với những ai mới làm quen với mạng thì rất dễ nhầm lẫn giữa chức năng của các thiết bị này.

Nào chúng ta hãy bắt đầu với hub và switch bởi cả hai thiết bị này đều có những vai trò tương tự trên mạng. Mỗi thiết bị dều đóng vai trò kết nối trung tâm cho tất cả các thiết bị mạng, và xử lý một dạng dữ liệu được gọi là “frame” (khung). Mỗi khung đều mang theo dữ liệu. Khi khung được tiếp nhận, nó sẽ được khuyếch đại và truyền tới cổng của PC đích. Sự khác biệt lớn nhất giữa hai thiết bị này là phương pháp phân phối các khung dữ liệu.

Với hub, một khung dữ liệu được truyền đi hoặc được phát tới tất cả các cổng của thiết bị mà không phân biệt các cổng với nhau. Việc chuyển khung dữ liệu tới tất cả các cổng của hub để chắc rằng dữ liệu sẽ được chuyển tới đích cần đến. Tuy nhiên, khả năng này lại tiêu tốn rất nhiều lưu lượng mạng và có thể khiến cho mạng bị chậm đi (đối với các mạng công suất kém).
Ngoài ra, một hub 10/100Mbps phải chia sẻ băng thông với tất cả các cổng của nó. Do vậy khi chỉ có một PC phát đi dữ liệu (broadcast) thì hub vẫn sử dụng băng thông tối đa của mình. Tuy nhiên, nếu nhiều PC cùng phát đi dữ liệu, thì vẫn một lượng băng thông này được sử dụng, và sẽ phải chia nhỏ ra khiến hiệu suất giảm đi.

Trong khi đó, switch lưu lại bản ghi nhớ địa chỉ MAC của tất cả các thiết bị mà nó kết nối tới. Với thông tin này, switch có thể xác định hệ thống nào đang chờ ở cổng nào. Khi nhận được khung dữ liệu, switch sẽ biết đích xác cổng nào cần gửi tới, giúp tăng tối đa thời gian phản ứng của mạng. Và không giống như hub, một switch 10/100Mbps sẽ phân phối đầy đủ tỉ lệ 10/100Mbps cho mỗi cổng thiết bị. Do vậy với switch, không quan tâm số lượng PC phát dữ liệu là bao nhiêu, người dùng vẫn luôn nhận được băng thông tối đa. Đó là lý do tại sao switch được coi là lựa chọn tốt hơn so với hub.
Còn router thì khác hoàn toàn so với hai thiết bị trên. Trong khi hub hoặc switch liên quan tới việc truyền khung dữ liệu thì chức năng chính của router là định tuyến các gói tin trên mạng cho tới khi chúng đến đích cuối cùng. Một trong những đặc tính năng quan trọng của một gói tin là nó không chỉ chứa dữ liệu mà còn chứa địa chỉ đích đến.

Router thường được kết nối với ít nhất hai mạng, thông thường là hai mạng LAN hoặc WAN, hoặc một LAN và mạng của ISP nào đó. Router được đặt tại gateway, nơi kết nối hai hoặc nhiều mạng khác nhau. Nhờ sử dụng các tiêu đề (header) và bảng chuyển tiếp (forwarding table), router có thể quyết định nên sử dụng đường đi nào là tốt nhất để chuyển tiếp các gói tin. Router sử dụng giao thức ICMP để giao tiếp với các router khác và giúp cấu hình tuyến tốt nhất giữa bất cứ hai host nào.

Ngày nay, có rất nhiều các dịch vụ được gắn với các router băng rộng. Thông thường, một router bao gồm 4-8 cổng Ethernet switch (hoặc hub) và một bộ chuyển đổi địa chỉ mạng – NAT (Network Address Translator). Ngoài ra, router thường gồm một máy chủ DHCP (Dynamic Host Configuration Protocol), máy chủ proxy DNS (Domain Name Service), và phần cứng tường lửa để bảo vệ mạng LAN trước các xâm nhập trái phép từ mạng Internet.
Tất cả các router đều có cổng WAN để kết nối với đường DSL hoặc modem cáp – dành cho dịch vụ Internet băng rộng, và switch tích hợp để tạo mạng LAN được dễ dàng hơn. Tính năng này cho phép tất cả các PC trong mạng LAN có thể truy cập Internet và sử dụng các dịch vụ chia sẻ file và máy in.
Một số router chỉ có một cổng WAN và một cổng LAN, được thiết kế cho việc kết nối một hub/switch LAN hiện hành với mạng WAN. Các switch và hub Ethernet có thể kết nối với một router để mở rộng mạng LAN. Tuỳ thuộc vào khả năng (nhiều cổng) của mỗi router, switch hoặc hub, mà kết nối giữa các router, switche/hub có thể cần tới cáp nối thẳng hoặc nối vòng. Một số router thậm chí có cả cổng USB và nhiều điểm truy cập không dây tích hợp.
Một số router cao cấp hoặc dành cho doanh nghiệp còn được tích hợp cổng serial – giúp kết nối với modem quay số ngoài, rất hữu ích trong trường hợp dự phòng đường kết nối băng rộng chính trục trặc, và tích hợp máy chủ máy in mạng LAN và cổng máy in.
Ngoài tính năng bảo vệ được NAT cung cấp, rất nhiều router còn có phần cứng tường lửa tích hợp sẵn, có thể cấu hình theo yêu cầu của người dùng. Tường lửa này có thể cấu hình từ mức đơn giản tới phức tạp. Ngoài những khả năng thường thấy trên các router hiện đại, tường lửa còn cho phép cấu hình cổng TCP/UDP dành cho game, dịch vụ chat, và nhiều tính năng khác.

Và như vậy, có thể nói một cách ngắn gọn là: hub được gắn cùng với một thành phần mạng Ethernet; switch có thể kết nối hiệu quả nhiều thành phần Ethernet với nhau; và router có thể đảm nhận tất cả các chức năng này, cộng thêm việc định tuyến các gói TCP/IP giữa các mạng LAN hoặc WAN, và tất nhiên còn nhiều chức năng khác nữa.

Căn bản về các thiết bị mạng

chungxa — Sat, 29 Sep 2007 08:35:07 +0000

Để hệ thống mạng làm việc trơn tru, hiệu quả và khả năng kết nối tới những hệ thống mạng khác đòi hỏi phải sử dụng những thiết bị mạng chuyên dụng. Những thiết bị mạng này rất đa dạng và phong phú về chủng loại nhưng đều dựa trên những thiết bị cơ bản là Repeater, Hub, Switch, Router và Gateway.

Bài viết này sẽ giúp bạn đọc có được một những hiểu biết cơ bản về các thiết bị mạng kể trên:

Repeater

Trong một mạng LAN, giới hạn của cáp mạng là 100m (cho loại cáp mạng CAT 5 UTP – là cáp được dùng phổ biến nhất), bởi tín hiệu bị suy hao trên đường truyền nên không thể đi xa hơn. Vì vậy, để có thể kết nối các thiết bị ở xa hơn, mạng cần các thiết bị để khuếch đại và định thời lại tín hiệu, giúp tín hiệu có thể truyền dẫn đi xa hơn giới hạn này.

Repeater là một thiết bị ở lớp 1 (Physical Layer) trong mô hình OSI. Repeater có vai trò khuếch đại tín hiệu vật lý ở đầu vào và cung cấp năng lượng cho tín hiệu ở đầu ra để có thể đến được những chặng đường tiếp theo trong mạng. Điện tín, điện thoại, truyền thông tin qua sợi quang… và các nhu cầu truyền tín hiệu đi xa đều cần sử dụng Repeater

Hub

Hub được coi là một Repeater có nhiều cổng. Một Hub có từ 4 đến 24 cổng và có thể còn nhiều hơn. Trong phần lớn các trường hợp, Hub được sử dụng trong các mạng 10BASE-T hay 100BASE-T. Khi cấu hình mạng là hình sao (Star topology), Hub đóng vai trò là trung tâm của mạng. Với một Hub, khi thông tin vào từ một cổng và sẽ được đưa đến tất cả các cổng khác.

Hub có 2 loại là Active Hub và Smart Hub. Active Hub là loại Hub được dùng phổ biến, cần được cấp nguồn khi hoạt động, được sử dụng để khuếch đại tín hiệu đến và cho tín hiệu ra những cổng còn lại, đảm bảo mức tín hiệu cần thiết. Smart Hub (Intelligent Hub) có chức năng tương tự như Active Hub, nhưng có tích hợp thêm chip có khả năng tự động dò lỗi – rất hữu ích trong trường hợp dò tìm và phát hiện lỗi trong mạng.

Bridge

Bridge là thiết bị mạng thuộc lớp 2 của mô hình OSI (Data Link Layer). Bridge được sử dụng để ghép nối 2 mạng để tạo thành một mạng lớn duy nhất. Bridge được sử dụng phổ biến để làm cầu nối giữa hai mạng Ethernet. Bridge quan sát các gói tin (packet) trên mọi mạng. Khi thấy một gói tin từ một máy tính thuộc mạng này chuyển tới một máy tính trên mạng khác, Bridge sẽ sao chép và gửi gói tin này tới mạng đích.

Ưu điểm của Bridge là hoạt động trong suốt, các máy tính thuộc các mạng khác nhau vẫn có thể gửi các thông tin với nhau đơn giản mà không cần biết có sự “can thiệp” của Bridge. Một Bridge có thể xử lý được nhiều lưu thông trên mạng như Novell, Banyan… cũng như là địa chỉ IP cùng một lúc. Nhược điểm của Bridge là chỉ kết nối những mạng cùng loại và sử dụng Bridge cho những mạng hoạt động nhanh sẽ khó khăn nếu chúng không nằm gần nhau về mặt vật lý.

Switch

Switch đôi khi được mô tả như là một Bridge có nhiều cổng. Trong khi một Bridge chỉ có 2 cổng để liên kết được 2 segment mạng với nhau, thì Switch lại có khả năng kết nối được nhiều segment lại với nhau tuỳ thuộc vào số cổng (port) trên Switch. Cũng giống như Bridge, Switch cũng “học” thông tin của mạng thông qua các gói tin (packet) mà nó nhận được từ các máy trong mạng. Switch sử dụng các thông tin này để xây dựng lên bảng Switch, bảng này cung cấp thông tin giúp các gói thông tin đến đúng địa chỉ.

Ngày nay, trong các giao tiếp dữ liệu, Switch thường có 2 chức năng chính là chuyển các khung dữ liệu từ nguồn đến đích, và xây dựng các bảng Switch. Switch hoạt động ở tốc độ cao hơn nhiều so với Repeater và có thể cung cấp nhiều chức năng hơn như khả năng tạo mạng LAN ảo (VLAN).

Router

Router là thiết bị mạng lớp 3 của mô hình OSI (Network Layer). Router kết nối hai hay nhiều mạng IP với nhau. Các máy tính trên mạng phải “nhận thức” được sự tham gia của một router, nhưng đối với các mạng IP thì một trong những quy tắc của IP là mọi máy tính kết nối mạng đều có thể giao tiếp được với router.

Ưu điểm của Router: Về mặt vật lý, Router có thể kết nối với các loại mạng khác lại với nhau, từ những Ethernet cục bộ tốc độ cao cho đến đường dây điện thoại đường dài có tốc độ chậm.

Nhược điểm của Router: Router chậm hơn Bridge vì chúng đòi hỏi nhiều tính toán hơn để tìm ra cách dẫn đường cho các gói tin, đặc biệt khi các mạng kết nối với nhau không cùng tốc độ. Một mạng hoạt động nhanh có thể phát các gói tin nhanh hơn nhiều so với một mạng chậm và có thể gây ra sự nghẽn mạng. Do đó, Router có thể yêu cầu máy tính gửi các gói tin đến chậm hơn. Một vấn đề khác là các Router có đặc điểm chuyên biệt theo giao thức – tức là, cách một máy tính kết nối mạng giao tiếp với một router IP thì sẽ khác biệt với cách nó giao tiếp với một router Novell hay DECnet. Hiện nay vấn đề này được giải quyết bởi một mạng biết đường dẫn của mọi loại mạng được biết đến. Tất cả các router thương mại đều có thể xử lý nhiều loại giao thức, thường với chi phí phụ thêm cho mỗi giao thức.

Gateway

Gateway cho phép nối ghép hai loại giao thức với nhau. Ví dụ: mạng của bạn sử dụng giao thức IP và mạng của ai đó sử dụng giao thức IPX, Novell, DECnet, SNA… hoặc một giao thức nào đó thì Gateway sẽ chuyển đổi từ loại giao thức này sang loại khác.

Qua Gateway, các máy tính trong các mạng sử dụng các giao thức khác nhau có thể dễ dàng “nói chuyện” được với nhau. Gateway không chỉ phân biệt các giao thức mà còn còn có thể phân biệt ứng dụng như cách bạn chuyển thư điện tử từ mạng này sang mạng khác, chuyển đổi một phiên làm việc từ xa…

Firewall – Các khái niệm, tính chất, nguyên lý và cách sử dụng

chungxa — Sat, 29 Sep 2007 08:19:07 +0000

Firewall là gì ?

Thuật ngữ Firewall có nguồn gốc từ một kỹ thuật thiết kế trong xây dựng để ngăn chặn, hạn chế hoả hoạn. Trong công nghệ mạng thông tin, Firewall là một kỹ thuật đợc tích hợp vào hệ thống mạng để chống sự truy cập trái phép, nhằm bảo vệ các nguồn thông tin nội bộ và hạn chế sự xâm nhập không mong muốn vào hệ thống. Cũng có thể hiểu Firewall là một cơ chế (mechanism) để bảo vệ mạng tin tởng (Trusted network) khỏi các mạng không tin tởng (Untrusted network).

Thông thờng Firewall đợc đặt giữa mạng bên trong (Intranet) của một công ty, tổ chức, ngành hay một quốc gia, và Internet. Vai trò chính là bảo mật thông tin, ngăn chặn sự truy nhập không mong muốn từ bên ngoài (Internet) và cấm truy nhập từ bên trong (Intranet) tới một số địa chỉ nhất định trên Internet.

Chức năng chính

Chức năng chính của Firewall là kiểm soát luồng thông tin từ giữa Intranet và Internet. Thiết lập cơ chế điều khiển dòng thông tin giữa mạng bên trong (Intranet) và mạng Internet. Cụ thể là:

Cho phép hoặc cấm những dịch vụ truy nhập ra ngoài (từ Intranet ra Internet).
Cho phép hoặc cấm những dịch vụ phép truy nhập vào trong (từ Internet vào Intranet).
Theo dõi luồng dữ liệu mạng giữa Internet và Intranet.
Kiểm soát địa chỉ truy nhập, cấm địa chỉ truy nhập.
Kiểm soát ngời sử dụng và việc truy nhập của ngời sử dụng.
Kiểm soát nội dung thông tin thông tin lu chuyển trên mạng.
Các thành phần

Firewall chuẩn bao gồm một hay nhiều các thành phần sau đây:

Bộ lọc packet (packet-filtering router)
Cổng ứng dụng (application-level gateway hay proxy server)
Cổng mạch (circuite level gateway)
Bộ lọc paket (Paket filtering router)

Nguyên lý

Khi nói đến việc lu thông dữ liệu giữa các mạng với nhau thông qua Firewall thì điều đó có nghĩa rằng Firewall hoạt động chặt chẽ với giao thức TCI/IP. Vì giao thức này làm việc theo thuật toán chia nhỏ các dữ liệu nhận đợc từ các ứng dụng trên mạng, hay nói chính xác hơn là các dịch vụ chạy trên các giao thức (Telnet, SMTP, DNS, SMNP, NFS…) thành các gói dữ liệu (data pakets) rồi gán cho các paket này những địa chỉ để có thể nhận dạng, tái lập lại ở đích cần gửi đến, do đó các loại Firewall cũng liên quan rất nhiều đến các packet và những con số địa chỉ của chúng.

Bộ lọc packet cho phép hay từ chối mỗi packet mà nó nhận đợc. Nó kiểm tra toàn bộ đoạn dữ liệu để quyết định xem đoạn dữ liệu đó có thoả mãn một trong số các luật lệ của lọc packet hay không. Các luật lệ lọc packet này là dựa trên các thông tin ở đầu mỗi packet (packet header), dùng để cho phép truyền các packet đó ở trên mạng. Đó là:

Địa chỉ IP nơi xuất phát ( IP Source address)
Địa chỉ IP nơi nhận (IP Destination address)
Những thủ tục truyền tin (TCP, UDP, ICMP, IP tunnel)
Cổng TCP/UDP nơi xuất phát (TCP/UDP source port)
Cổng TCP/UDP nơi nhận (TCP/UDP destination port)
Dạng thông báo ICMP ( ICMP message type)
Giao diện packet đến ( incomming interface of packet)
Giao diện packet đi ( outcomming interface of packet)
Nếu luật lệ lọc packet đợc thoả mãn thì packet đợc chuyển qua firewall. Nếu không packet sẽ bị bỏ đi. Nhờ vậy mà Firewall có thể ngăn cản đợc các kết nối vào các máy chủ hoặc mạng nào đó đợc xác định, hoặc khoá việc truy cập vào hệ thống mạng nội bộ từ những địa chỉ không cho phép. Hơn nữa, việc kiểm soát các cổng làm cho Firewall có khả năng chỉ cho phép một số loại kết nối nhất định vào các loại máy chủ nào đó, hoặc chỉ có những dịch vụ nào đó (Telnet, SMTP, FTP…) đợc phép mới chạy đợc trên hệ thống mạng cục bộ.

Ưu điểm

Đa số các hệ thống firewall đều sử dụng bộ lọc packet. Một trong những u điểm của phơng pháp dùng bộ lọc packet là chi phí thấp vì cơ chế lọc packet đã đợc bao gồm trong mỗi phần mềm router.
Ngoài ra, bộ lọc packet là trong suốt đối với ngời sử dụng và các ứng dụng, vì vậy nó không yêu cầu sự huấn luyện đặc biệt nào cả.

Hạn chế

Việc định nghĩa các chế độlọc package là một việc khá phức tạp; đòi hỏi ngời quản trị mạng cần có hiểu biết chi tiết vể các dịch vụ Internet, các dạng packet header, và các giá trị cụ thể có thể nhận trên mỗi trờng. Khi đòi hỏi vể sự lọc càng lớn, các luật lệ vể lọc càng trở nên dài và phức tạp, rất khó để quản lý và điều khiển.
Do làm việc dựa trên header của các packet, rõ ràng là bộ lọc packet không kiểm soát đợc nôi dung thông tin của packet. Các packet chuyển qua vẫn có thể mang theo những hành động với ý đồ ăn cắp thông tin hay phá hoại của kẻ xấu.
Cổng ứng dụng (application-level getway)

Nguyên lý

Đây là một loại Firewall đợc thiết kế để tăng cờng chức năng kiểm soát các loại dịch vụ, giao thức đợc cho phép truy cập vào hệ thống mạng. Cơ chế hoạt động của nó dựa trên cách thức gọi là Proxy service. Proxy service là các bộ code đặc biệt cài đặt trên gateway cho từng ứng dụng. Nếu ngời quản trị mạng không cài đặt proxy code cho một ứng dụng nào đó, dịch vụ tơng ứng sẽ không đợc cung cấp và do đó không thể chuyển thông tin qua firewall. Ngoài ra, proxy code có thể đợc định cấu hình để hỗ trợ chỉ một số đặc điểm trong ứng dụng mà ngòi quản trị mạng cho là chấp nhận đợc trong khi từ chối những đặc điểm khác.

Một cổng ứng dụng thờng đợc coi nh là một pháo đài (bastion host), bởi vì nó đợc thiết kế đặt biệt để chống lại sự tấn công từ bên ngoài. Những biện pháp đảm bảo an ninh của một bastion host là:

Bastion host luôn chạy các version an toàn (secure version) của các phần mềm hệ thống (Operating system). Các version an toàn này đợc thiết kế chuyên cho mục đích chống lại sự tấn công vào Operating System, cũng nh là đảm bảo sự tích hợp firewall.
Chỉ những dịch vụ mà ngời quản trị mạng cho là cần thiết mới đợc cài đặt trên bastion host, đơn giản chỉ vì nếu một dịch vụ không đợc cài đặt, nó không thể bị tấn công. Thông thờng, chỉ một số giới hạn các ứng dụng cho các dịch vụ Telnet, DNS, FTP, SMTP và xác thực user là đợc cài đặt trên bastion host.
Bastion host có thể yêu cầu nhiều mức độ xác thực khác nhau, ví dụ nh user password hay smart card.
Mỗi proxy đợc đặt cấu hình để cho phép truy nhập chỉ một sồ các máy chủ nhất định. Điều này có nghĩa rằng bộ lệnh và đặc điểm thiết lập cho mỗi proxy chỉ đúng với một số máy chủ trên toàn hệ thống.
Mỗi proxy duy trì một quyển nhật ký ghi chép lại toàn bộ chi tiết của giao thông qua nó, mỗi sự kết nối, khoảng thời gian kết nối. Nhật ký này rất có ích trong việc tìm theo dấu vết hay ngăn chặn kẻ phá hoại.
Mỗi proxy đều độc lập với các proxies khác trên bastion host. Điều này cho phép dễ dàng quá trình cài đặt một proxy mới, hay tháo gỡ môt proxy đang có vấn để.
Ưu điểm

Cho phép ngời quản trị mạng hoàn toàn điều khiển đợc từng dịch vụ trên mạng, bởi vì ứng dụng proxy hạn chế bộ lệnh và quyết định những máy chủ nào có thể truy nhập đợc bởi các dịch vụ.
Cho phép ngời quản trị mạng hoàn toàn điều khiển đợc những dịch vụ nào cho phép, bởi vì sự vắng mặt của các proxy cho các dịch vụ tơng ứng có nghĩa là các dịch vụ ấy bị khoá.
Cổng ứng dụng cho phép kiểm tra độ xác thực rất tốt, và nó có nhật ký ghi chép lại thông tin về truy nhập hệ thống.
Luật lệ lọc filltering cho cổng ứng dụng là dễ dàng cấu hình và kiểm tra hơn so với bộ lọc packet.
Hạn chế

Yêu cầu các users thay đổi thao tác, hoặc thay đổi phần mềm đã cài đặt trên máy client cho truy nhập vào các dịch vụ proxy. Chẳng hạn, Telnet truy nhập qua cổng ứng dụng đòi hỏi hai bớc để nối với máy chủ chứ không phải là một bớc thôi. Tuy nhiên, cũng đã có một số phần mềm client cho phép ứng dụng trên cổng ứng dụng là trong suốt, bằng cách cho phép user chỉ ra máy đích chứ không phải cổng ứng dụng trên lệnh Telnet.
Cổng vòng (circuit-Level Gateway)

Cổng vòng là một chức năng đặc biệt có thể thực hiện đợc bởi một cổng ứng dụng. Cổng vòng đơn giản chỉ chuyển tiếp (relay) các kết nối TCP mà không thực hiện bất kỳ một hành động xử lý hay lọc packet nào.

Hình dới đây minh hoạ một hành động sử dụng nối telnet qua cổng vòng. Cổng vòng đơn giản chuyển tiếp kết nối telnet qua firewall mà không thực hiện một sự kiểm tra, lọc hay điều khiển các thủ tục Telnet nào.Cổng vòng làm việc nh một sợi dây,sao chép các byte giữa kết nối bên trong (inside connection) và các kết nối bên ngoài (outside connection). Tuy nhiên, vì sự kết nối này xuất hiện từ hệ thống firewall, nó che dấu thông tin về mạng nội bộ.

Cổng vòng thờng đợc sử dụng cho những kết nối ra ngoài, nơi mà các quản trị mạng thật sự tin tởng những ngời dùng bên trong. Ưu điểm lớn nhất là một bastion host có thể đợc cấu hình nh là một hỗn hợp cung cấp Cổng ứng dụng cho những kết nối đến, và cổng vòng cho các kết nối đi. Điều này làm cho hệ thống bức tờng lửa dễ dàng sử dụng cho những ngời trong mạng nội bộ muốn trực tiếp truy nhập tới các dịch vụ Internet, trong khi vẫn cung cấp chức năng bức tờng lửa để bảo vệ mạng nội bộ từ những sự tấn công bên ngoài.

Những hạn chế của firewall

Firewall không đủ thông minh nh con ngời để có thể đọc hiểu từng loại thông tin và phân tích nội dung tốt hay xấu của nó. Firewall chỉ có thể ngăn chặn sự xâm nhập của những nguồn thông tin không mong muốn nhng phải xác định rõ các thông số địa chỉ.
Firewall không thể ngăn chặn một cuộc tấn công nếu cuộc tấn công này không “đi qua” nó. Một cách cụ thể, firewall không thể chống lại một cuộc tấn công từ một đờng dial-up, hoặc sự dò rỉ thông tin do dữ liệu bị sao chép bất hợp pháp lên đĩa mềm.
Firewall cũng không thể chống lại các cuộc tấn công bằng dữ liệu (data-drivent attack). Khi có một số chơng trình đợc chuyển theo th điện tử, vợt qua firewall vào trong mạng đợc bảo vệ và bắt đầu hoạt động ở đây.
Một ví dụ là các virus máy tính. Firewall không thể làm nhiệm vụ rà quét virus trên các dữ liệu đợc chuyển qua nó, do tốc độ làm việc, sự xuất hiện liên tục của các virus mới và do có rất nhiều cách để mã hóa dữ liệu, thoát khỏi khả năng kiểm soát của firewall.
Tuy nhiên, Firewall vẫn là giải pháp hữu hiệu đợc áp dụng rộng rãi.

Căn bản về TCP/IP

chungxa — Fri, 28 Sep 2007 20:07:37 +0000

TCP/IP (Transmission Control Protocol/Internet Protocol) là một bộ protocols (giao thức) được thiết kế để đạt hai mục tiêu chính:

Cho phép truyền thông qua các đuờng dây của mạng rộng (Wide Area Network – WAN).
Cho phép truyền thông giữa các môi trường đa dạng.

Do đó hiểu được cái gốc của các protocols nầy giúp ta hiểu đuộc sự quan trọng của chúng trong các mạng ngày nay.

1. Lịch sử của TCP/IP

Vào cuối thập niên 1960, cơ quan Advanced Research Projects Agency (DARPA) của bộ Quốc Phòng Mỹ thực hiện nhiều loạt thí nghiệm để gởi các kiện hàng dữ kiện đi lại mọi hướng (packet-switching) trên mạng. Hai mục tiêu chính của công tác nầy là:

Triển khai một mạng để giúp các trung tâm nghiên cứu chia sẽ các thông tin.

Triển khai một mạng để nối chặt chẽ các địa điểm quốc phòng trong trường hợp Mỹ bị tấn công bằng vũ khí nguyên tử.

Kết quả là bộ TCP/IP. Sau nầy Internet Society (Hội Internet) dùng một nhóm tư vấn mang tên The Internet Architecture Board (IAB) (Ban Kiến trúc Internet) để trông coi việc làm cho TCP/IP càng ngày càng hay hơn. Mỗi khi ai có sáng kiến kỹ thuật gì muốn đề nghị với Ban thì người ta xin Ban đăng lên và thông báo cho những ai quan tâm có ý kiến. Bản thông báo ấy được gọi là Request for Comments (RFC) (Yêu cầu cho biết ý kiến). Nếu đa số các guru về TCP/IP thấy hay thì có thể lần lần đề nghị ấy đuợc cho vào TCP/IP.

2. Những TCP/IP protocols và các công cụ

Như ta biết, truyền thông giữa hàng triệu computers trên Internet xãy ra được nhờ có TCP/IP protocol, một cách giao thức trên mạng rất thông dụng trong vòng các computers chạy Unix trước đây. Vì nó rất tiện dụng nên Microsoft đã dùng TCP/IP làm giao thức chính cho mạng Windows2000. TCP/IP là tập hợp của nhiều protocols, mà trong số đó có các Protocols chánh sau đây:

TCP (Transmission Control Protocol): Chuyên việc nối các hosts lại và bảo đảm việc giao hàng (messages) vì nó vừa dùng sự xác nhận hàng đến (Acknowledgement ) giống như thư bảo đảm, vừa kiểm xem kiện hàng có bị hư hại không bằng cách dùng CRC (Cyclic Redundant Check) , giống như có đóng khằng chỗ mở kiện hàng.

IP (Internet Protocol): Lo về địa chỉ và chuyển hàng đi đúng hướng, đến nơi, đến chốn.

SMTP (Simple Mail Transfer Protocol): Chuyên việc giao Email.

FTP (File Transfer Protocol): Chuyên việc gởi File (upload/download) giữa các hosts.

SNMP (Simple Network Management Protocol): Dùng cho các programs quản lý mạng để user có thể quản lý mạng từ xa.

UDP (User Datagram Protocol): Chuyên giao các bọc nhỏ (packets) của một kiện hàng. Nó nhanh hơn TCP ví không có sự kiểm tra hay sửa lỗi. Ngược lại, nó không bảo đảm việc giao hàng.

Là Network Administrator ta nên làm quen với các công cụ chuẩn để làm việc với TCP/IP như:

File Transfer Protocol (FTP): Để thử upload/download files giữa các hosts.

Telnet: Cho ta Terminal Emulation (giả làm một Terminal) để nói chuyện với một Host chạy program Telnet Server.

Packet Internet Groper (Ping): Dùng để thử TCP/IP configurations và connections.

IPCONFIG: Để kiểm TCP/IP configuration của local host.

NSLOOKUP: Dùng line command để đọc các records trong DNS (Domain Name System) database.

TRACERT: Để display các khúc đường (route) dùng giữa hai hosts.

3. Địa chỉ TCP

Mỗi computer trên LAN/Internet phải có một địa chỉ TCP độc đáo (unique). Một địa chỉ TCP gồm có 32 bits, chia làm 4 nhóm gọi là Octet (có 8 bits, tức là 1 Byte dữ kiện) và đuợc viết dưới dạng:

11000000 . 01101010 . 00000011 . 11001000

Mặc dầu trên đây là các con số mà computers thấy, nhưng đó không phải là các con số mà con người suy nghĩ. Do đó người ta thường viết nó dưới dạng gọi là dotted decimal (số thập phân với dấu chấm) như sau:

192.100.3.200

Vì địa chỉ TCP như thế rất khó nhớ nên người ta quy ước dùng các tên dễ nhớ hơn như www.yahoo.com, www.vps.org, .v.v.. rồi nhờ những chỗ đặc biệt trên mạng, gọi là Domain Name Server (DNS) đổi các user friendly names nầy ra các địa chỉ TCP để làm việc.

Để việc trao đổi các messages giữa các hosts trên mạng có hiệu năng, người ta thường gom các Hosts lại thành từng nhóm, gọi là Network. Mỗi Network được cho một NetworkID. Do đó mỗi địa chỉ TCP được chia ra làm hai phần:

Network ID (hay Network Address): Dùng để chuyển các messages đến đúng Network (còn gọi là Subnet hay Segment.

Host ID (hay Host Address):

Thí dụ như ba địa chỉ TCP 192.168.104.1, 192.168.104.4, 192.168.104.7 có cùng Network ID 192.168.104.

Một Subnet của các computers giống như một con đường của những căn nhà, mỗi căn nhà có một con số để phân biệt nhưng địa chỉ của tất cả các căn nhà đều có chung tên đường, ngoại ô, thành phố .v.v. .

Con số bits , đếm từ trái qua phải, của địa chỉ TCP để dùng cho Network ID được gọi là Subnet Mask. Ta có thể dùng 8, 16, 24, 25 bits .v.v.. tùy ý, nhưng phải nói cho system biết ta dùng bao nhiêu bits để nó có thể tính ra phần nào trong 32 bits là của NetworkID, phần nào là của HostID.

Các địa chỉ TCP được chỉ định cho mỗi Host không thay đổi nầy được gọi là Static Address. Khi ta dial-up Internet để connect qua ISP (Internet Service Provider), computer của ta thường được ISP phát cho một địa chỉ TCP để dùng tạm trong thời gian máy ta connect trong lúc ấy. Lần tới, ta dial-up Internet sẽ đuợc ISP cấp cho một địa chỉ TCP khác, một trong những địa chỉ TCP mà ISP đã đuợc cơ quan đăng ký địa chỉ TCP của thế giới cung cấp.

Như thế, mỗi lần ta dùng Internet thì computer của chúng ta là một host trong mạng Internet TCP/IP của toàn thế giới. Computer ta có thể truyền thông với các hosts khác và ngược lại, người ta cũng có thể thấy và tò mò dòm ngó những gì trong computer chúng ta trong khả năng của TCP/IP. Tức là, hể mở cửa làm ăn thì coi chừng ngoại lai lén vào.

Khi tất cả các computer trên mạng dùng cho Internet được giới hạn trong vòng một cơ quan, tổ chức hay tập đoàn thì ta gọi nó là Intranet. Thường thường các computers trong Intranet nằm trên cùng một Local Area Network (LAN), các message được gởi đi lại với vận tốc cao (10Mbits/sec – 100Mbits/sec). Ngay cả khi một công ty có hai, ba địa điểm cách nhau, các đuờng dây viễn thông liên kết cũng có vận tốc tối thiểu là 128Kbits/sec.

Đã gọi là Intranet thì ta muốn dịch vụ Internet chỉ dành cho nội bộ và người ngoài kkông thể nào tò mò thấy được.

4. Gateway, Router và Firewall

Nếu ta không có ý định nối Network của mình với Internet bên ngoài hay Network TCP/IP nào khác thì không có gì phải lo và ở trong vòng Network riêng tư của ta, ta có thể cấp các địa chỉ TCP thoải mái.

Như đã nói ở trên, địa chỉ TCP của tất cả mọi hosts trong một Network đầu có cùng một NetworkID. Bên trong một Network, messages được gởi đi giữa các hosts rất nhanh. Nếu muốn gởi messages từ một Network nầy qua một Network khác thì phải qua một host có vị trí đặc biệt trong cùng Network gọi là Gateway (cổng liên hệ bên ngoài). Tỷ như một lá thư từ Đồng Tháp muốn đi ngoại quốc thì phải qua Gateway ở Thành phố HCM. Tương tợ như vậy, ở Network bên kia cũng có một Gateway để đón nhận message từ Gateway bên nầy.

Để chuyển messages giữa hai Networks ta cần phải có một dụng cụ đặc biệt, hardware hay software (một hộp hay một program), gọi là Router (phát âm là rau-tơ trong tiếng Việt).

Router là dụng cụ giúp cho hai Networks truyền thông nhau. Nó giống như một thông dịch viên vậy, có thể nói chuyện với cả hai bên. Đối với mỗi Network, Router hoạt động như thể nó là một host trong Network ấy. Hình dưới đây minh họa cách dùng Gateways và Router để nối hai Networks lại với nhau

Trong hình trên, nếu cả hai Gateways thật ra là hai Network cards nằm trên cùng một computers chạy MSWindows2000 Server, ta có thể dùng software để làm nhiệm vụ của Router. Như thế ta khỏi phải mua một hộp Router.

Firewall (bức tường lửa) là từ dùng để nói đến phương tiện ta dùng để kiểm soát chặt chẽ sự đi lại của các messages. Ta dùng Firewall để ngăn ngừa kẻ lạ xâm phạm vào khu vực mạng TCP/IP của cơ quan ta. Như ta đã thấy, Router có thể đảm nhiệm công tác ấy. Vấn đề là nếu ta gắt gao quá thì sự đi lại rất giới hạn và không tiện lợi cho công việc làm ăn. Ngược lại, nếu ta dễ dãi quá thì không còn an toàn gì cả.

5. Phân chia giai cấp A,B,C

Như đã giải thích ở trên, Subnet Mask cho biết bao nhiêu bits đầu của địa chỉ TCP được dùng làm NetworkID, còn các bits còn lại là HostID. Để biểu diễn một Subnet Mask dùng 24 bits cho một NetworkID, ta có thể viết 135.100.3.200/24. Đa số các NetworkID ta thường gặp dùng 24 bit Subnet Mask. Nhưng thật ra, người ta phân chia giai cấp các địa chỉ TCP ra làm các Classes A, B và C.

Các địa chỉ của Class A dùng Octet thứ nhất. Có điều người ta không dùng bit thứ nhất, nó luôn luôn bằng 0. Do đó toàn bộ Internet chỉ có 127 Class A Networks. Dù địa chỉ 127 là một địa chỉ Class A, ta không thể dùng nó đuợc vì nó đuợc reserved (dành riêng) để thử Loopback (Loopback Testing) . Mỗi Class A Network có trên 16 triệu (2 lũy thừa 24) hosts. Khỏi phải nói, bây giờ ta không thể xin một Class A Network đuợc nữa, vì các Đại Sư Huynh đã dành hết rồi. Trong số các công ty lớn ấy có General Electric, IBM, Apple, Xerox, và Đại học Columbia.

Các Networks thuộc Class B bắt đầu với Octet thứ nhất có values trong range 128 đến 191. Trong Class B ta dùng 2 Octets đầu cho NetwordID. Do đó ta chỉ có 16,384 Class B Networks, mỗi Network có 65,534 (2 lũy thừa 16)hosts. Tất cả các Networks Class B đều đã bị người ta xí hết rồi. Trong số các công ty ấy có Microsoft và Exxon.

Sau cùng là Class C Networks bắt đầu với Octet thứ nhất có values trong range 192 đến 223 và dùng 3 Octets đầu tiên để biểu diễn NetworkID. Như thế ta có khoảng 2 triệu Class C Networks, nhưng mỗi Network chỉ có thể support 254 hosts (HostID=1 cho đến 254), HostID=255 đuợc reserved cho Loopback testing, HostID=0 thì bất hợp lệ. Tin mừng cho chúng ta là mình còn xin một Class C network được.

6. Các loại Servers

Có ba thứ dịch vụ ta thường dùng nhất trên Internet. Đó là Surfing the Web ( chu du ta bà thế giới từ trang Web nầy đến trang Web khác), Email và download File bằng cách dùng FTP (File Transfer Protocol).

Cho mỗi thứ dịch vụ ta dùng ở đầu kia phải có một Server (một program phục vụ) – do đó tùy theo ta đang connect với chỗ nào ở thới điểm ấy, tại chỗ cung cấp dịch vụ phải có Web server, Mail Server hay FTP Server để đáp ứng request (thỉnh cầu) của bạn.

Bạn hỏi nếu một Computer trên Internet chạy cả 3 loại Servers nói trên thì làm sao phân biệt message nào là cho Server nào khi chúng đến cùng một địa chỉ TCP. Xin trả lời là ngoài địa chỉ TCP ra, mỗi computer còn có nhiều Ports, để khi ta nối với Server trên một computer ta còn cho biết Port number. Thí dụ cho Web (WWW) thì dùng Port 80, cho FTP thì dùng Port 21 , .v.v.. Cách dùng các Port numbers giống giống như dùng tên của các cá nhân sống trong cùng một căn nhà khi gởi thư cho họ. Ngoài địa chỉ của căn nhà ta còn nói rõ là thư ấy cho cha, mẹ hay người con nào.

Hơn nữa, mỗi loại message còn dùng một protocol khác nhau, nên ta có thể Surf the Net, gời/nhận Email và download/upload files cùng một lúc trên một đường dây điện thoại mà không sợ lẫn lộn. Bạn có thể tưởng tượng TCP/IP như cái protocol căn bản của Internet, rồi nằm lên phía trên là những protocols khác. Cũng giống như trong mạng bưu chính, xe hàng là căn bản của việc chuyên chở, nhưng kích thước các kiện hàng theo chuẩn lớn, nhỏ giúp người ta phân biệt các loại hàng hóa khác nhau.

Cơ bản về địa chỉ IP

chungxa — Fri, 28 Sep 2007 19:43:53 +0000

1. Địa chỉ IP:Địa chỉ IP là một số nguyên 32 bit, thường được biểu diễn dưới dạng một dãy 4 số nguyên cách nhau bởi dấu chấm (dotted format). Một số nguyên trong địa chỉ IP là một byte, thường được gọi là một octet (8 bits).

Ví dụ về một địa chỉ IP điển hình là 123.255.0.15. Các thành phần 123, 255, 0 và 15 là các octet.

Một địa chỉ IP gồm có 3 phần. Phần đầu tiên là địa chỉ mạng (network address), phần thứ cuối cùng là địa chỉ máy (host address) và phần còn lại (nếu có) là địa chỉ mạng con (subnet address).

Địa chỉ mạng của một địa chỉ IP được tìm ra khi thực hiện phép toán logic AND giữa địa chỉ IP đấy và một giá trị gọi là mặt nạ mạng (network mask, tôi sẽ không dùng từ “mặt nạ mạng” trong tất cả các bài về sau mà chỉ dùng “network mask” cũng như sẽ không dịch từ “mask” thành “mặt nạ” nữa). Network mask cho biết bao nhiêu bit trong địa chỉ IP là địa chỉ mạng.

2. Phân lớp địa chỉ IP:

Địa chỉ IP được phân ra làm 5 lớp mạng (lớp A, B, C, D, và E). Trong đó bốn lớp đầu được sử dụng, lớp E được dành riêng cho nghiên cứu. Lớp D được dùng cho việc phát các thông tin broadcast/multicastt (broadcast/multicast IPs). Lớp A, B và C được dùng trong cuộc sống hàng ngày.

3. Cách phân biệt IP lớp A, B, C, và D:

Một địa chỉ IP với bit đầu tiên là 0 thuộc về lớp A, bit đầu tiên là 1 và bit thứ 2 là 0 thuộc lớp B, bit đầu là 1, bit 2 là 1, bit 3 là 0 thuộc lớp C, bit đầu là 1, bit 2 là 1, bit 3 là 1, bit 4 là 0 thuộc lớp D. Lớp E là các địa chỉ còn lại. Bảng sau tóm tắt ý tưởng này:

Lớp IP	Dạng địa chỉ IP	Network mask mặc định
A	0xxxx…….xxx	255.0.0.0
B	10xxx…….xxx	255.255.0.0
C	110xx…….xxx	255.255.255.0
D	1110x…….xxx	(không dùng)

Ví dụ địa chỉ 10.243.100.56 là một địa chỉ IP lớp A vì octet đầu được biểu diễn dưới dạng nhị phân thành 00001010. Bit đầu tiên là 0 nên địa chỉ đó thuộc về lớp A.

Mỗi lớp có 2 địa chỉ dành riêng là địa chỉ thấp nhất (phần địa chỉ máy toàn bit 0), và địa chỉ cao nhất của lớp đó (phần địa chỉ máy toàn bit 1). Như vậy, địa chỉ mạng có thể có trong một lớp sẽ phụ thuộc vào số bit trong network mask (bit mang giá trị 1). Nếu gọi số bit 1 trong network mask là x thì số địa chỉ mạng tối đa có thể có trong một lớp là 2^x

Tuy nhiên, vì mỗi lớp bị phụ thuộc vào vài bit đầu tiên quy định nên số địa chỉ mạng tối đa thật sự trong mỗi lớp sẽ là 2^x – 2^(số bit cố định của lớp tương ứng).

Như vậy lớp A có 126 địa chỉ, lớp B có tối đa 16382 địa chỉ, lớp C có 2097150 địa chỉ.

Phần còn lại ngoài địa chỉ mạng sẽ là địa chỉ máy. Tương tự cũng có 2 địa chỉ máy dành riêng (địa chỉ thấp nhất và địa chỉ cao nhất) trong mỗi địa chỉ mạng. Như vậy, số địa chỉ máy có thể có trong mỗi mạng sẽ là 2^(32 – x) – 2. Công thức tính đơn giản giống công thức tính số địa chỉ mạng. Chỉ khác một điều là ta dùng số bit 0 (32-x) thay vì dùng số bit 1 (x).

Như vậy, một địa chỉ mạng lớp C sẽ có 254 địa chỉ máy, tương tự cho địa chỉ mạng lớp B, và A.

Tổng số địa chỉ của một lớp mạng là tích của số địa chỉ mạng và số địa chỉ máy trong một mạng thuộc lớp đó.

4. Subnet:

Tuy nhiên, các nhà quản trị mạng thường phân chia mạng của họ ra thành nhiều mạng nhỏ hơn gọi là mạng con subnet. Tương tự với địa chỉ mạng, địa chỉ mạng con cũng được quy định bởi một mask, gọi là subnet mask. Subnet mask của một địa chỉ mạng có số bit 1 nhiều hơn hoặc bằng (trường hợp bằng có nghĩa là không có chia mạng ra thành subnet) số bit 1 trong network mask của địa chỉ đó. Ví dụ subnet mask của một mạng thuộc lớp B sẽ có dạng 255.255.xxx.xxx với xxx là số bất kỳ từ 0 đến 255.

Cách tính số địa chỉ mạng con của một địa chỉ mạng sẽ phụ thuộc vào bao nhiêu bit của network mask đã được dùng để làm subnet mask (tạm gọi là y). Hai công thức bên trên đều được sử dụng với việc thay biến x thành y. Đặc biệt cách tính số địa chỉ IP trong mỗi subnet sẽ dùng cả x và y theo công thức sau:

2^(32 – x – y) – 2

Ví dụ subnet mask của một mạng lớp A (network mask mặc định 255.0.0.0) là 255.192.0.0 thì y sẽ là 2 (vì 192 biểu diễn ở dạng nhị phân là 11000000, có nghĩa là đã có 2 bit đã được sử dụng để làm subnet mask). Subnet mask phải là một dãy liên tục các bit 1 ngay sau network mask. Điều này nói lên rằng subnet mask dành một số bit 0 trong network mask (phần dành cho địa chỉ máy). Cũng có 2 địa chỉ máy dành riêng trong mỗi subnet. Hai địa chỉ đó là subnet address (địa chỉ thấp nhất trong subnet) và broadcast address (địa chỉ cao nhất trong subnet). Địa chỉ thấp nhất trong subnet không nhất thiết có tất cả các bit là 0 như đối với địa chỉ thấp nhất trong một mạng, cũng như địa chỉ cao nhất không nhất thiết phải là toàn bit 1. Lưu ý là trong một vài tài liệu cũ nói rằng cũng có 2 subnet dành riêng trong mỗi mạng nhưng bây giờ điều đó không còn dùng nữa. Hai subnet đó vẫn được dùng, gọi là zero subnet (subnet thấp nhất) và broadcast subnet (subnet cao nhất).

Ngoài ra, mỗi lớp mạng còn có 1 địa chỉ mạng dành riêng (private network address). Lớp A có địa chỉ 10.0.0.0. Lớp B có địa chỉ 172.16.0.0. Lớp C có địa chỉ 192.168.0.0. Địa chỉ broadcast của lớp A còn được gọi là địa chỉ universal broadcast (toàn bit 1 hay 255.255.255.255).

5. Broadcast và multicast:

Các phần trên đề cập đến broadcast và multicast nhưng chưa giải thích. Địa chỉ broadcast là một địa chỉ mà khi thông tin gửi tới địa chỉ đó sẽ được gửi đến toàn bộ các máy trong mạng. Multicast cũng như broadcast nhưng chỉ có tác dụng trong một subnet.

Trên đây là các kiến thức cơ bản về việc đánh địa chỉ IP. Vài ví dụ dưới sẽ giúp làm sáng tỏ các kiến thức trên.

Ví dụ 1: Địa chỉ 192.168.0.1 thuộc lớp nào?

Có 2 cách trả lời câu hỏi này: Một là dựa vào việc phân tích octet đầu ra dạng nhị phân, căn cứ vào các bit đầu mà có thể trả lời. Cách thứ hai là vì địa chỉ này thuộc mạng riêng của lớp C nên có thể trả lời ngay.

Ví dụ 2: Chỉ rõ địa chỉ mạng của địa chỉ 192.168.0.5 với network mask mặc định.

Câu hỏi này buộc ta phải biết địa chỉ 192.168.0.5 thuộc lớp nào và biết network mask của lớp đó.

192.168.0.5 thuộc lớp C.

Lớp C có network mask là 255.255.255.0.

Thực hiện phép AND sẽ ra 192.168.0.0.

Câu trả lời là 192.168.0.0. Câu hỏi này cũng có thể trả lời nếu ta biết là địa chỉ 192.168.0.5 là một trong 3 địa chỉ riêng.

Ví dụ 3: Chỉ rõ phần địa chỉ mạng (bỏ phần địa chỉ máy) của địa chỉ 192.168.0.10 với network mask mặc định.

Như câu trên ta đã biết network mask của địa chỉ 192.168.0.10 là 255.255.255.0. Câu hỏi yêu cầu chỉ rõ PHẦN địa chỉ mạng, nên ta chỉ lấy các bit còn nằm trong network mask:

Địa chỉ đầu 11000000.10101000.00000000.00001010

Network mask 11111111.11111111.11111111.00000000

Lấy phần trong network mask 11000000.10101000.00000000

Câu trả lời sẽ là 192.168.0.

Ví dụ 4: Địa chỉ IP 129.56.7.8 có subnet mask là 255.255.128.0. Hỏi có bao nhiêu subnet, bao nhiêu địa chỉ IP trong mỗi subnet, bao nhiêu địa chỉ IP trong mạng đó?

Việc trả lời đòi hỏi chút tính toán. Sau khi nhận biết địa chỉ IP này là thuộc lớp B, network mask mặc định là 255.255.0.0 (x là 16), ta biết quản trị mạng đã lấy 1 bit để chia subnet. Như vậy, y là 1. Số subnet là 2^1 là 2. Số địa chỉ IP trong mỗi subnet là 2^(32-y-x) – 2 là 32766. Suy ra số địa chỉ IP trong mạng đó là 2 * 32766 là 65532.

6. Câu hỏi dành cho người đọc tự trả lời:

Một quản trị viên có một network address thuộc lớp C. Anh ta muốn chia địa chỉ này ra thành nhiều subnet nhỏ hơn. Anh ta muốn mỗi subnet có tối thiểu 10 máy và tối đa 30 máy, vậy anh ta nên dùng những subnet mask nào?

Trên đây là một vài thông tin cần thiết để hiểu cách đánh địa chỉ IP.

7. Tài liệu tham khảo:

Internetworking with TCP/IP
TCP/IP illustrated
Sybex CCNA2 study guide