Tổng Quan Về Mô Hình Mạng Và Giao Thức
Hiểu biết về kiến trúc mạng là nền tảng cốt lõi cho bất kỳ kỹ sư mạng nào. Quá trình truyền dữ liệu từ máy tính cá nhân ra internet thường đi qua các thiết bị trung gian như switch, router và cuối cùng là nhà cung cấp dịch vụ (ISP). Để chuẩn hóa việc này, các mô hình phân tầng đã được phát triển.
Mô Hình OSI và TCP/IP
Mô hình tham chiếu OSI (Open System Interconnection) gồm 7 tầng, giúp tách biệt các chức năng mạng thành các đơn vị độc lập. Lợi ích chính của việc phân tầng bao gồm:
- Thúc đẩy chuẩn hóa, cho phép nhiều nhà cung cấp khác nhau cùng phát triển thiết bị.
- Các tầng hoạt động độc lập, giảm độ phức tạp khi xử lý sự cố.
- Tính linh hoạt cao: thay đổi ở một tầng không ảnh hưởng đến các tầng khác.
Trong thực tế, mô hình TCP/IP 4 tầng được sử dụng phổ biến hơn. Sự tương quan giữa các tầng giúp xác định vị trí hoạt động của thiết bị và giao thức:
- Tầng Vật lý: Xử lý tín hiệu điện/quang, cáp mạng.
- Tầng Liên kết dữ liệu: Sử dụng địa chỉ MAC để định danh thiết bị trong mạng cục bộ.
- Tầng Mạng: Sử dụng địa chỉ IP để định tuyến giữa các mạng khác nhau.
- Tầng Ứng dụng: Cung cấp dịch vụ cho người dùng cuối qua các cổng (port).
Địa Chỉ IP và Phân Chia Subnet
Địa chỉ IP đóng vai trò như định danh logic trong mạng. Một số dải địa chỉ đặc biệt cần lưu ý:
- 127.0.0.1: Địa chỉ loopback, dùng để kiểm tra chồng giao thức TCP/IP trên chính thiết bị đó.
- Địa chỉ Private: Dùng trong mạng nội bộ, không định tuyến được trên internet public.
Việc phân chia subnet (VLSM - Variable Length Subnet Mask) giúp tối ưu hóa việc sử dụng địa chỉ IP. Khi tính toán, cần chú ý đến bit ranh giới giữa phần mạng và phần host. CIDR (Classless Inter-Domain Routing) cho phép tổng hợp các đường mạng để giảm kích thước bảng định tuyến.
Cấu Hình Thiết Bị Mạng Cơ Bản
Dưới đây là các lệnh cấu hình cơ bản trên thiết bị mạng (tương thích cú pháp chung), đã được điều chỉnh để phù hợp với môi trường thực tế:
! Thay đổi tên thiết bị để dễ quản lý
sysname Core_Router_01
! Thiết lập mật khẩu đặc quyền bảo mật hơn
enable secret SecureAdmin@2024
! Xem cấu hình đang chạy
show running-config
! Kiểm tra trạng thái nhanh các interface
show ip interface brief
! Xóa mật khẩu cũ nếu cần thay đổi
no enable secret
! Thoát khỏi chế độ cấu hình hoặc hủy lệnh đang chạy
Ctrl + Shift + 6Định Tuyến và Chuyển Mạch
Router có chức năng chính là kết nối các mạng dị chủng và隔离 (cô lập) miền quảng bá. Quá trình định tuyến bao gồm việc xác định địa chỉ đích, tìm đường đi khả thi và chọn đường tối ưu dựa trên bảng định tuyến.
- Directly Connected: Mạng kết nối trực tiếp vào interface của router.
- Static Routing: Quản trị viên cấu hình thủ công đường đi.
- Dynamic Routing: Các giao thức như OSPF, EIGRP tự động học đường đi.
Nếu hai máy tính cùng một mạng LAN, chúng giao tiếp trực tiếp qua MAC. Nếu khác mạng, gói tin phải được gửi đến Gateway. Nếu gateway không tìm thấy đường đi, gói tin sẽ bị hủy và thông báo lỗi sẽ được gửi về.
Các Giao Thức Tầng Ứng Dụng và Hạ Tầng
DNS (Domain Name System)
DNS chịu trách nhiệm phân giải tên miền sang địa chỉ IP. Quá trình này có thể là phân giải xuôi (tên sang IP) hoặc ngược (IP sang tên). File hosts trên máy tính có ưu tiên cao hơn DNS server trong việc phân giải tên. Các lệnh hỗ trợ gỡ lỗi bao gồm:
nslookup example.com
ipconfig /displaydns
ipconfig /flushdnsHTTP và HTTPS
HTTP là giao thức truyền tải siêu văn bản, hoạt động dưới dạng văn bản thuần (plaintext), dễ bị đánh cắp thông tin. HTTPS bổ sung lớp bảo mật SSL/TLS để mã hóa dữ liệu giữa client và server. Khi phân tích gói tin, lưu lượng HTTPS sẽ hiển thị dưới dạng dữ liệu mã hóa.
ARP (Address Resolution Protocol)
ARP dùng để ánh xạ địa chỉ IP sang địa chỉ MAC trong mạng cục bộ. Khi một thiết bị cần gửi dữ liệu, nó sẽ phát quảng bá yêu cầu ARP để tìm MAC của địa chỉ IP đích. Gratuitous ARP (ARP miễn phí) được dùng để phát hiện xung đột IP khi thiết bị vừa khởi động.
ICMP và Công Cụ Chẩn Đoán
Giao thức ICMP thường được sử dụng qua lệnh ping để kiểm tra kết nối. Lưu ý rằng ping thành công không đồng nghĩa với việc dịch vụ ứng dụng (như web) hoạt động bình thường vì chúng sử dụng các giao thức và cổng khác nhau.
Trường TTL (Time To Live) trong IP header giúp ngăn chặn gói tin lặp vô hạn trong mạng. Mỗi khi qua một router, TTL giảm 1. Khi TTL về 0, gói tin bị hủy. Công cụ tracert sử dụng cơ chế này để xác định đường đi của gói tin.
! Gửi gói ping với kích thước lớn để kiểm tra MTU
ping 192.168.1.1 -l 2000
! Gửi ping không cho phép phân mảnh
ping 192.168.1.1 -l 2000 -f
! Theo dõi đường đi không phân giải tên miền
tracert -d 8.8.8.8Phân Tích Gói Tin và Hiệu Suất Mạng
Các công cụ như Wireshark hoặc Colasoft cho phép bắt và phân tích gói tin trực tiếp trên card mạng. Việc hiểu rõ cấu trúc khung tin (frame) và các trường thông tin như Source/Dest MAC, IP, Port là kỹ năng bắt buộc.
Hiệu suất mạng được đánh giá qua hai chỉ số chính:
- Bandwidth (Băng thông): Lượng dữ liệu truyền tải trên một đơn vị thời gian (bps).
- Latency (Độ trễ): Thời gian để gói tin đi từ nguồn đến đích (ms).
Độ trễ cao thường ảnh hưởng lớn đến trải nghiệm thời gian thực như game hay thoại hơn là băng thông thấp. CDN (Content Delivery Network) là giải pháp giúp giảm độ trễ bằng cách lưu trữ nội dung gần người dùng hơn.
Bảo Mật và Kiểm Soát Truy Cập
ACL (Access Control List) cho phép lọc lưu lượng dựa trên địa chỉ IP, cổng hoặc giao thức. Ví dụ, để chặn một dịch vụ cụ thể chạy trên cổng UDP 8000, có thể áp dụng cấu hình sau:
! Cấu hình ACL nâng cao trên thiết bị Huawei
acl number 3005
rule 5 deny udp destination-port eq 8000
! Áp dụng ACL vào interface
interface GigabitEthernet 0/0/1
traffic-filter inbound acl 3005Các cổng dịch vụ phổ biến cần được giám sát chặt chẽ để tránh các cuộc tấn công quét端口 hoặc brute-force. Firewall thường được sử dụng ở biên mạng để bảo vệ các vùng tin cậy.
Mô Phỏng và Thực Hành
Việc sử dụng các phần mềm mô phỏng như GNS3, EVE-NG hoặc Cisco Packet Tracer là cần thiết để xây dựng môi trường lab mà không cần phần cứng vật lý. Các file ảnh IOS hoặc firmware của thiết bị cần được chuẩn bị đúng phiên bản để đảm bảo tính tương thích của các tính năng mạng.
Quá trình truyền dữ liệu hoàn chỉnh đòi hỏi sự phối hợp giữa nhiều tầng: từ việc đóng gói dữ liệu ở tầng ứng dụng, thêm thông tin định tuyến ở tầng mạng, đóng khung ở tầng liên kết dữ liệu và cuối cùng là truyền tín hiệu ở tầng vật lý. Việc giải đóng gói diễn ra ngược lại tại thiết bị nhận.