ĐẠI HỌC QUỐC GIA TP.

HCM TRƯỜNG ĐẠI HỌC

KHOA HỌC TỰ NHIÊN
KHOA ĐIỆN TỰ - VIỄN THÔNG

TÓM TẮT NỘI DUNG MÔN HỌC

TIỂU LUẬN MÔN CÔNG NGHỆ MẠNG

GV.ThS. Trần Thị Huỳnh Vân

HỌ VÀ TÊN MSSV

NGUYỄN PHÙNG HIẾU 18200103

1 – Năm 2021
TP.Hồ Chí Minh
 MỤC LỤC

MỤC LỤC...................................................................................................................................... 1
Bài 1: ACTIVE DIRECTORY .................................................................................................... 3
I. Các loại mô hình mạng ........................................................................................................ 3
II. Active directory ................................................................................................................... 3
III. Cấu trúc của active directory ............................................................................................ 4
IV. Operations master roles .................................................................................................... 5
V. Quá trình chứng thực trong ad ............................................................................................. 5
BÀI 2: QUẢN LÝ TÀI KHOẢN NGƯỜI DÙNG VÀ NHÓM ................................................. 5
I. Các loại tài khoản................................................................................................................. 5
II. Các loại tài khoản người dùng ............................................................................................. 6
III. Chứng thực và kiểm soát truy cập .................................................................................... 6
IV. Các loại tài khoản nhóm ................................................................................................... 6
V. Quản lý tài khoản người dùng và nhóm cục bộ ................................................................... 6
VI. Chính sách tài khoản người dùng ..................................................................................... 6
BÀI 3: TẠO VÀ QUẢN LÝ THƯ MỤC DÙNG CHUNG ........................................................ 7
I. Tạo và chia sẻ các thư mục dùng chung .............................................................................. 7
II. Quản lý các thư mục dùng chung ........................................................................................ 7
III. Quyền truy cập NTFS ...................................................................................................... 7
IV. Distributed File System (DFS) ......................................................................................... 8
BÀI 4: CHÍNH SÁCH BẢO MẬT VÀ CHÍNH SÁCH HỆ THỐNG ...................................... 8
I. Chính sách bảo mật (Security Policy) .................................................................................. 8
II. Chính sách nhóm (Group Policy) ........................................................................................ 9
BÀI 5: DỊCH VỤ DHCP............................................................................................................. 10
I. Dynamic Host Configuration Protocol (DHCP) ................................................................ 10
II. DHCP Operation ................................................................................................................ 10
BÀI 6: DỊCH VỤ NAT ............................................................................................................... 11
I. Tổng quan về NAT ............................................................................................................ 11
II. Dynamic Mapping and Static Mapping ............................................................................. 11
BÀI 7: DỊCH VỤ DNS ................................................................................................................ 12

1
 I. Khái niệm về DNS ............................................................................................................. 12
II. Domain namespace ............................................................................................................ 12
III. Dịch vụ DNS .................................................................................................................. 12
BÀI 8: MẠNG WANS ................................................................................................................ 13
I. Tổng quát ........................................................................................................................... 13
II. Định nghĩa WAN Technology ........................................................................................... 13
III. Mạng chuyển mạch WAN .............................................................................................. 14
BÀI 9: DỊCH VỤ VPN ................................................................................................................ 14
I. VPN và lợi ích.................................................................................................................... 14
II. Các loại VPN ..................................................................................................................... 15
III. Các thành phần trong VPN............................................................................................. 15
BÀI 10: FRAME RELAY .......................................................................................................... 16
I. Giới thiệu ........................................................................................................................... 16
II. Frame Relay WAN ............................................................................................................ 16
III. VC (Virtual Circuits) ...................................................................................................... 16

2
 Bài 1: ACTIVE DIRECTORY

I. Các loại mô hình mạng

1. Mô hình workgroup
- Nhóm luận lý các thiết bị và các tài nguyên mạng để cung cấp tài nguyên cho nhau
- Còn được gọi là mô hình peer to peer
- Các máy tính trong mạng có vai trò như nhau, các máy tính tự bảo mật và quản lý tài
nguyên
- Ưu điểm:
• Hệ điều hành không cần chức năng nâng cao, chuyên dụng
• Không cần server mạnh
• Hệ thống đơn giản, rẻ tiền
• Không cần quản trị mạng
- Nhược điểm:
• Không có khả năng quản lý tập trung
• Khả năng mở rộng hệ thống kém
• Độ an toàn và tính bảo mật không cao
2. Mô hình Domain
- Là một tập hợp các máy tính dùng chung một nguyên tắc bảo mật và CSDL tài khoản
người dùng
- Hoạt động theo cơ chế client – server. Ít nhất một server làm chức năng quản lý, điiều
khiển
- Ưu điểm:
• Có khả năng quản lý tài nguyên mạng tập trung
• Hệ thống domain là một cấu trúc phân cấp và có tính bảo mật cao
II. Active Directory
1. Dịch vụ Directory (Direcory Service)
- Là dịch vụ mạng, có nhiệm vụ xác định tất cả các tài nguyên trên mạng và làm cho
thông tin luôn sẵn sàng đến users và các ứng dụng. Cung cấp một cách phù hợp về tên,
mô tả, vị trí, truy cập, quản lý và thông tin bảo mật tài nguyên.
2. Active Directory
- Là dịch vụ directory trong hệ thống Windows Server có trách nhiệm:
• Xác định nguồn tài nguyên mạng.
• Cung cấp một cách phù hợp về : tên, mô tả, vị trí, truy cập, quản lý, bảo mật.
- Lợi ích:
• Tích hợp sẵn DNS: AD dùng việc chuyển đổi tên bằng dịch vụ DNS để tạo ra một
cấu trúc phân tầng với một cách nhìn thân thiện, có thứ tự và có khả năng mở rộng
các kết nối mạng.
• Khả năng mở rộng: AD được tổ chức thành các section cho phép lưu trữ một số lượng
lớn các object, vì vậy có khả năng mở rộng khi tổ chức phát triển
• Quản lý tập trung: AD cho phép người quản trị quản lý việc phân phối đến các máy
tính các dịch vụ mạng và những ứng dụng từ vị trí trung tâm với một giao diện quản

3
 lý phù hợp. AD cũng cho phép người sử dụng single sign-on để tăng sự truy cập đầy
đủ đến tài nguyên thông qua AD
• Ủy quyền quản trị: Cấu trúc phân tầng của AD cho phép ủy quyền quản trị những
phân tầng đặc biệt nào đó cho các user được chứng thực bởi quyền quản trị. Giúp
giảm trách nhiệm, công việc của quản trị viên và tăng khả năng quản trị
III. Cấu trúc của active directory
1. Cấu trúc luận lý
1.1 Object:
- Thành phần cơ bản nhất
- Object Class: Là một bản thiết kế chi tiết hoặc là các bản mẫu xác định các loại Object
có thể được tạo ra trong AD. Mỗi Object Class được định nghĩa bởi một nhóm các
thuộc tính. Các thuộc tính xác định các giá trị có thể dược liên kết với một đối tượng.
1.2 Organizational Unit (OU)
- Là một loại container object dùng để tổ chức các object trong domain. Một đơn vị tổ
chức có thể có nhiều object như user account, computer, printer, group và những OU
khác
- Lợi ích:
• Có khả năng nhận ủy quyền quản trị: quản trị mạng có thể phân quyền điều khiển,
quản trị đầy đủ hoặc giới hạn đối với tất cả object trong OU
• Đơn giản hóa quản lý tài nguyên nhóm chung: quản trị viên tạo ra những container
trong một domain, đại diện cho cấu trúc phân tầng hoặc logical dựa vào mô hình tổ
chức yêu cầu
1.3 Domain
- Là đơn vị cốt lõi
- Là tập hợp các Object chia sẽ một cơ sỡ dữ liệu chung, các chính sách bảo mật
- Chức năng:
• Đóng vai trò như một khu vực quản trị các Object
• Giúp quản lý bảo mật đối với các tài nguyên được chia sẻ
• Cung cấp các server dự phòng (ADC) và đảm bảo thông tin trên các server đồng bộ
với nhau
1.4 Domain Tree
- Là một nhóm nhiều domain liên kết với nhau theo cấu trúc phân tầng
- Domain đầu tiên là Parent Domain, từ Domain thứ hai là Child Domain
- Các Domain cùng Tree chia sẻ một không gian tên DNS liền kề
1.5 Forest
- Là một tập hợp gồm một hoặc nhiều domain tree
- Forest chia sẻ chung các cấu hinh, schema và global catalog….
- Domain đầu tiên trong Forest gọi là Forest Root Domain.
2 Cấu trúc vật lý
- Là phần tách rời và khác biệt với cấu trúc AD luận lý
- Cho phép người quản trị mạng tối ưu hóa lưu lượng mạng bằng cách xác định vị trí và
thời gian đang diễn ra đồng bộ cơ sỡ dữ liệu cũng như lưu lượng đăng nhập.
2.1. Domain Controller (DC)
4
 -Là một server cài hệ điều hành Windows Server và dịch vụ AD
-Mỗi DC đều có chức năng lưu trữ và đồng bộ, một DC chỉ hỗ trợ 1 Domain, sử dụng
nhiều DC để Domain có tính sẵn sàng cao
2.2. Sites
- Là một nhóm các máy tính có kết nối ổn định với nhau
- Khi các site được thiết lập, những DC từng site đơn sẽ giao tiếp với nhau thường xuyên
giúp giảm độ trễ bên trong site.
- Độ trễ: thời gian 1 DC này replicate với những DC khác khi có thay đổi trong hệ thống
➢ Kết luận: khi lên kết hoạch xây dựng hệ thống mạng phải xem xét làm sao để kết hợp
cấu trúc vật lý và cấu trúc luận lý một cách phù hợp nhất
IV. Operations master roles
- Các operation được nhóm lại với những vai trò xác định trong forest hoặc trong
domain. Những vai trò này được gọi là operation master roles
- Mỗi Operations Master Role, chỉ có duy nhất DC giữ vai trò liên quan đến sự thay đổi
của directory. DC có trách nhiệm cho một vai trò cụ thể được gọi là Operation Master
1. Schema Master
2. Domain Naming Master
3. Primary Domain Controller Emulator
4. Relative Identifier Master
5. Infrastructure Master
V. Quá trình chứng thực trong ad
1. User nhập thông tin tại mạng trên máy workstation để đăng nhập vào hệ thống mạng.
2. Các thông tin được mã hóa bởi client và gửi đến DC trong domain của client.
3. Thông tin đã mã hóa được gửi đến Key Distribution Center (KDC) (tích hợp trên
DC). Nếu các thông tin gửi đến trùng với các thông tin được lưu trữ trên KDC, quá
trình chứng thực sẽ tiếp tục.
4. DC tạo ra 1 danh sách các nhóm trong domain mà User là thành viên
5. DC truy vấn Global Catalog để xác định thêm các Universal Group mà user là thành
viên
6. KDC cấp cho client Ticket-Granting Ticket (TGT). TGT chứa SIDs đã được mã hóa
của các nhóm mà User là thành viên.

BÀI 2: QUẢN LÝ TÀI KHOẢN NGƯỜI DÙNG VÀ NHÓM

I. Các loại tài khoản

1. User account (tài khoản người dùng)
- Người dùng nhập tên và mật khẩu của mình chỉ một lần khi đăng nhập vào một máy
trạm để truy cập xác thực vào các nguồn tài nguyên mạng
2. Computer accounts (tài khoản máy tính)
- Khi PC chạy hệ điều hành Microsoft Windows tham gia Domain
- Cung cấp một cách để xác thực, kiểm toán máy tính truy cập vào mạng và tài nguyên
Domain
5
 3. Group account (tài khoản nhóm)
- Là tập hợp các tài khoản người dùng, máy tính, các nhóm khác
- Giúp quản lý hiệu quả việc truy cập vào tài nguyên Domain, giúp đơn giản hóa quản lý.
- Giúp gán quyền cho các tài nguyên chia sẻ chỉ một lần cho từng người dùng cá nhân.
II. Các loại tài khoản người dùng
1. Local User Account: cho phép người dùng đăng nhập vào một máy tính cụ thể để truy
cập vào tài nguyên trên máy tính đó. Được tạo ra trong CSDL Local Security và là
duy nhất trên các máy tính
2. Domain User Account: cho phép người dùng đăng nhập vào domain hoặc đăng nhập
vào một máy tính các nhân để truy cập tài nguyên. Được tạo ra trong dịch vụ AD trên
máy DC. Cung cấp khả năng chứng thực bằng Access Token (SSO)
3. Built-in User Account: Được tạo ra sẵn tại các máy tính cũng như trên AD. Cho phép
người dùng thực hiện các nhiệm vụ quản lý. Cấp phép truy cập tạm thời vào các tài
nguyên mạng
III. Chứng thực và kiểm soát truy cập
- Các giao thức chứng thực
• NT LAN Manager (NTLM): là giao thức chứng thực chính của windows NT
• Kerberos V5: là giao thức chuẩn Internet dùng để chứng thực người dùng và hệ
thống
• Secure Socker Layer/Transport Layer Security (SSL/TLS): là cơ chế chứng thực
chính được dùng khi truy cập vào các máy chủ (Web, Mail,..)
IV. Các loại tài khoản nhóm
- Distribution groups: là nhóm phi bảo mật, không có SID, không xuất hiện trọng ACL.
Chỉ được sử dụng cho các ứng dụng Email…..
- Security groups: dùng để định các quyền hệ thống và quyền truy cập cho các thành viên
trong Domain Forest, mỗi nhóm bảo mật có SID riêng
- Các phạm vi nhóm: có 2 nhóm phân phối và nhóm bảo mật đều sẽ hỗ trợ một trong 2
phạm vi nhóm
• Domain local
• Golobal
• Univarsal
- Ngoài ra trên mỗi Computer có một phạm vi nhóm riêng: Machine Local
V. Quản lý tài khoản người dùng và nhóm cục bộ
1. Các cách tạo và quản lý người dùng
- Active Directory Users and Computers: được dùng để quản lý các tài khoản người
dùng, tài khoản máy tính và tài khoản nhóm với số lượng tài khoản ít
- Directory Service Tool: dùng command line tools để quản lý tài khoản trong AD
- Csvde Tool (Comma Separated Value Data Exchange): Chỉ dùng để thêm user hoặc đối
tượng trong AD
- LDIFDE Tool (LDAP Data Interchange Format Data Exchange): sử dụng một định
dạng giá trị cách dòng để tạo, chỉnh sửa và xóa các đối tượng trong AD
- Windows Script Host: được tạo bởi ADSI để tạo, chỉnh sửa và xóa các đối tượng AD
VI. Chính sách tài khoản người dùng

6
User must change assword at next logon
User cannot change password
Password never expires
Account is disabled
Smart card is required for interactive login
Account is trusted for delegation
Account is sensitive and cannot be delegate
Use DES encryption types for this account
Do not require Kerberos preauthentication
User phải thay đổi mật khẩu lần đăng nhập kế tiếp
Ngăn không cho người dùng tùy ý thay đổi mật khẩu
Mật khẩu của tài khoản này không bao giờ hết hạn
Tài khoản này tạm thời bị khóa, không sử dụng được.
không cần username và password, chỉ cần mã PIN
Giảnh được quyền truy cập vào tài nguyên với vai trò
những tài khoản người dùng khác.
Dùng cho tài khoản vãn lại hoặc tạm
Hỗ trợ Data Encryption Standard (DES) với nhiều
mức độ
Dùng Kerberos khác với window server 2003

BÀI 3: TẠO VÀ QUẢN LÝ THƯ MỤC DÙNG CHUNG

I. Tạo và chia sẻ các thư mục dùng chung

- Để chia sẻ thư mục, phải đăng nhập bằng tài khoản thuộc nhóm Administrators hoặc
nhóm Server Operators
- Quyền truy cập thư mục dùng chung: dùng để cấp quyền truy xuất tài nguyên chia sẽ
qua mạng
• Không có tác dụng khi truy cập cục bộ
- Các quyền chia sẻ share permission:
• Full Control: cho phép người dùng toàn quyền truy cập
• Change: cho phép người dùng thay đổi dữ liệu và xóa trên tập tin hoặc thư mục con
• Read: cho phép người dùng xem và thi hành các tập tin
- Chia sẻ thư mục bằng lệnh net share
II. Quản lý các thư mục dùng chung
- Liệt kê các thư mục đang được chia sẻ
- Xem các phiên làm việc trên thư mục dùng chung
- Xem các tập tin đang mở trong thư mục dùng chung
III. Quyền truy cập NTFS
- Phân quyền NTFS: Là giới hạn quyền truy cập vào các dữ liệu được lưu trên ổ đĩa được
định dạng theo tiêu chuẩn NTFS đối với từng đối tượng người dùng
- Định dạng NTFS: là định dạng mang tính bảo mật cao có khả năng nén, mã hóa dữ liệu
- Quyền NTFS được áp đặt vào các đối tượng người dùng bằng các cách:
• Gán quyền trực tiếp bởi: Administator, Owner và các đối tượng có toàn quyền với thư
mục
• Được thừa kế: từ thư mục chứa đựng lớn hơn hoặc từ nhóm chứa đối tượng người
dùng
- Kế thừa quyền NTFS: các quyền gán cho thư mục cha được kế thừa xuống thư mục con

7
 - Ngăn chặn kế thừa quyền: hủy các quyền được kế thừa, chỉ giữ lại các quyền được gán
có chủ đích
IV. Distributed File System (DFS)
1. Mục đích
- Cung cấp giải pháp đơn giản để truy cập các thông tin trong mô hình địa lý phân tán
của một tổ chức bằng cách thiết lập 2 hay nhiều server cung cấp cùng 1 nguồn dữ liệu
- Cung cấp khả năng đồng bộ giữa các server thông qua mạng WAN
➢ Với mô hình DFS, khi có các yêu cầu truy cập tài nguyên từ bên ngoài vào DFS thì hệ
thống sẽ tự phân chia đều các yêu cầu cho các Server bên trong DFS
2. Thành phần
- DFS Namspaces: cho phép người quản trị nhóm các thư mục share nằm rời rạc trên các
file server vào một thư mục đại diện trong hệ thống mạng
- DFS Replication: cung cấp tính sẵn sàng cao và khả năng chịu lỗi cho thư mục và dữ
liệu
- Remote Differential Compression: cung cấp công nghệ nén dữ liệu để truyền tải dữ liệu
qua mạng băng thông thấp
3. Nguyên tắc hoạt động
- Client truy cập vào thư mục bằng namespace, máy tính sẽ kết nối với Namspace Server
và nhận được “lời mời” gồm danh sách các server đang chia sẻ thư mục
- Client truy cập đến Server phù hợp
- Các máy server được đồng bộ với nhau thông qua DFS Replicate kết hợp với nén dữ
liệu.

BÀI 4: CHÍNH SÁCH BẢO MẬT VÀ CHÍNH SÁCH HỆ THỐNG

I. Chính sách bảo mật (Security Policy)

1. Security Policies
- Là các chính sách áp dụng cho các tài khoản người dùng trong máy nội bộ (Local
security polocy) hoặc các máy trong Domain (Domain security policy) nhằm tăng
cường khả năng phòng chống trước các nguy cơ bảo mật.
- Là nền tảng trong việc bảo toàn thông tin cho một tổ chức.
- Các nguy cơ ảnh hưởng gây mất dữ liệu gồm: các yếu tố tự nhiên, virus, lỗi người
dùng, sự cố phần mềm, sự cố phần cứng và hệ thống
- Các nguy cơ bị đánh cắp dữ liệu: tấn công từ bên trong và bên ngoài.
- Các phạm vi áp đặt chính sách bảo mật
- Các người dùng trong hệ thống.
• Giới hạn sử dụng đĩa mềm/CD/Flash Drives (USB)
• Các quy định về password
• Backup dữ liệu thường xuyên
• Các chính sách về truy cập dữ liệu
• Các chính sách truy cập mạng

8
 • Thông báo đến người dùng về quyền hạn cũng như “đào tạo cơ bản” cho người dùng
để tự bảo vệ
- Quản trị hệ thống
• Hạn chế quyền truy cập thay đổi/nâng cấp phần cứng
• Kiểm soát điều khiển truy cập (access control)
• Qui định các chính sách về phần mềm
• Chính sách backup-restore
- Audit policy: cho phép thiết lập các chính sách giám sát các đổi tượng người dùng
- User right assignment: cấp quyền hạn cho người dùng trên máy cục bộ
- Security options: xác định các chính sách bảo mật trên máy cục bộ
II. Chính sách nhóm (Group Policy)
- Là tập các thiết lập chính sách cấu hình cho computer và user
- Xác định cách thức để các chương trình, tài nguyên mạng và hệ điều hành làm việc với
người dùng và máy tính trong 1 tổ chức.
- Các Group Policy chỉ có thể hiện hữu trên Active Directory (AD).
- Các Group Policy thì được áp dụng lúc máy trạm được khởi động, lúc máy khách đăng
nhập, và vào những thời điểm ngẫu nhiên khác.
- Các Group Policy tự động mất tác dụng đối với máy trạm khi chúng được xóa bỏ khỏi
miền AD.
- Người quản trị mạng có được nhiều mức độ kiểm soát đối với vấn đề ai được hoặc
không được nhận một Group Policy nào đó.
- Group Policy chủ yếu chỉ được áp dụng cho các site, domain và OU (Organizational
Unit).
- Trên mỗi máy Windows cũng có một bộ chính sách nhóm cục bộ (Local Group Policy),
sẽ được áp dụng khi máy đó không tham gia vào miền AD, và phạm vi tác dụng chỉ
trên nội bộ máy tính đó.
- Các GPO được lưu trữ một phần trong cơ sở dữ liệu. Active Directory và một phần
trong share SYSVOL
- GPO cục bộ của mỗi máy win2k/xp pro/wins2k3 nằm trong thư mục:
%windir%\System32\groupPolicy
- Các chức năng của group policy:
• Triển khai phần mềm ứng dụng
• Gán các quyền hệ thống cho người dùng
• Giới hạn những ứng dụng mà người dùng được phép thi hành
• Kiểm soát các thiết lập hệ thống
• Kiểm soát các kịch bản đăng nhập, đăng xuất, khởi động, và tắt máy.
• Đơn giản hoá và hạn chế các chương trình
• Hạn chế tổng quát màn hình Desktop của người dùng
- Group policy object là 1 nhóm các cấu hình group policy
- Phần loại:
• Local GPO:
o Một Local GPO được lưu trên mỗi máy cho dù máy tính đó có là thành viên trong
môi trường Active Directory hoặc không.

9
 o Được lưu trữ tại: %systemroot%\system32\GroupPolicy.
o Một local GPO chỉ ảnh hướng đến máy tính đang lưu trữ nó.
o Các thiết lập của local GP có thể bị ghi dè bởi non-local GP
• Non – local GPO:
o Non – local GPO được tạo ra trong AD
o Lưu trữ tại %Systemroot%\Sysvol\sysvol\DomainName\Policies\GPOGUID\Adm
- Có 2 loại Group Policy Settings:
• Computer Configuration: chứa các thiết lập mà group policy áp dụng cho các máy
tính và không quan tâm đến ai đăng nhập vào máy tính đó.
• User Configuration: chứa các thiết lập mà group policy áp dụng cho người dùng và
không quan tâm đến người dùng đó đăng nhập từ máy tính nào
- Cả 2 mục Computer và User Configuration chứa các thiết lập về: chính sách về phần
mềm, chính sách hệ điều hành WS 2003, các Registry
- Các GPOs được áp dùng theo trình tự sau:
• Local GPO
• Các GPO liên kết với Site
• Các GPO liên kết với Domain
• Các GPO liên keeys với OU.
- Sự kế thừa GP:
• Áp dụng xuống từ container cha đến tất cả container con bên trong một domain
• Domain con không kế thừa Group Policy từ domain cha

BÀI 5: DỊCH VỤ DHCP

I. Dynamic Host Configuration Protocol (DHCP)

- Mọi thiết bị kết nối với mạng đều cần địa chỉ IP
- Quản trị viên thường ưu tiên một máy chủ mạng cung cấp dịch vụ DHCP
• Mở rộng và quản lý tương đối dễ dàng
• Tại một chi nhánh nhỏ hoặc SOHO, một bộ định tuyến Cisco có thể được cấu hình để
cung cấp dịch vụ DHCP mà không cần đến một máy chủ chuyên dụng đắt tiền.
II. DHCP Operation
1. Address Allocation Methods
- Manual: Địa chỉ IP cho máy khách được cấp phát trước bởi quản trị viên và DHCP
chuyển địa chỉ tới máy khách.
- Automatic: DHCP tự động gán địa chỉ IP vĩnh viễn cho máy khách mà không cần
thời gian thuê.
- Dynamic: DHCP chỉ định hoặc cho thuê địa chỉ IP cho khách hàng trong một khoảng
thời gian giới hạn.
2. Dynamic Allocation
- DHCP hoạt động ở chế độ Server/Client.
• Khi Client kết nối, Server sẽ gán hoặc cho thuê địa chỉ IP cho thiết bị.
• Thiết bị kết nối với mạng bằng địa chỉ IP đã thuê đó cho đến khi hết thời gian thuê.
• Client lưu trữ phải liên hệ với Server DHCP theo định kỳ để gia hạn hợp đồng thuê.

10
 •Việc cho thuê địa chỉ đảm bảo rằng các địa chỉ không còn được sử dụng sẽ được trả
lại cho nhóm địa chỉ để các thiết bị khác sử dụng.
- Thực hiện 4 bước:
• DHCP DISCOVER: Client phát broadcast DHCP DISCOVER .Gói tin DHCP
DISCOVER tìm các DHCP Server trên mạng.
• DHCP OFFER: Server phản hồi bằng DHCP OFFER. Gói tin DHCP OFFER được
gửi dưới dạng unicast và chứa một địa chỉ IP có sẵn để thuê.
• DHCP REQUEST: Client phản hồi bằng một bản tin DHCP REQUEST dưới dạng
broadcast. Khi được sử dụng để xin thuê, nó đóng vai trò như một thông báo chấp
nhận đối với máy chủ đã chọn và một sự từ chối ngầm đối với bất kỳ server nào
khác. Cũng được sử dụng để gia hạn và xác minh hợp đồng thuê.
• DHCP ACK: Server xác minh thông tin cho thuê và phản hồi bằng gói tin DHCP
ACK. Client ghi lại thông tin và gửi yêu cầu ARP để xác minh rằng địa chỉ là duy
nhất.
3. DHCP Server
- Gán địa chỉ cho một máy khách yêu cầu.
4. DHCP Relay Agent
- DHCP relay agents là thiết bị trung gian để chuyển tiếp yêu cầu giữa DHCP client và
DHCP server. DHCP relay agents thường được dùng trong các hệ thống mạng lớn và
phức tạp, không phổ biến ở các mạng thông thường.

BÀI 6: DỊCH VỤ NAT

I. Tổng quan về NAT

- Các bộ định tuyến hỗ trợ NAT giữ lại một hoặc nhiều địa chỉ IP Internet hợp lệ bên
ngoài mạng.
- Khi máy khách gửi gói tin ra khỏi mạng, NAT sẽ chuyển đổi địa chỉ IP nội bộ của máy
khách sang địa chỉ bên ngoài. Đối với người dùng bên ngoài, tất cả lưu lượng truy cập
đến và đi từ mạng có cùng địa chỉ IP hoặc từ cùng một nhóm địa chỉ.
- Khi một máy chủ trên mạng bên trong muốn truy cập một máy chủ ở mạng bên ngoài,
gói tin sẽ được gửi đến bộ định tuyến cổng biên. Bộ định tuyến cổng biên thực hiện quá
trình NAT, chuyển đổi địa chỉ bên trong sang địa chỉ công cộng bên ngoài.
II. Dynamic Mapping and Static Mapping
1. Dynamic Mapping
- Ánh xạ tự động các địa chỉ cục bộ thành một nhóm các địa chỉ chung. Các máy chủ có
thể sử dụng NAT bị giới hạn bởi số lượng địa chỉ trong phạm vi. .
- Thiết bị NAT tự động chỉ định một địa chỉ khi nhận được yêu cầu. Khi một phiên kết
thúc, địa chỉ được trả về nhóm cho một người dùng khác.
2. Static Mapping
- Ánh xạ 1-1 của các địa chỉ cục bộ và toàn cầu. Các máy chủ có thể sử dụng NAT bị
giới hạn bởi việc gán địa chỉ tĩnh trong bảng.

11
 3. NAT Overload (PAT - Port AddressTranslation)
- Thực hiện ánh xạ nhiều địa chỉ IP thành một địa chỉ (many - to - one) và sử dụng các
địa chỉ số cổng khác nhau để phân biệt cho từng chuyển đổi.

BÀI 7: DỊCH VỤ DNS

I. Khái niệm về DNS

- Các thiết bị mạng muốn giao tiếp với nhau cần biết địa chỉ (IP) của nhau.
- Tên thường dễ nhớ hơn địa chỉ đối với người dùng.
- Cần có cơ chế phân giải tên thành địa chỉ
- Host Name: là tên DNS (DNS Name) của thiết bị trong mạng.
- FQDN - Fully Qualified Domain Name: là tên miền DNS (DNS domain name) được
quy định rõ ràng để chỉ ra vị trí tuyệt đối của thiết bị trong không gian domain (domain
namespace tree).
II. Domain namespace
- Domain namespace là các tên miền được sắp xếp phân tầng theo cấu trúc dạng cây, DNS
dùng nó để xác định vị trí của host trong cây từ gốc đến các level thấp hơn.
- Dấu (.) được dùng để ngăn mỗi subdomain con từ level domain cha của chúng.
- NetBIOS Name: Là một tên xác định được sử dụng bởi dịch vụ NetBIOS chạy
trên PC. .
III. Dịch vụ DNS
1. Khái niệm
- Là dịch vụ quản lý tên miền, cho phép ánh xạ giữa địa chỉ IP và tên miền.
- Hoạt động theo mô hình Client-Server.
- Cơ sở dữ liệu DNS được phân tán trên nhiều Name Server trên internet
- Domain được phân bổ theo cơ chế phân tầng
2. ICANN
- Là cơ quan phi lợi nhuận
- Là cơ quan Internet về quản lý tập trung số liệu và tên miền.
- Quản lý và phân phối không gian địa chỉ IP.
- Quản lý các tham số giao thức (protocol) và số port.
- Quản lý không gian tên miền (DNS) cấp cao nhất (root và top-level domain)
3. INTERNIC
- Là kênh thông tin (website) được tổ chức bởi ICANN nhằm cung cấp các thông tin về
dịch vụ đăng ký tên miền ngoài internet
- Giữ 2 nhiệm vụ:
• Theo dõi người sử dụng domain name, tránh sử dụng trùng.
• Cho phép thực hiện công việc tìm kiếm mọi kiểu thông tin khác nhau để hỗ trợ
đăng ký domain (đơn vị nào giữ nhiệm vụ cấp, e-mail addresses của những người
quản trị máy chủ Internet...).
4. Truy vấn trong DNS
- Truy vấn là quá trình gởi yêu cầu phân giải tên miền tới DNS Server, có hai loại truy
vấn:

12
 • Truy vấn đề quy (recursive query)
• Truy vấn tương tác (Iteractive query).
- Truy vấn đệ qui
• DNS client gởi truy vấn đến DNS server, và DNS server bắt | buộc phải cung cấp
đầy đủ thông tin cho truy vấn hoặc thông | báo lỗi nếu truy vấn không phân giải
được
- Tuy vấn tương tác
• Truy vẫn được gửi tới DNS server trong đó DNS client yêu cầu DNS server cung
cấp thông tin tốt nhất mà nó có chứ không tìm sự trợ giúp từ Name server khác.
ACK của Iterative Query thường tham chiếu đến DNS server con trong DNS tree.
- Forwarder: Cung cấp cơ chế chuyển yêu cầu truy vấn từ internal DNS servers ra ngoài
external DNS server
- Caching DNS Server
• Caching là tiến trình lưu trữ tạm một số thông tin phân giải trước để cung cấp cho
các lần phân giải sau này nhằm làm tăng tốc quá trình phân giải tên miền
5. Phân loại DNS Server

BÀI 8: MẠNG WANS

I. Tổng quát
- Mạng WAN là mạng truyền thông dữ liệu hoạt động ngoài phạm vi địa lý của mạng
LAN.
- Kết nối các thiết bị cách nhau bởi một khu vực địa lý rộng hơn mạng LAN.
- Sử dụng các nhà mạng (công ty điện thoại, công ty cáp, nhà cung cấp mạng).
- Sử dụng kết nối nối tiếp nhiều loại khác nhau.
II. Định nghĩa WAN Technology
- Các giao thức liên kết dữ liệu WAN phổ biến nhất là:
• HDLC
• PPP

13
 • Frame Relay
• ATM
• MPLS
- Việc lựa chọn các giao thức đóng gói phụ thuộc vào công nghệ WAN và thiết bị.
• Hầu hết các khung hình đều dựa trên tiêu chuẩn HDLC.
• Dữ liệu được đóng gói với một số dạng thông tin tiêu đề và trường FCS.
• Toàn bộ khung sau đó được đóng gói bằng các trường Flag để chỉ ra phần đầu và
phần cuối của khung.
III. Mạng chuyển mạch WAN
- Circuit Switched.
• POTS: Plain Old Telephone Service
• ISDN: Integrated Services Digital Network
- Packet Switched.
• X.25
• Frame relay
• ATM: Asynchronous Tranfer Mode
1. Circuit Switched.
- Mỗi thiết bị được ghép kênh được chỉ định một “khe thời gian” cụ thể trong khung.
- Tại mỗi khe thời gian, 8 bit được đọc từ mỗi thiết bị và một khung độ dài cố định được
xây dựng bằng cách sử dụng dữ liệu đó.
- Nếu không có gì để gửi cho khe thời gian đó, 8 bit rỗng được đặt trong khung cho thiết
bị đó.
2. Packet Switched.
- Là một loại kĩ thuật gửi dữ liệu từ máy tính nguồn tới nơi nhận qua mạng dùng một loại
giao thức thoả mãn 3 điều kiện sau:
• Dữ liệu cần vận chuyển được chia nhỏ ra thành các gói (hay khung) có kích thước
(size) và định dạng (format) xác định.
• Mỗi gói như vậy sẽ được chuyển riêng rẽ và có thể đến nơi nhận bằng các đường
truyền (route) khác nhau.
• Như vậy, chúng có thể dịch chuyển trong cùng thời điểm. Khi toàn bộ các gói dữ
liệu đã đến nơi nhận thì chúng sẽ được hợp lại thành dữ liệu ban đầu

BÀI 9: DỊCH VỤ VPN

I. VPN và lợi ích

1. VPN
- VPN tạo ra một mạng riêng qua cơ sở hạ tầng mạng public trong khi vẫn duy trì tính
bảo mật và an toàn.
- VPN sử dụng các giao thức đường hầm mật mã để cung cấp khả năng bảo vệ chống lại
việc đánh cắp gói, xác thực người gửi và tính toàn vẹn của thư.

14
 - Các tổ chức sử dụng VPN để cung cấp một mạng WAN ảo kết nối văn phòng chi nhánh
hoặc văn phòng gia đình, các trang web đối tác kinh doanh và thiết bị viễn thông từ xa.
2. Lợi ích
- Tiết kiệm chi phí:
• Các tổ chức có thể sử dụng phương tiện truyền thông Internet của bên thứ ba, tiết
kiệm chi phí để kết nối các văn phòng và người dùng từ xa với trang web chính của
công ty.
- Bảo mật:
• Các giao thức mã hóa và xác thực nâng cao bảo vệ dữ liệu khỏi bị truy cập trái phép.
- Khả năng mở rộng:
• Các tổ chức, lớn và nhỏ, có thể bổ sung một lượng lớn dung lượng mà không cần
thêm cơ sở hạ tầng đáng kể.
II. Các loại VPN
- VPN site-to-site
• VPN site-to-site là một phần mở rộng của mạng WAN cổ điển.
• VPN site-to-site kết nối toàn bộ mạng với nhau.
• Trong VPN site-to-site, các máy chủ gửi và nhận lưu lượng TCP / IP thông qua cổng
VPN.
• Cổng VPN đóng gói và mã hóa lưu lượng gửi đi và gửi nó qua một đường hầm
VPN.
• Khi nhận, cổng VPN ngang hàng sẽ tách các tiêu đề, giải mã nội dung và chuyển
tiếp gói tin.
- VPN Remote Access
• Hỗ trợ nhu cầu của người dùng viễn thông, người dùng di động, cũng như mạng
extranet giữa người dùng với doanh nghiệp.
• Mỗi máy chủ lưu trữ thường có phần mềm máy khách VPN hoặc SSL VPN. Phần
mềm đóng gói và mã hóa lưu lượng đó trước khi gửi qua Internet.
• Khi nhận, cổng VPN xử lý dữ liệu theo cách giống như cách xử lý dữ liệu từ VPN
site-to-site.
III. Các thành phần trong VPN
- Tunnelling:
Hãy coi VPN tunneling là một quá trình đóng gói và mã hóa dữ liệu.
• Đóng gói dữ liệu: Đóng gói là quá trình gói một gói dữ liệu Internet bên trong một
gói khác, giống như khi bạn đặt một lá thư bên trong một phong bì để gửi.
• Mã hóa dữ liệu: Tuy nhiên, chỉ có một tunnel là chưa đủ. Mã hóa làm xáo trộn và
khóa nội dung của bức thư, tức là dữ liệu của bạn, để bất kỳ ai cũng không thể mở và
đọc được ngoại trừ người nhận dự định.
- IPsec: là bộ giao thức bảo mật được sử dụng để xác thực và mã hóa dữ liệu qua mạng
VPN. Nó bao gồm các tiêu chuẩn để thiết lập kết nối giữa hai máy tính và trao đổi key
mật mã. Các key mã hóa dữ liệu, vì vậy chỉ các máy tính tham gia trao đổi mới có thể
mở key và xem dữ liệu.

15
 BÀI 10: FRAME RELAY

I. Giới thiệu
1. Tổng quan
- Các doanh nghiệp lớn, ISP và doanh nghiệp nhỏ sử dụng Frame Relay, vì giá cả và tính
linh hoạt của nó
- Giá: Frame-Relay giảm chi phí mạng bằng cách sử dụng Thiết bị ít hơn ,.
- Ít phức tạp hơn: Thực hiện dễ dàng hơn
- Linh hoạt: Cung cấp nhiều hơn về Băng thông, Độ tin cậy và Khả năng phục hồi hơn so
với đường dây riêng hoặc đường thuê riêng.
- Hiệu quả chi phí
2. Khái niệm
- Frame Relay là một dịch vụ truyền số liệu mạng diện rộng dựa trên công nghệ chuyển
mạch gói.
II. Frame Relay WAN
- Các cơ sở mạng WAN hiện đại cung cấp các đường truyền và dịch vụ đáng tin cậy hơn.
- Frame Relay không cung cấp khả năng sửa lỗi.
- Một nút Frame Relay chỉ đơn giản là thả các gói mà không cần thông báo khi nó phát
hiện ra lỗi (thông qua CRC tiêu chuẩn)
III. VC (Virtual Circuits)
- Là một kỹ thuật nối - chuyển dùng trong các mạng nhằm tận dụng ưu điểm của hai kỹ
thuật chuyển mạch gói và kỹ thuật chuyển mạch kênh.
- Phương thức hoạt động: Trên mỗi gói của một mạch ảo sẽ có chứa thêm thông tin (hay
chỉ số) để xác định mạch ảo đó và gọi là số mạch ảo (virtual circuit number) trong phần
đầu của nó
- Hai loại:
• Switched (SVC): được thiết lập động bằng cách gửi các bản tin thông báo đến
mạng (CALL SETUP, DATA TRANFER, IDLE, CALL TERMINATION) và mất
khi hoàn tất.
• Permanent (PVC): Được nhà cung cấp cấu hình sẵn và luôn hiện (chỉ hoạt động ở
chế độ chuyển dữ liệu và IDLE) được xác định bằng DLCIS (Số nhận dạng kết nối
liên kết dữ liệu).

16