Bạn có muốn phản ứng với tin nhắn này? Vui lòng đăng ký diễn đàn trong một vài cú nhấp chuột hoặc đăng nhập để tiếp tục.

Đăng Nhập

Quên mật khẩu

Latest topics

» Hướng dẫn sử dụng Pin Laptop hiệu quả -> Bảo đảm
Kiến thức cơ bản về Network EmptyTue Apr 19, 2011 10:24 am by Admin

» Sử dụng pin Laptop đúng cách
Kiến thức cơ bản về Network EmptyTue Apr 19, 2011 9:58 am by Admin

» Để sử dụng laptop bền lâu...
Kiến thức cơ bản về Network EmptyMon Apr 18, 2011 2:33 pm by Admin

» Bộ sưu tập các phần mềm Việt của Nguyễn Trung Tín (www.caulacbovb.com)
Kiến thức cơ bản về Network EmptyTue Jan 04, 2011 2:10 pm by gianggiangonline

» CÁP VÀ ĐẦU CÁP
Kiến thức cơ bản về Network EmptyTue Nov 23, 2010 7:48 pm by Admin

» Quá trình thiết lập một mạng không dây
Kiến thức cơ bản về Network EmptyFri Nov 19, 2010 7:29 pm by Admin

» Kiến thức cơ bản về mạng: Các tên phân biệt
Kiến thức cơ bản về Network EmptyFri Nov 19, 2010 7:07 pm by Admin

» Kiến thức cơ bản về mạng: Các nhóm bảo mật
Kiến thức cơ bản về Network EmptyFri Nov 19, 2010 6:59 pm by Admin

» Kiến thức cơ bản về mạng: Tạo các nhóm
Kiến thức cơ bản về Network EmptyFri Nov 19, 2010 6:50 pm by Admin

CÁP VÀ ĐẦU CÁP

Tue Nov 23, 2010 7:48 pm by Admin

CÁP VÀ ĐẦU CÁP

Trước đây, khi network mới xuất hịên ở Việt Nam, vì giá thành các thiết bị mạng như HUB, SWITCH ... rất mắc, nên khi muốn nối 2 hay nhiều máy tính lại với nhau, các kỹ sự thiết kế mạng ở VN dùng loại cáp đồng trục. Cáp này trong lõi chỉ có một sợi dây đồng, chạy một đường thẳng và có …


[ Full reading ]
Quá trình thiết lập một mạng không dây

Fri Nov 19, 2010 7:29 pm by Admin

Quá trình thiết lập một mạng không dây

Lúc này chắc hẳn nhiều bạn trong số chúng ta hẳn đều biết rằng, chỉ cần một laptop có hỗ trợ truy cập mạng không dây là bạn có thể ngồi bất cứ ở đâu đó trong địa điểm phủ sóng của một điểm truy cập không dây để truy cập vào mạng. Quả thực mạng không dây …


[ Full reading ]
Kiến thức cơ bản về mạng: Các tên phân biệt

Fri Nov 19, 2010 7:07 pm by Admin

Kiến thức cơ bản về mạng: Các tên phân biệt

Trước khi bắt đầu
Trước khi bắt đầu, chúng tôi muốn nhắc lại rằng các tên phân biệt không duy nhất có trong Active Directory. Microsoft đã xây dựng Active Directory để lợi dụng các chuẩn công nghiệp được sử dụng bởi nhiều công ty khác như Novell và IBM. Bằng cách …


[ Full reading ]
Kiến thức cơ bản về mạng: Các nhóm bảo mật

Fri Nov 19, 2010 6:59 pm by Admin

Kiến thức cơ bản về mạng: Các nhóm bảo mật

Trong bài phần trước chúng tôi đã giới thiệu cho các bạn cách tạo nhóm abảo mật trong Windows Server 2003. Khi giới thiệu những thứ đó, chắc hẳn bạn cũng đã thấy được rằng Windows sẽ cho phép tạo một số kiểu nhóm khác nhau như được thể hiện trong hình A. Quả …


[ Full reading ]
Kiến thức cơ bản về mạng: Tạo các nhóm

Fri Nov 19, 2010 6:50 pm by Admin

Kiến thức cơ bản về mạng: Tạo các nhóm

Trong phần trước của loạt bài này, chúng tôi đã giới thiệu cho các bạn cách sử dụng Active Directory Users and Computers console để tạo và quản lý tài khoản người dùng. Trong phần này, chúng tôi muốn tiếp tục giới thiệu cho bạn về các nhóm.

Trong môi trường miền, các tài …


[ Full reading ]

    Kiến thức cơ bản về Network

    Admin
    Admin
    Admin


    Tổng số bài gửi : 70
    Join date : 20/08/2010
    Age : 36
    Đến từ : THÀNH PHỐ ĐÀ LẠT

    Kiến thức cơ bản về Network Empty Kiến thức cơ bản về Network

    Bài gửi  Admin Fri Nov 19, 2010 6:24 pm

    Kiến thức cơ bản về Network

    Thành phần đầu tiên nên đề cập tới trong số các thiết bị phần cứng mạng là bộ điều hợp mạng (network adapter). Thiết bị này còn được biết đến với nhiều tên khác nhau như network card (card mạng), Network Interface Card (card giao diện mạng), NIC. Tất cả đều là thuật ngữ chung của cùng một thiết bị phần cứng. Công việc của card mạng là gắn một cách vật lý máy tính để nó có thể tham gia hoạt động truyền thông trong mạng đó.

    Điều đầu tiên bạn cần biết đến khi nói về card mạng là nó phải được ghép nối phù hợp với phương tiện truyền đạt mạng (network medium). Network medium chính là kiểu cáp dùng trên mạng. Các mạng không dây là một mảng khác và sẽ được thảo luận chi tiết trong một bài riêng sau.

    Để card mạng ghép nối phù hợp với phương tiện truyền đạt mạng là một vấn đề thực sự vì chúng đòi hỏi phải đáp ứng được lượng lớn tiêu chuẩn cạnh tranh bắt buộc. Chẳng hạn, trước khi xây dựng một mạng và bắt đầu mua card mạng, dây cáp, bạn phải quyết định xem liệu nên dùng Ethernet, Ethernet đồng trục, Token Ring, Arcnet hay một tiêu chuẩn mạng nào khác. Mỗi tiêu chuẩn mạng có độ dài và nhược điểm riêng. Phác hoạ ra cái nào phù hợp nhất với tổ chức mình là điều hết sức quan trọng.

    Ngày nay, hầu hết công nghệ mạng được đề cập đến ở trên đều nhanh chóng trở nên mai một. Bâu giờ chỉ có một kiểu mạng sử dụng dây nối còn được dùng trong các doanh nghiệp vừa và nhỏ là Ethernet. Bạn có thể xem phần minh hoạ card mạng Ethernet trong ví dụ hình A dưới đây.
    Kiến thức cơ bản về Network Hinh1cardethernetpu6
    Hình 1: Card Ethernet


    Các mạng Ethernet hiện đại đều sử dụng cáp đôi xoắn vòng 8 dây. Các dây này được sắp xếp theo thứ tự đặc biệt và đầu nối RJ-45 được gắn vào phần cuối cáp. Cáp RJ-45 trông giống như bộ kết nối ở phần cuối dây điện thoại, nhưng lớn hơn. Các dây điện thoại dùng bộ kết nối RJ-11, tương phản với bộ kết nối RJ-45 dùng trong cáp Ethernet. Bạn có thể thấy ví dụ một cáp Ethernet với đầu nối RJ-45 trong hình B.
    Kiến thức cơ bản về Network Hinh2rj45cl2
    Hình 2: Cáp Ethernet với một đầu kết nối RJ-45


    Hub và Switch

    Như bạn đã thấy ở trên, máy tính dùng card mạng để gửi và nhận dữ liệu. Dữ liệu được truyền qua cáp Ethernet. Tuy nhiên, thông thường bạn không thể chỉ chạy một cáp Ethernet giữa hai PC để gọi đó là một mạng.

    Với thời đại của khả năng truy cập Internet tốc độ cao ngày nay, chắc chắn bạn thường nghe nói đến thuật ngữ "broadband" (băng thông rộng). Băng thông rộng là kiểu mạng trong đó dữ liệu được gửi và nhận qua cùng một dây, còn ở Ethernet thì dùng hình thức truyền thông Baseband. Baseband sử dụng các dây riêng trong việc gửi và nhận dữ liệu. Điều này có nghĩa là nếu một máy tính đang gửi dữ liệu qua một dây cụ thể bên trong cáp Ethernet thì máy tính đang nhận dữ liệu cần một dây khác được định hướng lại tới cổng nhận của nó.

    Bạn có thể xây dựng mạng cho hai máy tính theo cách này mà người ta thường gọi là hình thức cáp chéo. Cáp chéo đơn giản là một cáp mạng có các dây gửi và nhận ngược nhau tại một điểm cuối để các máy tính có thể được liên kết trực tiếp với nhau.

    Vấn đề hạn chế khi dùng cáp mạng chéo là bạn không thể thêm hay bớt một máy tính khác nào ngoài hai máy đã được kết nối. Do đó tốt hơn so với cáp chéo, hầu hết mọi mạng đều sử dụng cáp Ethernet thông thường không có các dây gửi và nhận ngược nhau ở cuối đầu nối.

    Tất nhiên các dây gửi và nhận phải ngược nhau ở một số điểm nào đó để quá trình truyền thông được thực hiện thành công. Đây là công việc của một hub hoặc switch. Hub cũng đang trở nên lỗi thời nhưng chúng ta vẫn nên nói đến chúng. Vì hiểu về hub sẽ giúp bạn bạn dễ dàng hơn nhiều khi nói tới switch.

    Có một số kiểu hub khác nhau nhưng thông thường nói đến hub tức là nói đến một cái hộp với một bó cổng RJ-45. Mỗi máy tính trong mạng sẽ được kết nối tới một hub thông qua cáp Ethernet. Bạn có thể thấy một hub có hình dáng như trong hình C.
    Kiến thức cơ bản về Network Hinh3hubwy1
    Hình 3: Hub là thiết bị hoạt động như một điểm kết nối trung tâm cho các máy tính trong một mạng.




    Hub có hai nhiệm vụ khác nhau. Nhiệm vụ thứ nhất là cung cấp một điểm kết nối trung tâm cho tất cả máy tính trong mạng. Mọi máy tính đều được cắm vào hub. Các hub đa cổng có thể được đặt xích lại nhau nếu cần thiết để cung cấp thêm cho nhiều máy tính.

    Nhiệm vụ khác của hub là sắp xếp các cổng theo cách để nếu một máy tính thực hiện truyền tải dữ liệu, dữ liệu đó phải được gửi qua dây nhận của máy tính khác.

    Ngay bây giờ có thể bạn sẽ tự hỏi, làm sao dữ liệu có thể đến được đúng đích cần đến nếu nhiều hơn hai máy tính được kết nối vào một hub? Bí mật nằm trong card mạng. Mỗi card Ethernet đều được cung cấp một địa chỉ vật lý MAC (Media Access Control) duy nhất. Khi một máy tính trong mạng Ethernet truyền tải dữ liệu qua mạng có các máy PC kết nối với một hub, thực tế dữ liệu được gửi tới mọi máy có trong mạng. Tất cả máy tính đều nhận dữ liệu, sau đó so sánh địa chỉ đích với địa chỉ vật lý MAC của nó. Nếu khớp, máy tính sẽ biết rằng nó chính là người nhận dữ liệu, nếu không nó sẽ lờ dữ liệu đi.

    Như bạn có thể thấy, khi một máy tính được kết nối qua một hub, mọi gói tin đều được gửi tới tất cả máy tính trong mạng. Vấn đề là máy tính nào cũng có thể gửi thông tin đi tại bất cứ thời gian nào. Bạn đã từng thấy một cuộc họp mà trong đó tất cả thành viên tham dự đều bắt đầu nói cùng một lúc? Vấn đề của kiểu mạng này chính là như thế.

    Khi một máy tính cần truyền dữ liệu, nó kiểm tra xem liệu có máy nào khác đang gửi thông tin tại cùng thời điểm đó không. Nếu đường truyền rỗi, nó truyền các dữ liệu cần thiết. Nếu đã có một một máy khác đang sử dụng đường truyền, các gói tin của dữ liệu đang được chuyển qua dây sẽ xung đột và bị phá huỷ (đây chính là lý do vì sao kiểu mạng này đôi khi được gọi là tên miền xung đột). Cả hai máy tính sau đó sẽ phải chờ trong một khoảng thời gian ngẫu nhiên và cố gắng truyền lại các gói tin đã bị phá huỷ của mình.

    Số lượng máy tính trên tên miền xung đột ngày càng tăng khiến số lượng xung đột cũng tăng. Do số lượng xung đột ngày càng tăng nên hiệu quả của mạng ngày càng giảm. Đó là lý do vì sao bây giờ gần như switch đã thay thế toàn bộ hub.

    Một switch (bạn có thể xem trên hình D), thực hiện tất cả mọi nhiệm vụ giống như của một hub. Điểm khác nhau chỉ là ở chỗ, khi một PC trên mạng cần liên lạc với máy tính khác, switch sẽ dùng một tập hợp các kênh logic nội bộ để thiết lập đường dẫn logic riêng biệt giữa hai máy tính. Có nghĩa là hai máy tính hoàn toàn tự do để liên lạc với nhau mà không cần phải lo lắng về xung đột.
    Kiến thức cơ bản về Network Hinh4switchwg0
    Hình 4: Switch trông giống hệt như hub nhưng hoạt động khác hơn nhiều.




    Switch thực sự nâng cao được đáng kể hiệu quả của mạng. Bởi chúng loại trừ xung đột và còn nhiều hơn thế, chúng có thể thiết lập các đường dẫn truyền thông song song. Chẳng hạn khi máy tính A đang liên lạc với máy tính B thì không có lý do gì để máy tính C không đồng thời liên lạc với máy tính D. Trong một tên miền xung đột (collision domain), các kiểu truyền thông song song này là không thể bởi vì chúng sẽ dẫn đến xung đột.

    PHẦN 2 - CƠ BẢN VỀ ROUTER


    Đây là phần tiếp theo sau bài mở đầu về các thiết bị phần cứng mạng. Trong phần này chúng ta sẽ thảo luận nội dung chi tiết của thiết bị mạng quan trọng nhất: router.

    Cho dù là người mới bắt đầu làm quen với mạng nhưng chắc hẳn bạn đã từng nghe nói đến router. Các kết nối Internet băng thông rộng, sử dụng modem cáp hay modem DSL luôn đòi hỏi cần phải có router. Nhưng công việc của router không phải là cung cấp sự nối kết Internet mà là chuyển các gói dữ liệu từ mạng này tới mạng khác. Có nhiều kiểu router, từ đơn giản đến phức tạp. Các router bình dân thường được dùng cho kết nối Internet gia đình, còn nhiều router có mức giá “kinh khủng” thường được các đại gia là những gã khổng lồ ưa chuộng. Song, cho dù đắt hay rẻ, đơn giản hay phức tạp thì mọi router đều hoạt động với các nguyên tắc cơ bản như nhau.

    Ở đây, chúng ta sẽ tập trung vào các router đơn giản với giá thành thấp, chủ yếu được dùng để nối kết một máy tính vào mạng Internet băng thông rộng. Bởi vì đối tượng của bài này là những người mới bắt đầu làm quen mới mạng. Và tất nhiên sẽ dễ dàng hơn nhiều khi bắt đầu với những gì đã từng quen thuộc cho hầu hết mọi người thay vì động đến sự phức tạp của router dùng trong các tập đoàn lớn. Nếu bạn đã có hiểu biết cơ bản về router và muốn có kiến thức chuyên sâu hơn, bạn sẽ tìm được cái mình cần trong một bài khác mà có dịp chúng tôi sẽ giới thiệu với các bạn sau.

    Như đã nói ở trên, công việc của một router là chuyển các gói dữ liệu từ mạng này tới mạng khác. Định nghĩa này có vẻ lạ trong ngữ cảnh các máy tính đã được kết nối với đường truyền Internet băng thông rộng. Nhưng thực tế bạn nên biết mạng là một tập hợp lớn với các mạng con khác ở bên trong.

    Vậy, nếu công việc của một router là chuyển lưu lượng giữa hai mạng, trong đó một mạng là Internet thì mạng kia ở đâu? Trong trường hợp cụ thể này chính là máy tính được kết nối tới router. Nó được cấu hình thực sự như một mạng đơn giản.

    Để hình dung rõ hơn, bạn có thể xem ảnh minh hoạ trong Hình A và B. Hình A là mặt trước của một router băng thông rộng 3COM, còn hình B là mặt sau của nó.
    Kiến thức cơ bản về Network Hinh1router1ix3
    Hình A: Mặt trước của router băng thông rộng (broadband) 3COM
    Kiến thức cơ bản về Network Hinh2router2mf9
    Hình B: Router Internet băng thông rộng gồm một tập hợp các cổng RJ-45 giống như một hub hay switch




    Như bạn có thể thấy trên hình, thực sự không có điểm nổi bật đặc biệt nào trong mặt trước của router. Sở dĩ chúng tôi vẫn đưa ra hình ảnh cụ thể của nó nhằm giúp các bạn, những người chưa quen thuộc với thiết bị này có thể biết được một router trông như thế nào. Hình B xem chừng có vẻ thú vị hơn.

    Nhìn vào hình B bạn sẽ thấy có ba tập hợp cổng ở mặt sau router. Cổng bên trái nhất là nơi điện nguồn được nối với router. Ở giữa là một cổng RJ-45 dùng cho việc kết nối mạng từ xa. Trong trường hợp cụ thể này, router được dùng để cung cấp kết nối Internet. Cổng giữa chủ yếu được dùng để kết nối router với một modem cáp hay modem DSL. Các modem này sẽ cung cấp kết nối thực tới Internet.

    Còn tập hợp ở bên phải gồm bốn cổng RJ-45. Nếu bạn xem lại phần đầu của loạt bài này bạn sẽ thấy các hub và switch cũng gồm số lượng lớn các nhóm cổng RJ-45. Trong trường hợp của hub hay switch, các cổng RJ-45 được dùng để cung cấp kết nối tới các máy tính trên mạng.

    Ở router, các cổng đều hoạt động y như nhau. Router trong ví dụ ở đây có một switch bốn cổng dựng sẵn. Công việc của một router là chuyển các gói tin từ mạng này tới mạng khác. Ở trên chúng ta đã giải thích trong trường hợp của router băng thông rộng, Internet là một mạng còn máy tính đóng vai trò là một mạng thứ hai. Lý do vì sao một máy tính đơn lẻ lại có thay thế như một mạng tổng thể là do router không coi PC là một thiết bị độc lập. Router xem PC như một nút mạng. Như bạn có thể thấy trên hình B, router cụ thể này có thể cung cấp thực sự một mạng bốn máy tính. Hầu hết người dùng gia đình đều sử dụng kiểu cấu hình chỉ cần cắm một PC vào router. Cụ thể hơn, kiểu mạng này định tuyến các gói dữ liệu giữa một mạng nhỏ (ngay cả khi mạng đó chỉ có một máy tính đơn) và Internet (được xem như là mạng thứ hai).

    Quá trình định tuyến

    Để hiểu hoạt động định tuyến được thực hiện như thế nào, đầu tiên bạn phải biết một chút về cách thức hoạt động của giao thức TCP/IP.

    Mọi thiết bị kết nối tới mạng TCP/IP đều có một địa chỉ IP duy nhất giới hạn trong giao diện mạng của nó. Địa chỉ IP là một dãy bốn số riêng phân tách nhau bởi các dấu chấm. Ví dụ một địa chỉ IP điển hình có dạng: 192.168.0.1.

    Ví dụ dễ hiểu nhất khi nói về IP là địa chỉ nhà. Địa chỉ nhà thông thường luôn có số nhà và tên phố. Số nhà xác định cụ thể vị trí ngôi nhà trên phố đó. Địa chỉ IP cũng hoạt động tương tự như vậy. Nó gồm mã số địa chỉ mạng và mã số thiết bị. So sánh với địa chỉ nhà bạn sẽ thấy địa chỉ mạng giống như tên phố còn mã số thiết bị giống như số nhà vậy. Địa chỉ mạng chỉ mạng cụ thể thiết bị đang tham gia trong nó còn mã số thiết bị thì cung cấp cho thiết bị một nhận dạng trên mạng.

    Vậy kết thúc của địa chỉ mạng và khởi đầu của mã số thiết bị ở đâu? Đây là công việc của một subnet mask. Subnet mask sẽ “nói” với máy tính vị trí cuối cùng của địa chỉ mạng và vị trí đầu tiên của số thiết bị trong địa chỉ IP. Hoạt động mạng con có khi rất phức tạp. Bạn có thể tham khảo chi tiết hơn trong một bài khác mà có dịp chúng tôi sẽ giới thiệu sau. Còn bây giờ hãy quan tâm đến những thứ đơn giản nhất, xem xét một subnet mask rất cơ bản.

    Subnet mask thoạt nhìn rất giống với địa chỉ IP vì nó cũng có 4 con số định dạng theo kiểu phân tách nhau bởi các dấu chấm. Một subnet mask điển hình có dạng: 255.255.255.0.

    Trong ví dụ cụ thể này, ba số dầu tiên (gọi là octet) đều là 255, con số cuối cùng là 0. Số 255 chỉ ra rằng tất cả các bit trong vị trí tương ứng của địa chỉ IP là một phần của mã số mạng. Số 0 cuối cùng ám chỉ không có bit nào trong vị trí tương ứng của địa chỉ IP là một phần của địa chỉ mạng. Do đó chúng thuộc về mã số thiết bị.

    Nghe có vẻ khá lộn xộn, bạn sẽ hiểu hơn với ví dụ sau. Tưởng tượng bạn có một máy tính với địa chỉ IP là 192.168.1.1 và mặt nạ mạng con là: 255.255.255.0. Trong trường hợp này ba octet đầu tiên của subnet mask đều là 255. Điều này có nghĩa là ba octet đầu tiên của địa chỉ IP đều thuộc vào mã số mạng. Do đó vị trí mã số mạng của địa chỉ IP này là 192.168.1.x.

    Điều này là rất quan trọng vì công việc của router là chuyển các gói dữ liệu từ một mạng sang mạng khác. Tất cả các thiết bị trong mạng (hoặc cụ thể là trên phân đoạn mạng) đều chia sẻ một mã số mạng chung. Chẳng hạn, nếu 192.168.1.x là số mạng gắn với các máy tính kết nối với router trong hình B thì địa chỉ IP cho bốn máy tính viên có thể là:

    192.168.1.1
    192.168.1.2
    192.168.1.3
    192.168.1.4
    Như bạn thấy, mỗi máy tính trên mạng cục bộ đều chia sẻ cùng một địa chỉ mạng, còn mã số thiết bị thì khác nhau. Khi một máy tính cần liên lạc với máy tính khác, nó thực hiện bằng cách tham chiếu tới địa chỉ IP của máy tính đó. Chẳng hạn, trong trường hợp cụ thể này, máy tính có địa chỉ 192.168.1.1 có thể gửi dễ dàng các gói dữ liệu tới máy tính có địa chỉ 192.168.1.3 vì cả hai máy này đều là một phần trong cùng một mạng vật lý.

    Nếu một máy cần truy cập vào máy nằm trên mạng khác thì mọi thứ sẽ khác hơn một chút. Giả sử rằng một trong số người dùng trên mạng cục bộ muốn ghé thăm website www.brienposey.com, một website nằm trên một server. Giống như bất kỳ máy tính nào khác, mỗi Web server có một địa chỉ IP duy nhất. Địa chỉ IP cho website này là 24.235.10.4.

    Bạn có thể thấy dễ dàng địa chỉ IP của website không nằm trên mạng 192.168.1.x. Trong trường hợp này máy tính đang cố gắng tiếp cận với website không thể gửi gói dữ liệu ra ngoài theo mạng cục bộ, vì Web server không phải là một phần của mạng cục bộ. Thay vào đó máy tính cần gửi gói dữ liệu sẽ xem xét đến địa chỉ cổng vào mặc định.

    Cổng vào mặc định (default gateway) là một phần của cấu hình TCP/IP trong một máy tính. Đó là cách cơ bản để nói với máy tính rằng nếu không biết chỗ gửi gói dữ liệu ở đâu thì hãy gửi nó tới địa chỉ cổng vào mặc định đã được chỉ định. Địa chỉ của cổng vào mặc định là địa chỉ IP của một router. Trong trường hợp này địa chỉ IP của router được chọn là 192.168.1.0

    Chú ý rằng địa chỉ IP của router chia sẻ cùng một địa chỉ mạng như các máy khác trong mạng cục bộ. Sở dĩ phải như vậy để nó có thể truy cập tới các máy trong cùng mạng. Mỗi router có ít nhất hai địa chỉ IP. Một dùng cùng địa chỉ mạng của mạng cục bộ, còn một do ISP của bạn quy định. Địa chỉ IP này dùng cùng một địa chỉ mạng của mạng ISP. Công việc của router khi đó là chuyển các gói dữ liệu từ mạng cục bộ sang mạng ISP. ISP của bạn có các router riêng hoạt động cũng giống như mọi router khác, nhưng định tuyến đường đi cho gói dữ liệu tới các phần khác của Internet.

    PHẦN 3 - DNS SERVER


    Đây là phần tiếp theo của loạt bài Kiến thức cơ bản dành cho những người mới bắt đầu làm quen và tìm hiểu về mạng máy tính. Sau hai bài giới thiệu Hub và Switch, Router, nội dung của bài này đề cập đến hoạt động của các server DNS (hệ thống tên miền).

    Đây cũng là phần cuối cùng chúng tôi nói đến cách các máy tính trong một phân đoạn mạng chia sẻ vùng địa chỉ IP chung như thế nào.

    Như chúng ta đã biết, khi một máy tính cần truy cập thông tin trên một máy nằm ở mạng khác hay phân đoạn mạng khác, nó cần đến sự trợ giúp của router. Router sẽ chuyển các gói dữ liệu cần thiết từ mạng này sang mạng khác (chẳng hạn như Internet). Nếu bạn đã từng đọc phần hai, chắc hẳn bạn nhớ, chúng tôi có đưa ra một ví dụ tạo một tham chiếu đến địa chỉ IP kết hợp với một website. Để có thể truy cập vào website này, trình duyệt Web của bạn phải biết địa chỉ IP của website. Sau đó trình duyệt cung cấp địa chỉ cho router, router sẽ xác định đường đi tới mạng khác và yêu cầu các gói dữ liệu tới máy đích phù hợp. Mỗi website đều có một địa chỉ IP nhưng bạn có thể ghé thăm các website này hằng ngày mà không cần quan tâm đến dãy con số đó của nó. Trong bài này chúng tôi sẽ chỉ cho bạn thấy lý do vì sao có thể thực hiện được.

    Địa chỉ IP cũng giống như địa chỉ nhà vậy. Nó gồm có vị trí mạng (là dãy số hiệu chỉ phân đoạn mạng máy tính đang hoạt động trong đó), tương tự như tên phố; và vị trí thiết bị (xác định một máy tính cụ thể trong mạng), tương tự như số nhà. Biết về địa chỉ IP là yêu cầu cần thiết cho hoạt động truyền thông cơ sở TCP/IP giữa hai máy tính.

    Khi bạn mở một trình duyệt Web và nhập tên website (được biết đến như là tên miền hay đường dẫn URL(Universal Resource Locator - bộ định vị vị trí tài nguyên chung)), trình duyệt sẽ đến thẳng website mà không cần phải thông qua việc nhập địa chỉ IP. Bạn có thể hình dung quá trình mở website cũng giống như quá trình chuyển thư đến địa chỉ nhận ghi trên phong bì ở bưu điện vậy. Địa chỉ IP trong truyền thông mạng đóng vai trò như địa chỉ trên phong bì. Thư không thể đến đúng nơi nếu bạn chỉ ghi tên người nhận mà "quên mất" địa chỉ của họ. Việc đến và mở được một website cũng như vậy. Máy tính của bạn không thể liên lạc được với website trừ khi nó biết địa chỉ IP của website đó.

    Nhưng bạn không cần gõ địa chỉ IP mà trình duyệt vẫn mở được đúng website bạn muốn khi nhập tên miền vào. Vậy địa chỉ IP ở đâu? Quá trình "dịch" tên miền thành địa chỉ IP là công việc của một server DNS (trình chủ hệ thống tên miền).

    Trong hai bài trước chúng ta đã từng nói tới một số khái niệm về cấu hình TCP/IP của máy tính, như địa chỉ IP, mặt nạ mạng con (subnet mask) và cổng vào mặc định (default gateway). Nhìn hình A bên dưới bạn sẽ thấy có thêm một tuỳ chọn cấu hình khác là "Preferred DNS server" (trình chủ hệ thống tên miền tham chiếu).
    Kiến thức cơ bản về Network Hinh1tcpipog0
    Tuỳ chọn Preferred DNS Server được định nghĩa như là một phần của cấu hình TCP/IP trong máy tính.




    Như bạn có thể thấy trong hình minh hoạ, tuỳ chọn "Preferred DNS server" được định nghĩa như là một phần của cấu hình TCP/IP. Có nghĩa là máy tính sẽ luôn biết địa chỉ IP của DNS server. Điều này là hết sức quan trọng vì máy tính không thể liên lạc được với máy tính khác sử dụng giao thức TCP/IP nếu nó không biết địa chỉ IP của máy kia.

    Bây giờ chúng ta sẽ xem xét điều gì xảy ra khi bạn cố gắng tới thăm một website. Quá trình bắt đầu với việc bạn mở trình duyệt Web và nhập đường dẫn URL. Khi đó, trình duyệt biết rằng nó không thể xác định được vị trí của website nếu chỉ dựa vào một mình địa chỉ URL. Do đó nó truy vấn thông tin địa chỉ IP của DNS sever từ cấu hình TCP/IP của máy tính và đưa đường dẫn URL lên trình chủ DNS server. DNS server sau đó sẽ tra tìm đường dẫn URL trên bảng có danh sách địa chỉ IP của website. Sau đó nó trả ra địa chỉ IP cho trình duyệt Web và trình duyệt có thể liên lạc với website được yêu cầu.

    Thực sự quá trình giải thích này có thể được mô tả đơn giản hơn một chút. Giải pháp tên miền trong DNS chỉ có thể hoạt động nếu DNS server có chứa một bản ghi tương ứng với website được yêu cầu. Nếu bạn vào một website ngẫu nhiên, DNS sever sẽ không có bản ghi về website này. Lý do là bởi Internet quá lớn. Có hàng triệu website và website mới được tạo ra mỗi ngày. Không có cách nào cho một server DNS đơn có thể bắt kịp tất cả các website và đáp ứng được tất cả yêu cầu từ bất kỳ ai có kết nối tới Internet.

    Bây giờ giả sử một trình chủ DNS server đơn có thể lưu trữ các bản ghi cho mọi website tồn tại. Nếu dung lượng của trình chủ không phải là vấn đề thì server cũng sẽ bị tràn bởi các yêu cầu xử lý tên nhận được từ người dùng Internet ở khắp mọi nơi. Một DNS server trung tâm hoá thường là đích nhắm rất phổ biến của các cuộc tấn công.

    Do đó, các trình chủ DNS server thường được phân phối sang nhiều điểm, tránh cho một server DNS đơn phải cung cấp xử lý tên cho toàn bộ Internet. Trên thế giới hiện nay có một tổ chức chuyên phụ trách việc cấp phát, đăng ký tên miền Internet là Internet Corporation for Assigned Names and Numbers (hay ICANN). Do quản lý tên miền cho toàn bộ mạng là một công việc khổng lồ nên ICANN phân bổ nhiều phần đáp ứng tên miền cho các hãng khác nhau. Chẳng hạn, Network Solutions phụ trách tên miền ".com". Nhưng không có nghĩa là Network Solutions duy trì danh sách các địa chỉ IP kết hợp với toàn bộ tên miền .com. Trong hầu hết mọi trường hợp, DNS server của Network Solution đều chứa bản ghi trỏ tới DNS server được xem là chính thức cho từng miền.

    Để thấy được tất cả hoạt động như thế nào, tưởng tượng rằng bạn muốn vào website www.brienposey.com. Khi nhập yêu cầu vào trình duyệt, trình duyệt gửi địa chỉ URL vào trình chủ DNS server được chỉ định bởi cấu hình TCP/IP của máy tính bạn. Trình chủ DNS server không biết địa chỉ của website này. Do đó, nó gửi yêu cầu tới DNS server của ICANN. DNS server của ICANN cũng không biết địa chỉ IP của website bạn đang muốn vào mà chỉ biết địa chỉ IP của DNS server chịu trách nhiệm với tên miền có đuôi .COM. Nó sẽ trả lại địa chỉ này cho trình duyệt và trong quá trình trả về nó cũng thực hiện việc đưa yêu cầu tới DNS server cụ thể đó.

    Mức DNS server cao nhất dành cho tên miền đuôi .COM sẽ không biết đến địa chỉ IP nào của website được yêu cầu, nhưng nó biết địa chỉ IP của DNS server chính thức cho tên miền brienposey.com. Nó sẽ gửi địa chỉ này trở lại máy đưa ra yêu cầu. Sau đó trình duyệt Web gửi truy vấn DNS tới DNS server có đủ thẩm quyền cho miền được yêu cầu. Và DNS server này sẽ trả ra địa chỉ IP của website, cho phép máy liên lạc với website nó yêu cầu.

    Như bạn có thể thấy, có nhiều bước phải hoàn thành để một máy tính tìm ra địa chỉ IP của một website. Nhằm giảm bớt số truy vấn DNS phải thực hiện, kết quả của các truy vấn này thường được lưu trữ liệu trong vài giờ hoặc vài ngày, tuỳ thuộc vào máy được cấu hình như thế nào. Việc lưu trữ các địa chỉ IP nâng cao một cách tuyệt vời khả năng thực thi và tối thiểu hoá tổng lượng băng thông tiêu thụ cho các truy vấn DNS. Bạn có thể hình dung ra quá trình duyệt Web sẽ tệ hại đến mức nào nếu máy tính của bạn phải thực hiện tập hợp đầy đủ các truy vấn DNS bất kỳ thời gian nào bạn muốn xem trang Web mới.

    PHẦN 4 - WORKSTATION VÀ SERVER



    Đây là phần tiếp theo trong loạt bài hướng dẫn cơ bản dành cho những người mới bắt quen hay tìm hiểu về mạng. Nội dung bài hôm nay là về sự khác nhau giữa Workstation (máy trạm) và Server (máy chủ).

    Trước bài này, chúng ta đã có dịp thảo luận về các thiết bị phần cứng mạng và giao thức TCP/IP. Phần cứng mạng được dùng để thiết lập kết nối vật lý giữa các thiết bị, trong khi giao thức TCP/IP là ngôn ngữ trọng yếu dùng để liên lạc trong mạng. Ở bài này chúng ta cũng sẽ nói một chút về các máy tính được kết nối trong một mạng.

    Cho dù bạn là người mới hoàn toàn, nhưng chắc hẳn bạn đã từng nghe nói đến các thuật ngữ server và workstation. Các thuật ngữ này thông thường được dùng để nói tới vai trò của máy tính trong mạng hơn là phần cứng máy tính. Chẳng hạn, một máy tính đang hoạt động như một server thì nó không cần thiết phải chạy cả phần cứng của server. Bạn có thể cài đặt một hệ điều hành server lên máy tính của mình. Khi đó máy tính sẽ hoạt động thực sự như một server mạng. Trong thực tế, hầu hết tất cả các máy chủ đếu sử dụng thiết bị phần cứng đặc biệt, giúp chúng có thể kiểm soát được khối lượng công việc nặng nề vốn có của mình.

    Khái niệm máy chủ mạng (network server) thường hay bị nhầm về mặt kỹ thuật theo kiểu định nghĩa: máy chủ là bất kỳ máy tính nào sở hữu hay lưu trữ tài nguyên chia sẻ trên mạng. Nói như thế thì ngay cả một máy tính đang chạy Windowns XP cũng có thể xem là máy chủ nếu nó được cấu hình chia sẻ một số tài nguyên như file và máy in.

    Các máy tính trước đây thường được tìm thấy trên mạng là peer (kiểu máy ngang hàng). Máy tính ngang hàng hoạt động trên cả máy trạm và máy chủ. Các máy này thường sử dụng hệ điều hành ở máy trạm (như Windowns XP), nhưng có thể truy vập và sở hữu các tài nguyên mạng.

    Trước đây, mạng ngang hàng thường được tìm thấy chủ yếu trên các mạng rất nhỏ. Ý tưởng ở đây là nếu một công ty nhỏ thiếu tài nguyên để có được các máy chủ thực sự thì các máy trạm có thể được cấu hình để thực hiện nhiệm vụ "kép". Ví dụ, mỗi người dùng có thể tạo cho các file của mình khả năng truy cập chung với nhiều người khác trên mạng. Nếu một máy nào đó có gắn máy in, họ có thể chia sẻ nó cho công việc in ấn của toàn bộ máy trong mạng, tiết kiệm được tài nguyên.

    Các mạng ngang hàng thường không sử dụng được trong các công ty lớn vì thiếu khả năng bảo mật cao và không thể quản lý trung tâm hoá. Đó là lý do vì sao các mạng ngang hàng thường chỉ được tìm thấy trong các công ty cực kỳ nhỏ hoặc người dùng gia đình sử dụng nhiều máy PC. Windowns Vista (thế hệ kế tiếp của Windowns XP) đang cố gắng thay đổi điều này. Windowns Vista cho phép người dùng mạng client/server tạo nhóm ngang hàng. Trong đó các thành viên của nhóm sẽ được chia sẻ tài nguyên với nhau trong chế độ bảo mật an toàn mà không cần ngắt kết nối với server mạng. Thành phần mới này sẽ được tung ra thị trường với vai trò như một công cụ hợp tác.

    Các mạng ngang hàng không phổ biến bằng mạng client/server vì chúng thiếu an toàn và khả năng quản lý tập trung. Tuy nhiên, vì mạng máy tính được hình thành từ các máy chủ và máy trạm nên bản thân mạng không cần phải đảm bảo độ bảo mật cao và khả năng quản lý tập trung. Nên nhớ rằng server chỉ là một máy chuyên dùng để lưu trữ tài nguyên trên mạng. Nói như thế tức là có vô số kiểu máy chủ khác nhau và một trong số đó được thiết kế chuyên dùng để cung cấp khả năng bảo mật và quản lý.

    Chẳng hạn, Windowns server có hai kiểu loại chính: member server (máy chủ thành viên) và domain controller (bộ điều khiển miền). Thực sự không có gì đặc biệt với member server. Member server đơn giản chỉ là máy tính được kết nối mạng và chạy hệ điều hành Windowns Server. Máy chủ kiểu member server có thể được dùng như một nơi lưu trữ file (còn gọi là file server) hoặc nơi sở hữu một hay nhiều máy in mạng (còn gọi là máy in server). Các member server cũng thường xuyên được dùng để lưu trữ chương trình ứng dụng mạng. Chẳng hạn, Microsoft cung cấp một sản phẩm gọi là Exchange Server 2003. Khi cài đặt lên member server, nó cho phép member server thực hiện chức năng như một mail server.

    Domain controller (bộ điều khiển miền) thì đặc biệt hơn nhiều. Công việc của một domain controller là cung cấp tính năng bảo mật và khả năng quản lý cho mạng. Bạn đã quen thuộc với việc đăng nhập bằng cách nhập username và password? Trên mạng Windowns, đó chính là domain controller. Nó có trách nhiệm theo dõi và kiểm tra username, password.

    Người chịu trách nhiệm quản lý mạng được gọi là quản trị viên (administrator). Khi người dùng muốn truy cập tài nguyên trên mạng Windows, quản trị viên sẽ dùng một tiện ích do domain controller cung cấp để tạo tài khoản và mật khẩu cho người dùng mới. Khi người dùng mới (hoặc người nào đó muốn có tài khoản thứ hai) cố gắng đăng nhập vào mạng, "giấy thông hành" của họ (username và password) được gửi tới domain controller. Domain cotroller sẽ kiểm tra tính hợp lệ bằng cách so sánh thông tin được cung cấp với bản sao chép lưu trữ trong cơ sở dữ liệu của nó. Nếu mật khẩu người dùng cung cấp và mật khẩu lưu trữ trong domain controller khớp với nhau, họ sẽ được cấp quyền truy cập mạng. Quá trình này được gọi là thẩm định (authentication).

    Trên một mạng Windows, chỉ có domain controller thực hiện các dịch vụ thẩm định. Tất nhiên người dùng sẽ cần truy cập tài nguyên lưu trữ trên member server. Đây không phải là vấn đề gì lớn vì tài nguyên ở member server được bảo vệ bởi một tập hợp các đặc quyền liên quan đến thông tin bảo mật trên domain controller.

    Để dễ hiểu hơn chúng ta sẽ lấy một ví dụ cụ thể. Giả sử username của tôi là QuanTri. Tôi nhập username và password vào, chúng sẽ được gửi tới domain controller để thẩm định. Khi bộ điều khiển miền thẩm định thông tin, nó không cung cấp cho tôi quyền truy cập bất kỳ tài nguyên nào. Nó chỉ kiểm tra tính hợp lệ từ thông tin tôi cung cấp. Khi truy cập tài nguyên của một member server, máy tính của tôi đưa mã thông báo truy cập đặc biệt, về cơ bản đã được thẩm định bởi một domain controller. Có thể member server không tin tôi, nhưng nó tin domain controller. Do đó, nếu domain controller xác nhận hợp lệ cho nhân dạng của tôi, member server sẽ chấp nhận và cung cấp khả năng truy cập bất cứ tài nguyên nào mà tôi có quyền.

    PHẦN 5 - DONMAIN CONTROLLER



    Domain controller là gì và lựa chọn thế nào cho hợp với cơ sở hạ tầng mạng của bạn?

    Trong những bài trước chúng ta đã nói tới vai trò của các máy tính khác nhau trên mạng. Chắc hẳn các bạn còn nhớ, ngay trong phần 4 chúng ta đã nói một chút về domain controller. Còn bây giờ, trong bài này bạn sẽ được biết sâu hơn domain controller là gì và lựa chọn chúng ra sao cho hợp với cơ sở hạ tầng mạng của bạn.

    Một trong những khái niệm quan trọng nhất của mạng Windowns là domain (tức miền hay vùng). Một domain là tập hợp các tài khoản người dùng và tài khoản máy tính được nhóm lại với nhau để quản lý một cách tập trung. Và công việc quản lý là dành cho domain controller (bộ điều khiển miền) nhằm giúp việc khai thác tài nguyên trở nên dễ dàng hơn.

    Vậy tại sao domain controller lại rất quan trọng? Trong mạng, bất kỳ máy trạm (workstattion) nào đang chạy hệ điều hành Windowns XP cũng có một nhóm tài khoản người dùng tạo sẵn nào đó. Windowns XP thậm chí còn cho phép bạn tạo một số tài khoản bổ sung nếu thấy cần thiết. Nếu máy trạm có chức năng như một hệ thống độc lập hoặc là một phần của mạng ngang hàng thì tài khoản người dùng mức máy trạm (được gọi là tài khoản người dùng cục bộ) không thể điều khiển truy cập tài nguyên mạng. Chúng chỉ được dùng để điều chỉnh truy cập máy cục bộ và hoạt động như với chức năng đảm bảo cho quản trị viên có thể thực hiện công việc bảo dưỡng, duy trì máy trạm, không cho phép người dùng cuối khả năng can thiệp vào các thiết lập trên máy trạm.

    Lý do vì sao tài khoản người dùng cục bộ trên một máy trạm nhất định không được phép điều khiển truy cập tài nguyên nằm ngoài máy trạm đó là nó tăng thêm gánh nặng quản lý rất lớn. Tài khoản người dùng cục bộ chỉ nằm trên các máy trạm riêng rẽ. Nếu một tài khoản là có chức năng bảo mật chính trong mạng, quản trị viên sẽ phải di chuyển vật lý tới máy tính có tài khoản đó bất kỳ khi nào phải thực hiện thay đổi quyền hạn cho tài khoản. Vấn đề này không gây ra tác động gì lớn trong mạng nhỏ, nhưng sẽ trở nên cực kỳ nặng nề với ở mạng lớn hay khi cần áp dụng thay đổi rộng cho tất cả mọi tài khoản.

    Một lý do khác nữa là không ai muốn phải chuyển tài khoản người dùng từ máy này sang máy khác. Chẳng hạn, nếu máy tính của một người dùng bị phá hoại, người đó không thể đăng nhập vào máy tính khác để làm việc vì tài khoản họ tạo chỉ có tác dụng trên máy cũ. Nếu muốn làm được việc anh ta sẽ phải tạo tài khoản mới trên máy khác.

    Chỉ là một trong số rất nhiều lý do khiến việc sử dụng tài khoản người dùng cục bộ cho việc truy cập an toàn tài nguyên mạng là không thực tế. Thậm chí nếu bạn muốn triển khai kiểu bảo mật này, Windowns cũng không cho phép. Tài khoản người dùng cục bộ chỉ có thể dùng tài nguyên cục bộ trên một máy trạm nhất định.

    Domain có nhiệm vụ giải quyết các vấn đề vừa nêu và một số vấn đề khác nữa. Chúng sẽ tập trung hoá tài khoản người dùng (hay cấu hình khác, các đối tượng liên quan đến bảo mật; chúng ta sẽ đề cập đến trong bài sau). Điều này giúp việc quản trị dễ dàng hơn và cho phép người dùng đăng nhập từ bất kỳ máy tính nào có trên mạng (trừ khi bạn giới hạn quyền truy cập người dùng).

    Với những thông tin đã được cung cấp chắc hẳn bạn sẽ nghĩ, về mặt nguyên lý, khi một người dùng nào đó muốn truy cập tài nguyên nằm trên một máy chủ (tức server), tài khoản người dùng mức server sẽ được dùng để điều khiển truy cập. Xét trên một số khía cạnh, ý tưởng này là đúng, nhưng còn có nhiều điều phải lưu ý hơn thế.

    Trở lại đầu những năm 1990, khi tác giả bài báo này còn làm việc cho một công ty bảo hiểm lớn, sử dụng mạng với các máy chủ chạy hệ điều hành Novell NetWare. Windowns networking hồi đó vẫn chưa được tạo ra và Novell NetWare là hệ điều hành server duy nhất có thể lựa chọn. Công ty chỉ có một network server, chứa tất cả mọi tài khoản người dùng và tài nguyên mạng cần truy cập. Một vài tháng sau, ai đó quyết định rằng người dùng ở công ty cần chạy một nhánh ứng dụng mới. Do kích thước của ứng dụng và số lượng dữ liệu lớn nên ứng dụng phải được đặt trên một server (máy chủ) chuyên dụng.

    Phiên bản Novell NetWare công ty đang dùng lúc đó chạy theo kiểu: tài nguyên nằm trên một server được bảo vệ bởi tài khoản người dùng cũng nằm trên server đó. Nhưng nảy sinh vấn đề: mỗi máy chủ có tập hợp tài khoản người dùng độc lập, hoàn chỉnh và riêng rẽ. Khi thêm một máy chủ khác vào mạng, người dùng vẫn có thể đăng nhập theo cách bình thường nhưng phải tạo username và password mới.

    Thời gian đầu, mọi thứ trôi chảy. Nhưng khoảng một tháng sau, khi cài đặt thêm một số chương trình khác lên máy chủ mới, mọi việc trở nên tệ hại. Các máy chủ buộc người dùng phải thay đổi lại mật khẩu trong khi họ không nhận ra rằng phải đổi ở hai chỗ khác nhau. Có nghĩa là mật khẩu đã mất đi tính đồng bộ và bộ phận trợ giúp quá tải với các cuộc gọi liên quan đến lập lại mật khẩu. Khi công ty lớn mạnh hơn và bổ sung thêm nhiều máy chủ mới vào mạng, vấn đề ngày càng tồi tệ.

    Cuối cùng sự việc được giải quyết khi Novell cho ra đời phiên bản 4.0 của NetWare. NetWare 4 giới thiệu công nghệ gọi là Directory Service (dịch vụ thư mục). Ý tưởng của nó là người dùng sẽ không phải tạo các tài khoản riêng rẽ trên từng server nữa. Thay vào đó một tài khoản đơn duy nhất được dùng để thẩm định tư cách người dùng trên toàn bộ mạng mà không cần biết có bao nhiêu máy chủ trên mạng đó.

    Một điều thú vị khi tìm hiểu về domain là mặc dù mỗi domain có một giá trị duy nhất, không bao giờ lặp nhau trong mạng Microsoft (Novell không dùng domain) nhưng chúng làm việc theo nguyên tắc cơ bản giống nhau. Khi Windowns 2000 được phát hành, Microsoft tích hợp một thành phần vẫn còn được dùng tới nay là Active Directory. Active Directory rất giống với Directory Service được mạng Novell sử dụng trước kia.

    Toàn bộ công việc chúng ta phải làm với domain là gì? Khi máy chủ Windowns sử dụng Windowns 2000 Server, Windowns Server 2003 hay Longhorn Server sắp ra mắt, công việc của domain controller (bộ điều khiển miền) là chạy dịch vụ Active Directory. Active Directory hoạt động như một nơi lưu trữ các đối tượng thư mục (directory), trong đó có tài khoản người dùng (user account). Và một trong các công việc chính của bộ điều khiển tên miền là cung cấp dịch vụ thẩm định.

    Nên hết sức lưu ý là domain controller cung cấp dịch vụ thẩm định (authentication) chứ không phải là dịch vụ cấp phép (authorization). Tức là, khi một người dùng nào đó đăng nhập vào mạng, một bộ điều khiển miền sẽ kiểm tra tính hợp lệ của username và password họ nhập vào có chính xác và khớp với dữ liệu lưu trong máy chủ hay không. Nhưng domain controller không nói với người dùng họ có quyền truy cập tài nguyên nào.

    Tài nguyên trên mạng Windowns được bảo vệ bởi các Danh sách điều khiển truy cập (ACL). Một ACL là danh sách chỉ rõ ai có quyền làm gì. Khi người dùng cố gắng truy cập tài nguyên, họ đưa ra nhân dạng của mình cho máy chủ chứa tài nguyên đó. Máy chủ sẽ kiểm tra để chắc chắn rằng nhân dạng người dùng này đã được thẩm định, sau đó tham chiếu chéo đến ACL để xem người dùng có quyền làm gì.

    PHẦN 6 - WINDOWNS DOMAIN



    Thảo luận chi tiết và phân tích kỹ lưỡng về Windowns domain.

    Trong một số bài trước của loạt bài này các bạn đã được giới thiệu một số khái niệm về domain (miền, tức là một vùng mạng được quan tâm nhất định) và domain controller (bộ quản lý miền). Tiếp tục với những kiến thức cơ sở nhất, hôm nay chúng tôi giới thiệu với bạn đọc một khái niệm khác: Windowns domain. Có một số điều đã quen và cũng có một số điểm mới khác. Chúng ta hãy cùng xem chúng là cái gì.

    Như đã giải thích trong phần 5, domain bây giờ không còn lạ lẫm gì với các bạn. Microsoft đưa ra khái niệm domain đầu tiên trong Windowns NT Server. Vào thời kỳ đó, mỗi domain là một vùng riêng biệt, thường sở hữu tất cả tài khoản người dùng của toàn bộ công ty. Một quản trị viên phải hoàn toàn điều khiển domain và dữ liệu bên trong nó.

    Nhưng đôi khi domain đơn riêng rẽ không mang tính thiết thực. Chẳng hạn, nếu một công ty có chi nhánh ở một vài thành phố khác nhau. Khi đó mỗi chi nhánh cần sẽ cần phải có một domain riêng, gây lãng phí và rất tốn kém. Trường hợp phổ biến khác là khi một công ty mua lại công ty khác. Tất nhiên hai công ty thường có hai domain khác nhau. Khi sát nhập lại thành một, chẳng nhẽ lại phải tiếp tục duy trì hai domain riêng như vậy.

    Nhiều khi người dùng ở miền này cần truy cập tài nguyên trên miền khác. Trường hợp này không phải hiếm gặp. Đưa ra giải pháp cho vấn đề này, Microsoft đã tạo các trusts hỗ trợ cho việc truy cập dễ dàng hơn. Bạn có thể hình dung hoạt động của trust cũng giống như công việc bảo vệ an ninh ở sân bay vậy.

    Tại Mỹ, hành khách thường phải xuất trình bằng lái xe cho nhân viên an ninh sân bay trước khi lên các chuyến bay nội địa. Giả sử bạn dự định bay tới một nơi nào đó trong địa phận nước Mỹ. Nhân viên an ninh tại sân bay không biết bạn là ai và chắc chắn là không tin bạn. Nhưng họ tin chính quyền bang Nam Carolina, nơi bạn sinh sống, xác nhận nhân thân và cấp bằng lái xe cho bạn. Do đó bạn có thể trình bằng lái xe Nam Carolina và nhân viên an ninh sân bay sẽ cho phép bạn lên máy bay mặc dù họ không cần tin cá nhân bạn là ai.

    Domain trust cũng hoạt động theo cách như vậy. Giả sử bạn là người quản trị một domain có chứa tài nguyên mà người dùng ở domain khác cần truy cập. Nếu bạn không phải là quản trị viên trong foreign domain thì bạn không có quyền điều khiển ai là người được cấp tài khoản người dùng trong domain đó. Nếu tin tưởng quản trị viên của domain bạn muốn có mối liên hệ, bạn có thể thiết lập một trust (có thể hiểu là một uỷ thác) để domain của bạn "uỷ thác" các thành viên của mình trở thành thành viên của domain kia. Foreign domain được gọi là domain "được uỷ thác".

    Trong bài trước tôi đã nhấn mạnh rằng domain controller cung cấp dịch vụ thẩm định chứ không phải là dịch vụ cấp phép. Điều này hoàn toàn đúng ngay cả khi các quan hệ uỷ thác được thiết lập. Thiết lập quan hệ uỷ thác tới foreign domain không cung cấp cho người dùng trong domain đó quyền truy cập vào bất cứ tài nguyên nào trong miền của bạn. Bạn vẫn phải gán quyền cho người dùng như đối với người dùng trong domain riêng của mình.

    Ở phần đầu của bài này chúng ta có nói rằng trong Windowns NT, mỗi domain là một môi trường riêng rẽ, tự chứa các nội dung bên trong và các uỷ thác được tạo ra theo kiểu cho phép người dùng ở domain này truy cập tài nguyên trong domain khác. Các khái niệm đó cho đến nay vẫn đúng một phần, nhưng mô hình domain thì thay đổi một cách đáng kinh ngạc khi Microsoft tạo ra Active Directory. Chắc bạn vẫn còn nhớ Active Domain được giới thiệu đầu tiên trong Windowns 2000 và hiện nay vẫn còn được dùng trong Windowns Server 2003. Chắc chắn Active Directory sẽ quay trở lại sớm trong Longhorn Server, phiên bản hệ điều hành server mới nhất sắp ra mắt của Microsoft.

    Một trong những điểm khác nhau chính giữa domain kiểu Windowns NT và domain Active Directory là chúng không còn duy trì tình trạng hoàn toàn riêng rẽ nữa. Trong Windowns NT, không có cấu trúc mang tính tổ chức cho các domain. Từng domain hoàn toàn độc lập với nhau. Còn trong môi trường Active Directory, cấu trúc có tổ chức chính được biết đến là forest (kiểu cấu trúc rừng). Một forest có thể chứa nhiều nhánh (tree) domain.

    Bạn có thể hình dung domain tree cũng giống như cây gia đình (hay còn gọi là sơ đồ phả hệ). Một cây gia đình gồm có: cụ, kỵ, ông bà, cha mẹ rồi đến con cái... Mỗi thành viên trong cây gia đình có một số mối quan hệ với thành viên ở trên và bên dưới. Domain tree cũng tương tự như vậy. Bạn có thể nói vị trí của một domain bên trong cây bằng cách nhìn vào tên nó.

    Các miền Active Directory dùng tên theo kiểu DNS, tương tự như tên dùng cho website. Bạn hãy nhớ lại, trong phần 3 của loạt bài này tôi đã giải thích các server DNS xử lý đường dẫn URL cho trình duyệt Web như thế nào. Kỹ thuật giống như vậy cũng được dùng nội bộ trong môi trường Active Directory. DNS là tên viết tắt của Domain Name Server (Máy chủ tên miền). Một DNS server là thành phần bắt buộc cho bất kỳ triển khai Active Directory nào.

    Để biết hoạt động đặt tên miền diễn ra như thế nào, chúng ta hãy cùng xem quá trình thiết lập một mạng riêng ra sao. Domain chính trong mạng tôi lấy ví dụ có tên production.com. Tôi không thực sự sở hữu tên miền Internet production.com, nhưng điều đó không thành vấn đề vì miền này hoàn toàn riêng tư và chỉ có thể truy cập được từ bên trong mạng riêng của tôi.

    Miền production.com được coi là domain mức đầu. Nếu đây là miền Internet, nó sẽ không giữ vị trí này nữa mà chỉ được xem là domain con của .com. Khi đó .com mới thực sự là domain mức đầu bảng. Mặc dù có một số điểm khác nhau không quan trọng lắm, nhưng nguyên tắc cơ bản giống như vậy vẫn được giữ nguyên. Tôi có thể dễ dàng tạo một domain con của production.com bằng cách tạo tên miền khác trong production.com, ví dụ sales.production.com chẳng hạn. Thậm chí còn có thể tạo một domain "cháu" như widgets.sales.production.com. Bạn có thể dễ dàng nói vị trí của một domain bên trong domain tree, chỉ cần nhìn vào số khoảng cách trong tên của miền.

    Như trước đã đề cập, một forest Active Directory có thể chứa một số domain tree. Bạn không bị giới hạn tạo các single domain tree trong forest này. Mạng riêng của tôi dùng hai domain tree: production.com và test.com. Domain test.com bao gồm tất cả server trong quá trình thử nghiệm với một số kỹ thuật khác nhau. Còn production.com domain chứa các server thực sự dùng trong hoạt động kinh doanh. Domain này là mail server và một số file server.

    Điểm đáng chú ý là khả năng tạo nhiều cây domain, cho phép bạn phân tách được mạng của mình, làm cho nó có ý nghĩa nhất với khả năng quản lý trong tương lai. Ví dụ, giả sử một công ty có năm văn phòng ở năm thành phố khác nhau. Công ty có thể dễ dàng tạo một rừng Active Directory gồm năm cây domain, mỗi cây cho một thành phố. Lúc đó mỗi chi nhánh trên một thành phố sẽ cần một quản trị viên. Và quản trị viên đó hoàn toàn tự do tạo các domain con cho domain tree của họ nếu thấy cần thiết.

    Ưu điểm của kiểu cấu trúc này là tất cả domain đều nằm trong một forest chung. Điều này có nghĩa là hoạt động quản trị điều khiển từng domain riêng hay các domain tree được phân phối cho từng quản trị viên ở mỗi thành phố khác nhau. Còn quản trị viên forest cuối cùng sẽ duy trì hoạt động điều khiển toàn bộ domain trong forest. Hơn nữa, các mối quan hệ uỷ thác được đơn giản hoá rất hiệu quả. Mọi domain trong forest thiết lập các uỷ thác tự động tới domain khác. Và nó hoàn toàn có thể thiết lập các trust này với forest hoặc domain mở rộng.
    (Sưu tập)

      Hôm nay: Fri Mar 29, 2024 6:14 am