1.1 Câu 1) 2đ
Trình bày chi tiết đặc điểm cùng với ưu khuyết điểm của các kiến trúc firewall mà anh chị biết , vẽ hình minh họa từng kiến trúc?
1.2 Câu 2) 2đ
Trình bày các mô hình truy cập mạng từ xa, giải thích và giải thích từng thành phần trong mô hình?
66 trang |
Chia sẻ: haohao89 | Lượt xem: 4372 | Lượt tải: 1
Bạn đang xem trước 20 trang tài liệu Câu hỏi ôn tập mạng máy tính, để xem tài liệu hoàn chỉnh bạn click vào nút DOWNLOAD ở trên
Đề 01 (ko rõ xuất xứ - đọc kỹ hướng dẫn sử dụng trước khi dùng)
Câu 1) 2đ
Trình bày chi tiết đặc điểm cùng với ưu khuyết điểm của các kiến trúc firewall mà anh chị biết , vẽ hình minh họa từng kiến trúc?
Câu 2) 2đ
Trình bày các mô hình truy cập mạng từ xa, giải thích và giải thích từng thành phần trong mô hình?
Câu3) 2đ
Trình bày các đặc điểm của các thiết bị kết nối mạng : Repeater, Hub.Bridge, Switch, và Router?
Vẽ sơ đồ mạng cho tòa nhà 10 tầng, 10 phòng/ tầng, 40 máy tính phòng, mỗi tầng là 1 network, Mạng của tòa nhà có kết nối internet và có cung cấp dịch vụ Web, dns,mail, và ftp
Câu 4) 2đ
Trình bày ý nghĩa chi tiết từng trường (field) trong header của IP datagram?
Vẽ sơ đồ xử lý IP datagram tại Router?
Câu 5) 2đ
Cho ví dụ cách thức họat động của Distance Vector Routing Protocol và Link State Routing protocol?
Trình bày ý nghĩa cuả khái niệm sau đây của dịch vụ DNS:
Các thành phần tham gia trong sự phân giải tên thành địa chỉ Ip?
Authoritative và non-authoritative DNS server?
Recursive và iterative query?
Root hint?
-------------------------------------HẾT--------------------------------------------
Đề 02 (chắc của năm ngoái)
Câu1.a.Trình bày các trường header của TCP Segment
b.(vẽ hình)cơ chế đóng và mở kết nối TCP
Câu 2.a.Các bước xử lý packet trong router
b.Ý nghĩa các trường IP Datagram Header
Câu 3.Hình minh họa các bước cài đặt VPN server theo mô hình Client to Gateway và gataway to Gateway
b.Ý nghĩa của các khái niệm DNS
-Các thành phần tham gia trong phân giải tên miền è IP
-Authoritative và Non-authoritative trong DNS server
-Recusive và interative query
-Root hint
Câu 4.Ưu khuyết điểm các kiến trúc firewall mà bạn biết ? Hình minh họa
Câu 5.a.Ví dụ cách thức hoạt động của Distance Vector Routing Protocol và Line State Routing Protocol
b.Kỹ thuật khắc phục routing loop trong Distance Vector routing protocol ?
-------------------------------------HẾT--------------------------------------------
Câu hỏi ôn tập
Nghi thức IP(tầng 2) (slide 04_TCP/IP Protocol) (Tùng, Toàn , Vũ tự phân chia , có khoảng 5 slide)
Routing – Subnet (slide 5_routing_subnet)
Chức năng của nghi thức định tuyến
Phân loại định tuyến
ARP
Obtaining an ip address
…
TCP/IP suite error and control message (slide 9) (Duy)
Distance vector routing (slide 7) (Tú)
Distance vector routing
Rip
Single Area (slide 8) (Duy)
TCP/IP application (slide 13) (Tùng 94)
DNS (slide 4_DNS) (Tùng 94)
Firewall
Theo mình ghi chép lại thì nội dung ôn tập nằm trong các file sau:+ "05_Routing_subnet.ppt"
1. Internet Protocol - Routed: học chức năng của những nghi thức định tuyến và cách phân loại nghi thức định tuyến.
2. IP Routing Protocols
+ "04_TCPIP Protocol.ppt"
- Học phần 3 ( Obtaining an IP Addressing), chỉ cần khảo sát ARP
+ "09_TCPIP Suite Error and Control Messages.ppt"+ "07_Distance vector routing.ppt"+ "08_Single Area OSPF.ppt"+ "13_TCPIP_Application.ppt"
- Hai nghi thức TCP và UDP (trọng tâm TCP/IP Transport Layer)
- DNS
- Firewall
Tầng 2 : bài Routing Subnet : Nghi thức IP(trường, đặc tính, chức năng)
+Internet Protocol
+IP Routing Protocol
-Nghi thức ARP và ICMP+phải hiểu Protocol TCP/IP-introduction to TCP/IP(phần 1 &3 chương 4)
-Chương 7: Distance vector Routing +RIP
-CHương 8: Single Area OSPF
-CHương 9: TCP Suite error & control message
Tầng Transport:
Contents
DNS
Ghi chú :
Không cần học thuộc hình ảnh
Các câu bắt đầu bằng “Ghi Chú” thì không cần học.
Giới thiệu :
DNS (Domain Name System) là một cơ sở dữ liệu phân tán chứa trên nhiều name server (NS) phân cấp . CSDL đặc biệt này gồm các record đặc biệt, gọi là Resource Record, là các bảng ánh xạ qua lại giữa IP address và Host name.
Chắc năng : ánh xạ tên miền đến 1 giá trị IP nào đó hoặc ngược lại
Làm cho các dịch vụ , tài nguyên trên Internet được định vị qua tên dễ nhớ thay vì địa chỉ IP khó nhớ.
Không gian tên miền (Domain Namespace)
Root Domain
Subdomains
Second-Level Domain
Top-Level Domain
FQDN:
server1.sales.south.nwtraders.com
south
nwtraders
com
sales
west
east
org
net
Host: server1
Các thành phần của DNS
DNS Servers on the Internet
DNS Servers
DNS Clients
Root “.”
.com
.edu
Resource
Record
Resource
Record
DNS Clients: các máy trạm, hoặc các DNS server cấp thấp có nhu cầu truy vấn yêu cầu phân giải một địa chỉ IP, hoặc một host name.
DNS Servers: chứa cơ sở dữ liệu đặc biệt ( chứa nhiều resource record)
DNS Servers on the Internet: là các DNS server chính của toàn thế giới, có khoảng 13 cái, nắm giữ toàn bộ các tên miền chính và quan trọng nhất. (vd: .com, .edu, .org, và các tên miền của quốc gia…)
Phân loại các loại Domain Name Server
Primary Name Server : mỗi miền phải có 1 Primary Name Server , chứa CSDL của DNS , có nhiệm vụ phân giải tất cả các máy tính trong miền nó quản lý.
Secondary Name Server : server này có nhiệm vụ tự động backup CSDL của Primary Name Server .
Caching Name Server : server này không chứa bất kỳ tập tin CSDL nào , nó lưu giữ nhưng tên máy được phân giải trước để tăng tốc độ phân giải
Stub name Server : các server này chứa thông tin về stub zone . Stub zone chứa danh sách các name server của 1 zone (master zone) . Nhiệm vụ của stub zone là giúp các name server của zone cha biết được danh sách cập nhật các name server trên các zone con.
Truy vấn DNS (DNS Query)
DNS Query : Một truy vấn DNS là một yêu cầu phân giải được gởi đến DNS server. Có 2 loại DNS query: recursive và iterative.
+ Một “recursive query” : là một query được gửi bởi máy client tới cho một DNS server, và DNS server này chịu trách nhiệm gửi câu trả lời hoàn chỉnh cho client .
+ Một “iterative query” : là một query được gửi bởi máy client tới DNS server, yêu cầu câu trả lời tốt nhất mà DNS server đó có thể hướng dẫn để tìm được câu trả lời rõ ràng hơn từ những DNS server khác. Kết quả của một iterative query thường liên quan tới những DNS server khác mức thấp hơn trong cây DNS.
[Xem hình ở dưới]
DNS client và DNS server đều có khả năng tạo một query yêu cầu phân giải.
Một DNS server authoritative (DNS server có thẩm quyền), chịu trách nhiệm quản lý không gian tên miền đó , có trách nhiệm :
Kiểm tra cache, kiểm tra zone, và trả về yêu cầu IP address.
Trả về “No”, nghĩa là không có thẩm quyền, server này ko quản lý namespace này.
Một DNS server non-authoritative (DNS server ko có thẩm quyền) sẽ :
Forward (chuyển tiếp) câu truy vấn mà nó ko thể phân giải được đến một DNS server đặc biệt, gọi là Forwarder.
Sử dụng các Root hints để trả lời cho câu query.
How Recursive Queries Work
Computer1
Recursive query for
mail1.nwtraders.com
172.16.64.11
A recursive query is a query made to a DNS server, in which the DNS client asks the DNS server to provide a complete answer to the query
DNS server checks the forward lookup zone and cache for an answer to the query
Database
Local DNS Server
How Iterative Queries Work
An iterative query is a query made to a DNS server in which the DNS client requests the best answer that the DNS s erver can provide without seeking further help from other DNS servers. The result of an iterative query is often a referral to another DNS server lower in the DNS tree
Computer1
Local
DNS Server
nwtraders.com
Root Hint (.)
.com
Recursive query for
mail1.nwtraders.com
172.16.64.11
Iterative Query
Iterative Query
Iterative Query
Ask .com
Ask nwtraders.com
Authoritative Response
3
2
1
Những loại Resource Record trong Name Server Database
A (Address) : phân giải host name ra địa chỉ IP
PTR (Pointer) : phân giải IP address ra host name
SOA (Start of Authority) : ứng với mỗi miền , DNS sẽ tạo ra 1 và chỉ 1 record SOA , record SOA chỉ ra 1 số thông tin cơ bản của domain. Record SOA chứa các thông tin như
Số Serial , refresh , retry , expire , TTL , tên miền , tên server dns …
SRV: loại source record này giúp xác định vị trí của một số dịch vụ , chứa tên của servers cung cấp dịch vụ
NS (Name Server) : chỉ ra authoritative Name server ứng với 1 domain.
MX (Mail Exchange) : record chứa thông tin về mail server
CNAME (Canonical name) : phân giải host name sang host name (tạo tên bí danh alias vào 1 tên canonical) . Canonical là tên host trong record A hoặc trỏ vào canonical khác .
Các thuật ngữ liên quan đến DNS
Root hints :
Là các DNS resource record ở trong database ở DNS server chứa danh sách các địa chỉ IP của các DNS root name server
DNS root name server : là DNS name server ở mức cao nhất trong hệ thống phân cấp của Name Server , ở trên thế giới có khoảng 13 cái root name server được ký hiệu từ a à m
Forwarder :
là một DNS server được chỉ định bởi các DNS server cục bộ , có nhiệm vụ forward câu query đi ra ngoài nhờ phân giải giùm.
[Hình kèm theo]
How Forwarders Work
A forwarder is a DNS server designated by other internal DNS servers to forward queries for resolving external or offsite DNS domain names
Computer1
nwtraders.com
Root Hint (.)
.com
Iterative Query
Iterative Query
Iterative Query
Ask .com
Ask nwtraders.com
Authoritative Response
Local
DNS Server
Forwarder
Recursive query for
mail1.nwtraders.com
172.16.64.11
172.16.64.11
Recursive Query
DNS Caching :
là quá trình lưu trữ tạm thời các thông tin địa chỉ vừa truy cập vào trong một hệ thống bộ nhớ phụ, nhằm tăng tốc truy cập cho những lần sau.
[Hình kèm theo]
Resource Reocord :
là 1 cấu trúc CSDL chuẩn của DNS , nó chứa thông tin để trả lời trong quá trình truy vấn DNS
Zone :
là một sự phân chia của DNS database chứa các Resource Records do chính zone đó quản lý, nói cách khác, DNS database được chia nhỏ xuống các zone trong cùng DNS namespace đó, để việc lưu trữ dễ dàng hơn, truy cập nhanh hơn.
Vd: một namespace tên training.nwtraders.msft
Lưu ý : có thể hiểu zone 1 cách đơn giản là tập hợp các domain và subdomain do chúng ta quản lý.
[Hình kèm theo]
Nwtraders
West
South
Support
Sales
Training
North
(Hình trên có 3 zones)
Các loại DNS Zone:
Primary: có thể đọc/ghi trên DNS database.
Secondary: chỉ có thể đọc DNS Database.
Stub: tạo bản sao của 1 zone chứa một giới hạn các records .
DNS zone transer :
là quá trình đồng bộ dữ liệu giữa các DNS server
[Hình kèm theo]
Các kiến trúc firewall căn bản :
Dual-Homed Host
Phải disable chức năng routing của dual-homed host để cấm hòan toàn lưu thông IP từ ngòai vào.
Các hệ thống bên trong và bên ngòai dual-homed host chỉ có thể liên lạc với dual-homed host mà chúng không liên lạc trực tiếp được với nhau.
Dual-homed host cung cấp dịch vụ thông qua proxy server hoặc login trực tiếp vào dual-homed host.
Screened Host
Trong kiến trúc này chức năng bảo mật chính được cung cấp bởi chức năng packet filtering tại screening router.
Packet filtering trên screening router được setup sao cho bastion host là máy duy nhất trong internal network mà các host trên internet có thể mở kết nối đến. Packet filtering cũng cho phép bastion host mở các kết nối (hợp pháp) ra bên ngòai (external network).
Thường Packet filtering thực hiện các công việc như sau :[1]. Cho phép các internal hosts mở kết nối đến các host trên internet đối với 1 số dịch vụ được phép .[2]. Cấm tất cả kết nối từ các external hosts vào .
Khi hacker đã tấn công được vào bastion host thì không còn một rào chắn nào cho các internal hosts.
Screened Subnet
Thêm 1 perimeter network để cô lập internal network với internet. Như vậy dù hacker đã tấn công được vào bastion host vẫn còn 1 rào chắn nữa phải vượt qua là interior router. Các lưu thông trong internal network được bảo vệ an toàn cho dù bastion đã bị “chiếm”.
Các dịch vụ nào ít tin cậy và có khả năng dễ bị tấn công thì nên để ở perimeter network.
Bastion host là điểm liên lạc cho các kết nối từ ngòai vào như : SMTP; FTP; DNS. Còn đối với việc truy cập các dịch vụ từ internal clients đến các server trên internet thì được điều khiển như sau :+. Set up packet filtering trên cả hai exterior và interior router để cho phép internal clients truy cập các servers bên ngòai 1 cách trực tiếp.+. Set up proxy server trên bastion host để cho phép internal clients truy cập các servers bên ngòai 1 cách gián tiếp.
Nên hạn chế các dịch vụ mà interior router cho phép giữa bastion host và internal net để giảm đi số máy có nguy cơ bị tấn công tiếp theo khi bastion đã bị “chiếm”.
Exterior router cho phép tất cả lưu thông từ perimeter net ra internet. Các packet filtering rules thiết yếu để bảo vệ cho các internal hosts là giống nhau trên tại exterior router và interior router.
Thường exterior router thực hiện packet filtering rules tổng quát, chung chung, ít chi tiết hơn so với interior router (ngọai trừ những packet filtering rules thật thiết yếu thì giống nhau). Việc phát hiện và ngăn cấm sự giả mạo địa chỉ được thực hiện tại exterior router.
Một số lưu ý về các kiến trúc firewall :
Các dạng kiến trúc firewall khác có thể dùng
Dùng nhiều Bastion Hosts
Để tăng performance, redundancy và tách biệt các servers và dữ liệu
Ghép Interior Router với Exterior Router
- Router phải cho phép áp dụng các luật cho dòng packet đi vô và đi ra trên mỗi interface.
Ghép Bastion Host và Exterior Router
Thường được dùng trong trường hợp dùng kết nối PPP lên internet
Dùng nhiều Exterior Routers
Trong trường hợp có nhiều kết nối lên internet hoặc trường hợp 1 kết nối lên internet và các kết nối đến các mạng bên ngòai khác.
Dùng nhiều Perimeter Networks
Dùng nhiều perimeter net để cung cấp đặc tính dư thừa (redundancy) cho hệ thống.
Các kiến trúc không nên dùng
Ghép Bastion Host và Interior Router
Dùng nhiều Interior Routers
Một số lưu ý đối với máy giữ vai trò Bastion Host :
1. Cấm các user accounts
2. Tắt bỏ các dịch vụ không cần thiết
3. Cài đặt phiên bản hệ điều hành “gọn gàng & sạch sẽ” nhất có thể được
4. Sửa tất cả các lỗi hệ thống
5. System logs
6. Tắt bỏ chức năng routing
Các tầng của TCP/IP
(không cần học hết chỉ tập trung vào Application và Transport. Tầng transport có bao gồm phần TCP và UDP)
Tầng 4 : Application : kiểm sóat các giao thức lớp cao , liên quan các chủ đề trình diễn , biễu diễn thông tin , mã hóa và điều khiển hộp thọai , chuyển đổi cấu trúc dữ liệu đảm bảo dữ liệu đuợc thích hợp trước khi nó chuyển đến các lớp kế tiếp.Các Ứng dụng :
File Transfer(FTP , NFS , TFTP)
E-mail (SMTP : Simple Mail Transfer Protocol)
Remote Login (Telnet , rlogin)
Network Manament (SNMP*)
Name Manament (DNS : Domain Name System)
Tầng 3 : Transport: Cung cấp DV vận chuyển từ host này đến host khác.
Đơn vị dữ liệu : segment(user datagram)
Giao thức chủ yếu cở tầng transport là TCP và UDP :
TCP (Transmission Control Protocol): là giao thức thuộc lọai Connection-oriented , vận chuyển dữ liệu có bảo đảm , tin cây , đúng thư tư, có 3 chức năng
Flow Control điều khiển tốc độ truyền DL bên gởi , tránh làm tràn ngập DL bên nhận. Xử lý :
@ Bên nhận dùng 1 buffer lưu gói DL từ bên gởi gởi đến mà chưa xử lý kịp , sau đó mới vào đó lấy ra xử lý à giúp bên nhận phần nào đó tránh bị ngập DL
@ Bên nhận thông báo kích thước cho bên gởi à bên gởi sẽ gởi đúng kích thước đó
Error Control : Khắc phục lỗi dữ liệu : Bị mất , Bị hư , Trùng lắp . Yêu cầu truyền lại datagram nếu phát hiện lỗi .
Giải quyết:
Bị mất : dùng Acknowledgement
à Bên gởi gởi gói DL đi , chờ bên nhận phản hồi về là đã nhận à mới gởi tiếp. Nếu trong khoảng tgian x mà ko nhận đc phản hồi à xem như bị mất & gởi lại
Bị hư : dùng Checksum
à Bên gởi gởi gói DL đi gởi thông qua 1 hàm tính toán ra số. Bên nhận cũng làm tương tự
à So sánh 2 số nếu khớp nhau à Thành công
Bị trùng : dùng Sequence Numberà Gói DL gởi đi đánh số thứ tự
Sequence Control : phục vụ vấn đề cắt gói DL bên gởi & ráp lại ở bên nhận à Giải quyết 2 vấn đề:
Lỗi trùng lắp
Cắt bên gởi & ráp bên nhận đúng thứ tự
Ứng dụng sử dụng TCP: HTTP (WWW), FTP (file transfer), Telnet (remote login), SMTP (email)
UDP (User Datagram Protocol): là nghi thức thuộc lọai Connection-less , vận chuyển dữ liệu ko bảo đảm , kém tin cậy vì nó không có cơ chế kiểm tra tính đúng đắn của dữ liệu truyền.
Không tin cậy, cố gắng tối đa gửi segment đến bên nhận
Không có Flow Control, nên bên gửi có thể gửi dữ liệu với tốc độ tối đa
Không có Error Control. Ko chia cắt và ráp message bên nhận.
không cần thiết lập kênh truyền bắt tay 3 bước, nên độ trễ nhỏ
Hoạt động nhanh hơn TCP
Header gói tin có kích thước nhỏ
Ứng dụng sử dụng UDP: Đa phương tiện theo luồng, Hội thảo từ xa, Điện thoại Internet, dịch vụ DNS , SNMP
Tầng 2 : Internet : Xác định con đường truyền tốt I từ host này đến host khác.
Giao thức chính họat động tại lớp này là IP (Internet Protocol)
IP : là giao thức thuộc lọai connection-less , cố gắng phân phối dữ liệu , ko quan tâm nội dung của gói, tìm kiếm đường cho gói tới đích
Các giao thức phụ bổ sung cho giao thức IP
ICMP (Internet Control Message Protocol): Nghi thức thông báo lỗi tại sao dữ liệu bị hỏng , hay ko thể tới đích hoặc khi router bỏ gói dữ liệu không xử lý thì ICMP cũng sinh thông báo chuyển về cho bên gởi. VD lệnh PING thuộc nghi thức này
ARP (Address Resolution Protocol): Cơ chế chuyển địa chỉ TCP/IP thành địa chỉ MAC của các thiết bị mạng.
RARP (Reverse Address Resolution Protocol): Cơ chế chuyển địa chỉ MAC thành địa chỉ TCP/IP.
Tầng 1 : Network Access (*)
Còn được gọi là lớp host-to-network
Liên quan đến tất cả các vấn đề mà gói IP cần để thực sự tạo ra một liên kết vật lý. Nó bao gồm các chi tiết của công nghệ LAN và WAN và tất cả các chi tiết trong tầng Physical và Data Link của mô hình OSI
Định ra các thủ tục để giao tiếp với phần cứng mạng và truy xuất phương tiện truyền dẫn
Ánh xạ địa chỉ IP sang địa chỉ vật lý và đóng gói các gói IP thành các frame
Tầng Transport của TCP/IP
Tổng quan Transport layer:
Nhiệm vụ chính của tầng Transport Layer là vận chuyển và quy định dòng thông tin từ nguồn đến đích đúng đắn và đáng tin cậy.
Thiết lập phiên kết nối connection-oriented giữa các các thiết bị ở tầng ứng dụng.
Mô hình Transport Layer cung cấp những dịch vụ cơ bản sau:
Phân chia dữ liệu ứng dụng ở lớp cao hơn.
Thiết lập kết nối end-to-end.
Truyền các segment từ một host đích đến một host đích khác.
Thực hiện cơ chế Flow Control: Chống tràn ngập dữ liệu bên nhận.
Cung cấp xác thực đáng tin cậy bằng các Sequence number và các Acknowledgment.
Nguyên tắc hoạt động:
Cơ chế Flow Control:
Điều khiển tốc độ truyền DL bên gởi , tránh làm tràn ngập DL bên nhận. Xử lý :
Bên nhận dùng 1 buffer lưu gói DL từ bên gởi gởi đến mà chưa xử lý kịp , sau đó mới vào đó lấy ra xử lý à giúp bên nhận phần nào đó tránh bị ngập DL
Bên nhận thông báo kích thước cho bên gởi à bên gởi sẽ gởi đúng kích thước đó
Bên nhận có thể gửi tín hiệu “ready” hoặc “not ready” để đk việc truyền dữ liệu bên gởi
Cuối quá trình truyền bên gửi sẽ gửi tín hiệu kết thức quá trình truyền . Bên nhận phải xác thực lại bên gởi thì mới kết thúc quá trình truyền thực sự
Mô hình bắt tay 3 bước để khởi tạo phiên kết nối
TCP ở tầng Transport là giao thức thuộc loại connection-oriendted . TCP cần thiết lập kết nối trước khi truyền dữ liệu . Các hệ thống này thực hiện thiết lập phiên kết nối thông qua mô hình bắt tay 3 bước như sau:
A
B
Bước 1: Thực hiện đồng bộ số khởi tạo Sequence. Segment gửi truyền các bít điều khiển gọi là SYN đến bên nhận. Bên nhận thực hiện chứng nhận và truyền tin báo nhận (ACK) đến bên gửi.
A→B , số khởi tạo sequence = X, số ACK là 0. Bit SYN được bật , bit ACK thì không bật.
Bước 2: Bên nhận thực hiện truyền thông tin đã nhận (ACK) và bit điều khiển SYN yêu cầu khối dữ liệu gửi.
B→A : số ACK là X + 1, (B) khở động số Sequence là Y, bit SYN và ACK được được bật.
Bước 3: Truyền dữ liệu.
A→B số ACK là Y + 1, (A) số sequence là X + 1, bit ACK được bật,bit SYN không bật.
Sau khi thiết lập kết nối, TCP bắt đầu thực hiện truyền số liệu, quá trình này gồm 2 bước:
Bước 1: Bên gửi thực hiện gửi gói tin đầu tiên. Bên nhận thực hiện nhận gói tin và gửi ngược một ACK thông báo gói tin tiếp theo mà bên gửi phải gửi .
Bước 2: Bên gửi nhận gói tin ACK và truyền g