Tải bản đầy đủ (.pdf) (59 trang)

XÂY DỰNG HỆ THỐNG QUẢN LÝ TÀI NGUYÊN VÀ TRUY CẬP INTERNET CHO CÁC KÝ TÚC XÁ ĐẠI HỌC QUỐC GIA HÀ NỘI. LUẬN VĂN THẠC SĨ CÔNG NGHỆ THÔNG TIN

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (2.22 MB, 59 trang )

ĐẠI HỌC QUỐC GIA HÀ NỘI
VIỆN CÔNG NGHỆ THÔNG TIN

ĐỒNG QUANG VIỆT

XÂY DỰNG HỆ THỐNG QUẢN LÝ TÀI NGUYÊN
VÀ TRUY CẬP INTERNET CHO CÁC KÝ TÚC XÁ
ĐẠI HỌC QUỐC GIA HÀ NỘI

LUẬN VĂN THẠC SĨ CÔNG NGHỆ THÔNG TIN

Hà Nội - 2016


ĐẠI HỌC QUỐC GIA HÀ NỘI
VIỆN CÔNG NGHỆ THÔNG TIN

ĐỒNG QUANG VIỆT

XÂY DỰNG HỆ THỐNG QUẢN LÝ TÀI NGUYÊN
VÀ TRUY CẬP INTERNET CHO CÁC KÝ TÚC XÁ
ĐẠI HỌC QUỐC GIA HÀ NỘI
Ngành: Công nghệ Thông tin
Chuyên ngành: Quản lý Hệ thống Thông tin
Mã số: Chuyên ngành đào tạo thí điểm

LUẬN VĂN THẠC SĨ CÔNG NGHỆ THÔNG TIN
NGƯỜI HƯỚNG DẪN KHOA HỌC: TS. VŨ DUY LINH
NHẬN XÉT CỦA

NHẬN XÉT CỦA



CÁN BỘ HƯỚNG DẪN

CHỦ TICH HỘI ĐỒNG CHẤM LUẬN VĂN

TS. VŨ DUY LINH

PGS.TS. ĐỖ NĂNG TOÀN

Hà Nội – 2016


Lời cảm ơn
Để hoàn thành luận văn này, trước tiên, tôi xin gửi lời cảm ơn sâu sắc nhất đến
thầy giáo TS. Vũ Duy Linh, người đã khơi nguồn, định hướng chuyên môn,
cũng như trực tiếp hướng dẫn và tạo mọi điều kiện thuận lợi nhất cho tôi trong
quá trình thực hiện luận văn.
Tôi xin chân thành gửi lời cảm ơn đến các thầy cô trong Viện CNTT – ĐH Quốc
Gia Hà Nội đã góp ý kiến, nhận xét và quan tâm chỉ bảo, giúp đỡ tận tình trong
quá trình tôi thực hiện đề tài.
Tôi xin chân thành gửi lời cám ơn đến các bạn đồng nghiệp cũng trong Trung
tâm Ứng dụng Công nghệ Thông tin – Viện CNTT – ĐH Quốc Gia Hà Nội đã
tạo điều kiện giúp đỡ tôi trong quá trình thực hiện đề tài.
Cuối cùng, tôi xin bày tỏ lòng kính trọng và sự biết ơn sâu sắc đến gia đình đã
tạo động lực và mọi điều kiện tốt nhất để tôi có thể hoàn thành tốt mọi công việc
trong quá trình thực hiện luận văn.
Mặc dù đã rất cố gắng trong quá trình thực hiện luận văn không thể tránh khỏi
những thiếu sót. Tôi rất mong nhận được sự góp ý của các thầy cô và bạn bè để
tiếp tục hoàn thiện thêm việc xây dựng hệ thống quản lý tài nguyên và truy cập
internet cho các ký túc xá Đại học Quốc gia Hà Nội.

Hà Nội, ngày tháng năm 2016
Tác giả luận văn

Đồng Quang Việt


Lời cam đoan
Tôi xin cam đoan rằng đây là công trình nghiên cứu của tôi, có sự hỗ trợ từ Thầy
hướng dẫn và những người tôi đã cảm ơn. Các nội dung nghiên cứu và kết quả
trong đề tài này là trung thực và chưa từng được ai công bố trong bất cứ công
trình nào.
Hà Nội, ngày tháng năm 2016
Tác giả luận văn

Đồng Quang Việt


MỤC LỤC
DANH MỤC THUẬT NGỮ VÀ TỪ VIẾT TẮT ............................................................i
DANH MỤC HÌNH ....................................................................................................... ii
DANH MỤC BẢNG ..................................................................................................... iii
MỞ ĐẦU .........................................................................................................................1
Chương 1: Tổng quan về quản lý tài nguyên và truy cập internet và một số giải pháp ..3
1.1. Các ứng dụng dịch vụ mạng..................................................................................3
1.1.1. DHCP ..............................................................................................................3
1.1.2. LDAP ..............................................................................................................4
1.1.3. RADIUS..........................................................................................................7
1.1.4. DNS Forwarder ...............................................................................................8
1.1.5. Squid proxy .....................................................................................................8
1.1.6. Captive portal ..................................................................................................9

1.1.7. Firewall ...........................................................................................................9
1.1.8. Load Balancer ...............................................................................................11
1.2. Một số giải pháp quản lý tài nguyên và truy cập internet ...................................11
1.2.1. Giới thiệu các giải pháp ................................................................................11
1.2.2 So sánh các giải pháp:....................................................................................16
Chương 2: Thiết kế hệ thống quản lý tài nguyên và truy cập internet cho các ký túc xá
trong ĐHQGHN ............................................................................................................19
2.1. Kiến trúc hệ thống: ..............................................................................................19
2.2. Nguyên lý hoạt động: ..........................................................................................24
2.2.1. DHCP cho hệ thống quản lý tài nguyên và truy cập internet của KTXNN..24
2.2.2. Chứng thực người sử dụng cho hệ thống quản lý tài nguyên và truy cập
internet của KTXNN ...............................................................................................25
2.2.3. FireWall cho hệ thống quản lý tài nguyên và truy cập internet của KTXNN ...26
2.2.4. Routing và Load balancing cho hệ thống quản lý tài nguyên và truy cập
internet của KTXNN ...............................................................................................27
Kết luận Chương 2.........................................................................................................28
Chương 3: Xây dựng hệ thống quản lý tài nguyên và truy cập internet cho ký túc xá
ĐHNN trong ĐHQGHN ................................................................................................ 29


3.1 Thực nghiệm xây dựng hệ thống quản lý tài nguyên và truy cập internet cho
KTXNN ......................................................................................................................29
3.2. Đánh giá hệ thống quản lý tài nguyên và truy cập internet KTXNN .................45
KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN ....................................................................49
TÀI LIỆU THAM KHẢO .............................................................................................50


DANH MỤC THUẬT NGỮ VÀ TỪ VIẾT TẮT
DHCP
LDAP

RADIUS
AAA
NAC
NAP
TNC
HA
PVS
ĐHQGHN
KTXNN
ĐHNN

Dynamic Host Configuration Protocol
Lightweight Directory Access Protocol
Remote Authentication Dial-In User Service
Authentication, Authorization, Access Control
Network Admission Control
Network Access Protection
The Trusted Network Connect
High Availability
Posture Validation Server
Đại Học Quốc Gia Hà Nôi
Ký Túc Xá Đại học Ngoại Ngữ - Đại học Quốc gia Hà Nội
Đại Học Ngoại Ngữ

i


DANH MỤC HÌNH
Hình 1.1: Mô hình kết nối giữa client/server ..................................................................5
Hình 1.2: Thao tác tìm kiếm cơ bản ................................................................................6

Hình 1.3: Những thông điệp Client gửi cho server .........................................................6
Hình 1.4: Nhiều kết quả tìm kiếm được trả về ................................................................6
Hình 1.5: Tường lửa làm nhiệm vụ bảo vệ ....................................................................10
Hình 1.6: Mô hình xác thực NAC của Cisco (nguồn [9]) .............................................12
Hình 1.7: Mô hình xác thực sử dụng Captive Portal .....................................................13
Hình 1.8: Mô hình sử dụng PFSense .............................................................................14
Hình 2.1: Mô hình hệ thống mạng KTXNN .................................................................20
Hình 2.2: Mô hình hệ thống mạng KTXNN – PFSense ................................................22
Hình 2.3: Thông tin hệ thống Server PFSense ..............................................................23
Hình 2.4: Mô hình hệ thống mạng chia Vlan tại KTXNN ............................................24
Hình 2.5: Bật chức năng DHCP server cho VLAN......................................................25
Hình 2.6: Cấu hình cấp dải IP cho VLAN.....................................................................25
Hình 2.7: Rules của VLAN21NHAA ............................................................................26
Hình 2.8: Bảng thiết lập NAT (1:1)...............................................................................27
Hình 3.1: Cấu hình DHCP cho VLAN21NHAA ..........................................................29
Hình 3.2: Cấu hình DHCP cho VLAN31NHAB ..........................................................30
Hình 3.3: Cấu hình DHCP cho VLAN12 ......................................................................31
Hình 3.4: Cấu hình DHCP cho VLANWIFI16 .............................................................32
Hình 3.5: Kích hoạt DNS Forwarder .............................................................................33
Hình 3.6: kích hoạt captive portal cho các interface .....................................................33
Hình 3.7: Thiết lập Radius server trên Captive portal ...................................................34
Hình 3.8: Thiết lập IP qua Captive Portal .....................................................................34
Hình 3.9: Bảng thiết lập những Ip được đi qua Captive Portal .....................................35
Hình 3.10: Thiết lập kết nối LDAP cho FreeRADIUS .................................................36
Hình 3.11: Bảng Rules của Interface WANVNU112 ...................................................37
Hình 3.12: Giới hạn băng thông ....................................................................................37
Hình 3.13: Thiết lập các hàng cho các interface ...........................................................38
ii



Hình 3.14: Thiết lập các hàng cho các interface ...........................................................38
Hình 3.15: Bảng Vlan của hệ thống ..............................................................................39
Hình 3.16: Chỉnh sửa 1 Vlan .........................................................................................39
Hình 3.17: Bảng các interface của hệ thống ..................................................................40
Hình 3.18: Interface VLAN21NHAA ...........................................................................41
Hình 3.19: Interface WANVNU112..............................................................................42
Hình 3.20: Interface WAN_SPT ...................................................................................43
Hình 3.21: Bảng routing ................................................................................................ 44
Hình 3.22: Cấu hình WAN_SPT gateway.....................................................................44
Hình 3.23: Default Gateway của hệ thống ....................................................................45
Hình 3.24: Băng thông đi qua interface WANVNU112 ...............................................46
Hình 3.25: Thông tin hệ thống ......................................................................................47
Hình 3.26: Bảng trạng thái các queue đang áp dụng tại các interface ..........................48

DANH MỤC BẢNG
Bảng 1.1: So sánh 2 giải pháp quản lý tài nguyên và truy cập internet ........................17

iii


MỞ ĐẦU
Chúng ta đang sống trong thời đại mới, thời đại phát triển rực rỡ của công nghệ
thông tin. Công nghệ thông tin đã ở một bước phát triển cao đó là số hóa tất cả các dữ
liệu thông tin, luân chuyển mạnh mẽ và kết nối tất cả chúng ta lại với nhau. Mọi loại
thông tin, số liệu âm thanh, hình ảnh có thể được đưa về dạng kỹ thuật số để bất kỳ
máy tính nào cũng có thể lưu trữ và chuyển tiếp cho nhiều người. Từ dữ liệu được số
hóa sẽ trở thành những tài nguyên được chia sẻ chung trong hệ thống mạng cũng như
internet. Chính vì vậy quản lý tài nguyên và truy cập internet của người sử dụng là một
bài toán tổng quan và phổ biến hiện nay. Quản lý tài nguyên và truy cập internet của
người sử dụng cần đáp ứng được các nhu cầu quản lý khác nhau của các đơn vị, tổ

chức hoặc các doanh nghiệp mà chọn các giải pháp khác nhau. Quản lý tài nguyên và
truy cập internet của người sử dụng nhằm một mục đích là làm cho việc sử dụng tài
nguyên và truy cập internet hiệu quả hơn và trong sáng hơn. Rõ ràng là như vậy khi
bạn không muốn người sử dụng truy cập internet và tài nguyên không lành mạnh thì
cần quản lý được nội dung truy cập của người sử dụng. Và như vậy sẽ tăng hiệu năng
làm việc cũng như khả năng học tập của người sử dụng. Quản lý tài nguyên và truy
cập internet cũng là phải quản lý được lưu lượng sử dụng cũng như dung lượng sử
dụng của người sử dụng, tránh làm ảnh hưởng đến chất lượng của hệ thống cũng như
việc sử dụng của các cá nhân khác. Quản lý tài nguyên và truy cập internet của người
sử dụng cũng là việc làm sao phải bảo đảm an toàn và bảo mật thông tin của người sử
dụng khi hoạt động trong hệ thống. Quản lý tài nguyên và truy cập internet của người
sử dụng cũng là quản lý số người truy cập tài nguyên và internet. Muốn quản lý tài
nguyên và truy cập internet của người sử dụng cần phải xây dựng một hệ thống quản
lý tài nguyên và truy cập internet. Với nhiều kỹ thuật mới như hiện nay thì có rất nhiều
giải pháp được đưa ra để quản lý tài nguyên và truy cập internet của người sử dụng.
Khiến cho bài toán quản lý tài nguyên và truy cập internet càng trở nên thiết thực,
phong phú hơn được áp dụng ở nhiều mô hình mạng khác nhau từ nhỏ đến lớn. Có thể
kể đến các giải pháp như: Captive Portal [2], Firewall, DHCP tích hợp MAC filter hay
các giải pháp của các hãng như: Cisco có gói giải pháp NAC (Network Admission
Control) [10], Microsoft có gói giải pháp NAP (Network Access Protection) [11], hay
tổ chức phi lợi nhuận The Trusted Computing Group đưa ra gói giải pháp TNC (the
Trusted Network Connect) [12].
Nhưng để đáp ứng những nhu cầu mạnh mẽ và với chi phí thấp thì sử dụng hệ thống
tích hợp mã nguồn mở PFSense [5][6], một hệ thống rất thiết thực với bài toán quản lý
tài nguyên và truy cập internet vì nó cung cấp các dịch vụ độc lập, phong phú, cho
phép triển khai trong một hệ thống mạng cỡ vừa và lớn, với tập người dùng đa dạng,
tập trung đến yếu tố quản lý truy xuất tài nguyên trên mạng đối với người sử dụng đầu
cuối và quan trọng là hệ thống phần mềm hoàn toàn miễn phí và phí triển khai thấp.

1



Từ đó ta có mục tiêu được đặt ra là Xây dựng hệ thống quản lý tài nguyên và truy cập
internet cho các ký túc xá Đại học Quốc gia Hà Nội bằng hệ thống mã nguồn mở PFSense.
 Nội dung và phương pháp nghiên cứu
Để đạt được mục tiêu đã đề ra, trước tiên tôi tìm hiểu các ứng dụng dịch vụ cơ bản cần
có trong quản lý tài nguyên và truy cập internet như DHCP, LDAP, RADIUS, SQUID
PROXY, CAPTIVE PORTAL, FIREWALL, LOAD BALANCER.
Tiếp theo tôi tiến hành nghiên cứu thêm về một số giải pháp quản lý tài nguyên và truy
cập internet hiện nay. Trong đó tôi tìm hiểu kỹ hơn về giải pháp quản lý tài nguyên và
truy cập internet bằng hệ thống mã nguồn mở PFSense.
Sau khi nghiên cứu kỹ lý thuyết và tham khảo một vài giải pháp tôi tiến hành Xây
dựng hệ thống quản lý tài nguyên và truy cập internet cho các ký túc xa của Đại học
Quốc gia Hà Nội. Cuối cùng tôi đánh giá hiệu quả của hệ thống và đề xuất các hướng
nghiên cứu tiếp theo.
 Phạm vi nghiên cứu
Luận văn chỉ nghiên cứu về các cơ chế kết hợp, liên thông của các giao thức, dịch vụ,
ứng dụng để đưa ra được hệ thống triển khai hoàn chỉnh.
Tác giả chỉ sử dụng các công cụ nghiên cứu có sẵn chứ không cải tiến các nghiên cứu,
thuật toán trong các lĩnh vực, công cụ này.
 Kết quả đạt được
Với mục tiêu đề ra, tôi đã đạt được một số kết quả như sau:
Trình bày một số lý thuyết về các dịch vụ, ứng dụng mạng cơ bản cũng như một số
giải pháp về quản lý tài nguyên và truy cập internet. Tìm hiểu kỹ hơn về giải pháp
quản lý tài nguyên và truy cập internet bằng hệ thống mã nguồn mở PFSense.
Từ đó thấy được giải pháp quản lý tài nguyên và truy cập internet bằng hệ thống mã
nguồn mở PFSense là phù hợp với yêu cầu xây dựng hệ thống quản lý tài nguyên và
truy cập internet cho các ký túc xá của Đại học Quốc gia Hà Nội.
Trình bày việc xây dựng hệ thống quản lý tài nguyên và truy cập internet cho các ký
túc xá Đại học Quốc gia Hà Nội mà lấy điển hình là ký túc xá Đại học Ngoại Ngữ Đại học Quốc gia Hà Nội.

Cuối cùng trình bày được những cấu hình thực nghiệm của hệ thống quản lý tài
nguyên và truy cập internet của ký túc xá Đại học Ngoại Ngữ, đưa ra được các đánh
gia vá hướng đi tiếp theo.

2


Chương 1: Tổng quan về quản lý tài nguyên và truy cập internet và một số giải
pháp
Quản lý tài nguyên và truy cập internet là một bài toán tổng quát và phổ biến
hiện nay. Tùy theo nhu cầu khác nhau của các tổ chức, doanh nghiệp mà họ lựa chọn
các giải pháp khác nhau nhằm đáp ứng các yêu cầu quản lý gồm: Triển khai, thiết lập
chính sách bảo mật và khắc phục sự cố. Lập kế hoạch và chọn giải pháp phù hợp cho
việc hợp lý hóa băng thông. Phân đoạn mạng nhằm mục tiêu hợp lý hóa băng thông,
giảm nguy cơ lây lan virus và kiểm soát truy cập tài nguyên mạng. Quản trị mạng
trong một hệ thống tập trung, vân vân.
Cùng với đó việc các công nghệ xác thực, bảo mật khác nhau ra đời khiến cho
bài toán “Quản lý tài nguyên và truy cập internet” càng trở nên thiết thực, phong phú
hơn được áp dụng ở nhiều mô hình mạng khác nhau từ nhỏ đến lớn. Có thể kể đến các
giải pháp như: Captive Portal [2], Firewall, DHCP tích hợp MAC filter hay các giải
pháp của các hãng như: Cisco có gói giải pháp NAC (Network Admission Control)
[10], Microsoft có gói giải pháp NAP (Network Access Protection) [11], hay tổ chức
phi lợi nhuận The Trusted Computing Group đưa ra gói giải pháp TNC (the Trusted
Network Connect) [12], vân vân. Nội dung chương này đề cập đến một số giải pháp
phổ biến hiện nay, các dịch vụ và ứng dụng mạng cơ bản cần có trong quản lý tài
nguyên và truy cập internet.
1.1. Các ứng dụng dịch vụ mạng
1.1.1. DHCP
DHCP (dynamic host configuration protocol): Giao thức cấu hình địa chỉ động
được thiết kế làm giảm thời gian chỉnh cấu hình cho mạng TCP/IP bằng cách tự động

gán các địa chỉ IP cho người sử dụng khi họ vào mạng. Dịch vụ DHCP là một thuận
lợi rất lớn đối với người điều hành mạng. Nó làm yên tâm về các vấn đề cố hữu phát
sinh khi phải khai báo cấu hình thủ công. Nói một cách tổng quan hơn DHCP là dịch
vụ mang đến cho chúng ta nhiều lợi điểm trong công tác quản trị và duy trì một mạng
TCP/IP như:
+ Tập trung quản trị thông tin về cấu hình IP.
+ Cấu hình động các máy.
+ Cấu hình IP cho các máy một cách liền mạch
+ Sự linh hoạt
+ Khả năng mở rộng
Chức năng:
– Mỗi thiết bị trên mạng cơ sở TCP/IP phải có một địa chỉ IP duy nhất để truy cập
mạng và các tài nguyên của nó. Không có DHCP, cấu hình IP phải được thực hiện một
cách thủ công cho các máy tính mới, các máy tính di chuyển từ mạng con này sang
mạng con khác, và các máy tính được loại bỏ khỏi mạng.
– Bằng việc phát triển DHCP trên mạng, toàn bộ tiến trình này được quản lý tự động
và tập trung. DHCP server bảo quản vùng của các địa chỉ IP và giải phóng một địa chỉ
với bất cứ DHCP client có thể khi nó có thể ghi lên mạng. Bởi vì các địa chỉ IP là động

3


hơn tĩnh, các địa chỉ không còn được trả lại một cách tự động trong sử dụng đối với
các vùng cấp phát lại.
Các thuật ngữ trong DHCP:
– DHCP Server: máy quản lý việc cấu hình và cấp phát địa chỉ IP cho Client
– DHCP Client: máy trạm nhận thông tin cấu hình IP từ DHCP Server
– Scope: phạm vi liên tiếp của các địa chỉ IP có thể cho một mạng.
– Exclusion Scope: là dải địa chỉ nằm trong Scope không được cấp phát động cho Clients.
– Reservation: Địa chỉ đặt trước dành riêng cho máy tính hoặc thiết bị chạy các dịch

vụ (tùy chọn này thường được thiết lập để cấp phát địa chỉ cho các Server, Printer,…..)
– Scope Options: các thông số được cấu hình thêm khi cấp phát IP động cho Client
như DNS Server(006), Router(003).
Phương thức hoạt động của dịch vụ DHCP
Dịch vụ DHCP hoạt động theo mô hình Client / Server. Theo đó quá trình tương tác
giữa DHCP client và server sẽ diễn ra theo các bước sau.
Bước 1: Khi máy Client khởi động, máy sẽ gửi broadcast gói tin DHCP DISCOVER,
yêu cầu một Server phục vụ mình. Gói tin này cũng chứa địa chỉ MAC của client.
Nếu client không liên lạc được với DHCP Server thì sau 4 lần truy vấn không thành
công nó sẽ tự động phát sinh ra 1 địa chỉ IP riêng cho chính mình nằm trong dãy
169.254.0.0 đến 169.254.255.255 dùng để liên lạc tạm thời. Và client vẫn duy trì việc
phát tín hiệu Broadcast sau mỗi 5 phút để xin cấp IP từ DHCP Server.
Bước 2: Các máy Server trên mạng khi nhận được yêu cầu đó. Nếu còn khả năng cung
cấp địa chỉ IP, đều gửi lại cho máy Client một gói tin DHCP OFFER, đề nghị cho thuê
một địa chỉ IP trong một khoảng thời gian nhất định, kèm theo là một Subnet Mask và
địa chỉ của Server. Server sẽ không cấp phát địa chỉ IP vừa đề nghị cho client thuê
trống suốt thời gian thương thuyết.
Bước 3: Máy Client sẽ lựa chọn một trong những lời đề nghị (DHCP OFFER) và gửi
broadcast lại gói tin DHCP REQUEST và chấp nhận lời đề nghị đó. Điều này cho
phép các lời đề nghị không được chấp nhận sẽ được các Server rút lại và dùng để cấp
phát cho các Client khác.
Bước 4: Máy Server được Client chấp nhận sẽ gửi ngược lại một gói tin DHCP ACK
như một lời xác nhận, cho biết địa chỉ IP đó, Subnet Mask đó và thời hạn cho sử dụng
đó sẽ chính thức được áp dụng. Ngoài ra server còn gửi kèm những thông tin bổ sung
như địa chỉ Gateway mặc định, địa chỉ DNS Server…
1.1.2. LDAP
LDAP (Lightweight Directory Access Protocol) – là giao thức truy cập nhanh các dịch
vụ thư mục - là một chuẩn mở rộng cho nghi thức truy cập thư mục.
LDAP là một giao thức tìm, truy nhập các thông tin dạng thư mục trên server. Nó dùng
giao thức dạng Client/Server để truy cập dịch vụ thư mục.

LDAP chạy trên TCP/IP hoặc các dịch vụ hướng kết nối khác.
Ngoài ra, LDAP được tạo ra đặc biệt cho hành động "đọc". Bởi thế, xác thực người
4


dùng bằng phương tiện "lookup" LDAP nhanh, hiệu suất, ít tốn tài nguyên, đơn giản
hơn là query 1 user account trên CSDL
Có các LDAP Server như: OpenLDAP, OPENDS, Active Directory, …
Phương thức hoạt động của LDAP
Ldap dùng giao thức giao tiếp client/server
Giao thức giao tiếp client/server là một mô hình giao thức giữa một chương trình client
chạy trên một máy tính gởi một yêu cầu qua mạng đến cho một máy tính khác đang
chạy một chương trình server (phục vụ).
Chương trình server này nhận lấy yêu cầu và thực hiện sau đó nó trả lại kết quả cho
chương trình client.
Ý tưởng cơ bản của giao thức client/server là công việc được gán cho những máy tính
đã được tối ưu hóa để thực hiện công việc đó.
Một máy server LDAP cần có rất nhiều RAM (bộ nhớ) dùng để lưu trữ nội dung các
thư mục cho các thao tác thực thi nhanh và máy này cũng cần đĩa cứng và các bộ vi xử
lý ở tốc độ cao. Đây là một tiến trình hoạt động trao đổi LDAP client/server:

Hình 1.1: Mô hình kết nối giữa client/server
Client mở một kết nối TCP đến LDAP server và thực hiện một thao tác bind. Thao tác
bind bao gồm tên của một directory entry, và ủy nhiệm thư sẽ được sử dụng trong quá
trình xác thực, ủy nhiệm thư thông thường là password nhưng cũng có thể là chứng chỉ
điện tử dùng để xác thực client.
Sau khi thư mục có được sự xác định của thao tác bind, kết quả của thao tác bind được
trả về cho client. Client phát ra các yêu cầu tìm kiếm.
Server thực hiện xử lý và trả về kết quả cho client.
Server gởi thông điệp kết thúc việc tìm kiếm.

Client phát ra yêu cầu unbind, với yêu cầu này server biết rằng client muốn hủy bỏ kết
nối. Server đóng kết nối.
LDAP là một giao thức hướng thông điệp

5


Do client và server giao tiếp thông qua các thông điệp, client tạo một thông điệp
(LDAP message) chứa yêu cầu và gởi nó đến cho server. Server nhận được thông điệp
và xử lý yêu cầu của client sau đó gởi trả cho client cũng bằng một thông điệp LDAP.
Ví dụ: Khi LDAP client muốn tìm kiếm trên thư mục, client tạo LDAP tìm kiếm và
gởi thông điệp cho server. Sever tìm trong cơ sở dữ liệu và gởi kết quả cho client trong
một thông điệp LDAP

Hình 1.2: Thao tác tìm kiếm cơ bản
Nếu client tìm kiếm thư mục và nhiều kết quả được tìm thấy, thì các kết quả này được
gởi đến client bằng nhiều thông điệp.

Hình 1.3: Những thông điệp Client gửi cho server
Do nghi thức LDAP là giao thức hướng thông điệp nên client được phép phát ra nhiều
thông điệp yêu cầu đồng thời cùng một lúc. Trong LDAP, message ID dùng để phân
biệt các yêu cầu của client và kết quả trả về của server.

Hình 1.4: Nhiều kết quả tìm kiếm được trả về
Việc cho phép nhiều thông điệp cùng xử lý đồng thời làm cho LDAP linh động hơn
các nghi thức khác.
6


Ví dụ như HTTP, với mỗi yêu cầu từ client phải được trả lời trước khi một yêu cầu

khác được gởi đi, một HTTP client program như là Web browser muốn tải xuống cùng
lúc nhiều file thì Web browser phải thực hiện mở từng kết nối cho từng file, LDAP
thực hiện theo cách hoàn toàn khác, quản lý tất cả thao tác trên một kết nối.
1.1.3. RADIUS
RADIUS là giao thức Remote Authentication Dial-In User Service được định nghĩa trong
RFC 2865. Với khả năng cung cấp xác thực tập trung, cấp phép và điều khiển truy cập
(Authentication, Authorization, và Access Control – AAA) cho các phiên làm việc với
SLIP và PPP Dial-up – như việc cung cấp xác thực của các nhà cung cấp dịch vụ Internet
(ISP) đều dựa trên giao thức này để xác thực người dùng khi họ truy cập Internet.
Nó cần thiết trong tất cả các Network Access Server (NAS) để làm việc với danh sách
các username và password cho việc cấp phép, RADIUS Access-Request sẽ chuyển các
thông tin tới một Authentication Serve, thông thường nó là một AAA Server (AAA Authentication, Authorization, và Accounting).
Trong kiến trúc của hệ thống nó tạo ra khả năng tập trung các dữ liệu thông tin của
người dùng, các điều kiện truy cập trên một điểm duy nhất (single point), trong khi đó
có khả năng cung cấp cho một hệ thống lớn, cung cấp giải pháp NAS.
Khi một user kết nối, NAS sẽ gửi một message dạng RADIUS Access-Request tới
máy chủ AAA Server, chuyển các thông tin như username và password, thông qua một
port xác định, NAS identify, và một message Authenticator.
Sau khi nhận được các thông tin máy chủ AAA sử dụng các gói tin được cung cấp
như, NAS identify, và Authenticator thẩm định lại việc NAS đó có được phép gửi các
yêu cầu đó không. Nếu có khả năng, máy chủ AAA sẽ tìm kiểm tra thông tin username
và password mà người dùng yêu cầu truy cập trong cơ sở dữ liệu. Nếu quá trình kiểm
tra là đúng thì nó sẽ mang một thông tin Access-Request quyết định quá trình truy cập
của user đó được chấp nhận.
Khi quá trình xác thực bắt đầu được sử dụng, máy chủ AAA có thể sẽ trả về một
RADIUS Access – Challenge mang một số ngẫu nhiên. NAS sẽ chuyển thông tin đến
người dùng từ xa (với ví dụ này sử dụng CHAP). Khi đó người dùng sẽ phải trả lời
đúng các yêu cầu xác nhận (trong ví dụ này, đưa ra lời đề nghị mã hóa password), sau
đó NAS sẽ chuyển tới máy chủ AAA một message RADIUS Access-Request.
Nếu máy chủ AAA sau khi kiểm tra các thông tin của người dùng hoàn toàn thỏa mãn

cho phép sử dụng dịch vụ, nó sẽ trả về một message dạng RADIUS Access-Accept.
Nếu không thỏa mãn máy chủ AAA sẽ trả về một tin RADIUS Access-Reject và NAS
sẽ ngắt kết nối vớ user.
Khi một gói tin Access-Accept được nhận và RADIUS Accounting đã được thiết lập,
NAS sẽ gửi một gói tin ReRADIUS Accounting-Request (Start) tới máy chủ AAA.
Máy chủ sẽ thêm các thông tin và file Log của nó, với việc NAS sẽ cho phép làm việc
với user bắt đầu khi nào, và kết thúc khi nào, RADIUS Accounting làm nhiệm vụ ghi

7


lại quá xác thực của user và hệ thống, khi kết thúc phiên làm việc NAS sẽ gửi một thông
tin RADIUS Accounting-Request (Stop).
RADIUS là một giao thức sử dụng rộng rãi cho phép xác thực tập trung, ủy quyền và
kiểm soát truy cập cho mạng. Ban đầu được phát triển cho thiết lập kết nối từ xa.
RADIUS bây giờ thì hỗ trợ cho máy chủ VPN, các điểm truy cập không dây, chứng
thực chuyển mạch internet, truy cập DSL, và các loại truy cập mạng khác. RADIUS
được mô ta trong RFC 2865, “Remote Authentication Dial-in User Service” (RADIUS),
(IETF Draft Standard) and RFC 2866, “RADIUS Accounting” (Informational).
1.1.4. DNS Forwarder
DNS Forwarder (Trình chuyển tiếp) là một máy chủ DNS thực hiện truy vấn DNS
thay cho nhiều máy chủ DNS khác. DNS Forwarder được sử dụng để gỡ bỏ những tác
vụ đang xử lý khỏi những máy chủ DNS đang thực hiện chuyển tiếp những truy vấn
này sang Forwarder, và tăng lưu lượng bộ nhớ đệm DNS trên DNS Forwarder.
Một chức năng khác của DNS Forwarder đó là ngăn cản máy chủ DNS chuyển tiếp
yêu cầu trong khi tương tác với những máy chủ DNS trên Internet. Đây là chức năng
đặc biệt quan trọng vì khi đó máy chủ DNS chứa tài nguyên bên trong miền DNS.
Thay vì cho phép những máy chủ DNS nội bộ tự thực hiện gọi lại lệnh và liên lạc với
những máy chủ DNS khác, nó cấu hình cho máy chủ DNS nội bộ sử dụng một
Forwader cho tất cả các miền không được phân quyền.

1.1.5. Squid proxy
Squid proxy là một là một giải pháp proxy phần mềm mã nguồn mở tự do được sử
dụng nhiều nhất trong giải pháp Proxy của cộng đồng mạng. Squid proxy làm nhiệm
vụ chuyển tiếp các yêu cầu từ phía client và đồng thời đóng vai trò kiểm soát tạo sự an
toàn cho việc truy cập Internet của các client.
Chức năng Squid proxy
Squid xác định những yêu cầu từ client và quyết định đáp ứng hay không đáp ứng, nếu
yêu cầu được đáp ứng, nó sẽ kết nối với server thật thay cho client và tiếp tục chuyển
tiếp đến những yêu cầu từ client đến server, cũng như đáp ứng những yêu cầu của
server đến client. Vì vậy squid proxy giống cầu nối trung gian giữa server và client.
Bên cạnh việc chuyển tiếp các yêu cầu từ phía client, nó cũng sẽ đồng thời lưu lại trên
đĩa những dữ liệu được trả về từ Internet Server – gọi là caching (thường là nội dung
các trang Web, các tập tin…). Nếu trong thời gian hiệu lực mà một hay nhiều client
cùng yêu cầu một nội dung thì squid proxy sẽ ngay lập tức đáp ứng lại những yêu cầu
từ phía client.
Lợi ích của Squid proxy
Hiệu năng rất cao khi tối ưu cấu hình Squid và chạy trên nền Linux
Khả năng cân bằng tải nhiều máy chủ chạy Squid.
Hỗ trợ khả năng xác thực người dùng theo nhiều CSDL khác nhau: LDAP, MySQL, PostgreSQL.
Không mất chi phí bản quyền vì là phần mềm mã nguồn mở tự do.

8


Được dùng nhiều trong các doanh nghiệp lớn, các trường đại học lớn ở trong và ngoài
nước (các trường đại học có tới trên 50 ngàn sinh viên).
Quản lý các chính sách QoS rất tốt (giới hạn download phim/ảnh theo giờ, hạn chế
băng thông từng địa chỉ IP, giới hạn số phiên kết nối đồng thời …)
Hỗ trợ rất tốt cho các dịch vụ đa phương tiện (video, audio)
Khả năng Caching thông tin rất tốt. Có thể thiết lập và tích hợp các máy chủ Squid

Proxy ở các chi nhánh công ty khác nhau qua mạng WAN.
Cho phép thoải mái tùy biến và có khả năng tích hợp với các phần mềm hỗ trợ khác.
Bảo mật bằng ứng dụng Iptables miễn phí tích hợp sẵn trên Linux nên rất gọn nhẹ, đối
với các đơn vị không có khả năng tài chính thì không cần mua thêm firewall cứng
hoặc firewall mềm.
1.1.6. Captive portal
Chúng ta sẽ tìm hiểu khái niệm Captive Portal thông qua cách thức hoạt động của
chúng. Công nghệ Captive Portal sẽ bắt buộc một máy muốn sử dụng Internet trong
mạng thì trước tiên phải sử dụng trình duyệt để được chuyển tới một trang đặc biệt
(thường dùng cho mục đích xác thực). Captive Portal sẽ chuyển hướng trình duyệt tới
thiết bị xác thực an ninh. Điều này được thực hiện bằng cách bắt tất cả các gói tin, kể
cả địa chỉ và cổng, đến khi người dùng mở một trình duyệt và thử truy cập Internet.
Tại thời điểm đó, trình duyệt sẽ được chuyển hướng tới trang web đặc biệt yêu cầu xác
thực (đăng nhập) hoặc thanh toán, hoặc đơn giản chỉ là hiện một bảng thông báo về
các quy định mà người dùng sẽ phải tuân theo và yêu cầu người dùng phải chấp nhận
các quy định đó trước khi truy cập Internet. Captive Portal thường được triển khai ở
hầu hết các điểm truy nhập WiFi và nó cũng có thể được dùng để điều khiển mạng có
dây. Do trang web đăng nhập phải truy cập được từ trình duyệt của máy khách, do đó
trang web này cần phải đặt ngay trên gateway hoặc trên một web server nằm trong
“danh sách trắng” nghĩa là có thể truy cập mà không cần quá trình xác thực. Ngoài
việc có danh sách trắng của các địa chỉ URL, một vài loại gateway còn có danh sách
trắng đối với một vài cổng TCP.
1.1.7. Firewall
Firewall là một thuật ngữ dùng mô tả những thiết bị hay phần mềm có nhiệm vụ lọc
những thông tin đi vào hay đi ra một hệ thống mạng hay máy tính theo những quy định
đã được cài đặt trước đó. Mục tiêu của việc sử dụng tường lửa là tạo ra những kết nối
an toàn từ vùng mạng bên trong ra bên ngoài hệ thống, cũng như đảm bảo không có
những truy cập trái phép từ bên ngoài vào những máy chủ và thiết bị bên trong hệ
thống mạng. Để có một tường lửa tốt trong hệ thống, đòi hỏi bạn phải có một hệ thống
tường lửa bằng phần cứng hay phần mềm mạnh mẽ, uyển chuyển, cùng với những kỹ

năng và kiến thức chuyên sâu để kiểm soát chúng

9


Hình 1.5: Tường lửa làm nhiệm vụ bảo vệ

Cấu trúc của FireWall
FireWall bao gồm: Một hoặc nhiều hệ thống máy chủ kết nối với các bộ định tuyến
(router) hoặc có chức năng router. Các phần mềm quản lí an ninh chạy trên hệ thống
máy chủ. Thông thường là các hệ quản trị xác thực (Authentication), cấp quyền
(Authorization) và kế toán (Accounting).
Các thành phần của FireWall
Một FireWall bao gồm một hay nhiều thành phần sau:
+ Bộ lọc packet (packet- filtering router).
+ Cổng ứng dụng (Application-level gateway hay proxy server).
+ Cổng mạch (Circuit level gateway).
FireWall bảo vệ cái gì?
Nhiệm vụ cơ bản của FireWall là bảo vệ những vấn đề sau:
+ Dữ liệu: Những thông tin cần được bảo vệ do những yêu cầu sau:
- Bảo mật.
- Tính toàn vẹn.
- Tính kịp thời.
+ Tài nguyên hệ thống.
+ Danh tiếng của các đơn vị, doanh nghiệp sở hữu các thông tin cần bảo vệ.
FireWall bảo vệ chống lại cái gì?
FireWall bảo vệ chống lại những sự tấn công từ bên ngoài.
+ Tấn công trực tiếp:
Cách thứ nhất là dùng phương pháp dò mật khẩu trực tiếp. Thông qua các chương
trình dò tìm mật khẩu với một số thông tin về người sử dụng như ngày sinh, tuổi, địa chỉ

v.v…và kết hợp với thư viện do người dùng tạo ra, kẻ tấn công có thể dò được mật khẩu
của bạn. Trong một số trường hợp khả năng thành công có thể lên tới 30%. Ví dụ như
chương trình dò tìm mật khẩu chạy trên hệ điều hành Unix có tên là Crack.
10


Cách thứ hai là sử dụng lỗi của các chương trình ứng dụng và bản thân hệ điều
hành đã được sử dụng từ những vụ tấn công đầu tiên và vẫn được để chiếm quyền truy
cập (có được quyền của người quản trị hệ thống).
+ Nghe trộm: Có thể biết được tên, mật khẩu, các thông tin chuyển qua mạng thông
qua các chương trình cho phép đưa vào giao tiếp mạng (NIC) vào chế độ nhận toàn bộ
các thông tin lưu truyền qua mạng.
+ Giả mạo địa chỉ IP.
+ Vô hiệu hóa các chức năng của hệ thống (deny service). Đây là kiểu tấn công nhằm
làm tê liệt toàn bộ hệ thống không cho nó thực hiện các chức năng mà nó được thiết
kế. Kiểu tấn công này không thể ngăn chặn được do những phương tiện tổ chức tấn
công cũng chính là các phương tiện để làm việc và truy nhập thông tin trên mạng.
+ Lỗi người quản trị hệ thống.
+ Yếu tố con người với những tính cách chủ quan và không hiểu rõ tầm quan trọng của
việc bảo mật hệ thống nên dễ dàng để lộ các thông tin quan trọng cho hacker.
1.1.8. Load Balancer
Load Balancer là một phương pháp phân phối khối lượng tải trên nhiều máy tính hoặc
một cụm máy tính để có thể sử dụng tối ưu các nguồn lực, tối đa hóa thông lượng,
giảm thời gian đáp ứng và tránh tình trạng quá tải trên máy chủ.
Các lợi ích khi sử dụng phương pháp cân bằng tải:
Tăng khả năng đáp ứng, tránh tình trạng quá tải trên máy chủ, đảm bảo tính linh
hoạt và mở rộng cho hệ thống.
Tăng độ tin cậy và khả năng dự phòng cho hệ thống: Sử dụng cân bằng tải giúp
tăng tính HA (High Availability) cho hệ thống, đồng thời đảm bảo cho người dùng
không bị gián đoạn dịch vụ khi xảy ra lỗi sự cố lỗi tại một điểm cung cấp dịch vụ.

Tăng tính bảo mật cho hệ thống: Thông thường khi người dùng gửi yêu cầu dịch vụ
đến hệ thống, yêu cầu đó sẽ được xử lý trên bộ cân bằng tải, sau đó thành phần cân
bằng tải mới chuyển tiếp các yêu cầu cho các máy chủ bên trong. Quá trình trả lời cho
khách hàng cũng thông qua thành phần cân bằng tải, vì vậy mà người dùng không thể
biết được chính xác các máy chủ bên trong cũng như phương pháp phân tải được sử
dụng. Bằng cách này có thể ngăn chặn người dùng giao tiếp trực tiếp với các máy chủ,
ẩn các thông tin và cấu trúc mạng nội bộ, ngăn ngừa các cuộc tấn công trên mạng hoặc
các dịch vụ không liên quan đang hoạt động trên các cổng khác.
1.2. Một số giải pháp quản lý tài nguyên và truy cập internet
1.2.1. Giới thiệu các giải pháp
1.2.1.1. Giải pháp quản lý tài nguyên và truy cập internet phân tán
Giải pháp quản lý cấp phát địa chỉ phân tán được ứng dụng phổ biến trong các mạng
cỡ nhỏ, việc triển khai tương đối dễ dàng, ít được xây dựng cho các mạng cỡ vừa và
lớn, đòi hỏi chia tách thành nhiều mạng con và những yêu cầu về bảo mật, quản lý
băng thông, quản lý truy cập tài nguyên, định tuyến, vân vân…
Một số đặc điểm của chúng như:
11


 Khả năng xác thực hạn chế trên các thiết bị access point, không hỗ trợ việc sao lưu
cấu hình xác thực.
 Khả năng quản lý truy cập thiếu tính nhất quán do việc kiểm soát truy cập độc lập
trên các thiết bị khác nhau.
 Cấu hình trên các thiết bị phần cứng hạn chế dẫn đến việc hệ thống mạng trở nên
phức tạp, khó kiểm soát nếu số lượng người sử dụng đầu cuối lớn.
1.2.1.2. Giải pháp quản lý tài nguyên và truy cập internet NAC của Cisco
Cisco là hãng đầu tiên đặt nền móng cho khái niệm NAC (Network Access Control)
sau này, kiến trúc NAC của Cisco tập trung vào các mục tiêu kiểm soát cơ bản đối với
các thiết bị đầu cuối trước khi kết nối mạng như: Antivirus, Health Agent, Patch
Agent.

Giải pháp NAC của Cisco dựa trên chế độ hoạt động Agent-based, Cisco cũng định
nghĩa ra một số khái niệm như Posture Validation Server (PVS), PVS là một phần
trong các chính sách truy cập mạng của người sử dụng cuối cho phép người quản trị
thiết lập chính sách về truy cập tập trung. Tuy nhiên giải pháp NAC của Cisco đã thất
bại trong việc không quản lý được các vấn đề phát sinh ở thiết bị đầu cuối, sau nữa là
cơ chế hoạt động của các Agent phụ thuộc vào các chương trình anti-virus, antimalware, patch, v.v. của các hãng thứ ba, do vậy gây khó khăn trong việc thiết lập kết
nối mạng cho người sử dụng đầu cuối không cập nhật kịp thời các bản vá lỗi, các bản
update.

.
Hình 1.6: Mô hình xác thực NAC của Cisco (nguồn [9])
Một số lợi ích trong giải pháp NAC của cisco
Như vậy có thể Network Access Control là một giải pháp tương đối an toàn cho việc
quản lý tài nguyên và truy cập, tập trung vào việc kiểm soát các vấn đề an ninh trên
thiết bị đầu cuối. Mặc dù còn rất nhiều vấn đề khi triển khai NAC trong thực tế như
lựa chọn mô hình, chi phí đầu tư, các chính sách quản lý tài nguyên và truy cập tài
12


nguyên mạng, vân vân. Tuy nhiên những lợi ích khi triển khai NAC là cần thiết cho
nhu cầu thiết lập các hệ thống mạng ngày nay, các lợi ích đó gồm:
- Kiểm soát, quản lý truy cập, quản lý khai thác tài nguyên trên mạng đối với người sử
dụng đầu cuối.
- Ngăn chặn các chương trình mã độc, virus lây lan, phát tán ra toàn bộ hệ thống mạng
- Loại bỏ các mối nguy hiểm tiềm ẩn từ các thiết bị client thông qua việc kiểm soát các
thiết bị đầu cuối.
- Nâng cao tính sẵn sàng của hệ thống mạng và giảm sự gián đoạn cung cấp dịch vụ
cho thiết bị đầu cuối.
- Đảm bảo các thiết bị đầu cuối sử dụng các chương trình diệt virus và tường lửa đúng
cách, đáp ứng các chính sách đặt ra.

- Dễ dàng tích hợp được với giải pháp Endpoint Protection.
1.2.1.3. Giải pháp quản lý tài nguyên và truy cập internet Captive Portal
Giải pháp quản lý tài nguyên và truy cập dựa trên kỹ thuật Captive Portal thường được
triển khai trong các mạng công cộng, việc kiểm soát truy cập được thực hiện trên một
cửa duy nhất, một số phần mềm phổ biến hiện nay về Captive Portal như: PFSense,
Amigopod and ArubaOS Integration, CentOS, Chillispot, vv..

Hình 1.7: Mô hình xác thực sử dụng Captive Portal
Captive portal là một giải pháp buộc người sử dụng trước khi truy cập và mạng phải
chuyển hướng tới một trang web đặc biệt. Kỹ thuật Captive portal biến web browser
thành một công cụ chứng thực hiệu quả. Việc này được thực hiện thông qua việc ngăn
chặn tất cả các gói tin (bất kể địa chỉ IP và port nào) cho đến khi nào người sử dụng
vượt qua được chứng thực trên trang web mà hệ thống chuyển hướng đến.

13


1.2.1.4. Giải pháp quản lý tài nguyên và truy cập internet bằng hệ thống mã nguồn mở
PFSense

Hình 1.8: Mô hình sử dụng PFSense
PFSense là một hệ thống mạnh mẽ hoàn toàn miễn phí, cho phép quản lý tài nguyên
và truy cập internet tập trung. PFSense mang tới nhiều dịch vụ khác nhau trong một hệ
thống nhất quán, đảm bảo đầy đủ các tính năng cơ bản cho một hệ thống mạng cỡ lớn,
đòi hỏi các yêu cầu về bảo mật, định tuyến, cân bằng tải. PFSense sử dụng giao diện
webgui để thiết lập các dịch vụ và ứng dụng nên rất dễ dàng sử dụng.
Một số dịch vụ và ứng dụng của PFSense:
- DHCP Sever: Cấp phát địa chỉ IP cho các máy client khi máy được gắn vào mạng
Lan của PFSense quản lý. PFSense còn có thể cấp DHCP cho từng Vlan riêng biệt. Hỗ
trợ nhiều subnet khác nhau (từ 0 đến 32bit). Nó được kích hoạt mặc định trên các

subnet hoặc các Vlan cùng đồng thời gán các gateway và địa chỉ DNS Server nếu như
dịch vụ DNS forwarder được kích hoạt. Cho phép triển khai Mac filter tập trung, dựa
vào ánh xạ 1-1 giữa địa chỉ MAC và địa chỉ IP từ gói tin ARP request phía client gửi
đến. Có thể ngăn chặn kết nối từ các thiết bị client đến hệ thống mạng, trong trường
hợp thiết bị client thiết lập địa chỉ tĩnh. Hỗ trợ đầy đủ filelogs để người quản trị tiện
theo dõi quá trình cấp phát địa chỉ IP động trên hệ thống.
- FreeRadius cũng chính là Radius Server nằm trong PFSense. Free Radius kết hợp để
làm chứng thực cùng với Captive Portal.
- DNS Forwarder Nếu dịch vụ DNS Forwarder đang được sử dụng thì khi cấp phát
địa chỉ IP cho các client thì DHCP server mặc định sẽ gán địa chỉ của máy chủ DNS
cho các client này khi trường này bị bỏ trống.
DNS Forwarder được kích hoạt mặc định trên hệ thống PFSense, sử dụng những máy
chủ DNS được cấu hình trong hệ thống hoặc được tự động thu được từ các ISP qua các
cấu hình WAN Interface (DHCP, PpoE, PPTP) trong hệ thống và được lưu lại trong bộ
nhớ đệm.
14


- Squid Proxy trong PFSense: ngoài các tính năng thường thấy của squid proxy thì
việc tăng khả năng caching của PFSense cũng giảm nhiều thời gian tìm thông tin với
các yêu cầu giống nhau.
- Captive Portal là một dịch vụ của PFSense cung cấp nhằm để chứng thực người sử
dụng. Có thể cấu hình cho nhiều Interface hoặc trên mỗi Interface độc lập. Captive
Portal hỗ trợ xác thực với chính PFSense hoặc với máy chủ FreeRadius, Xác thực dựa
trên UserName/Password hoặc bằng voucher key. Hỗ trợ Mac filter trong xác thực, Hỗ
trợ xác thực theo thời gian thực hoặc theo phiên.
- FireWall là một tính năng quan trọng trong PFSense. Cũng như nhiều hệ thống
firewall khác thì PFSense cũng hoạt động theo nguyên tắc lọc gói tin là packet filter.
PFSense sử dụng giao diện WebGUI để thiết lập các Rule cho hầu hết các giao thức
TCP, UDP, ICMP v.v. ngoại trừ P2P. Hệ thống FireWall sẽ thực hiện các luật theo

nguyên tắc lần lượt từ trên xuống dưới, khi có sự mâu thuẫn về luật thì ưu tiên luật bên
trên. PFSense cho phép xây dựng các luật trên nguyên tắc các luật chung thì ở bên
dưới và các luật riêng thì ở bên trên.
Aliases cho phép gộp nhóm các port, host hoặc network thành tên và sử dụng trong
các cấu hình firewall rules, NAT, traffic shaper v.v. điều này cho phép tạo ra các tập
quy tắc ngắn gọn, dễ dàng quản lý hơn.
FireWall cung cấp Network Address Translation (NAT), có thể cấu hình các thiết lập
NAT nếu cần sử dụng cổng chuyển tiếp cho các dịch vụ hoặc cấu hình NAT tĩnh (1:1)
cho các Host cụ thể.
Thiết lập mặc định của NAT cho các kết nối outbound là automatic/dynamic, tuy
nhiên cũng có thể thay đổi kiểu manual nếu cần.
FireWall cung cấp Traffic Shaper giúp theo dõi và quản lý băng thông mạng dễ dàng
và hiệu quả hơn, điều khiển lưu lượng mạng máy tính để tối ưu hóa hiệu suất độ trễ
thấp hơn, hoặc tăng băng thông bằng cách trì hoãn, có thể sử dụng các gói dữ liệu đáp
ứng theo tiêu chí nhất định.
Traffic Shaping là phương pháp tối ưu hóa kết nối internet. Nó tăng tối đa tốc độ trong
khi đảm bảo tối thiểu thời gian trễ, khi sử dụng những gói dữ liệu ACK được sắp xếp
thứ tự ưu tiên trong đường truyền tải lên, điều này cho phép tiến trình tải về được tiếp
tục với tốc độ tối đa.
FireWall cung cấp tính năng Schedules, với tính năng này các Firewall rules có thể
được sắp xếp để nó có thể chỉ hoạt động vào các thời điểm nhất định cụ thể. Đây là
một tính năng giúp cho bạn kiểm soát được thời gian làm việc, cho bạn một lịch làm
việc cụ thể rõ ràng.
- Load Balancing chức năng này hỗ trợ cho cả hai hướng Inbound và Outbound.
Hướng Outbound thì có thể thực hiện chức năng này bằng cách kết hợp nhiều đường
WAN nhằm đáp ứng băng thông lớn hơn cho các thiết bị trong mạng internal ra ngoài
Internet. Hướng Inbound thì được sử dụng bởi các nhà cung cấp dịch vụ như

15



Webservice. PFSense cung cấp hai tùy chọn cho chức năng cân bằng tải là failover và
load balancer.
Tùy chọn failover cho phép triển khai các đường WAN dự phòng với các thứ tự ưu
tiên từ 1 đến n. Khi đường WAN thứ 1 bị lỗi thì ngay lập tức chuyển sang đường
WAN có mức ưu tiên thấp hơn. Tùy chọn load balancer cho phép hệ thống tự động
chia tải đều trên các WAN dựa vào thời gian trả lời các request yêu cầu từ phía các
client. Nếu thời gian phản hồi các yêu cầu từ WAN thứ 1 trạm trễ thì yêu cầu đó sẽ
được sang các đường WAN khác.
- Routing cũng là 1 tính năng cơ bản khác của PFSense. Chức năng làm công cụ định
tuyến đáp ứng cho đòi hỏi hệ thống phải tách ra từng phần riêng biệt. Có 2 cách thức
để triển khai:
Static Routes: Thiết lập bảng định tuyến tĩnh giữa các thiết bị router với các mạng con.
Các máy cài đặt dịch vụ vân vân theo những cổng được khai báo trên hệ thống
PFSense.
Routing Public Ips: Cấu hình định tuyến các địa chỉ IP công cộng khi muốn cấu hình
một subnet cho một interface mạng bên trong hệ thống firewall. Giao thức CARP
thường được sử dụng trong cách thức triển khai này. Cần ít nhất 2 địa chỉ IP public
một gán cho địa chỉ của WAN và một địa chỉ còn lại gán cho một các mạng con bên
trong hệ thống firewall.
Các giao thức định tuyến được hỗ trợ trong PFSense gồm RIP (Routing Information
Protocol), BGP (Border Gateway Protocol), ngoài ra OSPF (Open Shortest Path First)
được cài đặt như 1 package tại một số điểm.
1.2.2 So sánh các giải pháp:
Từ những giải pháp được nêu lên thì thấy được hai giải pháp quản lý tài nguyên và
truy cập internet là NAC của Cisco và PFSense có khả năng tương ứng với nhau. Vì
vậy sẽ đưa ra những so sanh giữa hai giải pháp này. Xem trong bảng 1.1 bên dưới:

16



Xem Thêm

×