Đang tải... (xem toàn văn)
Việc sử dụng máy tính trong doanh nghiệp như một công cụ để phụcvụ cho công việc ngày càng nhiều vì vậy cần máy chủ để quản trị hệthống mạng trong doanh nghiệp là rất thiết thực để có mộ
lOMoARcPSD|39475011 TRƯỜNG ĐẠI HỌC CÔNG NGHIỆP HÀ NỘI KHOA CÔNG NGHỆ THÔNG TIN BÁO CÁO BÀI TẬP LỚN HỌC PHẦN: AN NINH MẠNG ĐỀ TÀI: Thiết lập mô hình mạng an toàn có 3 vùng(Internet,DMZ, LAN) sử dụng Packet Tracer GVHD: TS Lê Thị Anh 2020603154 Mã lớp độc lập: 20224IT6070001 2020608108 Nhóm thực hiện: Nhóm 13 – K15 2020601204 2020601920 Đoàn Trọng Quân 2020602442 Nguyễn Hữu Trường Nguyễn Đức Mạnh Nguyễn Hoàng Thái Nguyễn Thành Nam Hà Nội - 2023 Downloaded by bong bong (bongbong1@gmail.com) lOMoARcPSD|39475011 LỜI MỞ ĐẦU Trong xu hướng phát triển của xã hội ngày nay, công nghệ thông tin luôn có mặt ở bất cứ lĩnh vực, ngành nghề nào Mạng lưới công nghệ thông tin trên thế giới phát triển một cách chóng mặt, mọi ngƣời ai cũng muốn cập nhật thông tin một cách nhanh nhất và chính xác nhất Trên thực tiễn đó các doanh nghiệp cũng không thể thiếu việc áp dụng công nghệ thông tin vào doanh nghiệp của mình để quản lý và phát triển Đối với các doanh nghiệp hiện nay đặc biệt là doanh nghiệp có nhiều chi nhánh ở những vị trí địa lý xa nhau thì việc quản lý và chia sẻ tài nguyên giữa các chi nhánh rất khó khăn và tốn chi phí nếu không có công nghệ thông tin Việc sử dụng máy tính trong doanh nghiệp như một công cụ để phục vụ cho công việc ngày càng nhiều vì vậy cần máy chủ để quản trị hệ thống mạng trong doanh nghiệp là rất thiết thực để có một hệ thống quản lý tốt, an toàn, có độ bảo mật cao, chi phí hợp lý và thuận tiện trong việc trao đổi thông tin giữa các chi nhánh,… Với những lý do trên chúng tôi quyết định lựa chọn đề tài “Thiết lập mô hình mạng an toàn có 3 vùng ( Internet, DMZ, LAN) sử dụng phần mềm Cisco Packet Tracer” Đề tài rất thực tế và phù hợp với các yêu cầu đặt ra hiện nay cho các tổ chức, doanh nghiệp và nó còn giúp chúng tôi có thêm kinh nghiệm Downloaded by bong bong (bongbong1@gmail.com) lOMoARcPSD|39475011 MỤC LỤC CHƯƠNG 1: MÔ HÌNH MẠNG AN TOÀN 1.1 Mạng an toàn 1.1.1 Khái niệm 1.1.2 Biện pháp 1.1.3 Lợi ích 1.2 Mô hình mạng an toàn 1.2.1 Khái niệm 1.2.2 Yếu tố 1.2.3 Thành phần 1.2.4 Mô hình 13 CHƯƠNG 2: KĨ THUẬT VÀ CÔNG CỤ SỬ DỤNG 16 2.1 Công cụ Cisco Packet Tracer 16 2.2 Virtual Local Area Network (VLAN) 16 2.2.1 Khái niệm 16 2.2.2 Cách thức hoạt động .16 2.2.3 Ưu điểm của VLAN 17 2.2.4 Nhược điểm của VLAN 17 2.2.5 Ứng dụng của VLAN 18 2.3 Network Address Translation (NAT) 18 2.3.1 Khái niệm 18 2.3.2 Chức năng chính của NAT .18 2.3.3 Ưu điểm của NAT 19 2.3.4 Nhược điểm của NAT .19 CHƯƠNG 3: THIẾT KẾ MÔ HÌNH VÀ KẾT QUẢ 20 3.1 Xây dựng mô hình mạng an toàn 20 3.2 Cấu hình VLAN trên các thiết bị 21 3.2.1 Cấu hình VLAN trên router r2 21 3.2.2 Cấu hình VLAN trên Switch 22 1 Downloaded by bong bong (bongbong1@gmail.com) lOMoARcPSD|39475011 3.2.3 Cấu hình trunk trên switch 22 3.3 Cấu hình NAT trên router 22 3.3.1 Cấu hình access list trên router r2 22 3.3.2 Cấu hình NAT overload trên router r2 23 3.4 Thực hiện kiểm tra kết quả 23 KẾT LUẬN 25 2 Downloaded by bong bong (bongbong1@gmail.com) lOMoARcPSD|39475011 DANH MỤC HÌNH ẢNH Hình 1 1 Mạng an toàn Hình 1 2 Mô hình mạng an toàn Hình 1 3 Firewall Hình 1 4 DMZ Hình 1 5 Mạng LAN .10 Hình 1 6 Vùng mạng DMZ .10 Hình 1 7 Cấu trúc vùng DMZ 11 Hình 1 8 Vùng mạng server 13 Hình 1 9 Mô hình mạng 1 tường lửa 14 Hình 1 10 Mô hình mạng 2 tường lửa 14 Hình 1 11 Mô hình mạng 3 tường lửa 15 Hình 3 1 Xây dựng mô hình mạng an toàn .21 Hình 3 2 Cấu hình mạng VLAN trên route r2 22 Hình 3 3 Cấu hình mạng VLAN trên switch 23 Hình 3 4 Cấu hình trunk trên switch .23 Hình 3 5 Cấu hình access list trên router r2 23 Hình 3 6 Cấu hình Nat overload trên router r2 .24 Hình 3 7 Ping từ PC7 bên ngoài internet đến r2 .24 Hình 3 8 Ping từ PC1 trong VLAN1 đến địa chỉ 123.24.25.254 24 Hình 3 9 Ping từ PC2 trong VLAN2 đến địa chỉ 123.24.25.254 25 Hình 3 10 Ping từ PC5 trong VLAN3 đến địa chỉ 123.24.25.254 25 3 Downloaded by bong bong (bongbong1@gmail.com) lOMoARcPSD|39475011 CHƯƠNG 1: MÔ HÌNH MẠNG AN TOÀN 1.1 Mạng an toàn 1.1.1 Khái niệm Mạng an toàn (hoặc mạng bảo mật) là một hệ thống mạng được thiết kế và triển khai để bảo vệ thông tin, dữ liệu và các tài nguyên quan trọng khỏi các mối đe dọa và tấn công từ các nguồn bên ngoài Mục tiêu chính của mạng an toàn là đảm bảo tính bảo mật, sẵn sàng và toàn vẹn của thông tin trong mạng Hình 1 1 Mạng an toàn Mạng an toàn bao gồm việc áp dụng các biện pháp bảo mật và quản lý rủi ro để đối phó với các mối đe dọa mạng Dưới đây là một số khía cạnh quan trọng trong mạng an toàn: ● Xác thực và Quản lý truy cập: Mạng an toàn thực hiện xác thực người dùng và quản lý quyền truy cập vào các tài nguyên mạng Điều này đảm bảo rằng chỉ những người dùng được ủy quyền mới có thể truy cập vào thông tin và dữ liệu quan trọng, và hạn chế sự truy cập của những người không được phép ● Mã hóa dữ liệu: Mã hóa dữ liệu là quá trình chuyển đổi thông tin thành dạng không đọc được trước khi nó được truyền qua mạng Mã 4 Downloaded by bong bong (bongbong1@gmail.com) lOMoARcPSD|39475011 hóa giúp đảm bảo rằng dữ liệu không thể bị đánh cắp hoặc hiểu được bởi các bên không được ủy quyền ● Bảo vệ chống lại tấn công mạng: Mạng an toàn sử dụng các công nghệ và biện pháp bảo mật như tường lửa, phát hiện xâm nhập, phòng ngừa tấn công từ chối dịch vụ (DDoS), và các biện pháp phòng thủ khác để ngăn chặn và giảm thiểu các cuộc tấn công mạng ● Quản lý an ninh: Mạng an toàn đòi hỏi việc triển khai và quản lý các công cụ và quy trình để phát hiện, giám sát và xử lý các sự cố bảo mật Điều này bao gồm việc thực hiện kiểm tra an ninh định kỳ, cập nhật và vá lỗi hệ thống, và tuân thủ các tiêu chuẩn an ninh ● Giáo dục và nhận thức: Mạng an toàn cũng đòi hỏi việc đào tạo người dùng và nhân viên về các vấn đề liên quan đến an ninh mạng, như cách phòng ngừa các cuộc tấn công, sử dụng mật khẩu mạnh, và phân biệt các thủ đoạn xâm nhập Tăng cường nhận thức an ninh trong tổ chức là một phần quan trọng để đảm bảo mạng an toàn Mạng an toàn là một yếu tố cơ bản trong việc xây dựng và duy trì một môi trường kết nối an toàn và đáng tin cậy Đối với các tổ chức và doanh nghiệp, mạng an toàn giúp bảo vệ thông tin quan trọng, ngăn chặn sự mất mát kinh tế, và duy trì niềm tin của khách hàng và đối tác 1.1.2 Biện pháp Mạng an toàn là một mạng máy tính được thiết kế để bảo vệ thông tin và tài sản khỏi các mối đe dọa Mạng an toàn sử dụng một loạt các biện pháp bảo mật để ngăn chặn các cuộc tấn công mạng, chẳng hạn như truy cập trái phép, tiết lộ thông tin, gián đoạn dịch vụ và phá hoại Các biện pháp bảo mật phổ biến được sử dụng trong mạng an toàn bao gồm: ● Mật khẩu và xác thực: Mật khẩu và xác thực là một trong những biện pháp bảo mật quan trọng nhất Mật khẩu phải mạnh và được thay đổi 5 Downloaded by bong bong (bongbong1@gmail.com) lOMoARcPSD|39475011 thường xuyên Xác thực hai yếu tố (2FA) cung cấp một lớp bảo mật bổ sung bằng cách yêu cầu người dùng cung cấp một mã một lần (OTP) ngoài mật khẩu ● Chống vi-rút và phần mềm độc hại: Chống vi-rút và phần mềm độc hại là các chương trình phần mềm giúp bảo vệ máy tính khỏi các phần mềm độc hại, chẳng hạn như vi-rút, phần mềm gián điệp và phần mềm quảng cáo ● Tường lửa: Tường lửa là một thiết bị hoặc phần mềm giúp lọc lưu lượng mạng giữa các mạng Tường lửa có thể được sử dụng để ngăn chặn các cuộc tấn công mạng, chẳng hạn như truy cập trái phép và truyền tải dữ liệu độc hại Quản lý truy cập: Quản lý truy cập kiểm soát quyền truy cập vào hệ thống và dữ liệu Quản lý truy cập có thể được sử dụng để hạn chế quyền truy cập của người dùng không đáng tin cậy ● Giám sát mạng: Giám sát mạng theo dõi lưu lượng mạng để phát hiện các hoạt động bất thường Giám sát mạng có thể được sử dụng để phát hiện các cuộc tấn công mạng đang diễn ra Mạng an toàn rất quan trọng đối với các doanh nghiệp, tổ chức và cá nhân Mạng an toàn giúp bảo vệ thông tin và tài sản khỏi các mối đe dọa, chẳng hạn như truy cập trái phép, tiết lộ thông tin, gián đoạn dịch vụ và phá hoại 1.1.3 Lợi ích ● Bảo vệ thông tin: Mạng an toàn giúp bảo vệ thông tin khỏi bị truy cập trái phép, tiết lộ hoặc sửa đổi ● Bảo vệ tài sản: Mạng an toàn giúp bảo vệ tài sản khỏi bị trộm cắp hoặc phá hoại ● Bảo vệ danh tiếng: Mạng an toàn giúp bảo vệ danh tiếng của doanh nghiệp hoặc tổ chức khỏi bị tổn hại do vi phạm dữ liệu hoặc các cuộc tấn công mạng khác 6 Downloaded by bong bong (bongbong1@gmail.com) lOMoARcPSD|39475011 ● Tuân thủ quy định: Mạng an toàn giúp doanh nghiệp hoặc tổ chức tuân thủ các quy định về bảo mật thông tin 1.2 Mô hình mạng an toàn 1.2.1 Khái niệm Mô hình mạng an toàn (Secure Network Model) là một cấu trúc hoặc bản thiết kế được sử dụng để xác định cách tổ chức và triển khai các thành phần mạng và biện pháp bảo mật để đảm bảo tính bảo mật của mạng máy tính Nó là một khung làm việc để xác định và áp dụng các biện pháp bảo mật thích hợp để bảo vệ thông tin, nguồn tài nguyên và hoạt động của hệ thống mạng Hình 1 2 Mô hình mạng an toàn Mục tiêu chính của mô hình mạng an toàn là đảm bảo tính toàn vẹn, sẵn sàng, sự riêng tư và xác thực của thông tin trong mạng, đồng thời giảm thiểu rủi ro bảo mật và đáp ứng các yêu cầu bảo mật của tổ chức 7 Downloaded by bong bong (bongbong1@gmail.com) lOMoARcPSD|39475011 1.2.2 Yếu tố Một mô hình mạng an toàn thường bao gồm các yếu tố sau: ● Firewall (Tường lửa): Chặn và kiểm soát lưu lượng mạng đến và đi từ mạng nội bộ Hình 1 3 Firewall ● DMZ (Zone giữa hai tường lửa): Một khu vực an toàn ở giữa hai tường lửa, chứa các dịch vụ mạng công cộng như máy chủ web Hình 1 4 DMZ ● Virtual Private Network (VPN): Cho phép người dùng từ xa kết nối an toàn vào mạng nội bộ thông qua Internet ● Intrusion Detection System (Hệ thống phát hiện xâm nhập): Theo dõi lưu lượng mạng để phát hiện các hoạt động bất thường hoặc xâm nhập 8 Downloaded by bong bong (bongbong1@gmail.com) lOMoARcPSD|39475011 kết nối Bộ chuyển mạch mạng kết nối với bộ định tuyến và tạo điều kiện giao tiếp giữa các thiết bị được kết nối Nhưng không xử lý cấu hình IP Mạng cục bộ hoặc chia sẻ kết nối Internet Bộ chuyển mạch là công cụ lý tưởng để tăng số lượng cổng LAN có sẵn trên mạng Hình 1 5 Mạng LAN 1.2.3.2 Vùng mạng DMZ (Demilitarized Zone) Vùng mạng DMZ (Demilitarized Zone): DMZ là một vùng mạng trung gian giữa mạng nội bộ và mạng Internet, nơi đặt các dịch vụ mạng công cộng như máy chủ web, máy chủ email hoặc proxy server DMZ được sử dụng để cách ly các dịch vụ này khỏi mạng nội bộ để giảm nguy cơ xâm nhập vào mạng nội bộ Hình 1 6 Vùng mạng DMZ ➢ Cấu trúc DMZ chia làm 3 phần chính: 10 Downloaded by bong bong (bongbong1@gmail.com) lOMoARcPSD|39475011 ● Máy chủ DMZ: Là máy chủ được đặt trong DMZ và chứa các dịch vụ hoặc ứng dụng có thể được truy cập từ Internet như Web Server, Mail Server, DNS Server, và nhiều dịch vụ khác Tuy nhiên, các máy chủ này chỉ được phép truy cập vào mạng nội bộ trong trường hợp cần thiết ● Bức tường lửa DMZ: Là bức tường lửa được đặt trên DMZ, có chức năng lọc các gói tin vào và ra khỏi DMZ để đảm bảo rằng chỉ các gói tin hợp lệ và được phép truy cập mới được truyền đi Bức tường lửa trong mạng DMZ được cấu hình để chỉ cho phép các kết nối xác định được thiết lập giữa các máy chủ trong DMZ và các máy chủ trong mạng nội bộ ● Máy chủ bảo mật: Là máy chủ được đặt trong mạng nội bộ, có vai trò giám sát và quản lý các hoạt động trên DMZ Máy chủ bảo mật thường được cài đặt các phần mềm quản lý sự kiện an ninh (SIEM) và hệ thống phân tích nhật ký để theo dõi các hoạt động trên DMZ và phát hiện các mối đe dọa tiềm năng Ngoài ra, máy chủ bảo mật còn có thể được cấu hình để gửi cảnh báo đến quản trị viên ngay khi phát hiện các cuộc tấn công đã vượt qua tường lửa của DMZ Hình 1 7 Cấu trúc vùng DMZ 11 Downloaded by bong bong (bongbong1@gmail.com) lOMoARcPSD|39475011 ➢ Cách thức hoạt động ● DMZ hoạt động như một vùng đệm giữa internet công cộng và mạng riêng Mạng con DMZ được triển khai giữa hai tường lửa Sau đó, tất cả các gói mạng gửi đến sẽ được sàng lọc bằng tường lửa hoặc thiết bị bảo mật khác trước khi chúng đến các máy chủ được lưu trữ trong DMZ ● Nếu các cuộc tấn công của tin tặc vượt qua tường lửa đầu tiên, thì chúng phải có quyền truy cập trái phép vào các dịch vụ trong DMZ trước khi có thể gây ra bất kỳ thiệt hại nào đối với mạng nội bộ Cuối cùng, trong trường hợp các dịch vụ trong DMZ bị xâm nhập thành công, tin tặc vẫn phải vượt qua bức tường lửa cuối cùng của mạng nội bộ trước khi có thể tiếp cận các tài nguyên hay dữ liệu nhạy cảm của doanh nghiệp ● Những kẻ tấn công có thể tấn công vào kiến trúc DMZ an toàn nhất Tuy nhiên một khi cuộc tấn công diễn ra, báo động sẽ được kích hoạt và thông báo cho các chuyên gia bảo mật để kịp thời ngăn chặn các cuộc tấn công ● Để giải thích một cách đơn giản thì cách thức hoạt động của DMZ là sử dụng các máy chủ Mail, Web và tường lửa Firewall để cô lập các dịch vụ và ứng dụng được truy cập từ Internet và giữ an toàn cho mạng nội bộ Nó giúp ngăn chặn các cuộc tấn công mạng và giảm thiểu các rủi ro đối với hệ thống mạng 1.2.3.3 Vùng mạng Server Vùng mạng Server hoặc Server Farm: Đây là nơi đặt các máy chủ chuyên dụng, như máy chủ cơ sở dữ liệu (Database Server), máy chủ ứng dụng (Application Server), và các máy chủ khác mà doanh nghiệp sử dụng để cung cấp các dịch vụ và ứng dụng cho người dùng hoặc khách hàng 12 Downloaded by bong bong (bongbong1@gmail.com) lOMoARcPSD|39475011 Hình 1 8 Vùng mạng server 1.2.3.4 Vùng mạng Internet Vùng mạng Internet hay còn được gọi là mạng ngoài, đồng thời cũng là vùng mạng kết nối trực tiếp với mạng lưới internet trên toàn cầu Đây là kết nối trực tiếp với Internet Tất cả các dữ liệu gửi và nhận giữa mạng nội bộ và Internet phải thông qua vùng mạng này Điều này thường được thực hiện thông qua thiết bị như tường lửa (firewall), cửa ngăn (gateway), và thiết bị kiểm soát truy cập (access control devices) để đảm bảo bảo mật và kiểm soát truy cập vào mạng nội bộ 1.2.4 Mô hình Mô hình mạng phổ biến: Ta đặt một firewall giữa vùng mạng Internet và vùng mạng DMZ , một firewall giữa vùng mạng DMZ và vùng mạng nội bộ và một firewall giữa vùng mạng nội bộ và vùng mạng Internet Như vậy, mỗi sự truy cập giữa các vùng với nhau đều được kiểm soát bởi một firewall như hình vẽ 13 Downloaded by bong bong (bongbong1@gmail.com) lOMoARcPSD|39475011 Hình 1 9 Mô hình mạng 1 tường lửa Ta đặt một firewall giữa vùng mạng Internet và vùng mạng DMZ và một firewall giữa vùng mạng DMZ và vùng mạng nội bộ Hình 1 10 Mô hình mạng 2 tường lửa Ta đặt một firewall giữa vùng mạng Internet và vùng mạng DMZ , một firewall giữa vùng mạng DMZ và vùng mạng nội bộ và một firewall giữa vùng mạng nội bộ và vùng mạng Internet Như vậy, mỗi sự truy cập giữa các vùng với nhau đều được kiểm soát bởi một firewall 14 Downloaded by bong bong (bongbong1@gmail.com) lOMoARcPSD|39475011 Hình 1 11 Mô hình mạng 3 tường lửa 15 Downloaded by bong bong (bongbong1@gmail.com) lOMoARcPSD|39475011 CHƯƠNG 2: KĨ THUẬT VÀ CÔNG CỤ SỬ DỤNG 2.1 Công cụ Cisco Packet Tracer Cisco Packet Tracer là một phần mềm giả lập mạng miễn phí được phát triển bởi Cisco Systems Phần mềm này cho phép người dùng tạo và mô phỏng các mạng máy tính bằng cách sử dụng các thiết bị mạng của Cisco, chẳng hạn như router, switch, máy chủ, máy trạm và thiết bị IoT Packet Tracer được sử dụng để giảng dạy và học tập về mạng Phần mềm này là một công cụ tuyệt vời để giúp người dùng hiểu cách hoạt động của các mạng máy tính và cách cấu hình các thiết bị mạng 2.2 Virtual Local Area Network (VLAN) 2.2.1 Khái niệm VLAN (Virtual Local Area Network) là một mạng tùy chỉnh, được tạo từ một hay nhiều mạng cục bộ khác (LAN) Mạng VLAN cho phép một nhóm thiết bị khả dụng trong nhiều mạng được kết hợp với nhau thành một mạng logic Từ đó tạo ra một mạng LAN ảo (Virtual LAN), được quản lý giống như một mạng LAN vật lý 2.2.2 Cách thức hoạt động Các Virtual LAN ở trong mạng được xác định bằng một con số cụ thể Phạm vi giá trị hợp lệ là 1- 4094 Trên một switch VLAN, ta có thể chỉ định các cổng với số VLAN thích hợp Tiếp đến, switch sẽ cho phép dữ liệu cần được gửi giữa các port khác nhau có cùng một Virtual LAN Vì hầu hết các mạng đều có nhiều hơn là chỉ một switch duy nhất Vì vậy, cần có một cách nào đó để có thể gửi lưu lượng giữa hai switch trong mạng Cách đơn giản nhất chính là gán một port trên mỗi switch của Virtual LAN và chạy một cable giữa chúng 16 Downloaded by bong bong (bongbong1@gmail.com) lOMoARcPSD|39475011 2.2.3 Ưu điểm của VLAN Giải quyết các vấn đề điển hình liên quan đến broadcast Giảm kích thước của broadcast domain Cho phép tạo thêm một lớp bảo mật bổ sung Giúp việc quản lý thiết bị trở nên đơn giản, dễ dàng hơn Cho phép tạo một nhóm logic các thiết bị, phân loại theo chức năng Có thể tạo các nhóm thiết bị được kết nối logic, có thể hoạt động như trên mạng riêng của mình Cho phép phân đoạn mạng dựa trên nhóm, hay chức năng Có thể cấu trúc mạng theo vị trí địa lý Đem lại hiệu suất cao hơn, độ trễ (latency) thấp hơn Người dùng có thể bảo vệ những thông tin nhạy cảm của mình Xóa bỏ ranh giới vật lý Tăng cường bảo mật mạng Phân tách các máy chủ Không cần thêm phần cứng, cáp, giúp tiết kiệm đáng kể chi phí Việc thay đổi IP subnet của người dùng sẽ nằm trong phần mềm Giảm số lượng thiết bị cho cấu trúc liên kết mạng Đơn giản hóa việc quản lý các thiết bị vật lý 2.2.4 Nhược điểm của VLAN Packet có thể bị rò rỉ giữa các VLAN Packet được inject có thể dẫn đến cyber attack Các mối đe dọa ở trong một hệ thống đơn lẻ có thể phát tán virus cho toàn bộ mạng Cần có một router bổ sung để kiểm soát workload trong những mạng lớn Khả năng tương tác có thể gặp vấn đề 17 Downloaded by bong bong (bongbong1@gmail.com) lOMoARcPSD|39475011 Một VLAN không thể chuyển tiếp lưu lượng mạng sang những VLAN khác 2.2.5 Ứng dụng của VLAN Đối với những mạng LAN có quy mô lớn, khoảng 200 thiết bị trở lên, thì việc sử dụng mạng Virtual LAN sẽ đem lại lợi ích to lớn Lý tưởng cho những mạng có lưu lượng truy cập cao Hữu ích cho những nhóm người dùng cần tính bảo mật cao, hoặc không thích mạng bị chậm do số lượng broadcast lớn Có thể được ứng dụng khi mạng có nhiều người dùng, nhưng lại không ở trên cùng một broadcast domain Có thể “biến hóa” một switch đơn nhất thành nhiều switch 2.3 Network Address Translation (NAT) 2.3.1 Khái niệm NAT hay Network Address Translation là một kỹ thuật chuyển đổi đặc biệt Theo đó kỹ thuật này có thể chuyển đổi IP nội miền sang IP ngoại miền Quá trình chuyển đổi này tương tự như việc hỗ trợ mạng cục bộ Private dễ dàng truy cập vào mạng internet công cộng 2.3.2 Chức năng chính của NAT Trong một hệ thống mạng NAT giữ vai trò di chuyển gói tin giữa các lớp mạng khác nhau Cụ thể, NAT cần tiến hành chuyển đổi địa chỉ IP trong từng gói tin và chuyển đến router cùng một số thiết bị mạng khác Trong quá trình chuyển gói tin từ mạng công cộng public ngược lại NAT, NAT cần tiến hành thay đổi IP đích sang dạng IP nội bộ Sau đó mới chuyển đi 18 Downloaded by bong bong (bongbong1@gmail.com)