Bảng tóm tắt về thiết kế hệ thống: Mạng

Đây là phần tiếp theo của một loạt bài viết trong đó tôi trình bày ngắn gọn những điểm chính của một chủ đề cụ thể trong thiết kế kiến trúc hệ thống. Bài viết đầu tiên có thể được đọc ở đây .

Bất kỳ hệ thống phức tạp nào cũng là sự kết hợp của nhiều thành phần, mỗi thành phần có chức năng cụ thể. Các thành phần này không hoạt động độc lập; chúng liên tục tương tác qua mạng, trao đổi dữ liệu và lệnh. Hiểu những điều cơ bản của những tương tác này là rất quan trọng.

Người ta phải hiểu cách các thành phần giao tiếp qua mạng để thực sự hiểu được hiệu suất tổng thể và khả năng phục hồi của hệ thống.

Các loại

Mạng có thể được chia thành bốn loại dựa trên kích thước, kiến trúc, phạm vi và chức năng:

• Mạng Khu vực Cá nhân (PAN) : Được thiết kế cho mục đích sử dụng cá nhân, thường nằm trong phạm vi phủ sóng của một người. Nó có thể kết nối các thiết bị như máy tính, điện thoại thông minh và đồng hồ thông minh, thường là Bluetooth.

• Mạng cục bộ (LAN ): Kết nối các thiết bị trong một khu vực giới hạn, chẳng hạn như nhà riêng, văn phòng hoặc trường học. Nó thường được sử dụng để kết nối máy tính và chia sẻ tài nguyên như máy in hoặc kết nối internet trong một khu vực địa lý hạn chế.

• Mạng khu vực đô thị (MAN): Bao phủ một khu vực lớn hơn mạng LAN nhưng nhỏ hơn mạng WAN, thường trải rộng trên một thành phố hoặc một khuôn viên rộng lớn. Các nhà cung cấp dịch vụ địa phương thường sử dụng nó để cung cấp kết nối tới các doanh nghiệp và gia đình trong thị trấn.

• Mạng diện rộng (WAN) : Trải rộng trên một khu vực địa lý lớn hơn, thường kết nối nhiều mạng LAN. Internet là ví dụ nổi bật nhất của mạng WAN, kết nối các máy tính và mạng trên toàn thế giới.

Các thành phần

Việc xây dựng và duy trì mạng sẽ không thể thực hiện được nếu không có các thiết bị phần cứng chuyên dụng:

• Điểm truy cập cáp & không dây : Cáp vật lý (như Ethernet) cung cấp kết nối có dây giữa các thiết bị, trong khi điểm truy cập không dây cho phép thiết bị kết nối với mạng mà không cần cáp vật lý, sử dụng Wi-Fi hoặc các công nghệ không dây khác.

• Thẻ giao diện mạng (NIC) : Đây là các thành phần phần cứng, thường là thẻ được lắp vào máy tính hoặc các thiết bị khác, cho phép chúng kết nối với mạng.

• Bộ lặp : Một thiết bị mạng khuếch đại hoặc tái tạo tín hiệu, cho phép tín hiệu truyền đi khoảng cách xa hơn mà không bị suy giảm. Nó chủ yếu được sử dụng trong các mạng có dây và không dây để mở rộng phạm vi liên lạc và đảm bảo tính toàn vẹn dữ liệu trên khoảng cách xa.

• Cầu: Một cây cầu hoạt động ở lớp liên kết dữ liệu. Bridge là một bộ lặp, bổ sung thêm chức năng lọc nội dung bằng cách đọc địa chỉ MAC của nguồn và đích. Nó cũng được sử dụng để kết nối hai mạng LAN hoạt động trên cùng một giao thức.

• Hub : Các thiết bị mạng cơ bản này kết nối nhiều thiết bị trong mạng LAN, hoạt động như một phân đoạn mạng duy nhất. Hub không thể lọc dữ liệu nên các gói dữ liệu sẽ được gửi đến tất cả các thiết bị được kết nối.

• Switch : Các thiết bị trong mạng kết nối các thiết bị khác. Không giống như các hub phát cùng một dữ liệu đến tất cả các thiết bị, các bộ chuyển mạch thông minh hơn, chỉ truyền dữ liệu đến thiết bị cần nó.

• Bộ định tuyến : Thiết bị chuyển tiếp gói dữ liệu giữa các mạng máy tính. Họ xác định đường dẫn tốt nhất để truyền dữ liệu. Bộ định tuyến thường kết nối mạng LAN và WAN và có bảng định tuyến cập nhật động dựa trên đó chúng đưa ra quyết định định tuyến các gói dữ liệu.

Cấu trúc liên kết

Cấu trúc liên kết mạng là một bố cục cấu trúc quy định cách kết nối các thiết bị và thành phần mạng khác nhau cũng như cách truyền dữ liệu. Việc lựa chọn cấu trúc liên kết tác động đáng kể đến hiệu suất, khả năng mở rộng và khả năng chịu lỗi của mạng. Nó được phân thành hai loại chính:

• Vật lý : Mô tả bố cục vật lý của thiết bị, cáp và các thành phần mạng khác. Nó thể hiện cách các thiết bị mạng được kết nối vật lý.

• Logic : Mô tả luồng dữ liệu trong mạng, bất kể thiết kế vật lý của nó. Nó thể hiện cách dữ liệu được truyền giữa các thiết bị mạng.

Các loại cấu trúc liên kết sau đây được phân biệt:

Điểm-điểm

Một kết nối trực tiếp giữa hai nút hoặc điểm cuối. Đây là dạng cấu trúc liên kết mạng đơn giản nhất.

Ưu điểm :

• Liên kết trực tiếp và chuyên dụng đảm bảo truyền dữ liệu tốc độ cao.

• Cấu hình và thiết lập đơn giản.

• Giao tiếp đáng tin cậy vì chỉ có hai nút liên quan.

  
  

Nhược điểm :

• Nó không thể mở rộng cho các mạng lớn hơn vì nó yêu cầu một đường dây dành riêng cho mỗi cặp thiết bị.
• Nó có thể đắt hơn trong các trường hợp cần nhiều kết nối do cần có các liên kết riêng lẻ.

Xe buýt

Tất cả các thiết bị chia sẻ một đường truyền thông duy nhất. Dữ liệu do một thiết bị gửi sẽ có sẵn cho tất cả các thiết bị khác nhưng chỉ người nhận dự kiến mới chấp nhận và xử lý dữ liệu đó.

Ưu điểm :

• Dễ dàng triển khai cho các mạng nhỏ.

• Tiết kiệm chi phí do sử dụng cáp tối thiểu.

  
  

Nhược điểm :

• Hiệu suất giảm khi có nhiều thiết bị được thêm vào hoặc lưu lượng mạng tăng lên.
• Một lỗi cáp duy nhất có thể làm sập toàn bộ mạng.

Nhẫn

Mỗi thiết bị được kết nối với hai thiết bị khác, tạo thành một vòng. Dữ liệu di chuyển theo một hoặc đôi khi theo hai hướng.

Ưu điểm :

• Nó có thể xử lý tải dữ liệu lớn hơn cấu trúc liên kết bus.

  
  

Nhược điểm :

• Một lỗi ở một cáp hoặc thiết bị có thể làm hỏng toàn bộ mạng.
• Khó cài đặt và cấu hình lại hơn.

Ngôi sao

Tất cả các thiết bị đều được kết nối với một thiết bị trung tâm (ví dụ: bộ chuyển mạch hoặc hub).

Ưu điểm :

• Dễ dàng cài đặt và quản lý.
• Lỗi ở một cáp không ảnh hưởng đến các thiết bị khác.

Nhược điểm :

• Nếu thiết bị trung tâm bị lỗi, toàn bộ mạng không thể hoạt động được.
• Yêu cầu nhiều cáp hơn cấu trúc liên kết bus.

Cây

Cấu trúc liên kết lai kết hợp các đặc điểm của cấu trúc liên kết sao và bus. Các nhóm mạng được cấu hình hình sao được kết nối với đường trục bus tuyến tính.

Ưu điểm :

• Phân cấp và có thể mở rộng.

• Việc nhóm các thiết bị giúp dễ dàng quản lý.

  
  

Nhược điểm :

• Lỗi ở đường trục sẽ gây ra sự chia rẽ trong mạng.
• Cần nhiều hệ thống cáp hơn các cấu trúc liên kết khác.

Lưới thép

Các thiết bị được kết nối với nhau. Mọi thiết bị đều được kết nối với mọi thiết bị khác.

Ưu điểm :

• Cung cấp khả năng dự phòng và độ tin cậy cao.

• Dữ liệu có thể được truyền đồng thời từ nhiều thiết bị.

  
  

Nhược điểm :

• Nó đòi hỏi nhiều cáp hơn, làm cho nó đắt tiền.
• Phức tạp để cài đặt và cấu hình.

Hỗn hợp

Sự kết hợp của hai hoặc nhiều cấu trúc liên kết.

Ưu điểm :

• Linh hoạt và đáng tin cậy vì nó kế thừa những ưu điểm của cấu trúc liên kết thành phần.

• Có thể mở rộng.

  
  

Nhược điểm :

• Thiết kế phức tạp.
• Nó có thể đắt hơn do có nhiều cấu hình.

Giao thức

Giao thức mạng là các quy tắc hoặc tiêu chuẩn xác định cách truyền và nhận dữ liệu qua mạng. Các giao thức này đảm bảo rằng các thiết bị trên mạng (hoặc trên nhiều mạng) có thể giao tiếp với nhau theo cách được tiêu chuẩn hóa.

Giao thức chung

• TCP/IP : Bộ giao thức cơ bản cung cấp năng lượng cho Internet. TCP đảm bảo dữ liệu được gửi chính xác và IP cung cấp dữ liệu được gửi đến đúng nơi.
• UDP : Giao thức không kết nối, không giống như TCP, không thiết lập kết nối trước khi gửi dữ liệu và không đảm bảo thứ tự của các gói dữ liệu.
• HTTP, HTTPS: Các giao thức được sử dụng để truyền tải các trang web trên Internet. HTTPS bao gồm các biện pháp bảo mật để mã hóa dữ liệu.
• FTP : Một giao thức được thiết kế để truyền tệp qua mạng.
• SMTP : Được sử dụng để truyền email.
• IMAP : Được sử dụng để truy xuất và lưu trữ email từ máy chủ thư.
• POP3 : Được sử dụng để lấy email từ máy chủ thư.
• ICMP : Được sử dụng để báo cáo và chẩn đoán lỗi liên quan đến xử lý IP.
• DNS : Dịch tên miền thành địa chỉ IP, cho phép người dùng truy cập các trang web bằng tên mà con người có thể đọc được.
• DHCP : Gán địa chỉ IP động cho các thiết bị trên mạng.
• SSL/TLS : Các giao thức mã hóa được thiết kế để cung cấp khả năng liên lạc an toàn qua mạng máy tính.
• PPP : Giao thức điểm-điểm (PPP) về cơ bản là một bộ giao thức bất đối xứng cho các kết nối hoặc liên kết khác nhau mà không cần đóng khung.
• Ethernet : Xác định cách các thiết bị trên mạng cục bộ (LAN) giao tiếp. Nó hoạt động ở cả lớp vật lý và lớp liên kết dữ liệu của mô hình OSI.

Mô hình OSI và TCP/IP

OSI và TCP/IP là hai mô hình chính đóng vai trò là khung hướng dẫn mô tả các quy trình liên quan đến truyền thông dữ liệu qua mạng.

Mô hình OSI (Kết nối hệ thống mở) là một khung khái niệm để hiểu các tương tác mạng theo bảy lớp. Mỗi lớp phục vụ một chức năng cụ thể:

1. Vật lý : Xử lý kết nối vật lý giữa các thiết bị. Nó xác định các thành phần phần cứng, chẳng hạn như cáp, bộ chuyển mạch và NIC.

   
   

2. Liên kết dữ liệu : Chịu trách nhiệm tạo liên kết đáng tin cậy giữa hai nút được kết nối trực tiếp, xử lý lỗi và điều chỉnh luồng dữ liệu.

   
   

3. Mạng : Xác định đường dẫn tốt nhất để truyền dữ liệu từ nguồn đến đích qua mạng.

   
   

4. Vận chuyển : Đảm bảo liên lạc từ đầu đến cuối, kiểm soát luồng dữ liệu và sửa lỗi.

   
   

5. Phiên : Thiết lập, duy trì và chấm dứt kết nối ứng dụng ở cả hai đầu.

   
   

6. Trình bày : Dịch dữ liệu giữa lớp ứng dụng và lớp vận chuyển, đảm bảo dữ liệu có thể đọc được.

   
   

7. Ứng dụng : Tương tác trực tiếp với các ứng dụng của người dùng cuối, đảm bảo giao tiếp hiệu quả giữa phần mềm và các lớp thấp hơn của mô hình OSI.

TCP/IP là một mô hình ngắn gọn hơn được sử dụng chủ yếu trong Internet hiện đại, giúp đơn giản hóa các lớp OSI thành bốn loại:

1. Giao diện Mạng : Kết hợp các chức năng của lớp Liên kết Dữ liệu và Vật lý của OSI, tập trung vào cách gửi/nhận dữ liệu trên phương tiện mạng.

   
   

2. Internet : Tương ứng với lớp Mạng trong OSI, xử lý việc định tuyến dữ liệu, đánh địa chỉ IP và chuyển tiếp gói.

   
   

3. Vận chuyển : Tương tự như lớp Vận chuyển của OSI, đảm bảo dữ liệu đến đúng ứng dụng và được truyền đi một cách đáng tin cậy (TCP) hoặc nhanh chóng (UDP).

   
   

4. Ứng dụng : Hợp nhất các chức năng của các lớp Phiên, Trình bày và Ứng dụng của OSI, xử lý các quy trình ứng dụng của người dùng cuối.

Bảo vệ

Trong thiết kế hệ thống, việc đảm bảo an ninh mạng mạnh mẽ là điều tối quan trọng để bảo vệ dữ liệu nhạy cảm và duy trì niềm tin của người dùng cũng như các bên liên quan, đảm bảo tính liên tục trong kinh doanh và đáp ứng các yêu cầu quy định.

Các mối đe dọa và lỗ hổng phổ biến

1. Tấn công DDoS : Các nỗ lực độc hại nhằm phá vỡ lưu lượng truy cập thông thường của máy chủ, dịch vụ hoặc mạng được nhắm mục tiêu bằng cách áp đảo lưu lượng truy cập internet.

   
   

2. Phần mềm độc hại : Phần mềm được thiết kế nhằm phá hoại, làm hỏng hoặc giành quyền truy cập trái phép vào hệ thống máy tính. Điều này bao gồm virus, sâu, phần mềm gián điệp và ransomware.

   
   

3. Tấn công trung gian : Kẻ tấn công bí mật chặn và chuyển tiếp liên lạc giữa hai bên. Họ có thể nghe lén hoặc mạo danh một trong các bên, lừa dối bên kia.

   
   

4. Mối đe dọa nội bộ : Các mối đe dọa bắt nguồn từ bên trong tổ chức, chẳng hạn như nhân viên, nhân viên cũ hoặc đối tác có thông tin nội bộ liên quan đến thực tiễn bảo mật.

   
   

5. Lỗ hổng phần mềm : Lỗi hoặc điểm yếu trong phần mềm có thể bị khai thác để truy cập trái phép hoặc làm gián đoạn dịch vụ. Ví dụ bao gồm lỗi tràn bộ đệm và các trường hợp ngoại lệ chưa được xử lý.

   
   

6. Điểm yếu của phần cứng : Các thành phần vật lý có thể có lỗ hổng, như phần sụn có thể bị giả mạo hoặc các cửa hậu do nhà sản xuất cài đặt.

   
   

7. Thiết bị mạng bị định cấu hình sai : Các thiết bị như bộ định tuyến, bộ chuyển mạch hoặc tường lửa không được định cấu hình chính xác có thể khiến mạng gặp nhiều mối đe dọa khác nhau.

   
   

8. Xác thực và ủy quyền yếu : Chính sách mật khẩu không đầy đủ, thiếu xác thực đa yếu tố hoặc kiểm soát truy cập lỏng lẻo có thể cho phép truy cập trái phép.

   
   

9. Dữ liệu không được mã hóa : Dữ liệu không được mã hóa có thể dễ dàng bị chặn và đọc khi truyền qua mạng.

   
   

10. Hệ thống lỗi thời : Các hệ thống không còn được hỗ trợ hoặc chưa được cập nhật có thể có các lỗ hổng đã biết và dễ khai thác.

    
    

11. Lỗ hổng vật lý : Điều này đề cập đến các điểm truy cập vật lý nơi kẻ tấn công có thể cắm vào mạng hoặc truy cập trực tiếp vào máy chủ.

Thực tiễn tốt nhất để đảm bảo an ninh mạng

1. Tường lửa : Triển khai tường lửa phần cứng và phần mềm để giám sát và kiểm soát lưu lượng mạng đến và đi dựa trên chính sách bảo mật.

   
   

2. Mã hóa : Sử dụng các giao thức mã hóa, đặc biệt đối với dữ liệu nhạy cảm, cả khi truyền (như SSL/TLS cho lưu lượng truy cập web) và khi lưu trữ (như mã hóa cơ sở dữ liệu).

   
   

3. Cập nhật thường xuyên : Luôn cập nhật tất cả các hệ thống, phần mềm và ứng dụng để vá các lỗ hổng.

   
   

4. Xác thực đa yếu tố (MFA) : Triển khai MFA để thêm lớp bảo mật, đảm bảo rằng người dùng cung cấp hai hoặc nhiều yếu tố xác minh để có quyền truy cập.

   
   

5. Giám sát mạng : Sử dụng các công cụ giám sát mạng để giám sát mạng nhằm phát hiện các hoạt động bất thường hoặc truy cập trái phép liên tục.

   
   

6. Đào tạo nâng cao nhận thức về bảo mật : Giáo dục nhân viên và người dùng về tầm quan trọng của bảo mật và cách nhận biết các mối đe dọa tiềm ẩn.

   
   

7. Phân đoạn mạng : Hạn chế sự lây lan của các mối đe dọa trong mạng và cung cấp khả năng kiểm soát tốt hơn việc truy cập dữ liệu.

   
   

8. Sao lưu và khắc phục thảm họa : Đảm bảo tính sẵn có của dữ liệu và tính liên tục trong kinh doanh trong trường hợp vi phạm hoặc lỗi.

   
   

9. Bảo mật vật lý : Việc truy cập vật lý vào các thiết bị mạng có thể dẫn đến vi phạm.

Phần kết luận

Nắm bắt các nguyên tắc cơ bản của mạng, từ sự phức tạp của cấu trúc liên kết đến các sắc thái của các giao thức cơ bản, không chỉ đơn thuần là một bài tập mang tính học thuật—mà nó rất quan trọng để tạo ra các hệ thống mạnh mẽ và hiệu quả.

Nền tảng vững chắc về nguyên tắc mạng đảm bảo các hệ thống giao tiếp liền mạch, thích ứng linh hoạt và mở rộng quy mô một cách hiệu quả.