OSI - Open Systems Interconnection#

• OSI - là mô hình tham chiếu mô tả cách hệ thống mạng giao tiếp với nhau dễ dàng. Mô hình chia thành 7 tầng, mỗi tầng đảm nhiệm một chức năng riêng, giúp các thiết bị và chỉ làm việc với tầng bên trên hoặc bên dưới khi có sự cố.
• Các tầng giao tiếp với nhau thông qua các kênh logic (logic communication)
• Mô hình OSI có 2 loại thao thức:
  • Giao thức hướng kết nối (Connection-oriented) - TCP: chậm, an toàn, cần thiết lập kênh
  • Giao thức không kết nối (Connectionless) - UDP: nhanh, không an toàn, không cần thiết lập kênh
• Application Layer - Tầng Ứng Dụng:
  • Cung cấp dịch vụ mạng cho các ứng dụng của người dùng
  • Cho phép ứng dụng truy cập tài nguyên mạng
  • Mỗi dịch vụ sử dụng giao thức và cổng riêng (port)
  • Ex: HTTP - 80, FTP - 20 21, SMTP - 25 , DNS - 53
• Presentation Layer - Tầng Biểu Diễn:
  • Biểu diễn và chuyển đổi dữ liệu giữa định dạng của ứng dụng và định dạng mạng.
  • Chuyển đổi kiểu dữ liệu, mã hóa ký tự,
  • Thực hiện:
    • Mã hóa/giải mã (encryption/decryption)
    • Nén/giải nén dữ liệu (compression)
  • Đảm bảo hai hệ thống hiểu cùng một các biểu diễn dữ liệu.
• Session Layer - Tầng Phiên:
  • Thiết lập, duy trì và hủy bỏ phiên làm việc giữa các thiết bị đầu cuối.
  • Đồng bộ dữ liệu trong quá trình truyền
  • Quản lý hội thoại giữa hai bên (ai gửi - ai nhận)
• Transport Layer - Tầng Giao Vận:
  • Vận chuyeernm dữ liệu đầu cuối - đầu cuối (end-to-end) giữa các host
  • Chia dữ liệu lớn thành các segment nhỏ và đánh số thứ tự.
  • Đảm bảo truyền tin tin cậy và đúng thứ tự đã được đánh số
  • Phát hiện lỗi, truyền lại khi mất gói.
  • Điều khiển luồng (flow control)
  • Sử dụng port để phân biệt các tiến trình
• Network Layer - Tầng Mạng:
  • Định tuyến các gói tin từ nguồn đến đích qua nhiều mạng khác nhau.
  • Xác định đường đi tối ưu (routing).
  • Sử dụng địa chỉ logic (IP Address)
  • Có thể thực hiện phân mảnh gói tin (fragmentation)
  • Điều khiển tắc nghẽn (Congestion Control)
• Data Link Layer - Tầng Liên Kết Dữ Liệu
  • Thiết lập, duy trì và hủy bỏ liên kết dữ liệu giữa các nút liền kề
  • Đóng gói dữ liệu thành frame
  • Đánh địa chỉ vật lý (MAC address)
  • Kiểm soát lỗi (CRC - Cyclic Redundancy Check) và kiểm soát lưu lượng
  • Truyền và nhận frame, xử lý (ACK - Acknowledgement Frame)
• Physical Layer - Tầng Vật Lý:
  • Là tầng thấp nhấp trong mô hình OSI
  • Truyền dữ liệu dưới dạng bit (0 và 1)
  • Duy trì và giải phóng kết nối vật lý

TCP/IP - Transmission Control Protocol/Internet Protocol#

• TCP/IP là bộ giao thức mạng thực tế đang được sử dụng trên Internet.
• Khác với OSI (mô hình tham chiếu), TCP/IP là mô hình triển khai + tập hợp các giao thức cụ thể.
• Được thiết kế đơn giản hơn OSI và thường chia thành 4 tầng.
• Đảm bảo dữ liệu được truyền tải qua mạng hiệu quả, linh hoạt và có thể tin cậy (TCP, UDP).
• Application Layer - Tầng Ứng Dụng:
  • Gộp chức năng của Application + Presentation + Session trong OSI.
  • Cung cấp dịch vụ mạng trực tiếp cho các chương trình ứng dụng.
• Transport Layer - Tầng Giao Vận: TCP và UDP
  • Cung cấp dịch vụ vận chuyển dữ liệu end-to-end giữa host nguồn và host đích.
  • Thiết lập kết nối logic giữa hai đầu cuối.
  • Chia dữ liệu thành segment và đánh số thứ tự.
  • Sử dụng port để phân biệt các tiến trình/ứng dụng.
  • Có 2 cơ chế:
    • TCP: hướng kết nối, tin cậy, kiểm soát lỗi, điều khiển luồng
    • UDP: không kết nối, nhanh, không đảm bảo tin cậy
• Internet Layer - Tầng Liên Mạng:
  • Cung cấp địa chỉ logic (IP address) cho các thiết bị.
  • Định tuyến gói tin giữa nhiều mạng khác nhau.
  • Xác định đường đi từ nguồn đến đích (routing).
  • Đóng gói dữ liệu thành packet (IP packet).
  • Hỗ trợ ánh xạ giữa địa chỉ IP và MAC thông qua:
    • Giao thức phân giải địa chỉ ARP (Address Resolution Protocol)
    • Phân giải địa chỉ đảo RARP (Reverse Address Resolution Protocol)
• Network Access Layer - Tầng Truy Cập Mạng:
  • Gộp chức năng của Data Link + Physical trong OSI.
  • Cung cấp phương tiện kết nối vật lý: Cáp, card mạng, tín hiệu điện/quang
  • Đóng gói dữ liệu thành frame để truyền trên môi trường vật lý.
  • Địa chỉ MAC, truyền frame, phát hiện lỗi (CRC).
  • Quy định cách truy nhập đường truyền.

B1: Cài đặt Ubuntu Server#

• Cài đặt phiên bản server. Tải Ubuntu Server tại đây

B2: Tạo máy ảo Ubuntu trên VMware#

• Mở VMware, chọn Create a New Virtual Machine để khởi tạo máy ảo Ubuntu.
• Nhấn Next để tiếp tục.
• Ở bước tiếp theo, chọn file ISO Ubuntu Server bạn đã tải về trước đó.
• Chọn xong file ISO → Nhấn Next để tiếp tục cấu hình máy ảo.

B3: Cài đặt Ubuntu Server trong máy ảo#

• Khởi động máy ảo, bắt đầu cài đặt Ubuntu Server.
• Dùng chuột click vào mũi tên → Nhấn Enter để tiếp tục.
• Cài đặt ngôn ngữ → Nhấn Enter.
• Bỏ qua quá trình cập nhật cài đặt → Chọn Continue without updating → Nhấn Enter.
• Chọn bố cục bàn phím phù hợp → Nhấn Done → Enter.
• Cấu hình giao diện mạng → Giữ mặc định → Nhấn Done → Enter.
• Cấu hình proxy → Giữ trống nếu không dùng → Nhấn Done → Enter.
• Cấu hình Ubuntu Archive Mirror → Giữ mặc định → Nhấn Done → Enter.
• Cấu hình phân vùng ổ đĩa (lưu trữ) → Chọn Use Entire Disk (nếu chưa tùy chỉnh) → Nhấn Done → Enter.
• Nhập thông tin hồ sơ người dùng (username, password, hostname…)
• Sau khi điền xong, chọn Done → Nhấn Enter để tiếp tục.
• Cài đặt xong → Nhấn Reboot để khởi động lại và hoàn tất quá trình.

B4: Bước 4: Đăng nhập và cập nhật hệ thống#

• Đăng nhập vào hệ thống.
• Sau khi đăng nhập, cập nhật hệ thống bằng lệnh sau:

1
sudo apt update && sudo apt upgrade

Bridge#

• VM kết nối trực tiếp vào mạng LAN vật lý như một máy thật
• Cùng dải IP/Subnet với mạng thật (do DHCP router cấp)

Host-Only#

• Mạng nội bộ giữa Host với VM
• Không truy cập Internet
• Mạng riêng hoàn toàn, cô lập, an toàn

NAT#

• VM dùng IP private
• Khi ra Internet, NAT chuyển private → IP của Host
• Ra Internet được, bên ngoài không thể truy cập trực tiếp vào VM
• An toàn, hay dùng

Custom Network (VMnet8)#

• Cấu hình bằng VMware Virtual Network Editor
• Tạo mạng riêng theo yêu cầu
• Có thể bật DHCP, NAT hoặc chỉnh Subnet

B1: Xem cấu hình mạng vật lý hiện tại#

1
ip a

• Hiện tại card mạng là ens33

B2: Chỉnh sửa file cấu hình mạng#

• Liệt kê file cấu hình mạng

1
ls ls /etc/netplan/

• Hiện tại file cấu hình có tên 50-cloud-init.yaml
• Mở file cấu hình để chỉnh sửa

1
sudo nano /etc/netplan/50-cloud-init.yaml

• script cấu hình IP tĩnh

1
network:
2
  version: 2
3
  ethernets:
4
    ens33:
5
      dhcp4: false
6
      addresses:
7
        - 10.0.0.86/24
8
      nameservers:
9
        addresses: [8.8.8.8, 1.1.1.1]

• Sau khi chỉnh sửa file trong nano, nhấn:Ctrl + X → Y (yes) → Enter

B3: Áp dụng và kiểm tra lại IP#

1
sudo netplan apply
2
ip a

• ping tới google để kiểm tra mạng có hoạt động không

Keepalived#

Keepalived - phần mềm giúp hệ thống mạng luôn hoạt động liên tục ngay cả khi có sự cố xảy ra. Khi một máy chủ chính bị lỗi (như tắt máy, mất kết nối), Keepalived sẽ tự động kích hoạt máy dự phòng (backup) để thay thế, đảm bảo hệ thống không bị gián đoạn.

• Thường được dùng để:
  • Giám sát tình trạng hoạt động của các máy chủ.
  • Tự động chuyển địa chỉ IP ảo (VIP) sang máy khác khi máy chính gặp sự cố.
  • Sử dụng giao thức VRRP để đảm bảo luôn có một máy chủ chính (Master) giữ địa chỉ IP ảo.
• VRRP - giao thức cho phép nhiều thiết bị cùng chia sẻ một địa chỉ IP ảo (VIP).
• Trong một nhóm VRRP:
  • Sẽ có một máy giữ vai trò Master, là máy đang sở hữu và sử dụng VIP.
  • Các máy còn lại sẽ là Backup, chỉ chờ Master gặp sự cố để thay thế.
  • Nếu Master bị tắt hoặc mất kết nối, một máy Backup sẽ tự động trở thành Master mới và giành quyền giữ VIP.
  • Khi Master cũ hoạt động lại, nếu nó có độ ưu tiên cao hơn, VIP sẽ quay về lại Master ban đầu.

LAB#

• Đây là mô hình lab keepalived kết hợp với Nginx
• Cài đặt keepalived và nginx
  • Chạy trên 3 máy ảo

1
sudo apt update
2
sudo apt install keepalived nginx -y

1
- Tạo text cho web để dễ kiểm tra

1
echo "This is MASTER" | sudo tee /var/www/html/index.html     # máy 10.0.0.50
2
echo "This is BACKUP1" | sudo tee /var/www/html/index.html     # máy 10.0.0.51
3
echo "This is BACKUP2" | sudo tee /var/www/html/index.html     # máy 10.0.0.52

• Cấu hình keepalived cho từng máy ảo
  • mở và chỉnh file cấu hình.

1
sudo nano /etc/keepalived/keepalived.conf

Máy MASTER - 10.0.0.50

1
vrrp_instance VI_1 {
2
    state MASTER
3
    interface ens33
4
    virtual_router_id 51
5
    priority 100
6
    advert_int 1
7

8
    virtual_ipaddress {
9
        10.0.0.69
10
    }
11
}

Máy BACKUP1 - 10.0.0.51

1
vrrp_instance VI_1 {
2
    state BACKUP1
3
    interface ens33
4
    virtual_router_id 51
5
    priority 99
6
    advert_int 1
7

8
    virtual_ipaddress {
9
        10.0.0.69
10
    }
11
}

Máy BACKUP2 - 10.0.0.52

1
vrrp_instance VI_1 {
2
    state BACKUP2
3
    interface ens33
4
    virtual_router_id 51
5
    priority 98
6
    advert_int 1
7

8
    virtual_ipaddress {
9
        10.0.0.69
10
    }
11
}

Giải thích: vrrp_instance: Tạo tên cho một instance VRRP state: trạng thái của máy ảo interface: card mạng của máy ảo. virtual_router_id: ID của nhóm VRRP (phải giống nhau) priority: Ưu tiên cao nhất → giữ VIP. advert_int 1: Gửi gói thông báo mỗi 1 giây. virtual_ipaddress: Gán địa chỉ IP ảo (VIP) vào máy này.

• Khởi động keepalived
  • Trên cả 3 máy ảo

1
sudo systemctl restart keepalived
2
sudo systemctl enable keepalived

1
- Kiểm tra hoạt động của 3 máy ảo

1
service keepalived status

• Test Web Nginx
  • Chạy VIP lên trình duyệt chorme: 10.0.0.69

hiện tại web đang dùng IP máy MASTER Khi tôi tắt máy MASTER thì web sẽ tự động chuyển sang IP máy BACKUP1

1
service keepalived stop

1
- sau đó load lại web thì nó sẽ chuyển sang web BACKUP1
2
![alt text](image-25.png)
3
- tiếp tục thử tắt máy ảo BACKUP1 thì web sẽ chuyển sang BACKUP2
4
![alt text](image-26.png)
5
- cuối cùng start lại máy MASTER xem web có chuyển sang Web MASTER không

1
service keepalived start

• Kết luận
  • Mô hình hoạt động của Keepalived với 3 node
  • Trong mô hình này, địa chỉ IP ảo (VIP: 10.0.0.69) được chia sẻ giữa 3 máy chủ. Keepalived sử dụng giao thức VRRP để đảm bảo rằng chỉ một máy (ưu tiên cao nhất) giữ địa chỉ VIP tại một thời điểm.
  • Khi máy Master (priority 100) gặp sự cố, máy Backup1 (priority 99) sẽ tự động đảm nhận VIP. Nếu tiếp tục xảy ra lỗi, Backup2 (priority 98) sẽ thay thế. Điều này giúp đảm bảo dịch vụ không bị gián đoạn và tăng tính sẵn sàng của hệ thống.

Tool debug#

• Kiểm tra kết nối Internet (có ra ngoài được không)
• Kiểm tra DNS + Internet

1
ping 8.8.8.8
2
ping google.com

• Xem đường đi gói tin, tìm hop bị nghẽn/timeout

1
traceroute google.com

• Xem IP, subnet, trạng thái card mạng (máy đã nhận IP chưa)

1
ip a

• Xem bảng định tuyến, có default gateway không

1
ip r

• port TCP/UDP đang lắng nghe (dịch vụ đang mở)
• các kết nối TCP đang hoạt động

1
ss -tuln
2
ss -ant

• Kiểm tra phân giải DNS

1
nslookup google.com

• Bắt packet để debug traffic

1
sudo tcpdump -i eth0
2
sudo tcpdump host 8.8.8.8

• Bắt & phân tích packet bằng GUI

1
wireshark

Config network#

1
sudo nano /etc/netplan/50-cloud-init.yaml   # sửa cấu hình
2
sudo netplan apply                         # áp dụng cấu hình
3
ip route                                   # kiểm tra route

SSH Key là gì ?#

• SSH Key là một cặp khóa mã hóa dùng để xác thực người client và server thông qua giao thức SSH(Secure Shell) mà không cần dùng mật khẩu. Cơ chế dựa trên mã bất đổi xứng:
  • Public Key(khóa công khai): Dùng để chia sẻ và đặt trên server.
  • Private Key(khóa bí mật): Giữ bí mật, lưu trên máy client. Không bao giờ được chia sẽ

chỉ private key mới có thể giải mã những gì đã được mã hóa bởi public key.

Tại sao SSH Key an toàn hơn mật khẩu ?#

• Không thế dùng brute-force như các mật khẩu yếu
• Không bị đánh cắp qua phishing như password
• Có thể giới hạn IP, command hay thời gian sử dụng.
• Private key có thể được bảo vệ bằng passphrase, thêm lớp bảo mật thứ hai.

Thực hành#

1
ssh-keygen -t rsa -b 2048 -C "hieubt@client"

1
ssh-copy-id hieubt@10.0.0.11

1
ssh hieubt@10.0.0.11

1
ssh hieubt@10.0.0.11 "cat ~/.ssh/authorized_keys"

1
ssh hieubt@10.0.0.11