Home » NETWORKING
Category Archives: NETWORKING
Implementing Cisco Enterprise Wireless Networks (ENWLSI)
- Main Materials
- Cisco Catalyst 9800 Configuration Best Practices
- Cisco Catalyst 9800 Series Configuration Best Practices
- Cisco Catalyst 9800 Wireless Controller Series Web UI Deployment Guide
- High Availability Design with Cisco Catalyst 9800 Wireless Controllers
- Cisco Catalyst 9800 Series Wireless Controller Software Configuration Guide, Cisco IOS XE Cupertino 17.9.x
- Slides
- Introduction to Cisco Catalyst 9800 Wireless Controller
- Wireless Innovations – Catalyst 9800 controllers
- Troubleshoot Catalyst 9800 Wireless Controllers
- Wireless Network Automation with Cisco DNA Center
- Catalyst Wireless – How to Successfully Migrate to Catalyst 9800
- Successful Migration and Deployment Best Practices for Catalyst 9800 Wireless Networks
- Configuration Examples and TechNotes
- Basic Configuration of Cisco Catalyst 9800 Series Wireless Controller
- High Availability SSO Deployment Guide for Cisco Catalyst 9800 Series Wireless Controllers, Cisco IOS XE Amsterdam 17.1
- Wireless Troubleshooting Tools
- Troubleshoot Catalyst 9800 Client Connectivity Issues Flow
- Troubleshoot Catalyst 9800 AP Join or Disconnection Issues Flow
- Understand Wireless Debugs and Log Collection on Catalyst 9800 Wireless LAN Controllers
- Optimized WiFi Connectivity and Prioritized Business Apps
- References
- 9800-Tags
- C9800 – Tags & Profiles – Policy Tag
- C9800 – Tags & Profiles – Site Tag
- C9800 – Tags & Profiles – RF Tag
- C9800 – Tags & Profiles – AP Tagging
- Cisco Wireless Segmentation with Profiles and Tags
- Cisco Wireless Local vs FlexConnect
- Understand FlexConnect on Catalyst 9800 Wireless Controller
- Recommended AireOS Wireless LAN Controller Releases
- WPA3-Simultaneous Authentication of Equals(SAE)
- Seamless Next-generation Wi-Fi Security Through Multivendor End-to-end WPA3 Verification
- Fast Lane
- 802.11r BSS Fast Transition
- Wireless Network Security
- RADIUS Change of Authorization (CoA)
- What is Aironet IE?
- Workgroup Bridge (WGB)
- Cisco Band Select
- Aggressive Load Balancing
- Understanding Aggressive Load Balancing
- Fast SSID Changing
- AAA Override
- Static IP Clients Mobility
- Client Profiling
- Dynamic Channel Assignment (DCA)
- High Density Experience (HDX)
- Coverage Hole Detection and Mitigation (CHDM)
- Radio resource management (RRM)
- Modulation Coding Scheme (MCS)
- Basic theory behind mDNS
- 9800- FlexConnect Basics
- Cisco CleanAir Technology
- Transmit Power Control (TPC)
- Dynamic Channel Allocation (DCA)
- 9800-Client Troubleshooting
- EDCA Parameters
CCNA-Implementing and Administering Cisco Solutions
- Slides | Apps | Online Lessons
- CCNA Images: FOUNDATION | SWITCHING | ROUTING | SERVICE | SECURITY
- Labs in Class
- Lab1 | Lab2
- Creating a Small Network [INIT][DONE]
- Practicing IPv4 Subnetting.pdf
- Establishing Internet Connectivity [Subnetting-Static Routes][RIP][ACLs][NAT-ACLs]
- Practicing to Implement Basic Networks
- Implementing Scalable Medium-Sized Networks [VLAN-Trunk][EtherChannel-VTP-RSTP][HSRP][RIP-DHCP][Basic SWITCHING][Advanced SWITCHING]
- Implementing EIGRP OSPF BGP Routing [EIGRP][OSPF][BGP][Advanced ROUTING]
- Introducing IPv6
- Configuring GRE | Configuring Site-to-Site IPSec VPN
- Final Skill-Based Exam
- Other Labs [OpenLabs][Packet Tracer Activity Source Files]
- Exam: Exam Answers | 9tut | Lab Sim | ExamTopic | Exam4Training | Spoto
CCNAv7
- Terms: FOUNDATION | SWITCHING | ROUTING | SERVICE | SECURITY
- Mindmap: FOUNDATION | SWITCHING | ROUTING | SERVICE | SECURITY
- CCNA Images: FOUNDATION | SWITCHING | ROUTING | SERVICE | SECURITY
- Labs in class | Lab1 | Lab2
- Creating a Small Network [INIT][DONE]
- Practicing IPv4 Subnetting [PDF][Docx]
- Establishing Internet Connectivity [Subnetting-Static Routes][RIP][ACLs][NAT-ACLs][Services]
- Practicing to Implement Basic Networks
- Troubleshooting Basic Networks
- Implementing Scalable Medium-Sized Networks [VLAN-Trunk][EtherChannel-VTP-RSTP][HSRP][RIP-DHCP][Basic SWITCHING][Advanced SWITCHING]
- Troubleshooting Scalable Medium Sized Networks
- Implementing EIGRP OSPF BGP Routing [EIGRP][OSPF][BGP][Advanced ROUTING]
- Introducing IPv6
- Configuring GRE | Configuring Site-to-Site IPSec VPN
- Final Skill-Based Exam
- CCNA 200-301 Official Cert Guide:
- Wendell Odom – CCNA 200-301 Official Cert Guide, Volume 1 (2019).pdf
- Wendell Odom – CCNA 200-301 (Official Cert Guide) Volume 2 (2019).pdf
- Training Images: Day1 | Day2 | Day3 | Day4 | Day5 | Day6 | Day7 | Day8 | Day9 | Day10 | Day11 | Day12 | Day13 | Day14 | Day15
- The Guideline for Taking Progress Tests
- Apps | OS for EVE-NG
- Exam: Exam Answers | 9tut | Lab Sim | ExamTopic | Exam4Training | Spoto
Networking 101 – Fundamentals
- Learning Labs Center – Networking 101
- Introduction to Networking
- Networking topologies and models
- IPv4 addresses and subnets
- Download Packet Tracer
- Labs: Simple LAN
- Terminologies
[TCP/IP] HTTPS Session
Hình trên và các bước giải thích dưới đây sẽ cung cấp một ví dụ dễ hiểu, không đi sâu vào kỹ thuật, nhưng vẫn đảm bảo chi tiết và chính xác về thiết lập phiên HTTPS.
Các bước từ A đến I mô tả hoạt động giữa ngân hàng Blue Bank và nhà cung cấp dịch vụ chữ ký số VeriSign.
Các bước từ 1 đến 11 mô tả giao dịch giữa người dùng (HTTPS client) và ngân hàng (Blue Bank server).
- Bước A: Với vai trò là một CA gốc (root CA), máy chủ VeriSign đã tạo một cặp khóa (VS Pub Key – khóa công khai, VS Priv Key – khóa riêng). VeriSign sử dụng VS Priv Key để ký vào VS Pub Key của mình và tạo ra chứng thư số gốc (Root certificate, CA certificate) – đây được gọi là chứng thư số tự ký (self-signed certificate). (Việc ký chứng thư số sẽ được đề cập trong Bước E.) Lưu ý, các tổ chức lớn và quan trọng như VeriSign không dùng chứng thư gốc cao nhất của họ để ký chứng thư khách hàng mà sẽ sử dụng hệ thống phân cấp của các CA.
- Bước B: Để bắt đầu cung cấp dịch vụ ngân hàng trực tuyến, Blue Bank chọn VeriSign làm máy chủ CA công khai (public CA server). Máy chủ của Blue Bank cần thu được chứng thư số gốc của VeriSign. (Việc tạo chứng thư số sẽ được đề cập trong bước D). Rất có thể máy chủ của Blue Bank đã cài đặt chứng thư này trên đó. Máy tính để bàn và các hệ điều hành máy chủ phổ biến, chẳng hạn như của Microsoft, đã được cài đặt chứng thư CA này trên hệ thống. Các bạn có thể xem nội dung của các chứng thư gốc đáng tin cậy đã được cài đặt, bằng cách mở Control pannel/Manage user certificates sau đó chọn các mục bên trong để xem.
- Bước C: Blue Bank tạo một cặp khóa (BB Pub Key – khóa công khai, BB Priv Key – khóa riêng).
- Bước D: Blue Bank gửi khóa công khai (BB Pub Key) cho VeriSign để yêu cầu xác nhận và tạo chứng thư số cho mình.
- Bước E: VeriSign tiến hành tạo chứng thư số cho Blue Bank bằng cách thêm vào BB Pub Key các trường thông tin như phiên bản định dạng, số nhận diện, loại thuật toán băm, nhà phát hành, thời hạn, đối tượng phát hành, v.v.
- Bước F: VeriSign tiến hành băm (hash) một số trường (X509v, Cert Serial#, Hash, Issuer, Validity, Subject Name, Blue Bank Pub Key) của chứng thư số Blue Bank và tạo ra một mã băm (digest, hash value, message digest). Lưu ý: giá trị này không phải chữ ký số.
- Bước G: VeriSign mã hóa mã băm (digest) ở bước F bằng khóa riêng (VS Priv Key) và tạo ra một chữ ký số (digital signature); như vậy định nghĩa về chữ ký số là: một mã băm được mã hóa bằng một khóa riêng.
- Bước H: Chứng thư số Blue Bank đã được tạo ra. Nó là khóa công khai (BB Pub Key) được xác nhận và ký bởi CA. Như vậy, khóa công khai là dữ liệu trong chứng thư số.
- Bước I: Blue Bank cài đặt chứng thư số của mình, đó là BB Pub Key, đã được ký bởi CA VeriSign.
Bây giờ, là một khách hàng của Blue Bank, bạn sử dụng laptop để mở một phiên giao dịch trực tuyến.
- Bước 1: Laptop của bạn đã được cài chứng thư số gốc của CA VeriSign. Nếu máy chủ mà bạn muốn mở một phiên SSL có chứng thư số được cấp bởi một CA không quen thuộc, bạn cần tải và cài đặt chứng thư gốc vào máy tính của mình. Trong ví dụ đang xem xét, laptop chạy một hệ điều hành phổ biến và đã có một bản sao của chứng thư số gốc VeriSign trong kho chứng thư của mình.
- Bước 2: Bạn dùng trình duyệt truy vấn máy chủ của Blue Bank để xem nó có chấp nhận các phiên HTTPS hay không.
- Bước 3: Vì Blue Bank chấp nhận các phiên SSL, máy chủ sẽ gửi một bản sao chứng thư số của nó tới laptop của bạn. Trên thực tế, việc gửi bản sao chứng thư số của Blue Bank chỉ xảy ra lần đầu tiên khi bạn kết nối với máy chủ của ngân hàng. Sau đó, máy chủ và máy khách sẽ chỉ kiểm tra xem có đang sử dụng đúng số nhận diện (serial number) của chứng thư số hay không (đây là một trong các trường ở Bước E). Khi Blue Bank đưa chứng thư mới vào sử dụng, có thể vì chứng thư trước đó đã hết hạn hoặc vì khóa đã bị xâm phạm, nó sẽ yêu cầu laptop cung cấp số chứng thư (certificate number) mà laptop chưa biết đến. Trong trường hợp đó, máy chủ của Blue Bank sẽ gửi chứng thư mới cho laptop mà bạn đang sử dụng.
- Bước 4: Máy khách tiến hành xác thực chứng thư số của Blue Bank. Nó kiểm tra thời hạn và tên của tổ chức phát hành. Bởi vì khách hàng đã biết về bên phát hành chứng thư, trong trường hợp này là VeriSign, nên sẽ tiến hành xác thực chữ ký số. Để thực hiện, trước tiên máy khách băm các trường có trong chứng thư số của Blue Bank để nhận một mã băm (digest).
- Bước 5: Tiếp tục với việc xác thực chứng thư số của Blue Bank, khách hàng sẽ giải mã chữ ký gốc được tạo bởi khóa riêng (VS Priv Key) của VeriSign (bước G). Để thực hiện, khách hàng sử dụng khóa công khai (VS Pub Key) của VeriSign có được ở Bước 1. Nếu mã băm tính toán ở Bước 4 khớp với kết quả giải mã chữ ký số ở Bước 5, thì khách hàng biết chắc chắn hai điều: tổ chức phát hành (bên cung cấp chữ ký số) thực sự là VeriSign và không ai làm giả nội dung của chứng thư. Tính xác thực của chứng thư được chứng minh bằng việc khách hàng đã giải mã thành công chữ ký bằng VS Pub Key, có nghĩa là chữ ký được tạo ngay từ đầu bằng VS Priv Key. Và ai có khóa riêng của VeriSign? Chỉ VeriSign – và VS Priv Key được bảo vệ nghiêm ngặt.
- Bước 6: Mục tiêu cuối cùng của máy khách là có một phiên HTTPS với máy chủ, như được hiển thị trong Bước 12. Phiên HTTPS này sẽ sử dụng thuật toán mã hóa đối xứng vì nó nhanh hơn nhiều so với bất đối xứng. Ở giai đoạn này, máy khách và máy chủ phải đồng ý về thuật toán mã hóa sẽ sử dụng cho phiên được mã hóa trong Bước 12. Giả sử, máy khách và máy chủ đồng ý sử dụng thuật toán mã hóa RC4-128 (Rivest Cipher , 128-bit) và sẽ tiếp tục trao đổi thông tin cần thiết khác.
- Bước 7: Là một phần của quá trình tạo ra khóa mã hóa đối xứng sẽ sử dụng trong Bước 12, máy khách tạo ra một giá trị tại phiên giao dịch này (sesion value). Đây là giá trị tạo ra trước và có vai trò chính (pre-master value) trong việc hoàn thiện tính toán khóa đối xứng được sử dụng bởi máy chủ và máy khách.
- Bước 8: Giá trị phiên (session value, pre-master value) cần được chia sẻ bí mật với máy chủ, vì vậy máy khách mã hóa nó bằng khóa công khai (BB Pub Key) của máy chủ Blue Bank, chính là khóa được tìm thấy cùng với chứng thư số Blue Bank đã nhận ở Bước 3.
- Bước 9: Giá trị phiên (session value, pre-master value) đã mã hóa và được gửi đến máy chủ của Blue Bank.
- Bước 10: Sử dụng khóa riêng của mình (BB Priv Key), máy chủ của Blue Bank có thể giải mã dữ liệu mà nó vừa nhận được từ máy khách và thu được giá trị phiên (session value). Đây là giá trị sẽ được sử dụng để chế tạo khóa mã hóa đối xứng.
- Bước 11: Lúc này, cả máy khách và máy chủ có cùng một giá trị phiên (session value) và tất cả các giá trị cần thiết khác để tạo ra khóa phiên (session key) giống nhau. Giá trị khóa này được tính toán độc lập ở hai phía và chính là khóa đối xứng sẽ được sử dụng cho phiên giao dịch SSL giữa khách hàng và ngân hàng.
- Bước 12: Đường hầm (tunnel) SSL xuất hiện. Chỉ khi đó, một số trình duyệt sẽ hiển thị ổ khóa gần thanh địa chỉ (URL bar), và chỉ khi đó Blue Bank sẽ hiển thị trang đăng nhập để yêu cầu bạn cung cấp số thẻ ngân hàng và mật khẩu của mình.
Khi máy khách đăng xuất khỏi phiên giao dịch theo đúng cách hoặc khi phiên hết thời gian chờ (time out), máy khách và máy chủ sẽ đều loại bỏ khóa phiên đã tạo ở Bước 11.
Nguồn: Implementing Cisco IOS Network Security (IINS) Foundation Learning Guide, Second Edition