Bài giảng môn Công nghệ và thiết bị mạng

pdf 73 trang hoanguyen 3310
Bạn đang xem 20 trang mẫu của tài liệu "Bài giảng môn Công nghệ và thiết bị mạng", để tải tài liệu gốc về máy bạn click vào nút DOWNLOAD ở trên

Tài liệu đính kèm:

  • pdfbai_giang_mon_cong_nghe_va_thiet_bi_mang.pdf

Nội dung text: Bài giảng môn Công nghệ và thiết bị mạng

  1. Bài giảng mơn Cơng nghệ và thiết bị mạng
  2. Khoa CNTT- Bài giảng mơn Cơng nghệ và thiết bị mạng CHƯƠNG 1: GIỚI THIỆU VỀ MẠNG DIỆN RỘNG 1.1. Giới thiệu về WAN WAN (Wide Area Network) là mạng được thiết lập để liên kết các máy tính của hai hay nhiều khu vực khác nhau cách xa về mặt địa lý. Các WAN kết nối các mạng người sử dụng qua một phạm vi địa lý rộng lớn, nên chúng mở ra khả năng cung ứng hoạt động thơng tin cự ly xa cho doanh nghiệp. Sử dụng WAN cho phép các máy tính, máy in và các thiết bị khác trên một LAN chia sẻ và được chia sẻ với các vị trí ở xa. WAN cung cấp truyền thơng tức thời qua các miền địa lý rộng lớn. Khả năng truyền một thơng điệp đến một ai đĩ ở bất cứ nơi đâu trên thế giới tạo ra một khả năng truyền thơng tương tự như dạng truyền thơng giữa hai người ở tại một vị trí địa lý. Phần mềm chức năng cung cấp truy xuất thơng tin và tài nguyên thời gian thực cho phép hội họp được tổ chức từ xa. Thiết lập mạng diện rộng tạo ra một lớp nhân cơng mới được gọi là telecommuter, đĩ là những người làm việc mà chẳng bao giờ rời khỏi nhà. Các WAN được thiết kế để làm các cơng việc sau: Hoạt động qua các vùng tách biệt về mặt địa lý. Cho phép các người sử dụng cĩ khả năng thơng tin thời gian thực với người sử dụng khác. Cung cấp các kết nối liên tục các tài nguyên xa vào các dịch vụ cục bộ. Cung cấp Email, www, FTP và các dịch vụ thương mại điện tử. Các cơng nghệ WAN phổ biến bao gồm: Modem ISDL DSL Frame Relay Các đường truyền dẫn số theo chuNn Bắc Mỹ và châu Âu T1, E1, T3, E3 Mạng quang đồng bộ SON ET. Các thiết bị WAN bao gồm: 1
  3. Khoa CNTT- Bài giảng mơn Cơng nghệ và thiết bị mạng Hình 1.1. Các thiết bị kết nối trong WAN 1.2. Các thiết bị kết nối WAN 1.2.1. Lớp vật lý của WAN Các thực hiện thực tế lớp vật lý thay đổi tùy vào khoảng cách thiết bị đến dịch vụ, tốc độ và chính bản than dịch vụ. Các kết nối nối tiếp được dùng để hỗ trợ các dịch vụ WAN như các đường dây thuê riêng chạy PPP hay Frame Relay. Tốc độ của các kết nối này trong dải từ 2400 bps đến T1 tốc độ 1,544 Mbps và E1 tốc độ 2,048 Mbps. ISDN cung cấp dịch vụ quay số theo yêu cầu. Một dịch vụ giao tiếp tốc độ cơ bản (BRI) được cấu thành từ hai kênh truyền dẫn 64 kbps (kênh B)cho số liệu và một kênh delta tốc độ 16kbps (kênh D) được dùng cho báo hiệu và các tác vụ quản lý liên kết khác. PPP thường được dùng để truyền dẫn số liệu qua kênh D. Với sự ra tăng nhu cầu về dịch vụ tốc độ cao, băng thơng rộng trong khu vực dân cư, các kết nối DSL và modem cáp đang được phổ dụng hơn. 1.2.2. Các kết nối WAN nối tiếp Trong truyền thơng đường dài, các WAN dùng dạng đường dẫn nối tiếp. Đây là quá trình truyền bit số liệu nối tiếp nhau qua một kênh đơn. Tiến trình này cung ứng truyền thơng đường dài tin cậy hơn và dùng dải tần số ánh sáng hay điện tử đặc biệt. Các tần số được đo theo số chu kỳ trong một giây và được biểu diễn theo Hz. Kích thước của dải tần được xem như là băng thơng và được đo theo số bit được truyền trong một giây. Đối với một Cisco router, kết nối vật lý ở phía khách hàng được cung cấp bởi một hay hai loại kết nối nối tiếp. N ếu kết nối được nối trực tiếp với nhà cung cấp dịch vụ hay một thiết bị cung cấp tín hiệu định thời như CSU/DSU (Channel Service Unit/Data Service Unit), thì router sẽ là một thiết bị đầu cuối 2
  4. Khoa CNTT- Bài giảng mơn Cơng nghệ và thiết bị mạng (DTE) và dùng cáp DTE. Tuy nhiên, cĩ một số trường hợp mà router cục bộ được yêu cầu cung cấp tín hiệu định thời và do đĩ sẽ dùng cáp DCE. Hình 1.2. Các kết nối WAN nối tiếp 1.2.3. Router và các kết nối nối tiếp Các router chịu trách nhiệm định tuyến các gĩi dữ liệu từ nguồn đến đích trong một LAN và để cung cấp kết nối đến WAN . Trong mơi trường LAN router chứa broadcast, cung cấp dịch vụ phân dải địa chỉ cục bộ như ARP, RARP và cĩ thể chia mạng bằng cách dùng cấu trúc mạng con. Để cung ứng các dịch vụ này router phải được kết nối LAN và WAN . Hình 1.3.1. Kết nối nối tiếp của DTE và DCE N hằm xác định loại cáp, cần phải xác định các đầu nối là DTE hay DCE. DTE là điểm của thiết bị người sử dụng trên một liên kết WAN . DCE là một điểm thơng thường chịu trách nhiệm chuyển giao số liệu đến nhà cung cấp dịch vụ. Khi nối cáp loại nối tiếp cho router, router sẽ cĩ các port cố định hay gắn linh động (modular port). Các giao tiếp trên router là cố định được đánh nhãn theo loại port và chỉ số port. 3
  5. Khoa CNTT- Bài giảng mơn Cơng nghệ và thiết bị mạng Hình 1.3.2 Các giao tiếp cố định Các giao tiếp trên router là linh động được ghi nhãn theo loại port, khe (slot) và chỉ số port. Khe là vị trí của module. Để cấu hình một port trên một card rời, cần phải chỉ ra giao tiếp bằng cách dùng cú pháp “port type slot number/port number”. Dùng nhãn “serial 0/1” khi giao tiếp là nối tiếp, chỉ số khe nơi module được gắn vào là 1 và port đang được tham chiếu đến là 0. Hình 1.3.3. Các giao tiếp serial port dạng module 1.2.4. Router và các kết nối ISDN BRI Với ISDN BRI, hai loại giao tiếp cĩ thể được dùng là BRI/S và BRI/U. Xác định ai đang cung cấp thiết bị kết cuối mạng N T1 để xác định loại giao tiếp cần. N T1 là một thiết bị trung gian nằm giữa router và tổng đài ISDN của nhà cung cấp 4
  6. Khoa CNTT- Bài giảng mơn Cơng nghệ và thiết bị mạng dịch vụ. Để kết nối port ISDN BRI đến thiết bị của nhà cung cấp dịch vụ dùng cáp UTP Cat 5 straight-through. Lưu ý, chỉ gắn cáp nối từ ISDN BRI port vào một ISDN jack hay một tổng đài ISDN . Hình 1.3.4. Nối cáp trên router cho một cầu nối ISDN 1.2.5. Router và các kết nối DSL Để nối router với dịch vụ DSL, dùng một cáp điện thoại với đầu nối RJ-11. DSL làm việc qua các đường dây điện thoại chuNn dùng chân 3 và 4 trên đầu nối RJ-11. Hình 1.5. Kết nối router cho dịch vụ DSL 1.2.6. Thực hiện một kết nối console 5
  7. Khoa CNTT- Bài giảng mơn Cơng nghệ và thiết bị mạng Để bắt đầu cấu hình một thiết bị của Cisco, một kết nối quản trị phải được thực hiện trực tiếp đến các thiết bị qua cổng console của thiết bị. Cổng cosonle cho phép giám sát và cấu hình một Cisco hub, switch hay router. Cáp được dùng giữa đầu cuối và cổng console là cáp đảo (rollover cable). Kết nối các thiết bị bằng cáp đảo từ cổng console đến cổng nối tiếp của máy tính làm đầu cuối (cổng COM) sau đĩ cấu hình ứng dụng mơ phỏng đầu cuối với các thơng số cài đặt cho cổng nối tiếp (COM) của máy tính như sau: Speed: 9600 bps Format: 8 data bit Parity: no Stop bits: 1 Flow control: no Cổng AUX được dùng để cung cấp sự quản lý thơng qua modem. Cổng AUX cũng được cấu hình theo cách thức cổng console. Hình 1.6. Thiết lập một kết nối qua cổng console 1.3. Router trong WAN Router là một loại máy tính đặc biệt. N ĩ cũng cĩ các thành phần cơ bản giống như máy tính: CPU, bộ nhớ, hệ thống Bus và các cổng giao tiếp. Tuy nhiên router được thiết kế để kết nối hai hệ thống mạng và cho phép hai hệ thống này cĩ thể liên lạc với nhau, ngồi ra router cịn thực hiện việc chọn đường đi tốt nhất cho dữ liệu. Các thành phần chính bên trong router bao gồm: bộ nhớ RAM, N VRAM, bộ nhớ flash, ROM và các cổng giao tiếp. Đặc điểm và chức năng của RAM: Lưu bảng định tuyến Lưu bảng ARP Cĩ vùng bộ nhớ chuyển mạch nhanh 6
  8. Khoa CNTT- Bài giảng mơn Cơng nghệ và thiết bị mạng Cung cấp bộ nhớ đệm cho các gĩi dữ liệu Duy trì hàng đợi cho các gĩi dữ liệu Cung cấp bộ nhớ tạm thời cho tập tin cấu hình khi router đang hoạt động Thơng tin trên RAM sẽ bị xĩa khi router khởi động lại hay mất điện Đặc điểm và chức năng của NVRAM: Lưu giữ tập tin cấu hình khởi động của router N ội dung tập tin vẫn được lưu giữ khi khởi động lại router Đặc điểm và chức năng của ROM: Lưu giữ các câu lệnh của chương trình tự kiểm tra khi khởi động _POST ( Power-on Self Test) Lưu chương trình bootstrap và hệ điều hành cơ bản Để nâng cấp phần mềm trong ROM thì phải thay chip trên mainboard Đặc điểm và chức năng của cổng giao tiếp: Kết nối Router vào hệ thống mạng để nhận và chuyển gĩi dữ liệu Các cổng cĩ thể được gắn trực tiếp trên mainboard hay dưới dạng card rời 1.4 Đặc điểm vật lý của Router Cấu trúc của các router rất khác nhau tùy vào từng phiên bản bao gồm các thành phần sau: CPU – Đơn vị xử lý trung tâm: thực thi các câu lệnh của hệ điều hành để thực hiện các nhiệm vụ như: khởi động hệ thống, định tuyến, điều khiển các cổng giao tiếp mạng. RAM: Được dùng để lưu bảng định tuyến, cung cấp bộ nhớ cho chuyển mạch nhanh, chạy tập tin cấu hình và cung cấp hàng đợi cho các gĩi dữ liệu. RAM được chia thành hai phần: phần bộ nhớ xử lý chính và bộ nhớ chia sẻ xuất/nhập. Tồn bộ nội dung trên RAM sẽ bị xĩa khi mất điện. Flash: Bộ nhớ Flash được sử dụng để lưu tồn bộ hệ điều hành Cisco IOS. Mặc định router tìm IOS của nĩ trong flash. NVRAM ( None-volative Random-access Memory ): Là bộ nhớ RAM khơng bị mất thơng tin khi mất điện, được sử dụng để lưu tập tin cấu hình. BUS: Phần lớn các router đều cĩ bus hệ thống và CPU bus. Bus hệ thống được sử dụng để thơng tin liên lạc giữa CPU với các cổng giao tiếp và các khe mở rộng. 7
  9. Khoa CNTT- Bài giảng mơn Cơng nghệ và thiết bị mạng CPU sử dụng CPU bus để truy xuất các thành phần của router thơng qua bộ nhớ trên router. ROM ( Read Only Memory): Là nơi lưu đoạn mã của chương trình kiểm tra khi khởi động. N hiệm vụ chính của ROM là kiểm tra phần cứng của router khi khởi động, sau đĩ chép phần mềm Cisco IOS từ flash vào RAM. Các cổng giao tiếp: Là nơi router kết nối với bên ngồi. Router cĩ ba loại cổng: LAN , WAN và console. Cổng giao tiếp LAN thường là cổng Ethernet hoặc Token Ring. Cổng giao tiếp WAN cĩ thể là cổng Serial, ISDN , cổng tích hợp đơn vị dịch vụ kênh CSU ( Channel Service Unit ). Cổng console/AUX là cổng giao tiếp chủ yếu được sử dụng để cấu hình router. Hình 1.8. Cấu trúc vật lý của router 1.5 Vai trị của Router trong WAN Chức năng chủ yếu của router là định tuyến. Hoạt động định tuyến diễn ra ở Lớp 3, cung cấp kết nối giữa các mạng WAN với các chuNn vật lý và liên kết dữ liệu khác nhau. Ví dụ: một router cĩ thể cĩ một giao tiếp ISDN sử dụng kiểu đĩng gĩi PPP và một giao tiếp nối tiếp T1 sử dụng kiểu đĩng gĩi FrameRelay. Router phải cĩ khả năng chuyển đổi luồng bit từ loại dịch vụ này sang loại dịch vụ khác. Ví dụ: chuyển đổi từ dịch vụ ISDN sang dạng T1, đồng thời chuyển kiểu đĩng gĩi lớp Liên kết dữ liệu từ PPP sang FrameRelay. 8
  10. Khoa CNTT- Bài giảng mơn Cơng nghệ và thiết bị mạng CHƯƠNG 2. CẤU HÌNH ROUTER 2.1 Khái niệm về cấu hình Router. Cấu hình router là sử dụng các phương pháp khác nhau để định cấu hình cho router thực hiện các chức năng cụ thể: liên kết leased line, liên kết dial-up, firewall, Voice Over IP trong từng trường hợp cụ thể. Đối với Cisco Router thường cĩ 03 phương pháp để định cấu hình cho router:  Sử dụng CLI: CLI là chữ viết tắt của Command Line Interface, là cách cấu hình cơ bản áp dụng cho hầu hết các thiết bị của Cisco. N gười sử dụng cĩ thể dùng các dịng lệnh nhập từ các Terminal (thơng qua port Console hay qua các phiên Telnet) để định cấu hình cho Router.  Sử dụng Chương trình ConfigMaker: ConfigMaker là chương trình hỗ trợ cấu hình cho các Router từ 36xx trở xuống của Cisco. Chương trình này cung cấp một giao diện đồ họa và các Wizard thân thiện, được trình bày dưới dạng “Question – Answer”, giúp cho việc cấu hình router trở nên rất đơn giản. N gười sử dụng cĩ thể khơng cần nắm vững các câu lệnh của Cisco mà chỉ cần một kiến thức cơ bản về hệ thống là cĩ thể cấu hình được router. Tuy nhiên ngồi hạn chế về số sản phNm router hỗ trợ như ở trên, chương trình này cũng khơng cung cấp đầy đủ tất cả các tính năng của router và khơng cĩ khả năng tuỳ biến theo các yêu cầu cụ thể đặc thù. Hiện nay version mới nhất của ConfigMaker là ConfigMaker 2.4.  Sử dụng chương trình FastStep: Khác với chương trình ConfigMaker, FastStep được cung cấp dựa trên từng loại sản phNm cụ thể của Cisco. Ví dụ như với Cisco router 2509 thì cĩ FastStep for Cisco Router 2509 Chương trình này cung cấp các bước để cấu hình các tính năng cơ bản cho từng loại sản phNm. Các bước cấu hình cũng được trình bày dưới dạng giao diện đồ họa, “Question – Answer” nên rất dễ sử dụng. Tuy vậy cũng như chương trình ConfigMaker, FastStep chỉ mới hỗ trợ cho một số sản phNm cấp thấp của Cisco và chỉ giúp cấu hình cho một số chức năng cơ bản của router. Tĩm lại, việc sử dụng CLI để cấu hình Cisco Router tuy phức tạp nhưng vẫn là cách cấu hình router thường gặp nhất. Hiểu biết việc cấu hình bằng CLI sẽ giúp người sử dụng linh hoạt trong việc cấu hình và dễ dàng khắc phục sự cố. Hiện nay việc sử dụng CLI cĩ thể kết hợp với một trong 02 cách cấu hình cịn lại để đNy nhanh tốc độ cấu hình router. Khi đĩ, các chương trình cấu hình sẽ sử dụng để tạo các file cấu hình thơ, phương pháp CLI sẽ được sử dụng sau cùng để tùy biến hay thực hiện các tác vụ mà chương trình khơng thực hiện được. Trong tài liệu này các hướng dẫn cấu hình đều là phương pháp CLI – phương pháp dùng dịng lệnh. 2.2 Cấu trúc router. Cấu trúc router là một trong các vấn đề cơ bản cần biết trước khi cấu hình router. Cấu trúc của router được trình bày trong hình 2.1. 9
  11. Khoa CNTT- Bài giảng mơn Cơng nghệ và thiết bị mạng Các thành phần chính của router bao gồm:  N VRAM: N VRAM (N onvolatile random-access memory) là loại RAM cĩ thể lưu lại thơng tin ngay cả khi khơng cịn nguồn nuơi. Trong Cisco Router N VRAM thường cĩ nhiệm vụ sau:  Chứa file cấu hình startup cho hầu hết các loại router ngoại trừ router cĩ Flash file system dạng Class A. (7xxx)  Chứa Software configuration register, sử dụng để xác định IOS image dùng trong quá trình boot của router.  Flash memory: Flash memory chứa Cisco IOS software image. Đối với một số loại, Flash memory cĩ thể chứa các file cấu hình hay boot image Tùy theo loại mà Flash memory cĩ thể là EPROMs, single in-line memory (SIMM) module hay Flash memory card:  Internal Flash memory: o Internal Flash memory thường chứa system image. o Một số loại router cĩ từ 2 Flash memory trở lên dưới dạng single in- line memory modules (SIMM). N ếu như SIMM cĩ 2 bank thì được gọi là dual-bank Flash memory. Các bank này cĩ thể được phân thành nhiều phần logic nhỏ  Bootflash o Bootflash thường chứa boot image. o Bootflash đơi khi chứa ROM Monitor.  Flash memory PC card hay PCMCIA card. Flash memory card dủng để gắn vào Personal Computer Memory Card International Association (PCMCIA) slot. Card này dùng để chứa system image, boot image và file cấu hình. Các loại router sau cĩ PCMCIA slot: o Cisco 1600 series router: 01 PCMCIA slot. o Cisco 3600 series router: 02 PCMCIA slots. o Cisco 7200 series N etwork Processing Engine (N PE): 02 PCMCIA slots o Cisco 7000 RSP700 card và 7500 series Route Switch Processor (RSP) card chứa 02 PCMCIA slots.  DRAM: Dynamic random-access memory (DRAM) bao gom 02 loại:  Primary, main, hay processor memory, dành cho CPU dùng để thực hiện Cisco IOS software và lưu giữ running configuration và các bảng routing table.  Shared, packet, or I/O memory, which buffers data transmitted or received by the router's network interfaces. Tùy vào IOS và phần cứng mà cĩ thể phải nâng cấp Flash RAM và DRAM.  ROM Read only memory (ROM) thường được sử dụng để chứa các thơng tin sau: 10
  12. Khoa CNTT- Bài giảng mơn Cơng nghệ và thiết bị mạng  ROM monitor, cung cấp giao diện cho người sử dung khi router khơng tìm thấy các file image khơng phù hợp.  Boot image, giúp router boot khi khơng tìm thấy IOS image hợp lệ trên flash memoty. 2.3 Các mode config Cisco router cĩ nhiều chế độ (mode) khi config, mỗi chế độ cĩ đặc điểm riêng, cung cấp một số các tính năng xác dịnh để cấu hình router. Các mode của Cisco router được trình bày trong hình 2.2.  User Mode hay User EXEC Mode: Đây là mode đầu tiên khi bạn bắt đầu một phiên làm việc với router (qua Console hay Telnet). Ở mode này bạn chỉ cĩ thể thực hiện được một số lệnh thơng thường của router. Các lệnh này chỉ cĩ tác dụng một lần như lệnh show hay lệnh clear một số các counter của router hay interface. Các lệnh này sẽ khơng được ghi vào file cấu hình của router và do đĩ khơng gây ảnh hưởng đến các lần khởi động sau của router.  Privileged EXEC Mode: Để vào Privileged EXEC Mode, từ User EXEC mode gõ lệnh enable và password (nếu cần). Privileged EXEC Mode cung cấp các lệnh quan trọng để theo dõi hoạt động của router, truy cập vào các file cấu hình, IOS, đặt các password Privileged EXEC Mode là chìa khĩa để vào Configuration Mode, cho phép cấu hình tất cả các chức năng hoạt động 11
  13. Khoa CNTT- Bài giảng mơn Cơng nghệ và thiết bị mạng của router.  Configuration Mode: N hư trên đã nĩi, configuration mode cho phép cấu hình tất cả các chức năng của Cisco router bao gồm các interface, các routing protocol, các line console, vty (telnet), tty (async connection). Các lệnh trong configuration mode sẽ ảnh hưởng trực tiếp đến cấu hình hiện hành của router chứa trong RAM (running-configuration). N ếu cấu hình này được ghi lại vào N VRAM, các lệnh này sẽ cĩ tác dụng trong những lần khởi động sau của router. Configurarion mode cĩ nhiều mode nhỏ, ngồi cùng là global configuration mode, sau đĩ là các interface configration mode, line configuration mode, routing configuration mode.  ROM Mode ROM mode dùng cho các tác vụ chuyên biệt, can thiệp trực tiếp vào phần cứng của router như Recovery password, maintenance. Thơng thường ngồi các dịng lệnh do người sử dụng bắt buộc router vào ROM mode, router sẽ tự động chuyển vào ROM mode nếu khơng tìm thấy file IOS hay file IOS bị hỏng trong quá trình khởi động. 12
  14. Khoa CNTT- Bài giảng mơn Cơng nghệ và thiết bị mạng Hình 2.2: Một số mode config của Cisco Router Bảng 2.1 trình bày các mode cơ bản của Cisco router và một số đặc điểm của chúng: Mode Cách thức truy cập Dấu nhắc Cách thức thoát User EXEC Log in. Router> logout command. Privileged Từ user EXEC mode, sử Router# Để trở về user EXEC mode, EXEC dụng lệnh enable. dùng lệnh disable Để vào global configuration mode, dùng lệnh configure terminal. Global Từ privileged EXEC Router(config)# Để ra privileged EXEC configuration mode, dùng lệnh mode, dùng lệnh exit hay configure terminal end hay gõ Ctrl-Z. Để vào interface configuration mode, gõ lệnh interface. 13
  15. Khoa CNTT- Bài giảng mơn Cơng nghệ và thiết bị mạng Interface Từ global configuration Router(config- Để ra global configuration configuration mode, gõ lệnh interface. if)# mode, dùng lệnh exit Để ra privileged EXEC mode, dùng lệnh exit hay gõ Ctrl-Z. Để vào subinterface configuration mode, xác định subinterface bằng lệnh interface Subinterface Từ interface Router(config- To exit to global configuration configuration mode, xác subif)# configuration mode, use the định subinterface bằng exit command. lệnh interface. To enter privileged EXEC mode, use the end command or press Ctrl-Z. ROM monitor Từ privileged EXEC > Để ra user EXEC mode, gõ mode, dùng lệnh reload lệnh continue nhấn phím Break trong 60s khi router khởi động Dùng lệnh boot system rom. 2.3 Cấu hình các tính năng chung của router. 2.3.1 Một số quy tắc về trình bày câu lệnh. Các quy tắc trình bày tại bảng sau được sử dụng trong tài liệu này cũng như trong tất cả các tài liệu khác của Cisco Cách trình bày Ý nghĩa ^ hay Ctrl Phím Ctrl. Screen Hiểm thị các thông tin sẽ được trình bày trên màn hình. Boldface Hiển thị các thông tin (dòng lệnh) mà bạn phải nhập vào từ bàn phím. Biểu hiện các ký tự không hiển thi trên màn hình, ví dụ như password. ! Biểu hiện các câu chú thích. ( ) Biểu hiện dấu nhắc hiện tại [ ] Biểu hiện các tham số tùy chọn (không bắt buộc) cho câu lệnh. Italics Biểu hiện các tham số của dòng lệnh. Các tham số này là bắt buộc phải có và bạn phải chọn giá trị phù hợp cho tham số đó để đưa vào câu lệnh. { x | y | z } Biểu hiện bạn phải chọn một trong các giá trị x, y, z trong câu lệnh. Bảng 3.1 14
  16. Khoa CNTT- Bài giảng mơn Cơng nghệ và thiết bị mạng 2.3.2 Các phím tắt cần sử dụng khi cấu hình router Cisco router được cấu hình bằng chuỗi các lệnh, để thuận tiện và nhanh chóng hơn trong việc nhập lệnh một số các phím tắt thường được sử dụng được trình bày ở bảng 3.2: Phím Công dụng Delete Xóa ký tự bên phải con trỏ Backspace Xóa ký tự bên trái con trỏ Left Arrow hay Di chuyển con trỏ về bên trái một ký tự Ctrl-B Right Arrow hay Di chuyển con trỏ về bên phải một ký tự Ctrl-F Esc-B Di chuyển con trỏ về bên trái một từ Esc-F Di chuyển con trỏ về bên phải một từ TAB Hiển thị toàn bộ lệnh (chỉ có tác dụng khi phần đã gõ của lệnh tương ứng đủ để giúp Cisco IOS xác định lệnh đó là duy nhất) Ctrl-A Di chuyển con trỏ lên đầu hàng lệnh. Ctrl-E Di chuyển con trỏ về cuốihàng lệnh. Ctrl-R Hiển thị lại dòng lệnh. Ctrl-U Xóa dòng lệnh. Ctrl-W Xóa một từ Ctrl-Z Kết thúc Configuration Mode, trở về EXEC mode. Up Arrow hay Hiển thị dòng lệnh trước. Ctrl-P Down Arrow hay Hiển thị dòng lệnh tiếp theo. Ctr-N Bảng 3.2 Ngoài ra khi cấu hình router, dấu ? thường được sử dụng ở tất cả các mode để liệt kê danh sách các câu lệnh có thể sử dụng được tại mode đó. Ví dụ: Router> ? Exec commands: Session number to resume connect Open a terminal connection disconnect Disconnect an existing telnet session enable Turn on privileged commands exit Exit from the EXEC help Description of the interactive help system lat Open a lat connection lock Lock the terminal login Log in as a particular user 15
  17. Khoa CNTT- Bài giảng mơn Cơng nghệ và thiết bị mạng logout Exit from the EXEC menuStart a menu-based user interface mbranchTrace multicast route for branch of tree mrbranchTrace reverse multicast route to branch of tree mtrace Trace multicast route to group name-connection Name an existing telnet connection pad Open a X.29 PAD connection ping Send echo messages resume Resume an active telnet connection show Show running system information systat Display information about terminal lines telnet Open a telnet connection terminal Set terminal line parameters tn3270 Open a tn3270 connection trace Trace route to destination where List active telnet connections x3 Set X.3 parameters on PAD xremote Enter XRemote mode 2.3.3 Các khái niệm về console, telnet. Cách xác định các tên và password cho router. 2.3.3.1 Console port Console port có trên tất cả các loại router dùng để cho các terminal có thể truy cập vào router để định cấu hình cũng như thực hiện các thao tác khác trên router. Console port thường có dạng lỗ cắm cho RJ-45 connector. Để kết nối vào console port ta cần các thiết bị sau: • 01 terminal, có thể là terminal chuyên dụng của UNIX hay máy PC Windows chạy chương trình HyperTerminal. • 01 Roll-over cable: sợi cáp này đi kèm với mỗi router (hình 3.1), là cáp UTP có 4 cặp dây và được bấm RJ-45 đảo thứ tự 2 đầu. Hình 3.1 • 01 đầu DB-25 hay DB-9 dùng để kết nối vào Terminal. Các đầu nối này có port nối RJ-45 ở phía sau. Các đầu nối này thường được gọi là RJ-45 to DB-9 hay RJ-45 to DB-25 adapter. Kết nối vào console port được thực hiện như hình 3.2 Khi kết nối đã được thực hiện, chạy chương trình (ví dụ như HyperTerminal) của Windows để truy cập vào router. Một số điểm lưu ý khi sử dụng chương trình là: 16
  18. Khoa CNTT- Bài giảng mơn Cơng nghệ và thiết bị mạng • Chọn đúng COM port kết nối (direct to COM1 hay COM2). • Các thông số của console port là: 9600 baud, 8 data bits, no parity, 2 stop bits. Console port không hỗ trợ cho flow control và modem control. Nếu không được đặt password cho console port, khi khởi động chương trình HyperTerminal, xác lập đúng các thông số như trên và gõ vài lần Enter, bạn sẽ vào ngay user EXEC mode với dấu nhắc “router>”. Password với console port là không bắt buộc, tuy nhiên để bảo đảm an toàn cho hệ thống, ta có thể dùng các buớc sau đây để xác định password cho console port của router. Hình 3.2 Kết nối console port vào terminal. Câu lệnh Dấu nhắc ban Dấu nhắc sau Giải thích đầu khi gõ enable Router> Router# Vào chế độ Privileged mode, gõ password nếu cần config Router# Router#(config) Vào global configuration mode terminal line con0 Router#(config) Router#(config- Vào line configuration mode. line) login Router#(config- Router#(config- Cho phép login vào router và hiển thị line) line) câu hỏi password khi truy cập. password Router#(config- Router#(config- Đặt password cho console port. password line) line) ^ Z Router#(config- Router# Trở về Privileged mode. line) Bảng 3.3 2.3.3.2 Telnet sesstion Trong hệ thống mạng sử dụng TCP/IP, Telnet là một dịch vụ rất hữu ích giúp cho người sư dụng có thể truy cập và cấu hình thiết bị từ bất cứ nơi nào trong hệ thống hay thông 17
  19. Khoa CNTT- Bài giảng mơn Cơng nghệ và thiết bị mạng qua các dịch vụ remote access. Để sử dụng được Telnet cho việc truy cập và cấu hình cisco router cần phải có các điều kiện sau: • Hệ thống mạng sử dụng giao thức TCP/IP • Gán địa chỉ IP cho ít nhất 01 trong các ethernet port của router và kết nối cổng đó vào hệ thống mạng. • 01 PC kết nối vào mạng thông qua TCP/IP. Sau khi thỏa mãn các điều kiện trên, tại PC ta có thể gõ lệnh telnet ip address của ethernet port trên router để có thể truy cập vào router. Do mức độ dễ dàng và thuận tiện của telnet trong việc truy cập vào router, việc đặt password cho telnet là rất cần thiết và quan trọng. Bảng sau sẽ trình bày các bước để xác lập password cho các đường telnet. Câu lệnh Dấu nhắc ban Dấu nhắc sau Giải thích đầu khi gõ enable Router> Router# Vào chế độ Privileged mode, gõ password nếu cần config Router# Router#(config) Vào global configuration mode terminal line vty 0 4 Router#(config) Router#(config- Vào line configuration mode. line) login Router#(config- Router#(config- Cho phép login vào router và hiển thị line) line) câu hỏi password khi truy cập. password Router#(config- Router#(config- Đặt password cho console port. password line) line) ^ Z Router#(config- Router# Trở về Privileged mode. line) Bảng 3.4 Đường telnet trong Cicso router được ký hiệu là vty. Cisco router hỗ trợ 05 phiên telnet đồng thời (ký hiệu từ 0 đến 4). Ta có thể xác định password cho từng đường telnet. Tuy nhiên cả 05 đường thường được cấu hình chung 01 password duy nhất để tăng khả năng bảo mật và dễ quản lý. 2.3.3.3 Xác định tên cho router và enable password. Khi chưa xác định tên cho router, dấu nhắc mặc định của router sẽ là “router>”. Việc xác định tên cho router nhằm mục đích quản lý và làm thay đổi dấu nhắc này. Ngoài ra việc xác đính enable password cho phép ngăn chặn thêm một lần nữa (ngoài password vào console hay telnet) việc truy cập và thay đổi cấu hình router. Bảng sau trình bày các buớc để đặt (hay thay đổi) tên và enable password cho router. Câu lệnh Dấu nhắc ban Dấu nhắc sau Giải thích đầu khi gõ lệnh enable Router> Router# Vào chế độ Privileged mode, gõ password nếu cần 18
  20. Khoa CNTT- Bài giảng mơn Cơng nghệ và thiết bị mạng config terminal Router# Router#(config) Vào global configuration mode hostname name Router#(config) (name)#(config- Xác định tên cho router, dấu line) nhắc sẽ thay đổi đúng theo tên đã nhập. enable assword (name)#(config (name)#(config- Xác định enable password password -line) line) enable secret (name)#(config (name)#(config- Xác định enable password password -line) line) đồng thời mã hóa password trong file cấu hình. Phải đi chung với lệnh service password-encryption. ^ Z (name)#(config (name)# Trở về Privileged mode. -line) Bảng 3.5 2.3.4 Làm việc với file cấu hình và IOS image. 2.3.4.1 Một số khái niệm cơ bản. • File cấu hình (configuration file): Là một file dạng text có cấu trúc, trong đó chứa tất cả các lệnh quan trọng của router, quyết định hoạt động của router. Sau khi cấu hình ban đầu, file cấu hình này được ghi vào NVRAM của router và sẽ được sử dụng trong suốt thời gian hoạt động của router. (trong một số loại router, file này có thể chứa ở bootflash RAM, slot 0 hay slot 1của PCMCIA card). Khi router khởi động file cấu hình này được nạp từ NVRAM vào RAM và thi hành một cách tự động. Việc mất hay hư hỏng file cấu hình này sẽ khiến router rơi vào ROM mode hay setup mode. File cấu hình nằm trong NVRAM được gọi là startup- config còn nằm trong RAM được gọi là running-config. Ngoại trừ trong quá trình cấu hình router, hai file này thường giống nhau. Ví dụ về một file cấu hình của router: Current configuration: ! version 11.2 ! Version of IOS on router, automatic command ! no service udp-small-servers no service tcp-small-servers ! hostname Critter prompt Emma ! Prompt overrides the use of the hostname as the prompt ! enable password lu ! This sets the priviledge exec mode password ! no ip domain-lookup ! Ignores all names resolutions unless locally defined on the router. ! ipx routing 0000.3089.b170 ! Enables IPX rip routing ! 19
  21. Khoa CNTT- Bài giảng mơn Cơng nghệ và thiết bị mạng interface Serial0 ip address 137.11.12.2 255.255.255.0 ipx network 12 ! interface Serial1 description this is the link to Albuquerque ip address 137.11.23.2 255.255.255.0 ipx network 23 ! interface TokenRing0 ip address 137.11.2.2 255.255.255.0 ipx network CAFE ring-speed 16 ! router rip network 137.11.0.0 ! no ip classless ! banner motd ^C This Here’s the Rootin-est Tootin-est Router in these here Parts! ^C ! Any text between the Ctl-C keystroke is considered part of the banner, including !the return key.! line con 0 password cisco login ! login tells the router to supply a prompt; password defines what the user must type! ! line aux 0 line vty 0 4 password cisco login ! end • IOS image: IOS là chữ viết tắt của Internetworking Operating System. IOS thực sự là trái tim của Cisco router. Nó quyết định tất cả các chức năng của thiết bị và bao gồm tất cả các dòng lệnh dùng để cấu hình thiết bị đó. IOS image là thuật ngữ dùng để chỉ file chứa IOS, nhờ đó mà ta có thể backup hay upgrade IOS một cách dễ dàng và thuận tiện. Trong Cisco router IOS thường được chứa trong Flash RAM. • TFTP server. TFTP là chữ viết tắt của Trial File Transfer Protocol, một protocol chuẩn của giao thức TCP/IP. TFTP là một connectionless, reliable protocol. TFTP Server có thể là một workstation UNIX hay một PC thường chạy chương trình giả lập TFTP server trên một hệ thống mạng TCP/IP. TFTP Server thường được dùng làm nơi backup các file cấu hình, IOS image hay ngược lại là nơi chứa các file cấu hình mới, các IOS image mới để update cho router. 2.3.4.2 Làm việc với file cấu hình và IOS. • Với file cấu hình: Các quá trình làm việc với file cấu hình được mô tả trong hình 3.3 20
  22. Khoa CNTT- Bài giảng mơn Cơng nghệ và thiết bị mạng Hình 3.3 Như hình 3.3 cho thấy, ta có thể chuyển đổi qua lại file cấu hình từ RAM, NVRAM và TFTP Server. Các chuyển đổi đến NVRAM và TFTP thường có nghĩa là thay thế (replace) trong khi các chuyển đổi tới RAM có nghĩa là bổ sung (add). − Để chuyển đổi file cấu hình trong Cisco router dùng lệnh sau ở privileged mode: copy {tftp | running-config | startup-config} {tftp | running-config | startup-config} Ví dụ: − Để copy file cấu hình từ RAM vào NVRAM ta dùng lệnh sau: copy running-config startup-config − Để xem một file cấu hình ta dùng lệnh sau: show {running-config | startup-config} − Để xóa một file cấu hình ta dùng lệnh sau: erase nvram Ngoài ra ta còn có thể sử dụng các câu lệnh khác có tác dụng tương tự. Các lệnh này là các lệnh cũ thường được sử dụng trong các IOS version 11.0 trở về trước. Câu lệnh Câu lệnh tương đương (lệnh cũ) show running-config write terminal show startup-config show config copy running-config startup config write mem copy running-config tftp write network erase nvram write erase hay erase startup-config. 21
  23. Khoa CNTT- Bài giảng mơn Cơng nghệ và thiết bị mạng . 22
  24. Khoa CNTT- Bài giảng mơn Cơng nghệ và thiết bị mạng − Xem nội dung của flash RAM Dùng lệnh show flash để xem thông tin về IOS image chứa trong flash RAM Ví dụ: fred#show flash System flash directory: File Length Name/status 1 4181132 c2500-i-l.112-7a [4181196 bytes used, 4207412 available, 8388608 total] 8192K bytes of processor board System flash (Read ONLY) − Chọn IOS image để khởi động router. Trong mỗi router có 01 thanh ghi gọi là configuration register. Đây là một thanh ghi 16-bit (Hình 3.5) trong đó 4 bit cuối cùng được gọi là boot field quyết định quá trình khởi động của router. Giá trị của boot field cho biết router sẽ khởi động từ ROM hay từ RAM. Can thiệp vào quá trình khởi động của router thông qua configuration register thường dùng trong quá trình password recovery. Hình 3.5: configuration register. Một cách khác đơn giản và thường được sử dụng là dùng lệnh boot system của IOS. Lệnh này thường được đặt và trong startup-config của router. Bảng sau sẽ tổng kết lại cả hai phương pháp trên Giá trị của boot field Câu lệnh boot system Kết quả 0x0 Không ảnh hưởng ROM monitor mode. 0x1 Không ảnh hưởng ROM mode. 0x2 đến 0xF Boot system rom ROM mode 0x2 đến 0xF Boot system flash IOS đầu tiên trong flash sẽ được dùng để khởi động. 0x2 đến 0xF Boot system flash filename IOS image trong flash được chỉ định sẽ được dùng để khởi động. 0x2 đến 0xF Boot system tftp ip address IOS image có tên là filename filename trong TFTP server có địa chỉ ip address sẽ được dùng để khởi động. 0x2 đến 0xF Nhiều lệnh boot system Router sẽ sử dụng các lệnh từ trên xuống dưới cho đến khi có một lệnh được thực 23
  25. Khoa CNTT- Bài giảng mơn Cơng nghệ và thiết bị mạng .Bảng 3.7 CHƯƠNG III: GIAO THỨC ĐNNH TUYẾN 3.1.Giới thiệu về định tuyến Định tuyến là quá trình mà router thực hiện để chuyển gĩi dữ liệu tới mạng đích. Tất cả các router dọc theo đường đi đều dựa vào địa chỉ IP đích của gĩi dữ liệu để chuyển gĩi theo đúng hướng đến đích cuối cùng. Định tuyến chia làm hai dạng định tuyến động và định tuyến tĩnh. 3.2. Định tuyến tĩnh Đối với định tuyến tĩnh, các thơng tin về đường đi phải do người quản trị mạng nhập cho router. Khi cấu trúc mạng cĩ bất kỳ sự thay đổi nào thì chính người quản trị mạng phải xố hoặc thêm thơng tin về đường đi cho router. những loại đường như vậy gọi là đường cố định. 3.2.1.Hoạt động của định tuyến tĩnh Hoạt động của định tuyến tĩnh cĩ thể được chia ra làm ba bước sau: + Đầu tiên, người quản trị mạng cấu hình các đường cố định cho router + Router cài đặt các đường đi này vào bảng định tuyến + Gĩi dữ liệu được định tuyến theo các đường cố định này N gừơi quản trị mạng cấu hình đường cố định cho router bằng lệnh ip route. Cú pháp của lệnh ip route như sau: Router(config) # ip route prefix mask {address / interface } [distance] [tag tag] [permanent] • prefix IP của mạng đích. • mask Subnet mask của mạng đích. • address Địa chỉ IP của “next hop” để đi đến mạng đích. • interface Cổng ra trên router đi đến mạng đích • distance (tùy chọn) Khoảng cách quản trị của giao thức. • tag tag(tuỳ chọn) Sử dụng làm giá trị so sánh để điều khiển việc phân bố đường qua bản đồ đường đi (trong CCN P). 24
  26. Khoa CNTT- Bài giảng mơn Cơng nghệ và thiết bị mạng • Permanent (tuỳ chọn) Chỉ ra rằng con đường này khơng bị xố kể cả khi cổng bị shutdown. (trong CCN P) Một vấn đề cần quan tâm đến đối với định tuyến tĩnh đĩ là chỉ số tin cậy.Chỉ số tin cậy là một thơng số đo lường độ tin cậy của một đường đi. chỉ số này càng thấp thì độ tin cậy càng cao. Do vậy nếu hai con đường cùng đi đén một đích thì con đường nào cĩ độ tin cậy nhỏ hơn thì đường đĩ được đặt vào bảng định tuyến của router trước. Ví dụ đường cố định sử dụng địa chỉ IP của trạm kế tiếp sẽ cĩ chỉ số tin cậy mặc định là 1, cịn đường cố định sử dụng cổng ra thì cĩ chỉ số tin cậy mặc định là 0. N ếu ta muốn chỉ định chỉ số tin cậy thay vì sử dụng giá trị mặc định thì ta thêm hơng số này vào sau thơng số về cổng ra hoặc địa chỉ IP trạm kế của câu lệnh. Giá trị này nằm trong khoảng từ 0 đến 255. Ví dụ: router(config)# ip route 172.16.2.0 255.255.255.0 172.16.4.1 124 N ếu router khơng chuyển được gĩi tin ra cổng giao tiếp đã được cấu hình thì cĩ nghĩa cổng giao tiếp đang bị đĩng, đường đi tương ứng sẽ khơng được đặt vào bảng định tuyến. 3.2.2.Cấu hình đường cố định + Khoảng cách quản trị và độ đo đường đi (metric) Độ đo đường đi của mọi đường tĩnh luơn bằng “0” Khoảng cách quản trị là độ ưu tiên về thơng tin định tuyến. Khoảng cách quản trị càng nhỏ thì càng cĩ độ ưu tiên càng cao. N ếu router thấy cĩ nhiều con đường tới cùng một mạng đích từ nhiều nguồn khác nhau thì nĩ sẽ sử dụng Khoảng cách quản trị để quyết định đưa con đường nào vào Bảng định tuyến. Khoảng cách quản trị mặc định của đường định tuyến tĩnh là “1” 25
  27. Khoa CNTT- Bài giảng mơn Cơng nghệ và thiết bị mạng Hình 3.2.1 Khoảng cách quản trị của các giao thức định tuyến + Các bước cấu hình đường cố định: 1. Xác định tất cả các mạng đích cần cấu hình, subnet mask tương ứng và gateway tương ứng. Gateway cĩ thể là cổng giao tiếp trên router hoặc là địa chỉ của trạm kế tiếp để đến được mạng đích. 2. Bạn vào chế độ cấu hình tồn cục của router 3. N hập lệnh ip route với địa chỉ mạng đích, subnet mask và gateway tương ứng mà ta đã xác định ở bước một. nếu cần thì thêm thơng số về độ tin cậy. 4. Lặp lại bước ba cho những mạng đích khác 5. tháot khỏi chế độ cấu hình tồn cục 6. Lưu tập tin cấu hình đang hoạt động thành tập tin cấu hình khởi động bằng lệnh copy running-config startup-config. Ví dụ: Hình 3.2.2 là một minh hoạ về cấu hình đường cố định với cấu trúc mạng cĩ 3 router kết nối đơn giản. trên router Hoboken ta cần cấu hình đường đi tới mạng 172.16.1.0 và mạng 172.16.5.0 cả hai mạng này đều cĩ subnet mask la255.255.255.0 26
  28. Khoa CNTT- Bài giảng mơn Cơng nghệ và thiết bị mạng Khi router Hoboken đinh jtuyến cho các gĩi đến mạng đích là 172.16.1.0 thì nĩ sẽ sử dụng các đường cố định mà ta đã cấu hình cho router Sterling, cịn gĩi nào đến mạng đích là 172.16.5.0 thì định tuyến tới router Waycross. Hình 3.2.2: Cấu hình định tuyến tĩnh cho mạng Ở khung phía trên của hình 3.2.2 cả hai câu lệnh đều chỉ đường cố định cho router thơng qua cổng ra trên router. Trong câu lệnh này khơng chỉ định giá trị cho chỉ số tin cậy nên trên bảng định tuyến hai đường cố định này cĩ chỉ số tin cậy mặc định là 0. Đường cĩ chỉ số tin cậy bằng 0 tương đương với mạng kết nối trực tiếp vào router. Ở khung bên dưới của hình 6.2.2, hai câu lệnh chỉ đường cố định cho router thơng qua địa chỉ router kế tiếp. Đường tới mạng 172.168.1.0 cĩ địa chỉ của router kế tiếp là 172.16.2.1, đường tới mạng 172.16.5.0 cĩ địa chỉ của router kế tiếp là 27
  29. Khoa CNTT- Bài giảng mơn Cơng nghệ và thiết bị mạng 172.16.4.2. Trong hai câu lệnh này cũng khơng chỉ định giá trị cho độ tin cậy nên hai đường cố định tương ứng sẽ cĩ cỉ số tin cậy mặc định là 1. 3.2.3.Cấu hình đường mặc định cho router chuyển gĩi đi Đường mặc định là đường mà router sẽ sử dụng trong trường hợp router khơng tìm thấy đường đi nào phù hợp trong bảng định tuyến để tới đích của gĩi dữ liệu. Chúng ta thường cấu hình cấu hình đường mặc định cho đường ra của Internet của router vì router khơng cần lưu thơng tin định tuyến tới từng mạng trên Internet. Lệnh cấu hình đường cố định: Ip route 0.0.0.0 0.0.0.0 [next-hop-address / outging interface] Subnet 0.0.0.0 khi thực hiện phép tốn AN D logic với bất kỳ địa chỉ IP đích nào cũng cĩ kết quả mạng là 0.0.0.0. Do đĩ nếu gối dữ liệu cĩ địa chỉ đích mà router khơng tìm được đường nào phù hợp thì gĩi dữ liệu đĩ sẽ được định tuyến tới mạng 0.0.0.0. Các bước cấu hình đường mặc định: + Vào chế độ cấu hình tồn cục + N hập lệnh ip route với mạng đích là 0.0.0.0 và subnet mask tương ứng là 0.0.0.0. Gateway của đường mặc định cĩ thể là cổng giao tiếp trên router kết nối với mạng bên ngồi hoặc là địa chỉ IP của router kế tiếp. Thơng thường ta hay sử dụng địa chỉ IP của router kế tiếp làm gateway. + Thốt khỏi chế độ cấu hình tồn cục + Lưu lại tập tin cấu hình khởi động trong N VRAM bằng lệnh: copy running-config startup-config. Vi dụ: 28
  30. Khoa CNTT- Bài giảng mơn Cơng nghệ và thiết bị mạng Hình 3.2.3a Hình 3.2.3b Trong ví dụ của hình 3.2.2 router Hoboken đã được cấu hình để định tuyến dữ liệu tới mạng 172.16.1.0 trên router Sterling và tới mạng 172.16.5.0 trên router Waycross. N hưng cả router Sterling và Waycross đều chưa biết đường đi tới các mạng mà khơng kết nối trực tiếp với nĩ. Ta cĩ thể cấu hình đường cố định cho sterling và Waycross để chỉ đường tới từng mạng một. N hưng cách này khơng phải là một giải pháp hay cho những hệ thống mạng lớn. Trong hình 3.2.3a và 3.2.3b là những ví dụ về cấu hình các đường mặc định cho router sterling và 29
  31. Khoa CNTT- Bài giảng mơn Cơng nghệ và thiết bị mạng Waycross. Sterling kết nối đến tất cả các mạng khác thơng qua một cổng Serial 0. Tương tự Waycross cũng vậy, Waycross chỉ cĩ một kết nối đến tất cả các mạng khác thơng qua cổng Serial 1 mà thơi. Do đĩ chúng ta cấu hình đường mặc định cho Sterling và Waycross thì hai router này sẽ sử dụng đường mặc định để định tuyến cho gĩi dữ liệu đến tất cả các mạng nào khơng kết nối trực tiếp với nĩ. 3.2.4.Các quy tắc về định tuyến tĩnh + Định tuyến tĩnh qua liên kết điểm-điểm. Tốt nhất là ta nên sử dụng định tuyến tĩnh bằng cổng ra. Với các cổng serial kết nối kiểu điểm-điểm, router khơng bao giờ sử dụng địa chỉ trung gian để chuyển tiếp gĩi dữ liệu. + Định tuyến tĩnh qua mạng kiểu quảng bá Tốt nhất là cấu hình dường định tuyến tĩnh với cả địa chỉ trung gian và cổng ra + Chỉ sử dụng địa chỉ trung gian Khi cấu hình đường định tuyến tĩnh tránh việc các đường đinh jtuyến tĩnh chỉ tham chiếu đến các địa chỉ trung gian vì các đường định tuyến tĩnh khơng được gán với một cổng nào cả mà phụ thuộc vào việc tìm đường qua các địa chỉ trung gian làm cho tốc độ hội tụ chậm lại. Điều này cũng cĩ thể gây ra vấn đề định tuyến lặp. 3.2.5.Kiểm tra cấu hình đường cố định Sau khi cấu hình đường cố định, để kiểm tra xem bảng định tuyến đã cĩ đường cố định mà ta đã cấu hình hay chưa, hoạt động định tuyến cĩ đúng hay khơng. Ta dùng lệnh show running-config để kiểm tra nội dung tập tin cấu hình đang chạy trên RAM xem câu lệnh cấu hình đường cố định đã được nhập vào đúng chưa. Sau đĩ ta dùng lệnh show ip route để xem cĩ đường cố định nào trong bảng định tuyến chưa. Các bước kiểm tra cấu hình đường cố định: + Ở chế độ đặc quyền, ta nhập lệnh show running-config để xem tập tin cấu hình đang hoạt động. 30
  32. Khoa CNTT- Bài giảng mơn Cơng nghệ và thiết bị mạng + Kiểm tra xem câu lệnh cấu hình đường cố định cĩ đúng khơng. N ếu khơng đúng thì ta phải vào lại chế độ cấu hình tồn cục,xoa câu lênh sai và nhập câu lệnh mới. + N hập lệnh show ip route. + Kiểm tra xem đường cố định mà ta cấu hình cĩ trong bảng định tuyến hay khơng. 3.2.6.Xử lý sự cố Dùng lệnh ping để kiểm tra xem các mạng nối với nhau cĩ thơng hay khơng. nếu cĩ sự cố xảy ra ta dùng tiếp lệnh tracerouter để kiểm tra xem mạng bị rớt ở đâu. Sau khi đã xác định được sự cố xảy ra ở router nào thì ta vào các router đĩ sửa chữa hoặc cấu hình lại cho router đĩ. 3.3. Định tuyến động 3.3.1.Giới thiệu về định tuyến động Giao thức định tuyến động được sử dụng để giao tiếp giữa các router với nhau. Giao thức định tuyến động cho phép router này chia sẻ các thơng tin định tuyến mà nĩ biết cho các router khác. Từ đĩ, các router cĩ thể xây dựng và bảo trì bảng định tuyến của nĩ. Một số giao thức định tuyến động: + RIP ( Routing Information Protocol) + IPGP (Interior Gateway Routing Protocol) + EIGRP (Enhanced Interior Gateway Routing Protocol) + OSPF (Open Shortest Path First) 3.3.2.Hệ thống tự quản (Autonomous System) (AS) Hệ tự quản AS là một tập hợp các mạng hoạt động dưới cùng một cơ chế quản trị về định tuyến. Từ bên ngồi nhìn vào, một AS được xem như một đơn vị. Tổ chức đăng ký số Internet của Mỹ là nơi quản lý việc cấp số cho mỗi AS. Chỉ số này dài 16 bit. 31
  33. Khoa CNTT- Bài giảng mơn Cơng nghệ và thiết bị mạng Hình 3.3.2: Một AS là bao gồm các router hoạt động dưới cùng một cơ chế quản trị 3.3.3.Mục đích của giao thức định tuyến động và hệ thống tự quản Mục đích của giao thức định tuyến động là xây dựng và bảo trì bảng định tuyến. Bảng định tuyến này mang thơng tin về các mạng khác và các cổng giao tiếp trên router đến các mạng này. Router sử dụng các giao thức định tuyến động để quản lý thơng tin nhận được từ các router khác, thơng tin từ cấu hình của các cổng giao tiếp và thơng tin cấu hình các đường cố định. Giao thức định tuyến cập nhật về tất cả các đường, chọn đường tốt nhất đặt vào bảng định tuyến và xố đi khi đường đĩ khơng được sử dụng nữa. Cịn router thì sử dụng thơng tin trên bảng định tuyến để chuyển gĩi dữ liệu của các giao thức đường định tuyến. Định tuyến động hoạt động trên cơ sở các thuật tốn định tuyến. Khi cấu trúc mạng cĩ bất kỳ thay đổi nào như mở rộng thêm, cấu hình lại, hay bị trục trặc thì kiến thức về mạng của các router phải thay đổi theo. Các router phải cĩ kiến thức chính xác về cấu trúc hệ thống mạng. Với hệ tự quản AS, tồn bộ hệ thống mạng tồn cầu được chia ra thành nhiều mạng nhỏ, dễ quản lý hơn. Mỗi AS cĩ một số AS riêng, khơng trùng lặp với bất kỳ AS khác, mỗi AS cĩ cơ chế quản trị riêng của mình. 3.3.4.Phân loại các giao thức định tuyến động Đa số các thuật tốn định tuyến động được xếp vào 2 loại sau: + Vectơ khoảng cách + Trạng thái đường liên kết 32
  34. Khoa CNTT- Bài giảng mơn Cơng nghệ và thiết bị mạng Định tuyến theo vectơ khoảng cách là chọn đường theo hướng và khoảng cách tới đích. Cịn định tuyến theo trạng thái đường liên kết thì chọn đường ngắn nhất dựa trên cấu trúc của tồn bộ hệ thống mạng. 3.3.5. Đặc điểm của giao thức định tuyến theo vectơ khoảng cách Hình 3.3.5 Định tuyến theo vectơ khoảng cách thực hiện truyền bản sao của bảng định tuyến từ router này sang router khác theo định kỳ. Việc cập nhật định kỳ giữa các router giúp trao đổi thơng tin khi cấu trúc mạng thay đổi. Thuật tốn định tuyến theo véc tơ khoảng cách cịn gọi là thuật tốn Bellman-Ford. Mỗi router nhận được bảng định tuyến của những router láng giềng kết nối trực tiếp với nĩ. Ví dụ ở hình 3.3.5 router B nhận được thơng tin từ router A. sau đĩ router B sẽ cộng thêm khoảng cách từ router B tới router A (ví dụ như tăng số hop lên) vào các thơng tin định tuyến nhận được từ A. khi đĩ router B sẽ cĩ bảng định tuyến mới và truyền bảng định tuyến này cho router láng giềng là router C. Quá trình này xảy ra tương tự cho các router láng giềng khác. Router thu thập thơng tin về khoảng cách đến các mạng khác, từ đĩ nĩ xây dựng và bảo trì một cơ sở dữ liệu về thơng tin định tuyến trong mạng, tuy nhiên khi các router hoạt động theo thuật tốn vectơ khoảng cách nĩ cĩ nhược điểm đĩ là router sẽ khơng biết được chính xác cấu trúc của tồn bộ hệ thống mạng mà chỉ biết được các router láng giềng hoạt động cạnh nĩ mà thơi. 33
  35. Khoa CNTT- Bài giảng mơn Cơng nghệ và thiết bị mạng Khi sử dụng định tuyến theo vectơ khoảng cách, bước đầu tiên là router phải xác định các router láng giềng với nĩ. Các mạng kết nối trực tiếp vào cổng giao tiếp của router sẽ cĩ khoảng cách là 0. cịn đường đi tới các mạng khơng kết nối trực tiếp vào router thì router sẽ chọn đường tốt nhất dựa trên các thơng tin mà nĩ nhận được từ các router láng giềng. Ví dụ: Ta cĩ thể xét quá trình cập nhật bảng định tuyến của các router A,B,C Đầu tiên trong bảng định tuyến của các router nĩ sẽ hiển thị đường đi tới các mạng kết nối trực tiếp với nĩ. 34
  36. Khoa CNTT- Bài giảng mơn Cơng nghệ và thiết bị mạng Đối với router A cĩ hai mạng kết nối trực tiếp là W,X do vậy từ router A đến các mạng này cĩ khoảng cách bằng 0. Sau đĩ router A và B trao đổi thơng tin với nhau Ta thấy router A sẽ học được từ router B mạng Y và đường đi từ router A tới mạng Y phải đi qua router B do vậy khoảng cách tăng lên 1. Mặt khác router B lại học được từ router A mạng W với khoảng cách là 1 qua router A, và mạng Z với khoảng cách là 1 qua router C. Sau đĩ router A và B lại trao đổi thơng tin bảng định tuyến với nhau Ta thấy router A lại học được từ router B mạng Z với khoảng cách tăng lên một bằng 2 qua router B. Tương tự ta cũng xet với các router B và C ta được kết quả của bảng định tuyến của các router này như hình 3.3.5b. Bảng định tuyến sẽ được cập nhật khi cấu trúc mạng cĩ sự thay đổi. quá trình cập nhật này cũng diễn ra từng bước một từ router này đến router khác. Khi 35
  37. Khoa CNTT- Bài giảng mơn Cơng nghệ và thiết bị mạng cập nhật router gửi đi tồn bộ bảng định tuyến của nĩ cho các router láng giềng. Trong bảng định tuyến cĩ thơng tin về đường đi tới từng mạng đích. Quá trình cập nhật Quá trình cập bảng định nhật bảng tuyến định tuyến Router A gửi đi bảng định tuyến đã cập nhật cấu trúc mạng thay đổi làm cho bảng định tuyến phải cập nhật lại Hình 3.3.5c 3.3.6. Đặc điểm của giao thức định tuyến theo trạng thái đường liên kết Thuật tốn định tuyến theo trạng thái đường liên kết là thuật tốn Dijkstrashay cịn gọi là thuật tốn SPF (Shortest Path First – tìm đường ngắn nhất). Thuật tốn định tuyến theo trạng thái đường liên kết thực hiện việc xây dựng và bảo trì một cơ sở dữ liệu đầy đủ về cấu trúc của tồn bộ hệ thống mạng. Định tuyến theo trạng thái đường liên kết sử dụng các cơng cụ sau: + Thơng điệp thơng báo trạng thái đường liên kết (LSA – link-state Advertisement) LSA là một gĩi dữ liệu nhỏ mang thơng tin định tuyến được truyền đi giữa các router. + Cơ sở dữ liệu về cấu trúc mạng: Được xây dựng từ thơng tin thu thập được từ các LSA. + Thuật tốn SPF: Dựa trên cơ sở dữ liệu về cấu trúc mạng, thuật tốn SPF sẽ tính tốn để tìm đường đi ngắn nhất. 36
  38. Khoa CNTT- Bài giảng mơn Cơng nghệ và thiết bị mạng + Bảng định tuyến: chứa danh sách các đường đi đã được chon lựa. Quá trình thu thập thơng tin mạng dể thực hiện định tuyến theo trạng thái đường liên kết: Mỗi router bắt đầu trao đổi LSA với tất cả các router khác, trong đĩ LSA mang thơng tin về các mạng kết nối trực tiếp của từng router. Sau đĩ các router tiến hành xây dựng cơ sở dữ liệu dựa trên thơng tin của các LSA. Mỗi router tiến hành xây dựng lại cấu trúc mạng theo dạng hình cây với bản thân là gốc, từ đĩ router vẽ ra tất cả các đường đi tới tất cả các mạng trong hệ thống. sau đĩ thuật tốn SPF chọn đường ngắn nhất để đưa vào bảng định tuyến. Trên bảng định tuyến sẽ chứa thơng tin về các đường đi đã được chọn với cổng ra tương ứng. Router nào phát hiện cấu trúc mạng thay đổi đầu tiên sẽ phát thơng tin cập nhật cho tất cả các router khác. Router phát gĩi LSA, trong đĩ cĩ các thơng tin về các router mới, các thay đổi về trạng thái đường liên kết. gĩi LSA này sẽ được phát cho tất cả các router khác. Khi router nhận được gĩi LSA này nĩ sẽ cập nhật lại cơ sử dữ liệu của nĩ với thơng tin mới vừa nhận được. Sau đĩ SPF sẽ tính lại để chọn đường lại và cập nhật lại cho bảng định tuyến. Router gửi LSAs cho các router khác. Thơng tin của LSA được sử dụng để xây dựng cơ sở dỡ liệu đầy đủ về cấu trúc hệ thống mạng.thuật tốn SPF tính tốn từ đĩ xây dựng ra bảng định tuyến Hình 3.3.6a 37
  39. Khoa CNTT- Bài giảng mơn Cơng nghệ và thiết bị mạng Mỗi router cĩ cơ sở dữ liệu riêng về cấu trúc mạng và thuật tốn SPF thực hiện tính tốn dựa trên cơ sở dữ liệu này. Hình 3.3.6b Định tuyến theo trạng thái đường liên kết cĩ các nhược điểm sau: + Bộ xử lý trung tâm của router phải tính tốn nhiều + Địi hỏi dung lượng bộ nhớ lớn + Chiếm dung lượng bằng thơng đường truyền Router sử dụng định tuyến theo trạng thái đường kiên kết sẽ cần nhiều bộ nhớ hơn và hoạt động xử lý nhiều hơn là sử dụng định tuyến theo vectơ khoảng cách. Khi khởi động việc định tuyến, tất cả các router phải gửi các gĩi LSA cho tất cả các router khác khi đĩ băng thơng đường truyền sẽ bị chiếm dụng làm cho băng thơng dành cho truyền dữ liệu của người dùng giảm xuống. N hưng sau khi các router đã thu thập đủ thơng tin để xây dựng cơ sở dữ liệu về cấu trúc mạng thì băng thơng đường truyền khơng bị chiếm dụng nữa. chỉ khi nào cấu trúc mạng cĩ sự thay đổi thì router mới phát gĩi LSA để cập nhật. 3.4.Tổng quát về giao thức định tuyến 3.4.1 Quyết định chọn đường đi Router cĩ hai chức năng chính là: + Quyết định chọn đường đi + Chuyển mạch 38
  40. Khoa CNTT- Bài giảng mơn Cơng nghệ và thiết bị mạng Quá trình chọn đường đi được thực hiện ở lớp mạng. Router dựa vào bảng định tuyến để chọn đường cho gĩi dữ liệu, sau khi đã quyết định đường ra thì router thực hiện việc chuyển mạch để phát gĩi dữ liệu. Chuyển mạch là quả trình router thực hiện để chuyển gĩi từ cổng nhận vào ra cổng phát đi. Điểm quan trọng của quá trình này là router phải đĩng gĩi dữ liệu cho phù hợp với đường truyền mà gĩi chuyển bị đi ra. 3.4.2 Cấu hình định tuyến Để cấu hình giao thức định tuyến, ta cần cấu hình trong chế độ cấu hình tồn cục và cài đặt các đặc điểm định tuyến. Bước đầu tiên ở chế độ cấu hình tồn cục, ta cần khởi động giao thức định tuyến mà ta muốn, ví dụ như RIP, IGRP, EIGRP, OSPF. Sau đĩ, trong chế độ cấu hình định tuyến ta phải khai báo địa chỉ IP. Lệnh router dùng để khởi động giao thức định tuyến Lệnh network dùng để khai báo các cổng giao tiếp trên router mà ta muốn. Giao thức định tuyến gửi và nhận các thơng tin cập nhật về định tuyến. Địa chỉ mạng mà lệnh khai báo trong câu lệnh network là địa chỉ mạng theo lớp A, B, C chứ khơng phải địa chỉ mạng con, hay địa chỉ host riêng lẻ. 3.4.3. Các giao thức định tuyến Ở lớp internet của bộ giao thức TCP/IP, router sử dụng một giao thức định tuyến IP để thực hiện việc định tuyến. Sau đây là một số giao thức định tuyến IP: + RIP – giao thức định tuyến nội theo vectơ khoảng cách. + IGRP – giao thức định tuyến nội vectơ khoảng cách của Cisco. + OSPF – giao thức định tuyến nội theo trạng thái đường liên kết. + EIGRP – giao thức mở rộng của IGRP. + BGP – giao thức định tuyến ngoại theo vectơ khoảng cách. * Một số đặc điểm cơ bản của RIP + Là giao thức định tuyến theo vectơ khoảng cách. + Sử dụng số lượng hop để làm thơng số chọn đường đi. + N ếu số lượng hop để đi tới đích lớn hơn 15 thì gĩi dữ liệu sẽ bị huỷ bỏ. + Cập nhật theo định kỳ mặc định là 30 giây. 39
  41. Khoa CNTT- Bài giảng mơn Cơng nghệ và thiết bị mạng IGRP (Interior Gateway Routing Protocol) là giao thức được phát triển độc quyền của Cisco. * Một số đặc điểm của IGRP : + Là giao thức định tuyến theo vectơ khoảng cách. + Sử dụng băng thơng, tải, độ trễ và độ tin cậy của đường truyền làm thơng số lựa chọn đường đi. + Cập nhật theo định kỳ mặc định là 90 giây. OSPF (Open Shortest Path First) là giao thức định tuyến theo trạng thái đường liên kết. * Một vài đặc điểm chính của OSPF + Là giao thức định tuyến theo trạng thái đường liên kết + Được định nghĩa trong RFC 2328. + Sử dụng thuật tốn SPF để tính tốn chọn đường đi tốt nhất. + Chỉ cập nhật khi cấu trúc mạng cĩ sự thay đổi. EIRGP là giao thức định tuyến nâng cao theo vectơ khoảng cách và là giao thức độc quyền của Cisco. * Một số đặc điểm của EIRGP + Là giao thức nâng cao vectơ khoảng cách. + Cĩ chia tải. + Cĩ các ưu điểm của định tuyến theo vectơ khoảng cách và định tuyến trạng thái đường liên kết. + Sử dụng thuật tốn DUAL (Difused Update Algorithm) đẻ tính tốn chọn đường đi tơt nhất. + Cập nhật theo định kỳ mặc định là 90 giây hoặc cập nhật khi cĩ sự thay đổi về cấu trúc mạng. BGP (Border Gateway Protocol) là giao thức định tuyến ngoại. * Vài đặc điểm cơ bản của BGP + Là giao thức định tuyến ngoại theo vectơ khoảng cách. + Được sử dụng để định tuyến giữa các ISP hoặc ISP và khách hàng. 40
  42. Khoa CNTT- Bài giảng mơn Cơng nghệ và thiết bị mạng + Được sử dụng để định tuyến lưu lượng Internet giữa các hệ tự quản (AS) 41
  43. Khoa CNTT- Bài giảng mơn Cơng nghệ và thiết bị mạng Chương 4 GIAO THỨC ĐNNH TUYẾN THEO VÉC KHOẢNG CÁCH 4.1.Tổng quan về định tuyến theo vectơ khoảng cách Giao thức định tuyến động giúp cho cơng việc của người quản trị mạng trở lên đơn giản hơn nhiều. Với định tuyến động router cĩ thể tự động cập nhật và thay đổi việc định tuyến theo sự thay đổi của hệ thống mạng. tuy nhiên định tuyến động cũng cĩ những vấn đề của nĩ để hiểu rõ hơn, trong chương này ta sẽ đề cập tới các vấn đề của giao thức định tuyến theo vectơ khoảng cách cụ thể là IGRP. 4.2. Định tuyến theo vectơ khoảng cách 4.2.1.Cập nhật thơng tin định tuyến Bảng định tuyến được cập nhật theo chu kỳ hoặc khi cấu trúc mạng cĩ sự thay đổi. Điểm quan trọng với một giao thức định tuyến là làm sao cập nhật bảng định tuyến một cách hiệu quả. Khi cấu trúc mạng cĩ bất kỳ một sự thay đổi nào thơng tin cập nhật phải được xử lý trong tồn bộ hệ thống. Đối với định tuyến theo vectơ khoảng cách thì mỗi router gửi tồn bộ bảng định tuyến của mình cho các router khác kết nối trực tiếp với nĩ. Bảng định tuyến bao gồm các thơng tin về đường đi tới mạng đích như tổng chi phí (khoảng cách chẳng hạn) tính từ bản thân router tới mạng đích, địa chỉ của trạm kế tiếp trên đường đi. 4.2.2.Lỗi định tuyến lặp Một vấn đề cĩ thể xảy ra trong quá trình các router cập nhật bảng định tuyến, đĩ là khi bảng định tuyến trên các router chưa được cập nhật hội tụ do quá trình hội tụ chậm. Ta cĩ thể xét ví dụ cụ thể sau: 42
  44. Khoa CNTT- Bài giảng mơn Cơng nghệ và thiết bị mạng Hình 4.2.2 Ta thấy trước khi mạng một bị lỗi, tất cả các router trong hệ thống mạng đều cĩ thơng tin đúng về cấu trúc mạng và bảng định tuyến là chính xác. Ta giả sử rằng router C chọn đường đến mạng 1 bằng con đường qua router B. Ta thấy khoảng cách của con đường này từ router C đến mạng 1 là 3 hops. N gay khi mạng 1 bị lỗi, router E liền gửi thơng tin cập nhật cho router A. router A lập tức ngưng ngay việc định tuyến về mạng 1. N hưng router B, C ,D vẫn tiếp tục việc này vì chúng vẫn chưa biết mạng 1 bị lỗi. Sau đĩ router A cập nhật thơng tin về việc mạng 1 bị lỗi cho router B, D router B, D lập tức ngưng ngay việc định tuyến về mạng 1. nhưng lúc này router C vẫn chưa được cập nhật thơng tin về mạng 1 nên nĩ vân tiếp tục định tuyến các gĩi dữ liệu đến mạng 1 qua router B. Đến thời điểm cập nhật định kỳ của router C.Trong thơng tin cập nhật của router C cho router D vẫn cĩ thơng tin về đường đến mạng 1 qua router B. Lúc này router D thấy rằng thơng tin này tốt hơn thơng tin báo mạng 1 bị lỗi do nĩ nhận được từ router A lúc nãy. Do đĩ router D cập nhật lại thơng tin này vào bảng định tuyến mà nĩ khơng biết rằng như vậy là sai. Lúc này trên bảng định tuyến của router D cĩ đường tới mạng 1 là đi qua router C. Sau đĩ router D lấy bảng định tuyến vừa cập nhật gửi cho router A. tương tự router A cũng cập nhật lại đường đến mạng 1 qua router D. Rồi gửi cho router B và E. quá trình tương tự tiếp tục xảy ra ở router B và E. khi đĩ bất kỳ một gĩi dữ liệu nào gửi tới mạng 1 đều bị gửi lặp vịng từ router C đến B tới router A tới router D rồi lại tới C. 43
  45. Khoa CNTT- Bài giảng mơn Cơng nghệ và thiết bị mạng 4.2.3. Giá trị tối đa Ở ví dụ trong mục 4.2.2 việc cập nhật sai về mạng 1 như trên sẽ bị lặp vịng như vậy cho tới khi nào cĩ một tiến trình khác cắt dứt được tiến trình này. Tình trạng như vậy gọi là đếm vơ hạn, gĩi dữ liệu sẽ bị lặp vịng trên mạng trong khi mạng 1 đã bị cắt. Với vectơ sử dụng thơng số là số lượng hop thì mỗi khi router chuyển thơng tin cập nhật cho router khác, chỉ số hop sẽ tăng lên 1. N ếu ta khơng cĩ biện pháp khắc phục tình trạng đếm vơ hạn, thì cứ như vậy chỉ số hop sẽ tăng lên vơ hạn. Bản thân thuật tốn định tuyến theo vectơ khoảng cách cĩ thể tự sửa lỗi được nhưng quá trình lặp vịng này cĩ thể kéo dài đến khi nào đếm đến vơ hạn. Do đĩ để tránh tình trạng này kéo dài, giao thức định tuyến theo vectơ khoảng cách đã được định nghĩa giá trị tối đa. Bằng cách này giao thức định tuyến cho phép vịng lặp kéo dài đến khi thơng số định tuyến vượt quá giá trị tối đa. Ví dụ KHi thơng số định tuyến là 16 hop lớn hơn giá trị tối đa là 15 thì thơng tin cập nhật đĩ sẽ bị huỷ bỏ. 4.2.4.Tránh định tuyến lặp vịng bằng phương pháp slip horizone Một nguyên nhân khác cũng gây ra lặp vịng là router gửi lại những thơng tin định tuyến mà nĩ vừa nhận được cho chính router đã gửi những thơng tin đĩ. để hiểu rõ hơn ta xét cơ chế sau: 44
  46. Khoa CNTT- Bài giảng mơn Cơng nghệ và thiết bị mạng Router A gửi một thơng tin cập nhật cho router B và D thơng báo là mạng 1 đã bị ngắt. tuy nhiên router C vẫn gửi cập nhật cho router B là router C cĩ đường đi tới mạng 1 thơng qua router D, khoảng cách đường này là 4. Khi đĩ router B tưởng lầm là router C vẫn cĩ đường đến mạng 1 mặc dù con đường này cĩ thơng số khơng tốt bằng con đường cũ của router B lúc trước. sau đĩ router B cũng cập nhật lại cho router A về đường mới đến mạng 1. Mà router B vừa mới nhận được. Khi đĩ router A sẽ cập nhật lại là nĩ cĩ thể gửi dữ liệu đến mạng 1 thơng qua router B. Router B thì định tuyến mạng 1 qua router C. router C lại định tuyến qua router D kết quả là bất kỳ gĩi dữ liệu nào đến mạng 1 cũng rơi vào vịng lặp này. Cơ chế slip-horizon sẽ tránh được tình huống này bằng cách: N ếu router B hoặc D nhận được thơng tin cập nhật về mạng 1 từ router A thì chúng sẽ khơng gửi lại thơng tin cập nhật về mạng 1 cho router A nữa. nhờ đĩ slip-horizonlamf giảm được việc cập nhật thơng tin sai và giảm bớt việc xử lý thơng tin cập nhật. Hình 4.2.4 4.2.5 Router poisoning Router poisoning được sử dụng để thánh xảy ra các vịng lặp lớn và giúp cho router thơng báo là mạng đã khơng truy cập được nữa bằng cách đặt giá trị cho thơng số định tuyến ( ví dụ là số lượng hop) lớn hơn giá trị tối đa. Ví dụ: 45
  47. Khoa CNTT- Bài giảng mơn Cơng nghệ và thiết bị mạng Khi mạng 5 bị ngắt thì trên bảng định tuyến của router E giá trị hop cho đường đến mạng 5 là 16, giá trị này cĩ nghĩa là mạng 5 khơng được truy cập nữa. Sau đĩ router E cập nhật cho router C bảng định tuyến này, trong đĩ đường đến mạng 5 cĩ thơng số hop là 16 được gọi là route poisoning. Sau khi router C nhận được cập nhật về route poisoning từ router E, Router C sẽ gửi ngược lại thơng tin này cho router E. Lúc này ta gọi thơng tin cập nhật về mạng 5 từ router C gửi ngược lại cho router E là poison reverse. Router C làm như vậy để đảm bảo là nĩ đã gửi thơng tin route poisoning ra tất cả các đường mà nĩ cĩ. Tĩm lại: Route poisoning cĩ nghĩa là khi cĩ một con đường nào đĩ bị ngắt thì router sẽ thơng báo về con đường đĩ với thơng số định tuyến lớn hơn giá trị tối đa. Cơ chế route poisoning khơng hề gây mâu thuẫn với cơ chế slip-horizon. Slip- horizon cĩ nghĩa là khi router gửi thơng tin cập nhật ra một đường liên kết thì router sẽ khơng được gửi lại những thơng tin nào mà nĩ vừa nhận vào từ đường liên kết đĩ. Bây giờ router vẫn gửi lại những thơng tin đĩ với thơng số định tuyến lớn hơn giá trị tối đa thì kết quả vẫn như vậy. Cơ chế này gọi là cơ chế slip- horizon kết hợp với poison reverse. 4.2.6 Tránh định tuyến lặp vịng bằng cơ chế cập nhật tức thời Khi router phát hiện ra cĩ một thay đổi nào đĩ trong cấu trúc mạng thì nĩ lập tức gửi thơng điệp cập nhật cho các router láng giềng để thơng báo về sự thay đổi đĩ. N hất là khi cĩ một đường nào đĩ bị lỗi hoặc khơng truy nhập được nữa thì router phải cập nhật tức thời thay vì đợi đến hết chu kỳ. Cơ chế cập nhật tức thời kết hợp với route poisoning sẽ đảm bảo cho tât cả các router nhận được thơng tin khi cĩ 46
  48. Khoa CNTT- Bài giảng mơn Cơng nghệ và thiết bị mạng một đường nào đĩ bị ngắt trước khi thời gian holddown kết thúc. Cơ chế cập nhật tức thời cho tồn bộ mạng khi cĩ thay đổi trong cấu trúc mạng giúp cho các router cập nhật kịp thời và khởi động thời gian holddown nhanh hơn. Ví dụ: Hình 4.2.6 Trong ví dụ trên hình 4.2.6 router C cập nhật tức thời ngay khi mang 10.4.0.0 khơng truy cập được nữa. Khi nhận được thơng tin này, router B cũng phát thơng báo về mạng 10.4.0.0 ra cổng S0/1. Đến lượt router A cũng phát thơng báo ra cổng Fa0/0. 4.3.7.Tránh lặp vịng với thời gian holddown Tình trạng lặp vịng đến vơ hạn cĩ thể tránh được bàng cách sử dụng thời gian holddown như sau. Khi router nhận được từ router láng giềng một thơng tin cho biết là một mạng X nào đĩ bây giờ khơng truy cập được nữa thì router sẽ đánh dấu vào con đưịng tới mạng X đĩ là khơng truy cập được nữa và khởi động thời gian holddown. Trong khoảng thời gian holddown này, nếu router nhận được thơng tin cập nhật từ chính router láng giềng lúc nãy thơng báo là mạng X đã truy cập lại được thì router mới cập nhật thơng tin đĩ và kết thúc thời gian holddown. Trong suốt thời gian holddown, nếu router nhận được thơng tin cập nhật từ một router láng giềng khác (khơng phải là router láng giềng đã phát thơng cập nhật về mạng X lúc nãy) nhưng thơng tin này cho biết cĩ đường đến mạng X với thơng số định tuyến tốt hơn con đường mà router cĩ trước đĩ thì nĩ sẽ cập nhật lại thơng tin này và kết thúc thời gian holddown Trong suốt thời gian holddown, nếu router nhận được thơng tin cập nhật từ router láng giềng khác (khơng phải là router láng giềng đã phát thơng tin cập nhật về mạng X lúc nãy) nhưng thơng tin nãy cho biết cĩ đường tới mạng X với thơng số 47
  49. Khoa CNTT- Bài giảng mơn Cơng nghệ và thiết bị mạng định tuyến khơng tốt bằng con đường mà router cĩ trước đĩ thì nĩ sẽ bỏ qua, khơng cập nhật thơng tin này. Cơ chế này giúp cho router tránh được việc cập nhật nhầm lẫn những thơng tin cũ do các router láng giềng chưa hay biết gì về mạng X đã khơng truy cập được nữa. Khoảng thời gian holddown bảo đảm cho tất cả các router trong hệ thống mạng đã được cập nhật xong về thơng tin mới. Sau khi thời gian holddown hết thời hạn, tất cả các router trong hệ thống mạng đều đã được cập nhật là mạng X khơng truy cập được nữa, khi đĩ các router đều cĩ nhận biết chính xác về cấu trúc mạng. Do đĩ sau khi thời gian holddown kết thúc thì các router lại cập nhật thơng tin như bình thường. Hình 4.3.7 4.4. Giao thức định tuyến RIP 4.4.1. Tiến trình của RIP IP RIP được mơ tả chi tiết trong 2 văn bản. Văn bản đầu tiên là RFC 1058 và văn bản thứ 2 là Tiêu chuNn Internet (STD) 56. RIP được phát triển trong nhiều năm, bắt đầu từ phiên bản 1 (RIPv1) RIP chỉ là giao thức định tuyến theo lớp địa chỉ cho đến phiên bản 2 (RIPv2) RIP trở thành giao thức định tuyến khơng theo lớp địa chỉ. RIPv2 cĩ những ưu điểm hơn như sau: • Cung cấp thêm nhiều thơng tin định tuyến hơn. • Cĩ cơ chế xác minh giữa các router khi cập nhật để đảm bảo cho bảng định tuyến. • Cĩ hỗ trợ VLSM (Variable Length Subnet Masking-Subnet Mask cĩ chiều dài khác nhau). 48
  50. Khoa CNTT- Bài giảng mơn Cơng nghệ và thiết bị mạng RIP tránh định tuyến lặp vịng đến vơ hạn bằng cách giới hạn số lượng hop tối đa cho phép từ máy gửi đến máy nhận. Số lượng hop tối đa cho mỗi con đường là 15. Đối với các con đường mà router nhận được từ thơng tin cập nhật của router láng giềng, router sẽ tăng chỉ số hop lên 1 vì router xem bản thân nĩ là một hop trên đường đi. N ếu sau khi tăng chỉ số hop lên 1 mà chỉ số này lớn hơn 15 thì router sẽ xem như mạng đích tương ứng với con đường này khơng đến được. N gồi ra, RIP cũng cĩ nhiều đặc tính tương tự như các giao thức định tuyến khác. Ví dụ như: RIP cũng cĩ split horizon và thời gian holddown để tránh cập nhật thơng tin định tuyến khơng chính xác Các đặc điểm chính của RIP • Là giao thức định tuyến theo vectơ khoảng cách. • Thơng số định tuyến là số lượng hop. • N ếu gĩi dữ liệu đến mạng đích cĩ số lượng hop lớn hơn 15 thì gĩi dữ liệu đĩ sẽ bị huỷ bỏ. • Chu kỳ cập nhật mặc định là 30 giây. 4.4.2. Cấu hình RIP Lệnh router rip dùng để khởi động RIP. Lệnh Network dùng để khai báo những cổng giao tiếp nào của router được phép chạy RIP trên đĩ. Từ đĩ RIP sẽ bắt đầu gửi và nhận thơng tin cập nhật trên các cổng tương ứng. RIP cập nhật thơng tin định tuyến theo chu kỳ. Khi router nhận được thơng tin cập nhật cĩ sự thay đổi nào đĩ thì nĩ sẽ cập nhật thơng tin mới vào bảng định tuyến. Đối với những con đường đến mạng đích mà router học được từ router láng giềng thì nĩ sẽ tăng chỉ số hop lên 1, địa chỉ nguồn của thơng tin cập nhật này sẽ là địa chỉ của trạm kế tiếp. cĩ thể sử dụng nhiều con đường cĩ chỉ số bằng nhau đến cùng 1 đích. RIP chỉ chọn một con đường tốt nhất đến mạng đích, tuy nhiên nĩ cũng Cĩ thể cấu hình cho RIP thực hiện cập nhật tức thời khi cấu trúc mạng thay đổi bằng lệnh ip rip triggered. Lệnh này chỉ áp dụng cho cổng serial của router. Khi cấu trúc mạng thay đổi router nào nhận biết được sự thay đổi này đầu tiên sẽ cập nhật vào bảng định tuyến của nĩ trước, sau đĩ lập tức gửi thơng tin cập nhật cho các router khác để thơng báo về sự thay đổi đĩ. Hoạt động này gọi là cập nhật tức thời và nĩ xNy ra hồn tồn độc lập với cập nhật định kỳ. Hình 4.4.1 là một ví dụ về cấu hình RIP: 49
  51. Khoa CNTT- Bài giảng mơn Cơng nghệ và thiết bị mạng Hình 4.4.1 • BHM(config)#router rip - Chọn RIP làm giao thức định tuyến cho router. • BHM(config-router)#network 10.0.0.0 –Khai báo mạng kết nối trực tiếp vào router. • BHM(config-router)#network 192.168.13.0 – Khai báo mạng trực tiếp kết nối vào router. Các cổng trên router kết nối vào mạng 10.0.0.0 và 192.168.13.0 sẽ thực hiện gửi và nhận thơng tin cập nhật về định tuyến. Sau khi đã khởi động RIP trên các mạng rồi ta cĩ thể thực hiện thêm một số cấu hình khác. N hững cấu hình này khơng bắt buộc phải làm, ta chỉ cấu hình thêm nếu thấy cần thiết: • Điều chỉnh các thơng số cần thiết. • Điều chỉnh các thơng số hoạt động về thời gian của RIP. • Khai báo phiên bản của RIP mà ta đang sử dụng (RIPv1 hay RIPv2). • Cấu hình cho RIP thực hiện khi trao đổi thơng tin cập nhật. • Cấu hình cho RIP chỉ gửi thơng tin định tuyến rút gọn ra một cổng nào đĩ. • Kiểm tra thơng tin định tuyến IP rút gọn. • Cấu hình IGRP và RIP chạy đồng thời. • Khơng cho phép RIP nhận thơng tin cập nhật từ một địa chỉ IP nào đĩ. • Mở hoặc tắt chế độ split horizon. • Kết nối RIP vào mạng WAN . Tĩm lại, để cấu hình cho RIP ta bắt đầu chế độ cấu hình tồn cục như sau: Router(config)#router rip - Khởi động giao thức định tuyến RIP. 50
  52. Khoa CNTT- Bài giảng mơn Cơng nghệ và thiết bị mạng Router(config-router)#network network-numbur – Khai báo các mạng mà RIP được phép chạy trên đĩ. 4.4.3. Sử dụng ip classless Khi router nhận được gĩi dữ liệu cĩ địa chỉ đích là một subnet khơng cĩ trên bảng định tuyến của router. Trên bảng định tuyến của router khơng cĩ chính xác subnet đĩ nhưng các subnet kết nối trực tiếp vào router lại cĩ cùng supernet với subnet đích của gĩi dữ liệu. Ví dụ: Một tổ chức sử dụng địa chỉ mạng 10.10.0.0/16, khi đĩ subnet 10.10.10.0/24 cĩ supernet là 10.10.0.0/16. Trong trường hợp như vậy ta dùng lệnh ip classless để router khơng huỷ bỏ gĩi dữ liệu mà sẽ truyển gĩi ra đường đến địa chỉ supernet, nếu cĩ. Đối với phần mềm Cisco IOS phiên bản 11.3 trở về sau, mặc định là lệnh ip classless đã được chạy trong cấu hình của router. N ếu bạn muốn tắt lệnh này đi thì dùng lệnh no của câu lệnh này. Tuy nhiên nếu khơng cĩ chức năng này thì tất cả các gĩi cĩ địa chỉ đích là một subnet cĩ cùng supernet với các địa chỉ mạng khác của router nhưng lại khơng cĩ trong bảng định tuyến sẽ bị huỷ bỏ. Ip classless chỉ cĩ tác động đối với việc chuyển gĩi đi chứ khơng tác động đến cách mà router xây dựng bảng định tuyến. Đây chính là đặc điểm quan trọng của giao thức định tuyến theo lớp. N ếu một địa chỉ mạng lớn được chia thành các subnet con và trên bảng định tuyến của router chỉ cĩ một số subnet con chứ khơng cĩ tồn bộ các subnet khi đĩ gĩi dữ liệu nào cĩ địa chỉ đích là một subnet nằm trong địa chỉ mạng lớn nhưng lại khơng cĩ trên bảng định tuyến của router thì router sẽ huỷ bỏ Cơ chế này hay bị nhầm lẫn nhất khi router cĩ cấu hình đường mặc định. từ một địa chỉ mạng lớn chia thành nhiều nubnet con. Kết nối trực tiếp vào router chỉ cĩ một subnet. Khi router xây dựng bảng định tuyến, trên bảng định tuyến đương nhiên cĩ các subnet của mạng kết nối trực tiếp vào router. Cịn những subnet nào khơng cĩ thì subnet đĩ khơng tồn tại. Do đĩ khi router nhận được gĩi dữ liệu cĩ địa chỉ mạng đích là một subnet khơng cĩ trên bảng định tuyến nhưng lại cĩ cùng supernet với các mạng kết nối trực tiếp vào router thì router xem như mạng đích đĩ khơng tồn tại và huỷ bỏ gĩi dữ liệu cho dù trên bảng định tuyến của router cĩ cấu hình đường mặc định. Lệnh ip classless sẽ giải quyết vấn đề này bằng cách cho phép router khơng cần quan tâm đến địa chỉ đích 51
  53. Khoa CNTT- Bài giảng mơn Cơng nghệ và thiết bị mạng nữa. Khi đĩ nếu router khơng tìm thấy được củ thể mạng đích trên bảng định tuyến thì nĩ sử dụng đường mặc định để truyển gĩi đi. 4.4.4. Những vấn đề thường gặp khi cấu hình RIP Router định tuyến theo RIP phải dựa vào các router láng giềng để học thơng tin đến các mạng mà khơng kết nối trực tiếp vào router. RIP sử dụng thuật tốn vectơ khoảng cách. Tất cả các giao thức định tuyến theo vectơ khoảng cách đều cĩ nhược điểm là tốc độ hội tụ chậm. Trạng thái hội tụ là khi tất cả các router trong hệ thống mạng đều cĩ thơng tin định tuyến về một mạng giống nhau và chính xác. Các giao thức định tuyến theo vectơ khoảng cách thường gặp vấn đề về định tuyến lặp vịng và đếm đến vơ hạn. Đây là hậu quả khi các router chưa được hội tụ nên truyền cho nhau những thơng tin cũ chưa được cập nhật đúng. Để giải quyết những vấn đề này, RIP sử dụng những kỹ thuật sau: • Định nghĩa giá trị tối đa. • Split horizon. • Poison reverse. • Thời gian holddewn. • Cập nhật tức thời. Cĩ một số kỹ thuật địi hỏi bạn phải cấu hình, cịn cĩ một số khác thì khơng cần cấu hình gì cả hoặc chỉ cần cấu hình một chút thơi. RIP giới hạn số hop tối đa là 15. Bất kỳ mạng đích nào mà cĩ số hop lớn hơn 15 thì xem như mạng đĩ khơng đến được. Điều này làm cho RIP bị hạn chế khơng sử dụng được cho những hệ thống mạng lớn nhưng nĩ lại giúp RIP tránh được lỗi đếm đến vơ hạn. Luật split horizon là: Khi gửi thơng tin cập nhật ra một hướng nào đĩ thì khơng gửi lại những thơng tin mà router đa nhận được từ hướng đĩ. Trong một số cấu hình mạng thì bạn cần phải tắt cơ chế split horizon. Sau đây là lệnh để tắt cơ chế split horizon: GAD(config-if)#no ip split horizon Thời gian holddown là một thơng số mà ta cĩ thể thay đổi nếu cần. Khoảng thời gian holddown giúp cho router tránh bị lặp vịng đếm đến vơ hạn nhưng đồng thời nĩ cũng làm tăng thời gian hội tụ giữa các router. Trong khoảng thời 52
  54. Khoa CNTT- Bài giảng mơn Cơng nghệ và thiết bị mạng gian này, router khơng cập nhật những đường nào cĩ thơng số định tuyến khơng tốt bằng con đường mà router cĩ trước đĩ, như vậy thì cĩ khi cĩ đường khác thay thế cho đường cũ thật nhưng router cũng khơng cập nhật. Thời gian holddown mặc định của RIP là 180 giây. Ta cĩ thể điều chỉnh cho thời gian ngắn lại để tăng tốc độ hội tụ nhưng ta phải cân nhắc kỹ,thời gian holddown lý tưởng là phải dài hơn khoảng thời gian dài nhất cĩ thể để cho tồn bộ hệ thống mạng cĩ thể để cho tồn bộ hệ thống cập nhật xong. Ví dụ như hình 4.4.4 ta cĩ 4 router. N ếu mỗi router cĩ thời gian cập nhật là 30 giây thì thời gian tối đa để cho cả 4 router cập nhật xong là 120 giây. N hư vậy thì thời gian holddown phải dài hơn 120 giây. Để thay đổi thời gian holddown ta dùng lệnh sau: Router(config-router)#times basic update invalid holddown flush [sleeptime] Hình 4.4.4 Một lý do khác làm ảnh hưởng tới tốc độ hội tụ là chu kỳ cập nhật. Chu kỳ cập nhật mặc định của RIP là 30 giây. Ta cĩ thể điều chỉnh cho chu kỳ cập nhật dài hơn để tiết kiệm băng thơng đường truyền hoặc là giút ngắn chu kỳ cập nhật để tăng tốc độ hội tụ. Để thay đổi chu kỳ cập nhật ta dùng lệnh sau: GAD(config-router )# update-time seconds Cịn một vấn đề ta hay gặp đối với các giao thức định tuyến là ta khơng muốn cho các giao thức này gửi các thơng tin cập nhật về định tuyến ra một cổng nào đĩ. Sau khi nhập lệnh network để khai báo địa chỉ mạng là lập tức RIP bắt đầu gửi các thơng tin định tuyến ra tất cả các cổng cĩ địa chỉ mạng nằm trong mạng mà bạn vừa khai bao. N hà quản trị mạng cĩ thể khơng cho phép gửi thơng tin cập nhật về định tuyến ra một cổng nào đĩ bằng lệnh passive-interface. 53
  55. Khoa CNTT- Bài giảng mơn Cơng nghệ và thiết bị mạng GAD(config-router)#neighbor ip address Phần mềm Cisco IOS mặc nhiên nhận gĩi thơng tin của cả RIP phiên bản 1 và 2 nhưng chỉ gửi đi gĩi thơng tin bằng RIP phiên bản 1 nhà quản trị mạng cĩ thể cấu hình cho router chỉ gửi và nhận gĩi phiên bản 1 hoặc chỉ gửi gĩi phiên bản 2 bằng các lệnh sau: GAD(config-router)#version (1/2) GAD(config-if)#ip rip send version 1 GAD(config-if)#ip rip send version 2 GAD(config-if)#ip rip send version 1 2 GAD(config-if)#ip rip receive version 1 GAD(config-if)#ip rip receive version 2 GAD(config-if)#ip rip receive version 1 2 4.5. Kiểm tra cấu hình RIP Cĩ rất nhiều lệnh cĩ thể kiểm tra cấu hình RIP cĩ đúng hay khơng. Trong đĩ 2 lệnh thường được sử dụng nhiều nhất là show ip route và show ip protocols Lệnh show ip protocols sẽ hiển thị các giao thức định tuyến ip đang được chạy trên router. Kết quả hiển thị của lệnh này giúp ta kiểm tra được phần lớn cấu hình của RIP nhưng chưa phải đầy đủ tồn bộ. Sau đây ta cần chú ý một số điểm khi kiểm tra: • Cĩ đúng là giao thức định tuyến RIP đã được cấu hình hay khơng. • RIP được cấu hình để gửi và nhận thơng tin cập nhật trên các cổng nào cĩ chính xác hay khơng. • Các địa chỉ mạng được khai báo trên router để chạy RIP cĩ đúng hay khơng. 54
  56. Khoa CNTT- Bài giảng mơn Cơng nghệ và thiết bị mạng Hình 4.5 a Lệnh show ip route được sử dụng để kiểm tra xem những đường đi mà router học được từ các router rip láng giềng cĩ được cài đặt vào bảng định tuyến khơng. Trên kết quả hiển thị bảng định tuyến, ta kiểm tra các đường cĩ đánh dấu bằng chữ R ở đầu dịng mà những đương router học được từ các router rip láng giềng. Ta nên nhớ rằng các router cĩ một khoảng thời gian để hội tụ với nhau, do đĩ các thơng tin mới cĩ thể chưa được hiển thị ngay trên bảng định tuyến được. N gồi ra cịn cĩ một số lệnh khác mà ta cĩ thể sử dụng để kiểm tra cấu hình RIP: • show interface interface • show ip interface interface • show running config Hình 4.5b 4.6. Xử lý sự cố về hoạt động cập nhật của RIP 55
  57. Khoa CNTT- Bài giảng mơn Cơng nghệ và thiết bị mạng Hầu hết các lỗi về cấu hình RIP đều do khai báo câu lệnh network sau, subnet khơng liên tục hoặc là do split horizon lệnh cĩ tác dụng nhất trong việc tìm lỗi của RIP trong hoạt động cập nhật là lệnh debug ip rip Lệnh debug ip rip sẽ hiển thị tất cả các thơng tin định tuyến mà rip gửi và nhận. Ví dụ trong hình 3.2.6 cho ta thấy kết quả hiển thị của lệnh debug ip rip. Sauk hi nhận được thơng tin cập nhật, router sẽ xử lý thơng tin đĩ rồi sau đĩ gửi thơng tin mới vừa cập nhật ra các cổng. Trong hình cho ta thấy router chạy rip v1 và rip gửi cập nhật theo kiểu broadcast (địa chỉ broadcast 255.255.255.255) số trong ngoặc đơn là địa chỉ nguồn của gĩi thơng tin cập nhật RIP. Hình 4.6 Cĩ rất nhiều điểm quan trọng mà ta cần chú ý trong kết quả hiển thị của lệnh debug ip rip. Một số vấn đề, ví dụ như subnet khơng liên tục hay trùng subnet, cĩ thể phát hiện nhờ lệnh này. Trong những trường hợp như vậy ta sẽ thấy là cùng một mạng đích nhưng router gửi thơng tin đi mạng đích đĩ lại cĩ thơng số định tuyến thấp hơn so với khi router nhận vào trước đĩ. N gồi ra cịn một số lệnh cĩ thể sử dụng để sử lý sự cố của RIP: • show ip rip database • show ip protocols (summary) • show ip route • debug ip rip (events) • show ip interface brief 4.7. Khơng cho router gửi thơng tin định tuyến ra một cổng giao tiếp 56
  58. Khoa CNTT- Bài giảng mơn Cơng nghệ và thiết bị mạng Router cĩ thể thực hiện chọn lọc thơng tin định tuyến khi cập nhật hoặc khi gửi thơng tin cập nhật. Đối với router sử dụng giao thức định tuyến theo vectơ khoảng cách, cơ chế này cĩ tác dụng vì router định tuyến dựa trên các thơng tin định tuyến nhận được từ các router láng giềng. Tuy nhiên đối với router sử dụng giao thức định tuyến theo trạng thái đường liên kết thì cơ chế trên khơng hiệu quả vì các giao thức này quyết định chọn đường đi trên cơ sở dữ liệu về trạng thái các đường liên kết chứ khơng dựa vào thơng tin định tuyến nhận được. Chính vì vậy mà cách thực hiện để ngăn khơng cho router gửi thơng tin định tuyến ra một cổng giao tiếp được đề cập sau chỉ sử dụng cho giao thức định tuyến theo vectơ khoảng cách nh RIP, IGRP thơi. Ta cĩ thể sử dụng lệnh passive interface để ngăn khơng cho router gửi thơng tin cập nhật về định tuyến ra một cổng nào đĩ. Làm như vậy thì bạn sẽ ngăn được hệ thống mạng khác học được các thơng tin định tuyến trong hệ thống của mình. Đối với RIP và IGRP, lệnh passive interface sẽ làm cho router ngừng gửi thơng tin cập nhật về định tuyến cho 1 router láng giềng nào đĩ, nhưng router vẫn tiếp tục lắng nghe và nhận thơng tin cập nhật từ router láng giềng đĩ 4.8. Chia tải với RIP Router cĩ thể chia tải theo nhiều đường khi cĩ nhiều đường tốt đến cùng một đích.Bạn cĩ thể cấu hình bằng tay cho route chia tải ra các đường hoặc la route các giao thức định tuyến độngcĩ thểtự động tính tốn để chia tải. RIP cĩ khả năng chia tải ra tối đa là 6 đường, cĩ chi phí bằng nhau, cịn mạc định thì rip chỉ chia tải ra 4 đường. RIP thực hiện chia tải bằng cách sử dụng lần lượt và luân phiên từng đường. 4.9. Chia tải cho nhiều đường Router cĩ khả năng chia tải ra nhiều đường để chuyển các gĩi dữ liệu đến cùng một đích .Chúng ta cĩ thể cấu hình bằng tay cho router thực hiện chia tải hoặc là các giao thức định tuyến động như RIP, IGRP, EIGRP và OSPF sẽ tự động tính tốn. Khi router nhận được thơng tin cập nhật về nhiều đường khác nhau đến cùng một đích thì router sẽ chọn đường nào cĩ chỉ số tin cậy(Administrative distance) nhỏ nhất để đặt vào bảng định tuyến. Trong trường hợp các đường này cĩ cùng chỉ số tin cậy thì router thì router sẽ chọn đường nào cĩ chi phí thấp nhất hoặc cĩ thơng số định tuyến nhỏ 57
  59. Khoa CNTT- Bài giảng mơn Cơng nghệ và thiết bị mạng nhất. Mỗi giao thức định tuyến cĩ cách tính chi phí khác nhau và ta cần phải cấu hình các chi phí này để router thực hiện chia tai. Khi router cĩ nhiều đường cĩ cùng chỉ số tin cậy và cùng chi phí đến cùng một đích thì router sẽ thực hiện việc chia tải. Thơng thường thì router cĩ khả năng chia tải đến 6 đường cĩ cùng chi phí (thĩi hạn tối đa số đường chia tải là phụ thuộc vào bảng định tuyến của Cisco IOS ), tuy nhiên một số giao thức định tuyến nội (IGP) cĩ thể cĩ giới hạn riêng. Ví dụ như EIGRP chỉ co phép tối đa là 4 đương. Mặc định thì hầu hết các giao thức định tuyến IP đều chia tải ra 4 đường. Đường cố định thì chia tải ra 6 đường. Chỉ riêng BGP là ngoại lệ, mặc định của BGP là chỉ cho phép định tuyến một đường đến một đích. Số đường tối đa mà router cĩ thể chia tải ra từ 1 đến 6 đường. Để thay đổi số đường tối đa cho phép ta sử dụng lệnh sau: Router(config-router)#maximum-paths [number] IGRP cĩ thể chia tải lên tối đa 6 đường. RIP dựa vào số lượng hop để chọn đường chia tải, trong khi IGRP thì dựa vào băng thơng để chọn đường chia tải. Khi định tuyến IP, Cisco IOS cĩ 2 cơ chế chia tải là: Chia tải theo gĩi dữ liệu và chia tải theo địa chỉ đích. N ếu router chuyển mạng theo tiến chình thì router sẽ chia gĩi dữ liệu ra các đường. Cách này gọi là chia tải theo gĩi dữ liệu. Cịn nếu router chuyển mạch nhanh thì router sẽ chuyển tất cả các gĩi dữ liệu đến cùng một đích ra 1 đường. Các gĩi dữ liệu đến hop khác nhưng trong cùng một mạng đích thì sẽ tải ra đường kế tiếp. Cách này gọi là chia tải theo địa chỉ đích. 4.10. Tích hợp đường cố định với RIP Đường cố định là do người quản trị cấu hình cho router chuyển gĩi tơi mạng đích theo đường mà mình muốn. Mặt khác, lệnh để cấu hình đường cố định cũng như sử dụng để khai báo cho đường mặc định. Trong trường hợp router khơng tìm thấy đường nào trên bảng định tuyến để chuyển gĩi đến mạng đích thì router sẽ sử dụng đường mặc định. Router chạy RIP cĩ thể nhận thơng tin về đường mặc định từ những thơng tin cập nhật của các router RIP láng giềng khác. Hoặc là bản thân router được cấu hình đường mặc định sẽ cập nhật thơng tin định tuyến này cho các router khác. Ta cĩ thể xố đường cố định bằng lệnh no ip router người quản trị mạng cĩ thể cấu hình đường cố định bên cạnh định tuyến động. Mỗi một giao thức định tuyến động 58
  60. Khoa CNTT- Bài giảng mơn Cơng nghệ và thiết bị mạng cĩ 1 chỉ số tin cậy (AD) mặc định. N gười quản trị mạng cĩ thể cấu hình một đường cố định tới một mạng đích với đường định tuyến động nhưng với chỉ số AD lớn hơn chỉ số AD của giao thức định tuyến động tương ứng. Khi đĩ, đường định tuyến động cĩ chỉ số AD nhỏ hơn nên luơn luơn được router chọn lựa trứơc. Khi đường định tuyến động bị sự cố khơng sử dụng được nữa thì router sẽ sử dụng tới đường cố định để chuyển gĩi dữ liệu đến mạng đích. N ếu ta cấu hình đường cố định chỉ ra một cổng RIP cũng chạy trên cổng đĩ thì RIP sẽ gửi thơng tin cập nhật về đường cố định này cho tồn bộ hệ thống mạng. Vì khi đĩ, đường cố định được xem như là kết nối trực tiếp vào router nên nĩ khơng cịn bản chất là một đường cố định nữa. N ếu ta cấu hình đường cố định chỉ ra một cổng mà RIP khơng chạy trên cổng đĩ thì RIP khơng gửi thơng tin cập nhật về đường cố định đĩ, chừ khi ta phải cấu hình thêm lệnh redistribute static cho RIP. Khi một cổng giao tiếp bị ngắt thì tất cả các đường cố định chỉ ra cổng đĩ đều bị xố khỏi bảng định tuyến. Tương tự như vậy, khi router khơng xác định được trạm kế tiếp trên đường cố định cho gĩi dữ liệu tới mạng đính thì đường cố định đĩ cũng sẽ khỏi bảng định tuyến. 59
  61. Khoa CNTT- Bài giảng mơn Cơng nghệ và thiết bị mạng CHƯƠNG 5: DANH SÁCH TRUY CẬP ACLs 5.1. Cơ bản về Danh sách kiểm tra truy cập 5.1.1. ACL là gì ? ACLs là một danh sách các điều kiện được áp dụng cho lưu lượng đi qua một cổng của Router. Danh sách này cho phép Router biết loại gĩi nào được chấp nhận hay bị từ chối dựa trên các điều kiện cụ thể. ACL được sử dụng để quản lý lưu lượng mạng và bảo vệ sự truy cập ra hoặc vào hệ thống mạng. ACL cĩ thể được tạo ra cho tất cả các giao thức được định tuyến như IP (Internet Protocol) và IPX (Internetwork Packet Exchange). ACL cĩ thể được cấu hình trên router để kiểm tra việc truy cập và một mạng hay một subnet nào đĩ. Hình 5.1. Ví dụ về ACL ACL lọc tải bằng cách kiểm tra việc chuyển đi các gĩi đã được định tuyến xong hoặc là chặn ngay các gĩi vào cổng của router. Router kiểm tra từng gĩi một để quyết định là chuyển gĩi đi hay hủy bỏ gĩi đĩ tùy vào các điều kiện trong ACL như: địa chỉ nguồn và đích, giao thức và số port của lớp trên. 60
  62. Khoa CNTT- Bài giảng mơn Cơng nghệ và thiết bị mạng Hình 5.2. Cấu trúc về gĩi dữ liệu Một số nguyên nhân chính để tạo ACLs: Giới hạn lưu lượng mạng để tăng hiệu xuất hoạt động của mạng. Ví dụ, bằng cách giới hạn lưu lượng truyền video, ACLs đã làm giảm tải đáng kể và làm tăng hiệu suất của mạng. Kiểm tra dịng lưu lượng. ACLs cĩ thể giới hạn thơng tin truy cập định tuyến. Cung cấp chế độ bảo vệ truy cập cơ bản. ACLs cĩ thể cho phép một host truy cập vào một phần nào đĩ của hệ thống mạng và ngăn khơng cho các host khác truy cập vào khu vực đĩ. Quyết định loại lưu lượng được phép cho qua hay chặn lại trên các cơng của router. Ví dụ, lưu lượng của Email được phép cho qua nhưng tất cả lưu lượng của telnet đều bị chặn lại. Cho phép người quản trị mạng điều khiển được các phạm vi mà các Client được quyền truy cập vào trong hệ thống mạng. Kiểm tra host để cho phép hay từ chối khơng cho truy cập vào một khu vực nào đĩ trong hệ thống. N ếu trên router khơng cĩ cấu hình ACLs thì tất cả các gĩi được chuyển đi đến mọi vị trí trong hệ thống mạng. 5.1.2. ACLs làm việc như thế nào Mỗi ACLs là một danh sách các câu lệnh trong đĩ xác định gĩi dữ liệu nào được chấp nhận hay từ chối tại chiều ra hay chiều vào của một cổng trên Router. Mỗi một câu lệnh cĩ các điều kiện và kết quả chấp nhận hay từ chối tương ứng. N ếu thoả điều kiện trong câu lệnh thì quyết định chấp nhận hay từ chối sẽ được thực hiện. 61
  63. Khoa CNTT- Bài giảng mơn Cơng nghệ và thiết bị mạng Thứ tự đặt các câu lệnh trong ACLs rất quan trọng.Phần mềm Cisco IOS sẽ kiểm tra gĩi dữ liệu với từng câu lệnh một theo đúng thứ tự từ trên xuống dưới. N ếu thoả điều kiện của một câu lệnh thì gĩi dữ liệu sẽ được chấp nhận hay từ chối ngay và tồn bộ các câu lệnh cịn lại trong ACLs đĩ sẽ khơng phải kiểm tra nữa. N ếu khơng thoả điều kiện của tất cả các câu lệnh trong ACLs thì mặc định là cuối danh sách luơn cĩ một câu lệnh Nn “deny any” (từ chối tất cả). N ếu bạn cần thêm một câu lệnh vào ACLs thì bạn phải xố tồn bộ ACLs đi rồi tạo lại ACLs mới cĩ câu lệnh mới. Hình 5.3. Sơ đồ làm việc của ACLs 5.1.3. Tạo ACLs ACLs được tạo trong chế độ cấu hình tồn cục. Cĩ rất nhiều loại ACLs khác nhau, bao gồm: ACL cơ bản, ACL mở rộng, ACL cho IPX, AppleTalk và các giao thức khác. Khi cấu hình ACLs trên router mỗi ACL cĩ một số xác định. Hình 5.4. Các thơng số cấu hình ACL Bắt đầu tạo ACLs bằng từ khĩa access-list, theo sau là các tham số tương ứng của lệnh này. Trong chế độ chế độ cấu hình cổng của router, dùng lệnh access-group để gán 62
  64. Khoa CNTT- Bài giảng mơn Cơng nghệ và thiết bị mạng ACL tương ứng vào cổng đĩ. Khi gán ACL cho một cổng , cần xác định cụ thể ACL đĩ áp dụng cho chiều ra hay vào trên cổng của router. Để thay đổi ACL, dùng lệnh no access-list list-number để xĩa tất cả các câu lệnh access-list cĩ cùng list-number. Các nguyên tắc cơ bản khi tạo và gán ACLs: Một ACL cho một giao thức trên một chiều của một cổng. ACL cơ bản nên đặt ở vị trí gần mạng đích nhất. ACL mở rộng nên đặt ở gần mạng nguồn nhất Đứng trong router để xác định chiều đi ra hay đi vào trên một cổng của router đĩ Các câu lệnh trong một ACL sẽ được kiểm tra tuần tự từ trên xuống cho đến khi cĩ một câu lệnh được thỏa. N gược lại, nếu khơng cĩ câu lệnh trong ACL thì gĩi dữ liệu đĩ sẽ bị từ chối. Hình 5.5. Cấu hình ACL cho một router Trong thực tế, các lệnh của danh sách truy cập cĩ thể là các xâu kí tự dài. Các danh sách truy cập cĩ thể phức tạp khi nhập vào hoặc dịch ra.Tuy nhiên, bạn cĩ thể đơn giản hố các lệnh định cấu hình cho danh sách truy cập chung bằng cách giảm các lệnh bởi hai phần tử chung. Mơ hình tạo ACL: Bước 1: Tạo các thơng số cho câu lệnh kiểm tra danh sách truy cập này (cĩ thể là một hoặc vài câu lệnh): Router(config)#access-list access-list-number {permit | deny} {test condition} Bước 2: Cho phép một giao diện trở thành một phần của nhĩm, nhĩm mà sử dụng danh sách truy cập đã được xác định (kích hoạt access list trên interface). Router(config-ip)#{protocol} access-group access-list-number {in | out} 63
  65. Khoa CNTT- Bài giảng mơn Cơng nghệ và thiết bị mạng access-list-number là số hiệu phân biệt các access list với nhau, đồng thời cũng cho biết là loại access list nào (standard hay extended) Cập nhật các danh sách truy cập: N ếu các câu lệnh điều kiện thêm vào là cần thiết trong một danh sách truy cập thì cập nhật tồn bộ. ACL phải được xố và tạo lại với các câu lệnh điều kiện mới. Xác định ACLs như thế nào? Mỗi ACL được xác định duy nhất bằng cách gán một số (hoặc một tên) cho nĩ. Số này xác định kiểu của danh sách truy cập được tạo và phải nằm trong phạm vi giới hạn đặc biệt của các chỉ số: Một ACL được số hố khơng thể bị hiệu chỉnh trên router. Để hiệu chỉnh một ACL: Bước 1: Copy nĩ tới một file văn bản. Bước 2: Gỡ bỏ từ cấu hình router với ‘no’ hình dạng của câu lệnh ACL Bước 3: Tạo những thay đổi cần thiết cho lile văn bản. Bước 4: Dán trở lại chế độ cấu hình chung. 5.1.4. Chức năng của wildcard mask 64
  66. Khoa CNTT- Bài giảng mơn Cơng nghệ và thiết bị mạng Một wildcard mask dài 32 bit được chia làm 4 Octet. Mỗi một wildcard mask đi cùng với một địa chỉ IP. Số bit 0 và 1 trong wildcard mask được sử dụng để xác định cách xử lý bit tương ứng trong địa chỉ IP. Hình 5.6. Cấu trúc của wildcard mask và địa chỉ IP Subnet mask cĩ chuỗi bit 1 bắt đầu từ trái kéo dài sang phải để xác định phần host và phần mạng trong một địa chỉ IP. Trong khi đĩ wildcard mask được thiết kế để lọc ra một địa chỉ IP riêng lẻ hay một nhĩm địa chỉ IP để cho phép hay từ chối truy cập dựa trên địa chỉ IP. Giá trị 0 và 1 trong wildcard mask cĩ ý nghĩa khác với bit 0 và 1 trong subnet mask. Để tránh nhầm lẫn, chữ x được sử dụng để thay thế bit 1 trong wildcard mask. Ví dụ, wildcard mask là 0.0.255.255. Bit 0 cĩ nghĩa là bit tương ứng trong địa chỉ IP phải kiểm tra, cịn bit x (bit 1) cĩ nghĩa là bit tương ứng trong địa chỉ IP cĩ thể bỏ qua khơng cần kiểm tra. Trong quá trình wildcard mask, địa chỉ IP trong mỗi câu lệnh được kết hợp với wildcard mask trong câu lệnh đĩ để tính ra giá trị chuNn. Giá trị này dùng để so sánh với địa chỉ của các gĩi dữ liệu đang được kiểm tra bởi câu lệnh ACL. N ếu hai giá trị này giống nhau thì cĩ nghĩa là điều kiện về địa chỉ đã được thỏa mãn. Cĩ hai từ khĩa đặc biệt được sử dụng trong ACLs là any và host. Any đại diện cho IP 0.0.0.0 và wildcard mask là 255.255.255.255, host đại diện cho wildcard mask 0.0.0.0. 65
  67. Khoa CNTT- Bài giảng mơn Cơng nghệ và thiết bị mạng Hình 5.7. Quá trình kết hợp IP và wildcard mask 5.1.5. Kiểm tra ACLs Cĩ rất nhiều lệnh show được sử dụng và kiểm tra nội dung và vị trí đặt ACLs trên router. Lệnh show ip interface hiển thị thơng tin của các cổng IP trên router và cho biết cĩ ACLs được đặt trên các cổng hay khơng. Lệnh show access-lists sẽ hiển thị nội dung của tất cả các ACLs trên router. Để xem cụ thể một ACL nào thì cần thêm tên hoặc số vào sau câu lệnh show access-lists Hình 5.8. Ví dụ về một lệnh show 66
  68. Khoa CNTT- Bài giảng mơn Cơng nghệ và thiết bị mạng 5.2. Danh sách kiểm tra truy cập 5.2.1. ACLs cơ bản ACLs cơ bản thực hiện kiểm tra địa chỉ IP nguồn của gĩi dữ liệu. Kết quả kiểm tra sẽ dẫn đến kết quả là cho phép hay từ chối truy cập tồn bộ các giao thức dựa trên địa chỉ mạng, subnet hay host. Trong chế độ cấu hình tồn cục, lệnh access-list được sử dụng để tạo ACL cơ bản với số ACL nằm trong khoảng từ 1 đến 99. Ví dụ: Access-list 2 deny 172.16.1.1 Access-list 2 permit 172.16.1.0 0.0.0.255 Access-list 2 deny 172.16.0.0 0.0.255.255 Access-list 2 permit 172.0.0.0 0.255.255.255 Câu lệnh ACL đầu tiên khơng cĩ wildcard mask, trong trường hợp này wildcard mask mặc định được sử dụng là 0.0.0.0. Điều này cĩ nghĩa là tồn bộ địa chỉ 172.16.1.1 phải được thỏa, nếu khơng thì router sẽ phải kiểm tra câu lệnh kế tiếp trong ACL. 67
  69. Khoa CNTT- Bài giảng mơn Cơng nghệ và thiết bị mạng Hình 5.9. Hoạt động của ACL cơ bản Cấu trúc đầy đủ của lệnh ACL cơ bản: Router(config)#access-list access-list-number {deny / permit} Source [ source wildcard ] [ log ] Dạng no của câu lệnh được sử dụng để xĩa ACLs: Router(config)#no access-list access-list-number 5.2.2. ACLs mở rộng ACLs mở rộng thường được sử dụng nhiều hơn ACLs cơ bản vì nĩ cĩ khả năng kiểm sốt lớn hơn nhiều. ACLs mở rộng kiểm tra điạ chỉ nguồn và đích của gĩi dữ liệu, kiểm tra cả giao thức với số cổng. Do đĩ rất thuận tiện trong việc cấu hình các điều kiện kiểm tra cho ACL. Gĩi dữ liệu được chấp nhận hay từ chối là dựa trên vị trí xuất phát và đích đến của gĩi dữ liệu cùng với loại giao thức và số cổng của nĩ. Ví dụ, một ACL mở rộng cĩ thể cho phép lưu lượng của Email từ cổng Fa0/0 ra cổng S0/0 và từ chối các lưu lượng của Web và FTP. Khi gĩi dữ liệu bị hủy bỏ vì bị từ chối, một số giao thức sẽ gửi thơng điệp phản hồi về cho máy gửi để thơng báo là dữ liệu khơng đến đích được. Trong một ACL cĩ thể cĩ nhiều câu lệnh. Các câu lệnh cĩ cùng số ACL là nằm trong cùng một danh sách ACL. Cĩ thể cấu hình số lượng ACL với số lượng khơng hạn chế và chỉ phụ thuộc vào dung lượng bộ nhớ của router. Ví dụ: Access-list 114 permit tcp 172.16.6.0 0.0.0.255 any eq telnet Access-list 114 permit tcp 172.16.6.0 0.0.0.255 any eq ftp Access-list 114 permit tcp 172.16.6.0 0.0.0.255 any eq ftp-data Ở cuối câu lệnh ACL mở rộng cĩ thơng số về số port TCP và UDP để xác định chính xác hơn loại gĩi dữ liệu. Cĩ thể xác định số port bằng các tham số eq (equal: bằng), neq (not equal: khơng bằng), gt (greater: lớn hơn), lt (less than: nhỏ hơn). ACL mở rộng sử dụng số ACL từ 100 đến 199 (và từ 2000 đến 2699 đối với các IOS gần đây). Lệnh ip access-group được sử dụng để gán một ACL mở rộng đã cĩ vào một cổng của router. Một ACL cho một giao thức cho một chiều trên một cổng. Ví dụ: Router(config-if)#ip access-group access-list-number {in | out} 68
  70. Khoa CNTT- Bài giảng mơn Cơng nghệ và thiết bị mạng 5.2.3. Đặt tên ACLs Đặt tên ACLs cĩ những ưu điểm sau: Xác định ACL bằng tên sẽ mang tính trực giác hơn ACLs đặt tên cĩ thể chỉnh sửa mà khơng cần phải xĩa tồn bộ ACLs rồi viết lại từ đầu như ACLs đặt theo số. Khơng cịn bị giới hạn tối đa 798 ACLs cơ bản và 799 ACLs mở rộng. Ví dụ về cấu hình đặt tên ACL: TN (config)#ip access-list extended server-access TN (config-ext-nacl)#permit TCP any host 131.108.101.99 eq mstp TN (config-ext-nacl)#permit UDP any host 131.108.101.99 eq domain TN (config-ext-nacl)#deny ip any any TN (config-ext-nacl)#^Z Applying the name list: TN (config)#interface fastethernet 0/0 TN (config-if)#ip access-group server-access out TN (config-if)#^Z Những điểm cần lưu ý khi thực hiện đặt tên ACLs: ACLs đặt tên khơng tương thích với các Cisco IOS phiên bản trước 11.2, Khơng sử dụng chung một tên cho nhiều ACLs khác nhau. Ví dụ, khơng thể cĩ một ACL cơ bản và một ACLs mở rộng cĩ cùng tên là TN . 5.2.4. Vị trí đặt ACLs ACLs được sử dụng để kiểm sốt lưu lượng bằng cách lọc gĩi dữ liệu và loại bỏ các lưu lượng khơng mong muốn trên mạng. Vị trí đặt ACLs rất quan trọng, nĩ giúp cho hoạt động của tồn bộ hệ thống mạng được hiệu quả. 69
  71. Khoa CNTT- Bài giảng mơn Cơng nghệ và thiết bị mạng Hình 5.10. Vị trí đặt ACLs N guyên tắc chung là: Đặt ACLs mở rộng càng gần nguồn của nguồn lưu lượng mà ta muốn chặn lại càng tốt. ACLs cơ bản khơng xác định địa chỉ đích nên đặt chúng ở càng gần đích càng tốt. 5.2.5. Bức tường lửa Bức tường lửa là một cấu trúc ngăn giữa người dùng bên trong hệ thống mạng với hệ thống bên ngồi để tránh những kẻ xâm nhập bất hợp pháp. Một bức tường lửa bao gồm nhiều thiết bị làm việc cùng nhau để ngăn chặn các truy cập khơng mong muốn. Hình 5.11. Cấu trúc bức tường lửa Trong cấu trúc này, router kết nối ra Internet được gọi là router ngoại vi, sẽ đưa tất cả các lưu lượng nhận vào đến Application gateway. Kết quả là gateway cĩ thể kiểm sốt việc phân phối các dịch vụ đi ra và đi vào hệ thống mạng. Khi đĩ, chỉ những user nào được phép mới cĩ thể kết nối ra Internet hoặc là chỉ những ứng dụng nào được phép mới cĩ 70
  72. Khoa CNTT- Bài giảng mơn Cơng nghệ và thiết bị mạng thể thiết lập kết nối cho host bên trong và bên ngồi. Điều này giúp bảo vệ Application gateway và tránh cho nĩ bị quá tải bởi những gĩi dữ liệu vốn là sẽ bị hủy bỏ. Do đĩ ACLs đặt trên router đĩng vai trị như bức tường lửa, đĩ là những router ở vị trí trung gian giữa mạng bên trong và mạng bên ngồi. Router bức tường lửa này sẽ cách ly cho tồn bộ hệ thống mạng bên trong tránh bị tấn cơng. ACLs cũng nên sử dụng trên router ở vị trí trung gian kết nối giữa hai phần của hệ thống mạng và kiểm sốt hoạt động giữa hai phần này. 5.2.6. Giới hạn truy cập vào đường vty trên router ACLs cơ bản và mở rộng đều cĩ hiệu quả đối với các gĩi dữ liệu đi qua router. N hưng chúng khơng chặn được các gĩi dữ liệu xuất phát từ chính bản thân router đĩ. Do đĩ một ACL mở rộng ngăn hướng Telnet ra sẽ khơng thể ngăn chặn được các phiên Telnet xuất phát từ chính router đĩ. Hình 5.12. Truy cập vào đường vty trên router Trên router cĩ các cổng vật lý như cổng Fa0/0 và S0/0 cũng cĩ các cổng ảo. Các cổng này gọi là đường vty được đánh số từ 0 đến 4. Giới hạn truy cập vào đường vty sẽ tăng khả năng bảo vệ cho hệ thống mạng. Quá trình tạo vty ACLs cũng giống như tạo các ACL khác, nhưng khi đặt ACLs vào đường vty thì dùng lệnh access-class thay vì dùng lệnh access-group Ví du: Creating the standard list: Router1(config)#access-list 2 permit 172.16.1.0 0.0.0.255 Router1(config)#access-list 2 permit 172.16.2.0 0.0.0.255 Router1(config)#access-list 2 deny any Applying the access list: 71