Đồ án xây dựng hệ thống hạ tầng mạng và triển khai dịch vụ cho doanh nghiệp

Mô hình hệthống mạng đáp ứng cao cho người dùng có thể truy cập làm việc ở bất cứ đâu, bất cứ thờiđiểm nào có nhiều lợi điểm mà các doanh nghiệp đang quan tâm như chi phí

Trang 1

LỜI CẢM ƠN

Trong suốt quá trình học tập và hoàn thành đồ án này, chúng tôi đã nhận được sự hướngdẫn, giúp đỡ quý báu của các thầy cô giáo bộ môn, ban giám hiệu, gia đình và bạn bè Vớilòng kính trọng và biết ơn sâu sắc chúng tôi xin được bày tỏ lới cảm ơn chân thành tới:

Ban giám hiệu, Phòng đào tạo trường Cao đẳng CNTT iSPACE đã tạo mọi điều kiện thuậnlợi giúp đỡ chúng tôi trong quá trình học tập và hoàn thành đồ án này

Thầy Nguyễn Phi Thái, người thầy kính mến đã hết lòng giúp đỡ, dạy bảo, động viên vàtạo mọi điều kiện thuận lợi cho chúng tôi trong suốt quá trình học tập và hoàn thành luậnvăn tốt nghiệp

Quý thầy cô giáo bộ môn Khoa mạng truyền thông cùng với các thầy cô trong hội đồngchấm luận văn đã cho chúng tôi những đóng góp quý báu để hoàn chỉnh đồ án này

Mặc dù chúng tôi đã có nhiều cố gắng để hoàn thiện bằng tất cả sự nhiệt tình và năng lựccủa mình, tuy nhiên không thể tránh khỏi những thiếu sót, rất mong nhận được những đónggóp quí báu của quí thầy cô và các bạn

Một lần nữa chúng tôi xin chân thành cảm ơn, chúc tất cả mọi người sức khỏe và thànhđạt

Trang 2

LỜI GIỚI THIỆU

Cùng với tốc độ phát triển và ứng dụng rộng khắp của mạng lưới Internet hiện tại, môhình hạ tầng mạng thông minh, ổn định, tính tương thích cao và hỗ trợ người dùng tối đa lànhu cầu cấp thiết cho tất cả các doanh nghiệp trong nước cũng như nước ngoài Mô hình hệthống mạng đáp ứng cao cho người dùng có thể truy cập làm việc ở bất cứ đâu, bất cứ thờiđiểm nào có nhiều lợi điểm mà các doanh nghiệp đang quan tâm như chi phí vừa phải, tạomạng lưới làm việc ổn định trong doanh nghiệp, giao dịch nhanh, thị trường rộng lớn… Chắcchắn sẽ là xu hướng phát triển thương mại trong tương lai mà các doanh nghiệp hướng tới.Đề tài này, chúng tôi tìm hiểu chi tiết về các ứng dụng và các dịch vụ triển khai hạ tầngmạng doanh nghiệp Từ đó đưa ra các giải pháp cụ thể cho từng doanh nghiệp trong việc xâydựng hạ tầng mạng Và chúng tôi đã xây dựng hạ tầng mạng cho doanh nghiệp với giải phápdự phòng và tính sẵn sàng cao dựa trên công nghệ High Availability (HA) với giao thứcGateway Load Balancing Protocol (GLBP) kết hợp công nghệ Multiprotocol Label Switching -Virtual Private Network (MPLS-VPN)

Trang 3

NHẬN XÉT CỦA DOANH NGHIỆP

………

NHẬN XÉT CỦA GIẢNG VIÊN HƯỚNG DẪN ………

Trang 4

………

Trang 5

MỤC LỤC HÌNH

Hình 1 - Mô hình mạng chi nhánh Bình Dương 18

Hình 2 - Mô hình mạng trụ sở chính Sài Gòn 19

Hình 3 - Mô hình kết nối 2 site 20

Hình 4 - VLAN 27

Hình 5 - Hoạt động của VTP 31

Hình 6 - Mô hình hoạt động của STP 34

Hình 7 - Etherchannel 37

Hình 8 - Mô hình hoạt động của HSRP 45

Hình 9 - Bảng ARP của virtual router 46

Hình 10 - Standby router giả định làm active router 47

Hình 11 - Những trạng thái của HSRP router 48

Hình 12 - Quá trình hoạt động của các trạng thái trong HSRP 49

Hình 13 - Quá trình listen của standby router 50

Hình 14 - Gateway Load Balancing Protocol 53

Hình 15 - Kết nối VPN client to site 58

Hình 16 - Kết nối VPN Site to Site 59

Hình 17 - Cấu trúc MPLS 63

Hình 18 - Nhãn MPLS 64

Hình 19 - Nhãn đặc biệt trong MPLS 64

Hình 20 - Xây dựng bảng FIB 65

Hình 21 - Xây dựng bảng LIB 66

Hình 22 - Xây dựng bảng LFIB 66

Hình 23 - Chuyển tiếp gói tin trong MPLS 67

Hình 24 - Chức năng của VRF 68

Hình 25 - Hoạt động của RD 69

Hình 26 - Thông tin định tuyến qua môi trường MPLS 70

Hình 27 - Kiến trúc của Active Directory 76

Trang 6

Hình 28 - Object classes và object attributes 77

Hình 29 - Organizational Unit 78

Hình 30 - Common Security Policy 79

Hình 31 - Bảo mật các tài nguyên 79

Hình 32 - Server dự phòng 80

Hình 33 - Cây Domain 81

Hình 34 - Forest 81

Hình 35 - DHCP Server 82

Hình 36 - Quá trình cấp phát mới địa chỉ IP cho Clients 83

Hình 37 - Quá trình làm mới địa chỉ IP của Clients 83

Hình 38 - Yêu cầu về quyền hạn: Domain Administrators 84

Hình 39 - Cấu trúc của hệ thống DNS Name 85

Hình 40 - Các thành phần của hệ thống DNS Name 86

Hình 41 - Cơ sơ dữ liệu của Name Server 87

Hình 42 - Hoạt động Web Server 88

Hình 43 - Quá trình truy vấn từ Client 89

Hình 44 - Chế độ Active 90

Hình 45 - Chế độ Passive 90

Hình 46 - FTP Client 91

Hình 47 - Mô hình triển khai 93

Hình 48 - Đặt IP trên PDC 103

Hình 49 - dcpromo 103

Hình 50 - Các option 104

Hình 51 - Cấu hình DHCP server 105

Hình 52 - DHCP Relay Agent trên SW1 106

Hình 53 - DHCP Relay Agent trên SW2 106

Hình 54 - Join các máy vào domain 107

Hình 55 - Kiểm tra DNS server 107

Trang 7

Hình 56 - Additional Domain trên site Bình Dương 108

Hình 57 - Join máy Additional Domain vào domain 109

Hình 58 - dcpromo trên máy additional domain 109

Hình 59 - Tùy chọn cho máy Additional Domain 110

Hình 60 - Cấu hình Web server 110

Hình 61 - Tùy chỉnh header cho Web server 111

Hình 62 - Tạo zone trên DNS server 111

Hình 63 - Cấu hình FTP server 111

Hình 64 - Tạo local user trên FTP server 112

Hình 65 - Tạo record trên DNS server 112

Trang 8

MỤC LỤC BẢNG

Bảng 1 - Thuật ngữ viết tắt 12

Bảng 2 - Cú pháp tạo static routing 21

Bảng 3 - Lệnh tạo và kiểm tra default route 21

Bảng 4 - Lệnh tạo và kiểm tra RIP 23

Bảng 5 - Lệnh tạo và kiểm tra IGRP 24

Bảng 6 - Lệnh tạo và kiểm EiGRP 25

Bảng 7 - Lệnh tạo và kiểm tra OSPF 26

Bảng 8 - Tạo và xóa VLAN 29

Bảng 9 - Lệnh cấu hình và kiểm tra private VLAN 30

Bảng 10 - Tạo VLAN Access-list 30

Bảng 11 - Cấu hình voice VLAN 31

Bảng 12 - Lệnh cấu hình VTP prunning 33

Bảng 13 - Trạng thái của STP 36

Bảng 14 - Lệnh cấu hình và kiểm tra STP 36

Bảng 15 - Lệnh cấu hình LACP 39

Bảng 16 - Tạo cổng etherchannel 40

Bảng 17 - Các lệnh để kiểm tra cấu hình etherchannel 40

Bảng 18 - So sánh MPLS VPN và IPSec VPN truyền thống 71

Bảng 19 - Hoạch định IP 92

Bảng 20 - Lệnh cấu hình VLAN 94

Bảng 21 - Lệnh cấu hình Trunking 94

Bảng 22 - Lệnh cấu hình VTP 95

Bảng 23 - Cấu hình GLBP trên SW1 - SW2 96

Bảng 24 - Cấu hình GLBP trên SG1 - SG2 98

Bảng 25 - Định tuyến RIPv2 trên P, PE1, PE2 98

Bảng 26 - Tạo VRF tren PE1, PE2 99

Bảng 27 - Định tuyến BGP giữa PE1, PE2 100

Trang 9

Bảng 28 - Định tuyến EIGRP trên PE1, PE2 với Router khách hàng 101 Bảng 29 - Định tuyến EIGRP giữa SG1, SG2, BD với các PE 102

Trang 10

L

Trang 11

LAN Local Area Network

M

N

O

P

UDP User Datagram Protocol

Trang 12

W

Bảng 1 - Thuật ngữ viết tắt

Trang 13

MỤC LỤC

LỜI CẢM ƠN 1

LỜI GIỚI THIỆU 2

NHẬN XÉT CỦA DOANH NGHIỆP 3

NHẬN XÉT CỦA GIẢNG VIÊN HƯỚNG DẪN 4

MỤC LỤC HÌNH 5

MỤC LỤC BẢNG 8

THUẬT NGỮ VIẾT TẮT 10

MỤC LỤC 13

ĐỒ ÁN TỐT NGHIỆP 17

I.GIỚI THIỆU TỔNG QUAN VỀ ĐỀ TÀI 17

1.Yêu cầu và trọng tâm của đề tài 17

2.Mô hình tổng quát của doanh nghiệp 18

II.GIỚI THIỆU CÁC GIAO THỨC ĐỊNH TUYẾN VÀ CÔNG NGHỆ CHUYỂN MẠCH 20 1.Routing 20

 Khái niệm 20

 Static routing 20

 Dynamic routing 21

2.Virtual Local Area Network 27

 Nguyên tắc hoạt động 27

 Ưu điểm của VLAN 28

 Các loại VLAN 28

3.VLAN Trunking Protocol 31

a Khái niệm 31

b Hoạt động của VTP 31

c VTP Prunning 32

4.Spanning Tree 33

 Giới thiệu 33

 Hoạt động của Spanning Tree 34

 Các trạng thái của Spanning Tree 36

 Cấu hình Spanning Tree 36

5.EtherChannel 37

a Khái niệm 37

b Các giao thức trong Etherchannel 38

c Cấu hình Etherchannel 39

Trang 14

6.Access Control List (ACL) - Vlan Access List 40

 Khái niệm Access Control List 40

 Hoạt động của ACL 40

 Các loại ACL 41

 VLAN Access Control List (VACLs) 41

III.MULTILAYER SWITCH 42

1.Giới thiệu 42

2.Cơ bản về MLS 42

 Các khái niệm 42

 Cơ chế 43

 Ưu và nhược điểm của MLS 43

3.Cơ bản về CEF 43

 Hoạt động 43

IV.GIỚI THIỆU CÔNG NGHỆ HIGH AVAILABILITY (HA) 44

1.Khái niệm 44

2.Host Standby Redundancy Protocol 44

3.Virtual Router Redundancy Protocol 50

4.Gateway Load Balancing Protocol 51

 Active Virtual Gateway – AVG 52

 Active Virtual Forwarder – AVF 53

 GLBP Virtual MAC Address Assignment 54

 GLBP Priority 54

 GLBP Weighting and Tracking 55

 GLBP Load Balancing 56

 GLBP Configuration 56

V.VIRTUAL PRIVATE NETWORK 57

1.Khái niệm 57

2.Các loại VPN 57

3.Bảo mật trong VPN 59

4.Các giao thức đường hầm VPN 60

5.Ưu và khuyết điểm của VPN 60

VI.MULTIPROTOCOL LABEL SWITCHING - VIRTUAL PRIVATE NETWORK (MPLS-VPN)62 1.Khái niệm 62

Trang 15

2.Lợi ích của MPLS 62

3.Đặc điểm mạng MPLS 62

4.Cấu trúc MPLS 62

5.Cấu trúc nhãn 63

6.Quá trình gán nhãn cho gói tin 65

7.Thành phần trong cấu trúc MPLS VPN 67

8.Thông tin định tuyến qua môi trường MPLS – VPN 70

9.So sánh MPLS VPN và IPSec VPN truyền thống 70

 IPSec VPN 72

 MPLS VPN 73

VII.WINDOWS SERVER 2003 VÀ ACTIVE DIRECTORY (AD) 74

1.Giới thiệu Active Directory (hệ thống Domain cho doanh nghiệp) 74

2.Một số khái niệm cơ bản về Directory Services 75

3.Chức năng của Directory Services 75

4.Các thành phần trong Directory Services 75

5.Kiến trúc Active Directory 76

VIII.CÁC ỨNG DỤNG MẠNG 82

1.Dịch vụ DHCP 82

2.Dịch vụ DNS 84

3.Dịch vụ Web, FTP 87

 Web Server 87

 FTP Server 89

IX.TRIỂN KHAI HỆ THỐNG 91

1.Hoạch định IP 91

2.Mô hình triển khai 93

3.Cấu hình Vlan, Trunking 94

4.Cấu hình MPLS-VPN 98

5.Dựng Domain, DHCP, DNS server 103

X.KẾT LUẬN 113

1.Những việc đã thực hiện 113

2.Những việc chưa thực hiện 113

3.Hướng phát triển đề tài 113

4.Ưu điểm 113

5.Nhược điểm 113

6.Tính khả thi và phạm vi cũng như đối tượng áp dụng 113

XI.TÀI LIỆU THAM KHẢO 114

Trang 17

ĐỒ ÁN TỐT NGHIỆP

KHAI DỊCH VỤ CHO DOANH NGHIỆP

I GIỚI THIỆU TỔNG QUAN VỀ ĐỀ TÀI

1 Yêu cầu và trọng tâm của đề tài

Xây dựng hạ tầng mạng cho công ty Hoàng Liêm đảm bảo tính sẵn sàng, dự phòng cao vàcân bằng tải cho hệ thống

Yêu cầu triển khai cho công ty Hoàng Liêm gồm:

 Trụ sở chính đặt tại Sài Gòn với qui mô 300 nhân viên, gồm 5 phòng ban:

 Phòng nhân sự có 50 nhân viên

 Phòng kế toán có 50 nhân viên

 Phòng kinh doanh có 120 nhân viên

 Phòng kỹ thuật có 20 nhân viên

 Phòng tiếp thị có 60 nhân viên

 Chi nhánh đặt tại Bình Dương với qui mô 100 nhân viên, gồm có 5 phòng ban:

 Phòng nhân sự có 20 nhân viên

 Phòng kế toán có 20 nhân viên

 Phòng kinh doanh có 30 nhân viên

 Phòng kỹ thuật có 10 nhân viên

 Phòng tiếp thị có 20 nhân viên

Để đáp ứng những nhu cầu của công ty Hoàng Liêm, ta cấu hình, triển khai một số dịch vụ:

 Triển khai hệ thống định tuyến bằng giao thức RIPv2

 Triển khai VLAN chia phòng ban

 Triển khai GLBP tăng tính sẵn sàng và cân bằng tải cho hạ tầng mạng

 Triển khai hệ thống Primary Domain Controller trên chi nhánh Sài Gòn và AdditionalDomain Controller trên chi nhánh Bình Dương

 Triển khai dịch vụ Web server, DNS server, DHCP server, FTP server nội bộ

 Triển khai IOS Firewall tăng tính bảo mật cho công ty

Để đáp ứng những nhu cầu kết nối giữa 2 site Sài Gòn và Bình Dương, ta triển khai dịch vụMPLS-VPN

2 Mô hình tổng quát của doanh nghiệp

Trang 18

Hình 1 - Mô hình mạng chi nhánh Bình Dương

Trang 19

Hình 2 - Mô hình mạng trụ sở chính Sài Gòn

Trang 20

Hình 3 - Mô hình kết nối 2 site

II GIỚI THIỆU CÁC GIAO THỨC ĐỊNH TUYẾN VÀ CÔNG NGHỆ CHUYỂN

• Static routing

- Nhà quản trị cấu hình con đường tĩnh

- Router sẽ đưa con đường vào trong bảng định tuyến

- Con đường định tuyến tĩnh sẽ được đưa vào sử dụng

- Cú pháp:

Router(config)#ip route {destination network}

{subnet mask} {nexthop ip address | outgoing

interface} <administrative distance>

Administrative distance (AD) là một tham số tùy chọn, chỉ ra độ tin cậy của một conđường Con đường có giá trị càng thấp thì

Trang 21

càng được tin cậy Giá trị AD mặc định của tuyến đường tĩnh là 1.

Bảng 2 - Cú pháp tạo static routing

 Default route

- Đường mặc định là đường mà Router sẽ sử dụng trong trừơng hợp routerkhông tìm thấy đường đi nào phù hợp trong bảng định tuyến để tới đích củagói dữ liệu

- Chúng ta thường cấu hình đường mặc định cho đường ra internet củaRouter vì Router không cần phải lưu thông tin định tuyến tới từng mạng trêninternet

- Cú pháp:

Router(config)# ip route 0.0.0.0 0.0.0.0

{nexthop ip address | outgoing interface}

Default route được sử dụng để gửi các packet đến các mạng đích mà không có trong bảng định tuyến Thường được sử dụng trên các mạng ở dạng stub network(mạng chỉ có một con đường để đi ra bênngoài)

Router#show running-config

Bảng 3 - Lệnh tạo và kiểm tra default route

• Dynamic routing

Routing Protocol là ngôn ngữ giao tiếp giữa các router Một giao thức địnhtuyến cho phép các router chia sẻ thông tin về các mạng Router sử dụng các thôngtin này để xây dựng và duy trì bảng định tuyến của mình

 Các loại giao thức định tuyến:

 Distance Vector:

RIP, IGRP Hoạt động theo nguyên tắt hàng xóm, nghĩa là mỗi router sẽ gửibảng routing-table của chính mình cho tất cả các router được nối trực tiếp với mình.Các router đó so sánh với bảng routing-table mà mình hiện có và kiểm tra xem routecủa mình và route mới nhận được, route nào tốt hơn sẽ được cập nhất Các routing-update sẽ được gởi theo định kỳ (30 giây với RIP , 60 giây đối với RIP-novell , 90 giâyđối với IGRP) Do đó, khi có sự thay đổi trong mạng, các router sẽ biết được trạng tháicủa các đoạn mạng

- Ưu điểm:

Trang 22

Dễ cấu hình, router không phải xử lý nhiều.

 Routing Information Protocol

 Enhanced Interior Gateway Routing Protocol

 Open Shortest Path First

 Routing Information Protocol :

 Một số tính chất:

- Giao thức định tuyến Distance Vector

- Sử dụng hop-count làm metric Maximum hop-count là 15

- Administrative distance là 120

- Hoạt động theo kiểu tin đồn

- Gởi update định kỳ sau 30 giây Thông tin gởi đi là toàn bộ bảng địnhtuyến

- RIP v1 và RIP v2

Trang 23

- RIP v1: classful không gửi subnetmask

- RIPv2: classless hỗ trợ VLSM có kèm theo subnetmask, authentication

Router(config)#router rip kích hoạt giao thức định tuyến RIP trên router

Show protocols Xem các protocols nào được cấu hình trên các

interface

Bảng 4 - Lệnh tạo và kiểm tra RIP

 Interior Gateway Routing Protocol :

- Giao thức định tuyến Distance Vector

- Sử dụng kết hợp giữa băng thông và độ trễ làm metric

- Administrative distance là 100

- Hoạt động theo kiểu tin đồn

- Gởi update định kỳ sau 90 giây Thông tin gởi đi là toàn bộ bảng địnhtuyến

- Classful không gửi subnetmask

- Là giao thức riêng của Cisco

Router(config)#router igrp <AS>

Kích hoạt giao thức định tuyến RIP trên

Trang 24

No debug ip igrp events

Tắt chế độ debugundebug all

interface

Debug ip igrp transactions Xem các sự IGRP events được xử lý trên

router

Bảng 5 - Lệnh tạo và kiểm tra IGRP

Autonomous System: là một mạng được quản trị chung với các chính sách địnhtuyến chung Giao thức IGRP sử dụng AS để tạo các nhóm router cùng chia sẻ thôngtin tìm đường với nhau

Trang 25

 Enhanced Interior Gateway Routing Protocol :

- Giao thức độc quyền của Cisco

- Giao thức định tuyến classless

- Giao thức distance-vector

- Chỉ gởi update khi có sự thay đổi trên mạng

- Hỗ trợ các giao thức IP, IPX và AppleTalk

- Hỗ trợ VLSM/CIDR

- Cho phép thực hiện quá trình summarization tại biên mạng

- Lựa chọn đường đi tốt nhất thông qua giải thuật DUAL

- Xây dựng và duy trì các bảng neighbor table, topology table và routingtable

- Metric được tính dựa trên các yếu tố: bandwidth, delay, load, reliability

- Cho phép cân bằng tải trên các con đường có giá thành không bằngnhau

Router(config-router)# network <network number>

Kích hoạt các interface sẽ gởi và nhận update, cũng như khai báo các network cần quảng bá

biên mạng

show ip route

Kiểm trả hoạt động

show ip route eigrp

show ip eigrp neighbors

Bảng 6 - Lệnh tạo và kiểm EiGRP

 Open Shortest Path First :

- Chuẩn mở

Trang 26

- Giao thức link-state.

- Chỉ hỗ trợ giao thức IP

- Gom nhóm các network và router vào trong từng area Luôn tồn tại area

0 (backbone area) Tất cả các area khác (nếu có) đều phải nối vào area0

- Sử dụng giải thuật Dijkstra để xây dựng cây đường đi ngắn nhất đến cácđích

- Cho phép cân bằng tải trên các con đường bằng có giá thành bằng nhau

- Hỗ trợ VLSM/CIDR

- Chỉ gởi update khi có sự thay đổi trên mạng

- Khắc phục vấn đề liên quan đến discontiguous network

- Xây dựng và duy trì các neighbor database, topology database

Router#show ip ospf database

Router#show ip ospf interface

Router#show ip ospf neighbor

Bảng 7 - Lệnh tạo và kiểm tra OSPF

2 Virtual Local Area Network

Trang 27

• Khái niệm

VLAN là mạng LAN ảo VLAN là một miền quảng bá được tạo bởi Switch khôngphụ thuộc vào vị trí vật lý Nhưng thay đổi cấu hình của VLAN điều được thực hiện trênphần mền không cần thay đổi cáp và các thiết bị vật lý

VLAN được nhóm theo một nhóm logic về chức năng và gói dữ liệu chỉ đượcchuyển mạch trong cùng một VLAN đảm bảo tính an toàn bảo mật và dễ quản lý hơn

Hình 4 - VLAN

• Nguyên tắc hoạt động

Mỗi cổng trên switch có thể gán cho một VLAN khác nhau Các cổng nằm trongcùng một VLAN sẽ chia sẻ gói quảng bá với nhau Các cổng không nằm trong cùngVLAN sẽ không chia sẻ gói quảng bá với nhau Nhờ đó mạng LAN hoạt động hiệu quảhơn

Thành viên của VLAN được xác định theo cổng của switch, mặc định tất cả cáccổng trên switch đều thuộc VLAN mặc định VLAN 1

Xác định thành viên VLAN theo cổng tức là cổng đã được gán vào VLAN nào thìthiết bị kết nối vào cổng đó thuộc VLAN đó, không phục thuộc vào thiết bị kết nối làthiết bị gì, địa chỉ bao nhiêu Với cách chia VLAN theo cổng như vậy, tất cả các người

Trang 28

dùng kết nối vào cùng một cổng sẽ nằm trong cùng một VLAN Cách chia VLAN nàygiúp việc quản lý đơn giản hơn vì không cần tìm trong cơ sở dữ liệu phức tạp để xácđịnh thành viên trong mỗi VLAN.

Có thể chia VLAN theo địa chỉ MAC, logic hoặc theo loại giao thức Không cầnquản lý nhiều ở các tủ nối dây nữa vì thiết bị kết nối vào mạng thuộc VLAN nào là tùytheo địa chỉ của thiết bị đó được gán vào VLAN đó Có khả năng thông báo cho quản trịmạng khi có một người dùng đầu cuối lạ, không có trong cơ sở dữ liệu kết nối vàomạng

• Ưu điểm của VLAN

Cho phép người quản trị mạng tổ chức mạng theo logic chứ không theo vật lýnữa Nhờ đó công việc quản lý tập trung và dể dàng hơn

Có tính linh động cao dể dàng cho việc thay đổi các thiết bị trong LAN

Kiểm soát giao thông mạng dễ dàng

Gia tăng bảo mật, các VLAN khác nhau không truy cập được vào nhau

Tiết kiệm băng thông của mạng, VLAN có thể chia nhỏ LAN thành các đoạn Khimột gói tin quảng bá, nó sẽ được truyền đi chỉ trong một VLAN duy nhất, không khôngtruyền đi ở các VLAN khác nên giảm lưu lượng quảng bá, tiết kiệm băng thông đườngtruyền

• Các loại VLAN VLAN dựa trên cổng- port based VLAN: mỗi cổng ethernet hoặc fast

ethernet được gắn với một VLAN xác định Do đó mỗi máy tính hay thiết bị host kết nốimột cổng của switch đều phụ thuộc vào VLAN đó Đây là cách cấu hình VLAN đơn giảnvà phổ biến nhất

VLAN theo địa chỉ MAC- MAC address based VLAN: mỗi địa chỉ MAC được

gán tới một VLAN nhất định Cách cấu hình này rất phức tạp và khó khăn trong việcquản lý

VLAN theo giao thức- protocol based VLAN: tương tự với VLAN dựa trên

địa chỉ MAC nhưng sử dụng địa chỉ IP thay cho địa chỉ MAC Cách cấu hình này khôngthông dụng

Switch(config)#VLAN <number VLAN>

Switch(config)#no VLAN <number VLAN> Xóa VLAN đã tạo

Bảng 8 - Tạo và xóa VLAN

 Private VLAN:

- Private VLAN cho phép một switch tách biệt các host như thể các host này trên cácVLAN khác nhau trong khi vẫn dùng duy nhất một IP subnet

Trang 29

- Một private VLAN bao gồm hai loại VLAN chính: primary VLAN và một hoặc nhiềusecondary VLANs.

- Các port trong primary VLAN được gọi là promicuous port

- Secondary VLAN có thể bao gồm isolated hoặc community VLAN

- Các host thuộc isolated VLAN chỉ truyền thông được với host đang thuộc primaryVLAN

- Các host thuộc community VLAN chỉ truyền thông được với các host nằm trongcùng community VLANs và các host ở primary VLAN

- Private VLAN chỉ triển khai được trên các switch 3560 hoặc trở lên chứ không triểnkhai được trên switch 2960

Sw1(config-VLAN)# private-VLAN isolated Định nghĩa VLAN 100 là isolated VLAN

Sw1(config-VLAN)# private-VLAN association add

Sw1(config-if)#switch mode private VLAN host Chọn cổng f0/1 là host port

Sw1(config-if)#switchport private-VLAN

- Khái niệm Access-list không còn bó hẹp trong ý nghĩa dùng để chặn traffic, haychặn các IP Access-list được dùng để lọc , phân loại traffic, địa chỉ IP, sau đó đốivới từng loại traffic hay IP đã phân loại, người dùng có thể có chính sách đối xửkhác nhau

Trang 30

- Ví dụ: không cho phép range IP 192.168.1.1 - 192 168.1.100 telnet đến192.168.254.

Switch(config)#IP access-list extended blocktelnet Khới tạo ACL

Switch(config-ext-nACL)#permit TCP 192.168.1.1 0.0.0.100

Switch(config-access-map)#match IP address blocktelnet Match ACL vào VLAN access

map

Bảng 10 - Tạo VLAN Access-list

 Voice VLAN:

- Voice VLAN là VLAN giành cho lưu lượng thoại

- Voice VLAN cho phép các port trên switch có khả năng truyền lưu lượng Voice IP từmột IP phone

Switch(config)#interface fasethernet

Switch(config-if)#switchport voice VLAN

Bảng 11 - Cấu hình voice VLAN

3 VLAN Trunking Protocol

a Khái niệm

VTP là giao thức hoạt động ở Layer 2 trong mô hình OSI VTP giúp cho việc cấuhình VLAN luôn đồng nhất khi thêm, xóa, sửa thông tin về VLAN trong hệ thống mạng

Trang 31

Một trong những thành phần quan trọng của VTP advertisement là thamsố revision- number.

Mỗi lần VTP server điều chỉnh thông tin VLAN, nó tăng revision- number lên 1,rồi sau đó VTP server mới gửi VTP advertisement đi

Khi một switch nhận một VTP advertisement với evision- number lớn hơn, nó sẽcập nhật cấu hình VLAN

VTP hoạt động ở 3 chế độ: server, client, transparent

Switch ở chế độ VTP server có thể tạo, chỉnh sửa và xóa VLAN VTP server lưu cấu hình VLAN trong NVRAM của nó VTP Server gửi thông điệp ra tất cả các port trunkcủa nó

Switch ở chế độ VTP client không tạo, sửa và xóa thông tin VLAN VTP Client có

Hình 5 - Hoạt động của VTP

Trang 32

chức năng đáp ứng theo mọi sự thay đổi của VLAN từ server và gửi thông điệp ra tất cả các port trunk của nó VTP Client không lưu cấu hình trong NVRAM mà chỉ đặt trên RAM vì nó có thể học cấu hình VLAN từ server Do đó, chế độ client rất hữu dụng khi switch không có đủ bộ nhớ để lưu một lượng lớn thông tin VLAN.

Switch ở chế độ transparent sẽ nhận và chuyển tiếp các VTP update do cácswitch khác gửi đến mà không quan tâm đến nội dung của các thông điệp này.Nếu transparent switch nhận được thông tin cập nhật VTP nó cũng không cập nhật vào

cơ sở dữ liệu của nó, đồng thời nếu cấu hình VLAN của nó có gì thay đổi, nó cũngkhông gửi thông tin cập nhật cho các switch khác Trên transparent switch chỉ có mộtviệc duy nhất là chuyển tiếp thông điệp VTP Switch hoạt động ở transparent- mode chỉcó thể tạo ra các VLAN cục bộ Các VLAN này sẽ không được quảng bá đến các switchkhác

Ngầm định VTP prunning bị disable

Switch(config)# interface fastethernet 0/1 Chọn interface để thiết lập

Switch(config-if)#switchport trunk prunning

Switch#show interface fastethernet 0/1

Bảng 12 - Lệnh cấu hình VTP prunning

BrIDge priority được gán bởi người quản trị, ngầm định là 32768

Trang 33

BID càng thấp càng được ưu tiên.

Path cost là tham số để xác định đường đi đến rootbrIDge

Path cost là tổng path cost của các links giữa 2 switch

Path cost được switch sử dụng để xác định đường đi tốt nhất đến switch trrungtâm Path cost càng thấp thì đường đó càng tốt

Port ID cũng được dùng để xác định đường đi đến switch trung tâm Nó gồm 2phần:

- Port priority (6 bits): do người quản trị cấu hình, mặc định 128

- Port number (10 bits) là số định dạng của switch

Port ID càng thấp thì càng được ưu tiên

• Hoạt động của Spanning Tree

Hình 6 - Mô hình hoạt động của STP

 Gồm 3 bước:

 Bầu chọn root switch: Switch có brIDge-ID nhỏ nhất sẽ được bầu chọn.Thông thường, brIDgeID được hình thành gồm giá trị priority (2 bytes)và MAC của switch

Trang 34

 Xác định root port: là cổng trên những non-root switch có kết nối ngắnnhất về rootswitch.

 Xác định designated port trên từng segment: Khi có nhiều switch kết nốivào một segment, đây là cổng của switch chịu trách nhiệm đẩy traffic rakhỏi segment

 Bầu chọn root switch:

Chỉ một switch có thể là root của một cây spanning tree

Để tìm ra root, các switch phải bầu chọn

Từng switch sẽ bắt đầu hoạt động spanning tree của nó bằng cách tạo và gửi cácgói STP BPDU, trong đó thông báo chính nó là root Nếu một switch nghe một BPDUtốt hơn (tức là BPDU có brIDgeID nhỏ hơn), switch đó sẽ không khai báo nó là rootnữa

Thay vào đó, switch sẽ bắt đầu gửi ra các BPDU nhận được từ switch ứng cử viêntốt hơn

Cuối cùng, tất cả các switch ngoại trừ switch có brIDge ID tốt nhất sẽ ngừng gửiBPDU

Switch chiến thắng trong quá trình bầu cử trở thành root switch

Nếu người quản trị muốn chỉ định một switch làm rootbrIDge thì chỉ cần cấu hìnhbrIDge priority của switch đó nhỏ nhất trong mạng

Bầu chọn root port:

Sau khi root brIDge đã được bầu chọn, các switch còn lại cần phải xác định rootport

Root port là cổng gần root brIDge về mặt đường đi (cost) Tất cả các switch khôngphải là root brIDge phải bầu chọn root port

Switch sử dụng path cost để quyết định 1 cổng có phải là root port hay không

Port có path cost đến root brIDge nhỏ nhất sẽ chọn là root port

 Bầu chọn designated port:

Mỗi đoạn mạng (segment) sẽ cố 1 designated port

Một designated port là cổng mà từ đó gữi nhận lưu lượng từ root brIDge

Designated port được bầu chọn dựa trên path cost của nó đến root brigde

Trang 35

• Các trạng thái của Spanning Tree

Bảng 13 - Trạng thái của STP

• Cấu hình Spanning Tree

Switch(config)#spanning-tree VLAN

Switch(config)#sapnnig-tree VLAN VLAN_ID

Switch(config)# interface interface_ID Chọn interface

VLAN_ID port-priority priority

Cấu hình một priority cho cho cổng trên switch dùng trong cổng Access

Switch(config-if)#spanning tree cost cost Cấu hình cost cho cổng trên switch

Switch(config-if)#spanning tree VLAN

VLAN_ID cost cost

Cấu hình cost cho cổng trên switch dùng trong cổng Access

Switch(config-if)#spanning-tree VLAN

Show spanning-tree

Kiểm tra cấu hình STP trên switch

Show spanning-tree VLAN VLAN_ID brigde

Show spanning-tree VLAN VLAN_ID

Bảng 14 - Lệnh cấu hình và kiểm tra STP

Trang 36

EtherChannle còn cung cấp đặc tính dự phòng với vài kết nối vật lý Nếu một trongnhững kết nối vật lý bị hỏng, lưu lượng trên link đó sẽ được tự động chuyển sang kết nối kếcận Quá trình chuyển đổi xảy ra trong vài mili giây.

Việc phân phối tải qua các đường của một bundle (etherchannel) được thực hiện theothuật toán hashing Thuật toán này có thể sử dụng : Địa chỉ IP nguồn, đích; hoặc địa chỉMAC nguồn, đích, hoặc có thể sử dụng TCP/UDP cổng

Có hai giao thức được dùng để hình thành nên Etherchannel PaGP và LACP

b Các giao thức trong Etherchannel

Port Aggregation Protocol:

Các gói tin PAgP được trao đổi giữa các switch trên các port etherchannel Cácthông số của switch láng giềng được xác định (như khả năng của port) và sẽ được so

Trang 37

sánh với switch cục bộ Các port có cùng neighbor ID và khả năng hình thành nhóm sẽđược nhóm lại với nhau thành các kết nối etherchanel

PAgP hình thành nên etherchannel chỉ trên những port được cấu hình cùng staticVLAN hoặc là cùng loại trunking PAgP cũng thay đổi các thông số động củaetherchannel nếu một trong những port của bundle bị thay đổi Ví dụ nếu thông sốVLAN, speed, tốc độ duplex của một port trong một etherchannel bị thay đổi, PagP sẽthay đôi các thông số đó trong tất cả các port còn lại PAgP có thể được cấu hình ở chế

độ active (desirable) trong đó một switch chủ động yêu cầu switch đầu xa hình thànhnên etherchannel Khi switch hoạt động trong chế độ passive của PAgP, switch sẽ chỉbắt tay nếu switch đầu xa yêu cầu nó

 Link Aggregation Control Protocol - 802.1ad:

LACP cũng gửi các gói trên các port etherchannel của switch Tuy nhiên LACP cũnggán vai trò port đến các đầu cuối của etherchannel Các switch có độ ưu tiên thấp nhất

sẽ được phép ra quyết định về các port nào sẽ được tham gia vào etherchannel ở mộtthời điểm Các port được chọn lựa và trở thành active theo giá trị độ ưu tiên priority củanó, trong đó giá trị ưu tiên thấp sẽ có mức ưu tiên cao Một tập hợp 16 kết nối tiềmnăng có thể được chỉ ra cho một etherchannel Thông qua LACP, một switch sẽ chọn lựa

ra 8 port có độ ưu tiên thấp nhất như là các member active của etherchannel Các portcòn lại sẽ nằm trong trạng thái standby và sẽ được enable nếu một trong những kết nốiactive bị down Cũng giống như PAgP, LACP có thể được cấu hình trong mode active,trong đó một switch sẽ chủ động hỏi switch đằng xa bắt tay hình thành etherchannel.Chế độ passive thì switch chỉ chủ động hình thành etherchannel chỉ nếu switch đầu xakhởi tạo nó

c Cấu hình Etherchannel

 Cấu hình PAgP ethechannel

Switch(config-if)#channel-protocol pagp

Switch(config-if)#channel-group number mode {on | auto | desirable }

 ON: Ở mode này thì switch tự động enale etherchannel tuy nhiên nó lạikhông gởi hay nhận bất kỳ gói PAgP nào, do đó mà phải cấu hình on mode

ở hai đầu

 Auto: Switch sẽ tự động enable ethechannel nếu nó nhận được PAgP packet

Trang 38

 Desirable: Switch sẽ tự động cố gắng yêu cầu đầu kia chuyển kết nối sangthành Etherchannel.

 Cấu hình LACP - 802.1ad

Switch(config)#lacp system-priority

priority

Xác định system priority để xác định Switch nàolàm Switch điều khiển Ethechannel Hoặc nếu Priority bằng nhau thì Switch nào có điạ chỉ MAC nhỏ hơn sẽ được chọn

Switch(config-if)#channel-protocol lacp Chọn giao thức lacp

Switch(config-if)#channel-group number

Switch(config-if)#lacp port-priority

cổng nào là active

Bảng 15 - Lệnh cấu hình LACP

Khi các cổng được cấu hình như là thành viên của etherchannel, switch sẽ tự độngtạo ra các cổng etherchannel Interface này sẽ đại diện cho cả bundle

Switch(config)# interface type mod/num

Switch(config-if)# channel-protocol pagp

Switch(config-if)# channel-group number mode {on | {auto | desirable} [non-silent]}

Bảng 16 - Tạo cổng etherchannel

Trên tất cả các switch của Catalyst (2970, 3560, 4500 và 6500), ta có thể cấu hìnhđể chọn giao thức PAgP và LACP Các model cũ hơn như 2950 có thể chỉ hỗ trợ PAgP.Từng interface nằm trong etherchannel phải được cấu hình và gán cùng một nhóm duynhất (từ 1 đến 64)

Switch#show etherchannel 1 detail

Switch #show etherchannel summary

Switch # show pagp {group-id} neighbor

Switch # show pagp {group-id} countersSwitch # show pagp {group-id} internal

Switch # show lacp {group-id} neighbor

Switch # show lacp {group-id} couters

Trang 39

Switch # show lacp {group-id} internal

Bảng 17 - Các lệnh để kiểm tra cấu hình etherchannel

5 Access Control List (ACL) - Vlan Access List

• Khái niệm Access Control List

ACL là một danh sách các câu lệnh được áp đặt vào các cổng (interface) củarouter Danh sách này chỉ ra cho router biết loại packet nào được chấp nhận (allow) vàloại packet nào bị hủy bỏ (deny) Sự chấp nhận và huỷ bỏ này có thể dựa vào địa chỉnguồn, địa chỉ đích hoặc chỉ số port

• Hoạt động của ACL

ACL sẽ được thực hiện theo trình tự của các câu lệnh trong danh sách cấu hìnhkhi tạo access-list Nếu có một điều kiện được so khớp (matched) trong danh sách thìnó sẽ thực hiện, và các câu lệnh còn lại sẽ không được kiểm tra nữa.Trường hợp tất cảcác câu lệnh trong danh sách đều không khớp (unmatched) thì một câu lệnh mặc định

“deny any” được thực hiện Cuối access-list mặc định sẽ là lệnh loại bỏ tất cả (denyall) Vì vậy, trong access-list cần phải có ít nhất một câu lệnh permit

• Khi packet đi vào một interface, router sẽ kiểm tra xem có một ACL tronginbound interface hay không, nếu có packet sẽ được kiểm tra đối chiếu vớinhững điều kiện trong danh sách

• Nếu packet đó được cho phép (allow) nó sẽ tiếp tục được kiểm tra trong bảngrouting để quyết định chọn interface để đi đến đích

• Tiếp đó, router sẽ kiểm tra xem outbound interface có ACL hay không Nếukhông thì packet có thể sẽ được gửi tới mạng đích Nếu có ACL ở outboundinterface, nó sẽ kiểm tra đối chiếu với những điều kiện trong danh sách ACL đó

• Các loại ACL

Có 2 loại Access lists là: Standard Access lists và Extended Access lists

- Standard (ACLs): Lọc (Filter) địa chỉ ip nguồn (Source) vào trong mạng – đặtgần đích (Destination)

- Extended (ACLs): Lọc địa chỉ ip nguồn và đích của 1 gói tin (packet), giaothức tầng “Network layer header” như TCP, UDP, ICMP…, và port numbers trongtầng “Transport layer header” Nên đặt gần nguồn (source)

• VLAN Access Control List (VACLs)

Vlan Access-list (VACLs) là một trong những phương pháp nâng cao tính bảomật trong mạng Cho phép kiểm soát lưu lượng chạy trên Switch Khi cấu hìnhVlan Access-list, người dùng có thể phân loại lưu lượng:ip, tcp, www…Tuỳ vàochính sách của nhà quả trị mạng có thể lọc bỏ hoạc cho các loại thông tin đó lưuthông trong mạng

Trang 40

Vlan Access-list có thể áp dụng trong phạm vi Vlan, hoặc giữa các Vlan(intervlan)

Vlan Access-list có các dặc tính như Router Access-list(RACLs), có thể loại bỏ,cho qua, hay tái định hướng (redirection) các gói tin

Khi muốn lọc giao thông di chuyển từ 1 VLAN này tới VLAN khác, chúng ta sẽsử dụng Acess Control List, chúng ta sẽ sử dụng dựa trên định tuyến một danhsách điều khiển truy cập ( Router base ACL) hoặc RACL

Nhưng cái mà chúng ta muốn là lọc gói tin trong 1 VLAN và định tuyến danhsách điều khiển truy cập không giúp được chúng ta Lúc này chúng ta sẽ sửdụng VLAN Access Control List

III MULTILAYER SWITCH

1 Giới thiệu

Multilayer Switching là một thuật ngữ để chỉ công nghệ sử dụng phần cứng đểforwarding dựa trên thông tin của nhiều layer trên mô hình OSI

Theo Cisco, hoạt động của các Multilayer Switch gồm 2 loại:

- Route caching: Đây là thế hệ đầu tiên, còn được gọi là MLS, Netflow LANswitching, flow-based hay demand-based switching

- Topology-based: Đây là thế hệ thứ hai, còn được biết đến với cái tên CiscoExpress Forwarding (CEF)

Như mô hình OSI hay TCP/IP, dữ liệu trước khi truyền đi phải được đóng gói(encapsulation) khi đi qua từng layer và khi nhận dữ liệu phải được gỡ bỏ (decapsulation)dần Với multilayer switch, giống như switch thông thường, dữ liệu nhận vào vẫn là frame.Nhưng để ngắn gọn và phân biệt, các dữ liệu cần đến chức năng routing ta gọi nó là packet,nếu không thì gọi là frame

6 Cơ bản về MLS

• Các khái niệm

Đối với MLS, thiết bị được yêu cầu có hai thành phần là Route Processor (RP) và SwitchEngine (SE) Ngoài ra, hai thành phần này dùng Multilayer Switching Protocol (MLSP) để triểnkhai hoạt động

Hoạt động của MLS dựa vào các bảng:

 CAM (Content-Addressable Memory) hay còn gọi là bảng MAC, đây là một thànhphần cơ bản của switch Bảng cấu trúc thành từng dòng, các thông tin trong 1dòng gồm: port, địa chỉ MAC tương ứng, VLAN tương ứng

 TCAM (Ternary Content-Addressable Memory) cũng là một thành phần cơ bản quantrọng của switch Từ “ternary” mang nghĩa là 3 trạng thái: 0, 1 và X Đây là nơi cácaccess control list (ACLs) đặt vào, có thể là security ACLs hoặc QoS ACLs Mộtswitch có thể chứa nhiều TCAM

Định dạng
Số trang	105
Dung lượng	3,34 MB