MỤC LỤC LỜI NÓI ĐẦU CHƯƠNG I: TỔNG QUAN VỀ BẢO TRÌ HỆ THỐNG MẠNG 1.1 Giới thiệu Troubleshoot hệ thống mạng 1.2 Các kỹ thuật Troubleshoot 11 1.3 Lên kế hoạch phương pháp triển khai kỹ thuật Troubleshoot 19 1.4 Tích hợp Troubleshoot vào quy trình bảo trì hệ thống mạng 22 1.5 Ứng dụng tính Cisco IOS việc phát cố hệ thống mạng 24 1.5.1 Các cơng cụ ứng dụng q trình bảo trì troubleshoot 24 1.5.2 Chẩn đoán phần cứng .29 1.5.3 Cơng cụ đặc biệt việc bảo trì troubleshoot .32 CHƯƠNG II: PHƯƠNG PHÁP TROUBLESHOOT CISCO CATALYST SWITCH 36 2.1 Kỹ thuật Troubleshoot VLAN .36 2.2 Kỹ thuật Troubleshoot Spanning-Tree-Protocol 40 2.2.1 Nội dung thực Trouble STP 40 2.2.2 Trouble Ticket: STP .44 2.3 Kỹ thuật Troubleshoot Intervlan Routing 49 2.4 Kỹ thuật Troubleshoot hiệu thiết bị chuyển mạch Switch 52 CHƯƠNG III: PHƯƠNG PHÁP TROUBLESHOOT GIAO THỨC ĐỊNH TUYẾN 55 3.1 Kỹ thuật Troubleshoot RIPng .55 3.1.1 Nội dung thực 55 3.1.2 Trouble Ticket: IPv6 and RIPng 56 3.2 Kỹ thuật Troubleshoot EIGRP 67 3.2.1 Cấu trúc liệu 68 3.2.2 Tiến trình cập nhật thơng tin định tuyến 69 3.2.3 Câu lệnh EIGRP 69 3.2.4 Troubleshoot EIGRP 70 3.2.5 Trouble Ticket: EIGRP 72 3.3 Kỹ thuật Troubleshoot OSPF 77 3.3.1 Cấu trúc liệu 77 3.3.2 Bảng sở liệu trạng thái đường link (LSDB) .78 3.3.3 Điều kiện yêu cầu để trở thành láng giềng 0SPF 78 3.3.4 Các bước để thiết lập quan hệ 79 3.3.5 Định tuyến liên vùng OSPF 79 3.3.6 Câu lệnh OSPF 80 3.3.7 Troubleshoot OSPF 81 3.3.8 Trouble Ticket: OSPF 84 3.4 Kỹ thuật Troubleshoot Redistribute 99 3.4.1 Redistribute bảng định tuyến 100 3.4.2 Seed metric 101 3.4.3 Troubleshoot redistribute 101 3.4.4 Các câu lệnh để kiểm tra 102 3.4.5 Trouble Ticket: Route Redistribution with EIGRP and OSPF 104 3.5 Kỹ thuật Troubleshoot hiệu suất thiết bị định tuyến Router 114 3.5.1 Router hoạt động chậm 114 3.5.2 Lỗi phổ biến việc tải CPU 114 3.5.3 Tìm hiểu tính chuyển mạch router .116 3.5.4 Troubleshoot lỗi nhớ router 118 3.5.5 Vấn đề nhớ router .119 CHƯƠNG IV: PHƯƠNG PHÁP TROUBLESHOOT CÁC DỊCH VỤ MẠNG IP 121 4.1 Kỹ thuật Troubleshoot NAT 121 4.1.1 Một số vấn đề gỡ lỗi NAT 123 4.1.2 Kỹ thuật gỡ lỗi NAT 124 4.1.3 Trouble Ticket: NAT 126 4.2 Kỹ thuật Troubleshoot DHCP 129 4.3 Kỹ thuật troubleshoot IP Access List 133 CHƯƠNG V: PHƯƠNG PHÁP TROUBLESHOOT MẠNG CĨ KÍCH THƯỚC LỚN 139 5.1 Kỹ thuật troubleshoot chi nhánh xa 139 5.1.1 Kỹ thuật troubleshoot vấn đề mạng VPN .141 5.1.2 Các lỗi thường gặp kỹ thuật troubleshoot mạng VPN 142 5.2 Kỹ thuật troubleshoot mạng phức tạp 147 TÀI LIỆU THAM KHẢO 149 LỜI NĨI ĐẦU Mơn học đời nhằm cung cấp kiến thức kỹ cần thiết để người học lên kế hoạch thực quy trình bảo trì cho mạng định tuyến chuyển mạch phức tạp Mục tiêu môn học giúp sinh viên nắm phương pháp lên quy trình bảo trì cho hệ thống mạng doanh nghiệp phức tạp như: • Nắm phương pháp chung việc xử lý cố xảy mạng doanh nghiệp • Sử dụng tính Cisco IOS để thực tác vụ bảo trì xử lý cố Nội dung mơn học bao gồm tiêu chí sau:  Phương pháp xây dựng quy trình bảo trì hệ thống mạng  Sử dụng tính Cisco IOS để phục vụ mục đích bảo trì  Phương pháp chung việc xử lý cố  Sử dụng tính Cisco IOS để phục vụ cho xử lý cố  Xử lý cố thường gặp với kỹ thuật định tuyến: EIGRP, OSPF, BGP,…  Xử lý cố thường gặp với kỹ thuật chuyển mạch: VLAN, Trunking, VTP, STP,…  Xử lý cố thường gặp với kỹ thuật phòng thủ bảo mật Router Switch ! CHƯƠNG I: TỔNG QUAN VỀ BẢO TRÌ HỆ THỐNG MẠNG 1.1 Giới thiệu Troubleshoot hệ thống mạng Ngày nay, mạng Internet thiếu hoạt động hàng ngày công ty Trong công ty, đặc biệt công ty lớn vai trò hệ thống mạng máy tính hạ tầng cơng nghệ thơng tin quan trọng người ta có yêu cầu rõ ràng với hệ thống mạng, hệ thống hạ tầng mạng là: mạng công ty phải luôn vận hành, chạy 24/24 với chất lượng ổn định đảm bảo Khả khắc phục lỗi cao xảy cố khắc phục cách nhanh chóng, tính chất liên tục sẵn sàng người ta gọi High Availability (HA – độ sẵn sàng cao) Thời gian rớt mạng ngắn tốt, thời gian rớt mạng nhiều ảnh hưởng nghiêm trọng đến hoạt động sản xuất kinh doanh doanh nghiệp hay công ty Hình 1.1 Biểu đồ mẫu cho việc kiểm thử hệ thống mạng có cấu trúc Do đó, tính sẵn sàng cao thời gian rớt mạng hệ thống thấp lúc vai trò cơng việc bảo trì, bảo dưỡng hệ thống vơ quan trọng Cơng việc bảo trì, bảo dưỡng hệ thống sử dụng hàng loạt công việc, kỹ thuật tiến hành theo lịch biểu tiến hành cách đột xuất mà hệ thống mạng hoạt động cách trơn tru suôn sẻ, giảm tối thiểu thời gian rớt mạng hệ thống Bảo trì nào? Chúng ta (những người - troubleshooter) phải bắt đầu xây dựng quy trình phương pháp bảo trì hệ thống mạng, câu hỏi khó trả lời Để xây dựng hệ thống quy trình bảo trì phải làm nhiều việc, từ việc đưa quy trình thủ tục, chuẩn bị công cụ, phần mềm, phần cứng, đội ngũ nhân lực để bảo trì Vậy đâu? Khi xây dựng quy trình thủ tục phải thật cẩn thận kỹ lưỡng nhằm để đảm bảo tính High Availability, kiểm sốt chi phí Một cách đơn giản, ta hiểu: kiểm thử (kiểm tra) hệ thống mạng trình mà người giám sát, quản trị kỹ sư hệ thống sử dụng phương pháp luận, công cụ hỗ trợ, quy trình xử lý để tìm lỗi hệ thống mạng, đánh giá hiệu suất mạng thời Khi làm cơng việc bảo trì cho mạng doanh nghiệp phải xác định bảo trì gồm cơng việc gì, đưa vào hệ thống bảo trì gồm tác vụ sau: • Cài đặt bảo trì hệ thống • Lắp đặt thêm phần mềm, thiết bị lưu • Sao lưu hệ thống • Kiểm tra hệ thống có bị lỗ hổng bảo mật hay khơng? • Thường xuyên cập nhật vá lỗi • Hỗ trợ người dùng khắc phục lỗi • Phục hồi sau thảm họa như: cháy phòng máy, chập mạch điện • Những cơng việc liên quan đến hiệu suất mạng liên quan đến cơng việc bảo trì: - Lên kế hoạch cho hệ thống - Giám sát hiệu suất mạng như: công cụ, phần mềm để xem hệ thống mạng chạy hết cơng suất hay khơng, có đường truyền không sử dụng hay không … - Điều chỉnh hiệu suất như: đề xuất cấp thêm đường truyền, mua thêm thiết bị • Lập tài liệu, ghi chép lại tất thông số, kiện diễn hệ thống • Quản lý mức độ dịch vụ mà nhà cung cấp dịch vụ (ISP) cam kết đảm bảo cho Có phương pháp bảo trì mạng: • Interrupt-driven: khắc phục cố mà xảy ra, nói cách khác ta khơng làm hết, cố cố thi ta khắc phục cố đó, mà khơng cần phải lên quy trình • Structured: lên kế hoạch tác vụ định nghĩa thủ tục, có nghĩa vấn đề bảo trì, bảo dưỡng; phải tuân theo quy trình, thủ tục tức ta phải tiến hành theo ngày nào, bước Do phương pháp Interrupt-driven khắc phục có vấn đề nên cơng việc trì ổn định lâu dài khơng quan tâm, khơng có việc đo đạc xem mạng có vấn đề hay không Ta với hiệu suất có tốt hay khơng có phải sửa chữa khơng Như vậy, để giảm thiểu tính đột xuất, ta triển khai theo phương pháp Structured Đặc điểm, lợi ích phương pháp Structured:  Khoảng thời gian rớt mạng hệ thống nhiều ta lên kế hoạch, dự trù tình huống, thực kiểm tra hệ thống thường xuyên, dự kiến đến mức độ xảy lỗi ta sửa chữa từ đầu  Tiết kiệm chi phí  Hoạch định tiến trình bảo trì tốt  Nâng cao mức độ bảo mật hệ thống Có nhiều phương pháp luận việc bảo trì hệ thống mạng tổ chức quốc tế xây dựng như: • IT Infrastructure Library (ITIL): framework tốt cho hoạt động quản lý dịch vụ IT, giúp cung cấp dịch vụ IT chất lượng cao hoạch định cho yêu câu, tiến trình kinh doanh Do tổ chức OGC (Office Government Commerce) đưa OGC viết dựa nguyên tắc, kinh nghiệm quản lý hệ thống thông tin chuyên gia hàng đầu Anh quốc đưa Hình 1.2 Mơ hình bảo trì hệ thống mạng ITIL • FCAPS: phát triển ISO (Intemationạl Organization for Standardzation), chia công việc thành nhóm: - Fault Management: khắc phục cố mạng, tức đưa hàng loạt phương pháp luận, cách thức cần phải tiến hành từ đâu; phát cố mạng ta bắt đầu làm trước, phải báo cáo nào, phải xây dựng quy trình thủ tục Đưa quy tắc, vấn đề cần ý quản lý việc khắc phục cố mạng - Configuration Management: quản lý cơng việc cấu hình bao gồm hướng dẫn, thủ tục, khuyến nghị về: + Cài đặt + Định danh + Kiểm kê + Tháo gỡ cấu hình phần cứng, phần mềm, firmware - Accouting Management: giúp ta phân phối, tối ưu tài nguyên thuê bao, người dùng doanh nghiệp, túc phân bổ tài nguyên cho người dùng, phân bổ tài nguyên cho thuê bao ta phải tiến hành, phương pháp tổ chức nào, phận yêu cầu quan trọng để phân bổ nhiều tài nguyên - Performance Management: quản lý hiệu suất, tức quản lý hiệu suất tổng thể mạng doanh nghiệp, hướng dẫn quy trình thủ tục để phát việc nghẽn cổ chai, hiệu suất tốt xác định lỗi tiềm tàng - Security Management: đưa hàng loạt phương pháp luận, cách thức để xây dựng phương pháp authentication, authorization, accounting Hình 1.3 Mơ hình bảo trì hệ thống mạng FCAPS • Telecommunications Management Network (TMN): tổ chức ITU-T thực việc tích hợp, sửa chữa lại chuẩn FCAPS để đưa mô hình TMN Định nghĩa framework quản lý chun dùng cho mạng viễn thơng Hình 1.4 Mơ hình bảo trì hệ thống mạng TMN • Cisco Lifecycle Service (PPDIOO): Cisco định nghĩa vòng đời mạng trải qua bước: Hình 1.1 Vòng đời phát triển hệ thống mạng - Prepare: xây dựng, tập hợp yêu cầu tổ chức, phát triển chiến lược mạng, đảm bảo mặt tài chiến lược đề - Plan: nhận diện ỵêu cầu ban đầu mạng dựa mục tiêu sở vật chất, hạ tầng nhu cầu người dùng Để làm ỵểụ cầu ta phải đánh giá, khảo sát mạng tồn tại, phân tích lỗ hỏng bảo mật để xác định xem hệ thống site, môi trường hoạt động có hỗ trợ cho hệ thống đề xuất hay khơng Tóm lại, bước khảo sát trạng khảo sát chi tiết, đánh giá lại toàn hệ thống mạng, - Design: yêu cầu ban đầu thu thập từ Plan sử dụng cho công việc thiết kế chi tiết, đầy đủ, thỏa mãn cho yêu cầu công việc kỹ thuật hệ thống Các đặc tính thiết kế sản phẩm, dịch vụ yêu cầu hỗ trợ Kết bước ta có thiết kế tỉ mỉ để đáp ứng yêụ cầu đề bước trước 10 Thông tin ICMP Các gói tin IP bị lọc dựa điều kiện tùy chọn ICMP sau đây: + ICMP-TYPE: thông điệp ICMP số từ tới 255 + ICMP-CODE: thông điệp ICMP số từ tới 255 Bảng trình bày giá trị cho loại ICMP Lệnh troubleshoot phổ biến sử dụng giao diện CLI Các lệnh thực hữu ích tiến hành troubleshoot cố ACL: + show ip access-list + show ipv6 access-list + show interface + Sử dụng tùy chọn log-deny cuối câu lệnh lọc để biết thông tin gói tin bị drop Sử dụng lệnh CLI để đảm bảo thông điệp debug log vào logfile:  logging logfile SyslogFile  logging level kernel 135  logging level ipacl Một số lỗi thực triển khai ACL a Tất gói tin bị khóa (block) Để thực tái tạo lại câu lệnh ACL, thực theo bước đây: + Bước 1: sử dụng lệnh show interface để xác định interface tham gia ACL + Bước 2: sử dụng lệnh no ip access-group no ipv6 traffic-filter mode interface để loại bỏ ACL Lặp lại bước tất interface tìm thấy bước 136 switch(config)# interface gigabitethernet 2/1 switch(config-if)# no ip access-group TCPAlow + Bước 3: sử dụng lệnh no ip access-list lệnh no ipv6 access-list để xóa bỏ ACL tất thiết lập filter trước switch(config)# no ip access-list TCPAlow + Bước 4: sử dụng lệnh ip access-list ipv6 access-list để tạo lại ACL switch(config)# ip access-list List1 permit ip any any + Bước 5: sử dụng lệnh ip access-group ipv6 traffic-filter mode interface để thêm ACL cho interface Lặp lại bước cho tất interface tìm thấy bước switch(config)# interface gigabitethernet 2/1 switch(config-if)# ip access-group List1 switch(config)# interface gigabitethernet 2/2 switch(config-if)# ipv6 traffic-filter IPAlow b Khơng gói tin bị khóa (block) c PortChannel khơng làm việc với ACL 137 d Không thể kết nối từ xa tới Switch 138 CHƯƠNG V: PHƯƠNG PHÁP TROUBLESHOOT MẠNG CÓ KÍCH THƯỚC LỚN Hầu hết mạng có kích thước lớn (Larger Enterprise Network) đếu có kết nối tới nhiều chi nhánh đặt xa (remote office), điển hình truy cập sử dụng cơng nghệ mạng WAN Khi cần quan tâm tới hai vấn đề chất lượng dịch vụ (QoS) vấn đề an tồn thơng tin Mặc dù việc troubleshoot chi nhánh xa giải thông qua việc gỡ lỗi từ vài công nghệ phổ biến mạng WAN, cụ thể chương trình bày việc troubleshoot mạng riêng ảo VPN Hơn nữa, việc troubleshoot hệ thống mạng có kích thước lớn, phức tạp yêu cầu người kỹ sư mạng cần có kiến thức sâu, tổng thể hạ tầng mạng, công nghệ mạng kinh nghiệm thực tế tích lũy từ dự án thiết kế, triển khai troubleshoot thực tế 5.1 Kỹ thuật troubleshoot chi nhánh xa Các mạng có kích thước lớn (chẳng hạn hệ thống mạng ISP Viettel, FPT, VNPT,…) thường chứa nhiều chi nhánh xa mà có kết nối với trụ sở (headquarter) Việc troubleshoot vấn đề chi nhánh xa yêu cầu người kỹ sư mạng cần có hiểu biết kiến thức công nghệ, kỹ thuật mạng diện rộng DHCP, NAT, Routing over a VPN, … Trong chương tập trung vào vấn đề công nghệ mạng VPN, mà tác động ảnh hưởng lớn tới việc kết nối chi nhánh xa với chi nhánh trung tâm, trụ sở Chẳng hạn kết nối VPN thiết lập 139 thông qua Internet sử dụng kết nối mạng dự phòng (backup) giống kết nối WAN trung gian Một số kiểu mạng VPN phổ biến là: • Site-to-Site VPN: Bằng việc sử dụng thiết bị chuyên dụng chế bảo mật diện rộng, cơng ty tạo kết nối với nhiều site qua mạng công cộng Internet Site-to-site VPN thuộc hai dạng sau:  Intranet VPN: Áp dụng trường hợp công ty có nhiều địa điểm xa, địa điểm có mạng cục LAN Khi họ xây dựng mạng riêng ảo để kết nối mạng cục vào mạng riêng thống  Extranet VPN: Khi công ty có mối quan hệ mật thiết với cơng ty khác (ví dụ đối tác cung cấp, khách hàng ), họ xây dựng VPN extranet (VPN mở rộng) kết nối LAN với LAN để nhiều tổ chức khác làm việc mơi trường chung • Remote-access VPN: Hay gọi Mạng quay số riêng ảo (Virtual Private Dial-up Network) hay VPDN, dạng kết nối User-to-Lan áp dụng cho cơng ty mà nhân viên có nhu cầu kết nối tới mạng riêng (private network) từ địa điểm từ xa thiết bị khác Và mạng VPN lại có yêu cầu thiết kế riêng biệt 140 5.1.1 Kỹ thuật troubleshoot vấn đề mạng VPN VPN mạng riêng sử dụng hệ thống mạng công cộng (thường Internet) để kết nối địa điểm người sử dụng từ xa với mạng LAN trụ sở trung tâm Thay dùng kết nối thật phức tạp đường dây thuê bao số, VPN tạo liên kết ảo truyền qua Internet mạng riêng tổ chức với địa điểm người sử dụng xa Tuy nhiên mạng LAN, VPN đơi phát sinh số lỗi gây khó chịu cho người dùng Khi tiến hành troubleshoot vấn đề, cố mạng VPN, cần cân nhắc câu hỏi đây: Địa IP gán nào? Có bị chồng chéo trùng hay khơng? Đó mạng kiểu VPN site-to-site hay remote-access? Giá trị MTU cấu hình cổng router truyền qua mạng VPN sao? Kiểu chuyển đổi IP sử dụng cấu hình NAT gì? Lưu lượng định tuyến giao thức định tuyến có thơng qua GRE tunnel hay cổng vật lý hay không? Theo thông tin từ bảng định tuyến, địa IP có phải IP đích tốt nằm đường hầm VPN hay không? Bảng danh sách lệnh Cisco IOS hỗ trợ thực troubleshoot kết nối VPN: 141 Để minh họa cho việc xử lý tập hợp liệu mạng VPN sử dụng hai kỹ thuật IPsec GRE, ta quan sát hình đây: 5.1.2 Các lỗi thường gặp kỹ thuật troubleshoot mạng VPN Cách xử lý lỗi thường phải dựa vào liệu thu thập phát lỗi Dưới lỗi thường gặp cách thức sử lý: 142 a Không thể cài đặt máy trạm Cisco 3000 VPN chạy Internet Connection Sharing Đây lỗi phức tạp Người dùng cần tắt bỏ ICS (Internet Connection Sharing) máy trước cài đặt máy trạm VPN Tuy nhiên, bạn nên thay ICS router phù hợp với hệ thống firewall Tuy nhiên điều không cần thiết máy VPN kết nối thơng thường qua máy khác có sử dụng ICS Để tắt bỏ ICS, vào menu Start\ Control Panel\ Administrative Tools\ Services\ Internet Connection Sharing, sau hủy chọn tùy chọn Load On Startup Tuy nhiên, sau hủy chọn tùy chọn này, chế độ Welcome Screen Fast User Switching máy trạm VPN sử dụng Windows XP bị tắt bỏ Chế độ Standby, Task Manager hoạt động bình thường, người dùng phải nhập tên đăng nhập mật vào hộp thoại thay hình Welcome Screen Chú ý: Chế độ Fast User Switching kích hoạt lại cách hủy bỏ tính Start Before Login máy trạm Tuy nhiên kích hoạt lại chế độ làm phát sinh số vấn đề, không thực cần thiết người dùng không nên kích hoạt lại Fast User Switching Một điều liên quan tới việc cài đặt máy trạm Cisco không đề xuất cài đặt nhiều máy trạm VPN máy PC Nếu bạn cài nhiều máy trạm VPN PC tốt nên gỡ bỏ bớt b Xác định lỗi Key qua ghi Nếu gặp phải lỗi ghi liên quan tới key chia sẻ trước đó, bạn đánh dấu sai key điểm cuối kết nối VPN Nếu lỗi xảy ra, ghi hiển thị q trình trao đổi máy trạm máy chủ VPN chế độ kết hợp bảo mật IKE Chỉ thời gian ngắn sau trình trao đổi diễn ra, log thông báo lỗi key Trên Concentrator, truy cập vào Configuration\ System\ 143 Tunneling Protocols, sau lựa chọn tùy chọn IPSec LAN-to-LAN lựa chọn cấu hình IPSec bạn Trong trường Preshare Key, nhập key chia sẻ Trong hệ thống tường lửa PIX Cisco sử dụng với Concentrator, chạy lệnh isakmp key password address xx.xx.xx.xx netmask 255.255.255.255, password key chia sẻ trước Chú ý nhập xác key sử dụng Concentrator PIX c Không thể kết nối VPN chạy phần mềm bảo mật Một vài cổng cần mở phần mềm bảo mật BlackIce (BlackIce tồn số vấn đề liên quan tới máy trạm VPN Cisco), Zone Alarm, Symantec số chương trình bảo mật Internet khác cho Windows ipchains iptables Linux Nếu người dùng mở cổng phần mềm bảo mật, họ kết nối VPN: + Cổng 500, 1000 10000 UDP + Giao thức IP 50 (ESP) + Cổng TCP cấu hình cho IPSec/TCP + Cổng 4500 NAT-T Có thể bạn cấu hình cổng cho IPSec/UDP IPSec/TCP Bạn cần phải mở cổng cấu hình phần mềm máy trạm d Khơng thể truy cập tài nguyên mạng chủ kết nối VPN Lỗi thường xảy Split-tunneling bị tắt bỏ Split-tunneling gây số nguy bảo mật, nguy hạn chế mức độ việc sử dụng sách bảo mật cách hợp lý, nguy tự động phát tán sang máy trạm khác mạng (ví dụ, sách u cầu cài đặt chương trình diệt virus hay yêu cầu bật firewall hệ thống) Trên PIX, sử dụng lệnh để chạy lại Split-tunneling: Vpngroup vpngroupname split-tunnel plit_tunnel_acl Bạn cần dùng lệnh access-list phù hợp phép địa IP truy cập qua tunnel mã hóa địa cho phép truy cập qua tunnel khơng mã hóa Ví dụ, dùng lệnh access-list split_tunnel_acl permit ip 10.0.0.0 144 255.255.0.0 any phép địa IP truy cập vào tunnel mã hóa tunnel khơng mã hóa Trong Cisco Series 3000 VPN Concentrator, bạn cần khai báo thiết bị cần hệ thống mạng đưa vào tunnel mã hóa Vào Configuration\ User Management\ Base Group, tab Client Config lựa chọn tùy chọn Only Tunnel Networks In The List tạo danh sách tất mạng cần VPN theo dõi trang bạn lựa chọn danh sách mạng từ hộp Split Tunneling Network List e Xung đột địa IP Đây lỗi đặc trưng hệ điều hành đặc biệt này, gây nhiều khó khăn gỡ rối Phiên 4.6 cho máy trạm VPN Cisco cố gắng khắc phục địa IP xung đột này, khơng phải lúc làm Sự xung đột IP cản trở việc truyền lưu lượng qua tunnel VPN Để xử lý lỗi bạn thực thao tác sau: Vào menu Start\ Control Panel\ Network And Dialup Connections\ Local Adapter, sau phải chuột lên Adapter chọn Properties Trong hộp thoại Properties, chọnTCP/IP click nút Properties Click vào tùy chọn Advanced, tìm tùy chọn Interface Metric, đặt trị số hộp Trị số thông báo cho máy tính sử dụng Adapter cục thứ hai Adapter VPN có trị số sinh trắc (thấp trị số sinh trắc mới), đặt lựa chon đích lưu lượng f Lỗi firmware router máy trạm VPN Máy trạm VPN Cisco gặp phải số vấn đề với số phiên firmware router cũ (thậm chí với router mới) Nếu liên tục gặp phải vấn đề kết nối, bạn nên cập nhật firmware router, đặc biệt với router cũ Máy trạm Cisco thường gặp phải lỗi sử dụng loại router sau: + Linksys BEFW11S4 với firmware thấp 1.44 + Asante FR3004 Cable/DSL Routers với firmware thấp 2.15 145 + Nexland Cable/DSL Routers mẫu ISB2LAN.7 Không thể thực kết nối máy trạm Trong tình này, người dùng thấy thơng báo lỗi sau: VPN Connection terminated locally by the Client Reason 403: Unable to contact the security gateway Lỗi số lỗi sau gây ra: + Người dùng nhập sai mật nhóm + Người dùng khơng nhập tên hay địa IP cho điểm cuối VPN từ xa + Người dùng gặp phải vấn đề kết nối Internet Cơ bản, số lí IKE khơng hoạt động Kiểm tra ghi máy trạm (được kích hoạt cách vào Log\ Enable) để tìm lỗi Hash Verification Failed để khắc phục chúng g Lỗi thiết lập kết nối VPN từ thiết bị NAT Sự cố xảy tất phần cứng VPN Cisco IPSec kích hoạt cài đặt tiêu chuẩn cho phép thay đổi tiêu đề gói tin truyền Nếu sử dụng hệ thống firewall PIX cho hệ thống firewall máy tính điểm cuối VPN Mở cổng 4500 kích hoạt NAT-Traversal cấu hình lệnh isakmp nat-traversal 20, 20 thời gian hoạt động NAT Nếu có hệ thống firewall riêng Cisco VPN Concentrator, bạn cần mở UDP cổng 4500 hệ thống firewall với đích Concentrator Sau đó, Concentrator vào Configuration\ Tunneling And Security\ IPSec\ NAT Transparency đánh dấu tùy chọn IPSec Over NAT-T Ngoài ra, cần đảm bảo máy trạm sử dụng phải hỗ trợ NAT-T h Kết nối không thông suốt Để khắc phục lỗi trước hết bạn cần tắt bỏ chế độ Standby, Hibernate ScreenSaver Standby Hibernatecó thể ngắt kết nối 146 mạng máy trạm VPN đợi liên kết cố định tới máy chủ VPN Người dùng cấu hình máy họ hẹn tắt Adapter mạng sau khoảng thời gian định để tiết kiệm điện Nếu sử dụng wifi, người dùng truy cập với tín hiệu wifi kém, hậu VPN bị ngắt kết nối Ngoài ra, người dùng gặp phải vấn đề đường mạng, router hay kết nối Internet, nhiều lỗi vật lý khác Cũng xảy trường hợp địa IP điểm cuối VPN (PIX hay Concentrator 3000) sử dụng hết gây lỗi máy trạm i Máy trạm mạng VPN hủy kết nối Một số lỗi khác bao gồm máy tính mạng người dùng ping máy VPN dù máy tính thấy tất máy khác mạng Lỗi xảy người dùng kích hoạt hệ thống firewall tích hợp máy trạm VPN Sau kích hoạt hệ thống firewall chạy tắt máy trạm Để khắc phục lỗi này, trước tiên truy cập vào máy trạm, từ trang tùy chọn, hủy chọn hộp chọn tùy chọn Stateful Firewall 5.2 Kỹ thuật troubleshoot mạng phức tạp Trong phần tập trung vào việc troubleshoot vấn đề lỗi hệ thống mạng lớn dựa lớp mơ hình OSI Một mạng phức tạp cỡ lớn (complex enterpirise) cấu thành từ nhiều công nghệ, kỹ thuật mạng có liên đới tới tất lớp khác mơ hình tham chiếu OSI Nắm kỹ thuật, chuẩn, giao thức lớp mơ hình OSI giúp kỹ sư gỡ lỗi mạng (troubleshooter) hiểu có cách giải hợp lý với vấn đề cụ thể Bảng trình bày lớp mơ hình OSI tương ứng với kỹ thuật mạng khác nhau: 147 Danh sách mô tả bên nhận diện điều kiện tiên cho kỹ sư gỡ lỗi mạng thực quy trình hợp lý trước troubleshoot mạng phức tạp • Để có hiểu biết mức cao, sâu nhiều loại công nghệ mạng cần phải trải nghiệm dự án thực tế điều cần thiết • Cần có hiểu biết rõ ràng ảnh hưởng công nghệ mạng tới yếu tố cấu thành nên hệ thống mạng • Cần có hiểu biết architectural plane router (chẳng hạn data plane control plane) chức plane • Cần có so sánh thu thập (cái cũ) với liệu để có nhìn khách quan sáng sủa 148 TÀI LIỆU THAM KHẢO [1] Andy Sholomon and Tom Kunath, Enterprise Network Testing, Cisco Press, 2014 [2] Kenvin Wallace, CCIE No, 7945, CCNP TSHOOT 643-832 Official Certification Guide, Cisco Press, 2014 [3] Donna L Harrington, CCNP Practical Studies: Troubleshooting, Cisco Press, 2014 [4] Ed Taylor,The Network Troubleshooting Handbook, Computing McgrawHill; 1st edition (January 25, 1999) [5] Mark A Miller , Troubleshooting TCP/IP, M & T Books; 2nd edition (May 1996) [6] Laura Chappell, Troubleshooting with Wireshark, Amazon, 2015 [7] Greg Tomsho, Guide to Network Support and Troubleshooting, Course Technology; edition (January 30, 2002) [8] Priscilla Oppenheimer & Joseph Bardwell, Troubleshooting Campus Networks - Practical Analysis of Cisco and LAN Protocols, John Wiley and Sons; 2002 [9] Kevin Burns, TCP/IP Analysis and Troubleshooting Toolkit, Wiley Publishing Inc; 2003 [10] Amir Ranjbar, CCIE No 8669, Troubleshooting and Maintaining Cisco IP Networks (TSHOOT) Foundation Learning Guide, Cisco Press 2012 [11] Tài liệu ôn thi Tshoot, nhóm tác giả Trung tâm tin học VNPRO [12] ThS Lê Hoàng Hiệp, Tập tài liệu thực hành Kiểm thử hệ thống mạng, ĐH CNTT&TT, 2016 149 ... kiểm thử hệ thống mạng có cấu trúc Do đó, tính sẵn sàng cao thời gian rớt mạng hệ thống thấp lúc vai trò cơng việc bảo trì, bảo dưỡng hệ thống vơ quan trọng Cơng việc bảo trì, bảo dưỡng hệ thống. .. trì cho mạng doanh nghiệp phải xác định bảo trì gồm cơng việc gì, đưa vào hệ thống bảo trì gồm tác vụ sau: • Cài đặt bảo trì hệ thống • Lắp đặt thêm phần mềm, thiết bị lưu • Sao lưu hệ thống •... bảo trì hệ thống mạng, câu hỏi khó trả lời Để xây dựng hệ thống quy trình bảo trì phải làm nhiều việc, từ việc đưa quy trình thủ tục, chuẩn bị cơng cụ, phần mềm, phần cứng, đội ngũ nhân lực để bảo