1. Trang chủ
  2. » Trung học cơ sở - phổ thông

Giáo trình Thiết bị mạng Cisco - Nguồn: Internet

90 27 1

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Định dạng
Số trang 90
Dung lượng 2,44 MB

Nội dung

Do đó khi router nhận được gói dữ liệu có địa chỉ mạng đích là một subnet không có trên bảng định tuyến nhưng lại có cùng supernet với các mạng kết nối trực tiếp vào router thì router [r]

(1)

MỤC LỤC

CHƯƠNG 1: GIỚI THIỆU VỀ MẠNG WAN VÀ ROUTER 4

1.1 Giới thiệu WAN

1.2 Các thiết bị kết nối WAN

1.2.1 Lớp vật lý WAN

1.2.2 Các kết nối WAN nối tiếp

1.2.3 Router kết nối nối tiếp

1.2.4 Router kết nối ISDN BRI

1.2.5 Router kết nối DSL

1.2.6 Thực kết nối console

1.3 Router WAN

1.4 Đặc điểm vật lý Router 10

1.5 Vai trò Router LAN WAN 11

CHƯƠNG 2: GIỚI THIỆU VỀ ROUTER 14

2.1 Chức hệ điều hành Cisco IOS 14

2.2 Chế độ giao tiếp với người dùng 14

2.3 Các chế độ dòng lệnh 15

2.4 Quá trình khởi động Router 16

2.5 Thiết lập phiên làm việc với HyperTerminal 16

2.6 Các trợ giúp router người dùng 19

CHƯƠNG 3: PHẦN MỀM PACKET TRACER 21

Bươc 1: Chạy chương trình PT 4.1 21

Bước 2: Chọn thiết bị đầu nối 22

Bước 3: Xây dựng kiến trúc mạng– Thêm máy tính 23

Bước 4: Xây dựng Topology – Kết nối máy tính đến Hubs Switches 24

Bước 5: Cấu hình địa IP Subnet Mask PC 27

Bước 6: Kết nối Hub0 tới Switch0 31

CHƯƠNG 4: CẤU HÌNH ROUTER 34

4.1 Các chế độ dòng lệnh CLI 34

4.2 Đặt tên cho Router 34

4.3 Cấu hình mật cho router 34

4.3.1 Đặt mật cho cổng Console 35

4.3.2 Đặt mật cho phép telnet 35

4.3.3 Đặt mật cho từ chế độ người dùng vào chế độ đặc quyền 36

4.4 Thoát khỏi chế độ lệnh router exit, end 36

4.5 Kiểm tra câu lệnh Show 37

4.6 Cấu hình cồng Fast ethernet 38

4.7 Cấu hình cồng Serial 39

4.8 Kiểm tra cấu hình 39

4.9 Ghi lại cấu hình 39

BÀI TẬP CUỐI CHƯƠNG 40

CHƯƠNG V: |GIAO THỨC ĐỊNH TUYẾN 41

5.1.Giới thiệu định tuyến 41

5.2 Định tuyến tĩnh 41

5.2.1.Hoạt động định tuyến tĩnh 41

5.2.2.Cấu hình đường cố định 42

(2)

5.2.4.Các quy tắc định tuyến tĩnh 46

5.2.5.Kiểm tra cấu hình đường cố định 47

5.2.6.Xử lý cố 47

5.3 Định tuyến động 47

5.3.1.Giới thiệu định tuyến động 47

5.3.2.Hệ thống tự quản (Autonomous System) (AS) 48

5.3.3.Mục đích giao thức định tuyến động hệ thống tự quản 48

5.3.4.Phân loại giao thức định tuyến động 49

5.3.5 Đặc điểm giao thức định tuyến theo vectơ khoảng cách 49

5.3.6 Đặc điểm giao thức định tuyến theo trạng thái đường liên kết 53

5.4.Tổng quát giao thức định tuyến 55

5.4.1 Quyết định chọn đường 55

5.4.2 Cấu hình định tuyến 55

5.4.3 Các giao thức định tuyến 56

BÀI TẬP CHƯƠNG 58

Chương VI GIAO THỨC ĐỊNH TUYẾN THEO VÉC TKHOẢNG CÁCH 59

6.1 Định tuyến theo vectơ khoảng cách 59

6.1.1 Cập nhật thông tin định tuyến 59

6.1.2 Lỗi định tuyến lặp 59

6.1.3 Định nghĩa giá trị tối đa 60

6.1.4 Tránh định tuyến lặp vòng split horizone 61

6.1.5 Router poisoning 62

6.1.6 Tránh định tuyến lặp vòng chế cập nhật tức thời 63

6.1.7 Tránh lặp vòng với thời gian holddown 64

6.2 Giao thức định tuyến RIP 65

6.2.1 Tiến trình RIP 65

6.2.2 Cấu hình RIP 65

6.2.3 Sử dụng ip classless 67

6.2.4 Những vấn đề thường gặp cấu hình RIP 68

6.2.5 Kiểm tra cấu hình RIP 70

6.2.6 Xử lý cố hoạt động cập nhật RIP 71

6.2.7 Không cho router gửi thông tin định tuyến cổng giao tiếp 72

6.2.8 Chia tải với RIP 73

6.2.9 Chia tải cho nhiều đường 73

6.2.10 Tích hợp đường cố định với RIP 74

BÀI TẬP CHƯƠNG 76

CHƯƠNG 7: DANH SÁCH TRUY CẬP ACLs 77

7.1 Cơ Danh sách kiểm tra truy cập 77

7.1.1 ACL ? 77

7.1.2 ACLs làm việc 78

7.1.3 Tạo ACLs 79

7.1.4 Chức wildcard mask 81

7.1.5 Kiểm tra ACLs 83

7.2 Danh sách kiểm tra truy cập 84

7.2.1 ACLs 84

7.2.2 ACLs mở rộng 85

7.2.3 Đặt tên ACLs 86

7.2.4 Vị trí đặt ACLs 87

(3)(4)

CHƯƠNG 1: GIỚI THIỆU VỀ MẠNG WAN VÀ ROUTER 1.1 Giới thiệu WAN

WAN (Wide Area Network) mạng thiết lập để liên kết máy tính hai hay nhiều khu vực khác cách xa mặt địa lý Các WAN kết nối mạng người sử dụng qua phạm vi địa lý rộng lớn, nên chúng mở khả cung ứng hoạt động thông tin cự ly xa cho doanh nghiệp Sử dụng WAN cho phép máy tính, máy in thiết bị khác LAN chia sẻ chia sẻ với vị trí xa WAN cung cấp truyền thông tức thời qua miền địa lý rộng lớn Khả truyền thông điệp đến nơi đâu giới tạo khả truyền thông tương tự dạng truyền thông hai người vị trí địa lý Phần mềm chức cung cấp truy xuất thông tin tài nguyên thời gian thực cho phép hội họp tổ chức từ xa Thiết lập mạng diện rộng tạo lớp nhân cơng gọi telecommuter, người làm việc mà chẳng rời khỏi nhà Các WAN thiết kế để làm công việc sau:

Hoạt động qua vùng tách biệt mặt địa lý

Cho phép người sử dụng có khả thơng tin thời gian thực với người sử dụng khác

Cung cấp kết nối liên tục tài nguyên xa vào dịch vụ cục Cung cấp Email, www, FTP dịch vụ thương mại điện tử

Các công nghệ WAN phổ biến bao gồm: Modem

ISDL

DSL Frame Relay

Các đường truyền dẫn số theo chuẩn Bắc Mỹ châu Âu T1, E1, T3, E3 Mạng quang đồng SONET

(5)

Hình 1.1 Các thiết bị kết nối WAN 1.2 Các thiết bị kết nối WAN

1.2.1 Lớp vật lý WAN

Các thực thực tế lớp vật lý thay đổi tùy vào khoảng cách thiết bị đến dịch vụ, tốc độ than dịch vụ Các kết nối nối tiếp dùng để hỗ trợ dịch vụ WAN đường dây thuê riêng chạy PPP hay Frame Relay Tốc độ kết nối dải từ 2400 bps đến T1 tốc độ 1,544 Mbps E1 tốc độ 2,048 Mbps

ISDN cung cấp dịch vụ quay số theo yêu cầu Một dịch vụ giao tiếp tốc độ (BRI) cấu thành từ hai kênh truyền dẫn 64 kbps (kênh B)cho số liệu kênh delta tốc độ 16kbps (kênh D) dùng cho báo hiệu tác vụ quản lý liên kết khác PPP thường dùng để truyền dẫn số liệu qua kênh D

Với tăng nhu cầu dịch vụ tốc độ cao, băng thông rộng khu vực dân cư, kết nối DSL modem cáp phổ dụng

1.2.2 Các kết nối WAN nối tiếp

(6)

Hình 1.2 Các kết nối WAN nối tiếp 1.2.3 Router kết nối nối tiếp

Các router chịu trách nhiệm định tuyến gói liệu từ nguồn đến đích LAN để cung cấp kết nối đến WAN Trong môi trường LAN router chứa broadcast, cung cấp dịch vụ phân dải địa cục ARP, RARP chia mạng cách dùng cấu trúc mạng Để cung ứng dịch vụ router phải kết nối LAN WAN

Hình 1.3 Kết nối nối tiếp DTE DCE

(7)

Hình 1.3 Các giao tiếp cố định

Các giao tiếp router linh động ghi nhãn theo loại port, khe (slot) số port Khe vị trí module Để cấu hình port card rời, cần phải giao tiếp cách dùng cú pháp “port type slot number/port number” Dùng nhãn “serial 0/1” giao tiếp nối tiếp, số khe nơi module gắn vào port tham chiếu đến

Hình 1.4 Các giao tiếp serial port dạng module 1.2.4 Router kết nối ISDN BRI

(8)

nối port ISDN BRI đến thiết bị nhà cung cấp dịch vụ dùng cáp UTP Cat straight-through Lưu ý, gắn cáp nối từ ISDN BRI port vào ISDN jack hay tổng đài ISDN

Hình 1.5 Nối cáp router cho cầu nối ISDN 1.2.5 Router kết nối DSL

Để nối router với dịch vụ DSL, dùng cáp điện thoại với đầu nối RJ-11 DSL làm việc qua đường dây điện thoại chuẩn dùng chân đầu nối RJ-11

Hình 1.6 Kết nối router cho dịch vụ DSL 1.2.6 Thực kết nối console

(9)

cổng nối tiếp máy tính làm đầu cuối (cổng COM) sau cấu hình ứng dụng mô đầu cuối với thông số cài đặt cho cổng nối tiếp (COM) máy tính sau: Speed: 9600 bps

Format: data bit Parity: no

Stop bits: Flow control: no

Cổng AUX dùng để cung cấp quản lý thông qua modem Cổng AUX cấu hình theo cách thức cổng console

Hình 1.7 Thiết lập kết nối qua cổng console 1.3 Router WAN

Router loại máy tính đặc biệt Nó có thành phần giống máy tính: CPU, nhớ, hệ thống Bus cổng giao tiếp Tuy nhiên router thiết kế để kết nối hai hệ thống mạng cho phép hai hệ thống liên lạc với nhau, ngồi router cịn thực việc chọn đường tốt cho liệu Các thành phần bên router bao gồm: nhớ RAM, NVRAM, nhớ flash, ROM cổng giao tiếp

Đặc điểm chức RAM: Lưu bảng định tuyến

Lưu bảng ARP

Có vùng nhớ chuyển mạch nhanh Cung cấp nhớ đệm cho gói liệu Duy trì hàng đợi cho gói liệu

Cung cấp nhớ tạm thời cho tập tin cấu hình router hoạt động Thơng tin RAM bị xóa router khởi động lại hay điện Đặc điểm chức NVRAM:

(10)

Nội dung tập tin lưu giữ khởi động lại router Đặc điểm chức ROM:

Lưu giữ câu lệnh chương trình tự kiểm tra khởi động _POST ( Power-on Self Test)

Lưu chương trình bootstrap hệ điều hành

Để nâng cấp phần mềm ROM phải thay chip mainboard Đặc điểm chức cổng giao tiếp:

Kết nối Router vào hệ thống mạng để nhận chuyển gói liệu

Các cổng gắn trực tiếp mainboard hay dạng card rời 1.4 Đặc điểm vật lý Router

Cấu trúc router khác tùy vào phiên bao gồm thành phần sau:

CPU – Đơn vị xử lý trung tâm: thực thi câu lệnh hệ điều hành để thực nhiệm vụ như: khởi động hệ thống, định tuyến, điều khiển cổng giao tiếp mạng RAM: Được dùng để lưu bảng định tuyến, cung cấp nhớ cho chuyển mạch nhanh, chạy tập tin cấu hình cung cấp hàng đợi cho gói liệu RAM chia thành hai phần: phần nhớ xử lý nhớ chia sẻ xuất/nhập Toàn nội dung RAM bị xóa điện

Flash: Bộ nhớ Flash sử dụng để lưu toàn hệ điều hành Cisco IOS Mặc định router tìm IOS flash

NVRAM ( None-volative Random-access Memory ): Là nhớ RAM không bị thông tin điện, sử dụng để lưu tập tin cấu hình

BUS: Phần lớn router có bus hệ thống CPU bus Bus hệ thống sử dụng để thông tin liên lạc CPU với cổng giao tiếp khe mở rộng CPU sử dụng CPU bus để truy xuất thành phần router thông qua nhớ router

ROM ( Read Only Memory): Là nơi lưu đoạn mã chương trình kiểm tra khởi động Nhiệm vụ ROM kiểm tra phần cứng router khởi động, sau chép phần mềm Cisco IOS từ flash vào RAM

(11)

CSU ( Channel Service Unit ) Cổng console/AUX cổng giao tiếp chủ yếu sử dụng để cấu hình router

Hình 1.8 Cấu trúc vật lý router 1.5 Vai trò Router LAN WAN

Router vừa sử dụng để phân đoạn mạng LAN vừa thiết bị mạng WAN

Hình 1.9 Router phân đoạn mạng LAN.

(12)

Hình 1.10 Router WAN.

Người quản trị mạng trì bảng định tuyến cách cấu hình định tuyến tĩnh, thơng thường bảng định tuyến lưu giữ động nhờ giao thức định tuyến thực trao đổi thông tin mạng Router

Một hệ thống mạng cấu hình phải có đầy đủ đặc điểm sau:  Có hệ thống địa quán từ đầu đến cuối

 Cấu trúc địa phải thể cấu trúc mạng  Chọn đường tốt

 Định tuyến động tĩnh  Thực mạch

Vai trò Router mạng WAN

Mạng WAN hoạt động chủ yếu lớp vật lý lớp liên kết liệu

Hình 1.11 Vai trò Router WAN

(13)

Thơng thường, DCE thiết bị phía nhà cung cấp dịch vụ DTE thiết bị kết nối vào DCE.Theo mơ hình DCE Modem CSU/DSU.Chức chủ yếu Router định tuyến.Hoạt động định tuyến diễn lớp ba - lớp mạng WAN hoạt động lớp hai Vậy Router thiết bị LAN hay WAN? Câu trả lời hai Router thiết bị LAN hoặcWAN thiết bị trung gian LAN WAN LAN WAN lúc

Hình 1.12 Chức chủ yếu Router WAN.

(14)

CHƯƠNG 2: GIỚI THIỆU VỀ ROUTER 2.1 Chức hệ điều hành Cisco IOS

Router, Switch, Firewall, sản phẩm Cisco thiết bị chuyên dụng giống máy tính phải có hệ điều hành hoạt động Hệ điều hành Cisco có tên gọi Cisco IOS ( Internetworking Operating System – Hệ điều hành kết nối) Cisco IOS có chức sau:

- Các chức liên quan đến chuyển mạch định tuyến

- Các chức đảm bảo an toàn truy cập tài nguyên mạng

- Tính mở ( Vì hệ điều hành IOS viết UNIX lên kết nối nhiều loại hệ điều hành khác nhau: Windows, Linux, )

2.2 Chế độ giao tiếp với người dùng

Để cấu hình quản lí router có phương pháp cấu hình qua giao diện Web cấu hình qua chế độ giao tiếp dịng lệnh (Command Line Interface) nhiên làm theo chế độ giao tiếp dòng lệnh dễ hiểu chuyên nghiệp

Để cấu hình router chế độ CLI có phương pháp

- Console: Dùng PC kết nối qua cáp Rollover để cấu hình trực tiếp Router, phương pháp hay dùng đặt tham số ban đầu xử lí cố router hỏng khơng thể dùng phương pháp khác

(15)

- Telnet: Khi thiết bị mạng kết nối với cho phép cấu hình từ xa phương pháp có nhiều ưu điểm cho phép làm việc thiết bị ta kết nối vào thiết bị từ xa để làm việc

- Cấu hình qua giao diện Web: http://[ip] phương pháp dùng cho Router nhiên dùng nhiều cho thiết bị ADSL, Access Point Phương pháp cấu hình khơng chun nghiệp tự động sinh mã cấu hình, người dùng khơng kiểm sốt hết

2.3 Các chế độ dòng lệnh

Chế độ thực thi Dấu nhắc Cách sử dụng thông thường Người dùng (User) GAD> Kiểm tra trạng thái Router Chế độ đặc quyền

(Privileged)

GAD# Kiểm tra router, mode cấu hình

- IOS chia làm chế độ giao tiếp với người dùng chế độ người dùng chế độ đặc quyền

- Tại chế độ người dùng ta có quyền thực số lệnh cài đặt router, chế độ khơng có quyền sửa đổi lệnh cấu hình

- Khi người dùng chế độ thực thi người dùng có tồn quyền cấu hình, sửa đổi cấu hình

(16)

- IOS có chế phân tích dịng lệnh câu lệnh thực chế độ câu lệnh sai nhận thơng báo

2.4 Q trình khởi động Router

Khi router bật nguồn điện thực việc kiểm tra phần cứng (Power-On Self Test –POST)

Sau trình POST kiện sau xảy router khởi động:

- Tìm chương trình mồi (Bootstrap) Rom nạp chương trình mồi

- Tìm hệ điều hành Cisco IOS Flash, TFTP ROM tìm song nạp vào hệ điều hành

- Khơng máy tính sau khởi động có người sử dụng router phải tự làm cơng việc cách mã hóa tất nội dung công việc thành kịch kịch gọi file cấu hình lưu vào NVRAM Nạp file cấu hình NVRAM TFTP sau tìm nạp file cấu hình đưa vào chế độ setup

(17)

- Để cấu hình Router ta dùng phần mềm HyperTerminal để thiết lập phiên cấu hình với Router

- Kết nối với Hyperterminal với cáp rollover từ đầu RJ-45 DB9

(18)(19)

2.6 Các trợ giúp router người dùng

- Vấn đề khó với người dùng chế độ có số tập lệnh chạy sai chế độ lệnh khơng thể thực thi

- Router trợ giúp người dùng số lệnh sau

+ Trợ giúp dấu ? : giúp cho người dùng biết có tập lệnh mode

(20)

+ Trợ giúp câu lệnh dài: Với người học người cấu hình chuyên nghiệp việc nhớ câu lệnh dài khó cần phải biết hỗ trợ khả trợ giúp Chẳng hạn để cấu hình địa IP cho cổng ta làm sau

Router(config-if)#ip address ? A.B.C.D IP address

dhcp IP Address negotiated via DHCP

Router(config-if)#ip address

Ta thấy sau câu lệnh ip address ? đưa loạt tùy chọn A.B.C.D IP Address ( tức chọn địa IP)

Tiếp tục đánh vào địa IP 10.0.0.1 dùng lệnh ? xuất hình sau Router(config-if)#ip address 10.0.0.1 ?

A.B.C.D IP subnet mask

Router(config-if)#ip address 10.0.0.1

Nó yêu cầu A.B.C.D IP subnet mask tức cần có Subnet Mask

Router(config-if)#ip address 10.0.0.1 255.255.255.0 ? <cr>

Router(config-if)#ip address 10.0.0.1 255.255.255.0

(21)

CHƯƠNG 3: PHẦN MỀM PACKET TRACER

Packet Tracer gì? PT phần mềm mơ phát triển Cisco Systems Packet Tracer (PT) Là công cụ động hiển thị nhiều loại giao thức sử dụng mạng máy tính Trong chế độ thực chế độ mô bao gồm giao thức: tầng tầng Ethernet PPP, tầng IP, ICMP, ARP, giao thức tầng TCP UDP Các giao thức định tuyến

Mục đích: Để bạn làm quen với phần mềm PT giúp bạn xây dựng sơ đồ theo ý muốn

(22)

Bước 2: Chọn thiết bị đầu nối

Chũng ta bắt đầu xây dựng topology cách chọn thiết bị môi trường truyền dẫn mà kết nối chúng Một vài loại thiết bị đầu nối mạng sử dụng Chẳng hạn tập thực hành sử dụng thiết bị đầu cuối (PC), Switch, Hub loại đầu nối

(23)

Bước 3: Xây dựng kiến trúc mạng– Thêm máy tính Kích vào End Devices.

Kích vào Generic.

(24)

Bước 4: Xây dựng Topology – Kết nối máy tính đến Hubs Switches

Thêm Hub

Kích vào mục Hubs chọn Generic hub.

Kết nối PC0 với Hub0 sử dụng vào mục Connections.

Chọn vào mục cáp thẳng Copper Straight-through

(25)

1 Kích lần vào PC0 2 Chọn FastEthernet 3 Dê trỏ tới Hub0

4 Kích lần lên Hub0 chọn cổng Port 0

5 Chú ý có ánh sáng màu sanh máy tính PC0 Hub0 đúng

1 2 3 4 5

Lặp lại bước cho việc kết nối PC1 với cổng Port Hub0

Thêm switch

(26)

Chọn mục Connection để kết nối PC2 vào Switch0

(27)

Thực bước sau để kết nối PC2 tới Switch0: 1 Kích lần vào PC2

2 Chọn FastEthernet 3 Dê trỏ tới Switch0

4 Click lần vào Switch0 chọn cổng FastEthernet0/1

5 Chú ý đường màu xanh PC2 Switch0 FastEthernet0/1 port

1 2 3 4 5 6

Lặp lại bước PC3 kết nối tới cổng Port Switch0 cổng FastEtherent0/2

(28)

Trước để máy tính truyền thơng cho chúng cần đặt địa IP

Kích lần vào PC0

Chọn tab Config Ở đổi tên PC0 Ở bạn gõ vào Default gateway cho máy tính (là cổng mà cho phép gửi gói tin ngồi) Chẳng hạn gõ địa IP

(29)

Kích vào FastEthernet Bạn đặt địa IP 172.16.1.10 Gõ vào Subnet mask 255.255.0.0

Bandwidth - Auto

Một máy tính truyền tốc độ khác : 10Mbps, 100Mbps 1000 Mbps để chế độ hai máy tính khác tốc độ truyền thỏa thuận với tối ưu

Duplex - Auto

Hub: Nếu PC nối với máy tính tự động chọn half-duplex theo chế Hub

(30)

Lặp lại cho máy sử dụng IP sau để gán cho máy tính

Host IP Address Subnet Mask

PC0 172.16.1.10 255.255.0.0

PC1 172.16.1.11 255.255.0.0

PC2 172.16.1.12 255.255.0.0

PC3 172.16.1.13 255.255.0.0

Kiểm tra thông tin

Để kiểm tra thông tin di chuyển chuột qua máy

Xóa thiết bị đường liên kết

(31)

Bước 6: Kết nối Hub0 tới Switch0

Dùng cáp chéo Cross-over để nối switch Hub

Dịch kết nối qua Hub kích vào Hub

Chọn cổng số

Di chuyển kết nối đến Switch0.

(32)(33)(34)

CHƯƠNG 4: CẤU HÌNH ROUTER 4.1 Các chế độ dịng lệnh CLI

- Router có nhiều chế độ cấu hình khác Mỗi câu lệnh thực chế độ định

- Hình vẽ mơ tả chế độ dịng lệnh bản, ngồi cịn nhiều chế độ khác - Ta thấy có chế độ là: User, Privileged chế độ cấu hình chung ( Router(config)# ) muốn cấu hình router ta phải chế độ cấu hình chung 4.2 Đặt tên cho Router

Cú pháp: Router(Config)# Hostname <Tên router>

Ý nghĩa: mặc định tất router có tên router, switch có tên switch, tường lửa có tên Firewall ASA mục đích đặt tên để phân biệt router với router khác tức làm việc ta biết làm việc router

(35)

4.3.1 Đặt mật cho cổng Console

- Bởi cổng console cổng bên ngồi nên cấu hình router để hạn chế xâm nhập vào router ta đặt mật cho cổng console

4.3.2 Đặt mật cho phép telnet

- Trong trình quản trị xây dựng dự án mạng người quản trị lúc có điều kiện gần thiết bị chẳng hạn tịa nhà có 10 tầng có thiết bị nối với người quản trị mạng dùng đăng nhập từ xa (telnet) việc ngồi tầng điều khiển tất thiết bị 10 tầng tòa nhà

(36)

4.3.3 Đặt mật cho từ chế độ người dùng vào chế độ đặc quyền

- Phương pháp đặt mật cho phép router chế độ router> người dùng gõ vào router> enable router địi mật san fran router chế độ router#

- Hạn chế loại mật người dùng câu lệnh show running hiển thị nội dung mật Với phương pháp thứ secret mã hóa mật hàm MD5 thành $1$n7mE$e8W/uSns.H1ibeZkTvK2e

4.4 Thoát khỏi chế độ lệnh router exit, end

Để từ chế độ chế độ ngồi mức ta dùng Exit.Chẳng hạn router(config-if)#exit trở thành router(config)#

Để thoát tất chế độ dòng lệnh dùng lệnh End Chẳng hạn Router(config-if)#end trở thành Router#

(37)

4.5 Kiểm tra câu lệnh Show

• show interfaces – Hiển thị thông tin cổng router

• show controllers serial – Hiển thị thơng tin cổng DCE DTE • show clock – Hiển thị thời gian đặt router

• show hosts – Hiển thị bảng gồm tên bí danh địa IP • show users – Hiển thị người dùng kết nối đến router

• show flash – Hiển thị thông tin nhớ flash file mà lưu trữ • show version – Hiển thị phiên IOS chạy RAM

• show ARP – Hiển thị thơng tin bảng ARP Router • show protocol – Hiển thị giao thức tầng 3

(38)

4.6 Cấu hình cồng Fast ethernet

Để cấu hình địa cho cổng Fast ethernet ta dùng câu lệnh sau Router(config)#Interface fast ethernet <slot>/<number>

(39)

4.7 Cấu hình cồng Serial

Để cấu hình địa cho cổng Serial ta dùng câu lệnh sau Router(config)#Interface serial <slot>/<number>

Router(config-if)#IP address <IP> <Mask> Router(config-if)#No shutdown

Router(config-if)#Clock rate <băng thơng>

4.8 Kiểm tra cấu hình Router# Show running-config

(40)

BÀI TẬP CUỐI CHƯƠNG Cho sơ đồ mạng sau

- Địa IP cho theo bảng sau

Thiết bị Cổng IP Mask Gateway

Router1 Fa0/0 192.168.1.1 255.255.255.0 Fa0/1 192.168.2.1 255.255.255.0

PC1 NIC 192.168.1.10 255.255.255.0 192.168.1.1 PC2 NIC 192.168.2.10 255.255.255.0 192.168.2.1 PC3 NIC 192.168.2.20 255.255.255.0 192.168.2.1 - Yêu cầu:

- Đặt tên cho router RICTU

- Đặt mật cho cổng console cisco

- Cho phép cấu hình qua telnet với mật class - Mật từ chế độ user vào chế độ đặc quyền ictu - Cấu hình cổng Fa0/0, Fa0/1 hình vẽ

- Cấu hình IP cho máy tính

(41)

CHƯƠNG V: |GIAO THỨC ĐỊNH TUYẾN 5.1.Giới thiệu định tuyến

Định tuyến trình mà router thực để chuyển gói liệu tới mạng đích Tất router dọc theo đường dựa vào địa IP đích gói liệu để chuyển gói theo hướng đến đích cuối Định tuyến chia làm hai dạng định tuyến động định tuyến tĩnh

5.2 Định tuyến tĩnh

Đối với định tuyến tĩnh, thông tin đường phải người quản trị mạng nhập cho router Khi cấu trúc mạng có thay đổi người quản trị mạng phải xố thêm thơng tin đường cho router loại đường gọi đường cố định

5.2.1.Hoạt động định tuyến tĩnh

Hoạt động định tuyến tĩnh chia làm ba bước sau: + Đầu tiên, người quản trị mạng cấu hình đường cố định cho router + Router cài đặt đường vào bảng định tuyến

+ Gói liệu định tuyến theo đường cố định

Ngừơi quản trị mạng cấu hình đường cố định cho router lệnh ip route Cú pháp lệnh ip route sau:

Router(config) # ip route prefix mask {address / interface } [distance] [tag tag] [permanent]

• prefix IP mạng đích.

• mask Subnet mask mạng đích.

• address Địa IP “next hop” để đến mạng đích • interface Cổng router đến mạng đích

• distance (tùy chọn) Khoảng cách quản trị giao thức

• tag tag(tuỳ chọn) Sử dụng làm giá trị so sánh để điều khiển việc phân bố đường qua đồ đường (trong CCNP)

(42)

Một vấn đề cần quan tâm đến định tuyến tĩnh số tin cậy.Chỉ số tin cậy thông số đo lường độ tin cậy đường số thấp độ tin cậy cao Do hai đường đén đích đường có độ tin cậy nhỏ đường đặt vào bảng định tuyến router trước Ví dụ đường cố định sử dụng địa IP trạm có số tin cậy mặc định 1, đường cố định sử dụng cổng có số tin cậy mặc định Nếu ta muốn định số tin cậy thay sử dụng giá trị mặc định ta thêm hơng số vào sau thơng số cổng địa IP trạm kế câu lệnh Giá trị nằm khoảng từ đến 255

Ví dụ: router(config)# ip route 172.16.2.0 255.255.255.0 172.16.4.1 124

Nếu router khơng chuyển gói tin cổng giao tiếp cấu hình có nghĩa cổng giao tiếp bị đóng, đường tương ứng không đặt vào bảng định tuyến

5.2.2.Cấu hình đường cố định

+ Khoảng cách quản trị độ đo đường (metric) Độ đo đường đường tĩnh “0”

Khoảng cách quản trị độ ưu tiên thông tin định tuyến Khoảng cách quản trị nhỏ có độ ưu tiên cao

Nếu router thấy có nhiều đường tới mạng đích từ nhiều nguồn khác sử dụng Khoảng cách quản trị để định đưa đường vào Bảng định tuyến

(43)

Hình 5.2.1 Khoảng cách quản trị giao thức định tuyến + Các bước cấu hình đường cố định:

Xác định tất mạng đích cần cấu hình, subnet mask tương ứng gateway tương ứng Gateway cổng giao tiếp router địa trạm để đến mạng đích

Bạn vào chế độ cấu hình tồn cục router

Nhập lệnh ip route với địa mạng đích, subnet mask gateway tương ứng mà ta xác định bước cần thêm thơng số độ tin cậy

Lặp lại bước ba cho mạng đích khác tháot khỏi chế độ cấu hình tồn cục

Lưu tập tin cấu hình hoạt động thành tập tin cấu hình khởi động lệnh copy running-config startup-config.

(44)

Hình 5.2.2: Cấu hình định tuyến tĩnh cho mạng

Ở khung phía hình 5.2.2 hai câu lệnh đường cố định cho router thông qua cổng router Trong câu lệnh không định giá trị cho số tin cậy nên bảng định tuyến hai đường cố định có số tin cậy mặc định Đường có số tin cậy tương đương với mạng kết nối trực tiếp vào router

Ở khung bên hình 5.2.2, hai câu lệnh đường cố định cho router thông qua địa router Đường tới mạng 172.168.1.0 có địa router 172.16.2.1, đường tới mạng 172.16.5.0 có địa router 172.16.4.2 Trong hai câu lệnh không định giá trị cho độ tin cậy nên hai đường cố định tương ứng có cỉ số tin cậy mặc định

5.2.3.Cấu hình đường mặc định cho router chuyển gói đi

Đường mặc định đường mà router sử dụng trường hợp router khơng tìm thấy đường phù hợp bảng định tuyến để tới đích gói liệu Chúng ta thường cấu hình cấu hình đường mặc định cho đường Internet router router khơng cần lưu thơng tin định tuyến tới mạng Internet

(45)

Ip route 0.0.0.0 0.0.0.0 [next-hop-address / outging interface]

Subnet 0.0.0.0 thực phép toán AND logic với địa IP đích có kết mạng 0.0.0.0 Do gối liệu có địa đích mà router khơng tìm đường phù hợp gói liệu định tuyến tới mạng 0.0.0.0

Các bước cấu hình đường mặc định: + Vào chế độ cấu hình toàn cục

+ Nhập lệnh ip route với mạng đích 0.0.0.0 subnet mask tương ứng 0.0.0.0 Gateway đường mặc định cổng giao tiếp router kết nối với mạng bên địa IP router Thông thường ta hay sử dụng địa IP router làm gateway

+ Thoát khỏi chế độ cấu hình tồn cục

+ Lưu lại tập tin cấu hình khởi động NVRAM lệnh: copy running-config startup-config

Vi d ụ:

(46)

Hình 5.2.3b

Trong ví dụ hình 5.2.2 router Hoboken cấu hình để định tuyến liệu tới mạng 172.16.1.0 router Sterling tới mạng 172.16.5.0 router Waycross Nhưng router Sterling Waycross chưa biết đường tới mạng mà khơng kết nối trực tiếp với Ta cấu hình đường cố định cho sterling Waycross để đường tới mạng Nhưng cách giải pháp hay cho hệ thống mạng lớn Trong hình 5.2.3a 5.2.3b ví dụ cấu hình đường mặc định cho router sterling Waycross Sterling kết nối đến tất mạng khác thông qua cổng Serial Tương tự Waycross vậy, Waycross có kết nối đến tất mạng khác thông qua cổng Serial mà thơi Do cấu hình đường mặc định cho Sterling Waycross hai router sử dụng đường mặc định để định tuyến cho gói liệu đến tất mạng không kết nối trực tiếp với

5.2.4.Các quy tắc định tuyến tĩnh + Định tuyến tĩnh qua liên kết điểm-điểm

Tốt ta nên sử dụng định tuyến tĩnh cổng

Với cổng serial kết nối kiểu điểm-điểm, router không sử dụng địa trung gian để chuyển tiếp gói liệu

+ Định tuyến tĩnh qua mạng kiểu quảng bá

(47)

+ Chỉ sử dụng địa trung gian

Khi cấu hình đường định tuyến tĩnh tránh việc đường đinh jtuyến tĩnh tham chiếu đến địa trung gian đường định tuyến tĩnh khơng gán với cổng mà phụ thuộc vào việc tìm đường qua địa trung gian làm cho tốc độ hội tụ chậm lại Điều gây vấn đề định tuyến lặp

5.2.5.Kiểm tra cấu hình đường cố định

Sau cấu hình đường cố định, để kiểm tra xem bảng định tuyến có đường cố định mà ta cấu hình hay chưa, hoạt động định tuyến có hay không Ta dùng lệnh show running-config để kiểm tra nội dung tập tin cấu hình chạy RAM xem câu lệnh cấu hình đường cố định nhập vào chưa Sau ta dùng lệnh show ip route để xem có đường cố định bảng định tuyến chưa.

Các bước kiểm tra cấu hình đường cố định:

+ Ở chế độ đặc quyền, ta nhập lệnh show running-config để xem tập tin cấu hình hoạt động

+ Kiểm tra xem câu lệnh cấu hình đường cố định có khơng Nếu khơng ta phải vào lại chế độ cấu hình tồn cục,xoa câu lênh sai nhập câu lệnh

+ Nhập lệnh show ip route.

+ Kiểm tra xem đường cố định mà ta cấu hình có bảng định tuyến hay khơng. 5.2.6.Xử lý cố

Dùng lệnh ping để kiểm tra xem mạng nối với có thơng hay khơng có cố xảy ta dùng tiếp lệnh tracerouter để kiểm tra xem mạng bị rớt đâu Sau xác định cố xảy router ta vào router sửa chữa cấu hình lại cho router

5.3 Định tuyến động

5.3.1.Giới thiệu định tuyến động

Giao thức định tuyến động sử dụng để giao tiếp router với Giao thức định tuyến động cho phép router chia sẻ thơng tin định tuyến mà biết cho router khác Từ đó, router xây dựng bảo trì bảng định tuyến Một số giao thức định tuyến động:

(48)

+ EIGRP (Enhanced Interior Gateway Routing Protocol) + OSPF (Open Shortest Path First)

5.3.2.Hệ thống tự quản (Autonomous System) (AS)

Hệ tự quản AS tập hợp mạng hoạt động chế quản trị định tuyến Từ bên ngồi nhìn vào, AS xem đơn vị

Tổ chức đăng ký số Internet Mỹ nơi quản lý việc cấp số cho AS Chỉ số dài 16 bit

Hình 5.3.2: Một AS bao gồm router hoạt động chế quản trị

5.3.3.Mục đích giao thức định tuyến động hệ thống tự quản

Mục đích giao thức định tuyến động xây dựng bảo trì bảng định tuyến Bảng định tuyến mang thông tin mạng khác cổng giao tiếp router đến mạng Router sử dụng giao thức định tuyến động để quản lý thông tin nhận từ router khác, thơng tin từ cấu hình cổng giao tiếp thơng tin cấu hình đường cố định Giao thức định tuyến cập nhật tất đường, chọn đường tốt đặt vào bảng định tuyến xố đường khơng sử dụng Cịn router sử dụng thơng tin bảng định tuyến để chuyển gói liệu giao thức đường định tuyến

(49)

Với hệ tự quản AS, toàn hệ thống mạng toàn cầu chia thành nhiều mạng nhỏ, dễ quản lý Mỗi AS có số AS riêng, khơng trùng lặp với AS khác, AS có chế quản trị riêng

5.3.4.Phân loại giao thức định tuyến động

Đa số thuật toán định tuyến động xếp vào loại sau: + Vectơ khoảng cách

+ Trạng thái đường liên kết

Định tuyến theo vectơ khoảng cách chọn đường theo hướng khoảng cách tới đích Cịn định tuyến theo trạng thái đường liên kết chọn đường ngắn dựa cấu trúc toàn hệ thống mạng

5.3.5 Đặc điểm giao thức định tuyến theo vectơ khoảng cách

Hình 5.3.5

Định tuyến theo vectơ khoảng cách thực truyền bảng định tuyến từ router sang router khác theo định kỳ Việc cập nhật định kỳ router giúp trao đổi thông tin cấu trúc mạng thay đổi Thuật toán định tuyến theo véc tơ khoảng cách cịn gọi thuật tốn Bellman-Ford

Mỗi router nhận bảng định tuyến router láng giềng kết nối trực tiếp với

(50)

Router thu thập thông tin khoảng cách đến mạng khác, từ xây dựng bảo trì sở liệu thông tin định tuyến mạng, nhiên router hoạt động theo thuật tốn vectơ khoảng cách có nhược điểm router khơng biết xác cấu trúc toàn hệ thống mạng mà biết router láng giềng hoạt động cạnh mà thơi

Khi sử dụng định tuyến theo vectơ khoảng cách, bước router phải xác định router láng giềng với Các mạng kết nối trực tiếp vào cổng giao tiếp router có khoảng cách cịn đường tới mạng khơng kết nối trực tiếp vào router router chọn đường tốt dựa thơng tin mà nhận từ router láng giềng

Ví dụ:

Ta xét q trình cập nhật bảng định tuyến router A,B,C

(51)

Đối với router A có hai mạng kết nối trực tiếp W,X từ router A đến mạng có khoảng cách

(52)

Ta thấy router A học từ router B mạng Y đường từ router A tới mạng Y phải qua router B khoảng cách tăng lên

Mặt khác router B lại học từ router A mạng W với khoảng cách qua router A, mạng Z với khoảng cách qua router C

Sau router A B lại trao đổi thơng tin bảng định tuyến với

Ta thấy router A lại học từ router B mạng Z với khoảng cách tăng lên qua router B

Tương tự ta xet với router B C ta kết bảng định tuyến router hình 3.3.5b

Bảng định tuyến cập nhật cấu trúc mạng có thay đổi q trình cập nhật diễn bước từ router đến router khác Khi cập nhật router gửi toàn bảng định tuyến cho router láng giềng Trong bảng định tuyến có thơng tin đường tới mạng đích

52 Quá trình cập

nhật bảng định tuyến

Router A gửi bảng định tuyến

cập nhật

Quá trình cập nhật bảng định

tuyến

cấu trúc mạng thay đổi làm cho bảng định tuyến phải cập

(53)

Hình 5.3.5c

5.3.6 Đặc điểm giao thức định tuyến theo trạng thái đường liên kết

Thuật toán định tuyến theo trạng thái đường liên kết thuật tốn Dijkstrashay cịn gọi thuật tốn SPF (Shortest Path First – tìm đường ngắn nhất) Thuật tốn định tuyến theo trạng thái đường liên kết thực việc xây dựng bảo trì sở liệu đầy đủ cấu trúc toàn hệ thống mạng

Định tuyến theo trạng thái đường liên kết sử dụng công cụ sau:

+ Thông điệp thông báo trạng thái đường liên kết (LSA – link-state Advertisement) LSA gói liệu nhỏ mang thông tin định tuyến truyền router + Cơ sở liệu cấu trúc mạng: Được xây dựng từ thông tin thu thập từ LSA

+ Thuật toán SPF: Dựa sở liệu cấu trúc mạng, thuật tốn SPF tính tốn để tìm đường ngắn

+ Bảng định tuyến: chứa danh sách đường chon lựa

Q trình thu thập thơng tin mạng dể thực định tuyến theo trạng thái đường liên kết: Mỗi router bắt đầu trao đổi LSA với tất router khác, LSA mang thơng tin mạng kết nối trực tiếp router Sau router tiến hành xây dựng sở liệu dựa thông tin LSA

Mỗi router tiến hành xây dựng lại cấu trúc mạng theo dạng hình với thân gốc, từ router vẽ tất đường tới tất mạng hệ thống sau thuật toán SPF chọn đường ngắn để đưa vào bảng định tuyến

Trên bảng định tuyến chứa thông tin đường chọn với cổng tương ứng

(54)

thông tin vừa nhận Sau SPF tính lại để chọn đường lại cập nhật lại cho bảng định tuyến

Router gửi LSAs cho router khác Thông tin LSA sử dụng để xây dựng sở dỡ liệu đầy đủ cấu trúc hệ thống mạng.thuật tốn SPF tính tốn từ xây dựng bảng định tuyến

Hình 5.3.6a

Mỗi router có sở liệu riêng cấu trúc mạng thuật tốn SPF thực tính tốn dựa sở liệu

Hình 5.3.6b

Định tuyến theo trạng thái đường liên kết có nhược điểm sau: + Bộ xử lý trung tâm router phải tính tốn nhiều

+ Đòi hỏi dung lượng nhớ lớn

+ Chiếm dung lượng thông đường truyền

(55)

Khi khởi động việc định tuyến, tất router phải gửi gói LSA cho tất router khác băng thơng đường truyền bị chiếm dụng làm cho băng thông dành cho truyền liệu người dùng giảm xuống Nhưng sau router thu thập đủ thông tin để xây dựng sở liệu cấu trúc mạng băng thông đường truyền không bị chiếm dụng cấu trúc mạng có thay đổi router phát gói LSA để cập nhật

5.4.Tổng quát giao thức định tuyến 5.4.1 Quyết định chọn đường đi

Router có hai chức là: + Quyết định chọn đường + Chuyển mạch

Quá trình chọn đường thực lớp mạng Router dựa vào bảng định tuyến để chọn đường cho gói liệu, sau định đường router thực việc chuyển mạch để phát gói liệu

Chuyển mạch trình router thực để chuyển gói từ cổng nhận vào cổng phát Điểm quan trọng q trình router phải đóng gói liệu cho phù hợp với đường truyền mà gói chuyển bị

5.4.2 Cấu hình định tuyến

Để cấu hình giao thức định tuyến, ta cần cấu hình chế độ cấu hình tồn cục cài đặt đặc điểm định tuyến Bước chế độ cấu hình tồn cục, ta cần khởi động giao thức định tuyến mà ta muốn, ví dụ RIP, IGRP, EIGRP, OSPF Sau đó, chế độ cấu hình định tuyến ta phải khai báo địa IP

Lệnh router dùng để khởi động giao thức định tuyến

Lệnh network dùng để khai báo cổng giao tiếp router mà ta muốn Giao thức định tuyến gửi nhận thông tin cập nhật định tuyến

(56)

5.4.3 Các giao thức định tuyến

Ở lớp internet giao thức TCP/IP, router sử dụng giao thức định tuyến IP để thực việc định tuyến Sau số giao thức định tuyến IP:

+ RIP – giao thức định tuyến nội theo vectơ khoảng cách

+ IGRP – giao thức định tuyến nội vectơ khoảng cách Cisco + OSPF – giao thức định tuyến nội theo trạng thái đường liên kết + EIGRP – giao thức mở rộng IGRP

+ BGP – giao thức định tuyến ngoại theo vectơ khoảng cách * Một số đặc điểm RIP

+ Là giao thức định tuyến theo vectơ khoảng cách + Sử dụng số lượng hop để làm thông số chọn đường

+ Nếu số lượng hop để tới đích lớn 15 gói liệu bị huỷ bỏ + Cập nhật theo định kỳ mặc định 30 giây

IGRP (Interior Gateway Routing Protocol) giao thức phát triển độc quyền Cisco

* Một số đặc điểm IGRP :

+ Là giao thức định tuyến theo vectơ khoảng cách

+ Sử dụng băng thông, tải, độ trễ độ tin cậy đường truyền làm thông số lựa chọn đường

+ Cập nhật theo định kỳ mặc định 90 giây

OSPF (Open Shortest Path First) giao thức định tuyến theo trạng thái đường liên kết * Một vài đặc điểm OSPF

+ Là giao thức định tuyến theo trạng thái đường liên kết + Được định nghĩa RFC 2328

+ Sử dụng thuật tốn SPF để tính toán chọn đường tốt + Chỉ cập nhật cấu trúc mạng có thay đổi

EIRGP giao thức định tuyến nâng cao theo vectơ khoảng cách giao thức độc quyền Cisco

* Một số đặc điểm EIRGP

(57)

+ Có ưu điểm định tuyến theo vectơ khoảng cách định tuyến trạng thái đường liên kết

+ Sử dụng thuật tốn DUAL (Difused Update Algorithm) đẻ tính tốn chọn đường tôt

+ Cập nhật theo định kỳ mặc định 90 giây cập nhật có thay đổi cấu trúc mạng

BGP (Border Gateway Protocol) giao thức định tuyến ngoại * Vài đặc điểm BGP

+ Là giao thức định tuyến ngoại theo vectơ khoảng cách

(58)

BÀI TẬP CHƯƠNG 5 Cho sơ đồ mạng hình vẽ

Yêu cầu thực công việc sau

- Đặt địa cho Router Các PC theo bảng - Cấu hình giao thức định tuyến tĩnh router - Đảm bảo tất máy tính ping - Xem cấu hình

(59)

Chương VI GIAO THỨC ĐỊNH TUYẾN THEO VÉC TKHOẢNG CÁCH 6.1 Định tuyến theo vectơ khoảng cách

6.1.1 Cập nhật thông tin định tuyến

Bảng định tuyến cập nhật theo chu kỳ cấu trúc mạng có thay đổi Điểm quan trọng giao thức định tuyến cập nhật bảng định tuyến cách hiệu Khi cấu trúc mạng thay đổi, thông tin cập nhật phải sử lý toàn hệ thống Đối với định tuyến theo vectơ khoảng cách router gửi tồn bảng định tuyến cho router kết nối trực tiếp vào Bảng định tuyến bao gồm thơng tin đường tới mạng đích như: Tổng chi phí (ví dụ khoảng cách ) tính từ thân router đến mạng đích, địa trạm đường

Hình 6.1.1 6.1.2 Lỗi định tuyến lặp

Định tuyến lặp xẩy bảng định tuyến router chưa cập nhật hội tụ trình hội tụ chậm

Hình 6.1.2

(60)

qua router B khoảng cách đường từ router C đến Mạng (hops) (Nghĩa từ Router C đến Mạng theo đường cịn cách router nữa)

2/ Ngay Mạng bị lỗi, router E liền gửi thông tin cập nhật cho router A Router A ngưng việc định tuyến Mạng Nhưng router B, C D tiếp tục việc chúng chưa hay biết việc Mạng bị lỗi Sau router A cập nhật thơng tin mề Mạng cho router B D Router B, D ngưng định tuyến gói liệu Mạng Nhưng đến lúc router C chưa cập nhật Mạng nên định tuyến gói liệu đến Mạng qua router B

3/ Đến thời điểm định kì router C, thông tin cập nhật router C gửi cho router D có thơng tin đường đến Mạng qua router B Lúc router D thấy thông tin tốt thông tin báo Mạng bị lỗi mà vừa nhận từ router A lúc lẫy Do router D cập nhật lại thông tin vào bảng định tuyến mà sai Lúc bảng định tuyến, router D có đường tới Mạng qua router C Sau router D lấy bảng định tuyến vừa cập nhật xong gửi cho router A Tương tự, router A cập nhật lại đường đến Mạng lúc qua router D gửi cho router B E Quá trình tương tự tiếp tục xẩy ỏ router B, E Khi đó, gói liệu gửi đến Mạng bị gửi lặp vòng từ router C tới router B tơi router A tới router D lại tới router C

6.1.3 Định nghĩa giá trị tối đa

Việc cập nhật sai Mạng bị lặp vịng hồi có tiến trình khác cắt đứt trình Tình trạng gọi đếm vơ hạn, gói liệu bị lặp vòng mạng thực tế Mạng bị ngắt

Với vectơ khoảng cách sử dụng thơng số số lượng hop router chuyền thông tin cập nhật cho router khác, số hop tăng lên

Nếu khơng có biện pháp khắc phục tình trạng đếm vơ hạn, số hop tăng lên đến vơ hạn

(61)

tình trạng kéo dài, giao thức định tuyến theo vectơ khoảng cách định nghĩa giá trị tối đa

Bằng cách này, giao thức định tuyến cho phép vòng lặp kéo dài đến thông số định tuyến vượt qua giá trị tối đa Ví dụ hình 6.1.3, thông số định tuyến 16 hop lớn giá trị tối đa 15 thơng tin cập nhật bị router huỷ bỏ Trong trường hợp nào, giá trị thông số định tuyến vượt qua giá trị tối đa xem mạng khơng đến

Hình 6.1.3 Định nghĩa giá trị tối đa 6.1.4 Tránh định tuyến lặp vòng split horizone

Một nguyên nhân khác gây lặp vịng router gửi lại thơng tin định tuyến mà vừa nhận cho router gửi thơng tin Dưới phân tích cố xẩy nào:

1/ Router A gửi thông tin cập nhật cho router B D thông báo Mạng bị ngắt Tuy nhiên router C gửi cập nhật cho router B router C có đường đến Mạng thông qua router D, khoảng cách đường

2/ Khi router D tưởng lầm router C có đường đến Mạng đường có thơng số định tuyến khơng tốt đường cũ router B lúc trước Sau router B cập nhật cho router A đương đến Mạng mà router B vừa nhận

3/ Khi router A cập nhật lại giữ liệu đến Mạng thông qua router B Router B định tuyến đến Mạng thông qua router C Router C lại định tuyến đến Mạng qua router D Kết gói liệu đến Mạng rơi vào vòng lặp

(62)

gửi lại Mạng cho router A nhờ đó, split horizon làm giảm việc cập nhật thơng tin sai giảm bớt thông tin cập nhật

Hình 6.1.4: Tránh định tuyến lặp vịng split horizone 6.1.5 Router poisoning

Router poisoning sử dụng để tránh xẩy vòng lặp lớn giúp cho router thông báo thẳng mạng không truy cập cách đặt giá trị cho thông số định tuyến (Số lượng hop chẳng hạn lớn giá trị tối đa)

Ví dụ như: hình 6.1.5: Khi Mạng bị ngắt bảng định tuyến router E giá trị hop cho đường đến Mạng 16, giá trị có nghĩa Mạng khơng truy cập Sau router E cập nhật cho router C bảng định tuyến này, đường đến Mạng có thơng số hop 16 poisoning từ router E, router C gửi ngược trở lại thông tin cho router E Lúc ta gọi thông tin cập nhật Mạng từ router C gửi ngược lại cho router E poison reverse Router C làm để đảm bảo gửi thơng tin router poisoning tất đường mà có

(63)

Hình 6.1.5

6.1.6 Tránh định tuyến lặp vòng chế cập nhật tức thời

Hoạt động bảng định tuyến router láng giềng thực theo chu kỳ Ví dụ: Cứ sau 30 giây RIP thực cập nhật lần Ngồi cịn có chế cập nhật tức thời để thông báo thay đổi bảng định tuyến Khi router phát có thay đổi cấu trúc mạng gửi thơng điệp cập nhật cho router láng giềng để thông báo thay đổi Nhất có đường bị lỗi khơng truy cập nhật router phải cập nhật tức thời thay đợi đến hết chu kỳ Cơ chế cập nhật tức thời kết hợp với router poisoning đảm bảo cho tất router nhận thông tin có đường bị ngắt trước thời gian holddown kết thúc

Cơ chế cập nhật tức thời cho tồn mạng có thay đổi cấu trúc mạng giúp cho router cập nhật tức thời khởi động thời gian holddown nhanh

Ví dụ hình 6.1.6: Router C cập nhật tức thời mạng 10.4.0.0 không truy cập Khi nhận thông số này, router B phát thông báo mạng 10.4.0.0 cổng S0/1 Đến lượt router A phát thông báo cổng Fa0/0

(64)

6.1.7 Tránh lặp vòng với thời gian holddown

Tình trạng lặp vịng đến vơ hạn đề cập phần tránh cách sử dụng thời gian holddown sau:

Khi router nhận từ router láng giềng thông tin cho biết Mạng X khơng truy cập router đánh dấu vào đường tới Mạng X khơng truy cập khởi động thời gian holddown Trong khoảng thời gian holddown này, router nhận thơng tin cập nhật từ router láng giềng lúc thông báo Mạng X truy cập lại router cập nhật thơng tin kết thúc thời gian holddown

Trong suốt thời gian holddown, router nhận thông tin cập nhật từ router láng giềng khác (không phải router láng riền phát thông tin cập nhật Mạng X lúc nãy) thông tin cho biết có đương đến Mạng X với thơng số định tuyến tốt đường mà router có trước cập nhật thơng tin kết thúc thời gian holddown

Trong xuốt thời gian holddown, router nhận thông tin cập nhật từ router láng riền khác (không phải router láng giềng phát thông tin cập nhật Mạng X lúc nãy) thơng tin cho biết có đường tới Mạng X với thông số định tuyến không tốt đường mà router có trước bỏ qua, không cập nhật thông tin Cơ chế giúp cho router tránh việc cập nhật nhầm thông tin cũ router láng giềng chưa hay biết Mạng X khơng truy cập Khoảng thời gian holddown bảo đảm cho tất router hệ thống mạng cập nhật xong thông tin Sau thời gian holddown hết thời hạn, tất router hệ thống cập nhật Mạng X không truy cập nữa, router có nhận biết xác cấu trúc mạng Do đó, sau thời gian holddown kết thúc router lại cập nhật thơng tin bình thường

(65)

6.2 Giao thức định tuyến RIP 6.2.1 Tiến trình RIP

IP RIP mô tả chi tiết văn Văn RFC 1058 văn thứ Tiêu chuẩn Internet (STD) 56

RIP phát triển nhiều năm, phiên (RIPv1) RIP giao thức định tuyến theo lớp địa phiên (RIPv2) RIP trở thành giao thức định tuyến khơng theo lớp địa RIPv2 có ưu điểm sau:

• Cung cấp thêm nhiều thơng tin định tuyến

• Có chế xác minh router cập nhật để đảm bảo cho bảng định tuyến

• Có hỗ trợ VLSM (Variable Length Subnet Masking-Subnet Mask có chiều dài khác nhau)

RIP tránh định tuyến lặp vịng đến vơ hạn cách giới hạn số lượng hop tối đa cho phép từ máy gửi đến máy nhận Số lượng hop tối đa cho đường 15 Đối với đường mà router nhận từ thông tin cập nhật router láng giềng, router tăng số hop lên router xem thân hop đường Nếu sau tăng số hop lên mà số lớn 15 router xem mạng đích tương ứng với đường khơng đến Ngồi ra, RIP có nhiều đặc tính tương tự giao thức định tuyến khác Ví dụ như: RIP có split horizon thời gian holddown để tránh cập nhật thơng tin định tuyến khơng xác

Các đặc điểm RIP

• Là giao thức định tuyến theo vectơ khoảng cách • Thơng số định tuyến số lượng hop

• Nếu gói liệu đến mạng đích có số lượng hop lớn 15 gói liệu bị huỷ bỏ

• Chu kỳ cập nhật mặc định 30 giây 6.2.2 Cấu hình RIP

(66)

thơng tin vào bảng định tuyến Đối với đường đến mạng đích mà router học từ router láng giềng tăng số hop lên 1, địa nguồn thông tin cập nhật địa trạm sử dụng nhiều đường có số đến đích RIP chọn đường tốt đến mạng đích, nhiên

Có thể cấu hình cho RIP thực cập nhật tức thời cấu trúc mạng thay đổi bằng lệnh ip rip triggered Lệnh áp dụng cho cổng serial router Khi cấu trúc mạng thay đổi router nhận biết thay đổi cập nhật vào bảng định tuyến trước, sau gửi thơng tin cập nhật cho router khác để thông báo thay đổi Hoạt động gọi cập nhật tức thời xẩy hồn tồn độc lập với cập nhật định kỳ Hình 6.2.2 ví dụ cấu hình RIP:

Hình 6.2.2

BHM(config)#router rip - Chọn RIP làm giao thức định tuyến cho router.BHM(config-router)#network 10.0.0.0 –Khai báo mạng kết nối trực tiếp vào

router

BHM(config-router)#network 192.168.13.0 – Khai báo mạng trực tiếp kết nối vào router

Các cổng router kết nối vào mạng 10.0.0.0 192.168.13.0 thực gửi nhận thông tin cập nhật định tuyến

Sau khởi động RIP mạng ta thực thêm số cấu hình khác Những cấu hình khơng bắt buộc phải làm, ta cấu hình thêm thấy cần thiết:

• Điều chỉnh thơng số cần thiết

(67)

• Khai báo phiên RIP mà ta sử dụng (RIPv1 hay RIPv2) • Cấu hình cho RIP thực trao đổi thơng tin cập nhật

• Cấu hình cho RIP gửi thơng tin định tuyến rút gọn cổng • Kiểm tra thơng tin định tuyến IP rút gọn

• Cấu hình IGRP RIP chạy đồng thời

• Khơng cho phép RIP nhận thông tin cập nhật từ địa IP • Mở tắt chế độ split horizon

• Kết nối RIP vào mạng WAN

Tóm lại, để cấu hình cho RIP ta bắt đầu chế độ cấu hình tồn cục sau: Router(config)#router rip - Khởi động giao thức định tuyến RIP.

Router(config-router)#network network-numbur – Khai báo mạng mà RIP phép chạy

6.2.3 Sử dụng ip classless

Khi router nhận gói liệu có địa đích subnet khơng có bảng định tuyến router Trên bảng định tuyến router xác subnet subnet kết nối trực tiếp vào router lại có supernet với subnet đích gói liệu Ví dụ: Một tổ chức sử dụng địa mạng 10.10.0.0/16, subnet 10.10.10.0/24 có supernet 10.10.0.0/16 Trong trường hợp ta dùng lệnh ip classless để router không huỷ bỏ gói liệu mà truyển gói đường đến địa supernet, có Đối với phần mềm Cisco IOS phiên 11.3 trở sau, mặc định lệnh ip classless chạy cấu hình router Nếu bạn muốn tắt lệnh

thì dùng lệnh no câu lệnh này. Tuy nhiên

nếu khơng có chức tất gói có địa đích subnet có supernet với địa mạng khác router lại khơng có bảng định tuyến bị huỷ bỏ

(68)

Cơ chế hay bị nhầm lẫn router có cấu hình đường mặc định từ địa mạng lớn chia thành nhiều nubnet Kết nối trực tiếp vào router có subnet Khi router xây dựng bảng định tuyến, bảng định tuyến đương nhiên có subnet mạng kết nối trực tiếp vào router Còn subnet khơng có subnet khơng tồn Do router nhận gói liệu có địa mạng đích subnet khơng có bảng định tuyến lại có supernet với mạng kết nối trực tiếp vào router router xem mạng đích khơng tồn huỷ bỏ gói liệu cho dù bảng định tuyến router có cấu hình đường mặc định Lệnh ip classless giải vấn đề cách cho phép router khơng cần quan tâm đến địa đích Khi router khơng tìm thấy củ thể mạng đích bảng định tuyến sử dụng đường mặc định để truyển gói

6.2.4 Những vấn đề thường gặp cấu hình RIP

Router định tuyến theo RIP phải dựa vào router láng giềng để học thông tin đến mạng mà không kết nối trực tiếp vào router RIP sử dụng thuật toán vectơ khoảng cách Tất giao thức định tuyến theo vectơ khoảng cách có nhược điểm tốc độ hội tụ chậm Trạng thái hội tụ tất router hệ thống mạng có thơng tin định tuyến mạng giống xác

Các giao thức định tuyến theo vectơ khoảng cách thường gặp vấn đề định tuyến lặp vịng đếm đến vơ hạn Đây hậu router chưa hội tụ nên truyền cho thông tin cũ chưa cập nhật

Để giải vấn đề này, RIP sử dụng kỹ thuật sau: • Định nghĩa giá trị tối đa

• Split horizon • Poison reverse • Thời gian holddewn • Cập nhật tức thời

Có số kỹ thuật địi hỏi bạn phải cấu hình, cịn có số khác khơng cần cấu hình cần cấu hình chút

(69)

Luật split horizon là: Khi gửi thơng tin cập nhật hướng khơng gửi lại thơng tin mà router đa nhận từ hướng Trong số cấu hình mạng bạn cần phải tắt chế split horizon

Sau lệnh để tắt chế split horizon: GAD(config-if)#no ip split horizon

Thời gian holddown thơng số mà ta thay đổi cần

Khoảng thời gian holddown giúp cho router tránh bị lặp vịng đếm đến vơ hạn đồng thời làm tăng thời gian hội tụ router Trong khoảng thời gian này, router không cập nhật đường có thơng số định tuyến khơng tốt đường mà router có trước đó, có có đường khác thay cho đường cũ thật router không cập nhật Thời gian holddown mặc định RIP 180 giây Ta điều chỉnh cho thời gian ngắn lại để tăng tốc độ hội tụ ta phải cân nhắc kỹ,thời gian holddown lý tưởng phải dài khoảng thời gian dài tồn hệ thống mạng tồn hệ thống cập nhật xong Ví dụ hình 6.2.4 ta có router Nếu router có thời gian cập nhật 30 giây thời gian tối đa router cập nhật xong 120 giây Như thời gian holddown phải dài 120 giây

Để thay đổi thời gian holddown ta dùng lệnh sau:

Router(config-router)#times basic update invalid holddown flush [sleeptime]

Hình 6.2.4

(70)

Để thay đổi chu kỳ cập nhật ta dùng lệnh sau: GAD(config-router )# update-time seconds

Còn vấn đề ta hay gặp giao thức định tuyến ta không muốn cho giao thức gửi thông tin cập nhật định tuyến cổng Sau nhập lệnh network để khai báo địa mạng RIP bắt đầu gửi thông tin định tuyến tất cổng có địa mạng nằm mạng mà bạn vừa khai bao Nhà quản trị mạng khơng cho phép gửi thông tin cập nhật định tuyến cổng nào lệnh passive-interface.

GAD(config-router)#neighbor ip address

Phần mềm Cisco IOS nhận gói thơng tin RIP phiên gửi gói thơng tin RIP phiên nhà quản trị mạng cấu hình cho router gửi nhận gói phiên gửi gói phiên … lệnh sau:

GAD(config-router)#version (1/2) GAD(config-if)#ip rip send version GAD(config-if)#ip rip send version GAD(config-if)#ip rip send version GAD(config-if)#ip rip receive version GAD(config-if)#ip rip receive version GAD(config-if)#ip rip receive version 6.2.5 Kiểm tra cấu hình RIP

Có nhiều lệnh kiểm tra cấu hình RIP có hay khơng Trong lệnh thường sử dụng nhiều show ip route show ip protocols

Lệnh show ip protocols hiển thị giao thức định tuyến ip chạy router Kết hiển thị lệnh giúp ta kiểm tra phần lớn cấu hình RIP chưa phải đầy đủ tồn Sau ta cần ý số điểm kiểm tra:

• Có giao thức định tuyến RIP cấu hình hay khơng

• RIP cấu hình để gửi nhận thơng tin cập nhật cổng có xác hay khơng

(71)

Hình 6.2.5a

Lệnh show ip route sử dụng để kiểm tra xem đường mà router học từ router rip láng giềng có cài đặt vào bảng định tuyến không Trên kết hiển thị bảng định tuyến, ta kiểm tra đường có đánh dấu chữ R đầu dòng mà đương router học từ router rip láng giềng Ta nên nhớ router có khoảng thời gian để hội tụ với nhau, thơng tin chưa hiển thị bảng định tuyến

Ngồi cịn có số lệnh khác mà ta sử dụng để kiểm tra cấu hình RIP: • show interface interface

show ip interface interface • show running config

Hình 6.2.5b 6.2.6 Xử lý cố hoạt động cập nhật RIP

(72)

Lệnh debug ip rip hiển thị tất thông tin định tuyến mà rip gửi nhận Ví dụ hình 6.2.6 cho ta thấy kết hiển thị lệnh debug ip rip Sauk hi nhận thông tin cập nhật, router xử lý thơng tin sau gửi thông tin vừa cập nhật cổng Trong hình cho ta thấy router chạy rip v1 rip gửi cập nhật theo kiểu broadcast (địa broadcast 255.255.255.255) số ngoặc đơn địa nguồn gói thơng tin cập nhật RIP

Hình 6.2.6

Có nhiều điểm quan trọng mà ta cần ý kết hiển thị lệnh debug ip rip Một số vấn đề, ví dụ subnet khơng liên tục hay trùng subnet, phát nhờ lệnh Trong trường hợp ta thấy mạng đích router gửi thơng tin mạng đích lại có thơng số định tuyến thấp so với router nhận vào trước

Ngồi cịn số lệnh sử dụng để sử lý cố RIP: • show ip rip database

• show ip protocols (summary) • show ip route

• debug ip rip (events) • show ip interface brief

6.2.7 Khơng cho router gửi thông tin định tuyến cổng giao tiếp

(73)

Tuy nhiên router sử dụng giao thức định tuyến theo trạng thái đường liên kết chế khơng hiệu giao thức định chọn đường sở liệu trạng thái đường liên kết không dựa vào thông tin định tuyến nhận Chính mà cách thực để ngăn không cho router gửi thông tin định tuyến cổng giao tiếp đề cập sau sử dụng cho giao thức định tuyến theo vectơ khoảng cách nh RIP, IGRP thơi

Ta sử dụng lệnh passive interface để ngăn không cho router gửi thông tin cập nhật định tuyến cổng Làm bạn ngăn hệ thống mạng khác học thông tin định tuyến hệ thống

Đối với RIP IGRP, lệnh passive interface làm cho router ngừng gửi thông tin cập nhật định tuyến cho router láng giềng đó, router tiếp tục lắng nghe nhận thông tin cập nhật từ router láng giềng

6.2.8 Chia tải với RIP

Router chia tải theo nhiều đường có nhiều đường tốt đến đích.Bạn cấu hình tay cho route chia tải đường la route giao thức định tuyến độngcó thểtự động tính tốn để chia tải RIP có khả chia tải tối đa đường, có chi phí nhau, cịn mạc định rip chia tải đường RIP thực chia tải cách sử dụng luân phiên đường

6.2.9 Chia tải cho nhiều đường

Router có khả chia tải nhiều đường để chuyển gói liệu đến đích Chúng ta cấu hình tay cho router thực chia tải giao thức định tuyến động RIP, IGRP, EIGRP OSPF tự động tính tốn

Khi router nhận thông tin cập nhật nhiều đường khác đến đích router chọn đường có số tin cậy(Administrative distance) nhỏ để đặt vào bảng định tuyến Trong trường hợp đường có số tin cậy router router chọn đường có chi phí thấp có thơng số định tuyến nhỏ Mỗi giao thức định tuyến có cách tính chi phí khác ta cần phải cấu hình chi phí để router thực chia tai

(74)

định tuyến Cisco IOS ), nhiên số giao thức định tuyến nội (IGP) có giới hạn riêng Ví dụ EIGRP co phép tối đa đương

Mặc định hầu hết giao thức định tuyến IP chia tải đường Đường cố định chia tải đường Chỉ riêng BGP ngoại lệ, mặc định BGP cho phép định tuyến đường đến đích

Số đường tối đa mà router chia tải từ đến đường Để thay đổi số đường tối đa cho phép ta sử dụng lệnh sau:

Router(config-router)#maximum-paths [number]

IGRP chia tải lên tối đa đường RIP dựa vào số lượng hop để chọn đường chia tải, IGRP dựa vào băng thơng để chọn đường chia tải

Khi định tuyến IP, Cisco IOS có chế chia tải là: Chia tải theo gói liệu chia tải theo địa đích Nếu router chuyển mạng theo tiến chình router chia gói liệu đường Cách gọi chia tải theo gói liệu Cịn router chuyển mạch nhanh router chuyển tất gói liệu đến đích đường Các gói liệu đến hop khác mạng đích tải đường Cách gọi chia tải theo địa đích

6.2.10 Tích hợp đường cố định với RIP

Đường cố định người quản trị cấu hình cho router chuyển gói tơi mạng đích theo đường mà muốn Mặt khác, lệnh để cấu hình đường cố định sử dụng để khai báo cho đường mặc định Trong trường hợp router khơng tìm thấy đường bảng định tuyến để chuyển gói đến mạng đích router sử dụng đường mặc định

Router chạy RIP nhận thơng tin đường mặc định từ thông tin cập nhật router RIP láng giềng khác Hoặc thân router cấu hình đường mặc định cập nhật thơng tin định tuyến cho router khác

(75)

Nếu ta cấu hình đường cố định cổng RIP chạy cổng RIP gửi thông tin cập nhật đường cố định cho tồn hệ thống mạng Vì đó, đường cố định xem kết nối trực tiếp vào router nên khơng cịn chất đường cố định Nếu ta cấu hình đường cố định cổng mà RIP không chạy cổng RIP khơng gửi thơng tin cập nhật đường cố định đó, chừ khi ta phải cấu hình thêm lệnh redistribute static cho RIP.

(76)

BÀI TẬP CHƯƠNG 6. Cho sơ đồ mạng hình vẽ thực cơng việc sau

- Cấu hình cho thiết bị theo bảng địa cho - Cấu hình định tuyến động RIP V1 router

- Đảm bảo tất máy tính truyền thơng với - Cho xem thông số bảng định tuyến

(77)

CHƯƠNG 7: DANH SÁCH TRUY CẬP ACLs 7.1 Cơ Danh sách kiểm tra truy cập

7.1.1 ACL ?

ACLs danh sách điều kiện áp dụng cho lưu lượng qua cổng Router Danh sách cho phép Router biết loại gói chấp nhận hay bị từ chối dựa điều kiện cụ thể ACL sử dụng để quản lý lưu lượng mạng bảo vệ truy cập vào hệ thống mạng

ACL tạo cho tất giao thức định tuyến IP (Internet Protocol) IPX (Internetwork Packet Exchange) ACL cấu hình router để kiểm tra việc truy cập mạng hay subnet

Hình 7.1 Ví dụ ACL

(78)

Hình 7.2 Cấu trúc gói liệu Một số nguyên nhân để tạo ACLs:

Giới hạn lưu lượng mạng để tăng hiệu xuất hoạt động mạng Ví dụ, cách giới hạn lưu lượng truyền video, ACLs làm giảm tải đáng kể làm tăng hiệu suất mạng

Kiểm tra dòng lưu lượng ACLs giới hạn thơng tin truy cập định tuyến

Cung cấp chế độ bảo vệ truy cập ACLs cho phép host truy cập vào phần hệ thống mạng ngăn không cho host khác truy cập vào khu vực

Quyết định loại lưu lượng phép cho qua hay chặn lại cơng router Ví dụ, lưu lượng Email phép cho qua tất lưu lượng telnet bị chặn lại

Cho phép người quản trị mạng điều khiển phạm vi mà Client quyền truy cập vào hệ thống mạng

Kiểm tra host phép hay từ chối không cho truy cập vào khu vực hệ thống Nếu router khơng có cấu hình ACLs tất gói chuyển đến vị trí hệ thống mạng

7.1.2 ACLs làm việc nào

Mỗi ACLs danh sách câu lệnh xác định gói liệu chấp nhận hay từ chối chiều hay chiều vào cổng Router Mỗi câu lệnh có điều kiện kết chấp nhận hay từ chối tương ứng Nếu thoả điều kiện câu lệnh định chấp nhận hay từ chối thực

(79)

kiện câu lệnh gói liệu chấp nhận hay từ chối tồn câu lệnh cịn lại ACLs khơng phải kiểm tra Nếu khơng thoả điều kiện tất câu lệnh ACLs mặc định cuối danh sách ln có câu lệnh ẩn “deny any” (từ chối tất cả)

Nếu bạn cần thêm câu lệnh vào ACLs bạn phải xố tồn ACLs tạo lại ACLs có câu lệnh

Hình 7.3 Sơ đồ làm việc ACLs 7.1.3 Tạo ACLs

ACLs tạo chế độ cấu hình tồn cục Có nhiều loại ACLs khác nhau, bao gồm: ACL bản, ACL mở rộng, ACL cho IPX, AppleTalk giao thức khác Khi cấu hình ACLs router ACL có số xác định

Hình 7.4 Các thơng số cấu hình ACL

(80)

Các nguyên tắc tạo gán ACLs:

Một ACL cho giao thức chiều cổng ACL nên đặt vị trí gần mạng đích

ACL mở rộng nên đặt gần mạng nguồn

Đứng router để xác định chiều hay vào cổng router Các câu lệnh ACL kiểm tra từ xuống có câu lệnh thỏa Ngược lại, khơng có câu lệnh ACL gói liệu bị từ chối

Hình 7.5 Cấu hình ACL cho router

Trong thực tế, lệnh danh sách truy cập xâu kí tự dài Các danh sách truy cập phức tạp nhập vào dịch ra.Tuy nhiên, bạn đơn giản hố lệnh định cấu hình cho danh sách truy cập chung cách giảm lệnh hai phần tử chung

Mô hình tạo ACL:

Bước 1: Tạo thơng số cho câu lệnh kiểm tra danh sách truy cập (có thể vài câu lệnh):

Router(config)#access-list access-list-number {permit | deny} {test condition}

Bước 2: Cho phép giao diện trở thành phần nhóm, nhóm mà sử dụng danh sách truy cập xác định (kích hoạt access list interface)

Router(config-ip)#{protocol} access-group access-list-number {in | out}

access-list-number số hiệu phân biệt access list với nhau, đồng thời cho biết loại access list (standard hay extended)

Cập nhật danh sách truy cập:

(81)

ACL phải xoá tạo lại với câu lệnh điều kiện Xác định ACLs nào?

Mỗi ACL xác định cách gán số (hoặc tên) cho Số xác định kiểu danh sách truy cập tạo phải nằm phạm vi giới hạn đặc biệt số:

Một ACL số hố khơng thể bị hiệu chỉnh router Để hiệu chỉnh ACL:

Bước 1: Copy tới file văn bản.

Bước 2: Gỡ bỏ từ cấu hình router với ‘no’ hình dạng câu lệnh ACL Bước 3: Tạo thay đổi cần thiết cho lile văn bản.

Bước 4: Dán trở lại chế độ cấu hình chung 7.1.4 Chức wildcard mask

Một wildcard mask dài 32 bit chia làm Octet Mỗi wildcard mask cùng với địa IP Số bit wildcard mask sử dụng để xác định cách xử lý bit tương ứng địa IP

(82)(83)

Hình 7.7 Quá trình kết hợp IP wildcard mask

7.1.5 Kiểm tra ACLs

(84)

Hình 7.8 Ví dụ lệnh show

7.2 Danh sách kiểm tra truy cập 7.2.1 ACLs bản

ACLs thực kiểm tra địa IP nguồn gói liệu Kết kiểm tra dẫn đến kết cho phép hay từ chối truy cập toàn giao thức dựa địa mạng, subnet hay host Trong chế độ cấu hình tồn cục, lệnh access-list sử dụng để tạo ACL với số ACL nằm khoảng từ đến 99

Ví dụ:

Access-list deny 172.16.1.1

Access-list permit 172.16.1.0 0.0.0.255 Access-list deny 172.16.0.0 0.0.255.255 Access-list permit 172.0.0.0 0.255.255.255

Câu lệnh ACL khơng có wildcard mask, trường hợp wildcard mask mặc định sử dụng 0.0.0.0 Điều có nghĩa tồn địa 172.16.1.1 phải thỏa, khơng router phải kiểm tra câu lệnh ACL

(85)

Hình 7.9 Hoạt động ACL bản Cấu trúc đầy đủ lệnh ACL bản:

Router(config)#access-list access-list-number {deny / permit} Source [ source wildcard ] [ log ]

Dạng no câu lệnh sử dụng để xóa ACLs: Router(config)#no access-list access-list-number 7.2.2 ACLs mở rộng

ACLs mở rộng thường sử dụng nhiều ACLs có khả kiểm sốt lớn nhiều ACLs mở rộng kiểm tra điạ nguồn đích gói liệu, kiểm tra giao thức với số cổng Do thuận tiện việc cấu hình điều kiện kiểm tra cho ACL Gói liệu chấp nhận hay từ chối dựa vị trí xuất phát đích đến gói liệu với loại giao thức số cổng Ví dụ, ACL mở rộng cho phép lưu lượng Email từ cổng Fa0/0 cổng S0/0 từ chối lưu lượng Web FTP Khi gói liệu bị hủy bỏ bị từ chối, số giao thức gửi thông điệp phản hồi cho máy gửi để thông báo liệu khơng đến đích

Trong ACL có nhiều câu lệnh Các câu lệnh có số ACL nằm danh sách ACL Có thể cấu hình số lượng ACL với số lượng không hạn chế phụ thuộc vào dung lượng nhớ router

(86)

Ví dụ:

Access-list 114 permit tcp 172.16.6.0 0.0.0.255 any eq telnet Access-list 114 permit tcp 172.16.6.0 0.0.0.255 any eq ftp Access-list 114 permit tcp 172.16.6.0 0.0.0.255 any eq ftp-data

Ở cuối câu lệnh ACL mở rộng có thơng số số port TCP UDP để xác định xác hơn loại gói liệu Có thể xác định số port tham số eq (equal: bằng), neq (not equal: không bằng), gt (greater: lớn hơn), lt (less than: nhỏ hơn) ACL mở rộng sử dụng số ACL từ 100 đến 199 (và từ 2000 đến 2699 IOS gần đây)

Lệnh ip access-group sử dụng để gán ACL mở rộng có vào cổng router Một ACL cho giao thức cho chiều cổng

Ví dụ:

Router(config-if)#ip access-group access-list-number {in | out} 7.2.3 Đặt tên ACLs

Đặt tên ACLs có ưu điểm sau:

Xác định ACL tên mang tính trực giác

ACLs đặt tên chỉnh sửa mà khơng cần phải xóa tồn ACLs viết lại từ đầu ACLs đặt theo số

Khơng cịn bị giới hạn tối đa 798 ACLs 799 ACLs mở rộng Ví dụ cấu hình đặt tên ACL:

TN(config)#ip access-list extended server-access

TN(config-ext-nacl)#permit TCP any host 131.108.101.99 eq mstp TN(config-ext-nacl)#permit UDP any host 131.108.101.99 eq domain TN(config-ext-nacl)#deny ip any any

TN(config-ext-nacl)#^Z Applying the name list:

TN(config)#interface fastethernet 0/0

TN(config-if)#ip access-group server-access out TN(config-if)#^Z

Những điểm cần lưu ý thực đặt tên ACLs:

ACLs đặt tên không tương thích với Cisco IOS phiên trước 11.2,

(87)

7.2.4 Vị trí đặt ACLs

ACLs sử dụng để kiểm soát lưu lượng cách lọc gói liệu loại bỏ lưu lượng không mong muốn mạng Vị trí đặt ACLs quan trọng, giúp cho hoạt động toàn hệ thống mạng hiệu

Hình 7.10 Vị trí đặt ACLs

Nguyên tắc chung là: Đặt ACLs mở rộng gần nguồn nguồn lưu lượng mà ta muốn chặn lại tốt ACLs không xác định địa đích nên đặt chúng gần đích tốt

7.2.5 Bức tường lửa

Bức tường lửa cấu trúc ngăn người dùng bên hệ thống mạng với hệ thống bên để tránh kẻ xâm nhập bất hợp pháp Một tường lửa bao gồm nhiều thiết bị làm việc để ngăn chặn truy cập không mong muốn

Hình 7.11 Cấu trúc tường lửa

(88)

phân phối dịch vụ vào hệ thống mạng Khi đó, user phép kết nối Internet ứng dụng phép thiết lập kết nối cho host bên bên Điều giúp bảo vệ Application gateway tránh cho bị tải gói liệu vốn bị hủy bỏ

Do ACLs đặt router đóng vai trị tường lửa, router vị trí trung gian mạng bên mạng bên Router tường lửa cách ly cho toàn hệ thống mạng bên tránh bị công ACLs nên sử dụng router vị trí trung gian kết nối hai phần hệ thống mạng kiểm soát hoạt động hai phần

7.2.6 Giới hạn truy cập vào đường vty router

ACLs mở rộng có hiệu gói liệu qua router Nhưng chúng khơng chặn gói liệu xuất phát từ thân router Do ACL mở rộng ngăn hướng Telnet ngăn chặn phiên Telnet xuất phát từ router

Hình 7.12 Truy cập vào đường vty router

Trên router có cổng vật lý cổng Fa0/0 S0/0 có cổng ảo Các cổng gọi đường vty đánh số từ đến Giới hạn truy cập vào đường vty tăng khả bảo vệ cho hệ thống mạng Quá trình tạo vty ACLs giống tạo các ACL khác, đặt ACLs vào đường vty dùng lệnh access-class thay dùng lệnh access-group

Ví du:

Creating the standard list:

Router1(config)#access-list permit 172.16.1.0 0.0.0.255 Router1(config)#access-list permit 172.16.2.0 0.0.0.255 Router1(config)#access-list deny any

(89)

Router1(config)#line vty 4

Router1(config-line)#password secret Router1(config-line)#access-class in Router1(config-line)#login

(90)

BÀI TẬP CHƯƠNG 7. 1 Cho sơ đồ mạng sau

2 Yêu cầu:

3 Cầu hình định tuyến động RIP mạng cơng ty Cấu hình định tuyến tĩnh Cơng ty ISP

5 Cấm tất máy gắn với Switch3 không truy cập mạng gắn với Switch Cấm tất máy gắn với mạng Switch2 không truy cập trang web

http://mail.yahoo.com

Ngày đăng: 03/04/2021, 20:30

TỪ KHÓA LIÊN QUAN

TÀI LIỆU CÙNG NGƯỜI DÙNG

  • Đang cập nhật ...

TÀI LIỆU LIÊN QUAN