TRƯỜNG CAO ĐẲNG KỸ THUẬT CAO THẮNG CHƯƠNG 3: REDISTRIBUTE – VLAN – NAT – ACL GV: LƯƠNG MINH HUẤN NỘI DUNG I Redistribute II VLAN III NAT IV.ACL I REDISTRIBUTE ➢Redistribute phương pháp phân phối Route học từ giao thức định tuyến vào giao thức định tuyến khác ➢Redistribute thường thực Router giao tiếp hai giao thức định tuyến khác hay gọi Router biên dịch ASBR (Boundary Router) I REDISTRIBUTE ➢Redistribute không dùng để phân phối giao thức định tuyến động mà cịn phân phối giao thức định tuyến tĩnh chí Route Connected: ▪ Phân phối giao thức định tuyến động: RIP, EIGRP, OSPF, BGP ▪ Phân phối Static Route (Bao gồm Static Default Route) vào giao thức định tuyến động ▪ Phân phối Route Connected vào giao thức định tuyến động chẳng hạn Route Loopback I REDISTRIBUTE ➢Trong Redistribute ta cịn có khái niệm quan trọng Seed Metrics ➢Seed Metrics Metric Default mà ta thực Redistribute từ giao thức định tuyến vào giao thức định tuyến khác Route phân phối định nghĩa Metric Default ➢Chẳng hạn giao thức OSPF mà ta muốn Redistribute Route thuộc giao thức định tuyến khác RIP, EIGRP vào giao thức OSPF Route RIP, EIGR có Metric Default AS quy định nhà quản trị quy định I REDISTRIBUTE ➢Khi muốn Redistribute giao thức định tuyến vào giao thức định tuyến khác ta phải lấy giao thức định tuyến đích làm gốc để thực ➢Chẳng hạn ta muốn Redistribute giao thức RIP vào EIGRP ta phải vào Mode cấu hình EIGRP để thực Redistribute RIP vào ➢Như nói lúc trước thực Redistribute vào RIP hay EIGRP mà khơng có Seed Metric Route RIP không phân phối vào, để định nghĩa Seed Metric ta dùng giá trị K (K1, K2, K3, K4, K5) để tính Metric Redistribute I REDISTRIBUTE Ví dụ router eigrp 123 redistribute ospf metric 100000 10 255 255 1500 ➢Theo thứ tự Default Metric giá trị tương ứng Bandwidth (1000000), Delay (10), Reliability (255 ~ 100%), Load (255 ~ 1005) MTU (1500 Bytes) I REDISTRIBUTE Hoạt động: ➢Để thực redistribute, router phải chạy giao thức định tuyến lúc, giao thức lại đưa tuyến học vào bảng định tuyến router ➢Sau đó, giao thức lấy số tất tuyến học từ giao thức khác quảng bá ngồi I REDISTRIBUTE ➢Redistribute có lẽ quen thuộc OSPF đặc biệt MultiArea OSPF hay trường hợp ta muốn phân phối Default Route để Router nội Internet ➢Tuy nhiên lúc Redistribute hoạt động hiệu mong muốn, vài trường hợp Redistribute dẫn tới định tuyến sai Route, định tuyến Route không tối ưu chí gây Loop mạng I REDISTRIBUTE Khi cần sử dụng Redistribute: ➢Nếu hệ thống mạng chạy nhiều giao thức định tuyến, người quản trị cần vài phương thức để gửi route giao thức vào giao thức khác ➢Quá trình gọi redistribution Internet Extended ACL DNS TFTP 172.16.1.1 HTTP HTTPs RDP access-list access-list access-list access-list 100 100 100 100 permit deny deny permit tcp tcp tcp ip 10.0.0.0/24 NAT DS1 0.0.0.255 20.0.0.0 20.0.0.0 0.0.0.255 20.0.0.0 0.0.0.255 any host 172.16.1.1 eq 80 any eq 80 any eq 443 any 20.0.0.0/24 Extended ACL access-list access-list access-list access-list 100 100 100 100 Internet deny icmp 10.0.0.0 0.0.0.255 host 172.16.1.1 echo permit icmp 10.0.0.0 0.0.0.255 host 172.16.1.1 echo-reply permit ip 10.0.0.0 0.0.0.255 any permit ip 20.0.0.0 0.0.0.255 any NAT Yêu cầu: Cấm mạng 10.0.0.0/8 ping tới Server cho phép Server ping tới lớp mạng 10.0.0.0/8 echo-request echo-reply echo-reply echo-request DNS TFTP 172.16.1.1 HTTP ACL HTTPs 10.0.0.0/24 DS1 20.0.0.0/24 IV ACL ➢Cách hoạt động ACL ➢Access-list hoạt động theo logic từ xuống ➢Access-list có thứ tự nhỏ xét đến trước tiên, protocol, source, destination IP, port phù hợp với điều kiện access-list, hành động (permit/deny/…) thi hành; ➢Nếu không, router tiếp tục xét để access-list có thứ tự nhỏ ➢Trong trường hợp sử dụng access-list accesslist trùng khớp, mặc định gói tin bị deny IV ACL ➢Cụ thể hơn, yêu cầu: Cho phép máy có địa mạng 10.1.1.0/24 truy cập vào mạng, chặn telnet đến server 192.168.1.1 ➢Trường hợp 1: ▪ config#access-list 101 deny tcp 10.1.1.0 0.0.0.255 host 192.168.1.1 eq 23 ▪ config#access-list 102 permit ip any any ➢Trường hợp 2: ▪ config#access-list 101 permit ip any any ▪ config#access-list 102 deny tcp 10.1.1.0 0.0.0.255 host 192.168.1.1 eq 23 IV ACL ➢Ở trường hợp 1, access-list 101 kiểm tra trước máy có địa 10.1.1.0/24 bị deny vào port 23 host 192.168.1.1 Sau đó, access-list 102 kiểm tra cho phép tất traffic lại qua ➢Ở trường hợp 2, access-list 101 kiểm tra trước tất traffic IP permit Tuy nhiên, thỏa điều kiện access-list 101, access-list 102 xem vô nghĩa máy mạng 10.1.1.0/24 telnet vào srever 192.168.1.1 IV ACL ➢Cách tính Wildcard mask ➢Wildcard mask match host Vd: Tính wildcard mask match host 192.168.1.1 Theo nguyên tắc: bit kiểm tra – bit bỏ qua -> Địa IP: 192.168.1.1 0.0.0.0 từ khóa “host” ➢Wildcard mask match tất địa IP Vd: Tính wildcard mask match tất địa IP Theo nguyên tắc: bit kiểm tra – bit bỏ qua -> Địa IP: 192.168.1.1 255.255.255.255 từ khóa “any” IV ACL ➢Wildcard mask match subnet Vd: Tính wildcard mask match subnet 192.168.1.0/24 Cách tính: Lấy 255.255.255.255 trừ subnet mask subnet -> Địa IP: 192.168.1.1 0.0.0.255 ➢Tính Wildcard mask match range địa IP liên tục Vd: Tính wildcard mask match range từ 192.168.2.0 đến 192.168.4.255 Cách tính: Lấy địa cuối trừ địa đầu -> Địa IP: 192.168.2.0 0.0.2.255 IV ACL ➢Tính widcard mask match số IP add Vd: Cho địa IP 192.168.1.0, tính wildcard mask match X host -> Dải địa cần match: 192.168.1.0 - > 192.168.1.X -> wildcard mask: 0.0.0.X (lấy địa cuối trừ địa đầu) -> Địa IP: 192.168.1.0 0.0.0.X IV ACL ➢Tính wildcard mask nửa (upper half) nửa (lower half) dải mạng: Vd: Cho địa IP 192.168.1.0, tính wildcard mask match nửa dải IP phía dưới: -> Dải địa nửa trên: 192.168.1.0 - > 192.168.1.127 -> wildcard mask: 0.0.0.127 (lấy địa cuối trừ địa đầu) -> Địa IP: 192.168.1.0 0.0.0.127 -> Dải địa nửa dưới: 192.168.1.128 - > 192.168.1.255 -> wildcard mask: 0.0.0.127 (lấy địa cuối trừ địa đầu) -> Địa IP: 192.168.1.128 0.0.0.127 IV ACL ➢Tính wildcard mask match IP lẻ, IP chẵn ➢Địa Ip lẻ / chẳn địa có octet cuối dạng thập phân số lẻ / chẳn Vd: IP lẻ - 192.168.1.1 IP chẵn – 192.168.1.2 ➢Nhận xét: bit cuối IP lẻ bit 1, bit cuối IP chẵn bit Vậy wildcard mask thỏa mãn phải tạo dải địa IP có bit cuối octet cuối không đổi ➢Giải pháp: để router match bit cuối octet cuối địa IP, bit tương ứng wildcard mask phải bit IV ACL Vd1: Cho địa IP: 192.168.1.0, tính wildcard mask match tất IP chẵn: ➢wildcard mask: 0.0.0.254 (dạng nhị phân: 00000000.00000000.00000000.11111110) ➢Địa IP: 192.168.1.0 0.0.0.254 (IP chẵn có bit cuối ln 0) Vd2: Cho địa IP: 192.168.1.0, tính wildcard mask match tất IP lẻ ➢wildcard mask: 0.0.0.254 (dạng nhị phân: 00000000.00000000.00000000.11111110) ➢Địa IP: 192.168.1.1 0.0.0.254 (IP lẻ có bit cuối ln 1) IV ACL ➢Tính wildcard mask match range IP address khơng liên tục ➢Đây dạng tốn tính wildcard mask phức tạp admin khơng có cách sử dụng wildcard mask để tạo thành địa IP match tất dải IP ban đầu: ➢Vd: Tính wildcard mask match dải: 192.168.1.15 - > 192.168.1.75 IV ACL ➢Nhận xét: Đây dải IP không liên tục , khơng có wildcard mask thỏa mãn dải không liên tục Tuy nhiên dải IP liên tục ln có wildcard mask thỏa mãn ➢Giải pháp: Chia dải IP ban đầu thành dải nhỏ mà ln tìm wildcard mask thỏa mãn dải Vậy cách chia nào? ➢Nhắc lại: bit octet phần host đại diện cho nhóm host gọi block size Bit cuối block size thể host, tương tự bit block size 128 Và, block size tìm wildcard mask thỏa mãn IV ACL ➢Chia dải thành block size: - 192.168.1.15 (1) - 192.168.1.16 - > 192.168.1.31 (2) - 192.168.1.32 - > 192.168.1.63 (3) - 192.168.1.64 -> 192.168.75 (4) Tính wildcard mask cho block size: - (1): 192.168.1.15 0.0.0.0 - > IP host - (2): 192.168.1.16 0.0.0.15 - (3): 192.168.1.32 0.0.0.31 IV ACL ➢(4): Chưa có wildcard mask phù hợp, ta phân tích dạng nhị phân octet cuối để tách tiếp wildcard mask: 64: 01000000 75: 01001011 -> Ta tách thành: 01000000 -> 01000111 (5) 01001000 -> 01001011 (6) -> (5): 192.168.1.64 0.0.0.0.7 (6): 192.168.1.72 0.0.0.3 Tổng kết: Như vậy, từ dải IP ban đầu, ta tách thành dải nhỏ (1)(2)(3)(4)(5)(6) ... cung cấp Do đó, thiết lập cấu hình VLAN phụ thuộc vào nhà sản xuất thiết bị II VLAN ➢Khi nên cần xây dựng VLAN: ▪ Có 200 máy tính mạng LAN ▪ Lưu lượng quảng bá (broadcast traffic) mạng LAN lớn... mong muốn ▪ Tiết kiệm chi phí thiết bị, khai thác tối đa số port switch ▪ Giúp mạng có tính linh động cao: việc chia VLAN giúp dễ dàng di chuyển, thêm bớt thiết bị, cần cấu hình lại cổng switch... định tuyến khác ▪ Do yếu tố lịch sử, tổ chức có nhiều mạng Các mạng dùng giao thức định tuyến khác ▪ Sau công ty hợp ▪ Các nhà quản trị mạng khác có tư tưởng khác I REDISTRIBUTE ➢Trong môi trường