GRE tunnels thường được sử dụng để vận chuyển giao thức định tuyến trên IPsec VPNs.
Maximum transmission unit (MTU) và phân mảnh là vấn đề phổ biến.
Sự cố liên quan đến thiết lập GRE tunnel thường do cấu hình giữa tunnel nguồn và tunnel đích.
Firewalls và lọc lưu lượng có thể chặn lưu lượng truy cập IPsec.
Nhiều GRE point-to-point tunnels bão hòa liên kết vật lý với thông tin định tuyến nếu băng thông không cấp đầy đủ quyền hoặc cấu hình sai trên interface tunnel.
Tính chất point-to-point truyền GRE tunnels làm cho giải pháp full-mesh là một thách thức vì tất cả router phải kết thúc một số lượng lớn tunnel.
Công nghệ có thể làm giảm yêu cầu full-mesh làm cho nó năng động, tự động, và hiệu quả có thể được triển khai (Virtual Tunnel Interface [VTI], Dynamic Multipoint VPN [DMVPN], Group-Encrypted Transport VPN [GET VPN]).
SVTH: Phan Thái Vương Trang 77 Hình 7-5 Topology cấu hình định tuyến trên GRE tunnel
Trong hình 7-5, GRE tunnel bị đứt tại interface loopback của router tại mỗi
đầu.
Interface loopback cũng được tiêm vào EIGRP, và nó được quảng bá qua tunnel đến bên kia, từ R1 đến R3 và ngược lại.
Bảng định tuyến sẽ cho thấy đường đi tốt nhất đến loopbacks, tunnel nguồn là tunnel chính nó. Điều này làm cho định tuyến không phù hợp dẫn đến sự
cốđịnh tuyến đệ quy.
Khi đường đi tốt đến tunnel đích thông qua tunnel chính nó, định tuyến đệ
quy gây ra interface tunnel bị flap. Điều này có thể xảy ra bằng cách chỉ cho phép một giao thức định tuyến như OSPF qua tunnel.
Ví dụ cầu hình GRE lỗi
EIGRP đang được định tuyến qua IPsec VPN tunnel, sử dụng GRE.
GRE tunnel là nguồn tại interface loopback trên mỗi router.
EIGRP được sử dụng để quảng cáo cho mạng internal trong không gian địa chỉ 10.0.0.0, đối với kết nối branch-to-headquarters.
Sự cố là lưu lượng không đến mạng headquarters.
Hình 7-6 Topology khắc phục sự cố cấu hình GRE lỗi
Tại router Headquarters kiểm tra trạng thái VPN tunnel và tìm địa chỉ
IP của router Branch như là đích đến bằng cách sử dụng lệnh show crypto isakmp sa.
SVTH: Phan Thái Vương Trang 78
Ví dụ 7-1 Kết quả của lệnh show crypto isakmp sa
Trạng thái của tunnel đến branch tại 172.16.1.1 là ACTIVE. Lệnh tương tự tại router Branch cũng hiển thị là ACTIVE.
VPN tunnel thông báo là active ở cả 2 đầu.
Khắc phục sự cố từ dưới lên xác định điểm đến headquarters có thể
tìm thấy trong bảng định tuyến của router branch. Sử dụng lệnh show ip route và tìm mạng 10.2.2.0/24. Nhưng subnet này hiện tại không có.
Ví dụ 7-2 Kết quả của lệnh show ip route
Định tuyến sẽ xảy ra trên GRE qua VPN tunnel. Kiểm tra GRE (tunnel0) bằng cách sử dụng lệnh show interfaces tunnel 0
Ví dụ 7-3 Lệnh show interfaces tunnel 0 kiểm tra GRE
Tunnel nguồn tại BRANCH là 10.100.100.1 (loopback101) và tunnel
đích là 10.200.200.22
Lệnh tương tự cũng thực hiện trên router HQ.
Kiểm tra router Headquarters và thấy địa chỉ 10.200.200.22 không hợp lệ với tunnel này.
Lệnh show interfaces tunnel 0 trên router HQ thấy tunnel nguồn tại HQ là loopback101 với địa chỉ IP 10.200.200.2, không phải địa chỉ
SVTH: Phan Thái Vương Trang 79 10.200.200.22. Nó trông giống như một lỗi đánh máy đã xảy ra tại router Branch.
Lệnh của ví dụ này tương tự như ví dụ 7-3
Quay lại với router Branch để fix lỗi địa chỉđích tunnel.
Đầu tiên nhập vào lệnh debug ip routing xem tuyến đường EIGRP xuất hiện trong bảng định tuyến như là kết quả sữa chữa tunnel.
Trong chếđộ cấu hình interface đối với interface tunnel0, xóa địa chỉ
tunnel đích không chính xác và nhập địa chỉ tunnel chính xác 10.200.200.2
Ví dụ 7-4 Lệnh cấu hình GRE trên router
Thông điệp debug cho thấy EIGRP neighbor session được thành lập. Bảng định tuyến được phổ biến trên tunnel.
Xác nhận kết nối end-to-end với các mở rộng ping từ router Branch bằng cách sử dụng interface Fa0/0 như là nguồn đến địa chỉ 10.2.2.1 tại headquarters. Ping được thành công.
SVTH: Phan Thái Vương Trang 80
CHƯƠNG 8 KHẮC PHỤC SỰ CỐ DỊCH VỤĐỊA CHỈ
8.1 Dịch vụđịa chỉ IPv4
8.1.1Hoạt động của NAT/PAT
Network Address Translation (NAT) được thiết kế cho sự tồn tại của địa chỉ IP version 4 (IPv4).
Được sử dụng để che giấu địa chỉ với mục đích an ninh.
Hoạt động ở ranh giới giữa các mạng và dịch địa chỉ nguồn của gói tin IP exiting được private addresses chuyển đến public addresses trước khi gói tin
được chuyền ra ngoài.
Thông tin tiêu đề gói tin và dịch địa chỉ IP tương ứng được lưu giữ trong bảng NAT.
Trong kết nối VPN, NAT có thể khắc phục vấn đề kết nối phát sinh bằng cách dịch không gian địa chỉ trùng lắp đến địa chỉ không trùng lăp..
NAT cũng sử dụng renumber global address space khi chuyển đổi giữa các nhà cung cấp dịch vụ.
NAT có 3 loại chính:
NAT tĩnh (Static):
• Địa chỉ inside local và inside global được ánh xạ 1-1.
• Hữu ích khi một thiết bị bên trong được truy cập từ mạng bên ngoài (máy chủ web).
• Trong khi khắc phục sự cố, thay đổi địa chỉ IP có thể ảnh hưởng đến cấu hình static đang có.
NAT động (Dynamic):
• Local addresses chuyển đến group hay pool của global addresses.
• Các vấn đề có thể liên quan đến kích thước của global pool. Vì một số
host bên trong không có địa chỉ global hợp lệ, nên gây ra các vấn đề
SVTH: Phan Thái Vương Trang 81
NAT overloading:
• Trường hợp đặc biệt của NAT Dynamic trong các địa chỉ được chuyển đổi nhiều-nhiều.
• Hay còn gọi là PAT=Port Address Translation vì địa chỉ global có thểđược tái sử dụng.
• Khác biệt cho nhiều inside local addresses chia sẻ cùng global address một số cổng.
• NAT overloading chịu một số vấn đề hỗ trợ người dung.
Ưu nhược điểm của NAT/PAT
Ưu điểm:
• Lưu giữđịa chỉđược đăng ký.
• Ẩn địa chỉ thực tế của host nội bộ và dịch vụ.
• Tăng tính linh hoạt khi kết nối với Internet.
• Loại bỏ các địa chỉ đánh số lại như những thay đổi mạng từ một ISP khác.
Nhược điểm:
• Không có khả năng tiếp cận IP end-to-end.
• Một sốứng dụng sẽ không hoạt động với NAT enable.
• Những cân nhắc cần thiết khi làm việc với VPNs.
Giao thức và trạng thái NAT-Sensitive
IPsec VPN:
• Giao thức IPsec đóng gói các gói tin IP nguồn và các loại giao thức trong thay đổi IP header.
• Không có TCP hoặc UDP header bên cạnh IP header.
• Thiếu TCP hoặc UDP header có nghĩa là không có port number cho NAT/PAT để chuyển đổi.
• Nếu IPsec không được sử dụng trong chếđộ tunnel, NAT/PAT có thể
SVTH: Phan Thái Vương Trang 82
• Một số cơ chếđã được phát minh ra cho phép IPsec và NAT cùng tồn tại:
NAT Transparency hay NAT traversal.
IPsec trên TCP và IPsec trên UDP.
Trong một số trường hợp vẫn có thể disable NAT cho lưu lượng VPN hay tạo ra ngoại lệ cho nó.
ICMP: Gói tin ICMP tham chiếu đến địa chỉ IP không phù hợp với tiêu
đề của gói tin IP do translation của NAT.
SIP: Giao thức như SIP negotiate address và ports numbers ở lớp ứng dụng có thể không hợp lệđối với một số thiết bị NAT.
Thứ tự hoạt động của NAT liên quan đến lưu lượng vào ra:
Hình 8-1 Thứ tự hoạt động của NAT trên interface
Hình này liệt kê một số tính năng có thể được enable cho lưu lượng inbound và outbound trên mỗi router interface.
Một số tính năng và dịch vụ được hiển thị trong hình là: bảo mật thông qua ACLs, chất lượng dịch vụ (QoS) thông qua việc hạn chế tốc độ và xếp hàng, và mã hóa thông qua công nghệ VPN.
Điều quan trọng là hiểu tác động của NAT trên tất cả các dịch vụ.
Thứ tự các dịch vụ enable được thực thi là rất quan trọng để khắc phục sự
cố.
8.1.2 Khắc phục sự cố NAT/PAT
Một số vấn đề quan trọng của NAT và những điểm cần ghi nhớ là:
SVTH: Phan Thái Vương Trang 83
Không nên bắt đầu cấu hình mà không có một sơ đồ hiển thị hoặc giải thích từng hạng mục có liên quan.
ACLs được sử dụng để nói với các thiết bị NAT "Địa chỉ IP nguồn sẽ được chuyển đổi là gì "
IP NAT pools được sử dụng để xác định "Địa chỉ chuyển đổi là gì", như
gói tin đi từ IP NAT inside đến IP NAT outside.
Đánh dấu IP NAT inside interfaces và IP NAT outside interfaces một cách chính xác là rất quan trọng.
Gói tin NAT vẫn phải tuân theo các giao thức định tuyến và quy tắc reachability.
Các lệnh sau đây có thể giúp xác định nếu NAT hoạt động chính xác:
Clear ip nat translation:
• Loại bỏ các mục NAT từ bảng NAT.
• Mục cụ thể có thể xóa với các thông số bổ sung.
• Xóa tất cả các chuyển đổi có thể gây gián đoạn cho đến khi chuyển
đổi mới được tái tạo.
Show ip nat translations: Hiển thị tất cả các chuyển đổi (static và dynamic) đang được cài đặt và hoạt động trên router.
Show ip nat statistics: Hiển thị số liệu thống kê NAT như số lượng chuyển đổi (static, dynamic, extended), số lượng chuyển đổi đã hết hạn, số lượng truy cập (phù hợp), số lượng bỏ qua (không phù hợp).
Debug ip nat: Hiển thị thông tin mỗi gói tin trên router chuyển đổi.
Debug ip nat detailed: Hiển thị thông tin về lỗi nào đó hoặc điều kiện ngoại lệ chẳng hạn như việc không cấp phát địa chỉ global.
Debug ip packet [access-list]:
• Hiển thị thông tin gỡ lỗi IP.
• Hữu ích cho việc phân tích các thông điệp giữa các máy chủ local và từ xa.
SVTH: Phan Thái Vương Trang 84
• Nắm bắt gói tin mà quá trình chuyển đổi bao gồm các gói tin nhận
được, tạo ra, và chuyển tiếp.
• Gói tin IP được chuyển trong đường dẫn nhanh chóng không bị bắt.
• Tùy chọn access-list cho phép thu hẹp phạm vi gỡ rối.
• Debug condition interface interface: Tạo ra thông điệp gỡ lỗi cho các gói tin vào ra trên interface được chỉđịnh.
8.2 Khắc phục sự cố DHCP
Ba vai trò của router có trong DHCP
Hình 8-3 Topology router trong DHCP
Trong trường hợp branch office, nó đặc trưng cho Cisco IOS routers hay firewalls hoạt động như DHCP server. Trong trường hợp đó, khắc phục sự cố DHCP là rất quan trọng vì nó sẽ ảnh hưởng đến hoạt động của tất cả các host trong branch, bao gồm các thiết bị IP Phone và video.
Trong một số trường hợp khác, router có thể hoạt động như DHCP Client. Ví dụ có 1 router branch hoặc home office sử dụng kết nối băng rộng như DSL hoặc cáp và nhận được địa chỉ IP và các thông số IP từ
DHCP server của nhà cung cấp dịch vụ.
Router cũng có thể hoạt động như một broker cho DHCP transaction, nằm trong đường đi của DHCP request. Đây là tình huống đặt trưng trong các mạng mà DHCP servers được tập trung và phục vụ nhiều phân đoạn mạng và các hoạt động của router như DHCP relay agent.
Vấn đề cấu hình có thể gây ra nhiều triệu chứng:
Client không nhận thông tin IP từ Server.
Client requests không đến server qua DHCP relay agent.
SVTH: Phan Thái Vương Trang 85
Sự cốđịa chỉ pool:
Khả năng hoạch định và bảo mật kém có thể làm cạn kiệt phạm vi DHCP.
Khi sử dụng phân chia địa chỉ IP tĩnh và địa chỉ IP động đã được sử dụng có thểđược cấp.
Nhiều DHCP server, hoặc thậm chí xin DHCP server có thể dẫn đến trùng lặp địa chỉ IP.
Vấn đề quản lý:
Do tính chất “pull” của DHCP.
Không có quy định trong giao thức cho phép DHCP server thúc đẩy thông số cấu hình hay điều khiển thông điệp cho DHCP client.
DHCP Relay Agent:
Lệnh cấu hình trên router DHCP relay agent là ip helper-address.
Đây là một lệnh cấu hình interface mà làm cho router chuyển tiếp BOOTP/DHCP request từ client đến DHCP server.
Nếu thay đổi địa chỉ IP của DHCP server, tất cả interface của tất cả router phải được cấu hình lại IP helper-address mới (Địa chỉ IP mới của DHCP server).
Kích hoạt một interface trên router với lệnh ip helper-address làm cho interface chuyển tiếp UDP broadcast cho sáu giao thức (không chỉ
DHCP) đến địa chỉ IP được cấu hình bằng cách sử dụng lệnh ip helper- address.
• TFTP (port 69)
• DNS (port 53)
• Time Service (port 37)
• NetBIOS Name Service và Datagram Service (ports 137 và 138)
• TACACS (port 49)
• DHCP/BOOTP Client and Server (ports 67 và 68)
Nếu các giao thức khác không yêu cầu dịch vụ này, yêu cầu chuyển tiếp phải được disabled bằng tay trên tất cả các router bằng cách sử
SVTH: Phan Thái Vương Trang 86 dụng Cisco IOS lệnh ip forward-protocol udp port-number trong chế độ cấu hình global.
Khắc phục sự cố có thể liên quan đến nỗ lực bảo mật DHCP.
Địa chỉ tựđộng được hoàn thành thông qua DHCP.
Bảo mật được thực hiện thông qua DHCP snooping.
Một số vấn đề cụ thể liên quan đến DHCP snooping:
Cấu hình không đúng DHCP snooping trust boundaries.
Lỗi cấu hình DHCP snooping trên VLAN nào đó.
Cấu hình không đúng DHCP snooping giới hạn tốc độ.
Hoạch định DHCP snooping kém có thể dẫn đến DHCP transactions bị chặn hoặc bịảnh hưởng.
Một số lệnh hữu ích giúp khắc phục sự cố DHCP:
Show ip dhcp server statistics: Hiển thị số lượng server statistics và thông điệp đã gửi và nhận cho DHCP server.
Show ip dhcp binding: Hiển thị thông tin DHCP binding đã phân chia và cấp phát cho địa chỉ IP mạng con.
Show ip dhcp conflict: Hiển thị địa chỉ bị xung đột tìm thấy bởi một DHCP server khi địa chỉđược cung cấp cho client.
Show ip dhcp pool name: Hiển thị các mạng con được cấp phát.
Show ip dhcp database: Hiển thị thông tin server database agent.
Debug ip udp: Hiển thị các gói tin UDP gửi và nhận.
Clear ip dhcp binding {* | address}: ]: Xóa địa chỉ liên kết từ database DHCP server. Dấu sao (*) được sử dụng như các tham sốđịa chỉ, DHCP tựđộng xóa tất cả các ràng buộc
Clear ip dhcp conflict {* | address}: Xóa địa chỉ bị xung đột cho một mục cụ thể với các tùy chọn địa chỉ. Xóa tất cả các địa chỉ bị xung đột với tùy chọn dấu sao (*).
SVTH: Phan Thái Vương Trang 87
8.3 Dịch vụđịa chỉ IPv6