Nhiệm vụ chuyển tiếp gói tin (control plane) bao gồm hai bước sau:
Making a routing decision
• Thông tin Network topology và cấu hình policies.
• Thông tin vềđích đến của mạng, thu thập thông tin bằng giao thức
định tuyến.
• Có thể hạn chế như access lists hay policy based routing (PBR),
được sử dụng để quyết định nơi để gửi mỗi gói tin.
Switching the packet: Chuyển đổi gói dữ liệu trên router (không nên nhầm lẫn với chuyển đổi layer 2) bao gồm:
• Di chuyển một gói tin từ một buffer đầu vào đến một buffer đầu ra.
• Ghi đè header của frame ở tầng liên kết dữ liệu.
• Chuyển gói tin đến next hop đối với đích đến cuối cùng.
Có ba chếđộ chuyển mạch gói được hỗ trợ bởi router:
Process switching
• Chếđộ lâu đời nhất nhất có trên router.
• De-encapsulates và encapsulates trên mỗi frame được sử dụng bằng cách IP Input CPU process.
• Hầu hết phương pháp CPU-intensive có sẵn trên router.
• Làm giảm số liệu hiệu suất như băng thông, jitter và latency.
• Chỉ sử dụng tạm thời như giải pháp cuối cùng trong quá trình khắc phục sự cố.
• Cấu hình trên một interface bằng cách disabling fast switching sử
dụng lệnh no ip route-cache.
Fast switching
• Fast-switching cache và stores bắt đầu sau khi tra cứu bảng định tuyến cho các gói tin đầu tiên trong destination flow. Tiếp theo,
SVTH: Phan Thái Vương Trang 125 các frame đến cùng điểm đến được xử lý bởi fast switching và gửi cho các interface đi ra ngoài.
• Bộ xử lý interface tính toán CRC cho frame.
• Fast switching có thể chia sẽ tải trên per-destination basis.
• Ít xử lý chuyên sâu hơn so với quá trình chuyển đổi vì nó sử dụng một cache entry. CPU sử dụng có thểđi cao nếu số lượng các dòng chảy mới mỗi tăng thứ hai, như với một cuộc tấn công mạng. High CPU utilization nếu số lượng new flow tăng mỗi giây như cuộc tấn công mạng
• Cấu hình trên interface sử dụng lệnh ip route-cache.
Cisco Express forwarding (CEF) – Default
• CPU-intensive ít hơn so với fast switching hay process switching.
• Thông tin sử dụng cho mục đích chuyển tiếp gói tin nằm trong hai bảng sau đây:
Forwarding Information Base (FIB): được sử dụng để làm IP destination prefix-based quyết định chuyển đổi. Mỗi sự thay
đổi trong bảng định tuyến IP gây nên một sự thay đổi tương tự
trong bảng FIB.
Adjacency table: Chứa header frame của layer 2 cho tất cả
next-hops được sử dụng bởi FIB. Được sử dụng để viết lại header frame cho các gói tin được chuyển tiếp bởi router.
• Một số tính năng yêu cầu CEF phải enable:
Network Based Application Recognition (NBAR)
AutoQoS và Modular QoS CLI (MQC)
Frame Relay Traffic Shaping
Multi Protocol Label Switching (MPLS)
Class-Based Weighted Random Early Detection
Ví dụ hiển thị kết quả mẫu của lệnh show ip interface sau khi disable default Cisco Express Forwarding chếđộ chuyển đổi gói tin sử dụng lệnh no ip cef.
SVTH: Phan Thái Vương Trang 126 Fast switching được enable cho tất cả các gói tin và CEF switching bị
disabled.
Ví dụ 9-34 Kết quả của lệnh show ip interfce
Fast switching có thể disable bằng lệnh no ip route-cache
Tăng tải trọng trên hệ thống CPU.
Mỗi gói tin được xử lý theo quy trình IP Input trên router CPU.
Multicast fast switching vẫn được enable
Cầu hình lệnh tách biệt
Để disable fast switching cho gói tin multicast sử dụng lệnh no ip mroute. Lệnh no ip route-cache chỉ được áp dụng cho các gói tin unicast.
Lệnh show ip cache hiển thị nội dung fast switching cache như hiển thị
trong ví dụ
Ví dụ 9-35 Kết quả của lênh show ip cache 9.3.3 Khắc phục sự cố CEF
CEF xây dựng hai cấu trúc dữ liệu chính: bảng FIB và bảng kề.
SVTH: Phan Thái Vương Trang 127
Kiểm tra CEF có được enabled trên một interface sử dụng lệnh show ip interface.
Ví dụ 9-36 Kiểm tra CEF có được enable trên interface sử dụng lệnh show ip interface
Lệnh show ip cef hiển thị nội dung bảng FIB
Ví dụ 9-37 Hiển thị bảng FIB lệnh show ip cef
Trường Next-hop:
Attached: Tất cả các mạng kết nối trực tiếp.
Receive: prefixes mạng local đến router được đánh dâu là “receive”
Router sử dụng interface output GigabitEthernet0/0 và next-hop 10.14.14.19/32 để tiếp cận 0.0.0.0/0 (tuyến đường mặc định)).
Sử dụng lệnh show ip cef adjacency để xem điểm đến khác có liên quan đến cặp interface/next-hop này. Sự kết hợp này được sử dụng để tiếp cận được
điểm đến hai mạng: default route và specific host destination (10.14.14.19/32).
SVTH: Phan Thái Vương Trang 128
Ví dụ 9-38 Kết quả của lệnh show ip cef adjacency interface- address detail
Để xem mục của bảng adjacency cho next-hop này sử dụng lệnh show adjacency, sự khác biệt là không có IP trong lệnh này.
Ví dụ 9-39 Kết quả của lệnh show adjacency interface detail | begin
address
Kết quả cho thấy header của frame Layer 2 liên kết với next hop này, mà đã
được xây dựng thông qua ARP.
MAC address ở layer 2 cho next-hop IP address này cũng có thể được kiểm tra trong ARP cache bằng lệnh show ip arp cho địa chỉ 10.14.14.19 cụ thể.
Lệnh show cef not-cef-switched được dùng để thu thập thông tin về các gói dữ liệu không được chuyển đổi cùng CEF. CPU có thể xử lý một số gói tin, ngay cả khi CEF được enable
Chưa hoàn thành bảng adjacency.
Xử lý các gói tin cần xử lý bởi bộ vi xử lý đặc biệt (GRE Tunnels)
SVTH: Phan Thái Vương Trang 129
9.3.4 Công cụ phân tích chuyển tiếp gói tin
Phần này cung cấp một số bước cho quá trình khắc phục sự cố
Hình 9-13 Topology sử dụng lệnh để Analyze Packet Forwarding
Bước 1: Sử dụng lệnh traceroute để xác định sự cố router dọc theo
đường dẫn gây ra sự chậm trễ quá mức.
Ví dụ 9-41 Kết quả lệnh traceroute
Bước 2: Sau khi xác định router gây ra sự chậm trễ cao thất thường sử
dụng lệnh show processes cpu để xem việc sử dụng CPU của router và xác định một số tiến trình mà tiêu tốn phần trăm CPU cao thất thường.
Ví dụ 9-42 Kết quả của lệnh show prosesses cpu | exclude
Bước 3: sử dụng lệnh show ip route ip-address để xác định xem các router có đường đi đến địa chỉ IP đích.
Ví dụ 9-43 Kết quả của lệnh show ip route ip-address
Bước 4: Sử dụng lệnh show ip cef để xác định xem tất cả các interface của router có cấu hình để sử dụng CEF.
SVTH: Phan Thái Vương Trang 130
Ví dụ 9-44 Kết quả của lệnh show ip cef
Bước 5: Sử dụng lệnh show ip cef ip-address 255.255.255.255 để xác
định xem CEF có FIB entry, mà có thểđến được địa chỉ IP được chỉđịnh. Một phần kết quả của lệnh này sẽ được next-hop adjacency đến các lưu lượng cần được chuyển tiếp, cùng với interface egress được sử dụng để
gửi lưu lượng truy cập đến next-hop
Ví dụ 9-45 Kết quả của lệnh show ip cef ip-address 255.255.255.255
Bước 6: lệnh show adjacency interface-id detail để xác định xem CEF có một entry trong bảng adjacency của nó cho interface egress được xác
định ở bước 5.
Ví dụ 9-46 Kết quả của lệnh show adjacency interface-id detail
Bước 7: Với lệnh show ip arp có thể xác định các router biết MAC address liên quan đến next-hop IP address được hiển thị kết quả trong bước 6.
SVTH: Phan Thái Vương Trang 131
9.3.5 Vấn đề khắc phục sự cố bộ nhớ trên router
Lỗi cấp phát bộ nhớ là vấn đề phổ biến nhất về bộ nhớ của router.
Điều này xảy ra khi router sử dụng tất cả các bộ nhớ hoặc bộ nhớ đã được chia nhỏ thành nhiều phần nhỏ.
Điều này có thể xảy ra với processor memory hay packet memory
Những triệu chứng của lỗi cấp phát bộ nhớ bào gồm:
Hiển thị thông điệp các bản ghi trong router chẳng hạn như: %SYS–2– MALLOCFAIL: lỗi cấp phát bộ nhớ 1028 bytes từ 0x6015EC84, Pool Processor, alignment 0.
Không nhân được bất kỳ kết quả nào từ lệnh show.
Nhận ít thông điệp bộ nhớ.
Nhận thông điệp unable để tạo EXEC: không có bộ nhớ hoặc có quá nhiều tiến trình trên console.
Khi bộ nhớ router ít nó có thể không được Telnet đến router. Nếu có thể, kết nối đến cổng console để thu thập dữ liệu để xử lý sự cố. Nếu nhận được một thông báo error không đủ bộ nhớđể cho phép console kết nối.
Kích thước bộ nhớ không hỗ trợ phần mềm Cisco IOS image:
Một trong những nguyên nhân gây ra sự cố bộ nhớ là không đủ bộ nhớđể
hỗ trợ phần mềm Cisco IOS image.
Kiểm tra kích thước bộ nhớ tối thiểu đối với tính năng thiết lập phần mềm Cisco IOS và phiên bản đang chạy:
• Release Notes (available to registered customers only)
• IOS Upgrade Planner (available to registered customers only)
Yêu cầu bộ nhớ thực tế sẽ khác dựa trên:
• Việc sử dụng Protocols.
• Bảng Routing.
• Mô hình lưu lượng trên mạng.
SVTH: Phan Thái Vương Trang 132
Bộ nhớ bị rò rỉ xảy ra khi quá trình cấp phát bộ nhớ nhưng không free khi nhiệm vụ hoàn tất.
Kết quả là, memory block vẫn bảo lưu cho đến khi router nạp lại.
Lệnh show memory allocating-process totals có thể giúp xác định bộ
nhớ sử dụng và free, và việc sử dụng bộ nhớ cho mỗi tiến trình của router.
Rò rỉ bộ nhớ gây ra do lỗi trong Cisco IOS code.
Giải pháp là nâng cấp phần mềm Cisco IOS lên một phiên bản sửa lỗi vấn đề.
Ví dụ 9-48 Kết quả của lệnh show memory allocating-process totals
Sự cố Security-related
MALLOCFAIL errors cũng có thểđược gây ra bởi vấn đề security.
Hoạt động của worm hay virus có thể là nguyên nhân. Điều này có nhiều khả năng nếu không có bất kỳ thay đổi gần đây vào mạng, chẳng hạn như
nâng cấp IOS router hay thay đổi cấu hình.
Hạn chế có thể bao gồm thêm một danh sách truy cập mà drop lưu lượng
được tạo ra bởi worm hay virus.
Memory Allocation Failure at Process = interrupt level
Lỗi phân bổ bộ nhớđang được gây ra bởi sự cố phần mềm.
Sử dụng bộ công cụ Bug để tìm kiếm một ID phù hợp với lỗi phần mềm.
Upgrade phiên bản phần mềm Cisco IOS có chứa các sửa chữa để giải quyết vấn đề.
Buffer Leak Bug:
Buffer leak xảy ra khi IOS code không cấp phát bộ nhớđệm sau khi phân bổ nó.
SVTH: Phan Thái Vương Trang 133
Kết quả buffer pool tiếp tục tăng, nhiều gói tin mắc kẹt trong vùng đệm. Lệnh show interfaces hiển thị số liệu thống kê của tất cả interface được cấu hình trên router
Ví dụ 9-49 Kết quả của lệnh show interfaces
Kết quả cho thấy interface input queue là wedged, đây là triệu chứng của buffer leak input queue (76/75) cảnh báo về buffer leak và đã có 1250 drop.
Lệnh show buffers hiển thị số liệu thống kê của buffer pools trên router.
Ví dụ 9-50 Kết quả của lệnh show buffers
BGP Memory Use: Cisco IOS có ba quá trình chính được sử dụng bởi BGP: BGP I/O: • Xử lý đọc, viết, và thực thi tất cả các thông điệp BGP. • Hoạt động như interface giữa TCP và BGP. BGP router: • Chịu trách nhiệm khởi xướng tiến trình BGP • Session maintenance. • Xử lý thông tin cập nhập gửi đến. • Gửi thông tin cập nhập BGP.
• Cập nhập IP RIB (Routing Information Base) với mục BGP.
BGP scanner:
SVTH: Phan Thái Vương Trang 134
• Scan RIB IP đểđảm bảo rằng tất cả BGP next hop là hợp lệ.
• Chiếm phần lớn bộ nhớđược sử dụng bởi BGP.
• Sử dụng bộ nhớđể lưu trữ BGP RIB, IP RIB cho BGP prefixes và IP switching data structures cho BGP prefixes.
SVTH: Phan Thái Vương Trang 135
CHƯƠNG 10 CÁC KỊCH BẢN MINH HỌA 10.1HSRP with IP SLA
Hot Standby Routing Prototocol (HSRP) là một trong những số tính năng cung cấp khả năng Redundancy ở layer 3 cho các host trong network. HSRP sẽ tối ưu hóa việc cung cấp các đường kết nối khi phát hiện một đường link bị fail và những cơ chế phục hồi sau khi ta gặp sự cố trong mạng.
Trong mô hình này chúng ta cần 3 router và 1 PC
Cấu hình:
Bước 1: Lần lượt cấu hình ip address cho các interface của router R1, R2, R3 và R4. Dùng giao thức EIGRP quảng bá mạng 0.0.0.0 trên R1, R2 và R4. Sau khi cấu hình xong phải chắc chắn rằng R3 ping được R1, R2, và R4!!! Nếu không thể, khắc phục sự cốđó cho phù hợp.
Bước 2: Tạo chếđộ standby cho PC và điểm gateway của PC đến địa chỉ này R1(config)#interface fastEthernet 0/0
R1(config-if)#standby 1 ip 10.1.1.99 R1(config-if)#standby 1 priority 150
Thực hiện trên R1 để thiết lập R1 có độưu tiên cao hơn, giá trị mặc định là 100. Cấu hình tương tự trên R2, để giá trị mặc định cho R2.
SVTH: Phan Thái Vương Trang 136 R2(config)#interface fastEthernet 0/0
R2(config-if)#standby 1 ip 10.1.1.99 Bước 3: Cấu hình default-gateway cho PC R3(config)#ip default-gateway 10.1.1.99
Bước 4: Đểđảm bảo chế standby hoạt động trở lại, cấu hình như sau: R1(config)#int fa 0/0
R1(config-if)#standby 1 preempt
Bước 5: Sử dụng tất cả các phương pháp mà chúng ta đã thảo luận ở trên để
xác minh tất cả các cấu hình đang chạy bình thường khi nó điều chỉnh hello và holdtime, Cisco khuyến khích thiết lập giá trị của holdtime three time nhiều hơn hello time
R1(config)#int fa 0/0
R1(config-if)#standby 1 timers 1 3 Thiết lập tương tự trên R2 int fa0/0
Bước 5: Cấu hình IP SLA trên R1 và ping liên tục địa chỉ Loopback của R4 từ R1. Và thiết lập frequency of 10, timeout và threshold of 2000
R1(config)#ip sla monitor 1
R1(config-sla-monitor)#type echo protocol ipIcmpEcho 192.168.1.1 R1(config-sla-monitor-echo)#timeout 2000
R1(config-sla-monitor-echo)#threshold 2000 R1(config-sla-monitor-echo)#frequency 10
Frequency này có nghĩa là nó sẽ ping trong mỗi 10 giây để kiểm tra xem cấu hình mạng vẫn có thể truy cập. Giá trị timeout và threshold xác định xem nếu có “breach” trong cấu hình SLA. Thiết lập các thông số khác như thời gian nào trong ngày này sẽ bắt đầu và thời gian nó sẽ kết thúc.
R1(config)#ip sla monitor schedule 1 start-time now life foreve
Thiết lập cấu hình để theo dõi HSRP R1(config)#track 1 rtr 1 reachability R1(config-track)#int fa0/0
SVTH: Phan Thái Vương Trang 137 R1(config-if)#standby 12 track 1 decrement 11
Để rõ hơn xem file cấu hình đường link dưới đây: Cấu hình HSRP with IP SLA
Dùng lệnh show standby hoặc show standby brief để xem kết quả trên R1&2. Và có thể dùng lệnh sho ip arp xem địa chỉ IP và địa chỉ Mac tương ứng của virtual router được duy trì trong bảng ARP của mỗi router thuộc HSRP group.
10.2GRE over IPSec
Giao thức GRE giúp tạo ra tunnel nhưng đây lại là một giao thức không có bảo mật. Để hỗ trợ vấn đề bảo mật cho nó thì ta cho nó hoạt động thông qua IPSec.
Để bảo vệ gói tin GRE ta gói tin này được bảo vệ bằng IPSec. Mà IPSec có hai mode là tunnel mode và transport mode. Thì GRE dùng Transport mode
để tiết kiệm được 20 byte địa chỉ.
Ta có mô hình bài lab như sau:
Mô hình gồm 5 router: trong đó R1 và R3 cấu hình GRE, R2 là ISP router, R4 & R5 là PC.
Cấu hình:
Bước 1: Thực hiện cấu hình IP trên các interface như trong bài lab, định tuyến bằng default route và cấu hình định tuyến OSPF thông qua interface tunnel (cấu hình trên R1 và R3)
Bước 2: Cấu hình GRE trên R1 và R3
SVTH: Phan Thái Vương Trang 138 interface tunnel 0
ip add 100.0.0.1 255.255.255.0 tunnel source 120.0.0.1
tunnel destination 123.0.0.2 tunnel mode gre ip
tunnel key 123456