Chúng ta có thể sử dụng các thiết bị chuyên dụng hoặc máy tính chạy gói phần mềm nắm bắt để thu thập và lưu trữ các gói dữ liệu chạy qua liên kết mạng. Khi khắc phục sự cố, phân tích các gói tin bắt được có thể cung cấp cái nhìn sâu sắc vào mạng xử lý luồng lưu lượng. Ví dụ về phần mềm bắt gói tin Wireshark, được trình bày trong Hình 3-1.
Hình 3-1Ứng dụng Wireshark nắm bắt gói tin
Phân tích và nắm bắt gói tin có 2 trở ngại lớn.
Đầu tiên, khối lượng dữ liệu thu thập được là một phần của nắm bắt gói tin có thể quá lớn nên việc tìm kiếm có thể gặp khó khăn. Vì vậy, chúng ta nên tìm hiểu làm thế nào để sử dụng ứng dụng bộ lọc nắm bắt gói tin.
SVTH: Phan Thái Vương Trang 31
Thứ hai, nếu chúng ta muốn giám sát, ví dụ, lưu lượng giữa hai thiết bị
mạng kết nối đến switch, các gói tin di chuyển giữa hai thiết bị sẽ không xuất hiện trên thiết bị nắm bắt gói tin của switch port. Cisco IOS hỗ trợ
tính năng SPAN. SPAN hướng dẫn switch gửi bản sao của gói dữ liệu
được thấy trên 1 port (hoặc VLAN) đến 1 port khác. Chúng ta có thể kết nối thiết bị nắm bắt gói tin này vào port khác, như trong Hình 3-2.
Hình 3-2 Cấu hình Cisco Catalyst Switch cho SPAN
Trong môi trường làm việc lớn hơn, thiết bị nắm bắt kết nối đến một switch cần phải nắm bắt gói tin đi qua switch khác. Một thiết bị có thể làm được
điều này đó là Remote SPAN (RSPAN). Xem hình 3-3
Hình 3-3 Cấu hình Cisco Catalyst Switch cho RSPAN 3.1.4 Tạo đường cơ sở bằng SNMP và NetFlow
Giao thức quản lý mạng cơ bản (Simple Network Management Protocol =SNMP) và NetFlow là hai công nghệ có sẵn trên một số nền tảng Cisco IOS có thể tự động thu thập số liệu thống kê. Các số liệu thống kê này có thể được sử dụng, ví dụ, để thiết lập một đường cơ sở trong kịch bản khắc phục sự cố. Bảng 3-2 sựđối nghịch của hai công nghệ này.
SVTH: Phan Thái Vương Trang 32
Bảng 3-2 So sánh SNMP và NetFlow
Công nghệ Đặc điểm
SNMP Thiết bị thu thập số liệu thống kê (ví dụ: tài nguyên sử dụng, số lưu lượng và số lỗi).
Sử dụng mô hình pull (Số liệu thống kê lấy từ thiết bị giám sát bởi nhà quản lý mạng ).
Có sẵn gần như trên tất cả các thiết bị mạng doanh nghiệp.
NetFlow Thu thập thông tin chi tiết về lưu lượng chạy qua.
Sử dụng mô hình push (Số liệu thống kê đẩy từ thiết bị giám sát tới nhà thu thập NetFlow).
Có sẵn trên thiết bị router và switch cao cấp.
3.1.4.1 Giao thức quản lý mạng cơ bản (Simple Network Management Protocol =SNMP) Protocol =SNMP)
Thiết bị được quản lý bởi SNMP gọi là SNMP Agent. Hệ thống quản lý mạng (Network Management System=NMS) có thể truy vấn các thông tin
đại diện, sử dụng giao thức SNMP. SNMP version 3 (SNMPv3) hỗ trợ mã hóa và xác thực của thông điệp SNMP. Tuy nhiên, phiên bản SNMP được triển khai phổ biến nhất hiện nay là SNMPv2c. SNMPv2c sử dụng chuỗi công khai để bảo mật. Cụ thể, đối với một NMS được phép đọc dữ liệu từ
một thiết bị chạy SNMP Agent, NMS phải được cấu hình với chuỗi công khai phù hợp với chuỗi công khai quản lý thiết bị read-only. Đối với NMS thay đổi thông tin để quản lý thiết bị, NMS phải được cấu hình với chuỗi công khai phù hợp với chuỗi công khai quản lý thiết bị read-write. Để tăng cường bảo mật SNMPv2c chúng ta có thể tạo một danh sách truy cập xác
SVTH: Phan Thái Vương Trang 33
3.1.4.2 NetFlow
Không giống như SNMP, NetFlow có thể phân biệt các luồng lưu lượng khác nhau. Luồng là một loạt các gói tin, tất cảđều chia sẻ thông tin nhưđịa chỉ IP nguồn và đích, số giao thức, số cổng, và các loại dịch vụ (TOS). NetFlow có thể theo dõi số lượng các gói dữ liệu và byte quan sát thấy trên mỗi dòng. Luồng thông tin này được lưu trữ trong bộ nhớ cache.
Chúng ta có thể sử dụng tính năng NetFlow như là tính năng độc lập trên router. Cấu hình độc lập có thể hữu ích cho khắc phục sự cố vì chúng ta có thể quan sát lưu lượng được tạo ra như là gói tin tham gia vào bộđịnh tuyến.
SVTH: Phan Thái Vương Trang 34
CHƯƠNG 4 KHẮC PHỤC SỰ CỐ CƠ BẢN TRÊN SWITCH 4.1 Khắc phục sự cố VLAN
4.1.1Hoạt động VLAN trên Switch.
Hình 4-1 ARP cache
Host A ping Host B trên cùng một VLAN (subnet).
Host A xác định IP đích (Host B) trên cùng một subnet.
Host A tham khảo ARP cache của mình, encapsulation các gói tin IP trong một khung Ethernet và truyền khung cho Host B.
Nếu Host A không có mục cho Host B trong ARP cache của mình, thì nó sẽ
ARP resquest cho MAC address của Host B. Như trong hình 4-2.
Hình 4-2 ARP request
Switch C kiểm tra VLAN của cổng mà nó nhận được khung và ghi lại MAC address nguồn vào bảng MAC address của nó.
Switch C thực hiện tra cứu bảng MAC address để tìm kiếm cổng có liên quan đến MAC address broadcast nhưng không có mục (FFFF:FFFF:FFFF). Vì vậy Switch C lụt khung trên tất cả các cổng trong VLAN đó bao gồm tất cả trunks.
SVTH: Phan Thái Vương Trang 35 Hình 4-3 ARP request bị lụt trên Switch.
Khi nhận được ARP request broadcast, Host B sẽ xử lý thông điệp ARP và xác định yêu cầu gửi đến nó.
Hososst B sẽ gửi ARP reply unicast lại cho Host A. Đồng thời, nếu Host B chưa có MAC address của Host A trong bảng ARP của mình, nó sẽ thêm ánh xạ thích hợp dựa trên thông tin trong thông điệp ARP request nhận được. Như trong hình 4-4.
Hình 4-4 ARP reply
Switch sẽ kiểm tra các VLAN của cổng mà nó nhận được khung trên và vì tất cả các Switch đã có mục trong bảng MAC address của nó đối với MAC address của Host A, chúng sẽ chuyển các khung có chứa ARPreply trên
đường dẫn đến Host A, mà không phải lụt trên bất kỳ cổng nào. Đồng thời, nó sẽ ghi lại MAC address của Host B và interface tương ứng và VLAN vào bảng MAC address của nó nếu nó chưa có mục đó. Như trong hình 4-5.
SVTH: Phan Thái Vương Trang 36
Sau khi nhận được ARP reply, Host A đóng gói các gói tin IP (ICMP Echo Request) vào khung unicast và gửi chúng đến Host B. Switch sẽ chuyển khung unicast ICMP Echo Request đến Host B. Hình 4-6
Hình 4-6 ICMP Echo Request
Switch chuyển tiếp khung unicast ICMP Echo Reply đến Host A. Hình 4-7.
Hình 4-7 ICMP Echo Reply
Host A nhận được ICMP Echo Reply lại từ Host B. Hình 4-7.
Hình 4-7 Phiên telnet 2 chiều giữa Host và HostB
Khi khắc phục sự cố vấn đề liên quan đến lớp 2, sự hiểu biết thấu đáo các bước trên có thể giúp bạn xác định các sự cố tiềm ẩn. Bạn có thể xem xét các khả năng như sau:
Vấn đề phần cứng.
Cấu hình VLAN.
SVTH: Phan Thái Vương Trang 37
4.1.2Kiểm tra chuyến tiếp ở Lớp 2
Những nguyên nhân phổ biến khi chuyến khung thông qua Switch :
Khung không nhận được chính xác trên VLAN.
Khung nhận được trên cổng khác.
Địa chỉ MAC không được đăng kí trong bảng địa chỉ MAC.
Một số lệnh giúp chuẩn đoán Lớp 2:
Show mac-address-table: Hiển thị địa chỉ MAC học được, cổng và VLAN tương ứng.
Show vlan: Xác minh sự tồn tạiVLAN và cổng cho VLAN. Danh sách các VLAN được tạo ra bằng tay hay với VTP. Lưu ý đường Trunk không
được liệt kê bởi vì nó không thuộc về VLAN nào cụ thể.
Show interfaces trunk: Hiển thị tất cả cấu hình của interface như trunk, vlan allowed và native vlan
Show interfaces switchport: Tổng hợp tất cả các thông tin của VLAN liên quan đến interface.
Show platform forward interface: Được sử dụng để xác định phần cứng sẽ chuyển tiếp khung.
Traceroute mac: Cung cấp danh sách Switch hop mà khung từ một địa MAC nguồn được chỉ định đến một địa chỉ MAC đích đi qua. CDP phải
được kích hoạt trên tất cả Switch trong mạng cho lệnh này để làm việc.
Traceroute mac ip: Hiển thịđường dẫn lớp 2 thực hiện giữa hai Host IP.
4.2 Khắc phục sự cố giao thức chống lặp (Spanning Tree Protocol) 4.2.1Hoạt động của giao thức chống lặp 4.2.1Hoạt động của giao thức chống lặp
Giao thức chống lặp ngăn không cho lặp ở lớp 2 xảy ra trong một mạng, vì có thể xuất hiện broadcast hoặc làm ngập lụt bảng địa chi MAC của switch. Vì vậy Switch trong mô hình giao thức chống lặp được phân chia sau đây:
SVTH: Phan Thái Vương Trang 38
Nonroot bridge: Tất cả các thiết bị chuyển mạch khác trong mô hình giao thức chống lặp được coi là nonroot bridge.
Hình 4-8 minh họa root bridge election trong một mạng. Cả hai bridge priorities đều 32768
Hình 4-8 Root Bridge Election
Hình 4-9 STP Port Types
Root port được chọn dựa trên cổng ID thấp nhất.
Cổng không được chỉ định không chuyển tiếp lưu lượng trong quá trình hoạt
động bình thường nhưng nhận bridge protocol data units (BPDUs). Các gói tin BPDU chứa thông tin về cổng, địa chỉ, priorities và costs.
Nếu cổng không được chỉ định cần phải chuyển đổi sang trạng thái chuyển tiếp, nó không làm ngay lập tức. Thay vào đó, nó chuyển tiếp qua các bước sau đây:
Chặn (Blocking): Cổng này vẫn trong tình trạng chặn trong 20 giây theo mặc định. Trong thời gian này cổng không được chỉ đinh đánh giá BPDUs để xác định vai trò của nó trong spanning tree.
Lắng nghe (Listening): Di chuyển cổng từ trạng thái blocking sang trang thái listening và trạng thái này vẫn duy trì trong 15 giây theo mặc định. Trong thời gian này, cổng nguồn BPDUs thông báo đến các switch lân cận để chuyển tiếp dữ liệu.
SVTH: Phan Thái Vương Trang 39
Học (Learning): Di chuyển cổng từ trạng thái listening sang trạng thái learning và trạng thái này vẫn duy trì trong 15 giây theo mặc định. Trong thời gian này, cổng bắt đầu thêm các mục vào bảng địa chỉ MAC của nó.
Chuyển tiếp (Forwarding): Di chuyển cổng từ trạng thái learning sang trạng thái forward và bắt đầu chuyển tiếp khung.
4.2.2Thu thập thông tin về câu trúc liên kết giao thức chống lặp
Khi khắc phục sự cố cấu trúc liên kết giao thức chống lặp, một trong những nhiệm vụ đầu tiên phải làm là kiểm tra switch có hoạt động root bridge không, tiếp theo xác định vai trò của các cổng trên switch.
Lệnh show spanning-tree [vlan vlan_id]: hiển thị thông tin về trạng thái của giao thức chống lặp trong switch. Xem ví dụ 4-1, hiển thị kết quả của lệnh
show spanning-tree vlan 1
Ví dụ 4-1 Kết quả của lệnh show spanning-tree vlan
Lệnh show spanning-tree interface interface_id detail hiển thị thông tin chứa BPDUs. Trong ví dụ 4-2, lệnh này sẽ hiển thị số BPDUs gửi và nhận.
SVTH: Phan Thái Vương Trang 40
4.2.3Khắc phục sự cố giao thức chống lặp 4.2.3.1 Hư bảng địa chỉ MAC của switch 4.2.3.1 Hư bảng địa chỉ MAC của switch
Bảng địa chỉ MAC của switch có thể tựđộng học địa chỉ MAC có sẵn khi nó ra khỏi cổng đó. Tuy nhiên, trong trường hợp giao thức chống lặp lỗi, bảng
địa chỉ MAC của switch có thể bị hỏng.
Hình 4-10 Bảng MAC addresses bị hỏng
Hình 4-10 PC1 truyền tải lưu lượng tới PC2. Khi frame gửi từ PC1 được truyền đi trên segment A, frame nhìn thấy cổng Gig 0/1 của switch SW1 và SW2, khiến cả hai switch đều thêm một mục vào bảng MAC addresses của nó kết hợp MAC addresses của AAAA.AAAA. AAAA với port Gig 0/1. Do STP không hoạt động, nên cả hai switch đều chuyển tiếp frame ra segment B. Kết quả là, PC2 nhận được hai frame. Ngoài ra, switch SW1 cũng nhìn thấy frame chuyển tiếp ra cổng Gig 0/2 của switch SW2.
4.2.3.2 Tấn Công Broadcast
Khi switch nhận được frame broadcast, switch sẽ bị lụt trên tất cả các cổng ngoại trừ cổng nhận được frame đó.
Hình 4-11 minh họa tấn công Broadcast thích nghi như thế nào trong cấu trúc liên kết Lớp 2 khi giao thức chống lặp hoạt động sai.
SVTH: Phan Thái Vương Trang 41 1. PC1 gửi frame broadcast vào Segment A, và frame này đến switch trên
cổng Gig 0/1.
2. Cả hai switch đều bị ngập lụt, một bản sao của frame broadcast ra khỏi cổng Gig 0/2 của switch (vào Segment B) làm cho PC2 nhận được hai bản sao của frame broadcast.
3. Cả hai switch đều nhận được một bản sao của frame broadcast trên cổng Gig 0/2 của nó (từ Segment B) và ngập lụt frame khi ra khỏi cổng Gig 0/1 của nó (trên Segment A) làm PC1 nhận được hai bản sao của frame broadcast.
4.2.3.3 Khắc phục sự cố EtherChannel
Cấu hình các cổng không khớp: Cấu hình tất cả các cổng làm việc EtherChannel, trên 2 switch phải giống hệt nhau. Ví dụ, tất cả các cổng cần phải có cùng cấu hình peed, duplex, trunk mode và native VLAN.
Cấu hình không khớp EtherChannel: 2 switch tạo nên EtherChannel phải
được cấu hình giống giao thức thỏa thuận EtherChannel. Các tùy chọn là Link Aggregation Control Protocol (LACP) và Port Aggregation Protocol (PAgP).
Thuật toán phân phối không phù hợp với EtherChannel: EtherChannel xác định liên kết sử dụng để truyền tải các frame dựa trên thuật toán băm. Phương pháp băm được chọn để phân phối tải trọng đồng đều trên tất cả các liên kết vật lý. Ví dụ, thuật toán băm có thể xác định địa chỉ MAC của frame. Nếu frame chỉ xác định được vài địa chỉ MAC cân tải trọng có thể là không
SVTH: Phan Thái Vương Trang 42
CHƯƠNG 5 KHẮC PHỤC SỰ CỐ NÂNG CAO TRÊN SWITCH 5.1 Khắc phục sự cốđịnh tuyến giữa các mạng cục bộảo (VLAN)
5.1.1 Sự khác biệt giữa Router và Switch
Giống nhau
Có thể tạo và duy trì bảng định tuyến bằng cách sử dụng cấu hình tĩnh và
động trong giao thức định tuyến.
Có thểđưa ra quyết định chuyển tiếp gói tin dựa trên các thông tin lớp 3 (ví dụ, địa chỉ IP).
Khác nhau
Router hỗ trợ nhiều sự lựa chọn interface hơn (ví dụ, non-Ethernet interfaces).
Switch tận dụng ứng dụng cụ thể mạch tích hợp (ASIC) để tiếp cận thông qua tốc độ dây dẫn. Do đó, hầu hết switch ở lớp 3 đều có thể chuyển tiếp lưu lượng truy cập nhanh hơn so với router.
Phiên bản Cisco IOS chạy trên các router hỗ trợ nhiều tính năng hơn phiên bản Cisco IOS chạy trên switch.
5.1.2 Khắc phục sự cố Control Plane và Data Plane
Hoạt động của router và switch có thể được chia thành control plane hoặc data plane. Ví dụ, giao thức định tuyến hoạt động trong control plane của router, trong khi chuyển tiếp dữ liệu thực tế được xử lý bằng data plane của router.
Quá trình liên kết hoạt động khắc phục sự cố control plane trên switch và router là giống nhau. Ví dụ, lệnh command-line interface (CLI) có thể được sử dụng để khắc phục sự cố Open Shortest Path First (OSPF) sử dụng trên cả 2 thiết bị.
SVTH: Phan Thái Vương Trang 43
Kiểm tra làm thế nào router sử dụng Cisco Express Forwarding (CEF) để
chuyển tiếp lưu lượng thông qua router một cách hiệu quả. CEF tạo ra một vài bản định cư tại data plane. Đây là những thông tin chuyển tiếp cơ bản (FIB) và bảng phụ cận (adjacency). Những bảng này được xây dựng từ các thông tin thu thập từ control plane của router (ví dụ, control plane của bảng
định tuyến IP và Address Resolution Protocol [ARP] cache). Khi khắc phục sự cố router, chúng ta có thể kiểm tra hoạt động control plane với lệnh show ip route. Tuy nhiên, nếu lưu lượng quan sát thấy khác với kết quả hiển thị,