Khắc phục sự cố phân phối lại đường đi

Một phần của tài liệu CÁC kỹ THUẬT KHẮC PHỤC sự cố MẠNG TIÊN TIẾN (Trang 75)

Không có nhiều hơn một giao thức định tuyến được sử dụng trong một tổ

chức.

Yêu cầu tổ chức (sáp nhập, di cư) có thể ra lệnh sử dụng nhiều giao thức

định tuyến.

Phân phối lại tuyến đường giữa các giao thức định tuyến khác nhau có thể

cần thiết cho kết nối IP giữa các bộ phận khác của mạng.

Điều quan trọng là hiểu được sự tương tác giữa nhiều giao thức định tuyến.

Kỹ sư hỗ trợ mạng phải có khả năng chẩn đoán và giải quyết các vấn đề như

tối ưu định tuyến và định tuyến thông tin phản hồi có thể xảy ra khi phân phối lại tuyến đường được thực thi.

Có 2 cách tuyến đường được đưa vào một giao thức định tuyến:

Kết ni trc tiếp

• Mạng con có thểđược đưa vào bằng cách kích hoạt các giao thức định tuyến trên một interface.

SVTH: Phan Thái Vương Trang 65

Kết ni ngoài (External)

• Mạng con từ một nguồn khác được trình bày trong bảng định tuyến.

• Phân phối lại bằng cách sử dụng cơ chế cập nhật của giao thức định tuyến.

• Tuyến đường không có nguồn gốc của giao thức định tuyến và được coi là bên ngoài.

Chú ý: Giao thức định tuyến cũ, chẳng hạn như RIP không có khả năng đánh dấu các tuyến đường từ bên ngoài vào thông điệp cập nhật định tuyến của nó. Giao thức

định tuyến mới hơn, chẳng hạn như EIGRP và OSPF có khả năng đánh dấu các tuyến đường từ bên ngoài và lựa chọn các tuyến đường bên trong trên các tuyến

đường bên ngoài. Đây là một cơ chế quan trọng trong việc ngăn chặn tuyến đường vòng gây ra bởi tuyến đường phản hồi.

Quá trình phân phối lại:

Quá trình phân phối lại có các tuyến đường từ bảng định tuyến.

Phân phối lại luôn luôn cấu hình theo giao thức “destination” cho các thông tin định tuyến.

Nếu tuyến đường OSPF được phân phối lại vào EIGRP, điều này được cấu hình theo quá trình EIGRP.

Giao thức phân phối lại nên phân công một seed metric sau đó sẽ được gắn vào tất cả các tuyến đường phân phối lại bởi router.

Nếu không giống số liệu được cấu hình, giá trị mặc định cho giao thức phân phối lại được sử dụng.

Để các giao thức khoảng cách vector, như RIP và EIGRP, mặc định metric có giá trị lớn nhất, đại diện cho “infinity” hoặc “unreachable”.

Phân phối lại vào các giao thức này sẽ bị lỗi mà không cần cấu hình rõ ràng để giống số liệu.

Kiểm tra và khắc phục sự cốđường truyền

Khắc phục sự cố vấn đề kết nối IP gây ra bởi redistribution bao gồm các yếu tố sau:

SVTH: Phan Thái Vương Trang 66

• Xử lý sự cố nguồn giao thức định tuyến

Tuyến đường chỉ có thể được phân phối lại nếu nó có mặt trong bảng định tuyến của router phân phối lại.

Nếu tuyến đường không được phân phối lại như dự kiến, khẳng

định rằng nó đang học trên router thông qua nguồn giao thức phân phối lại.

Kiểm tra tuyến đường này đã được cài đặt trong bảng định tuyến chưa.

• Khắc phục sự cố lựa chọn tuyến đường và cài đặt:

Khi tuyến đường được phân phối lại giữa các giao thức định tuyến theo hai chiều (đến và đi từ một giao thức khác), thông tin định tuyến phân phối lại từ một routing domains vào routing domains khác có thể truyền lại cho router mà nó kết nối với domain gốc.

Điều này xảy ra khi có một topological loop trong sơ đồ mạng. Nếu tuyến đường sau đó được chấp nhận như là một đường đi tốt hơn so với lộ trình ban đầu, không tối ưu định tuyến có thể xảy ra.

Tuy nhiên, nếu tuyến đường được tái phân phối lại vào các giao thức ban đầu, nó có thể gây ra các vòng lặp định tuyến và định tuyến không ổn định.

Sau khi chẩn đoán một vấn đề định tuyến tối ưu hoặc vòng lặp

định tuyến, thay đổi khoảng cách quản trị, lọc các tuyến đường

ảnh hưởng đến việc lựa chọn tuyến đường và quá trình cài đặt thường có thể giải quyết vấn đề.

• Khắc phục sự cố quy trình phân phối lại:

Nếu tuyến đường có trong bảng định tuyến của router phân phối lại, nhưng không được quảng bá bởi các giao thức phân phối lại, kiểm tra cấu hình của quy trình phân phối lại.

SVTH: Phan Thái Vương Trang 67

Số liệu giống sai, bộ lọc tuyến đường, hoặc cấu hình sai quá trình

định tuyến giao thức hoặc số hệ thống tự trị là nguyên nhân phổ

biến cho quy trình phân phối lại bị lỗi.

• Khắc phục sự cốđích đến của giao thức định tuyến:

Nếu thông tin định tuyến được lan truyền bằng cách sử dụng cơ

chế cập nhật của giao thức định tuyến, nhưng không được phân phối cho tất cả các router trong đích đến của routing domain, khắc phục sự cố cơ chế trao đổi định tuyến cho đích đến của giao thức.

Mỗi giao thức định tuyến có phương pháp riêng để trao đổi thông tin định tuyến, bao gồm thông tin định tuyến từ bên ngoài.

Các tuyến đường external được xử lý khác với các tuyến đường internal. Ví dụ, tuyến đường OSPF bên ngoài không lan truyền vào vùng stub.

Để khắc phục sự cốđịnh tuyến phân phối lại sử dụng các lệnh sau để thu thập thông tin từ các giao thức định tuyến cấu trúc dữ liêu:

Show ip ospf database: Hiển thị nội dung của dữ liệu trạng thái liên kết OSPF.

Show ip eigrp topology: Hiển thị nội dung của bảng topology EIGRP.

Show ip route network mask: Hiển thị thông tin chi tiết về các tuyến

đường cụ thểđược cài đặt trong bảng định tuyến.

Debug ip routing: Hiển thị các tuyến đường đang được cài đặt hoặc gỡ bỏ khỏi bảng định tuyến trong thời gian thực.

Show ip route profile: Chuẩn đoán sự mất ổn định của tuyến đường.

Quá trình khắc phục sự cố phân phối lại giữa OSPF và EIGRP.

Ví dụ này minh họa quá trình redistribution và các lệnh có thể được sử

SVTH: Phan Thái Vương Trang 68 Hình 6-9 Topology giữa EIGRP và OSPF

Ví d 6-9 kết quả của lênh show ip route

Bảng định tuyến IP cho CR01 bao gồm hai đường OSPF đến 10.1.152.0/24

Cả hai đường qua switch CSW1 và switch CSW2 được cài đặt trong bảng

định tuyến vì chi phí của nó giống nhau.

Bảng định tuyến cũng hiển thị tuyến đường được đánh dấu để phân phối lại bởi EIGRP và được cấu hình EIGRP giống số liệu được liệt kê.

Ví d 6-10 Kết quả hiển thị cảu lệnh show ip eigrp topology

Bảng topology EIGRP trên router CR01 xác nhận các tuyến đường đang redistribution.

Tuyến đường này được lấy từ bảng định tuyến và đưa vào bảng topology như là tuyến đường external.

Năm thành phần cấu hình giống số liệu được liệt kê.

Tuyến đường này được bắt nguồn từ giao thức OSPF với process number 100 và được đưa vào EIGRP của router với EIGRP router ID 10.1.220.1 (đó là bộđịnh tuyến local, CRO1).

SVTH: Phan Thái Vương Trang 69

Lưu ý: Mặc dù OSPF có hai đường chi phí bằng nhau và đưa cả hai vào trong bảng

định tuyến, tiến trình phân phối lại chỉ phân phối lại một trong hai tuyến đường vào tiến trình EIGRP. EIGRP chỉ quảng bá một tuyến đường, vì hai đường chi phí bằng nhau liên quan đến cùng một đích đến.

Ví d 6-11 Kết quả của lệnh show ip route

Trên router BRO1, EIGRP sẽ chọn các tuyến đường 10.1.152.0/24 học được từ CR01 và cài đặt nó trong bảng định tuyến IP.

Tuyến đường được đánh dấu là tuyến đường EIGRP external và có khoảng cách quản trị tương ứng là 170.

Thông tin external có mặt trong bảng topology EIGRP, chẳng hạn như các bộđịnh tuyến có nguồn gốc và giao thức, không đưa vào bảng định tuyến.

SVTH: Phan Thái Vương Trang 70

CHƯƠNG 7 DUY TRÌ VÀ KHC PHC S C BO MT MNG 7.1 Khc phc s c bo mt mng

7.1.1Tng quan

Trọng tâm của phần này nói về các loại hình bảo mật mạng và quá trình khắc phục sự cố.

Các biện pháp bảo mật ảnh hưởng đến khắc phục sự cố: Hạn chế truy cập

đến các thiết bị cơ sở hạ tầng mạng, Kiểm soát và quản lý phần cứng plane, Lọc gói tin trên router và switch, mạng riêng ảo (VPN), tính năng IPS (Intrusion prevention system).

Điều quan trọng là hiểu được các tính năng được triển khai và cách chúng hoạt động.

Hầu hết các tính năng bảo mật hoạt động ở tầng vận chuyển và ở trên.

Một quy trình khắc phục sự cố tổng quát có thể giúp xác định vấn đề liên quan đến tính năng bảo mật hay do vấn đề kết nối ở Lớp 1, 2, hay 3.

Thông báo sự cố và giải pháp cần phải được xác thực đối với chính sách bảo mật của tổ chức.

7.1.2 Đánh giá tính năng bo mt.

Việc thực hiện tính năng bảo mật có thể ảnh hưởng đến hoạt động của router và switch khác. Trên một thiết bị mạng có 3 chức năng planes:

Management plane: Đại diện cho tất cả các chức năng và các giao thức liên quan đến việc quản lý thiết bị. Cung cấp truy cập cho cấu hình thiết bị, hoạt động thiết bị và số liệu thống kê. Nếu Management plane bị tổn thương, các plane khác cũng bị xâm nhập. Các giao thức bao gồm Telnet, AAA, SSH, FTP, TFTP, SNMP, syslog, TACACS+, RADIUS, DNS, NetFlow và ROMMON.

SVTH: Phan Thái Vương Trang 71

Control plane: Đại diện cho tất cả các chức năng và các giao thức giữa các thiết bị mạng để kiểm soát các hoạt động của mạng. Giao thức Lớp 2 bao gồm ARP, STP và VLAN. Giao thức Lớp 3 bao gồm các giao thức

định tuyến và HSRP.

Data plane: Đại diện các chức năng liên quan đến việc chuyển tiếp lưu lượng thông qua router hoặc switch. Lưu lượng giữa các thiết bịđầu cuối như máy trạm, máy chủ và máy in. Router và switch có thể kiểm tra và lọc lưu lượng truy cập như là một phần của việc thực hiện chính sách an ninh.

7.2 Khc phc s c bo mt Management Plane

Hình 7-1 Phương pháp truy cập vào Data Plane

Chức năng quản lý của router hay switch thường được truy cập bằng cách sử

dụng 3 phương pháp:

Qun lý truy cp CLI:

• CLI là phương pháp phổ biến và mạnh nhất để quản lý router và switch.

• Lệnh được nhập vào thông qua kết nối console hay Telnet từ xa hay SSH.

• Chứng thực đểđảm bảo người nào có quyền truy cập và cấu hình các thiết bị mạng.

• Bảo mật vật lý rất quan trọng đối với bảo mật của management plane.

CLI luôn luôn được truy cập thông qua giao tiếp nối tiếp.

Người dùng trái phép có thể làm ảnh hưởng đến chu trình các thiết bị và sử dụng mật khẩu khôi phục để kiểm soát quyền điều khiển thiết bị.

SVTH: Phan Thái Vương Trang 72

Qun lý truy cp Web-based: Quản lý thiết bị Web-based có thể cung cấp một phương pháp thay thế để quản lý các router và switch (Cisco Configuration Professional [CCP], Security Device Manager [SDM], HTTP và HTTPS).

Qun lý truy cp SNMP:

• Chủ yếu được sử dụng để truy cập các thông số hoạt động và số liệu thống kê của thiết bị, không thay đổi cấu hình.

• Nếu một thiết bị được cấu hình read-access thì cấu hình không thể

thay đổi.

• Nếu một thiết bị được cấu hình read-write access áp dụng cùng một mức độ bảo mật như command-line hay truy cập web-based.

Ba dịch vụ được cung cấp bởi một máy chủ AAA (Authentication, authorizationaccounting) rất quan trọng đối với an ninh mạng:

Authentication: Các dịch vụ chứng thực có thể kiểm tra thông tin người dùng để xác nhận họ là ai họ có quyền gì.

Authorization: Sau khi xác thực, các dịch vụ ủy quyền xác định những gì mà người dùng được phép làm.

Accounting: Các dịch vụ hạch toán có thể thu thập và lưu trữ thông tin vềđăng nhập của người dùng. Thông tin này có thể được sử dụng, ví dụ,

để giữ dấu vết của những gì đã được thực hiện trên mạng.

7.3 Khc phc s c bo mt Control Plane

Hình 7-2 Topology hội tụ STP

Kiểm soát lưu lượng plane được xử lý bởi bộ xử lý tuyến đường của hệ

thống.

SVTH: Phan Thái Vương Trang 73

Denial-of-service (DoS) kết nối vào Control Plane có thể làm quá tải router CPU.

Hầu hết các tuyến giao thức hỗ trợ xác thực hàng xóm dựa trên bảng băm MD5.

Chứng thực cũng được hỗ trợ bởi giao thức dự phòng first-hop: Hot Standby Router Protocol (HSRP) như được giới thiệu ở trên, Virtual Router Redundancy Protocol (VRRP), Gateway Load Balancing Protocol (GLBP).

Sử dụng cơ chế xác thực để ngăn chặn các thiết bị trái phép và misdirecting hoặc lưu lượng ứng dụng black-holing.

IEEE 802.1d STP không có cơ chế xác thực.

Switch hỗ trợ tính năng như BPDU guard và Root Guard giúp ngăn ngừa sự

tương tác trái phép với Spanning Tree Protocol.

BPDU Guard: Tính năng BPDU Guard được enable trên các port được cấu hình tính năng PortFast của Cisco. Tính năng PortFast được enable trên port kết nối ra các thiết bị người dùng cuối, chẳng hạn như máy tính, và nó làm giảm lượng thời gian cần thiết cho các port vào trạng thái chuyển tiếp sau khi kết nối. Logic của PortFast là port kết nối đến thiết bị

người dùng cuối không có khả năng để tạo ra topology loop. Do đó, port có thể hoạt động sớm hơn bằng cách bỏ qua Listening của STP và trạng thái learning, theo mặc định mất 15 giây. Vì cổng PortFast này được kết nối với các thiết bị người dùng cuối, cổng này sẽ không bao giờ nhận

được BPDU. Do đó, nếu một port enable cho BPDU Guard nhận được BPDU , port là disabled.

Root Guard: Tính năng Root Guard được enable trên tất cả các port trong mạng và root bridge sẽ không xuất hiện (port không phải là port root, thì port đó trên mỗi switch được coi là gần nhất với root bridge). Nếu một port được cấu hình Root Guard nhận được một BPDU cao hơn.

Các giao thức DHCP và ARP có thể được bảo mật bằng cách enable tính năng DHCP snooping và dynamic ARP inspection (DAI)

SVTH: Phan Thái Vương Trang 74

Bảo vệ control plane có thể sử dụng Modular QoS CLI (MQC) để bảo vệ cơ

sở hạ tầng từ các cuộc tấn công DoS.

Điều quan trọng là biết tính năng bảo mật control plane được triển khai trong mạng và trên các thiết bị.

Lỗi cấu hình có thể gây ra các hoạt động của giao thức control plane giữa các thiết bị lỗi.

7.4 Khc phc s c bo mt Data Plane

Hình 7-3 Lưu lượng Data Plane đối với các VPNS khác nhau

Router, switch và chuyển tiếp lưu lượng mạng đóng một vai trò hiệu quả

trong việc kiểm tra và lọc lưu lượng truy cập.

Phần mềm IOS firewall cung cấp tính năng bảo mật cho data plane. Có 2 loại IOS firewall: Classic Cisco IOS firewall (stateful packet inspection), Zone- based policy firewall

IOS Stateful Packet Inspection (SPI) là một phần của IOS firewall.

Được cấu hình trên mỗi interface và hoạt động bằng cách tự động thay đổi mục danh sách truy cập dựa trên luồng lưu lượng.

IOS SPI có thể kiểm tra lớp ứng dụng.

Sự kết hợp giữa chính sách kiểm tra và chính sách ACL-based để xác nghĩa chính sách firewall tổng thể.

Để bảo vệ một mạng (nội bộ) đáng tin cậy từ một mạng lưới (bên ngoài) không đáng tin cậy bằng cách sử dụng một router có hai interface, router

được đặt giữa hai mạng. Sẽ có bốn điểm logical mà tại đó các router có thể

kiểm tra lưu lượng:

Inbound trên interface nội bộ.

SVTH: Phan Thái Vương Trang 75

Inbound trên interface bên ngoài. Outbound trên interface nội bộ.

Tổng quan về Zone-based policy firewall

Zone-based policy firewall (ZPF) là công nghệ mới nhất của Cisco firewall.

Chính sách Firewall được cấu hình trên lưu lượng di chuyển giữa vùng.

ZPF đơn giản hóa việc khắc phục sự cố chính sách firewall bằng cách áp

Một phần của tài liệu CÁC kỹ THUẬT KHẮC PHỤC sự cố MẠNG TIÊN TIẾN (Trang 75)

Tải bản đầy đủ (PDF)

(159 trang)