Lỗi cấp phát bộ nhớ là vấn đề phổ biến nhất về bộ nhớ của router.
Điều này xảy ra khi router sử dụng tất cả các bộ nhớ hoặc bộ nhớ đã được chia nhỏ thành nhiều phần nhỏ.
Điều này có thể xảy ra với processor memory hay packet memory
Những triệu chứng của lỗi cấp phát bộ nhớ bào gồm:
Hiển thị thông điệp các bản ghi trong router chẳng hạn như: %SYS–2– MALLOCFAIL: lỗi cấp phát bộ nhớ 1028 bytes từ 0x6015EC84, Pool Processor, alignment 0.
Không nhân được bất kỳ kết quả nào từ lệnh show.
Nhận ít thông điệp bộ nhớ.
Nhận thông điệp unable để tạo EXEC: không có bộ nhớ hoặc có quá nhiều tiến trình trên console.
Khi bộ nhớ router ít nó có thể không được Telnet đến router. Nếu có thể, kết nối đến cổng console để thu thập dữ liệu để xử lý sự cố. Nếu nhận được một thông báo error không đủ bộ nhớđể cho phép console kết nối.
Kích thước bộ nhớ không hỗ trợ phần mềm Cisco IOS image:
Một trong những nguyên nhân gây ra sự cố bộ nhớ là không đủ bộ nhớđể
hỗ trợ phần mềm Cisco IOS image.
Kiểm tra kích thước bộ nhớ tối thiểu đối với tính năng thiết lập phần mềm Cisco IOS và phiên bản đang chạy:
• Release Notes (available to registered customers only)
• IOS Upgrade Planner (available to registered customers only)
Yêu cầu bộ nhớ thực tế sẽ khác dựa trên:
• Việc sử dụng Protocols.
• Bảng Routing.
• Mô hình lưu lượng trên mạng.
SVTH: Phan Thái Vương Trang 132
Bộ nhớ bị rò rỉ xảy ra khi quá trình cấp phát bộ nhớ nhưng không free khi nhiệm vụ hoàn tất.
Kết quả là, memory block vẫn bảo lưu cho đến khi router nạp lại.
Lệnh show memory allocating-process totals có thể giúp xác định bộ
nhớ sử dụng và free, và việc sử dụng bộ nhớ cho mỗi tiến trình của router.
Rò rỉ bộ nhớ gây ra do lỗi trong Cisco IOS code.
Giải pháp là nâng cấp phần mềm Cisco IOS lên một phiên bản sửa lỗi vấn đề.
Ví dụ 9-48 Kết quả của lệnh show memory allocating-process totals
Sự cố Security-related
MALLOCFAIL errors cũng có thểđược gây ra bởi vấn đề security.
Hoạt động của worm hay virus có thể là nguyên nhân. Điều này có nhiều khả năng nếu không có bất kỳ thay đổi gần đây vào mạng, chẳng hạn như
nâng cấp IOS router hay thay đổi cấu hình.
Hạn chế có thể bao gồm thêm một danh sách truy cập mà drop lưu lượng
được tạo ra bởi worm hay virus.
Memory Allocation Failure at Process = interrupt level
Lỗi phân bổ bộ nhớđang được gây ra bởi sự cố phần mềm.
Sử dụng bộ công cụ Bug để tìm kiếm một ID phù hợp với lỗi phần mềm.
Upgrade phiên bản phần mềm Cisco IOS có chứa các sửa chữa để giải quyết vấn đề.
Buffer Leak Bug:
Buffer leak xảy ra khi IOS code không cấp phát bộ nhớđệm sau khi phân bổ nó.
SVTH: Phan Thái Vương Trang 133
Kết quả buffer pool tiếp tục tăng, nhiều gói tin mắc kẹt trong vùng đệm. Lệnh show interfaces hiển thị số liệu thống kê của tất cả interface được cấu hình trên router
Ví dụ 9-49 Kết quả của lệnh show interfaces
Kết quả cho thấy interface input queue là wedged, đây là triệu chứng của buffer leak input queue (76/75) cảnh báo về buffer leak và đã có 1250 drop.
Lệnh show buffers hiển thị số liệu thống kê của buffer pools trên router.
Ví dụ 9-50 Kết quả của lệnh show buffers
BGP Memory Use: Cisco IOS có ba quá trình chính được sử dụng bởi BGP: BGP I/O: • Xử lý đọc, viết, và thực thi tất cả các thông điệp BGP. • Hoạt động như interface giữa TCP và BGP. BGP router: • Chịu trách nhiệm khởi xướng tiến trình BGP • Session maintenance. • Xử lý thông tin cập nhập gửi đến. • Gửi thông tin cập nhập BGP.
• Cập nhập IP RIB (Routing Information Base) với mục BGP.
BGP scanner:
SVTH: Phan Thái Vương Trang 134
• Scan RIB IP đểđảm bảo rằng tất cả BGP next hop là hợp lệ.
• Chiếm phần lớn bộ nhớđược sử dụng bởi BGP.
• Sử dụng bộ nhớđể lưu trữ BGP RIB, IP RIB cho BGP prefixes và IP switching data structures cho BGP prefixes.
SVTH: Phan Thái Vương Trang 135
CHƯƠNG 10 CÁC KỊCH BẢN MINH HỌA 10.1HSRP with IP SLA
Hot Standby Routing Prototocol (HSRP) là một trong những số tính năng cung cấp khả năng Redundancy ở layer 3 cho các host trong network. HSRP sẽ tối ưu hóa việc cung cấp các đường kết nối khi phát hiện một đường link bị fail và những cơ chế phục hồi sau khi ta gặp sự cố trong mạng.
Trong mô hình này chúng ta cần 3 router và 1 PC
Cấu hình:
Bước 1: Lần lượt cấu hình ip address cho các interface của router R1, R2, R3 và R4. Dùng giao thức EIGRP quảng bá mạng 0.0.0.0 trên R1, R2 và R4. Sau khi cấu hình xong phải chắc chắn rằng R3 ping được R1, R2, và R4!!! Nếu không thể, khắc phục sự cốđó cho phù hợp.
Bước 2: Tạo chếđộ standby cho PC và điểm gateway của PC đến địa chỉ này R1(config)#interface fastEthernet 0/0
R1(config-if)#standby 1 ip 10.1.1.99 R1(config-if)#standby 1 priority 150
Thực hiện trên R1 để thiết lập R1 có độưu tiên cao hơn, giá trị mặc định là 100. Cấu hình tương tự trên R2, để giá trị mặc định cho R2.
SVTH: Phan Thái Vương Trang 136 R2(config)#interface fastEthernet 0/0
R2(config-if)#standby 1 ip 10.1.1.99 Bước 3: Cấu hình default-gateway cho PC R3(config)#ip default-gateway 10.1.1.99
Bước 4: Đểđảm bảo chế standby hoạt động trở lại, cấu hình như sau: R1(config)#int fa 0/0
R1(config-if)#standby 1 preempt
Bước 5: Sử dụng tất cả các phương pháp mà chúng ta đã thảo luận ở trên để
xác minh tất cả các cấu hình đang chạy bình thường khi nó điều chỉnh hello và holdtime, Cisco khuyến khích thiết lập giá trị của holdtime three time nhiều hơn hello time
R1(config)#int fa 0/0
R1(config-if)#standby 1 timers 1 3 Thiết lập tương tự trên R2 int fa0/0
Bước 5: Cấu hình IP SLA trên R1 và ping liên tục địa chỉ Loopback của R4 từ R1. Và thiết lập frequency of 10, timeout và threshold of 2000
R1(config)#ip sla monitor 1
R1(config-sla-monitor)#type echo protocol ipIcmpEcho 192.168.1.1 R1(config-sla-monitor-echo)#timeout 2000
R1(config-sla-monitor-echo)#threshold 2000 R1(config-sla-monitor-echo)#frequency 10
Frequency này có nghĩa là nó sẽ ping trong mỗi 10 giây để kiểm tra xem cấu hình mạng vẫn có thể truy cập. Giá trị timeout và threshold xác định xem nếu có “breach” trong cấu hình SLA. Thiết lập các thông số khác như thời gian nào trong ngày này sẽ bắt đầu và thời gian nó sẽ kết thúc.
R1(config)#ip sla monitor schedule 1 start-time now life foreve
Thiết lập cấu hình để theo dõi HSRP R1(config)#track 1 rtr 1 reachability R1(config-track)#int fa0/0
SVTH: Phan Thái Vương Trang 137 R1(config-if)#standby 12 track 1 decrement 11
Để rõ hơn xem file cấu hình đường link dưới đây: Cấu hình HSRP with IP SLA
Dùng lệnh show standby hoặc show standby brief để xem kết quả trên R1&2. Và có thể dùng lệnh sho ip arp xem địa chỉ IP và địa chỉ Mac tương ứng của virtual router được duy trì trong bảng ARP của mỗi router thuộc HSRP group.
10.2GRE over IPSec
Giao thức GRE giúp tạo ra tunnel nhưng đây lại là một giao thức không có bảo mật. Để hỗ trợ vấn đề bảo mật cho nó thì ta cho nó hoạt động thông qua IPSec.
Để bảo vệ gói tin GRE ta gói tin này được bảo vệ bằng IPSec. Mà IPSec có hai mode là tunnel mode và transport mode. Thì GRE dùng Transport mode
để tiết kiệm được 20 byte địa chỉ.
Ta có mô hình bài lab như sau:
Mô hình gồm 5 router: trong đó R1 và R3 cấu hình GRE, R2 là ISP router, R4 & R5 là PC.
Cấu hình:
Bước 1: Thực hiện cấu hình IP trên các interface như trong bài lab, định tuyến bằng default route và cấu hình định tuyến OSPF thông qua interface tunnel (cấu hình trên R1 và R3)
Bước 2: Cấu hình GRE trên R1 và R3
SVTH: Phan Thái Vương Trang 138 interface tunnel 0
ip add 100.0.0.1 255.255.255.0 tunnel source 120.0.0.1
tunnel destination 123.0.0.2 tunnel mode gre ip
tunnel key 123456 Cấu hình trên R3: int tunnel 0 ip add 100.0.0.2 255.255.255.0 tunnel source 123.0.0.2 tunnel destination 120.0.0.1 tunnel mode gre ip
tunnel key 1234
Bước 3: Cấu hình IPSec trên R1 và R3
File cấu hình và kết quả sau khi cấu hình xem đường link sau: Cấu hình GRE over IPsec
10.36to4 tunnel, EIGRP IPv4, Static Route IPv6
6to4 tunnel: với kỹ thuật này thì mạng IPv4 sẽ được xem như một liên kết unicast P2P. Mục đích của việc sử dụng 6to4 tunnel là kết nối các IPv6 domain chứ không phải các host, tuy nhiên kỹ thuật này khó mở rộng. Mặc dù các gói IPv6 được bao đóng bên trong các gói IPv4, nhưng các tunnel lại không được định nghĩa. Và 13 bit TLA đó là: 0x0002 hay :2002::/16. 32 bit tiếp theo (high level NLA) sẽ là địa chỉ IPv4 toàn cục của interface router. Khi một 6to4 router nhận được một IPv6 packet không phải thuộc domain của nó với một TLA là 2002, nó sẽ bao đóng dữ liệu trong gói IPv4 packet và thiết lập trường protocol thành 41. Router sau đó sẽ sử dụng high level NLA (32 bit IPv4) như là một địa chỉ đích và định tuyến gói tin qua mạng
SVTH: Phan Thái Vương Trang 139 IPv4. Còn nếu TLA khác 2002 thì packet sẽ được bao đóng và gửi ra một default route đến một 6to4 router khác để forward
Trong bài lab này chúng ta cần 3 router. Mục tiêu của bài lab là cấu hình EIGRP trên IPv4, tạo Tunnel giữa IPv6to4, cấu hình static Route trên IPv6.
Cấu hình:
Bước 1: Cấu hình IP trên các interface như trong bài lab Bước 2: Cấu hình EIGRP trên cả 3 router
Bước 3: Cấu hình 6to4 tunnel bằng manual trên R1 và R3: R1(config-if)# interface loopback11
R1(config-if)# ipv6 address 2002:AC10:0C01:11::1/64 R1(config-if)# interface loopback12
R1(config-if)# ipv6 address 2002:AC10:0C01:12::1/64 R1(config)# interface tunnel 0
R1(config-if)# tunnel mode ipv6ip 6to4
R1(config-if)# ipv6 address 2002:AC10:0C01:1::1/64 R1(config-if)# tunnel source serial0/0/0
R1(config-if)# exit
R1(config)# ipv6 unicast-routing
R1(config)# ipv6 route 2002::/16 tunnel0
R3(config-if)# interface loopback31
R3(config-if)# ipv6 address 2002:AC10:1703:31::1/64 R3(config-if)# interface loopback32
SVTH: Phan Thái Vương Trang 140 R3(config)# interface tunnel 0
R3(config-if)# tunnel mode ipv6ip 6to4
R3(config-if)# ipv6 address 2002:AC10:1703:1::3/64 R3(config-if)# tunnel source serial0/0/1
R3(config-if)# exit
R3(config)# ipv6 unicast-routing
R3(config)# ipv6 route 2002::/16 tunnel0 Bước 4: Kiểm tra các router bằng lệnh ping Bước 5: Cấu hình static router cho router
R1(config)# ipv6 route FEC0::3:0/112 2002:AC10:1703:1::3 R3(config)# ipv6 route FEC0::1:0/112 2002:AC10:C01:1::1
Kiểm tra bảng định tuyến bằng lệnh “show ipv6 route” trên R1 và R3.
File cấu hình và kết quả xem đường kink sau: Cấu hình 6to4 Tunnel
10.4 SDM kết nói router thật của cisco
SDM (Cisco Rotuer and Device Manager) là 1 công cụ để quản lý thiết bị
Router thông qua công nghệ Java, giao diện của SDM rất dễ sử dụng, giúp chúng ta có thể cấu hình LAN, WAN và các tính năng bảo mật khác của router. SDM được thiết kế cho người quản trị mạng hay reseller SMB mà không yêu cầu người sử dụng có kinh nghiệm nhiều trong việc cấu hình router.
Trong bài lab này, cần phải có 2 PC, 2 Router của GNS3 và 2 router thật của Cisco, Trên PC phải có phần mềm cài đặt SDM cho Router và hệ điều hành của Router phải hỗ trợ việc cài đặt và cấu hình bằng SDM. Ngoài ra bài lab này còn tích hợp với router thật của cisco. Để kiểm tra hệ điều hành ta đánh
SVTH: Phan Thái Vương Trang 141 lệnh show version hay show flash để kiểm tra tên của hệ điều hành và phần cứng, sau đó tham khảo link sau:
http://www.cisco.com/en/US/products/...0803e4727.html
Nếu hệđiều hành không hỗ trợ ta phải cài đặt hệđiều hành khác cho router. Trong bài lab có sử dụng các interface loopback, là các interface logic, để giả
lập các mạng kết vào 2 router
Cấu hình: Ta cấu hình các bước như sau trên 2 router R1 và R2: Bước 1: Cấu hình cho phép truy cập http và https
Router#configure terminal Bật 1 trong 2 dịch vụ HTTP hoặc HTTPS HTTP: Router(config)# ip http server Hoặc HTTPS: Router(config)# ip http secure-server
Bước 2: Tạo username và password với quyền hạn privilege 15 để login vào router
Router(config)#username cisco privilege 15 password cisco Bước 3: Cấu hình cho phép telnet và ssh thông qua các line Router(config)# line vty 0 4
Router(config-line)# login local
Router(config-line)#transport input ssh Router(config-line)#exit
Bước 4: Lần lượt cấu hình ip address cho interface fa0/0 (interface kết nối đến PC) của router R1 và R2
Sau khi hoàn thành xong việc cấu hình Router, ta tiến hành thay đổi
địa chỉ IP và kiểm tra kết nối từ PC đến router. Có thể xem thêm file cấu hình ở link sau: Cấu hình SDM
SVTH: Phan Thái Vương Trang 142
10.5Kịch bản minh họa nhiều giao thức và khắc phục sự cố các giao thức đó.
Mô hình gồm 7 router, 4 switch và 1 frame relay switch: Cấu hình các Router và Switch được mô tả trong bảng sau:
Thiết bị Mô tả
1. Sai IP của BGP Neighbor 2. OSPF Authentication
3. Cấu hình sai NAT- access list R1
4. Redistribute access-list 1. Cấu hình sai DHCP Range 2. Redistribute EIGRP to OSPF sai R4
3. EIGRP Passive interface
DSW1 1. HSRP track
ASW1 1. Access port không phải trong VLAN 10
Cấu hình:
Bước 1: Cấu hình IP cho các interface như trong bài lab. Bước 2: Tiến hành khắc phục sự cố nhưđã miêu tảở trên.
SVTH: Phan Thái Vương Trang 143
Khắc phục sự cố “sai IP của BGP Neighbor”: lỗi này do sự không cẩn thận người đánh máy. Thay vì quảng bá mạng “neighbor 209.65.200.226 remote-as 65002” trong chế độ định tuyến BGP người đánh máy lại quảng bá mạng “neighbor 209.56.200.226 remote-as 65002”. Khắc phục bằng cách “no neighbor 209.56.200.226 remote-as 65002” và áp dụng “neighbor 209.65.200.226 remote-as 65002”. File cấu hình và file khắc phục sự
cố xem ở link sau: Tổng hợp và Tổng hợp_TSHOOT
Khắc phục sự cố “OSPF Authentication”: Client không thể ping tới s1/1.12 của R1 từ Client. Vấn đềđã được disable authentification trên R1, kiểm tra nơi chứng thực không được đưa ra trong router ospf của R1. Khắc phục sự cố bằng cách trên R1 cần lệnh area 12 authentication message-digest trong chếđộrouter ospf 1 và lệnh ip ospf authentication message-digest phải được ghi trên s1/1.12. File cấu hình và file khắc phục sự cố xem ở link sau: Tổng hợp và Tổng hợp_TSHOOT
Khắc phục sự cố “Cấu hình sai NAT-Access list”: Client không thể
ping tới Wed Server 209.65.200.241, nhưng tất cả Router Và DSW1, 2 có thể ping tới Server. Khắc phục bằng cách thêm
Access-list 10 permit 10.2.1.0 0.0.0.255 Access-list 10 permit 10.2.2.0 0.0.0.255 Access-list 10 permit 10.2.4.0 0.0.0.255
Trong chếđộ cấu hình NAT. File cấu hình và file khắc phục sự cố
xem ở link sau: Tổng hợp và Tổng hợp_TSHOOT
Khắc phục sự cố “Redistribute access-list”: Client, router và DSW1&2 không thể ping được Wed server, ngoại trừ R1. Sự cố trên R1 access-list bị chặn IP. Khắc phục bằng cách thêm lệnh Access-list 30 permit 209.65.200.224 0.0.0.3 trong access-list của R1. File cấu
SVTH: Phan Thái Vương Trang 144 hình và file khắc phục sự cố xem ở link sau: Tổng hợp và Tổng hợp_TSHOOT
Khắc phục sự cố cấu hình sai “Cấu hình sai DHCP Range”: Trong trường hợp này, kiểm tra IP trên Client nếu không nhận được IP thì sử
dụng lệnh “show run” trên R4, nếu có “ip dhcp exclude 10.2.1.1- 1.10.2.1.253” thì DHCP Range đã cấu hình sai. Khắc phục bằng cách “no ip dhcp exclude 10.2.1.1-10.2.1.253” và áp dụng “ip dhcp exclude 10.2.1.1-10.2.1.2”. File cấu hình và file khắc phục sự cố xem ở link sau: Tổng hợp và Tổng hợp_TSHOOT
Khắc phục sự cố “Redistribute EIGRP to OSPF sai”: Client không thể
ping được WedServer. DSW1 ping được fa0/0 của R4. Tuy nhiên Client và DSW1 ko thể ping được s1/1.34 của R4 (10.1.1.10). Khắc