Để khắc phục vấn đề này, ta có thể hiệu chỉnh các tham số trên các cổng thích hợp để metric đi theo các đường là giống nhau, khi đó cả 3 đường sẽ đều được đưa vào bảng định tuyến để sử dụng. Tuy nhiên, trong cơng thức tính tốn metric của EIGRP có nhiều tham số, có phép chia lẻ thập phân và kết quả tính ra thường rất lớn và có độ phân giải có thể đến một phần triệu nên việc hiệu chỉnh được cho các đường chính xác bằng nhau khơng phải là một điều dễ dàng (Ví dụ: một đường có metric 2174976 và một đường có metric 2174977 có thể coi là tốt như nhau nhưng EIGRP không đồng ý như vậy, với EIGRP đường 2174976 vẫn tốt hơn 2174977 dù hai đường này metric chỉ chênh lệch nhau có 1 phần triệu!).
Với EIGRP, ta có thể chọn một giải pháp cân bằng tải đơn giản hơn: cho phép cân bằng tải trên cả những đường metric không bằng nhau. Để thực hiện điều đó, ta thực hiện chỉnh một tham số có tên là variance trên router bằng câu lệnh:
Router(config)#router eigrp AS- number
Router(config-router)#variance giá trị variance
Sau khi hiệu chỉnh xong, giá trị variance này sẽ được nhân với giá trị FD của Successor. Kết quả nhận được nếu lớn hơn metric của đường nào thì router sẽ cân bằng tải luôn qua cả đường đó. Với ví dụ trên, giả sử ta chỉnh variance = 4:
Router(config-router)#variance 4
Khi đó, giá trị 4 sẽ được nhân với FD Successor : 4 * 1000 = 4000. Ta thấy 4000 > 3000 là metric khi đi theo đường số 3 nên router sẽ thực hiện cân bằng tải qua cả đường này. Ta lưu ý rằng dù đường số 2 có metric 2000 <4000 nhưng đường này không được tham gia vào cân bằng tải vì nó khơng phải là Feasible Successor. Kỹ thuật cân bằng tải trên những đường không đều nhau của EIGRP chỉ có tác dụng giữa các Successor và Feasible Successor.
Router chạy EIGRP cũng sẽ thực hiện một chiến lược cân bằng tải khôn ngoan giữa các đường khơng đều nhau: đường có metric tốt hơn sẽ gánh tải nhiều hơn đường có metric kém hơn theo tỉ lệ metric. Ví dụ: khi cân bằng tải giữa các đường có metric 1000 và 3000, đường 1000 sẽ phải gánh tải nhiều hơn gấp 3 lần so với đường 3000. 3.5 | CẤU HÌNH EIGRP CHO IPV4
Các bước cấu hình:
Bước 1: Khởi động EIGRP và xác định con số autonomous-system
Router(config)#router eigrp autonomous-system
Thông số autonomous-system xác định các router trong một hệ tự quản. Những router nào trong cùng một hệ thống mạng thì phải có con số này giống nhau. Giá trị của
autonomous-system nằm trong khoảng từ 1 đến 65535.
Bước 2: Khai báo những mạng nào của router thuộc về autonomous-suystem
Router(config-router)#network network-number Hoặc:
Router(config-router)#network network-number [wildcard-mask]
Thông số network-number là địa chỉ mạng của các cổng giao tiếp trên router thuộc về hệ thống mạng EIGRP. Router sẽ thực hiện quảng cáo thông tin về những mạng được khai báo trong câu lệnh network này.
EIGRP tự động tổng hợp các đường lại theo lớp địa chỉ. Để quảng bá các mạng không con và hỗ trợ mạng không liên tục, sử dụng câu lệnh:
Router(config-router)#no auto-summary
Với EIGRP, việc tổng hợp đường đi có thể được cấu hình bằng tay trên từng cổng của router với giới hạn tổng hợp mà bạnn muốn chứ không tự động tổng hợp theo lớp địa chỉ IP. Sau khi khai báo địa chỉ tổng hợp cho một cổng của router, router sẽ phát quảng cáo ra cổng đó các địa chỉ được tổng hợp như câu lệnh đã được cài đặt. Câu lệnh như sau:
Router(config-if)#ip summary-address eigrp auronomous-system ip-address mask administrative-distance.
Đường tổng hợp của EIGRP có chỉ số mặc định của độ tin cậy (administrative-
distance) là 5. Tuy nhiên, bạn có thể khai báo giá trị cho chỉ số này trong khoảng từ 1
đến 255.
Mặc định câu lệnh: Router(config-router)#eigrp log-neighbor-changes được kích
hoạt. Câu lệnh này sẽ làm cho router xuất ra các câu thơng báo mỗi khi có sự thay đổi của các router láng giềng thân mật giúp theo dõi sự ổn định của hệ thống định tuyến và phát hiện được sự cố nếu có.
R1(config)#router eigrp 100 R1(config-router)#network 172.16.0.0 R1(config-router)#network 192.168.10.0 R1(config-router)#no auto-summary R2(config)#router eigrp 100 R2(config-router)#network 172.16.0.0 R2(config-router)#network 192.168.10.0 R2(config-router)#no auto-summary R3(config)#router eigrp 100 R3(config-router)#network 192.168.1.0 R3(config-router)#network 192.168.10.0 R3(config-router)#no auto-summary CHỨNG THỰC TRONG EIGRPV4
EIGRP chỉ hỗ trợ một dạng chứng thực là MD5. Để router gửi thông tin chứng thực trên cổng ta cấu hình lệnh như sau:
Bước 1: Trên mỗi router sẽ khai báo một key-chain dùng cho xác thực. Key-chain là
một tập hợp các key được sử dụng để xác thực. Câu lệnh: Router(config)#key chain <tên-keychain>
Bước 2: Với mỗi key-chain, ta sẽ khai báo lần lượt từng key được sử dụng. Key được
định danh bằng key-id, đơn giản chỉ là các số nguyên dương. Các câu lệnh: Router(cofnfig-kaychain)# key <key-id>
Router(cofnfig-kaychain-key)#key-string <password>
Bước 3: Bật chứng thực trên các cổng đấu nối và chỉ đến key-chain được chỉ ra ở các
bước trên. Câu lệnh:
Router(config-if)#ip authentication mode eigrp <AS> md5
Ví dụ 2: Thực hiện yêu cầu chứng thực trên các kết nối giữa các router trên sơ đồ hình
ở ví dụ 1.
Ở đây, ta sẽ khai báo các key – chain chỉ có một key, với key – id = 1 và nếu không chỉ ra các thơng số thời gian thì key này sẽ được sử dụng vĩnh viễn.
R1(config)#key chain R1R2chain R1(config-keychain)#key 1
R1(config-keychain-key)#key-string R1R2KEY R1(config)#interface s0/0/0
R1(config-if)#ip authentication mode eigrp 100 md5 R1(config-if)#ip authentication mode eigrp 100 R1chain
Khi chưa cấu hình chứng thực trên R2, quan hệ láng giềng giữa R1 và R2 sẽ down vì một đầu xác thực cịn đầu kia thì khơng.
Ta tiến hành cấu hình xác thực trên R2: R2(config)#key chain R2R1chain R2(config-keychain)#key 1
R2(config-keychain-key)#key-string R1R2KEY R2(config)#interface s0/0/0
R2(config-if)#ip authentication mode eigrp 100 md5
R2(config-if)#ip authentication mode eigrp 100 R2R1chain
Sau khi tiến hành cấu hình xong trên R2, hai router thiết lập lại quan hệ láng giềng. Ta thực hiện cấu hình tương tự trên kết nối giữa R2 và R3:
R2(config)#key chain R2R3chain R2(config-keychain)#key 1
R2(config-keychain-key)#key-string R2R3KEY R2(config)# interface s0/0/1
R2(config-if)#ip authentication key-chain eigrp 100 R2R3chain R3(config)#key chain R3R2chain
R3(config-keychain)#key 1
R3(config-keychain-key)#key-string R2R3KEY R3(config)# interface s0/0/1
R3(config-if)#ip authentication mode eigrp 100 md5
R3(config-if)#ip authentication key-chain eigrp 100 R3R2chain Ta thực hiện cấu hình tương tự trên kết nối giữa R3 và R1:
R3(config)#key chain R3R1chain R3(config-keychain)#key 1
R3(config-keychain-key)#key-string R3R1KEY R3(config)# interface s0/0/1
R3(config-if)#ip authentication mode eigrp 100 md5 R1(config)#key chain R1R3chain
R1(config-keychain)#key 1
R1(config-keychain-key)#key-string R3R1KEY R1(config)# interface s0/0/1
R1(config-if)#ip authentication mode eigrp 100 md5
R2(config-if)#ip authentication key-chain eigrp 100 R1R3chain Kiểm tra cấu hình: Dùng các lệnh sau:
Show ip eigrp neighbor
Show ip eigrp interface details Show key chain
EIGRPv6 cũng giữ lại đầy đủ các đặc điểm của EIGRP dùng cho IPv4 và thực hiện bổ sung các tính năng chạy cho IPv6 như định nghĩa lại thông tin định tuyến được trao đổi là IPv6 prefix thay cho IPv4, sử dụng địa chỉ multicast FF02::A thay cho địa chỉ 224.0.0.10 của EIGRPv4,.v.v…
Để nắm được vấn đề một cách trực quan, cùng khảo sát thơng qua một ví dụ cấu hình:
Cấu hình router R1:
R1(config)#ipv6 unicast-routing R1(config)#ipv6 router eigrp 2
R1(config-rtr)#eigrp router-id 1.0.0.0 R1(config-rtr)#no shutdown R1(config)#interface g 0/0 R1(config-if)#ipv6 eigrp 2 R1(config)#interface s 0/0/0 R1(config-if)#ipv6 eigrp 2 R1(config)#interface s 0/0/1
R1(config-if)#ipv6 eigrp 2
Tương tự cấu hình trên router R2 và router R3 R2(config)#ipv6 unicast-routing
R2(config)#ipv6 router eigrp 2
R2(config-rtr)#eigrp router-id 2.0.0.0 R2(config-rtr)#no shutdown R2(config)#interface g 0/0 R2(config-if)#ipv6 eigrp 2 R2(config)#interface s 0/0/0 R2(config-if)#ipv6 eigrp 2 R2(config)#interface s 0/0/1 R2(config-if)#ipv6 eigrp 2 R3(config)#ipv6 unicast-routing R3(config)#ipv6 router eigrp 2
R3(config-rtr)#eigrp router-id 3.0.0.0 R3(config-rtr)#no shutdown R3(config)#interface g 0/0 R3(config-if)#ipv6 eigrp 2 R3(config)#interface s 0/0/0 R3(config-if)#ipv6 eigrp 2 R3(config)#interface s 0/0/1 R3(config-if)#ipv6 eigrp 2 Lệnh kiểm tra cấu hình:
Show ipv6 protocols
Show ipv6 eigrp neighbors
Tương tự như các giao thức định tuyến khác, EIGRPv6 cũng có cơ chế chứng thực các gói EIGRP nhận được từ các láng giềng đề phòng việc tiếp nhận các thông tin giả mạo. Giống như EIGRPv4, EIGRPv6 chỉ sử dụng phương pháp chứng thực MD5. Đầu tiên, cần phải khi báo một key – chain, với các key tương ứng cần sử dụng.
Trong bài lab này, chỉ cần một key nên chỉ khai báo một key với key – id = 1 cho key – chain. Có thể khai báo nhiều key cho key chain kèm theo các thông số về thời gian tác dụng để thực hiện luân chuyển key theo những khoản thời gian định trước. Sau khi khai báo key – chain, áp key chain này lên cổng cần xác thực EIGRP. Chi tiết xin xem cấu hình bên dưới.
Cấu hình trên R1:
R1(config)#key chain ABC R1(config-keychain)#key 1
R1(config-keychain-key)#key-string CISCO123 R1(config)#interface s0/0/0
R1(config-if)#ipv6 authentication mode eigrp 100 md5 R1(config-if)#ipv6 autentication key-chain eigrp 100 ABC Cấu hình trên R2:
R2(config)#key chain ABC R2(config-keychain)#key 1
R2(config-keychain-key)#key-string CISCO123 R2(config)#interface s0/0/0
R2(config-if)#ipv6 authentication mode eigrp 100 md5 R2(config-if)#ipv6 autentication key-chain eigrp 100 ABC Kiểm tra cấu hình:
R1#show ipv6 eigrp neighbors
3.7 | CÂU HỎI VÀ BÀI TẬP CHƯƠNG 3
1. Giải thích giao thức định tuyến dạng classful? 2. Giải thích giao thức định tuyến dạng classless? 3. Network auto-summarization là gì?
4. Wildcard mask là gì? 5. Passive interface là gi?
Bài 1 - LAB - Cấu hình EIGRP cơ bản trên IPv4
Topology
Bảng địa chỉ:
Device Interface IP Address Subnet Mask Default
Gateway
R1 G0/0 192.168.1.1 255.255.255.0 N/A S0/0/0
(DCE) 10.1.1.1 255.255.255.252 N/A S0/0/1 10.3.3.1 255.255.255.252 N/A
R2 G0/0 192.168.2.1 255.255.255.0 N/A S0/0/0 10.1.1.2 255.255.255.252 N/A S0/0/1 (DCE) 10.2.2.2 255.255.255.252 N/A R3 G0/0 192.168.3.1 255.255.255.0 N/A S0/0/0 (DCE) 10.3.3.2 255.255.255.252 N/A S0/0/1 10.2.2.1 255.255.255.252 N/A PC-A NIC 192.168.1.3 255.255.255.0 192.168.1.1 PC-B NIC 192.168.2.3 255.255.255.0 192.168.2.1 PC-C NIC 192.168.3.3 255.255.255.0 192.168.3.1 Yêu cầu: Phần 1: Cấu hình cơ bản
Cấu hình địa chỉ IP, Host name, MOTD banner, logging synchronous, …
Phần 2: Cấu hình đinh tuyến EIGRP cho IPv4 Phần 3: Kiểm tra bảng định tuyến EIGRP
Phần 4: Cấu hình Bandwidth and Passive Interfaces
Cấu hình bandwidth trên các router R# show interface s0/0/0 R(config)# interface s0/0/0 R(config-if)# bandwidth 2000 R(config-if)# interface s0/0/1 R(config-if)# bandwidth 64
R(config)# router eigrp 10
R(config-router)# passive-interface g0/0 R# show ip protocols
Bài 2 - LAB - Cấu hình EIGRP cơ bản trên IPv6 Topology như Bài 1
Bảng địa chỉ:
Device Interface IP Address Default
Gateway
R1 G0/0
2001:DB8:ACAD:A::1/64
FE80::1 link-local N/A
S0/0/0 (DCE)
2001:DB8:ACAD:12::1/64
FE80::1 link-local N/A
S0/0/1
2001:DB8:ACAD:13::1/64
FE80::1 link-local N/A
R2 G0/0
2001:DB8:ACAD:B::1/64
FE80::2 link-local N/A
S0/0/0
2001:DB8:ACAD:12::2/64
FE80::2 link-local N/A
S0/0/1 (DCE)
2001:DB8:ACAD:23::2/64
FE80::2 link-local N/A
R3 G0/0
2001:DB8:ACAD:C::1/64
FE80::3 link-local N/A
S0/0/0 (DCE)
2001:DB8:ACAD:13::3/64
S0/0/1
2001:DB8:ACAD:23::3/64
FE80::3 link-local N/A PC-A NIC 2001:DB8:ACAD:A::3/64 FE80::1 PC-B NIC 2001:DB8:ACAD:B::3/64 FE80::2 PC-C NIC 2001:DB8:ACAD:C::3/64 FE80::3
Yêu cầu:
Phần 1: Cấu hình cơ bản
Cấu hình địa chỉ IP, Host name, MOTD banner, logging synchronous, …
Phần 2: Cấu hình đinh tuyến EIGRP cho IPv6 Phần 3: Kiểm tra bảng định tuyến EIGRP Phần 4: Cấu hình và kiểm tra Passive Interfaces
Bài 3 - LAB – Cấu hình các tính năng mở rộng của EIGRP
Topology
Device Interface IP Address Subnet Mask Default Gateway R1 G0/0 192.168.1.1 255.255.255.0 N/A S0/0/0 (DCE) 192.168.12.1 255.255.255.252 N/A S0/0/1 192.168.13.1 255.255.255.252 N/A Lo1 192.168.11.1 255.255.255.252 N/A Lo5 192.168.11.5 255.255.255.252 N/A Lo9 192.168.11.9 255.255.255.252 N/A Lo13 192.168.11.13 255.255.255.252 N/A R2 G0/0 192.168.2.1 255.255.255.0 N/A S0/0/0 192.168.12.2 255.255.255.252 N/A S0/0/1 (DCE) 192.168.23.1 255.255.255.252 N/A Lo1 192.168.22.1 255.255.255.252 N/A R3 G0/0 192.168.3.1 255.255.255.0 N/A S0/0/0 (DCE) 192.168.13.2 255.255.255.252 N/A S0/0/1 192.168.23.2 255.255.255.252 N/A Lo1 192.168.33.1 255.255.255.252 N/A Lo5 192.168.33.5 255.255.255.252 N/A Lo9 192.168.33.9 255.255.255.252 N/A Lo13 192.168.33.13 255.255.255.252 N/A PC-A NIC 192.168.1.3 255.255.255.0 192.168.1.1
PC-B NIC 192.168.2.3 255.255.255.0 192.168.2.1 PC-C NIC 192.168.3.3 255.255.255.0 192.168.3.1
Yêu cầu:
Phần 1: Cấu hình cơ bản
Cấu hình địa chỉ IP, Host name, MOTD banner, logging synchronous, …
Phần 2: Cấu hình đinh tuyến EIGRP và kiểm tra kết nối Phần 3: Cấu hình Summarization cho EIGRP
Cấu hình summary tự động Cấu hình summary bằng tay
Phần 4: Cấu hình hello interval and hold timer trên các router
R(config)# interface s0/0/0
R(config-if)# ip hello-interval eigrp 1 60 R(config-if)# ip hold-time eigrp 1 180 R(config)# interface s0/0/1
R(config-if)# ip hello-interval eigrp 1 60 R(config-if)# ip hold-time eigrp 1 180
4.
CHƯƠNG 4: ACCESS CONTROL LISTS CONTROL LISTS
Người quản trị mạng phải nắm được là làm thế nào có thể ngăn chặn các truy cập không mong muốn vào hệ thống mạng của mình trong khi vẫn cho phép các user trong mạng truy cập được các dịch vụ cần thiết. Mặc dù các công cụ bảo vệ như mật mã, thiết bị bảo vệ vật lý,…rất có hiệu quả nhưng chúng lại không lọc tải linh hoạt và khơng có được các điều khiển đặc biệt mà người quản trị mạng mong muốn.
Access Control List là một danh sách bao gồm các câu lệnh cho phép hoặc từ chối áp dụng cho các địa chỉ hoặc các giao thức. Chương này sẽ giới thiệu ACL cơ bản và ACL mở rộng để điều khiển lưu lượng mạng và sử dụng ACL như thế nào để góp phần bảo vệ hệ thống.
Sau khi học xong chương này, sinh viên có khả năng: Giải thích hoạt động của dịch vụ ALCs
Cấu hình và xử lý sự cố ACLs.
4.1 | GIỚI THIỆU
Access Control List (ACL) là một danh sách các điều kiện được áp đặt vào các cổng của router để lọc gói đi qua nó. Danh sách này chỉ ra cho router biết loại dữ liệu nào được cho phép và loại dữ liệu nào bị hủy bỏ. Sự cho phép và hủy bỏ này có thể được kiểm tra dựa vào địa chỉ nguồn, địa chỉ đích, giao thức hoặc chỉ số cổng.
Sử dụng ACL để quản lý các lưu lượng mạng, hỗ trợ ở mức độ cơ bản về bảo mật cho các truy cập mạng, thể hiện ở tính năng lọc các gói tin qua router.