Không có nhiều hơn một giao thức định tuyến được sử dụng trong một tổ
chức.
Yêu cầu tổ chức (sáp nhập, di cư) có thể ra lệnh sử dụng nhiều giao thức
định tuyến.
Phân phối lại tuyến đường giữa các giao thức định tuyến khác nhau có thể
cần thiết cho kết nối IP giữa các bộ phận khác của mạng.
Điều quan trọng là hiểu được sự tương tác giữa nhiều giao thức định tuyến.
Kỹ sư hỗ trợ mạng phải có khả năng chẩn đoán và giải quyết các vấn đề như
tối ưu định tuyến và định tuyến thông tin phản hồi có thể xảy ra khi phân phối lại tuyến đường được thực thi.
Có 2 cách tuyến đường được đưa vào một giao thức định tuyến:
Kết nối trực tiếp
• Mạng con có thểđược đưa vào bằng cách kích hoạt các giao thức định tuyến trên một interface.
SVTH: Phan Thái Vương Trang 65
Kết nối ngoài (External)
• Mạng con từ một nguồn khác được trình bày trong bảng định tuyến.
• Phân phối lại bằng cách sử dụng cơ chế cập nhật của giao thức định tuyến.
• Tuyến đường không có nguồn gốc của giao thức định tuyến và được coi là bên ngoài.
Chú ý: Giao thức định tuyến cũ, chẳng hạn như RIP không có khả năng đánh dấu các tuyến đường từ bên ngoài vào thông điệp cập nhật định tuyến của nó. Giao thức
định tuyến mới hơn, chẳng hạn như EIGRP và OSPF có khả năng đánh dấu các tuyến đường từ bên ngoài và lựa chọn các tuyến đường bên trong trên các tuyến
đường bên ngoài. Đây là một cơ chế quan trọng trong việc ngăn chặn tuyến đường vòng gây ra bởi tuyến đường phản hồi.
Quá trình phân phối lại:
Quá trình phân phối lại có các tuyến đường từ bảng định tuyến.
Phân phối lại luôn luôn cấu hình theo giao thức “destination” cho các thông tin định tuyến.
Nếu tuyến đường OSPF được phân phối lại vào EIGRP, điều này được cấu hình theo quá trình EIGRP.
Giao thức phân phối lại nên phân công một seed metric sau đó sẽ được gắn vào tất cả các tuyến đường phân phối lại bởi router.
Nếu không giống số liệu được cấu hình, giá trị mặc định cho giao thức phân phối lại được sử dụng.
Để các giao thức khoảng cách vector, như RIP và EIGRP, mặc định metric có giá trị lớn nhất, đại diện cho “infinity” hoặc “unreachable”.
Phân phối lại vào các giao thức này sẽ bị lỗi mà không cần cấu hình rõ ràng để giống số liệu.
Kiểm tra và khắc phục sự cốđường truyền
Khắc phục sự cố vấn đề kết nối IP gây ra bởi redistribution bao gồm các yếu tố sau:
SVTH: Phan Thái Vương Trang 66
• Xử lý sự cố nguồn giao thức định tuyến
Tuyến đường chỉ có thể được phân phối lại nếu nó có mặt trong bảng định tuyến của router phân phối lại.
Nếu tuyến đường không được phân phối lại như dự kiến, khẳng
định rằng nó đang học trên router thông qua nguồn giao thức phân phối lại.
Kiểm tra tuyến đường này đã được cài đặt trong bảng định tuyến chưa.
• Khắc phục sự cố lựa chọn tuyến đường và cài đặt:
Khi tuyến đường được phân phối lại giữa các giao thức định tuyến theo hai chiều (đến và đi từ một giao thức khác), thông tin định tuyến phân phối lại từ một routing domains vào routing domains khác có thể truyền lại cho router mà nó kết nối với domain gốc.
Điều này xảy ra khi có một topological loop trong sơ đồ mạng. Nếu tuyến đường sau đó được chấp nhận như là một đường đi tốt hơn so với lộ trình ban đầu, không tối ưu định tuyến có thể xảy ra.
Tuy nhiên, nếu tuyến đường được tái phân phối lại vào các giao thức ban đầu, nó có thể gây ra các vòng lặp định tuyến và định tuyến không ổn định.
Sau khi chẩn đoán một vấn đề định tuyến tối ưu hoặc vòng lặp
định tuyến, thay đổi khoảng cách quản trị, lọc các tuyến đường
ảnh hưởng đến việc lựa chọn tuyến đường và quá trình cài đặt thường có thể giải quyết vấn đề.
• Khắc phục sự cố quy trình phân phối lại:
Nếu tuyến đường có trong bảng định tuyến của router phân phối lại, nhưng không được quảng bá bởi các giao thức phân phối lại, kiểm tra cấu hình của quy trình phân phối lại.
SVTH: Phan Thái Vương Trang 67
Số liệu giống sai, bộ lọc tuyến đường, hoặc cấu hình sai quá trình
định tuyến giao thức hoặc số hệ thống tự trị là nguyên nhân phổ
biến cho quy trình phân phối lại bị lỗi.
• Khắc phục sự cốđích đến của giao thức định tuyến:
Nếu thông tin định tuyến được lan truyền bằng cách sử dụng cơ
chế cập nhật của giao thức định tuyến, nhưng không được phân phối cho tất cả các router trong đích đến của routing domain, khắc phục sự cố cơ chế trao đổi định tuyến cho đích đến của giao thức.
Mỗi giao thức định tuyến có phương pháp riêng để trao đổi thông tin định tuyến, bao gồm thông tin định tuyến từ bên ngoài.
Các tuyến đường external được xử lý khác với các tuyến đường internal. Ví dụ, tuyến đường OSPF bên ngoài không lan truyền vào vùng stub.
Để khắc phục sự cốđịnh tuyến phân phối lại sử dụng các lệnh sau để thu thập thông tin từ các giao thức định tuyến cấu trúc dữ liêu:
• Show ip ospf database: Hiển thị nội dung của dữ liệu trạng thái liên kết OSPF.
• Show ip eigrp topology: Hiển thị nội dung của bảng topology EIGRP.
• Show ip route network mask: Hiển thị thông tin chi tiết về các tuyến
đường cụ thểđược cài đặt trong bảng định tuyến.
• Debug ip routing: Hiển thị các tuyến đường đang được cài đặt hoặc gỡ bỏ khỏi bảng định tuyến trong thời gian thực.
• Show ip route profile: Chuẩn đoán sự mất ổn định của tuyến đường.
Quá trình khắc phục sự cố phân phối lại giữa OSPF và EIGRP.
Ví dụ này minh họa quá trình redistribution và các lệnh có thể được sử
SVTH: Phan Thái Vương Trang 68 Hình 6-9 Topology giữa EIGRP và OSPF
Ví dụ 6-9 kết quả của lênh show ip route
Bảng định tuyến IP cho CR01 bao gồm hai đường OSPF đến 10.1.152.0/24
Cả hai đường qua switch CSW1 và switch CSW2 được cài đặt trong bảng
định tuyến vì chi phí của nó giống nhau.
Bảng định tuyến cũng hiển thị tuyến đường được đánh dấu để phân phối lại bởi EIGRP và được cấu hình EIGRP giống số liệu được liệt kê.
Ví dụ 6-10 Kết quả hiển thị cảu lệnh show ip eigrp topology
Bảng topology EIGRP trên router CR01 xác nhận các tuyến đường đang redistribution.
Tuyến đường này được lấy từ bảng định tuyến và đưa vào bảng topology như là tuyến đường external.
Năm thành phần cấu hình giống số liệu được liệt kê.
Tuyến đường này được bắt nguồn từ giao thức OSPF với process number 100 và được đưa vào EIGRP của router với EIGRP router ID 10.1.220.1 (đó là bộđịnh tuyến local, CRO1).
SVTH: Phan Thái Vương Trang 69
Lưu ý: Mặc dù OSPF có hai đường chi phí bằng nhau và đưa cả hai vào trong bảng
định tuyến, tiến trình phân phối lại chỉ phân phối lại một trong hai tuyến đường vào tiến trình EIGRP. EIGRP chỉ quảng bá một tuyến đường, vì hai đường chi phí bằng nhau liên quan đến cùng một đích đến.
Ví dụ 6-11 Kết quả của lệnh show ip route
Trên router BRO1, EIGRP sẽ chọn các tuyến đường 10.1.152.0/24 học được từ CR01 và cài đặt nó trong bảng định tuyến IP.
Tuyến đường được đánh dấu là tuyến đường EIGRP external và có khoảng cách quản trị tương ứng là 170.
Thông tin external có mặt trong bảng topology EIGRP, chẳng hạn như các bộđịnh tuyến có nguồn gốc và giao thức, không đưa vào bảng định tuyến.
SVTH: Phan Thái Vương Trang 70
CHƯƠNG 7 DUY TRÌ VÀ KHẮC PHỤC SỰ CỐ BẢO MẬT MẠNG 7.1 Khắc phục sự cố bảo mật mạng
7.1.1Tổng quan
Trọng tâm của phần này nói về các loại hình bảo mật mạng và quá trình khắc phục sự cố.
Các biện pháp bảo mật ảnh hưởng đến khắc phục sự cố: Hạn chế truy cập
đến các thiết bị cơ sở hạ tầng mạng, Kiểm soát và quản lý phần cứng plane, Lọc gói tin trên router và switch, mạng riêng ảo (VPN), tính năng IPS (Intrusion prevention system).
Điều quan trọng là hiểu được các tính năng được triển khai và cách chúng hoạt động.
Hầu hết các tính năng bảo mật hoạt động ở tầng vận chuyển và ở trên.
Một quy trình khắc phục sự cố tổng quát có thể giúp xác định vấn đề liên quan đến tính năng bảo mật hay do vấn đề kết nối ở Lớp 1, 2, hay 3.
Thông báo sự cố và giải pháp cần phải được xác thực đối với chính sách bảo mật của tổ chức.
7.1.2 Đánh giá tính năng bảo mật.
Việc thực hiện tính năng bảo mật có thể ảnh hưởng đến hoạt động của router và switch khác. Trên một thiết bị mạng có 3 chức năng planes:
Management plane: Đại diện cho tất cả các chức năng và các giao thức liên quan đến việc quản lý thiết bị. Cung cấp truy cập cho cấu hình thiết bị, hoạt động thiết bị và số liệu thống kê. Nếu Management plane bị tổn thương, các plane khác cũng bị xâm nhập. Các giao thức bao gồm Telnet, AAA, SSH, FTP, TFTP, SNMP, syslog, TACACS+, RADIUS, DNS, NetFlow và ROMMON.
SVTH: Phan Thái Vương Trang 71
Control plane: Đại diện cho tất cả các chức năng và các giao thức giữa các thiết bị mạng để kiểm soát các hoạt động của mạng. Giao thức Lớp 2 bao gồm ARP, STP và VLAN. Giao thức Lớp 3 bao gồm các giao thức
định tuyến và HSRP.
Data plane: Đại diện các chức năng liên quan đến việc chuyển tiếp lưu lượng thông qua router hoặc switch. Lưu lượng giữa các thiết bịđầu cuối như máy trạm, máy chủ và máy in. Router và switch có thể kiểm tra và lọc lưu lượng truy cập như là một phần của việc thực hiện chính sách an ninh.
7.2 Khắc phục sự cố bảo mật Management Plane
Hình 7-1 Phương pháp truy cập vào Data Plane
Chức năng quản lý của router hay switch thường được truy cập bằng cách sử
dụng 3 phương pháp:
Quản lý truy cập CLI:
• CLI là phương pháp phổ biến và mạnh nhất để quản lý router và switch.
• Lệnh được nhập vào thông qua kết nối console hay Telnet từ xa hay SSH.
• Chứng thực đểđảm bảo người nào có quyền truy cập và cấu hình các thiết bị mạng.
• Bảo mật vật lý rất quan trọng đối với bảo mật của management plane.
CLI luôn luôn được truy cập thông qua giao tiếp nối tiếp.
Người dùng trái phép có thể làm ảnh hưởng đến chu trình các thiết bị và sử dụng mật khẩu khôi phục để kiểm soát quyền điều khiển thiết bị.
SVTH: Phan Thái Vương Trang 72
Quản lý truy cập Web-based: Quản lý thiết bị Web-based có thể cung cấp một phương pháp thay thế để quản lý các router và switch (Cisco Configuration Professional [CCP], Security Device Manager [SDM], HTTP và HTTPS).
Quản lý truy cập SNMP:
• Chủ yếu được sử dụng để truy cập các thông số hoạt động và số liệu thống kê của thiết bị, không thay đổi cấu hình.
• Nếu một thiết bị được cấu hình read-access thì cấu hình không thể
thay đổi.
• Nếu một thiết bị được cấu hình read-write access áp dụng cùng một mức độ bảo mật như command-line hay truy cập web-based.
Ba dịch vụ được cung cấp bởi một máy chủ AAA (Authentication, authorization và accounting) rất quan trọng đối với an ninh mạng:
Authentication: Các dịch vụ chứng thực có thể kiểm tra thông tin người dùng để xác nhận họ là ai họ có quyền gì.
Authorization: Sau khi xác thực, các dịch vụ ủy quyền xác định những gì mà người dùng được phép làm.
Accounting: Các dịch vụ hạch toán có thể thu thập và lưu trữ thông tin vềđăng nhập của người dùng. Thông tin này có thể được sử dụng, ví dụ,
để giữ dấu vết của những gì đã được thực hiện trên mạng.
7.3 Khắc phục sự cố bảo mật Control Plane
Hình 7-2 Topology hội tụ STP
Kiểm soát lưu lượng plane được xử lý bởi bộ xử lý tuyến đường của hệ
thống.
SVTH: Phan Thái Vương Trang 73
Denial-of-service (DoS) kết nối vào Control Plane có thể làm quá tải router CPU.
Hầu hết các tuyến giao thức hỗ trợ xác thực hàng xóm dựa trên bảng băm MD5.
Chứng thực cũng được hỗ trợ bởi giao thức dự phòng first-hop: Hot Standby Router Protocol (HSRP) như được giới thiệu ở trên, Virtual Router Redundancy Protocol (VRRP), Gateway Load Balancing Protocol (GLBP).
Sử dụng cơ chế xác thực để ngăn chặn các thiết bị trái phép và misdirecting hoặc lưu lượng ứng dụng black-holing.
IEEE 802.1d STP không có cơ chế xác thực.
Switch hỗ trợ tính năng như BPDU guard và Root Guard giúp ngăn ngừa sự
tương tác trái phép với Spanning Tree Protocol.
BPDU Guard: Tính năng BPDU Guard được enable trên các port được cấu hình tính năng PortFast của Cisco. Tính năng PortFast được enable trên port kết nối ra các thiết bị người dùng cuối, chẳng hạn như máy tính, và nó làm giảm lượng thời gian cần thiết cho các port vào trạng thái chuyển tiếp sau khi kết nối. Logic của PortFast là port kết nối đến thiết bị
người dùng cuối không có khả năng để tạo ra topology loop. Do đó, port có thể hoạt động sớm hơn bằng cách bỏ qua Listening của STP và trạng thái learning, theo mặc định mất 15 giây. Vì cổng PortFast này được kết nối với các thiết bị người dùng cuối, cổng này sẽ không bao giờ nhận
được BPDU. Do đó, nếu một port enable cho BPDU Guard nhận được BPDU , port là disabled.
Root Guard: Tính năng Root Guard được enable trên tất cả các port trong mạng và root bridge sẽ không xuất hiện (port không phải là port root, thì port đó trên mỗi switch được coi là gần nhất với root bridge). Nếu một port được cấu hình Root Guard nhận được một BPDU cao hơn.
Các giao thức DHCP và ARP có thể được bảo mật bằng cách enable tính năng DHCP snooping và dynamic ARP inspection (DAI)
SVTH: Phan Thái Vương Trang 74
Bảo vệ control plane có thể sử dụng Modular QoS CLI (MQC) để bảo vệ cơ
sở hạ tầng từ các cuộc tấn công DoS.
Điều quan trọng là biết tính năng bảo mật control plane được triển khai trong mạng và trên các thiết bị.
Lỗi cấu hình có thể gây ra các hoạt động của giao thức control plane giữa các thiết bị lỗi.
7.4 Khắc phục sự cố bảo mật Data Plane
Hình 7-3 Lưu lượng Data Plane đối với các VPNS khác nhau
Router, switch và chuyển tiếp lưu lượng mạng đóng một vai trò hiệu quả
trong việc kiểm tra và lọc lưu lượng truy cập.
Phần mềm IOS firewall cung cấp tính năng bảo mật cho data plane. Có 2 loại IOS firewall: Classic Cisco IOS firewall (stateful packet inspection), Zone- based policy firewall
IOS Stateful Packet Inspection (SPI) là một phần của IOS firewall.
Được cấu hình trên mỗi interface và hoạt động bằng cách tự động thay đổi mục danh sách truy cập dựa trên luồng lưu lượng.
IOS SPI có thể kiểm tra lớp ứng dụng.
Sự kết hợp giữa chính sách kiểm tra và chính sách ACL-based để xác nghĩa chính sách firewall tổng thể.
Để bảo vệ một mạng (nội bộ) đáng tin cậy từ một mạng lưới (bên ngoài) không đáng tin cậy bằng cách sử dụng một router có hai interface, router
được đặt giữa hai mạng. Sẽ có bốn điểm logical mà tại đó các router có thể
kiểm tra lưu lượng:
Inbound trên interface nội bộ.
SVTH: Phan Thái Vương Trang 75
Inbound trên interface bên ngoài. Outbound trên interface nội bộ.
Tổng quan về Zone-based policy firewall
Zone-based policy firewall (ZPF) là công nghệ mới nhất của Cisco firewall.
Chính sách Firewall được cấu hình trên lưu lượng di chuyển giữa vùng.
ZPF đơn giản hóa việc khắc phục sự cố chính sách firewall bằng cách áp