2.
V.6.7 Bảo mật trong VRRP
VRRP được thiết kế cho các môi trường liên mạng, do đó có thể thực hiện các chính sách bảo mật khác nhau. Giao thức này bao gồm một số phương pháp chứng thực và phương pháp không chứng thực.
Bất kỳ loại chứng thực VRRP nào cũng bao gồm một cơ chế: thiết lập TTL=255 và kiểm tra lúc nhận. Mục đích là nhằm chống lại các gói tin VRRP giả mạo xen vào từ các mạng khác và hạn chế được hầu hết các cuộc tấn công vào mạng nội bộ.
Không chứng thực (No Authentication).
Nghĩa là sự trao đổi của các Router VRRP không cần chứng thực. Loại chứng thực này chỉ nên sử dụng trong môi trường ít có xảy ra rủi ro về bảo mật và cấu hình (ví dụ như mạng chỉ có 2 Router).
Mật khẩu văn bản đơn giản (Simple Text Password).
Sử dụng loại chứng thực này có nghĩa là khi trao đổi các giao thức VRRP được chứng thực bởi một chuỗi Text đơn giản làm Password.
Loại chứng thực này rất hữu dụng để chống lại việc cấu hình bị lỗi của Router trên mạng LAN. Nó nhằm để chống lại việc các Router sử dụng phần mềm VRRP giả mạo không mong muốn làm Router dự phòng. Với Router VRRP mới, đầu tiên nên cấu hình Password Text khi chạy VRRP với Router khác.
SVTH: Nguyễn Văn An - Nguyễn Hồng Vân Trang 74
Tuy nhiên, loại chứng thực này không chống lại các cuộc tấn công mà mật khẩu có thể được học bởi một Host dò hỏi gói tin VRRP trong mạng LAN. Chứng thực văn bản đơn giản kết hợp với việc kiểm tra TTL làm cho các gói tin VRRP được gởi từ mạng khác khó thâm nhập được hệ thống hoạt động của VRRP.
Để đạt hiệu quả cao nhất người sử dụng cần phải thường xuyên thay đổi Password.
Cấu hình VRRP theo chứng thực MD5 sử dụng Key String.
vrrp group authentication md5 key-string [0 / 7] key-string [timeout seconds]
Ví dụ:
Chiều dài Key_String có thể lên đến 64 ký tự và ít nhất là 16 ký tự.
Key với chỉ định 0 nghĩa là Key không bị mã hoá, chỉ định là 7 nghĩa là Key
sẽ bị mã hoá. Khoá chứng thực key-string sẽ mã hoá một cách tự động nếu có
cấu hình password-encryption.
Giá trị timeout là thời gian định trước mà Key String cũ chấp nhận cấu hình
cho tất cả Router trong một nhóm với Key String mới.
Chú ý: Tất cả Router bên trong nhóm VRRP phải được cấu hình với cùng chuỗi chứng thực. Nếu không cấu hình cùng chuỗi chứng thực thì Router trong nhóm VRRP sẽ không giao tiếp được với nhau và bất cứ Router nào cấu hình bị lỗi sẽ làm thay đổi trạng thái Master của nó.
IP Authentication Header.
Khi sử dụng loại chứng thực này nghĩa là sự trao đổi giao thức VRRP sử dụng một kỹ thuật xác định bởi IP Authentication Header [Auth], sử dụng HMAC-MD5-96 với ESP ( English for Specific Purposes - Anh ngữ chuyên ngành). Chúng cung cấp cơ chế bảo vệ khá mạnh nhằm chống lại việc cấu hình bị lỗi, các cuộc tấn công lặp đi lặp lại hay thay đổi các gói tin tấn công.
SVTH: Nguyễn Văn An - Nguyễn Hồng Vân Trang 75 V.6.8 VRRP hoạt động trên mạng Ethernet.
Để hiểu rõ hoạt động của VRRP trên mạng Ethernet ta xét mô hình sau:
Hình V-4: VRRP hoạt động trên mạng Ethernet
Mô hình đang xét có hai Router vật lý là R1 và R2.
R1 có địa chỉ IP: 192.32.15.1 và địa chỉ MAC: 00:00:A2:0B:00:01. R2 là Router dự phòng cho R1.
R2 có địa chỉ IP: 192.32.15.2 và địa chỉ MAC 00:00:A2:BE:D0:03. R1 là Router dự phòng cho R2.
Vì thế sẽ có hai Router ảo là V1 và V2.
Router ảo V1 có địa chỉ IP là IP(V1)=192.32.15.1, VRID là 37, và có địa chỉ MAC VRRP là MAC(V1)=00:00:5E:00:01:25 (VRID 37, Hex 25).
Router ảo V2 có địa chỉ IP là IP(V2)=192.32.15.2, VRID là 73, và có địa chỉ MAC VRRP là MAC(V2)= 00:00:5E:00:01:49 (VRID 73, Hex 49).
Vì thế, Router R1 và R2 sẽ lắng nghe địa chỉ MAC của V1 và V2, và địa chỉ MAC của nó.
SVTH: Nguyễn Văn An - Nguyễn Hồng Vân Trang 76
Host H1 được cấu hình để sử dụng định tuyến mặc định của IP(V1). Host H2 được cấu hình để sử dụng định tuyến mặc định của IP(V2).
Lúc này, R1 sẽ là Master của Router ảo V1 vì nó có địa chỉ IP là IP
Address owner. R1 sẽ định kỳ gởi thông điệp quảng bá VRRP với địa chỉ
Source MAC là địa chỉ VRRP của nó và Destination là địa chỉ MAC Multicast Ethernet 01:00:5E:00:00:12. R2 dự phòng cho Router ảo V1, nó sẽ lắng nghe một cách bị động bởi việc đăng ký cho địa chỉ MAC Multicast và thực thi máy trạng thái của nó như đã tìm hiểu. Nếu R1 bị lỗi, R2 sẽ đảm nhận nhiệm vụ Master cho V1.
Khi khởi động, Host H1 gởi ARP Request đến địa chỉ IP của R1 (Master cho V1) là 192.32.15.1. R1 sẽ đáp ứng bằng địa chỉ MAC của V1. Sau đó, Host H1 sẽ cập nhật ARP Cache của nó với MAC(V1) này.
Khi Host H1 truyền thông với Host H3 trên một Subnet khác thì Host H1 sẽ gởi gói tin với:
Địa chỉ Source MAC là MAC(H1). Địa chỉ Destination MAC là MAC(V1). Địa chỉ Source IP là IP(H1).
Địa chỉ Destination IP là IP(H3).
Router R1 (là Master hiện hành cho V1) sẽ nhận gói tin này và chuyển nó sang các Interface rồi đến đích cuối cùng là Host H3. Nếu R1 bị lỗi thì Router dự phòng của nó là R2 sẽ chuyển sang trạng thái Master thay cho R1 bị lỗi. Trong khi đó, Host H1 vẫn không có bất cứ sự thay đổi nào và gói tin của nó sẽ được chuyển đến Host H3 thông qua R2.
Mọi tiến trình là hoàn toàn giống với Host H2 trong VRID 73.
V.6.9 VRRP hoạt động trên FDDI.
Không giống như Ethernet, hoạt động của VRRP trên FDDI phức tạp hơn. Khác với Interface trên Ethernet, Interface của FDDI sẽ loại bỏ bất cứ Frame nào mà có địa chỉ MAC là một trong số địa chỉ MAC của nó.
SVTH: Nguyễn Văn An - Nguyễn Hồng Vân Trang 77
Hình V-5: VRRP hoạt động trên FDDI
Với mô hình này thì R1 là Master Router, R1 sẽ gởi các thông điệp quảng bá với VRRP MAC(V1) là địa chỉ Source MAC và VRRP Multicast MAC Address là Destination MAC Address.
Nếu R1 gặp gói này một lần nữa trên Ring, nó sẽ loại bỏ ngay Frame đó khỏi Ring. Dưới điều kiện chịu lỗi nào đó như chịu lỗi vòng, chuyển giao thức, hoặc mất kết nối thì VRRP có thể tạo ra nhiều hơn một Master Router. Trên Ethernet nếu R1 và R2 cùng đăng ký VRRP MAC Address MAC(V1) thì sẽ có một Master bị loại bỏ. Tuy nhiên, trong FDDI, nếu R1 và R2 cùng đăng ký VRRP MAC Address MAC(V1) và đã Install Virtual Router MAC Address MAC(V1) như là địa chỉ phần cứng trên Interface của nó thì bất kỳ thông điệp quảng cáo nào được gởi bởi R1 mà sử dụng MAC Address MAC(V1) như là địa chỉ nguồn thì sẽ bị R2 loại bỏ và ngược lại, có nghĩa có thể có hơn hai Router làm Master Router.
SVTH: Nguyễn Văn An - Nguyễn Hồng Vân Trang 78
Để tránh được điều này thì Virtual Router MAC Address MAC (V1) nên thay đổi hơn là thay đổi địa chỉ MAC phần cứng của Interface. Làm được việc này bởi thêm vào một bộ lọc MAC Unicast trong thiết bị FDDI trên các Interface của R1 và R2 . Điều này cho phép Interface FDDI nhận và xử lý MAC(V1) thêm vào địa chỉ MAC FDDI của chúng.
Nếu FDDI không có hỗ trợ bộ lọc MAC trên Interface FDDI thì R1 và R2 phải sử dụng địa chỉ MAC vật lý MAC(R1) hoặc MAC(R2) như là địa chỉ nguồn để trao đổi các thông điệp quảng bá VRRP.
V.7. So sánh hai giao thức VRRP và HSRP.
HSRP là một giao thức của Cisco về dự phòng Router nóng.
VRRP là một giao thức và tiêu chuẩn công nghệ hoạt động trên nhiều Router.
Đặc tính và chức năng của hai giao thức này rất giống nhau, tuy nhiên cũng có một số mặt khác nhau. Nhưng so sánh sự khác nhau giữa hai giao thức này là không lớn và không thật rõ ràng.
Những khoảng tính toán thời gian mặc định VRRP thì nhanh hơn HSRP. VRRP cho phép nhiều địa chỉ IP được gán cùng một lúc, xác định bởi
VRID - số định danh của Router ảo, trong khi đó HSRP dùng những nhóm riêng biệt Group Number để thực hiện điều này.
VRRP có thể đề nghị sự chứng thực trên nền tảng HMAC như một đặc tính an toàn cũng như sự chứng thực mức mật khẩu mà HSRP sử dụng. HSRP sử dụng sự chứng thực String Password, nếu không xác định thì giá trị mặc định là ‘cisco’.
Tổng hợp.
Parameter HSRP VRRP
SVTH: Nguyễn Văn An - Nguyễn Hồng Vân Trang 79 Địa chỉ Virtual
MAC
0000.0c07.ac[HSRP
grp] 0000.5e00.01[VRID]
Địa chỉ Virtual IP User cấu hình User cấu hình Router gởi Hello
Packet khi Active
Active và Standby
Routers Master Router
Router gởi Hello
Packet khi Failure Tất cả Tất cả
Hellotime 3s 1s (Advertisement_Interval)
Holdtime 10s Master_Down_Timer=3*Adv+Skew_Time
Hello Src IP IP của Interface IP của Interface
Hello Src MAC BIA (Standby) Virtual MAC (Active) Virtual MAC Hello Dst IP 224.0.0.2 (TTL 1) 224.0.0.18 (TTL 255) Hello Dst MAC 01:00:5e:00:00:02 01:00:5e:00:00:12 Data đến Standby
Group: Dst MAC Virtual MAC Virtual MAC Data từ Standby
Group: Src MAC BIA BIA
Máy trạng thái Phức tạp: 6 State, 8
Event Đơn giản: 3 State, 5 Event
Loại thông điệp Ba loại: Hello, Coup,
SVTH: Nguyễn Văn An - Nguyễn Hồng Vân Trang 80 PHẦN III. DEMO ỨNG DỤNG THỰC TẾ
SVTH: Nguyễn Văn An - Nguyễn Hồng Vân Trang 81
CHƯƠNG VI. MÔ HÌNH DEMO
VI.1. Giới thiệu.
Tuy là có hai công nghệ được nêu trong nội dung đề tài, đó là công nghệ Router dự phòng nóng (HSRP) và công nghệ dư thừa Router ảo (VRRP). Qua so sánh sự giống nhau và khác nhau giữa hai công nghệ thì chúng em thấy rằng đặc tính và chức năng của hai công nghệ có nhiều điểm giống nhau. Vì vậy, chúng em chỉ chọn một công nghệ HSRP để trình bày trong phần Demo ứng dụng thực tế.
Việc chọn một công nghệ để Demo ứng dụng thực tế là không có mục đích chủ định mà sẽ tạo điều kiện cho chúng em tập trung vào một công nghệ, nhằm bám sát vấn đề, đi sâu, mở rộng tìm hiểu và mục đích cuối cùng đó là nắm bắt công nghệ kỹ càng hơn.
VI.2. Mô hình Demo.
Ở phần Demo này chúng em xin giới thiệu hai mô hình, bắt đầu từ mô hình áp dụng căn bản HSRP và tiếp theo là mô hình nâng cao.
SVTH: Nguyễn Văn An - Nguyễn Hồng Vân Trang 82 VI.2.1 Mô hình 1.
Hình VI-1: Mô hình Demo căn bản
VI.2.2 Mô hình 2.
SVTH: Nguyễn Văn An - Nguyễn Hồng Vân Trang 83
Trong mô hình 1 thì mạng của Tổng Cục Thuế TP.HCM chỉ sử dụng một nhóm Hot Standby, có nghĩa là tại một thời điểm chỉ có một Router nắm giữ một trạng thái hoặc là Active, hoặc là Standby. Router A1 được cấu hình Priority là 110 cao hơn giá trị Priority mặc định (100) của Router S1 nên A1 chính là Active Router cho nhóm 1, nó có tác dụng định tuyến chính cho Host A.
Địa chị IP ảo của nhóm là 10.0.0.1 và Host A mang địa chỉ IP là 10.0.0.10 nhưng Default Gateway của nó không chỉ ra địa chỉ của Active Router mà chỉ ra địa chỉ IP ảo của nhóm.
Nếu Router A1 bị lỗi trong quá trình định tuyến hoặc hỏng hóc hoặc đứt tuyến cáp nối giữa các Cục Thuế A và Cục Thuế B lên Router này thì Router S1 với chức năng dự phòng sẽ thay thế Router A1 ngay lập tức.
Với mô hình 2 thì sử dụng chức năng hỗ trợ đa nhóm của kỹ thuật Hot Standby, chúng em sử dụng mô hình hai Router A1S2 và Router A2S1 với hai nhóm Hot Standby là nhóm 1 và nhóm 2. Nhóm 1 có địa chỉ IP ảo là 10.0.0.1 và Priority Number là 110 đối với Router A1S2, 100 đối với Router A2S1. Còn nhóm 2 có địa chỉ IP ảo là 10.0.0.4 và Priority Number là 100 đối với Router A1S2, 110 đối với Router A2S1. Vì vậy Router A1S2 sẽ là Active Router cho nhóm 1 nhưng lại là Standby cho nhóm 2 và Router A2S1 là Active Router cho nhóm 2 nhưng là Standby Router cho nhóm 1.
Trong mạng LAN có hai Host, Host A và Host B. Host A mang địa chỉ: 10.0.0.10, Host B: 10.0.0.11. Host A sử dụng địa chỉ IP ảo của nhóm 1 làm Default Gateway còn Host B lại sử dụng địa chỉ IP ảo của nhóm 2 làm Default Gateway, việc này có ý nghĩa hai Router cùng làm nhiệm vụ định tuyến vào cùng thời điểm, giúp chia sẻ tải truyền cho một Router và tránh gây lãng phí thiết bị.
SVTH: Nguyễn Văn An - Nguyễn Hồng Vân Trang 84
Do mặt hạn chế của hai giao thức HSRP và VRRP là không thể thay thế cho các giao thức định tuyến động nên chúng em sử dụng giao thức định tuyến RIP (Routing Information Protocol) để định tuyến cho mô hình mạng của mình.
VI.3. Kiểm nghiệm.
Để kiểm chứng tốt nhất cho mô hình mạng có hỗ trợ kỹ thuật dự phòng, mang tính năng sẵn sàng cao thì ta hãy thực hiện lệnh Ping từ một Host mạng Cục Thuế A hoặc B vào một Host của mạng Tổng Cục. Và để giả lập Active Router bị lỗi thì ta thực hiện lệnh Shutdown một Interface nào đó của Active Router này.
Trước hết ta phải kiểm xem mô hình mạng của chúng ta có hoạt động ổn định chưa bằng cách sử dụng lệnh Ping từ bất cứ Note mạng nào trên mô hình.
VI.3.1 Lệnh Ping.
Từ Host A trong mạng Tổng Cục Thuế TP.HCM ta tiến hành Ping các Note mạng khác:
SVTH: Nguyễn Văn An - Nguyễn Hồng Vân Trang 85
Ping Interface của Router Cục Thuế A
Ping Interface của Router Cục Thuế B
SVTH: Nguyễn Văn An - Nguyễn Hồng Vân Trang 86
Từ một Router chúng ta Ping kiểm nghiệm vài Note mạng:
Từ Router A1S2 Ping Standby Router.
Router A1S2 ping Host C.
Như vậy, qua một vài lệnh Ping từ một Note mạng tới một Node mạng bất kỳ đều có đáp ứng trả lời lại, điều này có ý nghĩa mạng đã thông suốt trong quá trình áp dụng công nghệ dự phòng Hot Standby. Sau đây là áp dụng một vài lệnh để kiểm tra chức năng Hot Standby đã chạy trên các Router.
VI.3.2 Các lệnh Show.
Trước hết chúng ta dùng lệnh show ip route, show standby brief và show
standby all để kiểm tra bảng định tuyến và Standby đã Enable trên các Router.
SVTH: Nguyễn Văn An - Nguyễn Hồng Vân Trang 88
SVTH: Nguyễn Văn An - Nguyễn Hồng Vân Trang 89
Tại Router CTA:
SVTH: Nguyễn Văn An - Nguyễn Hồng Vân Trang 90
Như vậy là các Router trong mạng đã học được định tuyến từ Router khác thông qua giao thức RIP, tất cả các mạng đều đã được học. Và chức năng Standby đã được Enable trên Router A1S2 và A2S1.
Để kiểm chứng cho chức năng Hot Standby là tạo khả năng mạng sẵn sàng cao, từ một Host trong mạng của Cục Thuế A hoặc Cục Thuế B chúng ta thực hiện lệnh Ping các Host trong mạng của Tổng Cục Thuế TP.HCM.
Từ Host C chúng ta tiến hành Ping liên tục Host A và Host B.
Ping Host A
Chúng ta giả sử đường Link giữa Tổng Cục Thuế TP.HCM và Cục Thuế B bị Down (Bằng cách Shutdown cổng Serial0 của một trong hai Router A2S1 và CTB). Do chúng ta đã cấu hình chức năng Track cho Router A1S2 về chức
SVTH: Nguyễn Văn An - Nguyễn Hồng Vân Trang 91
năng Line-protocol nên khi Serial0 của Router này bị Down thì Priority nhóm 1 của Router A1S2 giảm từ 110 sang 99, việc này tạo điều kiện cho Router A2S1 trở thành Active Router cho cả hai nhóm, nhóm 1 và nhóm 2.
A1S2(config)#interface serial 0 A1S2(config-if)#shutdown
*Mar 1 01:46:07.791: HSRP: Fa0/0 Grp 1 Track 100 object changed, state Up -> Down
*Mar 1 01:46:07.791: HSRP: Fa0/0 Grp 1 Priority 110 -> 99
*Mar 1 01:46:09.047: HSRP: Fa0/0 Grp 1 Ignoring Coup (100/10.0.0.3 <