Tài liệu hướng dẫn Version 1.0 (Học kỳ 4)

250 trang phuongnguyen 4170

Download

Bạn đang xem 20 trang mẫu của tài liệu "Tài liệu hướng dẫn Version 1.0 (Học kỳ 4)", để tải tài liệu gốc về máy bạn click vào nút DOWNLOAD ở trên

Tài liệu đính kèm:

tai_lieu_huong_dan_version_1_0_hoc_ky_4.pdf

Nội dung text: Tài liệu hướng dẫn Version 1.0 (Học kỳ 4)

CCNA HỌC K Ỳ 4 Tài li ệu h ướng d ẫn Version 1.0
Mục L ục (H ọc k ỳ 4) Bài 1 : Tri ển khai EIGRP 1-1 Bài 2 : Xử lý s ự c ố EIGRP . 2-1 Bài 3 : Gi ới thi ệu s ự h ọat độ ng c ủa danh sách ki ểm tra truy c ập 3-1 Bài 4 : Cấu hình và x ử lý s ự c ố danh sách ki ểm tra truy c ập . 4-1 Bài 5 : Uy ển chuy ển m ạng v ới NAT và PAT 5-1 Bài 6 : Quá trình chuy ển sang IPv6 6-1 Bài 7 : Nh ập môn gi ải pháp VPN 7-1 Bài 8 : Thi ết l ập k ết n ối point-to-point WAN v ới PPP 8-1 Bài 9 : Thi ết l ập k ết n ối WAN v ới Frame-Relay 9-1 Bài 10 : Sửa l ỗi Frame Relay WANs . 10-1
Bài 1 : Tri n khai EIGRP Tri ển khai EIGRP 11 Tổng quan : Ch ng này cp n nh ng tính n ng c a giao th c nh tuy n EIGRP . à giao th c nh tuy n c quy n c a Cisco , nóc thi t k gi i quy t các nh c im ca c giao th c nh tuy n theo vector kho ng cách và giao th c nh tuy n theo tr ng thái ng liên k t . ày c ng cp n nh ng k thu t c b n c a EIGRP trong ó có ti n trình ch n ng i . Mục tiêu: • Sau khi hoàn thành ch ng này , b n có th cu hình , ki m tra và x lí s c v EIGRP . làm c iu này , b n ph i hoàn thành các m c sau : • Mô t c ho t ng và cu hình c giao th c nh tuy n EIGRP , bao g m c u hình chia t i và cu hình ch ng th c • Ch ra các s cng g p khi c u hình EIGRP và áp gi i quy t s c ó . 1-1
Các đặc điểm c ủa EIGRP Vector kho ng cách nâng cao Thi t k mng linh ng Hi t nhanh chóng S dng a ch multicast và unicast thay vì 100% nh tuy n không phân l p s dng broadcast không b lp vòng H tr VLSM và các m ng con không liên t c Cu hình d dàng Cu hình nhóm tuy n b ng tay t i b t c v trí Cp nh t m t ph n nào trong m ng Chia t i trên các ưng chi phí H tr nhi u giao th c l p m ng bng nhau và không b ng nhau 1-2 EIGRP là giao th c nh tuy n c quy n c a Cisco , nó kt h p các u im c a c giao th c nh tuy n theo vector kho ng cách và giao th c nh tuy n theo tr ng thái ng liên k t . EIGRP là giao th c nh tuy n theo vector kho ng cách nâng cao . EIGRP còn c g i là giao th c nh tuy n lai , nó bao g m các tính n ng sau ây : •Tc hi t : cóc t c hi t nhanh , EIGRP s dng gi i thu t DUAL . M t router ch y EIGRP s n t t c các ng i d phòng n m t ích nào ó do ó nó áp ng c vi c thay th nhanh chóng ng i chính ( trong tr ng h p ng i chính không s dng c n a ) . N u không cóng i d phòng nào t n t i , router s i các router láng gi ng tìm ra ng i m i . •S dng b ng thông hi u qu : EIGRP không th c hi n c p nh t nh kì , thay vào ó , khi có si v ng i ho c chi phí ca ng i , EIGRP ch gi c p nh t thông tin v si ó ch không g i toàn b bng nh tuy n . •EIGRP h tr nhi u giao th c l p m ng : EIGRP h tr AppleTalk , IPv4 ,IPv6 và IPX nh s dng c u trúc t ng ph n theo giao th c (PDMs – Protocol Dependent Modules ) . •nh tuy n không phân l p : Vì EIGRP là giao th c nh tuy n không phân lp nên thông tin v mng ích c qu ng bá kèm theo m t n mng . Tính nng này giúp EIGRP h tr c các m ng con không liên t c ( discontiguous subnetwork ) và các m ng con có chi u dài m t n mng khác nhau ( VLSMs – Variable Length Subnet Masks ) . 1-2
•Ít hao phí : EIGRP s dng mulitcast và unicast thay vì .iu này giúp cho các thi t b u cu i không b nh h ng b i các thông tin yêu c u cu hình m ng và các thông tin c p nh t nh tuy n . •Chia t i : EIGRP h tr chia t i trên nh ng ng có chi phí không b ng nhau , cho phép ng i qu n tr phân ph i lu ng d li u i trong m ng c t t h n . •D dàng nhóm tuy n : EIGRP cho phép ng i qu n tr d dàng nhóm các tuy n l i v i nhau t i b t kì v trí nào trong m ng , trong khi ó , giao th c nh tuy n theo vector kho ng cách ch th c hi n nhóm tuy n t i biên gi i mng chính . 1-3
Các b ảng c ủa EIGRP 1-4 Mi router EIGRP duy trì mt b ng láng gi ng , b ng này bao g m danh sách các router EIGRP láng gi ng k t n i tr c ti p và có quan h thân m t vi nó . Mi router EIGRP duy trì mt b ng c u trúc m ng t ng ng v i t ng giao th c lp m ng . B ng c u trúc m ng ch a thông tin v tt c các con ng mà router h c c . Router d a vào b ng này la ch n ra ng i t t nh t vàt nh ng ng i t t nh t này vào trong b ng nh tuy n . tìm ra ng i t t nh t ( successor) vàng i d phòng ( feasible successor ) cho m t m ng ích nào ó , EIGRP s dng 2 thông s tính toán : •Advertised Distance (AD) : là chi phín m ng ích do router láng gi ng qu ng bá qua . •Feasible Distance (FD) : chi phí dùng n m ng ích , chi phí này b ng chi phí AD c ng v i chi phí mà router ph i m t khi i n router láng gi ng . Router so sánh t t c các chi phí FD , l a ch n ra chi phí th p nh t và vào b ng nh tuy n . 1-4
Tính toán đường đi c ủa EIGRP (Router C) 1-5 VÍ D : EIGRP tính toán ng i ( Router C ) Bng c u trúc m ng c a EIGRP l u t t c các các ng i n m ng ích hc c b i các router láng gi ng . Nh các b n th y hình trên , Router A và B g i b ng nh tuy n c a chúng cho Router C ( xem b ng nh tuy n ca C hình trên ) . C router A vàu cóng i n m ng 10.1.1.0/24 . Router C cóng i n m ng 10.1.1.0/24 trong b ng c u trúc m ng c a mình . Chi phí mà router C dùng n router A vàu b ng 1000 . Chi phí này c ng v i m i chi phí AD mà router A và router B qu ng bá , k t qu ta s c chi phí FD mà router C ph i tr n m ng 10.1.1.0/24 t ng ng thông qua Router A và Router C . Router C ch n ra giá tr FD nh nh t ( 2000 ) vàt ng i t t nh t này vào trong b ng nh tuy n . ng i có chi phí th p nh t vàc t vào trong b ng nh tuy n g i làng i chính ( successor route ) . K ti p , Router s la ch n ra m t ng i d ng i chính , gi làng i chính kh dng ( feasible successor route ). mt ng i tr thành ng i d phòng , router k cn ph i có chi phí AD nh phí FD c a ng i chính . Nu ng i chính không còn giá tr na , có th là cu trúc mng ho c là do láng gi ng thay i chi phí , gi i thu t DUAL s ki m tra xem cóng i chính d phòng ( feasible successor - FS ) nào không . N u có , DUAL s s dng nó và không c n ph i tính toán l i ng i m i . Nu không cóng i chính d phòng nào c , router th c hi n tính toán li ng i chính m i . 1-5
Cấu hình EIGRP RouterX(config)# router eigrp autonomous-system RouterX(config-router)# network network-number 1-6 CU HÌNH VÀ KI M TRA C U HÌNH EIGRP . S dng câu l nh router eigrp và network th c hi n ti n trình nh tuy n bng giao th c EIGRP . ng EIGRP c n xác nh m t s hi u h t qu n ( AS – autonomous system ) . S hi u h t qu n này không c n ph i ng kí . Tuy nhiên , t t c router trong cùng m t h t qu n ph i s dng chung m t s hi u h t qu n i thông tin nh tuy n v i nhau . Câu l nh network nh ra vùng m ng chính k t n i tr c ti p v i router . Ti n trình nh tuy n EIGRP s ki m tra xem nh ng c ng k t n i nào cóa ch IP n m trong vùng m ng c ch nh b i câu l nh network và bt u th c hi n nh tuy n trên nh ng c ng k t n i ó . Ví d : C u hình EIGRP . Bng sau ây mô t cu hình EIGRP trên Router A Router eigrp 100: kích ho t ti n trình EIGRP cho h th ng t qu n có s hi u 100 Network 172.16.0.0: ng 172.16.0.0 vào ti n trình nh tuy n EIGRP Network 10.0.0.0: ng 10.0.0.0 vào ti n trình nh tuy n EIGRP Lu ý : EIGRP g i thông tin c p nh t ra nh ng c ng k t n i thu c v mng 10.0.0.0 và mng 172.16.0.0. Các c p nh t này bao g m các thông tin t mng 10.0.0.0 , 172.16.0.0 và các m ng khác mà EIGRP h c c . 1-6
Cấu hình m ặc định c ủa EIGRP đối v ới các m ạng không liên t ục Mc nh EIGRP không h tr qu ng bá mng con do ó không h tr các m ng không liên t c 1-7 EIGRP t ng nhóm tuy n t i biên gi i c a m ng có phân l p . Trong mt vài tr ng h p , b n có th s không mu n vi c nhóm tuy n di n ra t ng . Ví d , n u b n có nh ng m ng không liên t c , b n c n ph i t t ch nhóm tuy n t ng tránh cho router kh i b nh m ln . 1-7
Sử dụng câu l ệnh no auto-summary cho các m ạng không liên t ục c ủa EIGRP S dng câu l nh no auto-summary qu ng bá mng con , do ó h tr ưc các m ng không liên t c 1-8 tt ch nhóm tuy n t ng , s cng câu l nh no auto-summary 1-8
Ki ểm tra c ấu hình EIGRP RouterX# show ip route eigrp Hi n th các tuy n hi n t i c a EIGRP trong b ng nh tuy n RouterX# show ip protocols Hi n th các thông s và tr ng thái hi n t i c a giao th c nh tuy n RouterX# show ip eigrp interfaces Hi n th các thông tin c u hình trên c ng k t n i c a EIGRP RouterX# show ip eigrp interfaces IP EIGRP interfaces for process 109 Xmit Queue Mean Pacing Time Multicast Pending Interface Peers Un/Reliable SRTT Un/Reliable Flow Timer Routes Di0 0 0/0 0 11/434 0 0 Et0 1 0/0 337 0/10 0 0 SE0:1.16 1 0/0 10 1/63 103 0 Tu0 1 0/0 330 0/16 0 0 1-9 Câu l nh show ip route eigrp cho th y các tuy n EIGRP trong b ng nh tuy n Câu l nh show ip protocols cho th y các thông s và tr ng thái hi n t i c a ti n trình giao th c nh tuy n ang ch y . Câu l nh này ch ra s hi u h t qu n c a EIGRP , ng th i c ng ch ra thông tin v lc tuy n , phân ph i tuy n , láng gi ng và thông tin v kho ng cách. S dng câu l nh show ip eigrp interfaces [type number] [ as-number] ch ra c ng k t n i nào ang ch y EIGRP , nh ng thông tin v EIGRP h c c trên các c ng k t n i này . N u b n ch nh ra m t c ng k t n i c th bng cách s dng tùy ch n type number ( lo i c ng k t n i – s th t ca c ng k t n i t ng ng ) , thì ch có nh ng thông tin liên quan n c ng k t n i ó mi c hi n th . N u không ch nh c th , t t c các c ng k t n i mày s hi n th lên h t . N u b n ch nh c th mt h t qu n b ng cách s dng as-number ( s hi u h t qu n ) , thì ch có các thông tin ti n trình nh tuy n v h t qu n óc hi n th . N u không ch nh c th , t t c các ti n trình EIGRP s c hi n th Hi n th ca câu l nh show ip eigrp interfaces Interface : C ng k t n i màc c u hình trên ó. Peers : S ng các router EIGRP láng gi ng k t n i tr c ti p trên c ng k t n i ó. Xmit Queue Un/Reliable : S ng các hàng gói tin còn l i trong hàng i Tin Cy và Không Tin C y. 1-9
Mean SRTT : Kho ng th i gian trung bình i và v ca gói tin ( SRTT smoothed round-trip time ) ( tính b ng mili giây ) i v i t t c các láng gi ng trên c ng k t n i ó Pacing Time Un/Reliable : S mili giây ph i i sau khi g i các gói tin không tin c y và tin c y Multicast Flow Timer : S mili giây ph i i xác nh n m t gói tin multicast t tt c các láng gi ng tr c khi g i gói tin multicast k ti p Pending Routes : S ng các tuy n trong các gói tin ph i ch trong hàng i tr c khi c g i i 1-10
Ki ểm tra c ấu hình EIGRP (ti ếp theo.) RouterX# show ip eigrp neighbors [detail] Hi n th ra các láng gi ng ưc khám phá bi IP EIGRP RouterX# show ip eigrp neighbors IP-EIGRP Neighbors for process 77 Address Interface Holdtime Uptime Q Seq SRTT RTO (secs) (h:m:s) Count Num (ms) (ms) 172.16.81.28 Ethernet1 13 0:00:41 0 11 4 20 172.16.80.28 Ethernet0 14 0:02:01 0 10 12 24 172.16.80.31 Ethernet0 12 0:02:02 0 4 5 20 1-11 S dng câu l nh show ip eigrp neighbors hi n th ra các láng gi ng c phát hi n b i EIGRP và cho th y c láng gi ng nào ang ho t ng , láng gi ng nào không ho t ng . Câu l nh này c ng h u ích trong vi c g ri m t s s c v vn chuy n gói tin . Bng sau ây mô t các ph n quan tr ng c a câu l nh show ip eigrp neighbors Process 77 : S hi u h t qu n c ch nh b i câu l nh router Address: a ch IP c a láng gi ng Interface: Cng k t n i mà router nh n c gói hello t láng gi ng Holdtime: dài th i gian ( tính b ng giây ) mà IOS ch và lng nghe thông tin t láng gi ng tr c khi thông báo láng gi ng không còn t n t i . N u láng gi ng c c u hình s dng giá tr th i gian này là mc nh , thì con s này nh 15 giây . N u láng gi ng s dng giá tr khác , thì giá tr này c ng s c hi n th . Uptime: Th i gian trôi qua ( cónh d ng – gi : phút : giây ) k t khi router th y láng gi ng l n u tiên. Q Count: Sng gói tin EIGRP ( , query , reply ) c khi c g i. Seq Num: S th t ca gói tin update , query , reply nh n c m i nh t t láng gi ng 1-11
SRTT: Th i gian tính b ng mili giây c n thi t mt gói tin EIGRP g i cho láng gi ng và nh n c xác nh n t láng gi ng ó. RTO: Retransmission timeout ( RTO ) ( tính b ng mili giây ) : là th i gian ph i ch tr c khi th c hi n g i l i gói tin n m trong hàng i cho láng gi ng. Bng sau ây mô t các ph n quan tr ng c a câu l nh show ip eigrp neighbors detail Proces 77: S hi u h t qu n c ch nh b i câu l nh router. H: Ct này a ra danh sách th t phiên làm vi c ã thi t l p tr c ó vi láng gi ng . S th tc ánh s bt u t 0. Address: a ch IP c a láng gi ng. Interface: Cng k t n i mà router nh n c gói hello t láng gi ng. Holdtime: dài th i gian ( tính b ng giây ) mà IOS ch và lng nghe thông tin t láng gi ng tr c khi thông báo láng gi ng không còn t n t i . N u láng gi ng c cu hình s dng giá tr th i gian này là mc nh , thì con s này nh 15 giây . Nu láng gi ng s dng giá tr khác , thì giá tr này c ng s c hi n th . Uptime: Th i gian trôi qua ( cónh d ng – gi : phút : giây ) k t khi router th y láng gi ng l n u tiên. Q Count: S ng gói tin EIGRP ( , query , reply ) c khi c gi. Seq Num: S th t ca gói tin update , query , reply nh n c m i nh t t láng gi ng. SRTT: Th i gian tính b ng mili giây c n thi t mt gói tin EIGRP g i cho láng gi ng và nh n c xác nh n t láng gi ng ó. RTO: Retransmission timeout ( RTO ) ( tính b ng mili giây ) : là th i gian ph i ch tr c khi th c hi n g i l i gói tin n m trong hàng i cho láng gi ng. Version: Phiên b n ph n m m mà láng gi ng ang s dng. Retrans: S ln mà mt gói tin ã c g i l i. Retries: S ln c gng gi l i m t gói tin. Restart time : Th i gian trôi qua ( cónh d ng – gi : phút : giây ) k t khi m t neighbor nào ó kh i ng l i. 1-12
Ki ểm tra c ấu hình EIGRP (ti ếp theo.) RouterX# show ip eigrp topology [all] Hi n th bng c u trúc m ng c a IP EIGRP Không s dng thông s [all], hi n th ra các ưng i chính ( successor ) và các ưng i chính kh dng (feasible successor ) RouterX# show ip eigrp topology IP-EIGRP Topology Table for process 77 Codes: P - Passive, A - Active, U - Update, Q - Query, R - Reply, r - Reply status P 172.16.90.0 255.255.255.0, 2 successors, FD is 46251776 via 172.16.80.28 (46251776/46226176), Ethernet0 via 172.16.81.28 (46251776/46226176), Ethernet1 via 172.16.80.31 (46277376/46251776), Serial0 P 172.16.81.0 255.255.255.0, 2 successors, FD is 307200 via Connected, Ethernet1 via 172.16.81.28 (307200/281600), Ethernet1 via 172.16.80.28 (307200/281600), Ethernet0 via 172.16.80.31 (332800/307200), Serial0 1-13 Câu l nh show ip eigrp topology hi n th bng c u trúc m ng c a EIGRP , tr ng thái ch ng hay th ng c a m t tuy n , s ng các ng i chính ( successor ) và kho ng cách kh dng ( feasible distance ) dùng n ích . Hi n th ca câu l nh show ip eigrp topology : Codes: Tr ng thái c a b ng c u trúc m ng . Tr ng thái không tác ng ( P : Passive ) là tr ng thái n nh, s n sàng s dng c .Tr ng thái tác ng ( A : Active ) là tr ng thái ang trong ti n trình tìm ki m ng i m i b ng cách g i và nh n các gói Update , Query , Reply . P- Passive : Ch ra r ng EIGRP không th c hi n tính toán ng i i v i m ng ích này. A- Active: Ch ra r ng EIGRP ang th c hi n tính toán tìm ra ng i m i. U- Update: Ch ra r ng có mt gói tin update ã c g i cho m ng ích. Q- Query: Ch ra r ng có mt gói tin query ã c g i cho m ng ích. R- Reply: Ch ra r ng có mt gói tin reply ã c g i cho m ng ích. r- Reply status: C này c b t lên sau khi EIGRP ã g i m t gói tin query và ang ph i ch gói tin reply 172.16.90.0 : a ch IP m ng ích 255.255.255.0: Mt n mng ích 1-13
Successors: Sng các ng i chính . S này t ng ng v i s cng n k cn (next-hop) trong b ng nh tuy n. FD: F easible Distance là chi phí th p nh t n i n ích . Giá tr này dùng ki m tra trong iu ki n kh dng Feasible Condition (FC) . N u giá tr AD c a m t router nh á tr FD hi n t i thìu ki n FC th a mãn và ng i qua router ó s làng i chính kh dng Feasible Successor. Sau khi EIGRP ã nh ra c feasible successor , nó không c n ph i g i query hi các láng gi ng v mng ích n a . Replies: Sng các gói tin reply ang ch nh n c thông tin v mng ích . Thông tin trong ph n này ch xu t hi n khi m ng ích ang tr ng thái ch ng ( ACTIVE ) . State: Tr ng thái c th ca EIGRP v mng ích , nóc hi n th bng s 0 , 1 , 2 , ho c 3 . Thông tin này ch xu t hi n khi m ng ích trong tr ng thái ch ng ( ACTIVE ) . Via: a ch ip c a c ng n k ti p dùng n m ng ích , n là kí tu tiên c a các dòng này , ó n là s các ng i chính ( successor ). Các dòng còn l i làng i chính kh dng ( feasible successor ). (46251776/46226176): Su tiên là chi phí mà EIGRP dùng n ích . S th hai là chi phí ca láng gi ng qu ng bá qua Ethernet0 C ng k t n i mà thông tin c h c t nó. Serial0 : C ng k t n i màc h c t nó. 1-14
Ki ểm tra c ấu hình EIGRP (ti ếp theo.) RouterX# show ip eigrp traffic Hi n th sưng các gói tin EIGRP g i i và nh n vào RouterX# show ip eigrp traffic IP-EIGRP Traffic Statistics for process 77 Hellos sent/received: 218/205 Updates sent/received: 7/23 Queries sent/received: 2/0 Replies sent/received: 0/2 Acks sent/received: 21/14 1-15 Câu l nh show ip eigrp traffic hi n th sng các gói tin g i và nh n Bng sau mô t các ph n c hi n th ra Proces 77: S hi u h t qu n c ch nh b i câu l nh router Hellos sent/received: Sng các gói hello ã g i vàn Updates sent/received: Sng các gói update ã g i vàn Queries sent/received: Sng các gói query ã g i vàn Replies sent/received: Sng các gói reply ã g i vàn Acks sent/received: Sng các gói ack ã g i vàn 1-15
Câu l ệnh debug ip eigrp RouterX# debug ip eigrp IP-EIGRP: Processing incoming UPDATE packet IP-EIGRP: Ext 192.168.3.0 255.255.255.0 M 386560 - 256000 130560 SM 360960 – 256000 104960 IP-EIGRP: Ext 192.168.0.0 255.255.255.0 M 386560 - 256000 130560 SM 360960 – 256000 104960 IP-EIGRP: Ext 192.168.3.0 255.255.255.0 M 386560 - 256000 130560 SM 360960 – 256000 104960 IP-EIGRP: 172.69.43.0 255.255.255.0, - do advertise out Ethernet0/1 IP-EIGRP: Ext 172.69.43.0 255.255.255.0 metric 371200 - 256000 115200 IP-EIGRP: 192.135.246.0 255.255.255.0, - do advertise out Ethernet0/1 IP-EIGRP: Ext 192.135.246.0 255.255.255.0 metric 46310656 - 45714176 596480 IP-EIGRP: 172.69.40.0 255.255.255.0, - do advertise out Ethernet0/1 IP-EIGRP: Ext 172.69.40.0 255.255.255.0 metric 2272256 - 1657856 614400 IP-EIGRP: 192.135.245.0 255.255.255.0, - do advertise out Ethernet0/1 IP-EIGRP: Ext 192.135.245.0 255.255.255.0 metric 40622080 - 40000000 622080 IP-EIGRP: 192.135.244.0 255.255.255.0, - do advertise out Ethernet0/1 Lưu ý: Các tuy n c a EIGRP ch i khi có si v cu trúc m ng. 1-16 Câu l nh debug ip eigrp trong ch EXEC giúp b n phân tích các gói tin EIGRP mà cng k t n i g i ra và nh n vào . B i vì câu l nh debug ip eigrp hi n th ra r t nhi u thông tin , b n ch nên s dng câu l nh này khi không có nhi u d li u i trong m ng . Bng sau mô t các hi n th ca câu l nh debug ip eigrp IP-EIGRP: Ch ra r ng ây là gói tin EIGRP Ext: Ch ra r ng các a ch mng sau là các a ch ngo i m ng , n u làa ch ni m ng thì kí hi u là “Int” Do not advertise out: Ch ra nh ng interface mà EIGRP s không qu ng bá thông tin nh tuy n ra ó. C u hình này dùng ch ng l p vòng trong m ng ( qui lu t split horizon ). M: Hi n th chi phíng i , bao g m chi phíc g i i ( Sent Metric – SM ) và chi phí gi a router và láng gi ng . S u tiên là chi phí tng h p , 2 s k ti p là à tr . SM: Hi n thi ra ây là chi phíc qu ng bá bi láng gi ng . 1-16
Chi phí của EIGRP Các thông s mc nh dùng tính toán chi phí ca EIGRP: Bng thông tr Các thông s tùy ch n mà EIGRP có th dùng tính toán chi phí : tin c y Ti Lưu ý : M c dùưc trao i gi a các gói tin EIGRP và gi a các router láng gi ng, MTU không ph i là yu t dùng tính toán ưng i c a EIGRP 1-17 Chi phí ca EIGRP Chi phí ca EIGRP c tính toán d a trên nhi u thông s nh ng 2 thông s quan tr ng nh t là à tr •Bng thông : giá tr nh t gi a ngu n và ích • tr : t ng tr ca các c ng k t n i trên ng i . Các thông s ng có th c s dng nh ng không c khuy n cáo bi vìng d n n vi c th ng xuyên tinh toán l i b ng c u trúc m ng • tin c y : giá tr này bi u th tin c y gi a ngu n và ích d a trên gói tin keepalives •Ti : giá tr này bi u th ti c a các ng k t n i gi a ngu n và ích , c tính toán d a trên t c truy n gói tin vàc c u hình trên c ng kt n i . Lu ý : m c dù Truy n D n L n Nh t ( Maximum Transmission Unit – ) c mang trong gói tin EIGRP và i gi a các router láng gi ng , MTU không ph i là mt y u t trong vi c tính toán chi phí ca EIGRP . 1-17
Cân b ằng t ải v ới EIGRP Mc nh , EIGRP th c hi n cân b ng t i trên các ưng có chi phí bng nhau: – Mc nh , 4 ưng có chi phí bng nhau th p nh t ưc t vào b ng nh tuy n . Có th có ti 16 tuy n i v cùng m t ích ưc l ưu trong b ng nh tuy n : – Sưng tuy n t i a có th ưc c u hình b ng câu l nh maximum-paths. 1-18 CHIA T I TRÊN NH NG ƯNG CÓ CHI PHÍ BNG NHAU Tính n ng chia t i trên nh ng ng có chi phí bng nhau cho phép router phân ph i d li u trên các c ng k t n i v i cùng m t chi phín ích . Chia t i s dng c h t hi u su t c a ng truy n vàu qu s dng bng thông . i v i giao th c IP , ph n m n Cisco IOS m c nh s s dng cân b ng t i cho 4 ng có chi phí bng nhau . N u s dng câu l nh maximum-paths maximum-path , có th cân b ng t i c t i a cho 16 ng có chi phí bng nhau . N u b n iu ch nh maximum-path b ng 1 thì có ngh a là bn ã t t ch cân b ng t i . N u m t gói tin c chuy n m ch theo t ng ti n trình , thì cân b ng t i trên nh ng ng có chi phí bng nhau c th c hi n i v i tng gói tin . N u gói tin c chuy n m ch nhanh , thì cân b ng t i s c th c hi n i v i t ng m ng ích . Lu ý : N u th c hi n ki m tra cân b ng t i thì không th c hi n ping n ho c ping t mt router có cng k t n i ang ch chuy n m ch nhanh b i vì nh ng gói tin c t o ra t các router này s c x lí theo ki u chuy n mch theo ti n trình ,do ó s dn n nh ng k t qu gây nh m l n . 1-18
Cân b ằng t ải trên các đường có chi phí không bằng nhau c ủa EIGRP RouterX(config-router)# variance multiplier Cho phép router cân b ng t i trên nh ng tuy n có chi phí nh giá tr i chi phí nh nh t i n ích . Giá tr variance m c nh là 1, ngh a là cân b ng t i trên nh ng ưng có chi phí bng nhau . 1-19 CU HÌNH CHIA T I TRÊN CÁC ƯNG CÓ CHI PHÍ NHAU EIGRP c ng có th chia t i trên nh ng ng có chi phí không b ng nhau , và c g i là chia t i không cân b ng phí . M c mà EIGRP chia t i trên các cng k t n i c th c hi n b ng câu l nh variance Bng sau ây li t kê ra các thông s trong câu l nh variance Multiplier: Giá tr này n m trong kho ng t n 128 . Giá tr mc nh là 1 , ch ra r ng ch có cân b ng t i trên nh ng ng có chi phí bng nhau c th c hi n . Giá tr nh ra kho ng giá tr chi phí ch p nh n c dùng th c hi n cân b ng t i. Lu ý : m c nh thì d li u c phân ph i trên nh ng ng có chi phí không bng nhau . 1-19
Ví dụ Variance Router E ch n router C n m ng 172.16.0.0 bi vì nó có kho ng cách kh dng nh nh t b ng 20 . Vi giá tr variance b ng 2, router E c ng ch n router B n m ng 172.16.0.0 (20 + 10 = 30) 20). 1-20 Ví d : Câu hình câu l nh variance Trong hình trên , variance c c u hình v i giá tr là 2 , kho ng chi phí cn dùng là tn 45 , ó cng chính là nh ng kho ng cách kh dng ( FD – feasible distance) mà router E dùng n m ng 172.16.0.0 . Kho ng chi phí trên ch ra nh ng tuy n có th c s dng . Mt tuy n c g i là kh dng n u router k cn g n m ng ích h n router hi n t i và nu chi phí ca ng i d phòng n m trong kho ng mà variance nh ra . Cân b ng t i ch có th s dng nh ng tuy n kh dng và bng nh tuy n ch ng tuy n này thôi . Cóiu ki n kh dng c li t kê ra sau ây : •Chí phí tt nh t ho c kho ng cách kh dng hi n t i ( feasible distance ) ph i l n h n chi phí tt nh t c qu ng bá t router k cn ( advertised distance ) . Nói cách khác , router k cn trên ng i ph i g n ích h n là router hi n t i , u này ch ng l i hi n t ng l p vòng . •Chi phí ca ng i d phòng ph i nh á tr variance nhân v i kho ng cách kh dng t t nh t . Nu c iu ki n này c th a mãn thì tuy n óc coi là kh dng và c a vào b ng nh tuy n . Trong hình trên , cóng i n m ng 172.16.0.0 v i các chi phí : 1-20
•ng i 1 : ( qua B ) •ng i 2 : ( qua C ) •ng i 3 : 45 ( qua D ) Mc nh , router ch t ng i th 2 ( qua C ) vào trong b ng nh tuy n vì nó có chi phí th p nh t . chi t i trên ng i th nh t vàng i th 2 , s dng giá tr variance b ng 2 vì 20 * 2 = 40 , chi phí này l n h n chi phí ng i th nh t . Trong ví d này , Router E s dng router C làng i chính b i vì nó có chi phí th p nh t ( 20 ) . Câu l nh variance 2 áp d ng trên router E , ng i qua router B th a mãn chia t i . ng h p này , kho ng cách kh dng qua router B nh 2 l n kho ng cách kh dng c a ng i chính ( router C ) . Router D không c s dng chi t i vì kho ng cách kh dng qua router D ln h n 2 l n kho ng cách kh dng c a ng i chính ( router C ) . Trong ví d này , router D s không tr thành ng i chính kh dng v i b t kì giá tr variance nào . B i vì kho ng cách c qu ng bá t router D là 25 , l n h n kho ng cách kh dng c a router E là , do ó tránh l p vòng , không c coi làng i chính kh dng . 1-21
Ch ứng th ực EIGRP b ằng MD5 EIGRP h tr ch ng th c EIGRP. Các router t xác nh mình trong các gói tin EIGRP g i i. Các router ch ng th c ngu n g c c a các thông tin c p nh t nh tuy n mà nó nh n ưc. Các láng gi ng tham gia ch ng th c ph i ưc c u hình cùng mt khóa. 1-22 Bn có th cu hình ch ng th c các láng gi ng EIGRP , các router có th tham gia vào quá trình nh tuy n d a trên m t kh u ã c nh ngh a tr c . M c nh , không có ch ng th c c s dng trong các gói tin EIGRP . EIGRP có th c c u hình s dng ch ng th c v i thu t toán MD5 . Khi b n c u hình ch ng th c v i láng gi ng , router s th c hi n ch ng th c ngu n g c c a các gói tin qu ng bánh tuy n . i v i ch ng th c ki u MD5 , b n ph i c u hình m t chìa khoá ch ng th c ( authentication key ) vành danh c a khóa ( key ID ) trên c router g i và router nh n thông tin nh tuy n . Chìa khóa c cp n nh là mt kh u v y . 1-22
Các b ước c ấu hình ch ứng th ực MD5 cho EIGRP 1. To ra chu i khóa, là mt nhóm các khóa (hay còn g i là các mt kh u). 2. Gán nh danh khóa cho m i khóa. 3. Xác nh các khóa. 4. (Tùy ch n) Ch ra th i gian s ng c a m t khóa. 5. Bt ch ng n ng ch ng th c MD5 trên c ng k t n i. 6. Ch nh chu i khóa mà cng k t n i s s dng. 1-23 Khóa MD5 trong m i gói tin EIGRP ch ng l i thông tin nh tuy n sai l ch t mt ngu n không tin c y . Mi khóa có mt nh danh c a khóa ( ) , c l u tr ti n i b mi router . S kt h p c a nh danh c a khóa và cng k t n i c mang theo gói tin ch ra m t thu t toán ch ng th c duy nh t và khóa ch ng th c MD5 c s dng . EIGRP cho phép b n qu n lí các khóa b ng các chu i khóa . M i khóa c nh ngh a trong m t chu i khóa , và có th ch ra th i gian ho t ng c a khóa ó ( th i gian s ng ) . Trong su t kho ng th i gian s ng c a khóa , thông tin c p nh t nh tuy n c g i i kèm theo khóa này . Ch có mt gói tin ch ng th c c g i i , b t k là có bao nhiêu khóa t n t i . Ph n m m s ki m tra các s khóa theo th t t th p nh t n cao nh t , và khóa u tiên có giá tr sc dùng . Khóa không th s dng c trong kho ng th i gian mà nóc kích ho t . Vì vy , i ta khuy n cáo r ng i v i m t chu i khóa nào ó thì th i gian ho t ng c a khoá ph i xen k tránh tr ng h p có mt kho ng th i gian mà không có khóa nào ho t ng . N u t n t i kho ng th i gian mà không có khóa nào ho t ng , ch ng th c v i láng gi ng s không x y ra , ó thông tin c p nh t nh tuy n s không th c hi n c . Lu ý r ng : R t quan tr ng router bi t th i gian chính xác xoay vòng vi c s dng khóa ng b vi các router khác . u này s ch c ch n c t t c các router dùng chung m t khóa t i cùng m t th i im . 1-23
Cấu hình ch ứng th ực MD5 cho EIGRP RouterX(config)# key chain name-of-chain Vào ch cu hình chu i khóa RouterX(config-keychain)# key key-id Ch nh khóa và vào ch cu hình cho nh danh khóa 1-24 Th c hi n các b c sau to ra chu i khóa : Bc 1 : Gõ vào câu l nh key chain vào c u hình . B ng sau mô t các thông s ca các câu l nh này Name-of-chain: Tên c a chu i khóa ch ng th c mà mt khóa thu c v Bc 2 : S dng câu l nh key ch ra m t khóa nh danh s dng . B ng sau mô t thông s ca câu l nh này Key-id: S ID c a m t khóa c a m t chu i khóa . S này n m trong kho ng t 0 n 2147483647 . S nh danh khóa không c n ph i liên t c . 1-24
Cấu hình ch ứng th ực MD5 cho EIGRP ( ti ếp theo.) RouterX(config-keychain-key)# key-string text Ch nh chu i kí t khóa ( m t kh u ) RouterX(config-keychain-key)# accept-lifetime start-time {infinite | end-time | duration seconds } (Tùy ch n) ch nh th i gian mà khóa ưc s dng cho các gói tin nh n vào RouterX(config-keychain-key)# send-lifetime start-time {infinite | end-time | duration seconds } (Tùy ch n) ch nh th i gian mà khóa ưc s dng cho các gói tin g i i 1-25 Bc 3 : S dng câu l nh key-string ch ra chu i kí t ca khóa này ( m t kh u ) . B ng sau mô t các thông s ca câu l nh này . Text : Chu i kí t dùng ch ng th c các gói tin EIGRP g i i và nh n vào . Chu i kí t có dài t n 80 , có th bao g m các kí t ch hoa , ch th ng . Kí tu tiên không th là mt con s , chu i kí t này có phân bi t ch hoa và ch ng . Bc 4 Bc này làc tùy ch n , s dng câu l nh accept-lifetime ch ra th i gian mà khóa c ch p nh n dùng cho vi c xác th c m t gói tin nh n vào . N u b n không dùng câu l nh accept-lifetime , thì th i gian này là vô t n . B ng sau mô t thông s ca câu l nh này Start-time: Th i gian b t u k t khi khóa c ch nh b ng câu l nh key , có giá tr xác th c m t gói tin nh n vào . Infinitive: Khóa có giá tr trên các gói tin nh n vào tính t th i im b t u và không có th i im k t thúc. 1-25
End-time: Khóa có giá tr trên các gói tin nh n vào tính t th i im b t u n th i im k t thúc . Cú pháp này gi ng v i start-time. Giá tr th i im k t thúc ph i ng sau giá tr th i im b t u . Giá tr mc nh c a th i im k t thúc là vô t n. Seconds: dài th i gian tính b ng giây mà khóa có giá tr s dng trên các gói tin nh n vào . Kho ng này t n 2147483646 Bc 5 Bc này làc tùy ch n , ch ra kho ng th i gian mà khóa này c s dng cho vi c g i gói tin i , s dng câu l nh send-lifetime . N u không dùng câu l nh này , th i gian m c nh là vô t n . B ng này mô t các thông s ca lnh này Start-time : Th i gian b t u k t khi khóa c ch nh b ng câu l nh key , có giá tr xác th c m t gói tin g i i . Infinitive: Khóa có giá tr trên các gói tin g i i tính t th i im b t u và không có th i im k t thúc. End-time: Khóa có giá tr trên các gói tin g i i tính t th i im b t u n th i im k t thúc . Cú pháp này gi ng v i start-time. Giá tr th i im k t thúc ph i ng sau giá tr th i im b t u . Giá tr mc nh c a th i im k t thúc là vô t n. Seconds: dài th i gian tính b ng giây mà khóa có giá tr s dng trên các gói tin g i i . Kho ng này t n 2147483646 Lu ý : N u câu l nh service password-encryption c s dng khi th c hi n ch ng th c EIGRP , các kí t ca khóa s c l u d i d ng không mã hóa trong c u hình c a router . N u có s dng câu l nh service password- encryption thì khóa s c l u d i d ng mã hóa và lo i mã hóa là lo i 7 . 1-26
Cấu hình ch ứng th ực MD5 cho EIGRP ( ti ếp theo.) RouterX(config-if)# ip authentication mode eigrp autonomous-system md5 Ch nh ch ng th c MD5 cho các gói tin EIGRP RouterX(config-if)# ip authentication key-chain eigrp autonomous-system name-of-chain Kích ho t ch ng th c cho các gói tin EIGRP s dng khóa trong chu i khóa 1-27 cu hình ch ng th c MD5 v i EIGRP , th c hi n các b c sau : Bc 1 : Vào ch cu hình cho c ng k t n i mà bn mu n th c hi n ch ng th c trên ó Bc 2 : S dng câu l nh ip authentication mode eigrp md5 ch ra ch ng th c MD5 c s dng cho các gói tin EIGRP . B ng sau mô t thông s ca câu l nh này Autonomous-system: H s t qu n c a EIGRP mà ch ng th c c dùng Bc 3 : S dng câu l nh ip authentication key-chain eigrp ch ra chu i khóa nào c dùng ch ng th c các gói tin EIGRP . B ng sau mô t các thông s ca câu l nh này Autonomous-system : h s t qu n c a EIGRP mà ch ng th c c dùng Name of chain: tên c a chu i ch ng th c mà khóa này thu c v 1-27
Ví dụ cấu hình ch ứng th ực MD5 cho EIGRP RouterX key chain RouterXchain key 1 key-string firstkey accept-lifetime 04:00:00 Jan 1 2006 infinite send-lifetime 04:00:00 Jan 1 2006 04:01:00 Jan 1 2006 key 2 key-string secondkey accept-lifetime 04:00:00 Jan 1 2006 infinite send-lifetime 04:00:00 Jan 1 2006 infinite ! interface Serial0/0/1 bandwidth 64 ip address 192.168.1.101 255.255.255.224 ip authentication mode eigrp 100 md5 ip authentication key-chain eigrp 100 RouterXchain 1-28 Ví d : C u hình ch ng th c MD5 Hình nh này ch ra c u hình ch ng th c MD5 EIGRP cho router X Ch ng th c MD5 c c u hình trên c ng k t n i s0/0/1 v i câu l nh ip authentication mode eigrp 100 md5 . Câu l nh ip authentication key- chain eigrp 100 RouterXchain ch ra chu i khóa RouterXchain c s dng cho h s t qu n 100 c a EIGRP Câu l nh key chain RouterXchain dùng cu hình các thông s cho chu i khóa RouterXchain . ó 2 khóa c nh ngh a . Khóa 1 c t là firstkey bng câu l nh key-string firstkey . Khóa này c áp d ng cho các gói tin nh n vào b i router X t 4:00 M ngày 1 tháng 1 nm 2006 n vô tn . Tuy nhiên câu l nh send-lifetime 04:00:00 Jan 1 2006 04:01:00 Jan 1 2006 ch ra r ng khóa này ch c s dng cho các gói tin c g i i trong vòng m t phút c a ngày 1 tháng 1 nm 2006 . V sau nó s không còn giá tr cho các gói tin g i i n a . Khóa 2 c t là secondkey bng câu l nh key-string secondkey . Khóa này c áp d ng cho các gói tin nh n c b i RouterX t 4:00 AM ngày 1 tháng 1 nm 2006 , c th c hi n b i câu l nh accep-lifetime 04:00:00 Jan 1 2006 infinite . Khóa này có th c s dng khi các gói tin c g i t 4:00 AM ngày 1 tháng 1 nm 2006 ,c th c hi n b i câu l nh send- lifetime 4:00:00 Jan 1 2006 infinite . 1-28
Do ó , routerX ch p nh n và c gng ki m tra ch ng th c MD5 i v i t t c các gói tin EIGRP v i nh danh khóa b ng 1 . Router X c ng ch p nh n gói tin cónh danh khóa b ng 2 .T t c các ch ng th c MD5 khác u b t ch i . Router X g i t t c các gói EIGRP s dng khóa 2 vì khóa 1 không còn giá tr gi các gói tin i . 1-29
Ví dụ cấu hình ch ứng th ực MD5 cho EIGRP RouterY key chain RouterYchain key 1 key-string firstkey accept-lifetime 04:00:00 Jan 1 2006 infinite send-lifetime 04:00:00 Jan 1 2006 infinite key 2 key-string secondkey accept-lifetime 04:00:00 Jan 1 2006 infinite send-lifetime 04:00:00 Jan 1 2006 infinite ! interface Serial0/0/1 bandwidth 64 ip address 192.168.1.102 255.255.255.224 ip authentication mode eigrp 100 md5 ip authentication key-chain eigrp 100 RouterYchain 1-30 Hình trên ch ra c u hình ch ng th c EIGRP MD5 cho routerY . Cu hình ch ng th c MD5 trên c ng k t n i s0/0/1 b ng câu l nh ip authentication mode eigrp 100 md5 . Câu l nh ip authentication key-chain eigrp 100 RouterYchain ch ra r ng chu i khóa RouterYchain c s dng cho EIGRP v i h s t qu n 100 . Câu l nh key chain routerYchain dùng vào ch cu hình cho chu i khóa RouterYchain . Có 2 khóa c nh ngh a . Khóa 1 c t là firstkey bng câu l nh key-string firstkey . Khóa này c áp d ng cho các gói tin nh n c b i router Y t 4:00 AM ngày 1 tháng 1 nm 2006 , th c hi n b ng câu l nh accept-lifetime 04:00:00 Jan 1 2006 infinite . Khóa này có th dùng khi các gói tin g i t 4:00AM ngày 1 tháng 1 nm 2006 , th c hi n b ng câu l nh send-lifetime 04:00:00 Jan 1 2006 infinite . Khóa 2 c t là secondkey bng câu l nh key-string secondkey . Khóa này c s dng cho các gói tin nh n c t router Y t 4:00 AM ngày 1 tháng 1 nm 2006 , c th c hi n b ng câu l nh accept-lifetime 04:00:00 Jan 1 2006 infinite . Khóa này có th c s dng khi các gói tin c g i t 4:00 AM ngày 1 tháng 1 nm 2006 , c th c hi n b ng câu l nh send- lifetime 04:00:00 Jan 1 2006 infinite Do ó , RouterY ch p nh n và c gng ch ng th c MD5 v i b t kì mt gói tin EIGRP nào v i nh danh khóa b ng 1 ho c 2 . Router Y s dng khóa 1 gi t t c các gói tin EIGRP b i vì nó là khóa có giá tr u tiên trong chu i khóa . 1-30
Ki ểm tra ch ứng th ực MD5 RouterX# *Jan 21 16:23:30.517: %DUAL-5-NBRCHANGE: IP-EIGRP(0) 100: Neighbor 192.168.1.102 (Serial0/0/1) is up: new adjacency RouterX# show ip eigrp neighbors IP-EIGRP neighbors for process 100 H Address Interface Hold Uptime SRTT RTO Q Seq (sec) (ms) Cnt Num 0 192.168.1.102 Se0/0/1 12 00:03:10 17 2280 0 14 RouterX# show ip route Gateway of last resort is not set D 172.17.0.0/16 [90/40514560] via 192.168.1.102, 00:02:22, Serial0/0/1 172.16.0.0/16 is variably subnetted, 2 subnets, 2 masks D 172.16.0.0/16 is a summary, 00:31:31, Null0 C 172.16.1.0/24 is directly connected, FastEthernet0/0 192.168.1.0/24 is variably subnetted, 2 subnets, 2 masks C 192.168.1.96/27 is directly connected, Serial0/0/1 D 192.168.1.0/24 is a summary, 00:31:31, Null0 RouterX# ping 172.17.2.2 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 172.17.2.2, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 12/15/16 ms 1-31 Ki m tra ch ng th c MD5 Hình trên hi n th nh ng thông s ca câu l nh show ip eigrp neighbors và show ip route trên router X . Bng láng gi ng hình trên cho th y a ch ip c a router Y , nó ch ra r ng 2 router này ã th c hi n m i quan h thân m t thành công . B ng nh tuy n ch ra r ng network 172.17.0.0 c h c b i EIGRP trên k t n i serial . ó , ch ng th c MD5 ành công gi a router X và router Y . Kt qu ca ping thành công t i a ch cng k t n i Fast Ethernet c a router Y cho th y k t n i ó ho t ng . 1-31
Tóm l ược EIGRP là giao th c nh tuy n theo vector kho ng cách nâng cao , không phân l p và ch y gi i thu t DUAL i thông tin nh tuy n , s hi u h t qu n EIGRP trên tt c các router ph i gi ng nhau. EIGRP có kh ng t i trên nh ng ưng có chi phí không b ng nhau . EIGRP h tr ch ng th c MD5 nh m ch ng l i các router gi mo , không có quy n truy c p vào m ng c a b n 1-32 1-32
1-33 1-33
Bài 2 : X lí s c EIGRP Tri n khai EIGRP 2-1 Tổng quan: • EIGRP có kh ả năng mở rộng t ốt đối v ới m ạng đang phát tri ển . Nhưng khả năng mở rộng này cho th ấy s ự ph ức t ạp trong thi ết k ế , c ấu hình và duy trì nó . Bài h ọc này gi ới thi ệu m ột vài v ấn đề thường g ặp xung quanh m ạng EIGRP và lưu đồ phương ph áp để xử lí các v ấn đề này . Mục tiêu: • Sau khi hoành thành bài h ọc này , b ạn s ẽ ch ỉ ra được các v ấn đề gặp ph ải c ủa EIGRP và đưa ra c ác ph ươ ng pháp để xử lí . Để có được điều này , b ạn ph ải hoàn thành các mục sau : • Mô t ả các công đoạn c ủa vi ệc x ử lí sự cố mạng EIGRP • Ch ỉ ra và xử lí sự cố mối quan h ệ láng gi ềng EIGRP • Ch ỉ ra và xử lí sự cố bảng định tuy ến EIGRP • Ch ỉ ra và xử lí sự cố ch ứng th ực EIGRP 2-1
Các công on x lí s c EIGRP 2-2 Các công đoạn chính c ủa vi ệc x ử lí sự cố EIGRP bao g ồm : •Xử lí sự cố mối quan h ệ láng gi ềng •Xử lí sự cố bảng định tuy ến •Xử lí vấn đề ch ứng th ực EIGRP 2-2
X lí s c láng gi ng EIGRP 2-3 Ví dụ mẫu sau đây t ừ câu l ệnh show ip eigrp neighbors ch ỉ ra r ằng m ối quan hệ láng gi ềng gi ữa 2 router EIGRP đã thiết l ập thành công . RouterX# show ip eigrp neighbor IP-EIGRP neighbors for process 100 H Address Interface Hold Uptime SRTT RTO Q Seq (sec) (ms) Cnt Num 1 10.23.23.2 Se0/0/1 13 00:02:26 29 2280 0 15 0 10.140.1.1 Se0/0/0 10 00:28:26 24 2280 0 25 Để router EIGRP có th ể thi ết l ập m ối quan h ệ láng gi ềng , c ả 2 router ph ải k ết nối tr ực ti ếp v ới nhau và có cùng m ột địa ch ỉ mạng . N ếu có thông tin nh ật kí nói r ằng “ not on com mon subnet” có ngh ĩa là có địa ch ỉ ip câu hình không đúng trên c ổng k ết n ối ở một trong 2 router EIGRP . S ử dụng câu l ệnh show interface interface để ki ểm tra l ại địa ch ỉ IP . Trong đoạn hi ển th ị sau đây , địa ch ỉ của c ổng k ết n ối là 10.2.2.3/24 2-3
RouterX# sh ip int fa0/0 FastEthernet0/0 is up, line protocol is up Internet address is 10.2.2.3/24 Broadcast address is 255.255.255.255 Address determined by setup command MTU is 1500 bytes Helper address is not set Directed broadcast forwarding is disabled Outgoing access list is not set Inbound access list is not set Câu l ệnh network được c ấu hình trong ch ế độ định tuy ến EIGRP ch ỉ ra r ằng nh ững c ổng k ết n ối nào tham gia vào quá trình định tuy ến EIGRP . Ph ần “Routing for networks “ của câu l ệnh show ip protocols ch ỉ ra nh ững m ạng nào đã được c ấu hình ; b ất kì cổng k ết n ối nào n ằm ở mạng này đều tham gia vào quá trình định tuy ến EIGRP . Trong ph ần hi ển th ị sau đây , EIGRP ch ạy trên nh ững c ổng k ết n ối có địa ch ỉ nằm trong 10.0.0.0 và 192.168.1.0 Câu l ệnh show ip eigrp interfaces ch ỉ ra ngay trên nh ững c ổng k ết n ối nào EIGRP đang ch ạy và có bao nhiêu láng gi ềng được tìm th ấy trên c ổng k ết n ối đó . Trong ph ần hi ển th ị này không có láng gi ềng nào trên c ổng k ết n ối Fast Ethernet 0/0 và có một láng gi ềng trên c ổng k ết n ối s0/0/0 Các router EIGRP thi ết l ập m ối quan h ệ láng gi ềng b ằng cách trao đổi các gói tin hello . Các thành ph ần sau đây trong gói tin EIGRP ph ải kh ớp v ới nhau tr ước khi m ối quan h ệ láng gi ềng được thi ết l ập . •Hệ số hệ tự qu ản •Giá tr ị K c ủa EIGRP Lưu ý : Giá tr ị K c ủa EIGRP được s ử dụng trong ti ến trình l ựa ch ọn đường đi của EIGRP và được đề cập trong ch ươ ng trình CCNP Bạn có th ể sử dụng câu l ệnh debug eigrp packets để xử lí sự cố khi thông tin trong gói hello không kh ớp v ới nhau . Trong ví dụ này , giá tr ị K không kh ớp với nhau RouterX# debug eigrp packets Mismatched adjacency values 01:39:13: EIGRP: Received HELLO on Serial0/0 nbr 10.1.2.2 01:39:13:AS 100, Flags 0x0, Seq 0/0 idbQ 0/0 iidbQ un/rely 0/0 peerQ un/rely 0/0 01:39:13: K-value mismatch 2-4
X lí s c bng nh tuy n EIGRP 2-5 Tuy ến EIGRP xu ất hi ện v ới kí hi ệu “D” trong b ảng định tuy ến , ch ỉ ra r ằng đây là tuy ến n ội m ạng bên trong m ột h ệ tự qu ản và nếu xu ất hi ện v ới kí hi ệu “D EX” thì đ ó chính là một tuy ến ngo ại m ạng n ằm bên ngoài h ệ tự qu ản . N ếu không có tuy ến EIGRP nào trong b ảng định tuy ến , ngh ĩa là đã c ó vấn đề ở lớp 1 ho ặc l ớp 2 ho ặc v ấn đề về quan h ệ láng gi ềng EIGRP . Trong ph ần hi ện th ị này , m ạng 172.16.31.0/24 là một tuy ến n ội m ạng bên trong m ột h ệ tự qu ản , và mạng 10.3.3.0/24 là một tuy ến được phân ph ối vào trong EIGRP RouterX# sh ip route Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2 Gateway of last resort is not set 2-5
172.16.0.0/16 is variably subnetted, 2 subnets, 2 masks D 172.16.31.0/24 [90/40640000] via 10.140.1.1, 00:01:09, Serial0/0/0 O 172.16.31.100/32 [110/1563] via 10.140.1.1, 00:26:55, Serial0/0/0 10.0.0.0/8 is variably subnetted, 7 subnets, 2 masks C 10.23.23.0/24 is directly connected, Serial0/0/1 D EX 10.3.3.0/24 [170/40514560] via 10.23.23.2, 00:01:09,Serial0/0/1 C 10.2.2.0/24 is directly connected, FastEthernet0/0 Câu l ệnh show ip eigrp topology ch ỉ ra s ố định danh router ( router ID ) c ủa EIGRP . Router ID c ủa EIGRP là địa ch ỉ ip cao nh ất được gán cho m ột c ổng kết n ối loopback . N ếu không có cổng loopback nào được c ấu hình , địa ch ỉ ip cao nh ất c ủa b ất kì cổng k ết n ối nào đang ho ạt động s ẽ được ch ọn làm router ID . Không có 2 router EIGRP nào có th ể có cùng m ột router ID . N ếu có , b ạn sẽ gặp ph ải v ấn đề trao đổi thông tin định tuy ến gi ữa 2 router có cùng router ID . Trong ví dụ này , router ID là 192.168.1.65 RouterX# show ip eigrp topology IP-EIGRP Topology Table for AS(100)/ID(192.168.1.65) Codes: P - Passive, A - Active, U - Update, Q - Query, R - Reply, r - reply Status, s - sia Status P 10.1.1.0/24, 1 successors, FD is 40514560 via 10.140.1.1 (40514560/28160), Serial0/0/0 P 10.2.2.0/24, 1 successors, FD is 28160 via Connected, FastEthernet0/0 P 10.3.3.0/24, 1 successors, FD is 40514560 via 10.23.23.2 (40514560/28160), Serial0/0/1 P 10.23.23.0/24, 1 successors, FD is 40512000 via Connected, Serial0/0/1 P 192.168.1.64/28, 1 successors, FD is 128256 via Connected, Loopback0 P 192.168.1.0/24, 1 successors, FD is 40640000 via 10.23.23.2 (40640000/128256), Serial0/0/1 P 10.140.2.0/24, 2 successors, FD is 41024000 via 10.23.23.2 (41024000/40512000), Serial0/0/1 via 10.140.1.1 (41024000/40512000), Serial0/0/0 P 10.140.1.0/24, 1 successors, FD is 40512000 via Connected, Serial0/0/0 P 172.16.31.0/24, 1 successors, FD is 40640000 2-6
Các tuy ến EIGRP đã được tìm th ấy trong b ảng c ấu trúc m ạng nh ưng kô có trong b ảng định tuy ến , c ần ph ải liên h ệ với Cisco Technical Assistance Center ( TAC ) ( trung tâm h ỗ tr ợ kĩ thu ật Cisco ) để ch ẩn đoán s ự cố . Kỹ thu ật l ọc tuy ến cho phép thông tin định tuy ến được sàng l ọc khi chúng đi vào ho ặc g ửi đi đến m ột láng gi ềng . B ộ lọc tuy ến này có th ể dẫn đến nguyên nhân m ất tuy ến trong b ảng định tuy ến . Câu lệnh show ip protocols ch ỉ ra xem có bộ lọc tuy ến nào đang được áp d ụng cho EIGRP hay không . Mặc định , EIGRP định tuy ến có phân l ớp và th ực hi ện nhóm tuy ến tự động . Vi ệc nhóm tuy ến t ự động gây ra các v ấn đề kết n ối đối với m ạng không liên t ục . Câu l ệnh show ip protocols ch ỉ ra có vi ệc nhóm tuy ến t ự động đang được th ực hi ện hay không . Trong ví dụ sau , không có bộ lọc tuy ến nào được áp d ụng cho h ệ tự qu ản EIGRP 100 và EIGRP đang thực hi ện nhóm tuy ến t ự động RouterX# sh ip protocols Routing Protocol is "eigrp 100" Outgoing update filter list for all interfaces is not set Incoming update filter list for all interfaces is not set Default networks flagged in outgoing updates Default networks accepted from incoming updates EIGRP metric weight K1=1, K2=0, K3=1, K4=0, K5=0 EIGRP maximum hopcount 100 EIGRP maximum metric variance 1 Redistributing: eigrp 100 EIGRP NSF-aware route hold timer is 240s Automatic network summarization is in effect Automatic address summarization: 192.168.1.0/24 for FastEthernet0/0, Serial0/0/0, Serial0/0/1 Summarizing with metric 128256 10.0.0.0/8 for Loopback0 Summarizing with metric 28160 Maximum path: 4 2-7
X lí s c ch ng th c EIGRP Ch ng th c MD5 thành công gi a router X và router Y RouterX# debug eigrp packets EIGRP Packets debugging is on (UPDATE, REQUEST, QUERY, REPLY, HELLO, IPXSAP, PROBE, ACK, STUB, SIAQUERY, SIAREPLY) *Jan 21 16:38:51.745: EIGRP: received packet with MD5 authentication, key id = 1 *Jan 21 16:38:51.745: EIGRP: Received HELLO on Serial0/0/1 nbr 192.168.1.102 *Jan 21 16:38:51.745: AS 100, Flags 0x0, Seq 0/0 idbQ 0/0 iidbQ un/rely 0/0 pe erQ un/rely 0/0 RouterY# debug eigrp packets EIGRP Packets debugging is on (UPDATE, REQUEST, QUERY, REPLY, HELLO, IPXSAP, PROBE, ACK, STUB, SIAQUERY, SIAREPLY) RouterY# *Jan 21 16:38:38.321: EIGRP: received packet with MD5 authentication, key id = 2 *Jan 21 16:38:38.321: EIGRP: Received HELLO on Serial0/0/1 nbr 192.168.1.101 *Jan 21 16:38:38.321: AS 100, Flags 0x0, Seq 0/0 idbQ 0/0 iidbQ un/rely 0/0 pe erQ un/rely 0/0 2-8 Ví dụ : Th ực hi ện ch ứng th ực MD5 thành công Hi ện th ị của câu l ệnh debug eigrp packets trên routerX trong hình trên mô t ả rằng router X đang nh ận các gói tin EIGRP kèm theo ch ứng th ực MD5 và định danh khóa là 1 nh ận được t ừ router Y . Tươ ng t ự , hi ển th ị của câu l ệnh debug eigrp packets trên router Y trong hình trên mô t ả rằng router Y đang nh ận các gói tin EIGRP kèm theo ch ứng th ực MD5 và định danh khóa là 2 nh ận được t ừ router X 2-8
X lí s c ch ng th c MD5 c a EIGRP Ch ng th c MD5 không thành công gi a router X và router Y khi khóa 2 c a router X b i RouterX(config-if)#key chain RouterXchain RouterX(config-keychain)#key 2 RouterX(config-keychain-key)# key-string wrongkey RouterY# debug eigrp packets EIGRP Packets debugging is on (UPDATE, REQUEST, QUERY, REPLY, HELLO, IPXSAP, PROBE, ACK, STUB, SIAQUERY, SIAREPLY) RouterY# *Jan 21 16:50:18.749: EIGRP: pkt key id = 2, authentication mismatch *Jan 21 16:50:18.749: EIGRP: Serial0/0/1: ignored packet from 192.168.1.101, opc ode = 5 (invalid authentication) *Jan 21 16:50:18.749: EIGRP: Dropping peer, invalid authentication *Jan 21 16:50:18.749: EIGRP: Sending HELLO on Serial0/0/1 *Jan 21 16:50:18.749: AS 100, Flags 0x0, Seq 0/0 idbQ 0/0 iidbQ un/rely 0/0 *Jan 21 16:50:18.753: %DUAL-5-NBRCHANGE: IP-EIGRP(0) 100: Neighbor 192.168.1.101 (Serial0/0/1) is down: Auth failure RouterY# show ip eigrp neighbors IP-EIGRP neighbors for process 100 RouterY# 2-9 Ví dụ : X ử lí sự cố ch ứng th ực MD5 Trong ví dụ trên , chu ối kí tự khóa c ủa khóa 2 c ủa router X được s ử dụng khi gói tin EIGRP được g ửi đi , không gi ống v ới chu ỗi kí tự khóa ở phía router Y Hi ện th ị của câu l ệnh debug eigrp packets trên router Y ở hình trên ch ỉ ra Router Y đang nh ận các gói tin EIGRP kèm theo ch ứng th ực MD5 và định danh khóa b ằng 2 t ừ router X ,nhưng xác th ực không kh ớp đã x ảy ra . Các gói tin EIGRP t ừ router X b ị từ ch ối , và mối quan h ệ láng gi ềng được thông báo không thành công . Hi ển th ị của câu l ệnh show ip eigrp neighbors cho th ấy router Y không có bất c ứ một láng gi ềng nào . Hai router c ố gắng tái thi ết l ập l ại m ối quan h ệ láng gi ềng .Vì trong trường h ợp này , m ỗi router s ử dụng khóa khác nhau . Router X ch ứng th ực gói tin hello gửi b ởi Router Y s ử dụng khóa 1 . Tuy nhiên khi router X g ửi gói tin hello cho router Y l ại s ử dụng khóa 2 d ẫn đến ch ứng th ực không kh ớp . T ại router X , mối quan h ệ ch ỉ th ực hi ện được trong ch ốc lát . Hi ện th ị của câu l ệnh show ip eigrp neighbors trên Router X cho th ấy Router X li ệt kê láng gi ềng router Y trong b ảng láng gi ềng trong m ột kho ảng th ời gian ng ắn mà thôi . 2-9
RouterX# *Jan 21 16:54:09.821: %DUAL-5-NBRCHANGE: IP-EIGRP(0) 100: Neighbor 192.168.1.102 (Serial0/0/1) is down: retry limit exceeded *Jan 21 16:54:11.745: %DUAL-5-NBRCHANGE: IP-EIGRP(0) 100: Neighbor 192.168.1.102 (Serial0/0/1) is up: new adjacency RouterX# show ip eigrp neighbors H Address Interface Hold Uptime SRTT RTO Q Seq (sec) (ms) Cnt Num 0 192.168.1.102 Se0/0/1 13 00:00:38 1 5000 1 0 2-10
Tóm l ưc Có rt nhi u v n khi x lí s c EIGRP , nh ư là x lí s c mi quan h láng gi ng, bng nh tuy n, và s c xác th c S c láng gi ng EIGRP x y ra là do khai báo câu l nh network không úng , các thông tin mang trong gói hello không kh p v i nhau . S dng câu l nh show ip eigrp neighbors gi i quy t s c này. Nguyên nhân m t tuy n trong b ng nh tuy n có th là do b lc tuy n ho c t ng nhóm tuy n các m ng không liên t c. S dng câu l nh show ip route x lí s c này. Câu l nh debug eigrp packets có th giúp b n gi i quy t các s c ch ng th c MD5 . 2-11 2-11
2-12 2-12
Bài 3 : Gi i thi u ho t ng ca danh sách ki m tra truy cp Danh sách ki ểm tra truy c ập 3-1 Tổng quan: • Danh sách ki ểm tra truy c ập c ơ b ản ( Standard ACLs ) và danh sách ki ểm tra truy cập m ở rộng ( Extended ACLs ) có th ể được s ử dụng để phân lo ại gói tin IP . ACLs được áp d ụng cho nhi ều tính n ăng nh ư mã hóa , định tuy ến theo chính sách , ch ất lượng d ịch v ụ , chuy ển đổi địa ch ỉ ( NAT ) , chuy ển đổi địa ch ỉ theo port ( PAT ) •Bạn c ũng có th ể sử dụng danh sách ki ểm tra truy c ập c ơ b ản và mở rộng trên các cổng k ết n ối c ủa router để ki ểm tra vi ệc truy c ập ( b ảo m ật ) . H ệ điều hành IOS c ủa cisco áp đặt danh sách ki ểm tra truy c ập trên c ổng k ết n ối theo m ột h ướng c ụ th ể nào đó ( chi ều vào và chi ều ra ) . Ch ươ ng này mô t ả ho ạt động c ủa các lo ại ACLs và hướng d ẫn cách c ấu hình ACLs cho IPv4 . Mục tiêu: • Sau khi hoàn thành ch ươ ng này , b ạn s ẽ bi ết được cách áp đặt danh sách ki ểm tra truy c ập d ựa trên yêu c ầu c ủa m ạng , bi ết cách c ấu hình , ki ểm tra và xử lí sự cố ACLs trên m ạng có kích th ước trung bình . Để làm được điều này , b ạn ph ải hoàn thành các m ục sau : • Mô t ả các lo ại danh sách ki ểm tra truy c ập c ủa IPv4 ACLs •Cấu hình và xử lí sự cố danh sách ki ểm tra truy c ập c ơ b ản , danh sách ki ểm tra truy c ập m ở rộng , danh sách ki ểm tra truy c ập d ạng s ố và danh sách ki ểm tra truy c ập d ạng tên . 3-1
Tại sao ph ải s ử dụng ACLs Sàng l c : Qu n lí d li u IP b ng cách l c các gói tin i xuyên qua router Phân lo i : Xác nh d li u cho các iu khi n c bi t 3-2 Sàng l ọc Khi s ố lượng k ết n ối c ủa router ra ngo ại m ạng t ăng lên , và số lượng k ết n ối ra Internet c ũng t ăng lên d ẫn đến vi ệc ki ểm soát truy c ập tr ở nên khó khăn hơn . Ng ười qu ản tr ị mạng g ặp ph ải tình hu ống làm sao c ấm các truy c ập không mong mu ốn trong khi v ẫn đảm b ảo cho phép các truy c ập h ợp l ệ . Ví dụ , b ạn có th ể sử dụng m ột danh sách ki ểm tra truy c ập để cấm các m ạng khác truy c ập vào các d ữ li ệu nh ạy c ảm ở mạng k ế toán . Phân Lo ại Router c ũng s ử dụng danh sách ki ểm tra truy c ập để định ra m ột lo ại d ữ li ệu nào đó . M ột khi đã có ACL và đã phân loại được d ữ li ệu , b ạn có th ể cấu hình để hướng d ẫn router ki ểm soát d ữ li ệu đó . Ví dụ , b ạn có th ể sử dụng ACL để ch ỉ ra một m ạng con là dữ li ệu ngu ồn và định độ ưu tiên của nó cao hơn c ác d ữ li ệu khác khi đi trên k ết n ối WAN đang b ị ngh ẽn . 3-2
Các ứng d ụng c ủa ACLs: Sàng l ọc Cho phép ho c t ch i các gói tin i xuyên qua router Cho phép ho c t ch i truy c p vty n router ho c t router Nu không có ACLs, tt c gói tin s c v n chuy n n t t c vùng m ng 3-3 ACLs cung c ấp m ột công c ụ quan tr ọng để ki ểm soát d ữ li ệu đi trên m ạng . Công cụ lọc gói tin giúp ki ểm soát vi ệc l ưu chuy ển các gói tin đi trên m ạng . Cisco cung c ấp ACLs để cho phép ho ặc c ấm : •Các d ữ li ệu đi đến ho ặc xu ất phát t ừ một c ổng k ết n ối nào đó , và các d ữ li ệu đi xuyên qua router •Dữ li ệu telnet đi vào ho ặc đi ra t ừ cổng vty c ủa router . Mặc định , t ất c ả dữ li ệu được cho phép đi ra và đi v ào t ất c ả các c ổng k ết n ối c ủa router . Khi router lo ại b ỏ gói tin , m ột vài giao th ức s ẽ gửi tr ở lại m ột gói tin đặc bi ệt dùng để thông báo v ới n ơi g ửi r ằng : không th ể đi đến đích được . Đối v ới giao th ức IP , khi m ột gói tin b ị lo ại b ỏ , thông báo “Destination Unreachable (U.U.U)” sẽ tr ả lời cho gói ping và thông báo “Administratively prohibited” ( !A * ! A )” sẽ tr ả lời cho gói traceroute . 3-3
Các ứng d ụng c ủa ACLs: Phân lo ại iu khi n c bi t d li u d a trên vi c ki m tra gói tin 3-4 ACLs có th ể phân lo ại các lo ại d ữ li ệu khác nhau . Tính n ăng này cho phép ki ểm soát d ữ li ệu đã được định ngh ĩa trong ACLs , như l à : •Ch ỉ ra d ữ li ệu nào s ẽ được mã hóa khi đi trên k ết n ối VPN . •Ch ỉ ra nh ững tuy ến nào s ẽ được phân ph ối t ừ một giao th ức định tuy ến này vào giao th ức định tuy ến kia •Sử dụng v ới b ộ lọc tuy ến để ch ỉ ra tuy ến nào s ẽ được đính kèm trong thông tin cập nh ật định tuy ến gi ữa các router •Sử dụng định tuy ến d ựa theo chính sách để ch ỉ ra lo ại d ữ li ệu nào s ẽ được mang trên k ết n ối đã l ựa ch ọn tr ước •Sử dụng v ới NAT để định ra nh ững địa ch ỉ nào s ẽ được chuy ển đổi 3-4
Ho ạt động c ủa ACL theo chi ều đi ra Nu không cóu ki n nào th a mãn , gói tin s b lo i b 3-5 ACLs là một lo ạt các qui lu ật được áp đặt để ki ểm soát các gói tin đi vào c ổng k ết nối , đi xuyên qua router v à đi ra khỏi c ổng k ết n ối . ACLs s ẽ không áp d ụng các qui lu ật này đối v ới các gói tin xu ất phát t ừ router . Thay vào đó , ACLs được khai báo thành các điều ki ện mà router s ẽ dựa vào đó để ki ểm tra d ữ li ệu đi xuyên qua cổng k ết n ối c ủa nó . ACLs ho ạt động theo 2 cách : •Inbound ACLs ( ACLs theo chi ều vào ) : các gói tin đi vào c ổng k ết n ối s ẽ được ki ểm tra tr ước khi chúng được định tuy ến ra c ổng k ết n ối ngoài Inbound ACLs hi ệu qu ả vì nó ti ết ki ệm được vi ệc tra c ứu thông tin định tuy ến trong tr ường h ợp gói tin đó bị lo ại b ỏ nếu không v ượt qua được điều ki ện ki ểm tra . Nếu gói tin v ượt qua được điều ki ện ki ểm tra , k ế đến nó sẽ được định tuy ến . •Outbound ACLs ( ACLs theo chi ều ra ) : các gói tin đi vào c ổng k ết n ối được định tuy ến và đẩy ra c ổng k ết n ối ngoài , k ế đến chúng s ẽ bị ki ểm tra b ởi Outbound ACL . Ví dụ : Outbound ACL Hình trên cho ta m ột ví dụ về outbound ACL . Khi có một gói tin đi vào c ổng k ết nối , router ki ểm tra xem trong b ảng định tuy ến có thông tin v ề tuy ến này hay không . N ếu không có thông tin định tuy ến v ề gói tin đó , nó sẽ bị lo ại b ỏ Kế đến , router s ẽ ki ểm tra xem c ổng k ết n ối ngoài có được áp đặt ACL hay không . N ếu c ổng k ết n ối ngoài không b ị ràng bu ộc b ởi ACL , gói tin s ẽ được g ửi đi . 3-5
Ví dụ ho ạt động c ủa Outbound ACL : •Nếu c ổng k ết n ối ngoài là S0 , không b ị ràng bu ộc b ởi m ột ACL nào c ả , gói tin s ẽ được g ửi th ẳng ra S0 •Nếu c ổng k ết n ối ngoài là S1, c ổng này b ị ràng bu ộc b ởi ACL , gói tin không được g ửi ra kh ỏi c ổng k ết n ối S1 cho đến khi nó vượt qua được các điều ki ện ki ểm tra c ủa ACL b ị áp đặt trên đó . Tùy thu ộc vào k ết qu ả ki ểm tra , gói tin s ẽ được cho phép ho ặc t ừ ch ối . Đối v ới các danh sách ki ểm tra áp đặt cho c ổng k ết n ối ngoài , “permit “ ngh ĩa là gói tin được g ửi th ẳng ra c ổng k ết n ối đó , “deny” ngh ĩa là gói tin b ị lo ại b ỏ Ví du : Inbound ACL Với inbound ACL , khi m ột gói tin đi vào c ổng k ết n ối , router ki ểm tra xem cổng k ết n ối này có bị ràng bu ộc b ởi ACL hay không . Nêu c ổng k ết n ối vào không b ị ràng bu ộc b ởi ACL , router ki ểm tra thông tin định tuy ến xem th ử gói tin này có được định tuy ến hay không . N ếu gói tin không th ể định tuy ến được , router s ẽ lo ại b ỏ gói tin . Ví dụ ho ạt động c ủa ACL : •Nếu c ổng k ết n ối vào là E0 , c ổng k ết n ối này không b ị ràng bu ộc b ởi ACL , gói tin được x ử lí bình th ường và router ki ểm tra xem gói tin này có định tuy ến được hay không . •Nếu c ổng k ết n ối vào là E0 , c ổng k ết n ối này b ị ràng bu ộc b ởi ACL , gói tin sẽ không được x ử lí định tuy ến cho t ới khi nó vượt qua các điều ki ện ki ểm tra của ACL áp đặt trên c ổng k ết n ối đó . D ựa trên k ết qu ả của vi ệc ki ểm tra này , gói tin được cho phép hay t ừ ch ối . Đối v ới Inbound ACLs , “permit” ngh ĩa là ti ếp t ục x ử lí định tuy ến gói tin sau khi nó đi v ào c ổng k ết n ối , “deny” ngh ĩa là lo ại b ỏ gói tin 3-6
Danh sách ki ểm tra: Từ ch ối hay Cho phép 3-7 Danh sách các điều ki ện c ủa ACL có th ứ tự logic t ừ trên xu ống . ACL s ẽ ki ểm tra gói tin t ừ trên xu ống d ưới , m ột điều ki ện m ột l ần . N ếu có một gói tin th ỏa mãn một điều ki ện trong danh sách , các điều ki ện còn l ại s ẽ được b ỏ qua và gói tin s ẽ được cho phép ho ặc b ị tự ch ối tùy theo điều ki ện mà nó th ỏa mãn . N ếu gói tin không th ỏa mãn m ột điều ki ện , nó sẽ được ki ểm tra b ởi điều ki ện k ế ti ếp . Quá trình ki ểm tra th ỏa mãn điều ki ện khai báo được th ực hi ện cho đến khi k ết thúc danh sách . Cu ối danh sách ki ểm tra , t ồn t ại ng ầm định m ột điều ki ện th ỏa mãn t ất c ả các gói tin . Điều ki ện ki ểm tra cu ối cùng này s ẽ từ ch ối t ất c ả các gói tin . Thay vì chuy ển gói tin vào ho ặc ra c ổng k ết n ối , router s ẽ lo ại b ỏ tất c ả các gói tin còn l ại này . Điều ki ện cu ối cùng này th ường được g ọi tên là điều ki ện “implicit deny” . Vì có điều ki ện này t ồn t ại , ACL ph ải có ít nh ất m ột điều ki ện cho phép trong danh sách của nó , n ếu không thì ACL s ẽ lo ại b ỏ tất c ả các gói tin . Bạn có th ể áp đặt ACL vào nhi ều c ổng k ết n ối . Tuy nhiên , ch ỉ có một ACL được áp đặt cho m ột giao th ức , cho m ột h ướng và cho m ột c ổng k ết n ối mà thôi . 3-7
Các lo ại ACLs ACL d ng c ơ b n – Ki m tra a ch ngu n – Cho phép ho c t ch i toàn b ch ng giao th c ACL d ng m rng – Ki m tra a ch ngu n và ích – Cho phép ho c t ch i c th mt giao th c và ng d ng Hai ph ơ ng pháp dùng xác nh ACL d ng c ơ b n và ACL d ng m rng : – ACL d ng s s dng s xác nh – ACL d ng tên s dng tên mô t ho c s xác nh 3-8 ACLs có th ể phân chia thành các lo ại sau : •ACLs c ơ b ản : ACLs cơ bản ki ểm tra địa ch ỉ ngu ồn c ủa gói tin . K ết qu ả ki ểm tra dẫn đến cho phép ho ặc t ừ ch ối toàn b ộ ch ồng giao th ức , d ựa trên địa ch ỉ mạng ngu ồn , địa ch ỉ mạng con ho ặc địa ch ỉ ip c ủa host •ACLs m ở rộng : ACLs m ở rộng ki ểm tra c ả địa ch ỉ ngu ồn và địa ch ỉ đ ích . Nó còn ki ểm tra c ụ th ể về giao th ức , c ổng ứng d ụng và các thông s ố khác , cho phép ng ười qu ản tr ị ki ểm soát chi ti ết và linh động h ơn Có 2 ph ươ ng pháp b ạn có th ể sử dụng để định ngh ĩa ACL c ơ b ản và ACL m ở rộng : •ACLs d ạng s ố sử dụng ch ữ số để định ngh ĩa •ACLs d ạng tên s ử dụng tên để định ngh ĩa 3-8
Làm th ế nào để xác định ACLs IPv4 ACL d ng s ơn (1–99) ki m tra iu ki n cho t t c a ch ip ngu ồn . Vùng m ở rộng (1300–1999). IPv4 ACL d ng s m rng (100–199) ki m tra iu ki n cho t t c a ch ngu n và ích , ch ra giao th c TCP/IP , và cng ng d ng ích . Vùng m ở rộng (2000–2699). ACL d ng tên xác nh ACL d ng c ơ b n và dng m rng b ng tên g i 3-9 Khi b ạn t ạo ACLs d ạng s ố , b ạn ch ỉ ra ch ữ số dành cho ACL trong khai báo đầu tiên . Điều ki ện ki ểm tra cho m ột ACL s ẽ khác nhau d ựa vào các ch ữ số định ngh ĩa ACL c ơ b ản hay m ở rộng . Bạn có th ể tạo ra nhi ều ACL cho m ột giao th ức . Ch ọn ra các ch ữ số khác nhau cho m ỗi ACL được t ạo m ới cho m ột giao th ức nào đó . Tuy nhiên b ạn ch ỉ có th ể áp đặt được m ột ACL cho m ột giao th ức , m ột h ướng và một c ổng k ết n ối . ACL có ch ữ số từ 1 đến 99 ho ặc t ừ 1300 đến 1999 là các ACL d ạng c ơ b ản . ACL có ch ữ số từ 100 đến 199 ho ặc t ừ 2000 đến 2699 là các ACL d ạng m ở rộng . Bảng trên li ệt kê ra các vùng s ố ACL khác nhau cho m ỗi giao th ức Lưu ý : K ể từ phiên b ản IOS 12.0 , ACLs cho IPv4 đã được m ở rộng thêm . B ảng này ch ỉ ra ACL cơ bản cho IPv4 được cung c ấp thêm vùng s ố từ 1300 đến 1999 và ACL m ở rộng được cung c ấp thêm vùng s ố từ 2000 đến 2699 ACL d ạng tên cho phép b ạn định ngh ĩa các ACL c ơ b ản và mở rộng d ưới d ạng tên g ọi , thay vì dưới d ạng ch ữ số . ACL d ạng tên cho phép b ạn làm vi ệc linh ho ạt hơn đối v ới các điều ki ện trong danh sách . 3-9
Khai báo điều ki ện c ủa ACL kèm theo s ố th ứ tự Yêu c u t i thi u IOS 12.3 Cho phép s p x p l i th t các khai báo b ng cách s dng s th t – i v i IOS phiên b n 12.3 tr vc , ch ơ ng trình so n th o kí tc s dng to ra các khai báo , sau ó các khai báo c copy vào router theo úng th t Cho phép g b mt dòng khai báo t danh sách b ng cách s dng s th t – Vi ACLs d ng tên trong các phiên b n IOS 12.3 tr vc, bn ph i s dng no {deny | permit} protocol source source- wildcard destination destination-wildcard g b tng khai báo – Vi ACLs d ng s trong các phiên b n IOS 12.3 tr vc , bn ph i g b toàn b danh sách n u mu n g b tng dòng khai báo 3-10 Có rất nhi ều thu ận l ợi khi s ử dụng khai báo điều ki ện kèm theo s ố th ứ tự : •Bạn có th ể ch ỉnh s ửa th ứ tự của các điều ki ện •Bạn có th ể gỡ bỏ từng điều ki ện m ột t ừ danh sách ACL • Các điều ki ện khi thêm vào danh sách s ẽ ph ụ thu ộc vào s ố th ứ tự của điều ki ện đó . Đối v ới IOS phiên b ản 12.3 tr ở về trước , tính n ăng này không h ỗ tr ợ , chính vì vậy , khi các điều ki ện được thêm vào trong danh sách , chúng s ẽ được đư a vào cu ối danh sách . • Tính n ăng điều ki ện kèm theo s ố th ứ tự là tính n ăng m ới c ủa Cisco IOS cho phép sử dụng các s ố th ự tự để dễ dàng thêm , xóa ho ặc s ắp x ếp l ại th ứ tự các điều ki ện trong danh sách IP ACL . V ới phiên b ản IOS 12.3 tr ở về sau , điều ki ện thêm vào sau có th ể nằm ở bất kì vị trí nào trong danh sách d ựa vào s ố th ứ tự của nó . • Các phiên b ản IOS 12.3 tr ở về trước , ch ỉ có ACL d ạng tên m ới cho phép g ỡ bỏ các điều ki ện t ừ danh sách b ằng cách s ử dụng l ệnh no {deny | permit } protocol source source-wildcard destination destination-wildcard , trong đó khai báo protocol source source-wildcard destination destination-wildcard trùng v ới dòng điều ki ện mà bạn mu ốn g ỡ bỏ . V ới ACL d ạng s ố , b ạn ph ải g ỡ bỏ toàn b ộ danh sách và tái t ạo l ại nó bằng các điều ki ện khác mà bạn mu ốn . V ới phiên b ản IOS 12.3 tr ở về sau , b ạn c ũng có th ể sử dụng câu l ệnh no sequence-number để xóa b ỏ một điều ki ện nào đó trong danh sách . 3-10
Khuy ến cáo khi c ấu hình ACLs ACLs c ơ b n hay m rng ch i t ng nào c n sàng l c Ch có mt ACL cho m t c ng k t n i , cho m t giao th c và cho m t hng . Th t ca các dòng khai báo iu khi n vi c ki m tra , do ó , các dòng khai báo chi ti t nên a lên u danh sách Ln ki m tra cu i cùng luôn luôn ng m nh t ch i t t c , do ó mi danh sách c n ph i có ít nh t m t khai báo cho phép ACLs c t o ra toàn c c vàc áp t vào c ng k t n i c a router theo chi u i vào ho c i ra Mt ACL có th lc các gói tin i qua router , i t i router ho c xu t phát t router , tùy thu c vào cách áp t ACLs Khi áp t ACLs: – ACL m rng g n v i ngu n – ơn g n v i ích 3-11 Thi ết k ế và tri ển khai t ốt ACL cung c ấp m ột b ộ ph ận b ảo m ật quan tr ọng trong mạng chúng ta . Để có được k ết qu ả như mong muốn , s ử dụng các khuy ến cáo sau đây : •Dựa theo điều ki ện ki ểm tra s ẽ tùy ch ọn s ử dụng ACL c ơ b ản , ACL m ở rộng , ACL d ạng tên hay ACL d ạng s ố •Ch ỉ sử dụng được 1 ACL cho 1 giao th ức , cho 1 hướng và cho 1 c ổng k ết n ối . Có th ể có nhi ều ACL trên m ột c ổng k ết n ối , nhưng mỗi ACL đó ph ải dành cho các giao th ức khác nhau ho ặc các h ướng khác nhau . •ACL ph ải được t ổ ch ức sao cho trình t ự xử lí đi từ trên xu ống d ưới . Các điều ki ện chi ti ết s ẽ được đặt lên phía trên các điều ki ện t ổng quát . Các điều ki ện được ki ểm tra nhi ều s ẽ được đặt phía trên các điều ki ện được ki ểm tra ít h ơn . •ACL luôn t ồn t ại m ột khai báo t ừ ch ối t ất c ả ở cu ối danh sách -Ch ỉ tr ừ khi cu ối danh sách c ủa b ạn có khai báo cho phép t ất c ả , còn m ặc định thì ACL s ẽ từ ch ối t ất c ả các gói tin không th ỏa mãn các điều ki ện ki ểm tra ở phía trên -Tất c ả các ACL nên có một khai báo cho phép t ất c ả ở cu ối danh sách . N ếu không , t ất c ả gói tin s ẽ bị lo ại b ỏ . -Bạn ph ải t ạo ra ACL tr ước khi áp đặt nó vào c ổng k ết n ối . V ới h ầu h ết các phiên bản Cisco IOS ,n ếu c ổng k ết n ối b ị ràng bu ộc b ởi m ột danh sách ACL r ỗng thì tất cả gói tin được cho phép đi qua 3-11
-Ph ụ thu ộc vào b ạn áp đặt ACL nh ư th ế nào , ACL s ẽ lọc các gói tin đi xuyên qua router , đi đến ho ặc xu ất phát t ừ router ví dụ như c ác gói tin đi vào ho ặc đi ra c ổng vty c ủa router . -Th ường thì bạn nên đặt ACL m ở rộng càng g ần v ới n ơi xu ất phát c ủa gói tin mà bạn mu ốn t ừ ch ối càng t ốt . B ởi vì ACL cơ bản không ch ỉ ra địa ch ỉ đ ích , bạn ph ải để ACL cơ bản càng g ần v ới đích mà bạn mu ốn t ừ ch ối gói tin càng tốt nh ằm m ục đích cho phép gói tin có th ể đi đến được các m ạng trung gian 3-12
ACLs động ACLs ng (lock-and-key): Ng i dùng mu n i qua router s b ch n l i cho t i khi h th c hi n telnet và ch ng th c thành công ti router 3-13 Ngoài ACL c ơ b ản , ACL m ở rộng , còn có các lo ại ACL sau : •Dynamic ACLs ( lock-and-key) : ACL động •Reflexive ACLs : ACL ph ản x ạ •Time-based ACLs : ACL theo th ời gian Dynamic ACLs Dynamic ACLs ph ụ thu ộc vào k ết n ối Telnet , ch ứng th ực ( n ội b ộ hay t ừ xa ) , và ACL m ở rộng . C ấu hình Lock-and-key đi kèm v ới ứng d ụng c ủa ACL m ở rộng s ẽ từ ch ối t ất c ả các gói tin đi qua router . Người dùng mu ốn đi qua router s ẽ bị từ ch ối bởi ACL m ở rộng cho đến khi h ọ sử dụng Telnet để kết n ối v ới Router và ch ứng th ực thành công . K ết n ối Telnet sau đó sẽ bị ng ắt và một dòng điều ki ện c ủa ACL động s ẽ được thêm vào ACL m ở rộng tr ước đó . Nó cho phép gói tin đi qua trong một kho ảng th ời gian gi ới h ạn ; c ũng có th ể cấu hình th ời gian nhàn r ỗi và th ời gian hết h ạn cho ACL động . Khi nào s ử dụng ACL động Sau đây là một s ố lí do ph ổ bi ến để sử dụng ACL động : •Sử dụng ACL động khi b ạn mu ốn m ột ng ười dùng ho ặc m ột nhóm ng ười dùng ở xa truy c ập vào các máy tinh trong m ạng t ừ Internet . Lock-and-key ch ứng th ực ng ười dùng và sau đ ó cho phép truy c ập không gi ới h ạn xuyên qua t ường l ửa c ủa router trong m ột kho ảng th ời gian gi ới h ạn 3-13
•Sử dụng ACL động khi b ạn mu ốn các m ạng n ội b ộ kết n ối v ới các m ạng ở xa được b ảo v ệ bởi t ường l ửa .V ới tính n ăng lock-and-key , b ạn ch ỉ có th ể kết n ối với các máy ở xa b ằng m ột s ố máy ở mạng n ội b ộ . Lock-and-key yêu c ầu ng ười dùng ch ứng th ực thông qua m ột máy ch ủ TACACS + ho ặc m ột máy ch ủ bảo m ật tr ước khi cho phép truy c ập vào các máy ở xa . Các thu ận l ợi khi s ử dụng ACLs động ACL động có các thu ận l ợi v ề mặt b ảo m ật h ơn ACL c ơ b ản và ACL m ở rộng : •Sử dụng c ơ ch ế thách th ức để ch ứng th ực t ừng ng ười dùng •Qu ản lí đơn giản h ơn trong môi tr ường m ạng l ớn •Trong nhi ều tr ường h ợp , gi ảm thi ểu s ố lượng x ử lí của router đối v ới ACLs •Gi ảm thi ểu c ơ h ội phá ho ại c ủa Hacker •Tạo ra quy ền truy c ập động cho ng ười dùng xuyên qua t ường l ửa mà không làm ảnh h ưởng t ới các c ấu hình b ảo m ật khác Ví dụ cấu hình ACL động : Mặc dù cấu hình ACL động không n ằm trong ch ươ ng trình c ủa ph ần này , ví dụ sau đây ch ỉ ra các b ước c ần thi ết đề cấu hình ACL động . Ph ần c ấu hình sau đây t ạo ra user và password để ch ứng th ực . Th ời gian nhàn rỗi được ch ỉnh là 10 phút RouterX(config)#username test password 0 test RouterX(config)#username test autocommand access-enable host timeout 10 Cấu hình sau đây cho phép ng ười dùng th ực hi ện telnet đến router s ẽ được ch ứng th ực và lo ại b ỏ tất c ả các lo ại d ữ li ệu khác RouterX(config)#access-list 101 permit tcp any host 10.1.1.1 eq telnet RouterX(config)#interface Ethernet0/0 RouterX(config-if)#ip address 10.1.1.1 255.255.255.0 ip access-group 101 in Cấu hình sau t ạo ra ACL động và được áp đặt cho access-list 101 . Th ời gian hết h ạn được ch ỉnh là 15 phút 3-14
RouterX(config)#access-list 101 dynamic testlist timeout 15 permit ip 10.1.1.0 0.0.0.255 172.16.1.0 0.0.0.255 Cấu hình sau đây yêu c ầu ng ười dùng ph ải ch ứng th ực khi th ực hi ện k ết n ối telnet đến router RouterX(config)#line vty 0 4 RouterX(config-line)#login local Sau khi b ạn th ực hi ện các b ước c ấu hình trên , khi ng ười dùng ở địa ch ỉ 10.1.1.2 th ực hi ện k ết n ối telnet thành công t ới 10.1.1.1 , ACL động được áp đạt ngay sau đó . K ết n ối telnet b ị ng ắt và người dùng có th ể kết n ối được đến mạng 172.16.1.0 3-15
ACLs ph ản x ạ ACLs Ph n x : Dùng cho phép d li u t bên ngoài vào gi i h n d li u t bên trong g i ra i v i phiên làm vi c kh i t o t bên trong 3-16 ACL ph ản x ạ ACL ph ản x ạ cho phép gói tin ip b ị lọc d ựa trên các thông tin phiên làm vi ệc ở lớp trên . Chúng th ường được dùng để cho phép d ữ li ệu ở ngoài và gi ới h ạn d ữ li ệu ở trong tr ả lời l ại các phiên làm vi ệc xu ất phát t ừ mạng bên trong c ủa router . ACL ph ản x ạ ch ỉ lưu c ác dòng t ạm th ời . Các dòng này được t ạo ra t ự động khi có một phiên làm vi ệc IP m ới b ắt đầu , ví dụ , v ới m ột gói tin ở ngoài , dòng khai báo được t ự động g ỡ bở khi phiên làm viêc k ết thúc . ACL ph ản x ạ không được áp đặt tr ực ti ếp lên c ổng k ết n ối nh ưng được “ẩn mình” trong m ột ACL m ở rộng mà ACL m ở rộng này được áp đặt vào c ổng k ết n ối ACL ph ản x ạ cung c ấp m ột hình th ức l ọc phiên làm vi ệc t ốt h ơn là thông s ố established trong Access-list m ở rộng . ACL ph ản x ạ sẽ khó bị tấn công gi ả mạo hơn b ởi vì nhi ều điều ki ện ki ểm tra ph ải th ỏa mãn tr ước khi gói tin được cho phép ; ví dụ cả địa ch ỉ ngu ồn và đ ích , và cổng ứng d ụng , ACK bits và RST bits đều được ki ểm tra . Nh ững thu ận l ợi c ủa ACL ph ản x ạ . ACL ph ản x ạ là một ph ần quan tr ọng c ủa vi ệc b ảo m ật m ạng ch ống l ại hacker và có th ể kết h ợp v ới t ường l ửa để phòng v ệ . ACL ph ản x ạ cung c ấp kh ả năng bảo mật ch ống l ại t ấn công gi ả mạo và tấn công t ừ ch ối d ịch v ụ . ACL ph ản x ạ sử dụng đơ n gi ản , ki ểm soát t ốt h ơn nh ững gói tin đi vào m ạng c ủa b ạn . 3-16
Ví dụ cấu hình ACL ph ản x ạ Mặc dù toàn b ộ cấu hình cho ACL ph ản x ạ nằm ngoài ch ươ ng trình , c ấu hình sau đây ch ỉ ra các b ước c ần thi ết để cấu hình ACL ph ản x ạ . Ví dụ này dùng ACL ph ản x ạ để cho phép gói tin ICMP ở mạng phía ngoài và mạng phía trong trong khi nó ch ỉ cho phép các gói tin TCP xu ất phát và được kh ởi t ạo t ừ bên mạng phía trong . T ất c ả các gói tin khác đều b ị từ ch ối Cấu hình sau để cho router theo dõi d ấu v ết c ủa các gói tin xu ất phát t ừ mạng bên trong RouterX(config)#ip access-list extended outboundfilters permit icmp 10.1.1.0 0.0.0.255 172.16.1.0 0.0.0.255 permit tcp 10.1.1.0 0.0.0.255 172.16.1.0 0.0.0.255 reflect tcptraffic Cấu hình sau đây t ạo ra m ột chính sách cho m ạng bên trong , b ắt bu ộc router ph ải ki ểm tra các d ữ li ệu đi vào xem nó có ph ải được kh ởi t ạo t ừ vùng m ạng trong hay không và ràng bu ộc vào ACL ph ản x ạ , tcptraffic được g ắn vào ACL inboundfilters RouterX(config)#ip access-list extended inboundfilters permit icmp 172.16.1.0 0.0.0.255 10.1.1.0 0.0.0.255 evaluate tcptraffic Cấu hình sau áp đặt ACL cho c ả chi ều ra và chi ều vào c ủa c ổng k ết n ối RouterX(config)#interface Ethernet0/1 RouterX(config-if)#ip address 172.16.1.2 255.255.255.0 RouterX(config-if)#ip access-group inboundfilters in RouterX(config-if)#ip access-group outboundfilters out ACL ph ản x ạ ch ỉ định ngh ĩa kèm theo ACL d ạng tên cho giao th ức IP . Chúng không th ể định ngh ĩa kèm theo ACL d ạng s ố ho ặc ACL d ạng tên c ơ b ản ho ặc với các giao th ức khác . 3-17
ACLs theo th ời gian ACLs theo th i gian: Cho phép ki m soát truy c p d a theo th i gian trong ngày và trong tu n 3-18 ACL theo th ời gian ACL theo th ời gian có ch ức n ăng gi ống v ới ACL m ở rộng , nh ưng chúng ki ểm soát truy c ập d ựa trên th ời gian . Để tri ển khai ACL theo th ời gian , b ạn t ạo ra m ột kho ảng th ời gian trong ngày và trong tu ần . Kho ảng th ời gian được xác định b ởi tên g ọi và sau đ ó được tham chi ếu b ằng ch ức n ăng . Chính vì vậy , s ự gi ới h ạn th ời gian được đính kèm trong ch ức n ăng c ủa nó Nh ững thu ận l ợi c ủa ACL theo th ời gian ACL theo th ời gian nhi ều thu ận l ợi : •Ng ười qu ản tr ị mạng ki ểm soát t ốt h ơn đối v ới vi ệc cho phép ho ặc t ừ ch ối ng ười dùng truy c ập vào tài nguyên . Tài nguyên có th ể là ứng d ụng , xác định b ởi địa ch ỉ IP và mặt n ạ mạng , c ổng ứng d ụng ; định tuy ến theo chính sách ; ho ặc là các dữ li ệu kích ho ạt đường k ết n ối quay s ố •Ng ười qu ản tr ị mạng có th ể ch ỉnh chính sách b ảo m ật theo th ời gian nh ư sau : -Bảo m ật biên b ằng cách s ử dụng t ường l ửa c ủa Cisco IOS ho ặc ACL -Tính toàn v ẹn d ữ li ệu v ới k ỹ thu ật Cisco Encryption ho ặc IPSec -Định tuy ến theo chính sách và ch ức n ăng hàng đợi đươ c nâng cao -Khi t ốc độ truy c ập t ừ nhà cung c ấp khác nhau vào các th ời điểm trong ngày , có th ể định tuy ến t ự động l ại d ữ li ệu hi ệu qu ả về chi phí 3-18
-Nhà cung c ấp d ịch v ụ có th ể thay đổi c ấu hình CAR để hỗ tr ợ QoS , SLAs được dùng để thương lượng trong m ột kho ảng th ời gian nào đó trong ngày -Ng ười qu ản tr ị mạng có th ể ki ểm soát các thông tin nh ật kí . Các khai báo ACL có th ể ghi nh ật kí các gói tin ở các th ời điểm trong ngày nh ưng không liên tục . Chính vì vậy , người qu ản tr ị mạng có th ể cấm truy c ập mà không ph ải ki ểm tra các thông tin nh ật kí được t ạo ra trong th ời gian cao điểm Ví dụ ACL theo th ời gian Mặc dù toàn b ộ cấu hình c ủa ACL theo th ời gian không n ằm trong ph ạm vi c ủa ch ươ ng trình , ví dụ sau đây chỉ ra các b ước c ần thi ết để cấu hình ACL theo th ời gian . Trong ví dụ này , k ết n ối telnet t ừ mạng bên trong ra m ạng bên ngoài được cho phép trong các ngày th ứ 2 , th ứ 4 và th ứ 6 , trong th ời gian hành chính Cấu hình sau định ngh ĩa kho ảng th ời gian cho ACL và đặt tên cho kho ảng th ời gian đó RouterX(config)#time-range EVERYOTHERDAY RouterX(config-time-range)#periodic Monday Wednesday Friday 8:00 to 17:00 Cấu hình sau áp đặt kho ảng th ời gian cho ACL : RouterX(config)#access-list 101 permit tcp 10.1.1.0 0.0.0.255 172.16.1.0 0.0.0.255 eq telnet time-range EVERYOTHERDAY Cấu hình sau áp đặt ACL lên c ổng k ết n ối : RouterX(config)#interface Ethernet0/0 RouterX(config-if)#ip address 10.1.1.1 255.255.255.0 RouterX(config-if)#ip access-group 101 in Kho ảng th ời gian này d ựa trên th ời gian h ệ th ống c ủa router . Có th ể sử dụng th ời gian h ệ th ống c ủa router nh ưng tính n ăng này ch ạy t ốt nh ất là với giao th ức NTP ( Network Time Protocol ) . 3-19
Các bit wildcard: Làm th ế nào để ki ểm tra các bit địa ch ỉ tương ứng 0 ngh a là ki m tra s phù hp trong các bit a ch ơng 1 ngh a là l ác bit a ch ơng 3-20 Tính n ăng l ọc địa ch ỉ được th ực hi ện b ằng cách s ử dụng m ặt n ạ Wildcard c ủa ACL , dùng để ki ểm tra ho ặc b ỏ qua các bit t ươ ng ứng trong địa ch ỉ ip . M ặt n ạ Wildcard dành cho các bit địa ch ỉ ip s ử dụng các s ố 0 và 1 để ch ỉ ra làm sao để tươ ng tác v ới các bit địa ch ỉ ip tương ứng , nó tuân theo qui lu ật sau : •Bit 0 c ủa m ặt n ạ WildCard : Các bit t ươ ng ứng trong vùng địa ch ỉ ph ải gi ống nhau •Bit 1 c ủa m ặt n ạ WildCard : Không c ần ki ểm tra các bit t ươ ng ứng trong vùng địa ch ỉ ( l ờ đi ) Lưu ý : M ặt n ạ wildcard th ỉnh tho ảng được nói t ới nh ư là mặt n ạ mạng ng ược Nếu điều ch ỉnh m ặt n ạ Wildcard m ột cách c ẩn th ận , b ạn có th ể cho phép ho ặc t ừ ch ối các gói tin ch ỉ với m ột dòng khai báo .B ạn có th ể lựa ch ọn 1 địa ch ỉ ip ho ặc nhi ều địa ch ỉ ip Hình ảnh trên ch ỉ ra làm th ế nào để ki ểm tra các bit địa ch ỉ tương ứng . Lưu ý : Ho ạt động c ủa m ặt n ạ Wildcard khác v ới m ặt n ạ mạng . Bit “0” trong m ặt nạ Wildcard ch ỉ ra r ằng các bit t ươ ng ứng trong ph ần địa ch ỉ ph ải gi ống nhau . Bit “1” trong m ặt n ạ Wildcard ch ỉ ra r ằng các bit t ươ ng ứng trong ph ần địa ch ỉ không quan tr ọng và có th ể lờ đi được 3-20
Bit wildcard dùng ki ểm tra vùng m ạng con ip Ki m tra s phù hp c a các a ch trong vùng t 172.30. 16 .0/24 n 172.30. 31 .0/24. a ch và mt n wildcard: 172.30.16.0 0.0.15.255 3-21 Ví dụ : th ực hi ện tính toán m ặt n ạ Wildcard cho địa ch ỉ ip m ạng con Trong hình trên , ng ười qu ản tr ị mạng mu ốn ki ểm tra m ột vùng địa ch ỉ ip m ạng con để th ực hi ện cho phép ho ặc t ừ ch ối truy c ập . Gi ả sử địa ch ỉ ip trên thu ộc v ề lớp B ( 2 octet đầu tiên là địa ch ỉ mạng ) , có 8 bits dùng để chia m ạng con ( octet th ứ 3 dùng cho m ạng con ) . Người qu ản tr ị mạng mu ốn s ử dụng m ặt n ạ Wildcard để bi ểu di ễn các m ạng con t ừ 172 .30.16.0/24 đến 172.30.31.0/24 Sử dụng m ột khai báo ACL để bi ểu di ễn vùng m ạng con này , s ử dụng địa ch ỉ 172.30.16.0 cho ACL . Ti ếp theo đó là khai báo m ặt n ạ wildcard . 2 octet đầu tiên trong ph ần địa ch ỉ ip là gi ống nhau (172.30) , nên m ặt n ạ wildcard s ẽ là các bit 0 t ại v ị trí 2 octet đầu tiên c ủa nó Vì ph ần địa ch ỉ của host chúng ta không quan tâm, do đó tại v ị trí octet cu ối c ủa mặt n ạ wildcard s ẽ là các bit 1 .Trong ví dụ này , octet cu ối cùng c ủa m ặt n ạ wildcard vi ết d ưới d ạng th ập phân là 255 Tại v ị trí octet th ứ 3 , c ũng chính là vị trí được chia subnet , m ặt n ạ wildcard là 15 , vi ết d ưới d ạng nh ị phân là 00001111 , kh ớp v ới 4 bit đầu tiên c ủa địa ch ỉ ip . 3-21
Trong tr ường h ợp này , m ặt n ạ wildcard s ẽ ki ểm tra các m ạng con có địa ch ỉ từ 172.30.16.0/24 . 4 bit cu ối trong octet này , m ặt n ạ wildcard ch ỉ ra các bit trong ph ần địa ch ỉ ip tương ứng s ẽ bị lờ đi . T ại v ị trí này , các bit địa ch ỉ có th ể là 1 ho ặc 0 tùy ý . Do đ ó , m ặt n ạ wildcard s ẽ bi ểu di ễn được các m ạng con 16 , 17 , 18 , cho đến 31 . M ặt n ạ wildcard s ẽ không bi ểu di ễn các m ạng con khác ngoài vùng này ra . Trong ví dụ này , địa ch ỉ 172.30.16.0 v ới m ặt n ạ wildcard 0.0.15.255 dùng để bi ểu di ễn các m ạng con t ừ 172 .30.16.0/24 đến 172.30.31.0/24 Trong m ột vài tr ường h ợp , b ạn ph ải s ử dụng nhi ều h ơn m ột khai báo ACL để bi ểu di ễn m ột vùng các m ạng con . Ví dụ để bi ểu di ễn vùng m ạng t ừ 10.1.4.0/24 đến 10.1.8.0/24 , s ử dụng 10.1.4.0 0.0.3.255 và 10.1.8.0 0.0.0.255 3-22
Tóm t ắt các bit m ặt n ạ wildcard 172.30.16.29 0.0.0.0 ki m tra s phù hp c a t t c các bit a ch Tóm t t m t n wildcard này b ng cách s dng t khóa host (host 172.30.16.29) 0.0.0.0 255.255.255.255 lt c các bit a ch Bi u di n v n t t b ng t khóa any 3-23 Sử dụng bit 0 và bit 1 trong m ặt n ạ wildcard để ki ểm tra s ự phù hợp ho ặc l ờ đi c ác bit t ươ ng ứng trong ph ần địa ch ỉ IP . S ử dụng ch ữ số th ập phân để bi ểu di ễn các ch ữ số nh ị phân c ủa m ặt n ạ wildcard có th ể gây nên s ự nhàm chán . H ầu h ết các tr ường h ợp s ử dụng m ặt n ạ wildcard , b ạn có th ể sử dụng b ằng cách vi ết t ắt . Cách vi ết t ắt gi ảm s ố lượng các ch ữ số ph ải gõ vào khi c ấu hình điều ki ện ki ểm tra Ví dụ : dùng m ặt n ạ wildcard để bi ểu di ễn m ột địa ch ỉ ip duy nh ất Trong ví dụ này ,thay vì ph ải gõ vào là 172.30.16.29 0.0.0.0 , b ạn có th ể sử dụng host 172.30.16.29 . Trong tr ường h ợp này t ừ vi ết t ắt là host Ví dụ : dùng m ặt n ạ wildcard để bi ểu di ễn b ất kì một địa ch ỉ ip nào Trong ví dụ này , thay vì ph ải gõ vào 0.0.0.0 255.255.255.255 , b ạn có th ể sử dụng t ừ khóa any 3-23
Tóm l ược ACLs có th c s dng cho vi c sàng l c các gói tin ip ho c xác nh các d li u cho m c ích iu khi n c bi t ACLs th c hi n ki m tra t trên xu ng d i và có th cu hình cho các d li u i vào và Bn có th to ra m t ACL b ng cách s dng tên ho c s . ACL dng tên ho c s có th cu hình thành d ng c ơ b n ho c m rng, và nó quy t nh cái gì sc sàng l c . ACL ph n x ACL ng , ACL theo th i gian cung c p thêm nhi u tính n ng cho ACL c ơ b n và ACL m rng i v i bit m t n wildcard , bit 0 ngh a là ki m tra s phù hp ca các bit a ch ơng và bit 1 ngh a là l ác bit a ch tơ ng ng 3-24 3-24
3-25 3-25
Bài 4 : C u hình và x lí s c danh sách ki m tra truy c p Danh sách ki m tra truy c p 4-1 Tổng quan: Bài h c này mô t các b c c u hình ACL d ng tên , d ng s , d ng c ơ b n và dng m rng. Bài h c này c ng gi i thích làm th nào ki m tra ACL ang ho t ng úng và cp n m t s li c u hình th ng g p ph i tránh . Mục tiêu : Sau khi hoàn thành bài h c này , b n có th cu hình và x lí s c IPv4 ACL d ng c ơ bn , d ng m rng , d ng s và dng tên . làm c iu này , b n ph i hoàn t t các m c sau : •Cu hình và ki m tra c u hình IPv4 ACL d ng s ơn •Cu hình và ki m tra c u hình IPv4 ACL d ng s m rng •Cu hình và ki m tra c u hình c IPv4 ACL d ng tên c ơ b n và dng tên m rng • Xác nh và gi i quy t m t s li c u hình th ng g p 4-1
Ki m tra gói tin v i IPv4 ACL d ng s bn 42 IPv4 ACL d ng s ơn c ánh s tn 99 và tn 1999. IPv4 ACL d ng tên c ơ b n l c các gói tin d a trên a ch ngu n và mt n mng , và chúng cho phép ho c t ch i toàn b ch ng giao th c TCP/IP . Ki u l c theo dng ACL c ơ b n có th không cung c p các kh c mà bn mu n . Có th bn mu n l c chính xác h ơn các gói tin i trong m ng . 4-2
Cu hình IPv4 ACL d ng s n RouterX(config)# access-list access-list-number {permit | deny | remark} source [mask ] S dng s ACL t n 99 . Khai báo u tiên ưc gán s th t là 10 , và các khai báo li n k ưc gán s th t tng thêm 10 . Mt n wildcard m c nh là 0.0.0.0 (ch dùng cho ACL d ng c ơ b n). no access-list access-list-number g b toàn b ACL. remark cho phép b n thêm chú thích vào ACL. RouterX(config-if)# ip access-group access-list-number {in | out} Kích ho t ACL trên c ng k t n i. t ki m tra theo chi u vào ho c chi u ra no ip access-group access-list-number {in | out} g b ACL ra kh i c ng k t n i . 43 cu hình m t IPv4 ACL d ng s ơn trên Cisco router , b n ph i t o ra m t IPv4 ACL c ơ b n và kích ho t nó trên c ng k t n i . Câu l nh access-list to ra mt khai báo trong danh sách IPv4 ACL . Hình trên mô t cú pháp c a câu l nh này Câu l nh ip access-group áp t ACL s n có vào c ng k t n i . Ch có 1 ACL cho mt giao th c , m t h ng và mt c ng k t n i . Hình trên mô t cú pháp c a câu lnh này . Lu ý : g b ACL ra kh i c ng k t n i , u tiên gõ l nh no ip access-group trên c ng k t n i và ó gõ câu l nh no access-list g b toàn b ACL Bng này cho ta m t ví d v các b c c n thi t cu hình và áp t c u hình cho m t ACL d ng s ơn trên router Bc 1 : S dng câu l nh access-list to ra m t dòng khai báo cho IPv4 ACL dng c ơ b n RouterX(config)# access-list 1 permit 172.16.0.0 0.0.255.255 S dng câu l nh no access-list access-list-number g b toàn b ACL Ph n khai báo trên bi u di n các a ch có dng 172.16.x.x S dng tùy ch n remark thêm mô t cho ACL 4-3
Bc 2 : S dng câu l nh interface la ch n ra c ng k t n i c n áp t ACL RouterX(config)#interface ethernet 1 Sau khi b n gõ câu l nh interface vào , d u nh c l nh s chuy n thành (config-if)# Bc 3 : S dng câu l nh ip access-group kích ho t ACL trên c ng k t ni ó RouterX(config-if)# ip access-group 1 out g b ACL ra kh i c ng k t n i , s dng câu l nh no ip access-group access-list number trên c ng k t n i ó Ví d : Thêm vào các khai báo có kèm theo s th t , ví d sau thêm m t khai báo vào danh sách ACL ã có sn RouterX# show ip access-list Standard IP access list 1 2 permit 10.4.4.2, wildcard bits 0.0.255.255 5 permit 10.0.0.44, wildcard bits 0.0.0.255 10 permit 10.0.0.1, wildcard bits 0.0.0.255 20 permit 10.0.0.2, wildcard bits 0.0.0.255 RouterX(config)# ip access-list standard 1 RouterX(config-std-nacl)# 15 permit 10.5.5.5 0.0.0.255 RouterX# show ip access-list Standard IP access list 1 2 permit 10.4.0.0, wildcard bits 0.0.255.255 5 permit 10.0.0.0, wildcard bits 0.0.0.255 10 permit 10.0.0.0, wildcard bits 0.0.0.255 15 permit 10.5.5.0, wildcard bits 0.0.0.255 20 permit 10.0.0.0, wildcard bits 0.0.0.255 4-4
Ví d 1 : IPv4 ACL d ng s n RouterX(config)# access-list 1 permit 172.16.0.0 0.0.255.255 (implicit deny all - not visible in the list) (access-list 1 deny 0.0.0.0 255.255.255.255) RouterX(config)# interface ethernet 0 RouterX(config-if)# ip access-group 1 out RouterX(config)# interface ethernet 1 RouterX(config-if)# ip access-group 1 out Ch cho phép các m ng n i b 45 Ví d : S dng IPv4 ACL d ng s ơn – Ch cho phép các m ng n i b giao ti p v i nhau Ph n sau ây mô t cú pháp câu l nh trình bày hình trên Các thông s kèm theo c a câu l nh access-list 1 : s ca ACL , ch ra r ng ây làơn Permit : ch ra các gói tin th a mãn iu ki n khai báo s c cho phép chuy n i 172.16.0.0 : ch à mng ngu n 0.0.255.255 : m t n Wildcard , các bit 0 ch ra ph n ph i ki m tra s phù hp , các bit 1 ch ra ph n không c n ph i ki m tra và có th l Ip access-group 1 out : Áp t ACL vào c ng k t n i và th c hi n l c theo chi u ra ACL này ch cho các gói tin t mng ngu n 172.16.0.0 c chuy n ra kh i c ng E0 và cng E1 . Các gói tin không xu t phát t mng 172.16.0.0 s b t ch i . 4-5
Ví d 2 : IPv4 ACL d ng s n RouterX(config)# access-list 1 deny 172.16.4.13 0.0.0.0 RouterX(config)# access-list 1 permit 0.0.0.0 255.255.255.255 (implicit deny all) (access-list 1 deny 0.0.0.0 255.255.255.255) RouterX(config)# interface ethernet 0 RouterX(config-if)# ip access-group 1 out Cm m t host truy c p 46 Ví d : IPv4 ACL d ng s ơn – T ch i m t host truy c p Ph n sau mô t cú pháp câu l nh trình bày ph n trên 1 : S ca ACL , ch àơn Deny : ch ra các gói tin th a mãn iu ki n ki m tra s c chuy n i 172.16.4.13 a ch ip ngu n c a host 0.0.0.0 : m t n dùng ki m tra s phù hp c a t t c các bit ( à mt n mc nh ) Permit : ch ra các gói tin th a mãn iu ki n ki m tra s c chuy n i 0.0.0.0 a ch ip ngu n c a host 255.255.255.255 : m t n wildcard ; các bit 0 ch ra ph n ph i ki m tra s phù hp , bit 1 ch ra ph n không c n ki m tra . T t c các bit 1 trong ph n m t n ch ra t t c 32 bit trong ph n a ch ip s c ki m tra s phù hp . Nói cách khác , b t kìa ch nào c ng u th a mãn . ACL này c thi t k lo i b các gói tin xu t ph t t mt a ch c th trong tr ng h p này là 172.16.4.13 , t t c các gói tin khác c chuy n i trên cng E0 bình th ng . Ph n khai báo 0.0.0.0 255.255.255.255 cho phép t t c gói tin t bt c ngu n nào . Ph n khai báo này có th vi t t t b ng t khóa any 4-6
Ví d 3 : IPv4 ACL d ng s n RouterX(config)# access-list 1 deny 172.16.4.0 0.0.0.255 RouterX(config)# access-list 1 permit any (implicit deny all) (access-list 1 deny 0.0.0.0 255.255.255.255) RouterX(config)# interface ethernet 0 RouterX(config-if)# ip access-group 1 out Cm m t m ng con truy c p 47 Ví d : IPv4 ACL d ng s ơn – T ch i m t m ng con truy c p Ph n sau mô t cú pháp câu l nh trình bày ph n trên 1 : S ca ACL , ch àơn Deny : ch ra các gói tin th a mãn iu ki n ki m tra s c chuy n i 172.16.4.0 a ch ip ngu n c a m ng con 0.0.0.255 : m t n Wildcard , các bit 0 ch ra ph n ph i ki m tra s phù hp , bit 1 ch ra ph n không c n ki m tra . Các bit 0 3 octet u tiên ch ra ph n các ph n a ch ip ph i ki m tra s phù hp , 255 octet cu i cùng ch ra ph n a ch ip không c n ph i ki m tra Permit : ch ra r ng các gói tin th a mãn iu ki n s c chuy n i Any : vi t t t cho ph n a ch ip ngu n . T vi t t t any ch ra t t c các a ch ngu n u th a mãn iu ki n ki m tra ACL này dùng lo i b các gói tin t mng con 172.16.4.0 , các gói tin khác c chuy n trên c ng k t n i E0 bình th ng . 4-7
ACL d ng c b n ki m soát truy c p VTY RouterX(config-line)# access-class access-list-number {in | out} Gi i h n k t n i vào và ra gi a c ng vty vàa ch trong ACL Example: access-list 12 permit 192.168.1.0 0.0.0.255 (implicit deny any) ! line vty 0 4 access-class 12 in Ch cho phép các host trong m ng 192.168.1.0 0.0.0.255 kt n i n cng vty c a router 48 ki m soát các gói tin i vào và ra kh i router ( ) , bn s bo v các c ng o c a router . Các c ng o này g i là các c ng vty . M c nh có 5 c ng c ánh s tn 4 Khi c c u hình , Cisco IOS có th h tr nhi u h ơn 5 c ng vty . Gi i h n truy c p vty là k thu t chính bo m t m ng và ch ra nh ng a ch nào c phép telnet vào router Lc các gói tin telnet th ng c xem nh là ch c n ng c a ACL m rng vì nó lc các giao th c l p cao . Tuy nhiên , vì bn s cng câu l nh access-class lc các phiên telnet vào và ra trên c ng vty b ng a ch ngu n , nên b n có th s dng khai báo ACL d ng c ơ b n ki m soát truy c p c ng vty . Ví d : trong ví d này , b n cho phép các thi t b trong m ng 192.168.1.0 0.0.0.255 thi t l p phiên telnet v i router . D nhiên lài dùng ph i bi t m t kh u vào c u hình router . Lu ý là s gi i h n truy c p c áp t cho t t c cng vty t n 4 , vì bn không th ki m soát c ng i dùng s kt n i vào c ng vty nào . Khai báo ng m nh t ch i t t c vn c áp d ng cho ACL khi s dng các khai báo access-class 4-8
Ki m tra gói tin v i IPv4 ACL d ng s m rng 49 ki m soát chính xác h ơn các gói tin , ta s dng IPv4 ACL m rng có s t 100 n 199 và tn 2699 ho c s dng ACL d ng tên ki m tra a ch IPv4 ngu n và ích . Thêm vào ó , t i cu i dòng khai báo c a ACL m rng , bn có th ch nh giao th c , ng d ng TCP ho c UDP th c hi n l c gói tin chi ti t h ơn . ch ra m t ng d ng , b n có th cu hình s cng c a ng d ng . Các c ng ng d ng quen thu c và các giao th c IP 20 (TCP) FTP data 21 (TCP) FTP control 23 (TCP) Telnet 25 (TCP) Simple Mail Transfer Protocol (SMTP) 53 (TCP/UDP) Domain Name System (DNS) 69 (UDP) TFTP 80 (TCP) HTTP 4-9
Cu hình IPv4 ACL d ng s m rng RouterX(config)# access-list access-list-number {permit | deny} protocol source source-wildcard [operator port ] destination destination-wildcard [operator port ] [established] [log] Thi t l p các thông s cho dòng khai báo này RouterX(config-if)# ip access-group access-list-number {in | out} Kích ho t ACL m rng trên c ng k t n i 410 cu hình IPv4 ACL d ng s m rng trên thi t b router Cisco , t o ra m t IPv4 Acl và kích ho t nó trên c ng k t n i . S dng câu l nh access-list to ra các khai báo trong iu ki n ki m tra . B ng sau gi i thích cú pháp c a câu l nh . Access-list-number : Ch ra danh sách ki m tra có s nm trong kho ng t n 199 ho c t n 2699 Permit | deny : Ch ra dòng khai báo này cho phép hay t ch i gói tin Protocol : IP,TCP,UDP,ICMP, GRE ho c IGRP Source and destination: Ch a ch ip ngu n và ích Source-wildcard and destination-wildcard : M t n wildcard ; 0 ch ra ph n a ch ph i ki m tra s phù hp , 1 ch ra ph n không c n ph i ki m tra Operator [ port | app-name ] : thông s này có th là Lt ( nh ơ ) , gt ( l n h ơn ) và eq ( b ng ) , neq ( không b ng ) . S cng ng d ng có th là ngu n ho c ích , tùy thu c vào v trí cu hình trong ACL . thay th cho s port ng d ng , có th s dng tên cho các ng d ng quen thu c nh là Telnet , FTP , SMTP , vv Established : Ch s dng cho giao th c TCP theo chi u vào . Cho phép các gói tin TCP i qua khi gói tin này là gói tr li phiên làm vi c kh i t o t bên ngoài . Lo i gói tin này có bit ACK ( xem ph n ví d extended ACL v i t khóa Established ) Log : lu l i nh t kí lên màn hình console Lu ý : cú pháp câu l nh access-list c li t kê ành cho giao th c TCP . Không ph i t t c các thông s và tùy ch n u c li t kê ra . cóc cú pháp chi ti t , xin tham kh o các tài li u v Cisco IOS t i cisco.com 4-10