Báo cáo cuối kì (nguyễn phượng nhung)

BÁO CÁO THỰC TẬPĐề tài 10: Nghiên Cứu Cơ Chế Routing Của Cisco, Mô Phỏng

Trên Nền GNS3

Cán bộ hướng dẫn :

Thầy Võ Đỗ Thắng

GV Trung tâm đạo tạo QTM & ANM Quốc tế Athena

Sinh viên thực hiện :

Nguyễn Phượng Nhung (1120117)

SV khoa ĐTVT trường ĐH KHTN TPHCM

Thời gian thực tập: 9/72014 15/9/2014

Trang| 1Nguyễn Phượng Nhung

TP. Hồ Chí Minh – năm 2014

ĐẠI HỌC QUỐC GIA THÀNH PHỐ HỒ CHÍ MINH

TRƯỜNG ĐẠI HỌC KHOA HỌC TỰ NHIÊN

KHOA ĐIỆN TỬ - VIỄN THÔNG

TRUNG TÂM ĐÀO TẠO QUẢN TRỊ MẠNG VÀ AN NINH MẠNG QUỐC TẾ

ATHENA

MỞ ĐẦU

Sự phát triển của Internet cũng đồng nghĩa với việc tăng trưởng về quy mô và

công nghệ nhiều loại mạng LAN, WAN… Và đặc biệt là lưu lượng thông tin

trên mạng tăng đáng kể. Chính điều đó đã làm cho vấn đề chia sẻ thông tin trên

mạng hay là vấn đề định tuyến trở nên quan trọng hơn bao giờ hết. Trong việc

thiết kế mạng và lựa chọn giao thức định tuyến sao cho phù hợp với chi phí, tài

nguyên của tổ chức là đặc biệt quan trọng.

Internet phát triển càng mạnh, lượng người truy nhập càng tăng yêu cầu định

tuyến càng phải tin cậy, tốc độ chuyển mạch nhanh và không gây ra lặp trên

mạng. Hơn nữa khi nhiều tổ chức tham gia vào mạng thì nhiều giao thức được

đưa vào sử dụng dẫn đến sự phức tạp về định tuyến cũng gia tăng, và số lượng

các giao thức để phục vụ cho việc định tuyến cũng có rất nhiều. Việc hiểu biết

và thiết kế các mạng thông tin cỡ lớn có sử dụng các thiết bị định tuyến đang trở

thành một nhu cầu vô cùng cấp thiết trong thực tế. Nó đòi hỏi người thiết kế

mạng phải có sự hiểu biết sâu về giao thức sẽ sử dụng cho việc thiết kế mạng

cũng như các loại giao thức định tuyến khác.

Cisco là một trong những nhà cung cấp thiết bị mạng hàng đầu thế giới, ngoài ra

Cisco còn đưa ra các chứng chỉ và mở các trung tâm đào tạo nhân lực về mạng

máy tính cũng như phát triển các chuẩn giao thức định tuyến. Đề tài “Nghiên

cứu cơ chế routing của Cisco mô phỏng trên nền GNS3” nhằm tìm hiểu một

cách chi tiết hơn về các đặc điểm, tính năng và phương thức hoạt động của giao

thức định tuyến và ứng dụng định tuyến được mô phỏng trên phần mềm giả lập

GNS3.


DANH SÁCH CÁC CLIP

Giới thiệu bản thân, đề tài: https://www.youtube.com/watch?v=L33MrlQf7KM

Báo cáo tuần:

Tuần 1

Link video cài đặt: https://www.youtube.com/watch?v=hC65XMRDmew

Link báo cáo: http://www.slideshare.net/DdungMonchi/bo-co-tun-1-nguyen-phuong-nhung

Tuần 2Link video: https://www.youtube.com/watch?v=6sRy6CSnfEgLink báo cáo: http://www.slideshare.net/DdungMonchi/baocao-thuc-tap-tuan-2-nguyen-phuong-nhung

Tuần 3:Link báo cáo: http://www.slideshare.net/DdungMonchi/bo-co-tun-3-nguyen-phuong-nhungLink video: https://www.youtube.com/watch?v=socMfht7w1k&feature=youtu.be

Thuận lợi khó khan khi thực tập ở trung tâmLink video: https://www.youtube.com/watch?v=9AoYMTVqNLg


https://www.youtube.com/watch?v=9AoYMTVqNLg

https://www.youtube.com/watch?v=L33MrlQf7KM

https://www.youtube.com/watch?v=L33MrlQf7KM

LỜI CÁM ƠN

TRƯỜNG ĐẠI HỌC KHOA HOC TỰ NHIÊN

KHOA ĐIỆN TỬ VIỄN THÔNG

Trong thời gian học tập tại trường đại học KHTN, em đã tích lũy được nhiều kiến thức quý báo, đó cũng là nhờ công dạy dỗ tận tình của thầy cô trường đại học KHTN nói chung và thầy cô tại khoa Điện tử viễn thông trường Đại học KHTN.

Em xin chân thành cảm ơn trường Đại Học Khoa học tự nhiên TP.HCM và khoa Điện tử Viễn thông đã tạo điều kiện cho em hoàn thành tốt đợt thực tập này. Trong đợt thực tập này đã cho em những kinh nghiệm quý báu. Những kinh nghiệm này sẽ giúp em hoàn thiện hơn trong công việc và môi trường làm việc sau này.

Mặc dù em đã cố gắng hoàn thành báo cáo thực tập tốt nghiệp này với tất cả nỗ lực của bản thân. Nhưng do trình độ hiểu biết và kinh nghiệm thực tế có hạn nên chắc chắn không thể tránh khỏi những thiếu sót nhất định. Em rất mong nhận được sự đóng góp, chia sẻ để tôi có thể làm tốt hơn nữa.

Một lần nữa em xin chân thành cảm ơn!

TP HCM, ngày 4, tháng 9, năm 2014

Sinh viên thực tập

Nguyễn Phượng Nhung


LỜI CÁM ƠN TRUNG TÂM ATHENA

Để hoàn thành học phần thực tập thực tế này, em xin chân thành cảm ơn trung tâmAthena đã tạo điều kiện cho em có một môi trường thích hợp để làm việc.

Xin chân thành cảm ơn thầy Võ Đỗ Thắng, Giám đốc trung tâm Quản trị mạng và An ninh mạng quốc tế Athena đã tận tình hướng dẫn, giúp đỡ em trong thời gian thực tập vừa qua.

Ngoài ra, trong quá trình thực tập nhờ có sự động viên giúp đỡ của các bạn sinhviên cùng thực tập tại trung tâm, các anh chị nhân viên trong công ty đã nhiệt tình giúp đỡ nên em mới hoàn thành được chương trình thực tập này.

Một lần nữa em xin chân thành cảm ơn và xin gửi lời chúc sức khỏe đến toàn thể cán bộ, nhân viên tại trung tâm Athena.

Chúc cho công ty găt hái được nhiều thành công.

Chân thành cảm ơn.

TP HCM, ngày 4,tháng 9, năm 2014




LỜI CÁM ƠN KHOA

Trong thời gian học tập tại trường đại học KHTN, em đã tích lũy được nhiều kiến thức quý báo, đó cũng là nhờ công dạy dỗ tận tình của thầy cô trường đại học KHTN nói chung và thầy cô tại khoa Điện tử viễn thông trường Đại học KHTN.

Em xin chân thành cảm ơn trường Đại Học Khoa học tự nhiên TP.HCM và khoa Điện tử Viễn thông đã tạo điều kiện cho em hoàn thành tốt đợt thực tập này. Trong đợt thực tập này đã cho em những kinh nghiệm quý báu. Những kinh nghiệm này sẽ giúp em hoàn thiện hơn trong công việc và môi trường làm việc sau này.

Mặc dù em đã cố gắng hoàn thành báo cáo thực tập tốt nghiệp này với tất cả nỗ lực của bản thân. Nhưng do trình độ hiểu biết và kinh nghiệm thực tế có hạn nên chắc chắn không thể tránh khỏi những thiếu sót nhất định. Em rất mong nhận được sự đóng góp, chia sẻ để tôi có thể làm tốt hơn nữa.

Một lần nữa em xin chân thành cảm ơn!

TP HCM, ngày 4, tháng 9, năm 2014




LỜI CAM KẾTTôi xin cam kết những nội dung trong báo cáo này là do tôi thực hiện dưới sự hướng dẫn trực tiếp của thầy Võ Đỗ Thắng. Mọi sao chép không hợp lệ, vi phạm quy chế đào tạo, hay gian lận, tôi xin chịu hoàn toàn trách nhiệm.

TP HCM,4 tháng 9, năm 2014




NHẬN XÉT CỦA CÁN BỘ HƯỚNG DẪN.........................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................

TP HCM, ngày…,tháng …năm 2014


Võ Đỗ Thắng

MỤC LỤC

LỜI CẢM ƠN TRUNG TÂM…………………............................................. 2LỜI CẢM ƠN KHOA…………….…………………………………………. 3LỜI CAM KẾT………………….……………………………………...…… 4NHẬN XÉT CỦA CÁN BỘ HƯỚNG DẪN…..……………………………. 4MỤC LỤC ...................................................................................................... .6

Chương I. TÌM HIỂU VỀ ROUTER ........................................................... 7I. Giới thiệu chung ................................................................................ 7

II.Chức năng chính của Router ............................................................. 7III. Nguyên tắc chọn đường .................................................................. 7

IV. Các thành phần phần cứng .............................................................. 8 V. Phân loại: .......................................................................................... 9 Chương II. Cơ chế Ảo hóa Router Cisco trên GNS3 .......................................9 I. Giới thiệu ............................................................................................9 II. Cài đặt GNS3 .................................................................................. 10 Chương III. LÝ THUYẾT GIẢI THUẬT ĐỊNH TUYẾN ......................... 14 I. Chức năng của giải thuật định tuyến ............................................... 14

II. Đại lượng đo lường (Metric): ......................................................... 14III. Mục tiêu thiết kế ........................................................................... 15IV. Phân loại thuật toán chọn đường ................................................... 15V.Thuật toán tìm đường theo kiểu trạng thái nối kết – Link state .......16VI.Thuật toán chọn đường theo kiểu vectơ khoảng cách..................... 16

Chương IV. CẤU HÌNH ĐỊNH TUYẾN CHO ROUTER CISCO …......... 16

I. Các mode làm việc của Router – Mode config................................ 16 II. Các lệnh cơ bản trên Router ........................................................... 17

III. Cấu hình định tuyến tĩnh .............................................................................. .19

IV.Cấu hình Định tuyến RIP - Routing Information Protocol ............ 20V.Cấu hình định tuyến OSPF .............................................................. 25VI.Filter Router - Access List ............................................................. 28VII. Load balancing ............................................................................ 30VIII.Cấu hình VPN Client to Site ....................................................... 31

Chương V. Cấu hình VPCS để mô phỏng PC đơn giản .......................... 35


CHƯƠNG I: TÌM HIỂU VỀ ROUTERI. Giới thiệu chung

Router, hay thiết bị định tuyến hoặc bộ định tuyến, là một thiết bị liên mạng, cóchức năng từ tầng 1 đến tầng 3 trong mô hình OSI, dùng để chuyển các gói dữ liệu quamột liên mạng và đến các đầu cuối, thông qua một tiến trình được gọi là định tuyến. Định tuyến xảy ra ở tầng 3 tầng mạng của mô hình OSI 7 tầng. Router cho phép nối hai hay nhiều nhánh mạng lại với nhau để tạo thành một liên mạng. Chuyển tiếp các gói tin từ mạng này đến mạng kia để có thể đến được máy nhận. Mỗi một router thường tham gia vào ít nhất là 2 mạng. Nó có thể là một thiết bị chuyên dùng hoặc có thể là một máy tính với nhiều card mạng và một phần mềm cài đặt giải thuật chọn đường cho router.

II. Chức năng chính của Router Chức năng chính của Router là:

Chọn đường đi đến đích với ‘chi phí’ (metric) thấp nhất cho một gói tin. Lưu và chuyển tiếp các gói tin từ nhánh mạng này sang nhánh mạng

khác.

III. Nguyên tắc chọn đường— Các router duy trì một Bảng chọn đường (Routing table) chứa đường đi

đến những điểm khác nhau trên toàn mạng.— Hai trường quan trọng nhất trong bảng chọn đường của router là Đích đến

(Destination) và Bước kế tiếp (Next Hop) cần phải chuyển gói tin để có thể đến được Đích đến

Có ba hình thức cập nhật bảng chọn đường:


Cập nhật thủ công Cập nhật tự động Cập nhật hỗn hợp

IV. Các thành phần phần cứngCấu trúc chính xác của các router thì rất khác nhau tùy theo phiên bản của nó. Nhưng một router thì có các thành phần phần cứng cơ bản sau:

CPU: Central Processing Unit, là đơn vị xử lý trung tâm, thực thi các câu lệnh của hệ điều hành để thực hiện các nhiệm vụ như: khởi động hệ thống, định tuyến, điều khiển các cổng giao tiếp mạng. CPU là một bộ vi xử lý, trong các router lớn có thể có nhiều cpu

RAM: được sử dụng để lưu bảng định tuyến, cung cấp bộ nhớ cho chuyển mạch nhanh, chạy tập tin cấu hình và cung cấp hàng đợi cho các gói dữ liệu. Trong đa số các router, hệ điều hành cisco IOS chạy trên RAM, RAM thường được chia làm hai phần phần bộ nhớ xử lý chính và phần bộ nhớ chia sẻ nhấp/xuất.Phần bộ nhớ nhập/xuất thường được chia cho các cổng giao tiếp làm nơi lưu trữ tạm các gói dữ liệu. Toàn bộ nội dung trên RAM sẽ bị xóa khi tắt điện. Thông thường RAM trên router là loại RAM động DRAM.

Flash: bộ nhớ flash thường dùng để lưu toàn bộ hệ điều hành Cisco IOS

NVRAM: Non-volative Random-access Memory là bộ nhớ không bị mất dữ liệu khi mất nguồn, dùng để lưu tập tin cấu hình. Trong một số thiết bị, thì flash và NVRAMcó thể là hai thiết bị riêng, hoặc cả hai cùng một bộ nhớ.

Bus: phần lớn các router đều có bus hệ thống và CPU bus. Bus hệ thống được sử dụng để thông tin liên lạc giữa CPU và các cổng giao tiếp và các khe mở rộng. Loại bus này vận chuyển các gói dữ liệu đi và đến cổng giao tiếp. CPU sử dụng CPU bus để truy xuất các thành phần của router thông qua bộ nhớ trên router. Loại bus này vận chuyển dữ liệu đi và đến các địa chỉ của ô nhớ tương ứng.

ROM: Read Only Memory: là nơi lưu trữ đoạn mã của chương trình kiểm tra khi khởi động. Nhiệm vụ chính của ROM là kiểm tra phần cứng khi khởi động, sau đó chép phần mềm Ciso IOS từ flash vào RAM.. Nội dung trong bộ nhớ ROM thì không thể xóa được.


Các cổng giao tiếp (Interfaces): có ba loại cổng chính, LAN, WAN vàconsole/AUX. Cổng giao tiếp LAN thường là Ethernet hoặc Token ring. Cổng

WAN: có thể là serial hoặc ISDN. Cổng console/AUX dùng để kết nối đến máy tính để thực hiện cấu hình router

Nguồn điện: để cung cấp nguồn cho router

V. Phân loại:Router có nhiều cách phân loại khác nhau Tuy nhiên người ta thường có

hai cách phân loại chủ yếu sau:

Dựa theo công dụng của Router: theo cách phân loại này người ta chia router thành remote access router, ISDN router, Serial router, router/hub…

Dựa theo cấu trúc của router: fixed configuration router, modular router.

CHƯƠNG II: CƠ CHẾ ẢO HÓA ROUTER CISCO TRÊN GNS3I. Giới thiệu

GNS3 là một phần mềm giả lập mạng dạng đồ họa, nó cho phép chúng ta mô phỏng với các mạng phức tạp. Chúng ta đã quá quen thuộc với các phần mềm nhưVMware hoặc PC virtual để chạy các hệ điều hành khác nhau như là Windows XProfessional hoặc Ubuntu Linux trong môi trường ảo trên chính PC cá nhân của mình.GNS3 cũng tương tự như vậy, nó sử dụng hệ điều hành mạng Cisco.

Nó cho phép chúng ta chạy một Cisco IOS trong một môi trường ảo trên máy tínhcá nhân. GNS3 là “phần mặt trước” (front to end) của một sản phẩm được gọi là Dynagen. Dynamip là một chương trình lõi cho phép mô phỏng các IOS. Dynagen chạy trên dynamip để tạo ra sự gần gũi hơn với môi trường dạng văn bản. Một người sử dụng có thể tạo ra một topo mạng chỉ đơn giản là sử dụng Windowsini-type files với dynagen. GNS3 thực hiện những điều này một cách đơn giản bằng một môi trường đồ họa.

GNS3 cho phép mô phỏng Cisco IOS trên Windows hoặc Linux, nó có khả năng mô phỏng nhiều dạng router và PIX. Sử dụng card Ethernet Switch trong một router, nócũng có thể mô phỏng đến mức độ mà chức năng card hỗ trợ. Điều đó có nghĩa GNS3 là một công cụ hữu ích cho các học viên tham gia các


khóa học chứng chỉ Cisco như CCNAvà CCNP. Trên thị trường cũng có khá nhiều các phần mềm mô phỏng router nhưngchúng bị giới hạn các câu lệnh do người phát triển thiết kế. Nó thường xuyên có các lệnhhoặc các tham số không được hỗ trợ khi mà thực hành trong môi trường thực tế. Trong những phần mềm giả lập này chúng ta chỉ có thể nhìn thấy những thông tin ra của một router được giả lập.

Chính vì vậy mà sự chính xác của nó cũng chỉ ở mức mà người phát triển thiết kếra. Với GNS3 thì chúng ta coi như đang chạy trên một Cisco IOS thực vì vậy mà có thểxem được chính xác những thông tin mà IOS thực cung cấp và cũng có thể truy cập tới bất cứ lệnh hoặc tham số nào mà Cisco IOS hỗ trợ. Thêm nữa, GNS3 là một phần mềm mã nguồn mở, là một chương trình miễn phí sử dụng.

GNS3 còn có vpcs (Virtual PC Simular) giúp cho chúng ta có thể giả lập máy tính(host) tối giản chỉ để test các chức năng về mạng. Ngoài ra liên kết chặt chẽ với các chương trình hỗ trợ khác như Qemu - giả lập máy tính (nguồn mở) và VirtualBox - phần mềm ảo hóa mạnh mẽ và miễn phí giúp cho chúng ta có thể giả lập PC với các hệ điều hành thật.

Phần mềm này không thực sự thay thê được thiết bị thật của Cisco mà nó được viết ra nhằm mục đích:

Giúp mọi người làm quen với thiết bị Cisco. Kiểm tra và thử nghiệm những tính năng trong cisco IOS. Test các mô hình mạng trước khi đi vào cấu hình thực tế.

II. Cài đặt GNS3

Tải phần mềm về từ địa chỉ: http://www.gns3.net/download/. Hiện tại phiên bản

ở đây là GNS3 v0.8.3.1 all-in-one

Kích đúp vào file vừa download về và tiến hành cài đặt theo chế độ mặc định


Hình II-1.GNS3 Setup

Nhấn next

Hình II-2.GNS3 License Agreement


Nhấn I Agree

Hình II-3.GNS3 Choose Start Menu Folder

Nhấn Next

Hình II-4.GNS3 Choose Components


Nhấn Next

Hình II-5.GNS3 Choose Install Location

Nhấn Install, có thể chọn cài WinCap và WireShark

Hình II-6.Install Wincap bổ sung


Nhấn next

Hình II-8.Complete Setup

Nhấn finish và hoàn tất quá trình cài đặt

CHƯƠNG III: LÝ THUYẾT GIẢI THUẬT ĐỊNH TUYẾNI. Chức năng của giải thuật định tuyếnTìm ra đường đi đến những điểm khác nhau trên mạng. Giải thuật chọn đường chỉcập nhật vào bảng chọn đường đường đi đến một đích đến mới hoặc đường đi mới tốthơn đường đi đã có trong bảng chọn đường

II. Đại lượng đo lường (Metric): Chiều dài đường đi (length path): Là số lượng router phải đi qua

trên đường đi.

Độ tin cậy (reliable) của đường truyền

Độ trì hoãn (delay) của đường truyền

Băng thông (bandwidth) kênh truyền

Tải (load) của các router

Cước phí (cost) kênh truyền


III. Mục tiêu thiết kế

Tối ưu (optimality): Đường đi do giải thuật tìm được phải là đường đi tối ưu trongsố các đường đi đến một đích đến nào đó

Đơn giản, ít tốn kém (Simplicity and overhead): Giải thuật được thiết kế hiệu quảvề mặt xử lý, ít đòi hỏi về mặt tài nguyên như bộ nhớ, tốc độ xử lý của router.

Tính ổn định (stability): Giải thuật có khả năng ứng phó được với các sự cố vềđường truyền.

Hội tụ nhanh (rapid convergence): Quá trình thống nhất giữa các router về mộtđường đi tốt phải nhanh chóng.

Tính linh hoạt (Flexibility): Đáp ứng được mọi thay đổi về môi trường vận hànhcủa giải thuật như băng thông, kích bộ nhớ, độ trì hoãn của đường truyền.

IV. Phân loại giải thuật chọn đường

Giải thuật chọn đường tĩnh - Giải thuật chọn đường động

Giải thuật chọn đường bên trong - Giải thuật chọn đường bên ngoài khu vực

Giải thuật chọn đường trạng thái nối kết - Giải thuật véctơ khoảng cách.

Ghi chú: Một vùng (khu vực autonomous system) là một tập hợp các mạng và cácrouter chịu sự quản lý duy nhất của một nhà quản trị mạng.

- Một số giải thuật chọn đường bên trong vùng:

RIP: Routing Information Protocol OSPF: Open Shortest Path First IGRP: Interior Gateway Routing Protocol

- Một số giải thuật chọn đường liên vùng:

EGP: Exterior Gateway Protocol BGP: Boder Gateway Protocol


V. Giải thuật vạch đường theo kiểu trạng thái nối kết – Link stateMỗi router sẽ gởi thông tin về trạng thái nối kết của mình (các mạng nối kết trựctiếp và các router láng giềng) cho tất cả các router trên toàn mạng. Các router sẽ thu thậpthông tin về trạng thái nối kết của các router khác, từ đó xây dựng lại hình trạng mạng,chạy các giải thuật tìm đường đi ngắn nhất trên hình trạng mạng có được. Từ đó xâydựng bảng chọn đường cho mình.Khi một router phát hiện trạng thái nối kết của mình bị thay đổi, nó sẽ gởi mộtthông điệp yêu cầu cập nhật trạng thái nối kết cho tất các các router trên toàn mạng. Nhậnđược thông điệp này, các router sẽ xây dựng lại hình trạng mạng, tính toán lại đường đitối ưu và cập nhật lại bảng chọn đường của mình.Giải thuật chọn đường trạng thái nối kết tạo ra ít thông tin trên mạng. Tuy nhiênnó đòi hỏi router phải có bộ nhớ lớn, tốc độ tính toán của CPU phải cao.

VI. Giải thuật chọn đường theo kiểu vectơ khoảng cáchĐầu tiên mỗi router sẽ cập nhật đường đi đến các mạng nối kết trực tiếp với mìnhvào bảng chọn đường.Theo định kỳ, một router phải gởi bảng chọn đường của mình cho các router láng giềng. Khi nhận được bảng chọn đường của một láng giềng gởi sang, router sẽ tìm xemláng giềng của mình có đường đi đến một mạng nào mà mình chưa có hay một đường đi nào tốt hơn đường đi mình đã có hay không. Nếu có sẽ đưa đường đi mới này vào bảng chọn đường của mình với Nexthop để đến đích chính là láng giềng này.

CHƯƠNG IV: CẤU HÌNH ĐỊNH TUYẾN CHO ROUTER CISCOI. Các mode làm việc của Router – Mode configKhi bắt đầu session,ấn Enter đến khi nhận được response của router.

Các mode cấu hình:

Exec mode: Router> Đây là mode đầu tiên khi bạn bắt đầu một phiên làmviệc với router (qua Console hay Telnet). Ở mode này bạn chỉ có thể thực hiện được một số lệnh thông thường của router. Các lệnh này sẽ không được ghi vào file cấu hình của router và do đó không gây ảnh hưởng đếncác lần khởi động sau của router.


Privileged exec mode: Router# Privileged EXEC Mode cung cấp các lệnhquan trọng để theo dõi hoạt động của router, truy cập vào các file cấu hình,IOS, đặt password... Privileged EXEC Mode là chìa khóa để vào Configuration Mode.

Configuration mode: Router(config)# Configuration mode cho phép cấu hình tất cả các chức năng của Cisco router bao gồm các interface, cácrouting protocol, các line console, vty (telnet), tty (async connection). Cáclệnh trong configuration mode sẽ ảnh hưởng trực tiếp đến cấu hình hiện hành của router chứa trong RAM (running-configuration). Nếu cấu hình này được ghi lại vào NVRAM, các lệnh này sẽ có tác dụng trong những lầnkhởi động sau của router. Configuration mode có nhiều mode nhỏ, ngoàicùng là global configuration mode, sau đó là các interface configurationmode, line configuration mode.

II. Các lệnh cơ bản trên Router 1. Cấu hình đặt tên cho Router Công việc đầu tiên khi cấu hình router là đặt tên cho router.Router(config)# hostname AthenaR1AthenaR1(config)# Ngay sau khi nhấn phím Enter để thực thi câu lệnh, dấu nhắc sẽ đổi từ tên mặcđịnh (Router) sang tên vừa mới đặt.

2. Cấu hình đặt mật khẩu cho Router Đặt mật khẩu cho đường console:AthenaR1(config)#line console 0AthenaR1(config-line)#password <<password>>AthenaR1(config-line)#login

Chúng ta cũng cần đặt mật khẩu cho một hoặc nhiều đương vty để kiểm soát cácuser truy nhập từ xa vào router và Telnet. Thông thường Cisco router có 5 đường vty vớithứ tự từ 0 đến 4. Chúng ta thường sử dụng một mật khẩu cho tất cả các đường vty,nhưng đôi khi chúng ta nên đặt thêm mật khẩu riêng cho một đường để dự phòng khi cả 4đường kia đều đang được sủ dụng. Sau đây là các lệnh cần sử dụng để đặt mật khẩu cho đường vty:AthenaR1(config)#line vty 0 4AthenaR1(config-line)# password <<password>>AthenaR1(config-line)# login


Mật khẩu enable và enable secret được sử dụng để hạn chế việc truy cập vào chếđộ EXEC đặc quyền. Mật khẩu enable chỉ được sử dụng khi chúng ta cài đặt mật khẩuenable secret vì mật khẩu này được mã hoá còn mật khẩu enable thì không. Sau đây làcác lệnh dùng để đặt mật khẩu enable secret:AthenaR1(config)#enable password <<password>>AthenaR1(config)#enable secret<<password>>

Đôi khi bạn sẽ thấy là rất không an toàn khi mật khẩu được hiển thị rõ ràng khi sửdụng lệnh show running-config hoặc show startup-config. Để tránh điều này bạn nêndùng lệnh sau để mã hoá tất cả các mật khẩu hiển thị trên tập tin cấu hình của router: AthenaR1(config)#service password-encryption 3. Kiểm tra cấu hình Router bằng các lệnh ShowChúng ta có rất nhiều lệnh show được dùng để kiểm tra nội dung các tập tin trênrouter và để tìm ra sự cố. Trong cả hai chế độ EXEC đặc quyền và EXEC người dùng,khi gõ « show? » ta sẽ xem được danh sách các lệnh show. Đương nhiên là số lệnh showdùng được trong chế độ EXEC đặc quyền sẽ nhiều hơn trong chế độ EXEC người dùng.Show interface - hiển thị trạng thái của tất cả các cổng giao tiếp trên router. Để xem trạngthái của một cổng nào đó thì ta thêm tên và số thứ tự của cổng đó sau lệnh showinterface. Ví dụ như:Router#show interface serial 0/1

Ngoài ra còn các lệnh “show” khác: Hiển thị tập tin cấu hình trên RAMRouter#show startup-configuration

Hiển thị tập tin cấu hình đang chạyRouter#show running-configuration Hiển thị bảng định tuyếnRouter#show ip route Hiển thị thông tin cơ bản về các interfaceRouter#show ip interface briefRouter#show ARP Hiển thị trạng thái toàn cục và trạng thái của các cổng giao tiếp đã được cấuhình giao thức lớp 3


AthenaR1#show protocol

4. Cấu hình cổng InterfaceChúng ta có thẻ cấu hình cổng interface bằng đường console hoặc vty.Mỗi một cổng đều phải có một địa chỉ IP và subnet mask để chúng có thể địnhtuyến các gói IP. Để cấu hình địa chỉ IP chúng ta dùng lệnh sau:AthenaR1(config)#interface serial 0/0AthenaR1(config)#ip address 192.168.1.1 255.255.255.0

Mặc định thì các cổng giao tiếp trên router đều đóng. Nếu bạn muốn mở hay khởi động các cổng này thì bạn phải dùng lệnh no shutdownNếu bạn muốn đóng cổng lại để bảo trì hoặc xử lý sự cố thì bạn dùng lệnh shutdown.AthenaR1(config)#interface serial 0/0AthenaR1(config-if)#clock rate 56000AthenaR1(config-if)#no shutdown

III. Cấu hình định tuyến tĩnhĐối với định tuyến tĩnh các thông tin về đường đi phải do người quản trị mạngnhập cho router. Khi cấu trúc mạng có bất kỳ thay đổi nào thì chính người quản trị mạng phải xoá hoặc thêm các thông tin về đường đi cho router. Những loại đường đi như vậygọi là đường đi cố định. Đối với hệ thống mạng lớn thì công việc bảo trì mạng định tuyếncho router như trên tốn rất nhiều thời gian. Còn đối với hệ thống mạng nhỏ ,ít có thay đổithì công việc này đỡ mất công hơn. Chính vì định tuyến tĩnh đòi hỏi người quản trị mạng phải cấu hình mọi thông tin về đường đi cho router nên nó không có được tính linh hoạtnhư định tuyến động. Trong những hệ thống mạng lớn ,định tuyến tĩnh thường được sửdụng kết hợp với giao thức định tuyến động cho một số mục đích đặc biệt.Hoạt động của định tuyến tĩnh có thể chia ra làm 3 bước như sau:

Đầu tiên ,người quản trị mạng cấu hình các đường cố định cho router

Router cài đặt các đường đi này vào bảng định tuyến

Gói dữ liệu được định tuyến theo các đường cố định này

1. Demo Static RouteTopology:


Hình IV-2.Topology Static Route

Cấu hìnhTrên Router R1, vào mode cofig và cấu hình như sau :R1#configuture terminalR1(config)#ip route 11.0.0.0 255.255.255.0 Serial0/0

Trên Router R2, ta cũng vào mode cofig và cấu hình như sau :R2#configuture terminalR2(config)#ip route 10.0.0.0 255.255.255.0 Serial0/0 Như vậy việc định tuyến cho router đã hoàn tất. Tuy nhiên, do đây là một topologyđơn giản, chỉ có 3 nhánh mạng trong đó có 2 nhánh mạng cần định tuyến trên 2 router trong khi thực tế, các hệ thống mạng rất nhiều nhánh mạng. Vì vậy mà việc định tuyếntĩnh sẽ không thể đáp ứng được mà người ta phải dùng đến các kỹ thuật định tuyến động.

IV. Cấu hình Định tuyến RIP - Routing Information Protocol1. Giới thiệuRIP là giải thuật chọn đường động theo kiểu véctơ khoảng cách, được định nghĩatrong hai tài liệu là RFC 1058 và Internet Standard 56 và được cập nhật bởi IETF – (Internet Engineering Task Force).Phiên bản thứ 2 của RIP được định nghĩa trong RFC 1723 vào tháng 10 năm 1994.RIP v.2 cho phép các thông điệp của RIP mang nhiều thông tin hơn để sử dụng cơ chếchứng thực đơn giản hơn đảm bảo tính bảo mật khi cập nhật bảng chọn đường. RIP v.2cung cấp các mặt nạ mạng con, cái quan trọng lại thiếu trong RIP ban đầu.

2. Đặc điểm của RIPRIP là một giao thức distance – vector điển hình. Mỗi router sẽ gửi toàn bộ bảngđịnh tuyến của nó cho router láng giềng theo định kỳ 30s/lần. Thông tin này lại tiếp tụcđược láng giềng lan truyền tiếp cho các láng giềng khác và cứ thế lan truyền ra mọi router trên toàn mạng. Kiểu trao đổi thông tin như thế còn được gọi là “lan truyền theo tin đồn”.(Ở đây, ta có thể hiểu router láng giềng là router kết nối


trực tiếp với router đang xét).Metric trong RIP được tính theo hop count – số node lớp 3 (router) phải đi quatrên đường đi để đến đích. Với RIP, giá trị metric tối đa là 15, giá trị metric = 16 đượcgọi là infinity metric (“metric vô hạn”), có nghĩa là một mạng chỉ được phép cách nguồntin 15 router là tối đa, nếu nó cách nguồn tin từ 16 router trở lên, nó không thể nhận đượcnguồn tin này và được nguồn tin xem là không thể đi đến được.RIP chạy trên nền UDP – port 520.RIPv2 là một giao thức classless còn RIPv1 lại là một giao thức classful.Cách hoạt động của RIP có thể dẫn đến loop nên một số quy tắc chống loop vàmột số timer được đưa ra. Các quy tắc và các timer này có thể làm giảm tốc độ hội tụ củaRIP.AD của RIP là 120.

3. Demo RIPv1Topology

Hình IV-3. RIPv1 TopologyCấu hìnhCác Router và PC đã đặt IP như hình trên.Trên router R1, ta vào mode config và cấu hình như sau:R1#configure terminalR1(config)#router ripR1(config-router)#net 10.0.0.0R1(config-router)#net 192.168.1.0R1(config-router)#exitR1(config)# Lưu ý rằng RIPv1 là một giao thức dạng classful nên chỉ sử dụng được với các địachỉ mạng ở dạng classful.Trên Router R2, ta cấu hình tương tự như sau :R2(config)#router ripR2(config-router)#net 192.168.2.0R2(config-router)#net 11.0.0.0R2(config-router)#exitR2(config)#


Trên Router R3, cấu hình như sau:R3(config)#router ripR3(config-router)#net 192.168.1.0R3(config-router)#net 192.168.2.0R3(config-router)#exitR3(config)#

4. Demo RIPv2Topology

Cấu hìnhSau khi đã cấu hình các Interface cho các Router ta tiến hành định tuyến cho cácRouter.Trên Router R1, ta cấu hình như sau :R1#configure terminalR1(config)#router ripR1(config-router)#version 2R1(config-router)#net 172.16.10.0R1(config-router)#net 192.168.1.0R1(config-router)#exitR1(config)#Router R2R2(config)#router ripR2(config-router)#version 2R2(config-router)#net 192.168.1.0R2(config-router)#net 192.168.2.0R2(config-router)#exit


Router R3R3(config)#router ripR3(config-router)#net 172.16.20.0R3(config-router)#net 172.16.30.0R3(config-router)#net 192.168.2.0R3(config-router)#exitR3(config)#

V. Cấu hình định tuyến OSPF1. Tổng Quan Về OSPF:

OSPF là một giao thức định tuyến theo trạng thái đường liên kết được triển khaidựa trên các chuẩn mở. OSPF được mô tả trong nhiều chuẩn của IETF (InternetEngineering Task Force). Chuẩn mở ở đây có nghĩa là OSPF hoàn toàn mở với côngcộng, không có tính độc quyền.

Nếu so sánh với RIPv1 và RIPv2 là một giao thức nội thì IGP tốt hơn vì khả năngmở rộng của nó. RIP chỉ giới hạn trong 15 hop, hội tụ chậm và đôi khi còn chọn đườngcó tốc độ chậm vì khi quyết định chọn đường nó không quan tâm đến các yếu quan trọngkhác như băng thông chẳng hạn. OSPF khắc phục được các nhược điểm của RIP vì nó làmột giao thức định tuyến mạnh, có khả năng mởi rộng, phù hợp với các hệ thống mạnghiện đại. OSPF có thể cấu hình đơn vùng để sử dụng cho các mạng nhỏ.

2. So Sánh OSPF Với Giao Thức Định Tuyến Theo Distance Vector Router định tuyến theo trạng thái đường liên kết có một cơ sở đầy đủ về

cấu trúchệ thống mạng. Chúng chỉ thực hiện trao đổi thông tin về trạng thái đường liên kết lúc khởi động và khi hệ thống mạng có sự thay đổi. Chúng không phát quảng bá bảng địnhtuyến theo định kỳ như các router định tuyến theo distance vector. Do đó, các router địnhtuyến theo trạng thái đường liên kết sử dụng ít băng thông hơn cho hoạt động duy trì bảng định tuyến.

RIP phù hợp với các mạng nhỏ và đường tốt nhất đối với RIP là đường có số hopít nhất. OSPF thì phù hợp với mạng lớn, có khả năng mở rộng, đường đi tốt nhất của OSPF được xác định dựa trên tốc độ của đường truyền. RIP cũng như các giao thức địnhtuyến theo distance vector khác đều sử dụng thuật toán chọn đường đơn giản. Còn thuậttoán SPF thì phức tạp. Do đó, nếu router chạy theo giao thức định tuyến theo distancevector thì sẽ ít tốn bộ nhớ và cần năng lực xử lý thấp hơn so với khi chạy OSPF.

OSPF chọn đường dựa trên chi phí được tính từ tốc độ của đường truyền. Đườngtruyền có tốc độ càng cao thì chi phí OSPF tương ứng càng thấp.

OSPF chọn đường tốt nhất từ cây SPF.OSPF bảo đảm không bị định tuyến lặp vòng. Còn giao thức định tuyến

theodistance vector vẫn có thể bị loop.


Nếu một kết nối không ổn định, chập chờn, việc phát liên tục các thông tin vềtrạng thái của đường kiên kết này sẽ dẫn đén tình trạng các thông tin quảng cáo khôngđồng bộ làm cho kết quả chọn đường của các router bị đảo lộn.3. OSPF giải quyết được các vấn đề sau-Tốc độ hội tụ.-Hỗ trợ VLSM (Variable Length Subnet Mask)-Kích cỡ mạng.-Chọn đường.-Nhóm các thành viên.

Trong một hệ thống mạng lớn, RIP phải mất ít nhất vài phút mới có thể hội tụđược vì mỗi router chỉ trao đổi bảng định tuyến với các router láng giềng kết nối trực tiếpvới mình mà thôi. Còn đối với OSPF sau khi đã hội tụ vào lúc khởi động, khi có thay đổithì việc hội tụ sẽ rất nhanh vì chỉ có thông tin về sự thay đổi được phát ra cho mọi router trong vùng.

OSPF có hỗ trợ VLSM nên nó được xem là một giao thức định tuyến không theolớp địa chỉ. RIPv1 không hỗ trợ VLSM, nhưng RIPv2 thì có.Đối với RIP, một mạng đích cách xa hơn 15 router xem như không thể đến được vì RIPcó số lượng hop giới hạn là 15. Điều này làm kích thước mạng của RIP bị giới hạn trong phạm vi nhỏ. OSPF thì không giới hạn về kích thước mạng, nó hoàn toàn có thể phù hợpvới mạng vừa và lớn.

Khi nhận được từ router láng giềng các báo cáo về số lượng hop đến mạng đích,RIP sẽ cộng thêm 1 vào thông số hop này và dựa vào số lượng hop đó để chọn đường đếnmạng đích. Đường nào có khoảng cách ngắn nhất hay nói cách khác là có số lương hop ítnhất sẽ là đường tốt nhất đối với RIP. Nhận xét thấy thuật toán chọn đường như vậy là rấtđơn giản và không đòi hỏi nhiều bộ nhớ và năng lực xử lý của router. RIP không hề quantâm đến băng thông đường truyền khi quyết định chọn đường.

OSPF thì chọn đường dựa vào chi phí được tính từ băng thông của đường truyền.Mọi OSPF đều có thông tin đầy đủ về cấu trúc của hệ thống mạng và dựa vào đó để chọnđường đi tốt nhất. Do đó, thuật toán chọn đường này rất phức tạp, đòi hỏi nhiều bộ nhớ và năng lực xử lý của router cao hơn so với RIP.

RIP sử dụng cấu trúc mạng dạng ngang hàng. Thông tin định tuyến được truyềnlần lượt cho mọi router trong cùng một hệ thống RIP. Còn OSPF sử dụng khái niệm phân vùng. Một mạng OSPF có thể chia các router thành nhiềunhóm. Bằng cách này, OSPF có thể giới hạn lưu thông trong từng vùng. Thay đổi trong vùng này không ảnh hưởng đến hoạt động của các vùng khác. Cấu trúc phân lớp như vậy cho phép hệ thống mạng có khả năng mở rộng một cách hiệu quả.

4. Thuật Toán Chọn Đường Ngắn NhấtTheo thuật toán này, đường tốt nhất là đường có chi phí thấp nhất. Thuật

toánđược sử dụng là Dijkstra, thuật toán này xem hệ thống mạng là mọt tập hợp


các nodesđược kết nối với nhau bằng kết nối point-to-point. Mỗi kết nối này có một chi phí. Mỗinodes có một tên. Mỗi nodes có đầy đủ cơ sở dữ liệu về trạng thái của các đường liên kết.Do đó, chúng có đầy đủ thông tin về cấu trúc vật lý của hệ thống mạng. Tất cả các cơ sở dữ liệu này điều giống nhau cho mọi router trong cùng một vùng.

Giao Thức OSPF HelloKhi router bắt đầu khởi động tiến trình định tuyến OSPF trên một cổng

nào đó thìnó sẽ gởi một gói hello ra cổng đó và tiếp tục gởi hello theo định kỳ. Giao thức hello đưa ra các nguyên tắc quản lý việc trao đổi các gói OSPF hello.Ở lớp 3 của mô hình OSI, gói hello mang địa chỉ multicast 224.0.5.0 địa chỉ này chỉ đến tất cả các OSPF router. OSPF router sử dụng gói hello để thiết lập một quan hệ láng giềng thân mật mới và để xác định là router láng giềng có còn hoạt động hay không. Mặc định hello được gởi đi 10 giây một lần trong mạng quảng bá đa truy cập và mạng Point-to-Point. Trên cổng nói vào mạng NBMA, ví dụ như Frame Relay, chu trình địnhcủa hello là 30 giây.

Trong mạng đa truy cập, giao thức hello tiến hành bầu DR và BDR.Mặc dù gói hello rất nhỏ nhưng nó cũng bao gồm cả phần header của gói OSPF. Cấu trúccủa phần header trong gói OSPF được thể hiện như hình sau. Nếu gói hello thì trườngType sẽ có giá trị là một.

Gói hello mang những thông tin để thống nhất giữa mọi láng giềng với nhau trướckhi có thể thiết lập mối quan hệ láng giềng thân mật và trao đổi thông tin về trạng tháiđường liên kết. 5. Demo cấu hình định tuyến OSPFTopology

Sau khi cấu hình IP cho các interface trên của router và các PC giả lập. Ta cấuhình định tuyến cho các Router như sau :Trên router R1 :


R1#configure terminalR1(config)#router ospf 1R1(config-router)#network 172.16.1.0 0.0.0.255 area 0R1(config-router)#network 192.168.1.10 0.0.255 area 0R1(config-router)#exitR1(config)#Trên router R2 :R2(config)#router ospf 1R2(config-router)#network 192.168.1.0 0.0.0.255 area 0R2(config-router)#network 192.168.2.0 0.0.0.255 area 0R2(config-router)#network 172.16.2.0 0.0.0.255 area 0R2(config-router)#exitRouter R3R3(config)#router ospf 1R3(config-router)#network 192.168.2.0 0.0.0.255 area 0R3(config-router)#network 172.16.3.0 0.0.0.255 area 0R3(config-router)#exitR3(config)#

VI. Filter Router - Access List1. Giới thiệu

Danh sách truy cập (Access list) hay còn gọi Danh sách điều khiển truy cập(Access Control List) cung cấp một công cụ mạnh cho việc điều khiển mạng.

Những danh sách này đưa vào cơ chế mềm dẽo trong việc lọc dòng các gói tin màchúng đi ra, vào các giao diện của các router.

Các danh sách này giúp mở rộng việc bảo vệ các tài nguyên mạng mà không làmảnh hưởng đến những dòng giao tiếp hợp lệ. Danh sách truy cập phân biệt giaothông của các gói tin ra thành nhiều chủng loại mà chúng được phép hay bị từchối. Danh sách liên kết có thể được sử dụng để:

Nhận dạng các gói tin cho việc xếp thứ tự ưu tiên hay sắp xếp trong hà

ng đợi

Hạn chế hoặc giảm nội dung của thông tin cập nhật chọn đường.


Danh sách truy cập cũng xử lý các gói tin cho các tính năng an toàn khác như:

Cung cấp cơ chế điều khiển truy cập động đối các gói tin

Nhận dạng các gói tin cho việc mã hóa

Nhận dạng các truy cập bằng dịch vụ Telnet được cho phép để cấu hình router.

2. Định nghĩa danh sách danh sách truy cậpDanh sách truy cập là những phát biểu dùng để đặc tả những điều kiện mà một nhàquản trị muốn thiết đặt nhờ đó cho router sẽ xử lý các cuộc truyền tải đã được mô tả trongdanh danh truy cập theo một cách thức không bình thường.Danh sách truy cập đưa vào những điều khiển cho việc xử lý các gói tin đặc biệttheo một cách thức duy nhất. Có hai loại danh sách truy cập chính là:

Danh sách truy cập chuẩn (standard access list): Danh sách này sử dụng cho việckiểm tra địa chỉ gởi của các gói tin được chọn đường. Kết quả cho phép hay từchối gởi đi cho một bộ giao thức dựa trên địa chỉ mạng/mạng con hay địa chỉ máy.

Danh sách mở rộng (Extended access list): Danh sách mở rộng kiểm tra

cho cả địachỉ gởi và nhận của gói tin. Nó cũng kiểm tra cho các giao thức cụ thể, số hiệu cổng và các tham số khác. Các gói tin được phép hoặc từ chối gởi đi hoặc nhận tùythuộc vào gói tin đó được xuất phát từ đâu và đi đến đâu.


3. Nguyên tắc hoạt động của danh sách truy cậpDanh sách truy cập diễn tả một danh sách các qui luật mà nó cho phép

thêm vàocác điều khiển các gói tin đi vào một giao diện của router, các gói tin lưu lại tạm thời ở router và các gói tin gởi ra một giao diện của router.Danh sách truy cập không có tác dụng trên các gói tin xuất phát từ router đang xét.

Các chỉ thị trong danh sách truy cập hoạt động một cách tuần tự. Chúng đánh giácác gói tin từ trên xuống. Nếu tiêu đề của một gói tin và một lệnh trong danh sách truycập khớp với nhau, gói tin sẽ bỏ qua các lệnh còn lại. Nếu một điều kiện được thỏa mãn, gói tin sẽ được cấp phép hay bị từ chối. Chỉ cho phép một danh sách trên một giao thứctrên một giao diện.


4. Demo Access List

Topology

Cấu hình cho router


Để chặn các gói lưu thông từ nhánh mạng 172.16.2.0 đến router R3, ta đặt access-list dạng standard trên serial0/0 của router R3:R3(config)#ip access-list STND-1R3(config-std-nacl)#deny 172.16.2.0 0.0.0.255R3(config-std-nacl)#permit anyR3(config-std-nacl)#exitR3(config)#interface s0/0R3(config-if)#ip acR3(config-std-nacl)#deny 172.16.2.0 0.0.0.255

VII. Load balancingGiới thiệu

Cân bằng tải là một chức năng tiêu chuẩn trong các phần mềm định tuyến cũaCisco và có thể tồn tại trên hầu hết các router của các nhà sản xuất khác. Cân bằng tải gắnliền với quá trình vận chuyển trong các router và được tự động kích hoạt nếu bảng định tuyến có nhiều định tuyến đến một mục tiêu. Cân bằng tải có cơ sở là các giao thức định tuyến chuẩn như RIP, RIP V2 (Routing Information Protocol), OSPF (Open Shortest PathFirst), IGRP (Interior Gateway Routing Protocol), EIGRP (Enhanced Interior Gateway Routing Protocol); hoặc từ các định tuyến tĩnh và các cơ chế vận chuyển gói tin. Cơ chế cân bằng tải cho phép một router sử dụng nhiều định tuyến đến một mục tiêu khi vậnchuyển các gói tin.

Khi một router nhận biết nhiều định tuyến đến một lớp mạng thông qua các quátrình xử lý đa định tuyến (hoặc các giao thức định tuyến như RIP, RIPv2, IGRP, EIGRPvà OSPF), nó sẽ ghi định tuyến có giá trị administrative distance thấp nhất vào bảng định tuyến.

Đôi khi các router phải chọn một trong số nhiều định tuyến có cùng giá trịadministrative distance. Trong trường hợp này, các router sẽ chọn định tuyến có costhoặc metric thấp nhất đến mục tiêu. Mỗi quá trình định tuyến có cơ chế xác định costkhác nhau. Đôi khi, giá trị cost cần được điều chỉnh để đạt ý đồ cân bằng tải.

Cân bằng tải khả thi khi ứng với một mục tiêu, router cung cấp nhiều đường dẫncó cùng giá trị administrative distance và cost. Số lượng đường dẫn khả dụng bị giới hạn bởi số mục mà các giao thức định tuyến ghi vào bảng định tuyến. Số lượng mặc định trong hệ thống xuất nhập (IOS-Input Output System) của hầu hết giao thức định tuyến là 04. Riêng BGP (Border Gateway Protocol) có số lượng mặc định là 01. Số lượng tối đa có thể cầu hình là 06.

Các giao thức IGRP và EIGRP còn hỗ trợ cân bằng tải với giá trị cost khác nhau. Ta có thể sử dụng lệnh variance với IGRP và EIGRP để cấu hình cơ chế này. Lệnh maximum-paths được dùng để xác định số lượng đường dẫn tối đa có thể ghi nhận dựavào các giá trị đã cấu hình cho các giao thức.


Ta có thể dùng lệnh show ip route để tìm các định tuyến có cost bằng nhau.Ví dụ dưới đây là kết quả của lệnh show ip route đối với một subnet có nhiều định tuyến.

Cần chú ý rằng có 2 khối mô tả định tuyến, mỗi khối là một định tuyến.Dấuhoathị(*) bên cạnh mỗi khối cho thấy đó là định tuyến khả dụng cho mỗi một "luồng thông tin mới". Thuật ngữ "luồng thông tin mới" có thể hiểu là một gói tin hoặc toàn bộ thông tinhướng đến một mục tiêu, tuỳ thuộc vào cơ chế chuyển đổi (switching) đã được cấu hình.Với cơ chế process-switching thì cân bằng tải căn cứ trên từng gói tin và các dấu hoa thị(*) chỉ đến interface mà gói tin kế tiếp sẽ được chuyển đến.Với cơ chế fast-switching thì cân bằng tải căn cứ trên từng mục tiêu và các dấu hoa thị(*) chỉ đến interface mà luồng thông tin hướng đến mục tiêu kế tiếp sẽ được chuyển đến.

Các dấu hoa thị (*) sẽ được luân phiên chuyển đổi giữa các định tuyến mỗi lầnrouter nhận một gói tin hoặc một luồng thông tin mới.

VIII. Cấu hình VPN Client to Site

1. VPN là gì?

VPN (virtual private network) là công nghệ xây dựng hệ thống mạng

riêng ảo nhằm đáp ứng nhu cầu chia sẻ thông tin, truy cập từ xa và tiết kiệm chi

phí. Trước đây, để truy cập từ xa vào hệ thống mạng, người ta thường sử

dụng phương thức Remote Access quay số dựa trên mạng điện thoại. Phương

thức này vừa tốn kém vừa không an toàn. VPN cho phép các máy tính truyền

thông với nhau thông qua một môi trường chia sẻ như mạng Internet nhưng vẫn

đảm bảo được tính riêng tư và bảo mật dữ liệu. Để cung cấp kết nối giữa các

máy tính, các gói thông tin được bao bọc bằng một header có chứa những thông

tin định tuyến, cho phép dữ liệu có thể gửi từ máy truyền qua môi trường mạng

chia sẻ và đến được máy nhận, như truyền trên các đường ống riêng được gọi là

tunnel. Để bảo đảm tính riêng tư và bảo mật trên môi trường chia sẻ này, các

gói tin được mã hoá và chỉ có thể giải mã với những khóa thích hợp, ngăn ngừa

trường hợp "trộm" gói tin trên đường truyền.


2. Các tình huống thông dụng của VPN:

Remote Access: Đáp ứng nhu cầu truy cập dữ liệu và ứng dụng cho người dùng

ở xa, bên ngoài công ty thông qua Internet. Ví dụ khi người dùng muốn truy cập

vào cơ sở dữ liệu hay các file server, gửi nhận email từ các mail server nội bộ

của công ty.

Site To Site: Áp dụng cho các tổ chức có nhiều văn phòng chi nhánh, giữa các

văn phòng cần trao đổi dữ liệu với nhau. Ví dụ một công ty đa quốc gia có nhu

cầu chia sẻ thông tin giữa các chi nhánh đặt tại Singapore và Việt Nam, có thể

xây dựng một hệ thống VPN Site-to-Site kết nối hai site Việt Nam và

Singapore tạo một đường truyền riêng trên mạng Internet phục vụ quá trình

truyền thông an toàn, hiệu quả.

Intranet/ Internal VPN: Trong một số tổ chức, quá trình truyền dữ liệu giữa

một số bộ phận cần bảo đảm tính riêng tư, không cho phép những bộ phận khác

truy cập. Hệ thống Intranet VPN có thể đáp ứng tình huống này. Để triển khai

một hệ thống VPN chúng ta cần có những thành phần cơ bản sau đây:

User Authentication: cung cấp cơ chế chứng thực người dùng, chỉ cho

phép người dùng hợp lệ kết nối và truy cập hệ thống VPN.

Address Management: cung cấp địa chỉ IP hợp lệ cho người dùng sau khi gia

nhập hệ thống VPN để có thể truy cập tài nguyên trên mạng nội bộ.

Data Encryption: cung cấp giải pháp mã hoá dữ liệu trong quá trình truyền

nhằm bảo đảm tính riêng tư và toàn vẹn dữ liệu.

Key Management: cung cấp giải pháp quản lý các khoá dùng cho quá trình mã

hoá và giải mã dữ liệu.

3. IPSEC (IP SECURITY PROTOCOL)

Như chúng ta biết, để các máy tính trên hệ thống mạng LAN/WAN hay Internet

truyền thông với nhau, chúng phải sử dụng cùng một giao thức (giống như ngôn

ngữ giao tiếp trong thế giới con người) và giao thức phổ biến hiện nay là

TCP/IP. Khi truyền các gói tin, chúng ta cần phải áp dụng các cơ chế mã hóa


và chứng thực để bảo mật. Có nhiều giải pháp để thực hiện việc này,

trong đó cơ chế mã hóa IPSEC hoạt động trên giao thức TCP/IP tỏ ra hiệu

quả và tiết kiệm chi phí trong quá trình triển khai.

Trong quá trình chứng thực hay mã hóa dữ liệu, IPSEC có thể sử dụng một hoặc

cả hai giao thức bảo mật sau:

AH (Authentication Header): header của gói tin được mã hóa và bảo vệ phòng

chống các trường hợp "ip spoofing" hay "man in the midle attack", tuy

nhiên trong trường hợp này phần nội dung thông tin chính không được bảo vệ

ESP (Encapsulating Security Payload): Nội dung thông tin được mã hóa,

ngăn chặn các trường hợp hacker đặt chương trình nghe lén và chặn bắt dữ liệu

trong quá trình truyền. Phương thức này rất hay được áp dụng, nhưng nếu

muốn bảo vệ luôn cả phần header của gói tin thì phải kết hợp cả 2 giao thức

AH và ESP.

4. IPSec/VPN trên Windows Server 2003

Chúng ta tham khảo tình huống thực tế của công ty Green Lizard Books, một

công ty chuyên xuất bản và phân phối văn hoá phẩm. Nhằm đẩy mạnh hiệu quả

kinh doanh, bộ phận quản lý muốn các nhân viên kinh doanh trong quá trình

công tác ở bên ngoài có thể truy cập báo cáo bán hàng (Sale Reports) chia sẻ

trên File Server và có thể tương tác với máy tính của họ trong văn phòng khi

cần thiết. Ngoài ra, đối với các dữ liệu mật, nhạy cảm như báo cáo doanh số,

trong quá trình truyền có thể áp dụng các cơ chế mã hóa chặt chẽ để nâng cao

độ an toàn của dữ liệu.

5. TUNNELING

Tunneling là kỹ thuật sử dụng một hệ thống mạng trung gian (thường là

mạng Internet) để truyền dữ liệu từ mạng máy tính này đến một mạng máy tính

khác nhưng vẫn duy trì được tính riêng tư và toàn vẹn dữ liệu. Dữ liệu truyền

sau khi được chia nhỏ thành những frame hay packet (gói tin) theo các giao thức


truyền thông sẽ được bọc thêm 1 lớp header chứa những thông tin định tuyến

giúp các packet có thể truyền qua các hệ thống

mạng trung gian theo những đường riêng (tunnel). Khi packet được

truyền đến đích, chúng được tách lớp header và chuyển đến các máy trạm cuối

cùng cần nhận dữ liệu. Để thiết lập kết nối tunnel, máy client và server phải sử

dụng chung một giao thức (tunnel protocol).

- PPTP (Point-to-Point Tunneling Protocol): PPTP có thể sử dụng cho

Remote Access hay Site-to-Site VPN. Những thuận lợi khi áp dụng PPTP cho

VPN là không yêu cầu certificate cho quá trình chứng thực và client có thể đặt

phía sau NAT Router.

- L2TP ( Layer 2 Tunneling Protocol): L2TP là sự kết hợp của PPTP và Layer 2

Forwading (L2F, giao thức được phát triển bởi Cisco System). So với PPTP thì

L2TP có nhiều đặc tính mạnh và an toàn hơn. Trên hệ thống Microsoft, L2TP

được kết hợp với IPSec Encapsulating Security

Payload (ESP) cho quá trình mã hóa dữ liệu, gọi là L2TP/IPSec. Sự kết hợp này

không chỉ cho phép chứng thực đối với người dùng PPTP mà còn cho phép

chứng thực đối với các máy tính thông qua các chứng chỉ, nâng cao hơn độ an

toàn của dữ liệu khi truyền, và quá trình tunnel có thể diễn ra trên nhiều hệ

thống mạng khác nhau. Tuy nhiên trong môi trường L2TP/IPSec các VPN

Client không thể đặt phía sau NAT Router. Trong trường hợp này chúng ta cần

phải có VPN Server và VPN Client hỗ trợ IPSec NAT-T.

6. Demo VPN Site-to-Site

Topology


CHƯƠNG V. SỬ DỤNG VPCS ĐỂ MÔ PHỎNG PC ĐƠN GIẢN

Ta cấu hình VPN Site to site cho PC XP kết nối với PC 2k3, Sau đó xin

certificate từ Server 2003:

Cấu hình VPN Site-to-site

R1


R2


Kết quả:

Cấu hình R2 để xin Certificate:



R1 xin certificate qua R2 với dịch vụ VPN:



Tài liệu tham khảo

Các trang web, diễn đàn:

1. http://vnpro.org/forum/

2.http://www.nhatnghe.com/forum/

3.http://forum.athena.edu.vn/forum.php

4.http://ciscodocuments.blogspot.com

5.http://www.ciscopress.com/


Documents

Báo cáo cuối kì (nguyễn phượng nhung)