ĐỊNH TUYẾN ĐỘNG
Giao thức định tuyến động giúp đơn giản hóa công việc của người quản trị mạng bằng cách tự động cập nhật và điều chỉnh đường dẫn định tuyến khi có sự thay đổi trong hệ thống mạng Điều này giảm thiểu thời gian cấu hình và sửa chữa đường cố định Tuy nhiên, định tuyến động cũng gặp phải một số vấn đề, đặc biệt là với giao thức định tuyến distance vector Chương này sẽ thảo luận về những vấn đề này và các giải pháp mà các nhà thiết kế đã áp dụng để khắc phục chúng.
Sau khi học xong chương này, sinh viên có khả năng:
Phân biệt giao thức định tuyến Distance Vector và giao thức định tuyến Link State
Giải thích hoạt động của giao thức định tuyến RIP
Cấu hình và xử lý sự cố giao thức định tuyến RIP trên IPv4 và IPv6
1.1 | TỔNG QUÁT VỀ ĐỊNH TUYẾN ĐỘNG
1.1.1 | GIỚI THIỆU VỀ GIAO THỨC ĐỊNH TUYẾN
Giao thức định tuyến là phương thức giao tiếp giữa các router, cho phép chúng chia sẻ thông tin định tuyến với nhau Nhờ đó, các router có thể xây dựng và duy trì bảng định tuyến của mình Dưới đây là một số giao thức định tuyến phổ biến.
Enhanced Interior Gateway Routing Protocol (EIGRP)
Open Shortest Path First (OSPF)
Giao thức định tuyến là công cụ quan trọng giúp hướng dẫn dữ liệu của người dùng Nó cung cấp thông tin chi tiết về địa chỉ lớp mạng, cho phép gói dữ liệu di chuyển từ máy chủ này sang máy chủ khác dựa trên cấu trúc địa chỉ Các giao thức định tuyến đóng vai trò thiết yếu trong việc đảm bảo sự kết nối và truyền tải dữ liệu hiệu quả.
1.1.2 | MỤC ĐÍCH CỦA GIAO THỨC ĐỊNH TUYẾN
Giao thức định tuyến có vai trò quan trọng trong việc xây dựng và duy trì bảng định tuyến, chứa thông tin về các mạng khác và cổng giao tiếp trên router Router sử dụng giao thức này để quản lý thông tin từ các router khác, cấu hình cổng giao tiếp và các đường cố định, đảm bảo quá trình truyền tải dữ liệu hiệu quả.
Giao thức định tuyến động cập nhật thông tin về tất cả các đường đi, chọn ra đường tốt nhất để đưa vào bảng định tuyến và xóa bỏ khi không còn sử dụng Router dựa vào bảng định tuyến để chuyển tiếp gói dữ liệu của các giao thức Định tuyến động hoạt động thông qua các thuật toán định tuyến, và khi có bất kỳ thay đổi nào trong cấu trúc mạng như mở rộng, cấu hình lại hoặc gặp sự cố, các router cần cập nhật kiến thức về mạng để đảm bảo hoạt động hiệu quả Do đó, router phải nắm vững cấu trúc hệ thống mạng để thực hiện nhiệm vụ định tuyến chính xác.
Khi tất cả các router trong hệ thống có thông tin đồng nhất về mạng, hệ thống mạng được coi là đã hội tụ Thời gian đồng bộ giữa các router càng ngắn càng tốt, vì nếu chưa đồng bộ, chúng sẽ có khả năng định tuyến sai thông tin mạng.
Hệ thống tự quản (AS) chia mạng toàn cầu thành các mạng nhỏ, giúp quản lý dễ dàng hơn Mỗi AS sở hữu một số AS riêng biệt, không trùng lặp với bất kỳ AS nào khác, và có cơ chế quản trị độc lập.
1.1.3 | PHÂN LOẠI CÁC GIAO THỨC ĐỊNH TUYẾN Đa số các thuật toán định tuyến được xếp vào 2 loại sau:
1.1.4 | ĐĂC ĐIỂM CỦA GIAO THỨC ĐỊNH TUYẾN DISTANCE
Định tuyến distance vector là phương pháp truyền bản sao bảng định tuyến giữa các router theo định kỳ, giúp cập nhật thông tin khi cấu trúc mạng thay đổi Thuật toán này, còn được biết đến với tên gọi thuật toán Bellman-Ford, đảm bảo sự giao tiếp hiệu quả giữa các router trong mạng.
Mỗi router nhận bảng định tuyến từ các router láng giềng trực tiếp kết nối với nó Chẳng hạn, router B nhận thông tin từ router A và cộng thêm khoảng cách từ B đến A, như tăng số hop Sau đó, router B tạo bảng định tuyến mới và truyền nó cho router láng giềng khác, router C Quá trình này diễn ra tương tự cho tất cả các router láng giềng khác.
Hình 2: Trao đổi thông tin
Router thu thập thông tin về khoảng cách đến các mạng khác để xây dựng và duy trì cơ sở dữ liệu định tuyến Tuy nhiên, với thuật toán distance vector, router chỉ biết về các router láng giềng kết nối trực tiếp mà không nắm rõ cấu trúc toàn bộ hệ thống mạng.
Giao thức định tuyến thuộc loại này: RIP, EIGRP
1.1.5 | ĐẶC ĐIỂM CỦA GIAO THỨC ĐỊNH TUYẾN LINK-STATE
Thuật toán định tuyến Link-State, còn được biết đến là thuật toán Dijkstra hay thuật toán SPF (Shortest Path First), thực hiện xây dựng và duy trì cơ sở dữ liệu toàn diện về cấu trúc mạng Định tuyến Link-State sử dụng các công cụ hiệu quả để đảm bảo quá trình này.
LSA (Link-State Advertisement): là một gói dữ liệu nhỏ mang thông tin định tuyến được truyền đi giữa các router
Cơ sở dữ liệu về cấu trúc mạng (Link-State database): được xây dựng từ thông tin thu thập được từ các LSA
Thuật toán SPF: dựa trên cơ sở dữ liệu về cấu trúc mạng, thuật toán SPF sẽ tính toán để tìm đường ngắn nhất
Bảng định tuyến: chứa danh sách các đường đi đã được chọn lựa
Hình 3: Xây dựng bảng định tuyến
Quá trình thu thập thông tin mạng để thực hiện định tuyến Link-State:
Mỗi router bắt đầu quá trình trao đổi LSA với tất cả các router khác, trong đó LSA chứa thông tin về các mạng kết nối trực tiếp của từng router Dựa trên thông tin từ các LSA, các router sẽ xây dựng cơ sở dữ liệu mạng của mình.
Mỗi router xây dựng cấu trúc mạng theo hình cây, với chính nó là gốc, từ đó xác định tất cả các đường đi tới các mạng trong hệ thống Thuật toán SPF được sử dụng để chọn đường đi ngắn nhất, và thông tin này được lưu trữ trong bảng định tuyến cùng với cổng ra tương ứng Ngoài ra, router cũng duy trì cơ sở dữ liệu về cấu trúc mạng và trạng thái của các đường liên kết.
Router đầu tiên phát hiện sự thay đổi trong cấu trúc mạng sẽ gửi thông tin cập nhật đến tất cả các router khác Nó phát gói LSA chứa thông tin về router mới và các thay đổi trạng thái đường liên kết Gói LSA này được phát đi cho toàn bộ các router trong mạng.
Khi router nhận gói LSA, nó sẽ cập nhật cơ sở dữ liệu với thông tin mới Sau đó, thuật toán SPF sẽ tính toán lại để xác định đường đi tối ưu và cập nhật bảng định tuyến.
Một số nhược điểm của định tuyến Link-State:
Bộ xử lý trung tâm của router phải tính toán nhiều
Đòi hỏi dung lượng bộ nhớ lớn
Chiếm dụng băng thông đường truyền
Một số giao thức định tuyến thuộc loại này: OSPF, IS-IS
Ngoài cách phân loại như trên, người ta còn chia giao thức định tuyến động theo 2 dạng: “classful routing protocol” và “classless routing protocol”
Giao thức định tuyến dạng classful
GIAO THỨC ĐỊNH TUYẾN OSPF ĐƠN VÙNG
OSPF là một giao thức định tuyến Link-State quan trọng, dựa trên tiêu chuẩn mở, cho phép các nhà sản xuất khác sử dụng và phát triển Giao thức này phức tạp và thường được triển khai trong các mạng lớn Chương này sẽ thảo luận về các vấn đề liên quan đến OSPF.
Sau khi học xong chương này, sinh viên có khả năng:
Giải thích hoạt động của các giao thức định tuyến OSPF
Cấu hình và xử lý sự cố giao thức định tuyến OSPF đơn vùng trên IPv4 và IPv6
OSPF (Open Shortest Path First) là một giao thức định tuyến link-state được phát triển dựa trên các tiêu chuẩn mở của IETF (Internet Engineering Task Force), cho phép OSPF hoạt động mà không bị ràng buộc bởi tính độc quyền.
So với RIP, OSPF là giao thức định tuyến nội vi IGP vượt trội hơn nhờ khả năng mở rộng tốt hơn Trong khi RIP chỉ cho phép tối đa 15 hop, hội tụ chậm và thường chọn đường kém hiệu quả do không xem xét các yếu tố quan trọng như băng thông, OSPF khắc phục những nhược điểm này OSPF là một giao thức mạnh mẽ, có khả năng mở rộng, rất phù hợp cho các hệ thống mạng hiện đại và có thể được cấu hình đơn vùng cho các mạng nhỏ.
2.2 | ĐẶC ĐIỂM CỦA GIAO THỨC OSPF
2.2.1 | CÁC TÍNH NĂNG CỦA OSPF
OSPF là một giao thức định tuyến link-state nổi bật với khả năng hội tụ nhanh, hỗ trợ mạng lớn và ngăn chặn hiện tượng "routing loop" Là giao thức classless, OSPF cho phép sử dụng VLSM và quản lý các mạng không liên tục Trong quá trình cập nhật định tuyến, OSPF sử dụng địa chỉ multicast 224.0.0.5 và 224.0.0.6 để gửi thông điệp hello và update đến các router DR và BDR.
Hình 11: Tính năng của OSPF
OSPF được thiết kế theo dạng phân cấp với việc sử dụng các area nhằm giảm tải yêu cầu về CPU và bộ nhớ cho router Hệ thống này cũng hỗ trợ các phương thức chứng thực bao gồm Plain-text và MD5.
2.2.2 | CÁC THÀNH PHẦN CỦA OSPF
Ba thành phần chính của giao thức định tuyến OSPF bao gồm:
OSPF tạo và duy trì ba cơ sở dữ liệu:
Adjacency database - Tạo bảng láng giềng (neighbor table)
Link-state database (LSDB) - Tạo bảng Topology
Forwarding database – Tạo bảng định tuyến
Các bảng này chứa một danh sách các router láng giềng để trao đổi thông tin định tuyến và được lưu trữ trong bộ nhớ RAM
2 Thông điệp của giao thức định tuyến (Routing Protocol Messages)
Router chạy OSPF sử dụng 5 loại packet:
Các packet này giúp phát hiện router láng giềng, đồng thời trao đổi thông tin định tuyến và duy trì dữ liệu chính xác về mạng.
Thuật toán SPF xây dựng một cây SPF bằng cách xác định mỗi router làm gốc và tính toán đường đi ngắn nhất tới từng node Cây SPF này sau đó được sử dụng để xác định đường đi tối ưu cho bảng định tuyến.
2.3 | THÔNG ĐIỆP OSPF (OSPF Message)
2.3.1 | ĐÓNG GÓI THÔNG ĐIỆP OSPF
Thông điệp OSPF truyền qua liên kết Ethernet chứa các thông tin sau:
OSPF Packet Type- Specific Database
Data Link Frame (Ethernet Field shown here)
MAC Destanation Address = Multicast: 01-00-5E-00-00-05 or 01-00-5E-00-00-06 MAC Source Address = Address of sending interface
IP Source Address dress of sending interface
IP Destination Address = Multicast: 224.0.0.5 or 224.0.0.6
Type code for OSPF Packet type Router ID and Area Id
0x01 Hello 0x02 Database Description (DD) 0x03 Link State Request
0x04 Link State Update 0x05 Link State Acknowledgment
Data Link Ethernet Frame Header - Xác định địa chỉ MAC multicast đích đến 01-00-5E-00-00-05 hoặc 01-00-5E-00-00-06 khi đóng gói thông điệp OSPFv2
IPv4 Packet Header - Xác định địa chỉ IP nguồn và địa chỉ IP đích Địa chỉ IP đích là một trong hai địa chỉ multicast 224.0.0.5 hoặc 224.0.0.6
OSPF Packet Header - Xác định kiểu gói OSPF, ID router và area ID
OSPF Packet Type Specific Data - Chứa thông tin loại gói OSPF Nội dung khác nhau tùy thuộc vào loại gói tin
OSPF sử dụng các gói tin link-state (LSP) để thiết lập và duy trì các mối quan hệ láng giềng, cũng như để trao đổi cập nhật định tuyến Có năm loại LSP trong OSPFv2, trong khi OSPFv3 sử dụng các loại gói tương tự Mỗi loại gói này đều phục vụ một mục đích cụ thể trong quá trình định tuyến.
Type 1: Hello packet – Dùng để thiết lập và duy trì router láng giềng
Gói mô tả cơ sở dữ liệu (DBD) loại 2 được sử dụng khi các nút đã thiết lập quan hệ láng giềng thân mật Trong quá trình này, các nút sẽ gửi cho nhau các gói DBD để tóm tắt thông tin trong cơ sở dữ liệu liên kết (LSDB) nhằm so sánh và đồng bộ hóa dữ liệu.
A Link-State Request (LSR) packet is sent by a router when it loses a route to a network In the absence of a feasible successor, the router issues query packets to inquire about alternative routes, transitioning into an active state EIGRP's query packets are transmitted in a reliable manner.
Gói tin cập nhật trạng thái liên kết (Link-State Update - LSU) là loại gói tin thứ 4, được sử dụng để phản hồi lại gói tin truy vấn Nếu router không có thông tin trong gói trả lời, nó sẽ gửi gói truy vấn đến tất cả các router láng giềng và nhận lại một gói tin unicast.
Type 5: Link-State Acknowledgment (LSAck) packet - Khi một LSU được nhận, router sẽ gửi một LSAck để xác nhận nhận được LSU Trường dữ liệu LSAck là rỗng
Hình 13 hiển thị các trường có trong gói Hello OSPFv2 Type 1 Các trường quan trọng thể hiện trong hình bao gồm:
Để xác định loại gói, bạn cần chú ý đến các giá trị tương ứng: giá trị 1 đại diện cho gói Hello, giá trị 2 cho gói tin DBD, giá trị 3 là gói LSR, giá trị 4 là gói LSU và giá trị 5 là gói LSAck.
Router ID – Giá trị 32 bit được biểu thị bằng ký hiệu chấm thập phân (như địa chỉ IPv4) được sử dụng để nhận dạng duy nhất router
Network Mask – Mặc nạ mạng
Hello Interval – Chỉ định tần số, tính bằng giây, tại đó một router gửi các gói
Hello Mặc định Hello Interval trên các mạng đa truy cập (multiaccess) là 10 giây Giá trị này phải giống nhau trên các router láng giềng
Router Priority – Được sử dụng trong bầu chọn DR/BDR Mặc định priority cho tất cả router OSPF là 1, nhưng có thể được thay đổi bằng tay từ
0 đến 255 Giá trị càng cao, càng có nhiều khả năng router trở thành DR trên liên kết
Dead Interval là khoảng thời gian mà router chờ đợi tín hiệu từ router láng giềng trước khi xác định rằng router đó không còn hoạt động và xóa mọi thông tin liên quan Theo mặc định, Dead Interval được thiết lập bằng bốn lần Hello Interval Để đảm bảo tính đồng nhất, bộ hẹn giờ này cần phải giống nhau trên các router láng giềng.
Designated Router (DR) – Router ID của DR
Backup Designated Router (BDR) – Router ID của BDR
List of Neighbors - Danh sách xác định router ID của tất cả các router láng giềng
Hoạt động của OSPF có thể mô tả thông qua các bước sau:
2 Thiết lập quan hệ láng giềng
3 Trao đổi thông tin trạng thái đường link
4 Tính toán xây dựng bảng định tuyến
Khi một router hoạt động với OSPF, nó cần tạo ra một giá trị duy nhất để xác định danh tính của nó trong mạng OSPF, giá trị này được gọi là router-id.
Hình 14: Bầu chọn router-id
Router-id trong OSPF có định dạng giống như địa chỉ IP Mặc định, mỗi router sẽ tự động chọn router-id là địa chỉ IP cao nhất từ các interface đang hoạt động (up/up), với ưu tiên cho cổng loopback.
Bên cạnh việc để router bầu chọn tự động, giá trị router-id cũng có thể được thiết lập tĩnh cho router bằng câu lệnh:
Router(config)#router ospf process-id
Router(config-router)#router-id A.B.C.D
GIAO THỨC ĐỊNH TUYẾN EIGRP
EIGRP là giao thức định tuyến nâng cao dựa trên đặc điểm của giao thức định tuyến
Link-State EIGRP là một lựa chọn lý tưởng cho các mạng lớn, đa giao thức được xây dựng dựa trên các Cisco router
Chương này sẽ tập trung vào các nhiệm vụ cấu hình EIGRP, nhấn mạnh cách EIGRP thiết lập mối quan hệ với các router láng giềng, cũng như quy trình tính toán đường đi chính và đường đi dự phòng khi cần thiết.
Sau khi học xong chương này, sinh viên có khả năng:
Giải thích hoạt động của các giao thức định tuyến EIGRP
Cấu hình và xử lý sự cố giao thức định tuyến EIGRP trên IPv4 và IPv6
Enhanced Interior Gateway Routing Protocol (EIGRP) là một giao thức định tuyến độc quyền của Cisco được phát triển từ Interior Gateway Routing Protocol (IGRP)
Giao thức định tuyến EIGRP hỗ trợ định tuyến liên miền không theo lớp địa chỉ
(CIDR-Classless Interdomain Routing) và cho phép người thiết kế mạng tối ưu không gian địa chỉ bằng VLSM
EIGRP được coi là giao thức lai, kết hợp ưu điểm của cả giao thức định tuyến distance vector và link state Nó tích hợp những tính năng nổi bật của OSPF như cập nhật thông tin một phần và phát hiện router láng giềng Đặc biệt, việc cấu hình EIGRP dễ dàng hơn so với OSPF.
EIGRP là một lựa chọn lý tưởng cho các mạng lớn, đa giao thức xây dựng dựa trên các
3.2 | ĐẶC ĐIỂM CỦA GIAO THỨC ĐỊNH TUYẾN EIGRP
EIGRP, hay Enhanced Interior Gateway Routing Protocol, là một giao thức định tuyến distance vector nâng cao, nhưng trong việc cập nhật và bảo trì thông tin láng giềng cũng như thông tin định tuyến, nó hoạt động tương tự như giao thức định tuyến link state So với các giao thức định tuyến distance vector truyền thống, EIGRP mang lại nhiều ưu điểm vượt trội.
Sử dụng băng thông hiệu quả
Có hỗ trợ VLSM (Variable Length Subnet mask) và CIDR
Hỗ trợ cho nhiều giao thức mạng khác nhau
Không phụ thuộc vào giao thức được định tuyến
Chỉ số AD của EIGRP là 90 cho các route internal và 170 cho các route external
EIGRP là một giao thức định tuyến nhanh chóng nhờ vào thuật toán DUAL, giúp ngăn chặn tình trạng lặp vòng trong quá trình tính toán đường đi Thuật toán này cho phép tất cả các router trong mạng đồng bộ hóa ngay lập tức khi có sự thay đổi, đảm bảo hiệu suất và độ tin cậy cao cho hệ thống mạng.
EIGRP sử dụng băng thông hiệu quả bằng cách gửi thông tin cập nhật một phần và giới hạn, thay vì gửi toàn bộ bảng định tuyến Điều này giúp giảm thiểu băng thông tiêu thụ khi mạng đã ổn định Khác với OSPF, router EIGRP chỉ gửi thông tin cần thiết đến các router yêu cầu, không gửi cho tất cả router trong vùng Do đó, cập nhật của EIGRP được gọi là cập nhật giới hạn Các router EIGRP duy trì liên lạc qua các gói hello nhỏ, giúp tiết kiệm băng thông trong quá trình trao đổi thông tin.
EIGRP có thể hỗ trợ cho IP, IPX và Apple Talk nhờ có cấu trúc từng phần theo giao thức (PDMs – Protocol dependent modules)
EIGRP sử dụng năm loại gói khác nhau để truyền tải thông tin Các gói này có thể được gửi qua giao thức tin cậy (RTP) hoặc không tin cậy, và chúng có thể được phát dưới dạng unicast, multicast hoặc thậm chí cả hai.
Năm loại gói EIGRP bao gồm:
Hello packets: Gói tin Hello được dùng để thiết lập quan hệ láng giềng trên đường truyền
Update packets: Gói tin Update chứa các cập nhật định tuyến gửi đến router láng giềng
Gửi dạng unicast hoặc multicast
The Acknowledgment packet is used to signal the reliable delivery of EIGRP packets All EIGRP packets are sent to the multicast address 224.0.0.10 Due to multiple devices receiving these packets, the Reliable Transport Protocol (RTP) is employed to ensure the reliable distribution of EIGRP packets.
Các gói tin Query được gửi đến router EIGRP láng giềng khi tuyến đường không khả dụng, nhằm cung cấp thông tin về trạng thái của tuyến đường để đảm bảo quá trình hội tụ diễn ra nhanh chóng.
Gửi dạng unicast hoặc multicast
Reply packets: Các gói tin Reply chứa trạng thái các route được gửi để đáp lại gói tin
Gửi dạng unicast hoặc multicast
3.4.1 | THIẾT LẬP QUAN HỆ LÁNG GIỀNG
Khi kích hoạt EIGRP trên một cổng, router sẽ phát các gói tin hello để thiết lập mối quan hệ láng giềng với router trực tiếp kết nối Các gói tin hello được gửi đến địa chỉ multicast 224.0.0.10, với giá trị hello-timer là 5 giây, cho phép định kỳ gửi gói hello.
Phân tích các tham số này:
Giá trị AS – Autonomous System
Khi cấu hình EIGRP trên router, cần khai báo giá trị AS để xác định routing domain mà router thuộc về Giá trị AS này phải khớp nhau giữa các router kết nối trực tiếp để thiết lập quan hệ láng giềng Trong cấu hình, giá trị AS tương tự như process-id trong OSPF, nhưng khác ở chỗ process-id chỉ có ý nghĩa local và có thể khác nhau giữa các router, trong khi giá trị AS phải giống nhau giữa các router trong cùng một routing domain Để vào mode cấu hình EIGRP, sử dụng câu lệnh tương ứng.
Router(config)#router eigrp
Hình 24: Các router gửi gói tin hello
Các địa chỉ đấu nối Để hai router thiết lập được quan hệ láng giềng với nhau, hai địa chỉ đấu nối giữa hai router phải cùng subnet
Thỏa mãn các điều kiện xác thực
Để nâng cao tính an ninh trong việc trao đổi thông tin định tuyến, các router cần được cấu hình với password chung Chỉ khi hai router có cùng password thì mới có thể thiết lập quan hệ láng giềng và trao đổi thông tin định tuyến Việc thống nhất về password giữa các router là điều kiện cần thiết để đảm bảo sự an toàn trong quá trình giao tiếp.
EIGRP sử dụng một công thức tính metric rất phức tạp, là một hàm của 4 biến số:
Metric = f (bandwidth, delay, load, reliability)
Các biến số có thể được gắn với trọng số để điều chỉnh ảnh hưởng của chúng, gọi là các tham số K với 5 giá trị K1, K2, K3, K4 và K5 Để thiết lập quan hệ láng giềng, các router chạy EIGRP cần thống nhất về bộ tham số K được sử dụng.
EIGRP khác với OSPF ở chỗ không yêu cầu các router phải thống nhất về giá trị Hello và Hold timer giữa các neighbor Giá trị mặc định cho Hello và Hold timer của EIGRP lần lượt là 5 giây và 15 giây.
Mỗi router lưu trữ một bảng neighbor, trong đó chứa danh sách các router thân mật (neighbor adjacency ),
Hình 25: Xây dựng bảng Topology
Sau khi thiết lập quan hệ láng giềng, router tạo ra cơ sở dữ liệu chứa tất cả các đường đi từ router láng giềng, bao gồm danh sách các route dự phòng, route tốt nhất, giá trị AD và các interface Giải thuật DUAL sẽ thực hiện tính toán trên bảng topology này nhằm xác định successor và feasible successor, từ đó xây dựng bảng định tuyến hiệu quả.
3.4.3 | XÂY DỰNG BẢNG ĐỊNH TUYẾN
Bảng định tuyến EIGRP chứa danh sách các đường tốt nhất tới các mạng đích, với thông tin được lấy từ bảng topology Mỗi router EIGRP có bảng định tuyến riêng biệt cho từng giao thức mạng khác nhau.
Hình 26: Xây dựng bảng Routing
ACCESS CONTROL LISTS
Người quản trị mạng cần biết cách ngăn chặn truy cập không mong muốn vào hệ thống trong khi vẫn đảm bảo người dùng hợp lệ có thể truy cập các dịch vụ cần thiết Mặc dù các công cụ bảo vệ như mã hóa và thiết bị bảo vệ vật lý rất hiệu quả, nhưng chúng không cung cấp khả năng lọc tải linh hoạt và các điều khiển đặc biệt mà người quản trị mong muốn.
Access Control List (ACL) là một danh sách chứa các quy tắc cho phép hoặc từ chối quyền truy cập dựa trên địa chỉ hoặc giao thức Chương này sẽ cung cấp cái nhìn tổng quan về các khái niệm cơ bản liên quan đến ACL.
ACL mở rộng để điều khiển lưu lượng mạng và sử dụng ACL như thế nào để góp phần bảo vệ hệ thống
Sau khi học xong chương này, sinh viên có khả năng:
Giải thích hoạt động của dịch vụ ALCs
Cấu hình và xử lý sự cố ACLs
Access Control List (ACL) là danh sách các điều kiện áp dụng cho cổng của router nhằm lọc gói dữ liệu Nó hướng dẫn router về loại dữ liệu được phép và loại dữ liệu bị từ chối, dựa trên địa chỉ nguồn, địa chỉ đích, giao thức hoặc chỉ số cổng.
Sử dụng ACL (Access Control List) để quản lý lưu lượng mạng không chỉ giúp kiểm soát truy cập mà còn cung cấp mức độ bảo mật cơ bản Tính năng lọc gói tin qua router cho phép người quản trị mạng ngăn chặn các truy cập không mong muốn, đảm bảo an toàn cho hệ thống mạng.
4.2 | HOẠT ĐỘNG CỦA ACCESS LIST
ACL kiểm tra các điều kiện theo thứ tự trong danh sách cấu hình Khi một điều kiện khớp, hành động tương ứng sẽ được thực hiện và các điều kiện còn lại sẽ không được kiểm tra Nếu không có điều kiện nào khớp, lệnh mặc định "deny any" sẽ được áp dụng, tức là tất cả sẽ bị cấm Do đó, trong cấu hình ACL, ít nhất một lệnh "permit" là cần thiết.
Khi gói tin đến một cổng, router sẽ kiểm tra các ACL (Danh sách kiểm soát truy cập) để xác định điều kiện cho phép gói tin Nếu gói tin được ACL cho phép, nó sẽ tiếp tục được xử lý trong bảng định tuyến để xác định cổng ra phù hợp nhằm hướng đến đích.
Router sẽ kiểm tra xem có ACL (Danh sách kiểm soát truy cập) được áp dụng trên cổng dữ liệu chuyển ra hay không Nếu không có ACL, gói tin sẽ được gửi tới mạng đích Ngược lại, nếu có ACL, router sẽ xác minh gói tin dựa trên các điều kiện trong danh sách ACL đó.
ACL được chia thành 2 loại:
Có hai phương pháp cấu hình ACL:
Dựa vào số (Numbered ACL)
Dựa vào tên (Named ACL)
Numbered ACL và Named ACL hoạt động theo cùng một nguyên tắc và cách sử dụng Tuy nhiên, điểm khác biệt chính giữa chúng là Named ACL cho phép người dùng chèn, sửa, và xóa từng dòng một cách linh hoạt, trong khi Numbered ACL yêu cầu phải viết lại toàn bộ ACL nếu có bất kỳ sai sót nào.
Với Numbered ACL, các standard ACL sẽ lấy số hiệu từ 1 đến 99 hoặc 1300 đến
1999, các extended ACL sẽ lấy số hiệu từ 100 đến 199 hoặc 2000 đến 2699
Các bước để cài đặt một ACL:
Xác định loại ACL dựa vào số hiệu ACL (numbered ACL) hoặc tên (named ACL)
Lựa chọn hành động cho từng điều kiện “permit” hay “deny” theo yêu cầu cụ thể
Bước 2: Gán ACL vào cổng của router
Các ACL được gán vào một hoặc nhiều cổng và có thể được lọc theo chiều các gói tin đi vào hay đi ra
Một router với ACL ở cổng dữ liệu vào phải kiểm tra từng gói tin để xác định xem nó có phù hợp với các điều kiện trong danh sách ACL hay không trước khi chuyển gói tin đó đến cổng ra.
Wildcard mask là một tham số 32 bit, chia thành 4 phần 8 bit, được sử dụng để xác định các bit nào sẽ bị bỏ qua hoặc cần phải so sánh trong quá trình kiểm tra điều kiện Trong wildcard mask, bit "1" biểu thị rằng vị trí bit đó sẽ được bỏ qua khi thực hiện so sánh.
“0” xác định vị trí bit đó phải giống nhau
Với Standard ACL, nếu không thêm wildcard mask trong câu lệnh tạo ACL thì mặc định wildcard mask sẽ là 0.0.0.0
Mặc dù wildcard mask và subnet mask đều có cấu trúc 32 bit, chúng hoạt động theo cách khác nhau Trong khi subnet mask sử dụng các bit 0 và 1 để xác định phần network và host của địa chỉ IP, wildcard mask sử dụng các bit này để quyết định bit nào sẽ được kiểm tra hoặc bỏ qua trong việc kiểm soát truy cập.
Wildcard mask dùng cho một thiết bị hay còn gọi là host có dạng 0.0.0.0 (kiểm tra tất cả các bit)
Ý nghĩa: khi kiểm tra ACL, nó sẽ kiểm tra tất cả các bit trong địa chỉ dùng để so khớp
Wildcard mask cho một thiết bị có thể được đại diện bằng từ khóa “host”
Router(config)#access-list 1 permit 172.16.1.1 0.0.0.0
Router(config)#access-list 1 permit host 172.16.1.1
Wildcard mask cho tất cả các thiết bị được gọi là “any” có dạng 255.255.255.255 (không kiểm tra tất cả các bit)
Ý nghĩa: chấp nhận tất cả các địa chỉ
Wildcard mask dùng cho tất cả các thiết bị có thể đại diện bằng từ khóa “any”
Router(config)#access-list 1 permit 0.0.0.0 255.255.255.255
Router(config)#access-list 1 permit any
Khi áp dụng ACL trên một cổng, cần xác định rõ ACL sẽ được sử dụng cho luồng dữ liệu vào (inbound) hay ra (outbound) Chiều luồng dữ liệu này được xác định trên cổng của router.
Hình 31: Hướng của luồng dữ liệu
Sử dụng ACL chuẩn (standard ACL) là giải pháp hiệu quả khi bạn muốn kiểm soát việc cho phép hoặc cấm tất cả các luồng dữ liệu từ một thiết bị hoặc mạng cụ thể trên toàn bộ giao thức.
ACL chuẩn kiểm tra các điều kiện dựa trên địa chỉ nguồn trong các gói tin, từ đó thực hiện hành động cho phép hoặc cấm tất cả lưu lượng từ một thiết bị hoặc mạng cụ thể.
Kiểm tra gói tin với Standard ACL:
Hình 32: Gói tin được kiểm tra bởi ACL
Bước 1: Tạo một điều kiện (ACL entry) trong một ACL access-list-number:
Route(config)#access-list {permit | deny} remark source [source-wildcard] [log]
Access-list-number: có giá trị từ 1 đến 99 hoặc 1300 đến 1999
Wildcast-mask: nếu không được cấu hình sẽ lấy giá trị mặc định là: 0.0.0.0
Remark: chú thích cho access-list
Log: phần mở rộng, cho phép router xuất ra file log khi một access-list nào đó thỏa mãn
Bước 2: Gán ACL vào một cổng và đặt chế độ kiểm tra cho luồng dữ liệu đi vào hay đi ra khỏi cổng của router
Router(config-if)#ip accesss-group { in | out}
Dùng lệnh no ip access-group để không hủy bỏ ACL áp đặt vào cổng
R1(config)#access-list 1 remark Do not allow Guest workstation through
R1(config)#access-list 1 deny host 192.168.10.10
R1(config)#access-list 1 remark Allow access from all other networks
R1(config)#access-list 1 permit any
R1(config-if)#ip access-group 1 in
Ví dụ 2: Tạo ACL như sau:
Dùng Standard ACL để điều khiển telnet
Trên router, các cổng "virtual terminal port" được sử dụng để cấu hình và cho phép kết nối telnet vào router Để tăng cường bảo mật, chúng ta có thể sử dụng Standard ACL để lọc các địa chỉ truy cập vào các cổng này.
Router(config)#line vty {vty-number | vty-range}
Router(config-line)#access-class {in | out}
Vty-number: có giá trị 0 đến 4 (mặc định trên router), có giá trị 0 đến 15 (mặc định trên switch)
Vty-range: là một dãy liên tiếp các port vty được sử dụng, trong cấu hình ta sẽ cấu hình như sau: line vty start-number end-number
Access-list-number: ACL gán vào các cổng vty để điều khiển truy cập
Ví dụ: Chỉ cho phép các thiết bị thuộc mạng 192.168.1.0/24 có thể kết nối vào router thông qua telnet access-list 10 permit 192.168.1.0 0.0.0.255
(implicit deny all) line vty 0 4 access-class 10 in
DHCP
Trong mạng, các thiết bị quan trọng như router và server thường cần được cấu hình với địa chỉ IP cố định, trong khi máy tính client không yêu cầu địa chỉ cố định mà chỉ cần một dãy địa chỉ trong một subnet IP Bất kỳ máy tính nào trong subnet đó có thể nhận được địa chỉ IP từ dãy địa chỉ đã được xác định.
Giao thức DHCP (Dynamic Host Configuration Protocol) tự động phân phối địa chỉ IP và cung cấp thông tin cấu hình mạng quan trọng cho máy tính Với số lượng máy client chiếm ưu thế trong hệ thống mạng, DHCP đóng vai trò thiết yếu trong việc quản lý địa chỉ IP và tối ưu hóa hiệu suất mạng.
DHCP thực sự là một công cụ tiết kiệm thời gian cho người quản trị mạng
Khi học xong chương này, sinh viên có khả năng:
Giải thích hoạt động của dịch vụ DHCP
Cấu hình và xử lý sự cố dịch vụ DHCP trên IPv4 và IPv6
DHCPv4 là giao thức tự động cấp phát cấu hình IP cho các thiết bị trong mạng Ethernet LAN, hoạt động theo mô hình client-server Trong mô hình này, các host yêu cầu địa chỉ IP là DHCP client, trong khi thiết bị cung cấp địa chỉ IP là DHCP server DHCP server có thể là máy chủ chuyên dụng chạy trên hệ điều hành Linux hoặc Windows, hoặc có thể là các thiết bị mạng như router, switch, hay firewall.
5.1.2 | NHỮNG ĐIỂM CHÍNH CỦA DHCP
Có 3 cơ chế dùng để cấp phát một địa chỉ IP cho client:
DHCP tự động cấp phát địa chỉ IP cho các client bằng cách chọn một địa chỉ trong dãy địa chỉ đã được cấu hình, đảm bảo rằng địa chỉ IP này là cố định và không thay đổi.
Cấp phát cố định – Địa chỉ IP của một client do người quản trị mạng quyết định DHCP chỉ truyền địa chỉ này cho client đó
Cấp phát động – DHCP cấp và thu hồi lại một địa chỉ IP của client theo một khoảng thời gian giới hạn
Trong phần này chỉ tập trung vào cơ chế cấp phát động
Xem xét hoạt động cơ bản của DHCP theo sơ đồ trên hình 34
Client gửi yêu cầu cấu hình IP đến server, có thể kèm theo địa chỉ IP mong muốn khi hết thời gian sử dụng Để xác định DHCP server, client phát đi gói quảng bá DHCPDISCOVER.
Khi DHCP Server nhận gói quảng bá từ client, nó sẽ kiểm tra cơ sở dữ liệu để xác định khả năng đáp ứng yêu cầu Nếu không thể trả lời, server sẽ chuyển gói yêu cầu tới DHCP server khác Ngược lại, nếu server có khả năng đáp ứng, nó sẽ gửi gói DHCPOFFER trực tiếp cho client, mời client sử dụng cấu hình được cung cấp.
Trong gói DHCPOFFER, server cung cấp cho client thông tin quan trọng như địa chỉ IP, địa chỉ DNS server và thời gian sử dụng của địa chỉ IP.
Nếu client thấy lời mời từ server phù hợp, nó sẽ gửi một DHCPREQUEST để yêu cầu thông tin cụ thể về cấu hình.
IP Tại sao lúc này client gửi quảng bá mà không gửi trực tiếp cho server?
Thông điệp đầu tiên DHCPDISCOVER được gửi đi để quảng bá, cho phép nó đến nhiều server DHCP khác nhau Điều này dẫn đến khả năng có nhiều server cùng gửi lời mời cho client sử dụng cấu hình IP của mình Để thông báo cho các server khác về lời mời đã được chấp nhận, client sẽ gửi gói DHCPREQUEST Thông thường, lời mời mà client nhận được đầu tiên sẽ được chấp nhận.
Khi server nhận được DHCPREQUEST từ client, xác nhận rằng client đã chấp nhận cấu hình IP, server sẽ gửi lại gói DHCPACK cho client Tại thời điểm này, client chính thức sở hữu cấu hình IP và có thể sử dụng địa chỉ IP để trao đổi dữ liệu Tuy nhiên, mỗi cấu hình IP chỉ có hiệu lực trong một khoảng thời gian nhất định; sau thời gian này, client cần yêu cầu server gia hạn cấu hình IP Trong những lần yêu cầu sau, các thông điệp DHCP sẽ được gửi unicast thay vì broadcast như lần cấp phát đầu tiên.
Các bước cấu hình như sau:
Bước đầu tiên trong cấu hình router là sử dụng lệnh "ip dhcp excluded-address" để loại trừ một số địa chỉ hoặc một dãy địa chỉ khỏi việc phân phối cho các client Những địa chỉ này thường được gán cố định cho các thiết bị quan trọng và các cổng của router.
Bước 2: Sử dụng lệnh "ip dhcp pool" để tạo một dãy địa chỉ với tên cụ thể và đưa router vào chế độ cấu hình DHCP Trong chế độ này, lệnh "network" được sử dụng để xác định dãy địa chỉ sẽ được cấp phát.
Trong cấu hình DHCP, ngoài việc cung cấp địa chỉ IP, người dùng cần khai báo thêm thông tin quan trọng như cổng mặc định (gateway) bằng lệnh default-router và địa chỉ của máy chủ DNS thông qua lệnh dns-server.
Ví dụ:Cấu hình DHCP
Router(config)#ip dhcp excluded-address 192.168.10.1 192.168.10.9
Router(config)#ip dhcp excluded-address 192.168.10.254
Router(config)#ip dhcp pool LAN-POOL-1
Router(dhcp-config)#default-router 192.168.10.1
Router(dhcp-config)#dns-server 192.168.11.5
Router(dhcp-config)#domain-name example.com
Dịch vụ DHCP hoạt động mặc định trên các phiên bản Cisco IOS hỗ trợ Để tắt dịch vụ này, bạn sử dụng lệnh "no service dhcp", và để kích hoạt lại, hãy dùng lệnh "ip service dhcp".
5.1.5 | KIỂM TRA HOẠT ĐỘNG VÀ XỬ LÝ SỰ CỐ DHCP
Để kiểm tra hoạt động của dịch vụ DHCP, bạn có thể sử dụng lệnh "show ip dhcp binding" để xem danh sách các địa chỉ IP đã được cấp phát cho các host tương ứng Ngoài ra, lệnh "show ip dhcp server statistics" sẽ cung cấp thông tin về số lượng các thông điệp DHCP được xử lý.
DHCP mà router đã gửi và nhận vào
Xử lý sự cố DHCP, sử dụng lệnh:
NAT
Sự phát triển không ngừng của Internet đã làm cho những nhà nghiên cứu bất ngờ
Sự phát triển nhanh chóng của Internet chủ yếu nhờ vào tính linh hoạt của thiết kế ban đầu Tuy nhiên, nếu không có các biện pháp phân phối địa chỉ IP, Internet sẽ gặp phải tình trạng cạn kiệt nguồn địa chỉ IP Để khắc phục vấn đề này, nhiều giải pháp đã được áp dụng, trong đó chuyển đổi địa chỉ mạng (Network Address Translation - NAT) là một biện pháp phổ biến.
Translation – NAT) NAT được thiết kế để tiết kiệm địa chỉ IP và cho phép mạng nội bộ sử dụng địa chỉ IP riêng
Sau khi học xong chương này, sinh viên có khả năng:
Giải thích hoạt động của dịch vụ NAT
Cấu hình và xử lý sự cố NAT
NAT (Network Address Translation) là kỹ thuật chuyển đổi địa chỉ IP, thường được sử dụng trong mạng nội bộ để truy cập Internet NAT thường được thực hiện tại router biên, nơi kết nối giữa mạng nội bộ và mạng Internet Địa chỉ IP được phân loại thành địa chỉ private và public, với địa chỉ private được định nghĩa trong RFC 1981.
192.168.0.0 – 192.168.255.255 Địa chỉ public: các địa chỉ còn lại Các địa chỉ public là các địa chỉ được cung cấp bởi các tổ chức có thẩm quyền
Địa chỉ inside local là địa chỉ IP được gán cho thiết bị trong mạng nội bộ, không do NIC hay nhà cung cấp dịch vụ cấp Địa chỉ inside global là địa chỉ đã được đăng ký với NIC, dùng để thay thế một hoặc nhiều địa chỉ IP inside local Địa chỉ outside local là địa chỉ IP của thiết bị bên ngoài khi xuất hiện trong mạng nội bộ, không nhất thiết phải được đăng ký và lấy từ không gian địa chỉ bên trong Cuối cùng, địa chỉ outside global là địa chỉ IP gán cho thiết bị ở mạng bên ngoài, được lấy từ không gian địa chỉ có thể định tuyến toàn cầu.
Hình 39: Thuật ngữ NAT (tt)
Static NAT là phương pháp chuyển đổi địa chỉ IP cố định, thường từ địa chỉ cục bộ sang địa chỉ công cộng Quá trình này được thực hiện thủ công, với mỗi địa chỉ ánh xạ và địa chỉ được ánh xạ được chỉ định một cách rõ ràng và duy nhất.
Static NAT rất quan trọng cho các thiết bị cần địa chỉ IP cố định để truy cập từ Internet Các thiết bị này thường là các máy chủ như Web và Mail, giúp đảm bảo kết nối ổn định và dễ dàng nhận diện từ bên ngoài.
Inside Local Address Inside Global Address – Address reachable via R2
Các bước cấu hình Static-NAT
Bước 1: Thiết lập mối quan hệ chuyển đổi giữa địa chỉ nội bộ bên trong và địa chỉ địa diện bên ngoài
Router(config)#ip nat inside source static local-ip-global-ip
Bước 2: Xác định các cổng kết nối vào mạng bên trong
Router(config-if)#ip nat inside
Bước 3: Xác định các cổng kết nối vào mạng bên ngoài
Router(config-if)#ip nat outside
R2(config)#ip nat inside source static 192.168.10.254 209.165.201.5
R2(config-if)#ip nat inside
R2(config-if)#ip nat outside
Dynamic NAT tự động ánh xạ địa chỉ IP cục bộ sang địa chỉ IP công cộng đã đăng ký Mọi địa chỉ IP trong dãy công cộng đã được xác định có thể được gán cho thiết bị trong mạng nội bộ.
Inside Local Address Inside Glocal Address Pool – Addresses reachable via R2
Các bước cấu hình dynamic NAT
Bước 1: Xác định dãy địa chỉ đại diện bên ngoài (public): các địa chỉ NAT
Router(config)#ip nat pool name start-ip end-ip {netmask netmask |prefix- length prefix-length}
Bước 2: Thiết lập ACL cho phép những địa chỉ nội bộ bên trong nào được chuyển đổi: các địa chỉ được NAT
Router(config)#access-list access-list-number permit source [source-wildcard]
Bước 3: Thiết lập mối quan hệ giữa địa chỉ nguồn đã được xác định trong ACL với dãy địa chỉ đại diện bên ngoài
Router(config)#ip nat inside source list access-list-number pool name
Bước 4: Xác định các cổng kết nối vào mạng nội bộ
Router(config-if)#ip nat inside
Bước 5: Xác định các cổng kết nối ra bên ngoài
Router(config-if)#ip nat outside
Ví dụ: Cấu hình Dynamic NAT cho sơ đồ mạng ở hình 37
R2(config)#ip nat pool TDC 209.165.200.226 209.165.200.230 netmask 255.255.255.0
R2(config)#ip nat inside source list 1 pool TDC
R2(config-if)#ip nat inside
R2(config-if)#ip nat outside
Router#show ip nat translation
Router#show ip nat translations verbose
Router#clear ip nat statictics
Router#show ip nat statistics
NAT Overload, hay còn gọi là PAT (Port Address Translation), là một loại Dynamic NAT cho phép ánh xạ nhiều địa chỉ IP thành một địa chỉ duy nhất (many-to-one) Phương pháp này sử dụng các chỉ số cổng khác nhau để phân biệt các kết nối, giúp tiết kiệm địa chỉ IP và quản lý lưu lượng mạng hiệu quả hơn.
Chỉ số cổng được mã hóa 16 bit, do đó có tới 65535 địa chỉ nội bộ có thể được chuyển đổi sang một địa chỉ công cộng
Các bước cấu hình NAT Overload
Bước 1: Tạo một ACL cho phép những địa chỉ nội bộ bên trong nào được chuyển đổi: các địa chỉ được NAT
Router(config)#access-list access-list-number permit source [source-wildcard]
Bước 2: Thiết lập mối quan hệ giữa địa chỉ nguồn đã được xác định trong ACL với exit interface và overload
Router(config)#ip nat inside source list access-list-number interface type number overload
Bước 3: Xác định các cổng kết nối vào mạng nội bộ
Router(config-if)#ip nat inside
Bước 4: Xác định các cổng kết nối ra bên ngoài
Router(config-if)#ip nat outside
Trong một công ty, việc thiết lập hệ thống mạng là rất quan trọng để đảm bảo tất cả các thành viên đều có thể truy cập Internet Ví dụ, nếu hệ thống mạng được mô tả như một sơ đồ, công ty cần đảm bảo rằng mọi người trong tổ chức đều có quyền truy cập vào mạng Internet một cách dễ dàng và hiệu quả.
Trong trường hợp này, người quản trị mạng cấu hình PAT (NAT overload) trên router để cho phép người dùng trong công ty truy cập Internet thông qua địa chỉ đã đăng ký trên cổng s0/1/0 của router.
Các lệnh cấu hình NAT như sau:
R2(config)#ip nat inside source list 1 interface s0/1/0 overload
R2(config-if)#ip nat inside
R2(config-if)#ip nat outside
Các lệnh kiểm tra cấu hình
Hiển thị bảng NAT đang hoạt động
Router#show ip nat translation
Hiển thị trạng thái hoạt động của NAT
Router#show ip nat statistics
Router#clear ip at translation *
Router#clear ip nat statictics
Kiểm tra hoạt động của NAT, hiển thị các thông tin chuyển đổi NAT bởi router Router#debug ip nat
NAT giải quyết cho vấn đề khan hiếm địa chỉ IPv4, địa chỉ IPv6 với 128 bit nên không gian địa chỉ lớn hơn
IPv6 cũng áp dụng NAT, nhưng với một mục đích khác Trong bối cảnh của IPv6, NAT được sử dụng để đảm bảo sự kết nối liền mạch giữa các mạng IPv6 và IPv4.
NAT64 không phải là một giải pháp lâu dài; nó có nghĩa là một cơ chế chuyển đổi
Kỹ thuật Network Address Translation - Protocol Translation (NAT-PT) là một cơ chế chuyển tiếp dựa trên NAT cho IPv6 nhưng bây giờ đã bị phản đối bởi IETF
NAT64 hiện đang được khuyến cáo sử dụng
6.6 | CÂU HỎI VÀ BÀI TẬP CHƯƠNG 6
1 Địa chỉ Inside global trong cấu hình NAT có ý nghĩa gì?
A Là địa chỉ MAC được các máy tính sử dụng để kết nối ra ngoài
B Là địa chỉ tóm tắt đại diện cho tất cả các mạng bên trong
C Là địa chỉ cục ộ gán cho máy tính ở mạng bên trong
D Là địa chỉ được đăng ký đại diện cho các máy tính bên trong khi đi ra mạng bên ngoài
2 Hai phát biểu nào sau đây là đúng cho loại static NAT?
A Loại này cho phép từ bên ngoài có thể khởi tạo kết nối vào bên trong
B Loại này không yêu cầu phải chỉ ra cổng nào gắn với mạng ngoài và cổng nào gắn với mạng bên trong ở router thực hiện NAT
C Loại này có thể dùng ACL để cho phép nhiều kết nối khơi tạo từ mạng bên ngoài
D Loại này luôn được hiển thị trong bảng NAT
3 LAB: Cấu hình Dynamic and Static NAT
Device Interface IP Address Subnet Mask Default
1 Thiết lập sơ đồ mạng và kiểm tra kết nối
2 Cấu hình định tuyến tĩnh hoặc định tuyến động (OSPF)
3 Cấu hình và kiểm tra Static NAT
4 Cấu hình và kiểm tra Dynamic NAT
4 LAB: Cấu hình NAT Pool Overload and PAT
Device Interface IP Address Subnet Mask Default
1 Thiết lập sơ đồ mạng và kiểm tra kết nối
2 Cấu hình định tuyến tĩnh hoặc định tuyến động (OSPF)
3 Cấu hình và kiểm tra NAT Pool Overload
4 Cấu hình và kiểm tra PAT
BẢO MẬT SWITCH
Tùy thuộc vào quy mô của hệ thống mạng, các hình thức tấn công mạng có thể đa dạng và phức tạp Nếu không được bảo vệ đúng cách, bất kỳ thành phần nào trong hệ thống mạng như router, switch hay thiết bị máy tính đầu cuối đều có thể trở thành mục tiêu cho các hacker chuyên nghiệp, đối thủ cạnh tranh hoặc thậm chí là nhân viên nội bộ.
Thực chất các số liệu thống kê cho thấy phần lớn các cuộc tấn công đều xuất phát từ bên trong mạng nội bộ của công ty
Sau khi học xong chương này, sinh viên có khả năng:
- Trình bày khái niệm bảo mật trên switch
- Cấu hình, xử lý sự cố bảo mật cơ bản trên switch
Trong một số tình huống, việc kiểm soát sự truy xuất của người dùng cuối vào hệ thống mạng là cần thiết Một phương pháp đơn giản để quản lý người dùng là dựa vào địa chỉ MAC của máy trạm Catalyst Switch cung cấp tính năng bảo mật cổng (port security), cho phép điều khiển truy cập của máy trạm qua một cổng dựa trên địa chỉ MAC Để cấu hình tính năng này trên cổng truy xuất của switch, trước tiên cần bật tính năng bảo mật cổng bằng lệnh tương ứng.
Switch(config-if)#switchport port-security
Tiếp theo chỉ định số địa chỉ MAC tối đa cho phép truy xuất trên cổng:
Switch(config-if)#switchport port-security maximum max-addr
Mặc định chỉ có 1 địa chỉ MAC được cho phép trên cổng Dãy địa chỉ MAC có thể cấu hình từ 1 đến 1024
Ta có thể chỉ định trước những địa chỉ MAC nào được phép cho phép truy xuất trên cổng
Switch(config-if)#switchport port-security mac-address mac-addr
Khi một máy trạm mất kết nối với cổng, địa chỉ MAC của nó sẽ không được lưu trữ theo mặc định Để lưu lại địa chỉ MAC của máy trạm vào running-config của switch, bạn cần sử dụng lệnh phù hợp.
Switch(config-if)#switchport port-security mac-address sticky
Bình thường khi vi phạm điều kiện, cổng sẽ bị tắt (shutdown), và đưa vào trạng thái lỗi (errdisable)
Switch(config-if)#switchport port-security violation {shutdown | restrict | protect}
Khi vi phạm điều kiện, cổng sẽ ngay lập tức bị shutdown và chuyển sang trạng thái errdisable Để phục hồi cổng, người quản trị có thể thực hiện thủ công bằng cách sử dụng lệnh shutdown để tắt cổng và lệnh no shutdown để kích hoạt lại, hoặc có thể sử dụng tính năng tự phục hồi errdisable recovery để tự động khôi phục trạng thái cổng.
Khi xảy ra vi phạm, cổng vẫn tiếp tục hoạt động nhưng tất cả các khung dữ liệu từ địa chỉ MAC vi phạm sẽ bị loại bỏ Đồng thời, một thông điệp SNMP trap và syslog sẽ được gửi đi để thông báo về sự cố.
protect: khi vi phạm, cổng vẫn hoạt động (up), giống với kiểu retrict, tuy nhiên sẽ không gửi SNMP trap và syslog
7.2 | TÍNH NĂNG XEM XÉT THÔNG TIN DHCP
Máy chủ DHCP đóng vai trò quan trọng trong việc cung cấp địa chỉ IP, gateway và DNS server cho các client, giúp họ truy cập mạng một cách hiệu quả Tuy nhiên, nếu một kẻ tấn công thiết lập một máy chủ DHCP giả mạo trong cùng mạng con, người dùng có thể nhận thông tin giả mạo như địa chỉ IP và gateway từ máy chủ này, dẫn đến nguy cơ mất an toàn và bảo mật mạng.
Cisco Catalyst switch cung cấp tính năng DHCP Snooping để ngăn chặn các tình huống không mong muốn Khi tính năng này được kích hoạt, các cổng của switch được phân loại thành hai loại: tin cậy (trusted) và không tin cậy (untrusted) Cổng tin cậy sẽ chứa máy chủ DHCP hợp lệ, trong khi các cổng không tin cậy sẽ phục vụ cho người dùng khác.
Khi khách hàng gửi yêu cầu thông tin DHCP (DHCP request) để nhận địa chỉ IP, chỉ có các phản hồi hợp lệ từ máy chủ DHCP tại cổng tin cậy mới được phép thông qua, trong khi các phản hồi từ các cổng khác sẽ bị chặn.
7.3 | TÍNH NĂNG BẢO VỆ ĐỊA CHỈ NGUỒN
Khi một máy trạm được cấp địa chỉ IP, mọi gói tin gửi từ máy trạm đó phải có địa chỉ IP nguồn tương ứng Tuy nhiên, nếu máy trạm cố tình thay đổi địa chỉ IP nguồn để thực hiện tấn công từ chối dịch vụ, cần có biện pháp xử lý phù hợp để ngăn chặn hành vi này.
Cisco Catalyst Switch cung cấp tính năng bảo vệ địa chỉ nguồn (IP Source Guard) để ngăn chặn các tình huống không mong muốn Tính năng này thực hiện kiểm tra địa chỉ nguồn của gói tin nhận được so với cơ sở dữ liệu của DHCP snooping Ngoài ra, nó cũng kiểm tra cả địa chỉ IP nguồn và địa chỉ MAC nguồn với cơ sở dữ liệu đó Nếu có sự không khớp giữa các thành phần, khung tin sẽ bị lọc bỏ, đảm bảo an toàn cho mạng.
Máy khách có địa chỉ IP 10.10.50.50/16, được gọi là A, gửi yêu cầu xin địa chỉ IP qua máy chủ DHCP Gói tin từ A phải có địa chỉ IP nguồn là 10.10.50.50/16; nếu A giả mạo địa chỉ IP khác, chẳng hạn như 10.10.10.10, thì các gói tin từ A với địa chỉ IP nguồn 10.10.10.10 sẽ bị switch từ chối.
Chức năng bảo vệ địa chỉ IP nguồn được kích hoạt trong chế độ cổng Để chỉ kiểm tra địa chỉ IP nguồn, bạn có thể sử dụng lệnh "ip verify source" Ngoài ra, lệnh "ip verify source port-security" cũng có thể được sử dụng để kiểm tra đồng thời cả địa chỉ IP nguồn và địa chỉ MAC nguồn.
Optionally, you can use the command "ip source binding mac-address VLAN Vlan-id ip-address interface interface-id" to create entries that will be utilized alongside the DHCP snooping database.
7.4 | GIÁM SÁT VIỆC PHÂN GIẢI ĐỊA CHỈ MAC
Giao thức ARP (Address Resolution Protocol) là một giao thức quan trọng giúp các máy trạm xác định địa chỉ MAC của thiết bị khi đã biết địa chỉ IP ARP hoạt động bằng cách phân giải địa chỉ IP thành địa chỉ MAC, từ đó cho phép các thiết bị trong mạng giao tiếp hiệu quả hơn.
Trong mô hình bên dưới (hình 44), A muốn tìm địa chỉa MAC của C sẽ làm như sau:
A gửi thông điệp yêu cầu ARP (ARP request) để tìm địa chỉ MAC của C có IP 10.1.1.1
C trả lời với thông điệp đáp ứng ARP (ARP reply) với địa chỉ MAC tương ứng là C.C.C.C
Và như vậy A biết được rằng địa chỉ MAC của C là C.C.C.C
Tuy nhiên nếu B là kẻ tấn công thì quá trình sẽ như sau:
A gửi thông điệp yêu cầu ARP (ARP request) tìm địa chỉ MAC của C có IP 10.1.1.1
C trả lời với thông điệp đáp ứng ARP (ARP reply) với địa chỉ MAC tương ứng là C.C.C.C
B liên tục gửi các thông điệp đáp ứng ARP tự phát (gratuitous ARP reply) đến
A với nội dung: IP 10.1.1.1 có địa chỉ MAC là B.B.B.B
A tin địa chỉ IP 10.1.1.1 (địa chỉ IP của C) có MAC là B.B.B.B (địa chỉ MAC của B)
Gói tin từ A đến C sẽ được đóng gói ở lớp 2 với địa chỉ MAC đích là B.B.B.B Khi đó, B sẽ nhận gói tin, trích xuất thông tin giữa A và C, sau đó tiếp tục chuyển tiếp đến C.
Chiều gói tin đi từ C đến A cũng tương tự như vậy, đi qua B
A và C không hề hay biết là B đang bắt thông tin nội dung nói chuyện giữa A và C
